关于位置服务(LBS)的无线网络应用程序

基于位置服务的无线网络应用程序

移动设备的基于位置的服务适合于用户的位置和状态。它们过滤并传递与用户关系最大的信息。基于位置的服务的一项重要优势是，用户不必向它们输入邮政编码或其它位置标识。位置构成了移动技术的灵魂。

有几种方法可以确定无线设备的位置。大多数方法涉及使用信号到达时间差（TDOA）、增强观测时间差（E-OTD）和辅助全球定位系统（GPS）技术。

一、TDOA 需要多个基站来侦听移交访问脉冲，并用三角测量法计算无线设备的位置。这种方法的优点是可以使用现有的GSM 移动设备，但必需对支持基础设施进行大量投资。

二、使用E-OTD 时，手机侦听来自多个基站的脉冲并测量观测时间差。使用三角测量法计算出无线设备的位置。E-OTD 要求对手机进行更改，但所需的定位基础设施支持少于TOA。

三、辅助GPS 依赖拥有集成GPS 接收器的无线设备。可以从网络传送辅助数据以促进GPS 信号搜索，并有可能提高灵敏度。尽管GPS 有可能是最精确的方法，但因为其信号来自人造卫星，所以穿透力较弱，因而受到限制。象CyberLocator 这样的公司使用专利技术和专用GPS 硬件来利用GPS 数据获得位置。

位置交换的标准

过去，不同的各方曾经提出几种交换位置信息的提议。最近，他们已开始了标准化的努力，以将不同的提议合并成一个公认的标准。让我们看一看部分已经提出的位置交换标准。

移动定位协议（Mobile Positioning Protocol，MPP）是由Ericsson 提出的协议。MPP（目前版本是4.0）是基于因特网的协议，“知道位置”的应用程序使用该协议与移动定位系统（Mobile Positioning System，MPS）交互。通过这个协议，使请求移动终端的位置成为可能。移动定位系统（MPS）是Ericsson 用于提供基于位置的服务的特殊解决方案，作为该系统的一部分，移动定位中心（Mobile Positioning Center，MPC）是移动网络和“知道位置”的应用程序之间的网关。MPC 根据源于网络的计算移动设备的位置，并将它传送到应用程序。

MPP 还定义了一个URL，“知道位置”的应用程序可以使用它来请求移动设备的位置。作为对位置请求的响应，MPC 传送一个应答来把对移动设备位置的估计告诉应用程序。MPP 完全基于HTTP，这使得MPC 可以供任何具有TCP/IP 功能的平台使用，例如，负责动态生成WAP 内容的Java servlet。

IETF 及其成员公司也提出了另一个标准，称为空间位置协议（Spatial Location Protocol，SLoP）。SLoP 的目的是解决以下问题：应用程序如何以可靠的、安全的和可伸缩的方式，获取因特网上提供的可标识资源的空间位置？这个协议将确定地球上的绝对位置，并将使用WGS84 大地基准点作为缺省参考系统。位置的格式最好由下列数据项组成（假设某些项的功能可用）：

1.用户位置类型（例如，绝对／描述型位置）

2.框架（例如，WGS84、UTM）

3.语法／格式（例如，经度、纬度和海拔高度）

4.地心位置

5.精确度

6.时间戳记（日期、时间、时区）

7.剩余时间

8.其它（方向、速度、方位等）

这个协议目前支持UDP 传输（为了可靠性带有重试计时器），也可选用TCP 传输以及RTP 和／或SCTP。因此，可从具有TCP/IP 功能的任何平台访问SLoP 服务器。预计将来，无论网络是层次关系还是对等关系，空间位置服务器之间都将选用IPSec 作为通信方法。

Open GIS Consortium，Inc.（OGC）是一个非赢利的国际性业界联盟，参加联盟的230 多家公司、政府机构和大学参与了开发公开可用的地理处理规范的共识过程。Open GIS 规范支持使Web 和主流IT 具有能力的互操作解决方案，并使技术开发人员能够将复杂的空间和服务对于各种应用程序都是可访问的和有用的。

有两种类型的规范：摘要和实现。Open GIS 摘要规范提供了Open GIS 实现规范的框架或参考模型。这种高级指导对于了解Open GIS 规范背后的核心技术和概念模型非常有用。Open GIS 实现规范详细描述了OGC 通过其共识过程开发的一致同意的接口。这些是软件工程规范—任何软件开发人员都可以使用这些来构建实现这些规范中的一个或多个规范的产品。该软件应该能够与实现相同规范的任何其它软件通信。有些规范详细描述了到OLE/COM、CORBA、SQL、标记语言（Geography Markup Language，GML）等的接口。

无线应用程序安全性

正如先前提到的，解决与无线应用程序相关的安全性问题很重要，尤其是对于那些与移动电子商务相关的应用程序。对于实现移动商务和无处不在的移动设备所提供的机遇，安全性方面是关键因素。移动电子商务使企业暴露在大量新的威胁和攻击面前。无线应用程序的整体安全性只能取决于其最薄弱环节的强度，在移动商务网络中，最薄弱环节是移动设备。无线信号的可拦截本质和大多数移动设备有限的内存和计算能力使无线系统容易受到数据窃贼的攻击。关于无线应用程序安全性的一些关键的安全性问题包括：

一、机密性。对机密和敏感数据的访问应该仅限于那些需要它的用户。

二、完整性。数据在无线网络上从一点传输到另一点的完整性需要得到极好地维护。

三、可用性。可将任务关键数据和服务用于应急，以便处理诸如基础结构故障、安全性缺口之类的灾难性事件。

四、隐私。无线应用程序开发人员应该小心地遵守保护用户的隐私的法律要求。对于基于位置的服务这尤其重要，因为本来就存在着用户被跟踪的可能性。但是，正如我们不久将要看到的，位置的可用性可以转变为安全性优势。下图全面描述了无线应用程序基础结构中的不同弱点。

图 1. 不安全无线传输的情景

那么对于无线应用程序完整性而言，风险和威胁是什么呢？

1.可以使用数字式RF 扫描设备捕获无线网络上传输的数据（如密码和个人）。大多数无线协议不具备内置加密机制。尤其是对于那些传送敏感数据的应用程序而言，确实需要额外的安全性措施（如安全连接和密码术）。但是，用于安全连接的HTTPS/SSL 或密码术标准（如IPSEC 和WTLS）的采用，带来了与之相关的问题。邻近设备或基站的信号干扰会导致无线设备和网络中断和不可用。

2.移动设备本来就是小型的和可移动的，并容易放错地方或丢失。此外，它们的设计本身就有风险。它们有限的安全性特性增加了未经授权地使用移动设备来访问敏感公司或个人数据的机会。移动设备中的SIM 卡可以被克隆并在另一个设备中使用。如果应用程序安全性是基于对设备的用户认证的（从SIM），那么假扮成真实用户也是有可能的。

3.无线应用程序技术相当新，这意味着没有针对用户、设备或应用程序安全性的成熟标准。大多数无线通信协议还没有对加密标准的内置支持，这使得供应商使用第三方或专利方法来强制加密。这种无线基础结构方面的不成熟，再加上巨大的用户基础，使得无线应用程序很容易遭到来自病毒和恶意代码的攻击。存在着大量解决移动电子商务风险和弱点的安全性解决方案（以过程、技术和组织模型的形式）。

用于安全性的位置

麻烦在于现有的无线安全性控制不足以提供下一波移动电子商务所要求的安全性级别。广泛采用移动商务的最大障碍之一就是赢得客户的信任。单个安全性缺口就会以极其鲜明的姿态使无线应用程序开发人员为之努力的一切都大打折扣。开发出安全性策略来解决移动商务的崭新而复杂的挑战是很重要的。现在，让我们研究一下这个有趣的概念：将位置信息合并到无线应用程序和网络安全性机制中。合并到现有安全性机制中的位置可以用来增强认证、授权和访问控制的功效。

有效的无线应用程序安全性依赖于认证用户和相应地授予访问权的能力。现有的认证和授权机制基本上依赖于用户知道的信息（密码或密钥）、对认证设备（访问令牌或加密卡）的拥有或从唯一的个人特征（测量学）派生出来的。这其中任何一种方法都不是彻底安全的。

移动设备或用户的位置信息（经度、纬度、高度等）为无线应用程序安全性增添了第四个新特性。它向希望执行敏感操作（如金融事务、访问重要信息或远程控制重要系统）的无线应用程序用户提供了额外的保证。它可以对现有的安全性机制进行补充。位置信息还可以在其它系统受到威胁时用作安全性机制。对于高度敏感的无线应用程序，因为可以将一片广阔的区域指定为一套已授权位置，所以认证机构可以对任何恶意行为进行反跟踪，以发现入侵者的位置。不合并位置，就难以发现恶意行为的源头。