基于位置服务的无线网络应用程序
sp;那么对于无线应用程序完整性而言,风险和威胁是什么呢?
1.可以使用数字式 RF 扫描设备捕获无线网络上传输的数据(如密码和个人信息)。大多数无线协议不具备内置加密机制。尤其是对于那些传送敏感数据的应用程序而言,确实需要额外的安全性措施(如安全连接和密码术)。但是,用于安全连接的 HTTPS/SSL 或密码术标准(如 IPSEC 和 WTLS)的采用,带来了与之相关的问题。邻近设备或基站的信号干扰会导致无线设备和网络中断和不可用。
2.移动设备本来就是小型的和可移动的,并容易放错地方或丢失。此外,它们的设计本身就有风险。它们有限的安全性特性增加了未经授权地使用移动设备来访问敏感公司或个人数据的机会。移动设备中的 SIM 卡可以被克隆并在另一个设备中使用。如果应用程序安全性是基于对设备的用户认证的(从 SIM),那么假扮成真实用户也是有可能的。
3.无线应用程序技术相当新,这意味着没有针对用户、设备或应用程序安全性的成熟标准。大多数无线通信协议还没有对加密标准的内置支持,这使得供应商使用第三方或专利方法来强制加密。这种无线基础结构方面的不成熟,再加上巨大的用户基础,使得无线应用程序很容易遭到来自病毒和恶意代码的攻击。存在着大量解决移动电子商务风险和弱点的安全性解决方案(以过程、技术和组织模型的形式)。
用于安全性的位置信息
麻烦在于现有的无线安全性控制不足以提供下一波移动电子商务所要求的安全性级别。广泛采用移动商务的最大障碍之一就是赢得客户的信任。单个安全性缺口就会以极其鲜明的姿态使无线应用程序开发人员为之努力的一切都大打折扣。开发出安全性策略来解决移动商务的崭新而复杂的挑战是很重要的。现在,让我们研究一下这个有趣的概念:将位置信息合并到无线应用程序和网络安全性机制中。合并到现有安全性机制中的位置信息可以用来增强认证、授权和访问控制的功效。
有效的无线应用程序安全性依赖于认证用户和相应地授予访问权的能力。现有的认证和授权机制基本上依赖于用户知道的信息(密码或密钥)、对认证设备(访问令牌或加密卡)的拥有或从唯一的个人特征(生物测量学)派生出来的信息。这其中任何一种方法都不是彻底安全的。
移动设备或用户的位置信息(经度、纬度、高度等)为无线应用程序安全性增添了第四个新特性。它向希望执行敏感操作(如金融事务、访问重要信息或远程控制重要系统)的无线应用程序用户提供了额外的保证。它可以对现有的安全性机制进行补充。位置信息还可以在其它系统受到威胁时用作安全性机制。对于高度敏感的无线应用程序,因为可以将一片广阔的地理区域指定为一套已授权位置,所以认证机构可以对任何恶意行为进行反跟踪,以发现入侵者的位置。不合并位置信息,就难以发现恶意行为的源头。
几乎不可能复制位置信息并在别处用它来获取未经授权的入口。即使信息在通信期间遭到拦截,入侵者也无法从其它地方复制该数据。位置信息是不断实时生成的,对于特定的地点和时间而言是唯一的。在短暂的时间间隔之后,此类信息就变为无效了,这意味着无法用所拦截的位置数据来掩饰未经授权的访问,尤其是当它与作为校验和或数字签名的无线协议消息绑定时。即使作恶者用其它方法假扮成合法用户,还是可以用整套位置信息签名来搜寻访问的踪迹。
也有可能进一步处理,在无线客户机(移动设备)和后端系统之间合并双向认证。后端系统可以根据安全性机制和位置信息向无线客户机授予访问权;客户机接收后端系统位置签名的逆向过程保证了更高级别的安全性,尤其是在定期进行这样的“握手”的情况下。这需要在无线设备和后端系统之间额外地传输少量信息。
位置信息可以为解除无辜用户的罪责提供证据。如果非法活动是由某个未经授权而获取对某个特定用户帐户访问权的人从该帐户进行的,那么,该帐户的合法主人或许能够证明他们不曾出现在发起这些非法行为的位置。基于位置的认证可以持续地以对用户透明的方式执行。这意味着,与大多数其它类型的认证信息不同,位置信息可以用作用户访问的所有系统的常用认证者。这个特性使得基于位置的认证成为结合单点登录使用的好技术。
总之,将基于位置的认证添加到安全性机制有助于限制对敏感信息或事务的访问,防止未经授权的访问,跟踪非法行为并有可能确保在一定区域内只有被定位的设备才能接收加密信息。
Web 服务和无线应用程序安全性
Web 服务将在移动商务和无线安全性的发展中起着重要作用。通过使用 XML 消息传递对主要安全性解决方案(如 Kerberos 认证和授权、数字证书、数字签名和公/私钥加密)进行标准化和集成,Web 服务可以用来提供无线安全性解决方案。XML 消息传递被认为是无线通信协议的首选,有多种安全性协议用于基于它的无线应用程序。其中包括以下协议:
一、安全性断言标记语言(Security Assertion Markup Language,SAML)是用来以 XML 消息传输认证和授权信息的协议。它可以用来提供单点登录 Web 服务。
二、XML 数字签名定义了如何对 XML 文档的一部分或全部内容进行数字签名,以保证数据完整性。可以用 XML 密钥管理规范(XML Key Management Specification,XKMS)格式封装使用 XML 数字签名分发的公钥。
三、XML 加密允许应用程序引用预先约定的对称密钥来加密 XML 文档的部分或全部内容。
四、Web 服务安全 XML 协议簇(WS-Security)是由 IBM 和 Microsoft 认可的向 Web 服务提供安全性的完整的解决方案。它基于 XML 数字签名、XML 加密和类似于 SAML 的认证和授权方案。
以上所有安全性协议都可以绑定到 Web 服务消息传递协议。例如,我们可以将 SAML 段嵌入到 SOAP 消息头以对所请求的服务的访问进行认证和授权。我们还可以将 XML Digital Signature 段嵌入到 SOAP 头以认证该消息中的信用卡号。
现在,我们要讨论将位置信息与 SAML 安全性规范合并到一起的好处,并研究它是如何增强无线应用程序安全性的。尤其我们要讨论基于位置的认证是如何加入单点登录体系结构的。
与 SAML 合作的位置信息
SAML 是对供应商中立的 XML 框架,用于在因特网上交换安全性信息。SAML 使全异的安全性服务系统能够通过交换与安全性相关的信息(称为“断言”)来进行互操作。用户的认证、授权、概要和首选项,都是从用户在会话期间选择的原始源服务供应商传送到后续的目的地服务供应商的。SAML 被设计用来与 HTTP、简单邮件传送协议(Simple Mail Transfer Protocol)、文件传送协议和几种 XML 框架(包括简单对象访问协议(Simple Object Access Protocol,SOAP)和电子商务 XML)一起工作。它提供了以 XML 文档定义用户认证、授权和属性信息的标准方式。SAML 的主要组件包括:
1.断言
1.可以使用数字式 RF 扫描设备捕获无线网络上传输的数据(如密码和个人信息)。大多数无线协议不具备内置加密机制。尤其是对于那些传送敏感数据的应用程序而言,确实需要额外的安全性措施(如安全连接和密码术)。但是,用于安全连接的 HTTPS/SSL 或密码术标准(如 IPSEC 和 WTLS)的采用,带来了与之相关的问题。邻近设备或基站的信号干扰会导致无线设备和网络中断和不可用。
2.移动设备本来就是小型的和可移动的,并容易放错地方或丢失。此外,它们的设计本身就有风险。它们有限的安全性特性增加了未经授权地使用移动设备来访问敏感公司或个人数据的机会。移动设备中的 SIM 卡可以被克隆并在另一个设备中使用。如果应用程序安全性是基于对设备的用户认证的(从 SIM),那么假扮成真实用户也是有可能的。
3.无线应用程序技术相当新,这意味着没有针对用户、设备或应用程序安全性的成熟标准。大多数无线通信协议还没有对加密标准的内置支持,这使得供应商使用第三方或专利方法来强制加密。这种无线基础结构方面的不成熟,再加上巨大的用户基础,使得无线应用程序很容易遭到来自病毒和恶意代码的攻击。存在着大量解决移动电子商务风险和弱点的安全性解决方案(以过程、技术和组织模型的形式)。
用于安全性的位置信息
麻烦在于现有的无线安全性控制不足以提供下一波移动电子商务所要求的安全性级别。广泛采用移动商务的最大障碍之一就是赢得客户的信任。单个安全性缺口就会以极其鲜明的姿态使无线应用程序开发人员为之努力的一切都大打折扣。开发出安全性策略来解决移动商务的崭新而复杂的挑战是很重要的。现在,让我们研究一下这个有趣的概念:将位置信息合并到无线应用程序和网络安全性机制中。合并到现有安全性机制中的位置信息可以用来增强认证、授权和访问控制的功效。
有效的无线应用程序安全性依赖于认证用户和相应地授予访问权的能力。现有的认证和授权机制基本上依赖于用户知道的信息(密码或密钥)、对认证设备(访问令牌或加密卡)的拥有或从唯一的个人特征(生物测量学)派生出来的信息。这其中任何一种方法都不是彻底安全的。
移动设备或用户的位置信息(经度、纬度、高度等)为无线应用程序安全性增添了第四个新特性。它向希望执行敏感操作(如金融事务、访问重要信息或远程控制重要系统)的无线应用程序用户提供了额外的保证。它可以对现有的安全性机制进行补充。位置信息还可以在其它系统受到威胁时用作安全性机制。对于高度敏感的无线应用程序,因为可以将一片广阔的地理区域指定为一套已授权位置,所以认证机构可以对任何恶意行为进行反跟踪,以发现入侵者的位置。不合并位置信息,就难以发现恶意行为的源头。
几乎不可能复制位置信息并在别处用它来获取未经授权的入口。即使信息在通信期间遭到拦截,入侵者也无法从其它地方复制该数据。位置信息是不断实时生成的,对于特定的地点和时间而言是唯一的。在短暂的时间间隔之后,此类信息就变为无效了,这意味着无法用所拦截的位置数据来掩饰未经授权的访问,尤其是当它与作为校验和或数字签名的无线协议消息绑定时。即使作恶者用其它方法假扮成合法用户,还是可以用整套位置信息签名来搜寻访问的踪迹。
也有可能进一步处理,在无线客户机(移动设备)和后端系统之间合并双向认证。后端系统可以根据安全性机制和位置信息向无线客户机授予访问权;客户机接收后端系统位置签名的逆向过程保证了更高级别的安全性,尤其是在定期进行这样的“握手”的情况下。这需要在无线设备和后端系统之间额外地传输少量信息。
位置信息可以为解除无辜用户的罪责提供证据。如果非法活动是由某个未经授权而获取对某个特定用户帐户访问权的人从该帐户进行的,那么,该帐户的合法主人或许能够证明他们不曾出现在发起这些非法行为的位置。基于位置的认证可以持续地以对用户透明的方式执行。这意味着,与大多数其它类型的认证信息不同,位置信息可以用作用户访问的所有系统的常用认证者。这个特性使得基于位置的认证成为结合单点登录使用的好技术。
总之,将基于位置的认证添加到安全性机制有助于限制对敏感信息或事务的访问,防止未经授权的访问,跟踪非法行为并有可能确保在一定区域内只有被定位的设备才能接收加密信息。
Web 服务和无线应用程序安全性
Web 服务将在移动商务和无线安全性的发展中起着重要作用。通过使用 XML 消息传递对主要安全性解决方案(如 Kerberos 认证和授权、数字证书、数字签名和公/私钥加密)进行标准化和集成,Web 服务可以用来提供无线安全性解决方案。XML 消息传递被认为是无线通信协议的首选,有多种安全性协议用于基于它的无线应用程序。其中包括以下协议:
一、安全性断言标记语言(Security Assertion Markup Language,SAML)是用来以 XML 消息传输认证和授权信息的协议。它可以用来提供单点登录 Web 服务。
二、XML 数字签名定义了如何对 XML 文档的一部分或全部内容进行数字签名,以保证数据完整性。可以用 XML 密钥管理规范(XML Key Management Specification,XKMS)格式封装使用 XML 数字签名分发的公钥。
三、XML 加密允许应用程序引用预先约定的对称密钥来加密 XML 文档的部分或全部内容。
四、Web 服务安全 XML 协议簇(WS-Security)是由 IBM 和 Microsoft 认可的向 Web 服务提供安全性的完整的解决方案。它基于 XML 数字签名、XML 加密和类似于 SAML 的认证和授权方案。
以上所有安全性协议都可以绑定到 Web 服务消息传递协议。例如,我们可以将 SAML 段嵌入到 SOAP 消息头以对所请求的服务的访问进行认证和授权。我们还可以将 XML Digital Signature 段嵌入到 SOAP 头以认证该消息中的信用卡号。
现在,我们要讨论将位置信息与 SAML 安全性规范合并到一起的好处,并研究它是如何增强无线应用程序安全性的。尤其我们要讨论基于位置的认证是如何加入单点登录体系结构的。
与 SAML 合作的位置信息
SAML 是对供应商中立的 XML 框架,用于在因特网上交换安全性信息。SAML 使全异的安全性服务系统能够通过交换与安全性相关的信息(称为“断言”)来进行互操作。用户的认证、授权、概要和首选项,都是从用户在会话期间选择的原始源服务供应商传送到后续的目的地服务供应商的。SAML 被设计用来与 HTTP、简单邮件传送协议(Simple Mail Transfer Protocol)、文件传送协议和几种 XML 框架(包括简单对象访问协议(Simple Object Access Protocol,SOAP)和电子商务 XML)一起工作。它提供了以 XML 文档定义用户认证、授权和属性信息的标准方式。SAML 的主要组件包括:
1.断言
- 上一篇文章: 欧盟决定建立欧洲“电子政府”网络
- 下一篇文章: 中国CRM产业分析