4 移动应用系统的安全
采用SOA 架构的移动应用系统必须保证服务端Web Service 服务接口的访问安全[13]。比较简单的处理方法是应用在访问其他服务接口之前,先调用一个用于用户验证的方法,通过验证后返回一个服务器、客户端双方约定的特征码,以后在调用其他接口方法时均将该特征码作为参数传递,如果服务接口中无法接收到约定的特征码,则调用失败。该处理方法的缺点也比较明显,一是特征码变化时服务端、客户端代码都需调整,维护代价大,另外特征码含在交互数据中明文传输,截获后容易被破解。
安全机制的第二个处理方式是服务端采用Web 服务器的用户验证,例如BASIC 验证,主流智能手机平台处理HTTP 协议的API 均支持BASIC 验证,由此保证服务端的服务接口只有授权用户才能访问。但由于BASIC 验证数据采用BASE64 加密,当数据被截获后也容易破解,如果能在服务端配合SSL 证书采用HTTPS 协议代替HTTP协议进行传输,则能保证Web Service 的安全,而且由于数据加密位于传输层,程序中不需对HTTPS 做额外的处理。
另外,Web Service 还可以通过Web Service 安全规范(WS-Security[14])实现SOAP消息层的数据加密,保证数据的一致性和安全性。其基本原理是通过扩展SOAP 数据,在其中附加加密后的用户验证信息,使数据即使被截获也无法破解。其缺点是性能会受到影响,而且程序中需要增加对加密的数据进行处理的代码,有额外的开销。
5 结束语
基于Web Service 的C/S 模式的智能手机应用系统以各自操作系统具备对XML数据处理的机制为基础,能充分发挥各种手机平台的特点,界面美观,操作方便,在移动应用系统开发中占据重要的地位。随着今后智能手机功能更加强大、价格下降并日益普及,移动应用系统特别是基于智能手机的移动应用系统必将成为应用开发的热点。
|
