大連財經(jīng)學院管理系，遼寧 大連 116622

1 研究背景

當今移動設(shè)備應(yīng)用開發(fā)市場日益繁榮。隨著大數(shù)據(jù)、物聯(lián)網(wǎng)概念與移動應(yīng)用開發(fā)的不斷融合，基于位置的服務(wù)（Location Based Services）成為移動應(yīng)用開發(fā)的熱點。究其原因，首先，使用Google Map API、Baidu Map API 等類庫開發(fā)的移動應(yīng)用，能夠給用戶提供在線地圖、實時交通、路線規(guī)劃、周邊服務(wù)等實用信息；其次，通過上述API 的定位功能，移動應(yīng)用能夠記錄用戶的時空位置，從而為大數(shù)據(jù)應(yīng)用提供數(shù)據(jù)源，成為數(shù)據(jù)分析的金礦；最后，用戶雙方位置信息的交互，能夠滿足用戶的交流需求。

本文即研究用戶雙方移動設(shè)備位置信息的交互方式。對于當前的移動設(shè)備來說，其是不能夠直接以點對點的方式交換位置信息的。解決的方案是在兩個移動設(shè)備間加入一個中間層，作為信息交互的中介。移動設(shè)備A 發(fā)送位置信息給中間層，移動設(shè)備B 再從中間層獲取A 的位置信息。這個中間層通常由網(wǎng)絡(luò)服務(wù)器來完成，其優(yōu)點在于：一、當前移動設(shè)備均可以通過標準的網(wǎng)絡(luò)協(xié)議訪問網(wǎng)絡(luò)服務(wù)器。二、網(wǎng)絡(luò)服務(wù)器可以提供大的帶寬，可以同時滿足大數(shù)量的移動設(shè)備來進行位置信息的交互。

在網(wǎng)絡(luò)服務(wù)器上運行的服務(wù)程序，其實現(xiàn)方式主要由兩種：基于傳輸層的、使用編譯型語言開發(fā)與基于應(yīng)用層的、使用解釋型語言開發(fā)。第一種方式通常用C/C++等語言開發(fā)，實現(xiàn)復(fù)雜，開發(fā)周期長；第二種方式使用PHP、JSP 等語言開發(fā)，實現(xiàn)簡單，能夠做到快速開發(fā)。

在用戶進行位置信息交互的過程中，必須考慮信息安全，即用戶雙方的位置信息在信息交互過程中及交互結(jié)束后不被第三方所得知。一種傳統(tǒng)的位置信息交互方式是，用戶需首先在網(wǎng)絡(luò)服務(wù)器上注冊用戶名與密碼，用戶在交互信息前必須登錄系統(tǒng)，并互相認證為好友，才可以進行位置交互，一個用戶有好友列表，可以看到多個好友位置。這種方式一是實現(xiàn)較復(fù)雜，二是依然存在著信息安全隱患。假定甲乙兩人互相認證為好友，乙丙兩人互相認證為好友，在某時乙運行軟件希望與丙交互位置，而又不希望被甲得知自己的位置，上述交互方式就無法辦到。因此，位置信息交互雙方間應(yīng)該有一個點對點且經(jīng)過驗證的交互方式。本文僅研究用戶點對點間的信息安全的交互方式，不涉及單個用戶與多個用戶同時交互位置的情況，而本文所提出的方式，可以很容易應(yīng)用在多用戶相互定位系統(tǒng)上，即在多用戶相互定位系統(tǒng)中，每兩個用戶間使用該方式。

另外，對于移動設(shè)備位置信息的獲取方式及精確度，需要在本文中做一提及。當前移動設(shè)備位置信息的獲取方式有三種：通過GPS 定位、通過Wi-Fi 定位與通過手機基站信號定位。GPS 定位的理論精度在30m 左右，但定位時間慢，對移動設(shè)備耗電較高，且戶外的效果好于室內(nèi)。Wi-Fi 定位的理論精度在30m～200m，實際測試精度基本相當于GPS 定位，但使用時必須有Wi-Fi 環(huán)境。手機基站信號定位的理論精度在100m～300m，實際測試精度也與GPS 定位與Wi-Fi 定位相差較大，但好處是不需要特殊環(huán)境，隨時可用。用戶相互定位的典型應(yīng)用方式應(yīng)是使用手機基站信號定位，其定位精度基本滿足需要，因此，開發(fā)出用戶使用移動設(shè)備相互定位的軟件系統(tǒng)也是實用可行的。

2 移動設(shè)備位置信息交互方式的具體實現(xiàn)

兩臺移動設(shè)備要進行位置信息交互，就需要把每臺移動設(shè)備的位置信息，即緯度、經(jīng)度，上傳并保存在網(wǎng)絡(luò)服務(wù)器中供另一方下載。本文所提出的交互方式使用一個數(shù)據(jù)庫表來保存信息，緯度與經(jīng)度作為數(shù)據(jù)庫表的兩個字段。為區(qū)別每臺移動設(shè)備的位置信息，移動設(shè)備的唯一標識，如手機號碼，也作為表的一個字段。

本文所提出的交互方式使用三種措施來保證信息安全：一、雙方唯一標識（如手機號碼）的驗證。二、雙方相互約定的密鑰的驗證。三、一方請求時間與另一方信息更新時間的驗證。兩方的手機進行位置信息交互時，每一方都向網(wǎng)絡(luò)服務(wù)器請求另一方的位置。運行于網(wǎng)絡(luò)服務(wù)器上的程序判斷該請求是否通過上述三種驗證，如通過驗證，則返回請求的位置信息，如未通過驗證，則返回相應(yīng)的描述性代碼。

為實現(xiàn)以上三種驗證措施，網(wǎng)絡(luò)服務(wù)器上的數(shù)據(jù)庫表，需設(shè)計成表1所示的結(jié)構(gòu)，包含本機標識、對方標識、本機緯度、本機經(jīng)度、會話密鑰、記錄更新時間六個字段。表1中還包含了兩條樣例記錄，以便下文解釋本交互方式的實現(xiàn)，并且以典型的移動設(shè)備—智能手機為例(見表1)。

假定進行位置信息交互的用戶為A、B，雙方進行位置信息交互時均需在智能手機上運行實現(xiàn)本文所提出方式的軟件。在開始雙方位置信息交互前，軟件要求用戶A 輸入本機號碼A、對方號碼B 以及雙方約定的會話密鑰。然后即開始兩個過程：一個過程是向網(wǎng)絡(luò)服務(wù)器上傳本機號碼A、對方號碼B、本機緯度A、本機經(jīng)度A、A 輸入的密鑰A，即上傳本機位置信息過程，網(wǎng)絡(luò)服務(wù)器在收到A 的位置信息時，如存在字段 “本機標識”為號碼A 的記錄，則使用收到的信息更新該記錄，并且將該記錄的“記錄更新時間”更改為收到位置信息的時間（更新時間A）；如不存在字段 “本機標識”為號碼A 的記錄，則新建一條記錄并將收到的信息保存，且保存“記錄更新時間”信息（更新時間A）。另一個過程是向網(wǎng)絡(luò)服務(wù)器請求“本機標識”為號碼B 的位置信息，即下載對方位置信息過程。軟件每隔一段時間都要進行上傳本機位置信息過程以更新服務(wù)器端數(shù)據(jù)庫表里的數(shù)據(jù)，并且每隔一段時間都要進行下載對方位置信息過程。當本機軟件退出時，本機的以上兩執(zhí)行過程也隨之終止。

表1

圖1

對于用戶B 來說，軟件也要求用戶B 輸入本機號碼B，對方號碼A 及雙方約定的會話密鑰。上傳本機位置信息過程會上傳本機號碼B、對方號碼A、本機緯度B、本機緯度A，B 輸入的密鑰B。下載對方位置信息過程會向網(wǎng)絡(luò)服務(wù)器請求“本機標識”為號碼A 的位置信息。

整體的位置信息交互過程如圖1所示。

以上上傳本機位置信息過程不需要服務(wù)器程序進行驗證，而請求對方位置信息需要經(jīng)過服務(wù)器程序驗證。服務(wù)器端三種驗證詳細描述如下：

1）雙方唯一標識的認證，是為了確保信息只在相互要求進行位置信息交互的雙方間進行傳遞。當用戶A 請求B 的位置信息時，服務(wù)器程序首先在數(shù)據(jù)庫表中尋找“本機標識”為號碼B 的記錄，如存在該記錄，則再檢查該記錄的“對方標識”是否為號碼A。當且僅當上述兩個條件均滿足時，才可認為通過對雙方唯一標識的驗證。同樣，在用戶B 請求A 的位置信息時也要經(jīng)過該驗證。但是，僅有該驗證并不能確保信息安全，如用戶C 在軟件要求輸入本機號碼、對方號碼時將號碼A 和號碼B 輸入，以將自己偽造成用戶A 來獲取B 的位置信息。因此需要有附加方式來確保信息安全，本文提出下面的密鑰方式。

2）雙方相互約定的密鑰的驗證，需要雙方在進行位置信息交互前通過打電話、發(fā)短信等方式約定一個共同的密鑰。當用戶A 請求B 的位置信息時，服務(wù)器程序判斷“本機號碼”為號碼A 的記錄的“會話密鑰”密鑰A 是否與“本機號碼”為號碼B 的記錄的“會話密鑰”密鑰B 相同。如相同，則通過該驗證。在上傳本機位置信息過程的具體實現(xiàn)中，雙方約定密鑰是以密文形式上傳并保存的，如MD5 碼形式。

3）一方請求時間與另一方信息更新時間的驗證，在以上兩種驗證的基礎(chǔ)上，為用戶提供更多的信息安全保護。當用戶A 請求B 的位置信息時，服務(wù)器程序計算請求時間與“本機號碼”為號碼B 的記錄的“記錄更新時間”更新時間B 的時間差，如小于某個閾值，則通過該驗證。該驗證確保了位置信息交互中的一方軟件退出時，即上傳本機位置過程停止時，另一方會很快得到對方退出的信息，并且提高了安全性，避免了以下情況：①用戶A 與用戶B 發(fā)起了一次成功的位置信息交互，交互后用戶A 的軟件忘記退出，用戶B 軟件退出了。過了一段時間后，在用戶A 不希望泄露位置信息時用戶B 卻可以再次運行軟件得到A 的位置信息。②用戶C 得知了用戶A、B 的號碼及某次交互的雙方約定密鑰，通過偽造身份，在A、B 間某次交互的若干時間之后得到A、B 的最后位置信息。

如對對方位置信息的請求通過了上述三個驗證，服務(wù)器端程序?qū)⒎祷貙Ψ轿恢眯畔⒔o請求方。雙方軟件均上傳己方位置信息，請求對方位置信息并獲得對方位置信息，從而實現(xiàn)了雙方位置信息的交互。

3 結(jié)語

本文描述了一種信息安全、實現(xiàn)簡單的移動設(shè)備位置信息交互方式。該方案已在移動設(shè)備為Android 手機，服務(wù)器端為PHP + MySQL 的系統(tǒng)中實現(xiàn)。本交互方式在系統(tǒng)實現(xiàn)簡單的情況下確保了安全性。正如前文所述，本交互方式是點對點的，但可以被很容易的應(yīng)用在多用戶位置信息交互系統(tǒng)中。因此，希望本文所做的工作能成為后續(xù)研究工作的基石。