隨著移動商業從時髦的口號逐漸變成現實,對於移動用戶和無線應用程序開發人員這類人而言,事務安全性正在成為一個重要方面。網絡整體安全性的強度取決於其最薄弱環節,而在移動商業網絡中,最薄弱環節是客戶機端設備。無線信號的可截取本質以及大多數手持設備有限的內存和計算能力,使無線系統極易受到數據竊賊的攻擊。
但客戶機並非移動商業網絡上的唯一薄弱環節。隨著 Web 服務技術成為因特網領域中日益重要的組件,無線網絡將面臨一些全新的弱點。Web 服務使用開放通信協議並在組織的防火牆之外運行,當在企業中部署這些系統時,這將會造成非常實際的安全性威脅。(請參閱 文章側欄以獲得 Web 服務的定義。)
解決方案正在形成,盡管尚需時日。尤其是,Web 服務本身可以用來提供安全性解決方案。新的 Web 服務規范計劃標准化和集成使用 XML 消息傳遞的先進的安全性解決方案(如 Kerberos 認證和授權、數字證書、數字簽名和公/私鑰加密)。可互操作的 Web 服務可以將那些安全性解決方案用作產品和服務供應商的一類實用程序。但即使正在出現這些有希望的解決方案,對於您如何有效地保護自己的無線應用程序及運行應用程序的網絡而言,開發平台的選擇將始終起到舉足輕重的作用。
在本文中,我們將重點討論在 Java 2 Platform,Micro Edition(J2ME)上進行開發的優缺點。我們首先對 J2ME 的基本概念和優點作簡單概述。接下來,我們將深入研究基於 J2ME 的應用程序相對於其它無線備選應用程序(如 WAP 和本機應用程序)的潛在安全性優點。我們將說明當前在 J2ME 平台上可用的應用程序安全性模型,以及該平台對於一些可預料未來趨勢的適用性。作為討論的一部分,我們將提出一些增強 J2ME 應用程序的網絡和數據安全性的可能方法。在結束部分,我們將總結使用 J2ME 技術開發用於最小型無線設備的高級安全應用程序的可行性。在整篇文章中,我們將主要集中討論當前的和即將出台的(2.0)MIDP 規范,假定 MIDP 是最廣泛使用的 J2ME 概要文件。
因為 Web 服務承諾了在移動商業和無線安全性的發展中扮演重要角色,所以在整篇文章中,我們都將討論包含 Web 服務的技術。我們將花一些時間研究 Web 服務對您的 J2ME 開發策略的影響。但是,我們不會很深入地討論這個話題。要了解更多 Web 服務與無線應用程序編程和安全性之間的關系,請參閱 參考資料一節。
J2ME 基礎知識
將 Java 平台用於無線設備開發的最大優點是能夠生產可在多種平台上運行的可移植代碼。但即使有這個優點,各種無線設備在內存、處理能力、電池壽命、顯示屏大小和網絡帶寬等方面的能力差異還是相當大的。不可能將運行在成熟的機頂盒上的應用程序的全部功能都移植到移動電話上。即使對於類似的設備(如 PDA 和高級智能電話),在兩者間建立可移植性也常常使一種設備超負荷而另一種設備利用不充分。只能在多組類似設備之間實現真正的可移植性。因為認識到一種規格並不能適合所有設備,所以小心地設計 J2ME 以在可移植性和可用性之間取得平衡。
什麼是 Web 服務?Web 服務是具有基於因特網接口的自包含的、自我描述的、動態發現的應用程序。Web 服務由遠程方法調用驅動,這些調用是用標准的、基於 XML 的消息和編碼封裝的,如簡單對象訪問協議(Simple Object Access Protocol (SOAP))。Web 服務用 WSDL(Web 服務定義語言)定義了它們的編程接口並通過 UDDI(通用描述、發現和集成)注冊中心來發布它們本身。Web 服務在開放的因特網上通過 HTTP 協議與客戶機和其它 Web 服務通信。這種“HTTP 上的 XML”模型致力於通過在服務接口之間添加一個開放、健壯和容易被人理解的抽象層來消除它們之間的耦合。Web 服務是松散耦合、與平台無關、可重用的分布式軟件組件。它們成功的關鍵在於開放的標准和服務供應商之間的互操作性。
J2ME 分成幾種不同的配置和概要文件。 配置包含用於一系列設備的 Java 語言核心庫。當前有兩種配置:連接的設備配置(Connected Device Configuration (CDC))被設計用於相對較大和功能強大的設備(如高端 PDA、機頂盒與網絡設備);有限連接設備配置(Connected Limited Device Configuration (CLDC))被設計用於小型的資源有限的設備(如移動電話和低端 PDA)。CDC 的安全性、計算能力和 I/O 功能比 CLDC 高級得多。
每個配置上面都有幾個概要文件。 概要文件定義了更高級的、特定於設備的 API 庫,包括 GUI、聯網和持久存儲 API。每個概要文件有自己的運行時環境並適合於一系列類似的設備。為一個特定概要文件編寫的 Java 應用程序可以在由該概要文件支持的所有硬件/OS 平台之間進行移植。移動信息設備概要文件(Mobile Information Device Profile (MIDP))和 PDA 概要文件(PDA Profile)是 CLDC 的兩個比較重要的概要文件。基礎概要文件(Foundation Profile)和個人概要文件(Personal Profile)是 CDC 的兩個重要的概要文件。
個人概要文件構建在基礎概要文件之上,以便在高端 PDA 上運行。個人概要文件配置了完全兼容 Java 2 的虛擬機實現。個人概要文件應用程序可以利用所有基於 Java 2 標准版(J2SE)域的安全性管理器,以及大量可用於 J2SE 應用程序的密碼術和安全性庫。總之,個人概要文件提供了成熟的安全性解決方案,它們類似於用於 J2SE 應用程序的那些解決方案。(要了解更多關於 J2SE 安全性的內容,請參閱 參考資料一節。)
實現安全 MIDP 應用程序要困難得多,因為 CLDC 配置的數學計算能力有限並且許多底層設備的處理能力不足。但是,MIDP 設備是使用最廣泛的無線設備,因此在那些設備上啟用安全應用程序很重要。在本文中,我們主要集中討論 MIDP 應用程序的安全性挑戰以及當前可用的或處於開發中的解決方案。
J2ME vs. WAP
我們的經驗是,無論是在特性還是安全性方面,本機應用程序和 J2ME 應用程序都比那些以無線應用程序協議(Wireless Application Protocol (WAP))構建的應用程序提供多得多的功能。但 WAP 是一種瘦客戶機開發協議,J2ME 是一種專用於智能應用程序的開發平台。無論應用程序是用 J2ME 還是本機技術構建的,智能應用程序都比 WAP 應用程序多提供了下列安全性優點:
因為智能應用程序比 WAP 頁面能干得多,所以,運行智能應用程序確實增加了軟件崩潰和/或病毒攻擊的風險。接下來,我們將討論,與那些設備本機應用程序相比,J2ME 應用程序有哪些處理和安全性優點。
J2ME vs. 本機平台
正如我們已經提到的,與本機平台相比,Java 平台的主要優點是它允許我們編寫可移植的應用程序。Java 平台的可移植性來自其執行模型。具體地說,它是由於在運行時使用 JVM 來將 Java 字節碼處理成機器碼,因而在硬件之上提供了一個兼容性層。Java 平台的執行模型還引入了一些在設備本機應用程序中缺乏的重要安全性優點。這些優點如下:
與 WAP 和本機應用程序相比,智能的、注重可用性的設計和 Java 平台內置的執行模式賦予了 J2ME 應用程序顯著的性能和安全性優勢。但 J2ME 並不完美。在後面的一節中,我們將研究 J2ME 安全性框架的優缺點,尤其是當它應用於 MIDP 應用程序時。我們將首先研究應用程序安全性,然後繼續討論網絡和數據安全性。
字節碼驗證
正如我們已經討論的,JVM 提供了防止惡意代碼進入企業系統的服務。字節碼驗證過程保證了應用程序不能訪問內存空間或使用其域外的資源。字節碼驗證還防止應用程序重載 Java 語言核心庫,這是一種可以用來繞過其它應用程序級安全性措施的方法。
但是,由於這種操作高昂的計算開銷,MIDP VM 不在運行時執行完整的字節碼驗證。相反,應用程序開發人員必須在把應用程序部署到移動設備中之前,在開發平台或登台區域上預先驗證類。預驗證過程優化執行流,創建應用程序中包含指令目錄的堆棧映射(stackmap),然後將堆棧映射添加到經預驗證的類文件。在運行時,MIDP VM 迅速地對字節碼進行線性掃描,將每個有效的指令與合適的堆棧映射項相匹配。
因為 MIDP 缺少完整的安全性模型,所以在 MIDP 中禁用了一些 J2SE 特性以使潛在的安全性風險降到最低。例如,為了防止對核心類的非法重載,MIDP VM 不允許用戶定義的類裝入器。MIDP 也不支持 Java 本機接口(Java Native Interface (JNI))或反射(reflection)。即使適當地采取了這些安全性措施,也並非所有通過字節碼驗證的代碼都被允許運行。代碼簽名是 J2ME 應用程序安全性策略中下一個重要元素。
代碼簽名
要獲得高級移動代碼安全性的優秀示例,我們只需研究 Java applet,它使用數字簽名和安全性沙箱以確保 Web 上的代碼安全。這裡是關於 applet 安全性工作原理的簡要概述:
注:每個權限域包含一組訪問特定 API 的規則。例如,不允許來自不太了解的來源的應用程序讀/寫本地存儲設備或建立任意網絡連接。
可以用和 Java applet 一樣的方式對基於 J2ME/CDC 的移動代碼進行簽名和傳遞。理論上,也可以用相同的方法保護 MIDP 應用程序。但是,由於處理能力和內存有限,MIDP 1.0 規范中還不可以使用基於域的安全性管理器。當前的 MIDP VM 只能提供最小的安全性沙箱。例如,MIDlet 套件只能訪問它自己創建的持久記錄存儲。
即將出台的 MIDP 2.0 規范將需要對域安全性模型的支持,包括基於域的安全性管理器、應用程序代碼簽名和數字證書驗證功能。為了更好地支持安全移動代碼保障,MIDP 2.0 還將正式包含無線下載(OTA)保障規范。MIDP 2.0 OTA 規范描述了誰擁有安裝和刪除無線應用程序的權限;什麼操作必須由用戶確認以及哪些操作可以自動完成;必須向用戶提供哪些警告;以及當更新應用程序時可以共享哪些數據。
網絡與數據安全性
可以通過建立點對點安全連接來保證網絡與數據安全性。象 SSL/TLS(安全套接字層/傳輸層安全性 ― 以後簡稱為 SSL)這樣的安全性協議允許我們在因特網主機之間打開安全套接字。在連接握手時,SSL 利用公鑰算法和數字證書在素不相識的各方之間建立信任並交換當前會話的私鑰。於是,SSL 通信各方使用快速的私鑰算法來加密和解密通信數據。SSL 協議支持認證、數據完整性和機密性。在電子商業應用程序中,基於 SSL 的安全 HTTP(HTTPS)已經成為傳輸敏感數據的標准協議。
J2SE 以其通用連接框架(Generic Connection Framework)提供對 HTTPS 的優秀的和透明的支持。所有 J2ME/CDC 應用程序都有權訪問 HTTPS 功能,但在 MIDP 1.0 規范中並不正式需要 HTTPS 支持。考慮到 HTTPS 在移動商業中顯而易見的重要性,許多 MIDP 設備供應商已經將對 HTTPS 的支持添加到它們自己的 MIDP 運行時實現中。Sun Microsystems 也在其 J2ME Wireless Toolkit 版本 1.0.2 及後續版本中添加了 HTTPS 支持。在即將出台的 MIDP 2.0 規范中,HTTPS 支持將成為正式需求。
保護內容而非連接
盡管 HTTPS/SSL 協議非常流行而且功能又很強大,但它們原本是為有線因特網領域設計的。當我們開始將 SSL 應用於新一代動態無線應用程序時,會出現許多嚴重問題,如下所示:
當移動商業網絡擴展時,目前出現的與 SSL 有關的問題只會變得更嚴重。為了解決這些問題,我們需要一種具有靈活加密方案的端到端安全性模型以滿足一系列不同的需求。我們需要關注保護內容而非連接。我們將通過研究幾種很有前途的(用於實現端到端無線安全性的)內容格式、安全性協議和工具來結束這個討論。
XML 優點
J2ME 應用程序可以在 HTTP 協議上使用 XML 數據格式與後端服務器和其它 J2ME 應用程序通信。遺憾的是,所有那些額外標記使 XML 對於有限的無線帶寬而言成為一種相當龐大的格式。盡管如此,XML 還是提供了一些很重要的優點。XML 是一種非常健壯的、易於理解的消息格式。這也是為新一代開放、可互操作的 Web 服務所選的通信數據格式。因此,使用 J2ME 的無線設備必須有處理 XML 的能力,以便訪問 Web 服務的世界。此時,使用 XML 的優點遠勝於其帶寬開銷。
在基於 MIDP 的應用程序上支持 XML 很困難,因為 CLDC 基類中的字符串功能很有限。幸運的是,MIDP 應用程序已有幾個第三方的、輕量級 XML 解析器可以使用。kXML 包(由 Enhydra 開發)提供了用於 XML 的簡單 API(Simple API for XML (SAX))和有限的文檔對象模型(Document Object Model (DOM))能力。kXML 包還包含一種稱為 kSOAP 的特殊實用程序,用於為 Web 服務解析 SOAP 消息。原本計劃將內置輕量級 XML 解析支持用於 MIDP 2.0 規范,但最近更改了這一計劃。JSR 118 專家組已經決定在即將出台的 JSR 172 J2ME Web 服務規范(請參閱 參考資料)中包含 XML 解析支持,該規范還將包含用於 CDC 和 CLDC 應用程序的基於 XML 的遠程過程調用(RPC)。
通過安全 XML 保護內容
XML 是我們為 J2ME 無線應用程序和後端服務之間的數據通信所選的格式。為了提供端到端安全性,我們需要確保 XML 文檔的安全。因此,我們需要特殊的 XML 標准以將安全性元信息與單個文檔相關聯。
已提出了幾個 XML 安全性協議以在 XML 應用程序中支持通信數據安全性。其中有下列協議:
安全性斷言標記語言(Security Assertion Markup Language (SAML))是以 XML 消息傳輸認證和授權信息的協議。它可以用來提供單點登錄 Web 服務。所有上述安全性協議都可以綁定到 Web 服務消息傳遞協議。例如,我們可以將 SAML 段嵌入到 SOAP 消息頭中來認證和授權對所請求服務的訪問。我們也可以將 XML 數字簽名段嵌入到 SOAP 頭以認證消息中的信用卡號。
因為缺乏 XML 和密碼 API,當前的 MIDP 1.0 規范不支持安全 XML 標准。實際上,甚至 MIDP 2.0 也將不包含通用密碼 API。這使得開發人員只能依靠第三方庫(如 Bouncy Castle 輕量級密碼術包)以在 MIDP 應用程序中支持安全 XML。對於 CDC 和 CLDC 設備,JSR 177 提出了使用 SIM 卡的用於安全性和信任服務的 API。加上 SAML 或 WS-Security,新 API 就能夠支持自動標識和單點登錄 Web 服務了。
結束語
盡管情況復雜,我們還是可以得出結論,與 WAP 和本機應用程序開發方式相比,J2ME 確實提供了許多優點,包括安全性優點。在高端,CDC 的個人概要文件將 J2SE 的全部功能賦予無線應用程序,在大多數情況下包括在嚴格的安全性需求下實現成熟的應用程序的能力。
在安全性 API 方面,當前的 MIDP 1.0 規范沒有提供足夠的支持。但在第三方庫和供應商支持的幫助下,我們發現可以用 MIDP 1.0 來實現安全應用程序。而且,正如我們所見,即將出台的 MIDP 2.0 規范承諾提供一套核心安全性 API,這些 API 應該允許我們創建具有更高級和靈活安全性特性的移動商業應用程序。
當開發移動商業應用程序時,要考慮的最重要的因素之一是它們將如何適應 Web 服務域。Web 服務技術正在迅速發展,整個因特網領域也隨之發展。我們已經花了一些時間討論應用於基於 J2ME 的應用程序開發的 Web 服務技術。我們鼓勵您從 參考資料一節中的一些參考資料開始,深入研究這個主題。
