无线应用程序的基于位置的安全性
Harsha Srivatsa(hsrivatsa@rcn.com)
独立软件顾问
2002 年 11 月
业界分析家的研究预示:对无线和移动设备的强烈需求,为无线设备应用程序和服务供应商创造了巨大的机遇。面对同时提高每用户平均收入(ARPU)和订户数这个日益艰难的挑战,无线运营商及其伙伴正在开发大量新的基于数据服务的产品、服务和业务模型。我们将研究基于位置的服务以及它们是如何同时提高服务和收入的。
供应商正在准备通过基于位置的服务和商务提供有差别的增值服务。基于位置的服务将在无线数据服务的发展中起着重要作用,并为移动运营商和内容供应商提供巨大的收入。
基于位置的服务的预期增长使我们必需解决信息安全性问题,尤其是对于那些访问重要的和私有的信息以及执行敏感操作(如金融事务)的应用程序。
关于基于位置的服务
移动设备的基于位置的服务适合于用户的位置和状态。它们过滤并传递与用户关系最大的信息。基于位置的服务的一项重要优势是,用户不必向它们输入邮政编码或其它位置标识。基于位置服务的示例包括:
- 获得驾驶指示、交通流量信息、天气和旅行时刻表
- 协助紧急 911 服务和定位失窃的移动电话
- 支付 EZPass 和其它电子通行费
- 为运输经营者安排好车队以及找到运输的便利方式
- 定位电子目录中列示的人员和企业
PDA 是如何“知道位置”的
有几种方法可以确定无线设备的位置。大多数方法涉及使用信号到达时间差(TDOA)、增强观测时间差(E-OTD)和辅助全球定位系统(GPS)技术。
TDOA 需要多个基站来侦听移交访问脉冲,并用三角测量法计算无线设备的位置。这种方法的优点是可以使用现有的 GSM 移动设备,但必需对支持基础设施进行大量投资。
使用 E-OTD 时,手机侦听来自多个基站的脉冲并测量观测时间差。使用三角测量法计算出无线设备的位置。E-OTD 要求对手机进行更改,但所需的定位基础设施支持少于 TOA。
辅助 GPS 依赖拥有集成 GPS 接收器的无线设备。可以从网络传送辅助数据以促进 GPS 信号搜索,并有可能提高灵敏度。尽管 GPS 有可能是最精确的方法,但因为其信号来自人造卫星,所以穿透力较弱,因而受到限制。象 CyberLocator 这样的公司使用专利技术和专用 GPS 硬件来利用 GPS 数据获得位置信息。
值得注意的是,提供无线服务的运营商都拥有位置信息。运营商需要位置信息来计算漫游费用,他们还拥有满足 FCC e-911 紧急服务定位要求 Phase I 必需的 cell-sector-ID 位置。但 e-911 Phase II 需要更颗粒度的信息,因此需要新的和昂贵的定位系统,运营商希望通过将 e-911 额外收费转嫁给客户来补偿 Phase II 服务的部分成本。确实,位置信息构成了移动技术的灵魂。
位置信息交换的标准
过去,不同的各方曾经提出几种交换位置信息的提议。最近,他们已开始了标准化的努力,以将不同的提议合并成一个公认的标准。让我们看一看部分已经提出的位置信息交换标准。
移动定位协议(Mobile Positioning Protocol,MPP)是由 Ericsson 提出的协议。MPP(目前版本是 4.0)是基于因特网的协议,“知道位置”的应用程序使用该协议与移动定位系统(Mobile Positioning System,MPS)交互。通过这个协议,使请求移动终端的位置成为可能。移动定位系统(MPS)是 Ericsson 用于提供基于位置的服务的特殊解决方案,作为该系统的一部分,移动定位中心(Mobile Positioning Center,MPC)是移动网络和“知道位置”的应用程序之间的网关。MPC 根据源于网络的信息计算移动设备的位置,并将它传送到应用程序。
MPP 还定义了一个 URL,“知道位置”的应用程序可以使用它来请求移动设备的位置。作为对位置请求的响应,MPC 传送一个应答来把对移动设备位置的估计告诉应用程序。MPP 完全基于 HTTP,这使得 MPC 可以供任何具有 TCP/IP 功能的平台使用,例如,负责动态生成 WAP 内容的 Java servlet。
IETF 及其成员公司也提出了另一个标准,称为空间位置协议(Spatial Location Protocol,SLoP)。SLoP 的目的是解决以下问题:应用程序如何以可靠的、安全的和可伸缩的方式,获取因特网上提供的可标识资源的空间位置?这个协议将确定地球上的绝对位置,并将使用 WGS84 大地基准点作为缺省参考系统。位置信息的格式最好由下列数据项组成(假设某些项的功能可用):
- 用户位置类型(例如,绝对/描述型位置)
- 框架(例如,WGS84、UTM)
- 语法/格式(例如,经度、纬度和海拔高度)
- 地心位置
- 精确度
- 时间戳记(日期、时间、时区)
- 剩余时间
- 其它(方向、速度、方位等)
这个协议目前支持 UDP 传输(为了可靠性带有重试计时器),也可选用 TCP 传输以及 RTP 和/或 SCTP。因此,可从具有 TCP/IP 功能的任何平台访问 SLoP 服务器。预计将来,无论网络是层次关系还是对等关系,空间位置服务器之间都将选用 IPSec 作为通信方法。
Open GIS Consortium,Inc.(OGC)是一个非赢利的国际性业界联盟,参加联盟的 230 多家公司、政府机构和大学参与了开发公开可用的地理处理规范的共识过程。Open GIS 规范支持使 Web 和主流 IT 具有地理能力的互操作解决方案,并使技术开发人员能够将复杂的空间信息和服务对于各种应用程序都是可访问的和有用的。
有两种类型的规范:摘要和实现。Open GIS 摘要规范提供了 Open GIS 实现规范的框架或参考模型。这种高级指导对于了解 Open GIS 规范背后的核心技术和概念模型非常有用。Open GIS 实现规范详细描述了 OGC 通过其共识过程开发的一致同意的接口。这些是软件工程规范 — 任何软件开发人员都可以使用这些信息来构建实现这些规范中的一个或多个规范的产品。该软件应该能够与实现相同规范的任何其它软件通信。有些规范详细描述了到 OLE/COM、CORBA、SQL、地理标记语言(Geography Markup Language,GML)等的接口。
无线应用程序安全性
正如先前提到的,解决与无线应用程序相关的信息安全性问题很重要,尤其是对于那些与移动电子商务相关的应用程序。对于实现移动商务和无处不在的移动设备所提供的机遇,安全性方面是关键因素。移动电子商务使企业暴露在大量新的威胁和攻击面前。
无线应用程序的整体安全性只能取决于其最薄弱环节的强度,在移动商务网络中,最薄弱环节是移动设备。无线信号的可拦截本质和大多数移动设备有限的内存和计算能力使无线系统容易受到数据窃贼的攻击。
关于无线应用程序安全性的一些关键的安全性问题包括:
- 机密性。对机密和敏感数据的访问应该仅限于那些需要它的用户。
- 完整性。数据在无线网络上从一点传输到另一点的完整性需要得到极好地维护。
- 可用性。可将任务关键数据和服务用于应急计划,以便处理诸如基础结构故障、安全性缺口之类的灾难性事件。
- 隐私。无线应用程序开发人员应该小心地遵守保护用户的隐私的法律要求。对于基于位置的服务这尤其重要,因为本来就存在着用户被跟踪的可能性。但是,正如我们不久将要看到的,位置信息的可用性可以转变为安全性优势。
下图全面描述了无线应用程序基础结构中的不同弱点。
图 1. 不安全无线传输的情景
那么对于无线应用程序完整性而言,风险和威胁是什么呢?
- 可以使用数字式 RF 扫描设备捕获无线网络上传输的数据(如密码和个人信息)。大多数无线协议不具备内置加密机制。尤其是对于那些传送敏感数据的应用程序而言,确实需要额外的安全性措施(如安全连接和密码术)。但是,用于安全连接的 HTTPS/SSL 或密码术标准(如 IPSEC 和 WTLS)的采用,带来了与之相关的问题。邻近设备或基站的信号干扰会导致无线设备和网络中断和不可用。
- 移动设备本来就是小型的和可移动的,并容易放错地方或丢失。此外,它们的设计本身就有风险。它们有限的安全性特性增加了未经授权地使用移动设备来访问敏感公司或个人数据的机会。移动设备中的 SIM 卡可以被克隆并在另一个设备中使用。如果应用程序安全性是基于对设备的用户认证的(从 SIM),那么假扮成真实用户也是有可能的。
- 无
线应用程序技术相当新,这意味着没有针对用户、设备或应用程序安全性的成熟标准。大多数无线通信协议还没有对加密标准的内置支持,这使得供应商使用第三方
或专利方法来强制加密。这种无线基础结构方面的不成熟,再加上巨大的用户基础,使得无线应用程序很容易遭到来自病毒和恶意代码的攻击。
存在着大量解决移动电子商务风险和弱点的安全性解决方案(以过程、技术和组织模型的形式)。可以阅读无线安全性白皮书(参考资料清单中的热点链接)中对这些解决方案的详细描述。
用于安全性的位置信息
麻
烦在于现有的无线安全性控制不足以提供下一波移动电子商务所要求的安全性级别。广泛采用移动商务的最大障碍之一就是赢得客户的信任。单个安全性缺口就会以
极其鲜明的姿态使无线应用程序开发人员为之努力的一切都大打折扣。开发出安全性策略来解决移动商务的崭新而复杂的挑战是很重要的。
现在,让我们研究一下这个有趣的概念:将位置信息合并到无线应用程序和网络安全性机制中。合并到现有安全性机制中的位置信息可以用来增强认证、授权和访问控制的功效。
有效的无线应用程序安全性依赖于认证用户和相应地授予访问权的能力。现有的认证和授权机制基本上依赖于用户知道的信息(密码或密钥)、对认证设备(访问令牌或加密卡)的拥有或从唯一的个人特征(生物测量学)派生出来的信息。这其中任何一种方法都不是彻底安全的。
移
动设备或用户的位置信息(经度、纬度、高度等)为无线应用程序安全性增添了第四个新特性。它向希望执行敏感操作(如金融事务、访问重要信息或远程控制重要
系统)的无线应用程序用户提供了额外的保证。它可以对现有的%8