WAP (Wireless Application Protocol)

• Kurzinfo
• Erläuterung
• Fazit
• Literatur
• Autor & Copyright

Kurzinfo WAP (Wireless Application Protocol) befindet sich im Brennpunkt zweier Kommunikationstechnologien mit immensem Wachstumspotential und soll diese vereinen: Internetapplikationen und Mobilfunktechniken.

Erläuterung

Seit Verabschiedung der ersten WAP-Spezifikation 1.0 durch das WAP-Forum im April 1998 hat das Internet mit seinen Chancen Chancen und Herausforderungen auch im Bereich der Mobilkommunikation neue Möglichkeiten sowohl im kommerziellen als auch im privaten Umfeld eröffnet.

Im Unterschied zum Internet, das für die zuverlässige und breitbandige Kommunikation zwischen leistungsfähigen Großrechnern, Workstations und PCs konzipiert wurde, unterliegen Endgeräte auf dem Massenmarkt im Mobilfunksektor starken kommerziellen Randbedingungen (low-end devices), d.h., sie verfügen über weniger leistungsstarke CPUs, geringere Speicherkapazitäten, niedrigeren Stromverbrauch und kleinere Displays. Darüber hinaus besitzen Mobilfunknetze bedingt durch frequenzbedingte Einschränkungen und Mobilität der Teilnehmer eine geringere Bandbreite, größere Kommunikationsverzögerungen sowie eine geringere Stabilität und Verfügbarkeit aus Sicht der Teilnehmerverbindungen.

WAP spezifiziert aus diesem Grund ein Anwendungsframework und optimierte Protokolle für die Kommunikation von mobilen Endgeräten, wie z.B. Telefonhandys, digitale Assistenten (PDA: Personal Digital Assistant), Laptops oder intelligente Telematikgeräte im Kfz-Umfeld mit Web-Servern im Internet. Hauptziele der zentral koordinierten WAP-Standardisierung durch das WAP-Forum sind:

• Definition und Spezifikation einer globalen Protokollarchitektur, die unabhängig von den Netztechniken existierender digitaler Mobilfunksysteme den Internetzugang eröffnet;
• Realisierung von Zugriffstechniken und Anwendungen, die auf die Bedürfnisse und Eigenschaften mobiler Endgeräte und ihrer Benutzer zugeschnitten sind;
• Integration und Erweiterung von existierenden Standards so weit wie möglich;
• Interoperabilität zwischen Endgeräten unterschiedlicher Hersteller und Basisdiensten der verschiedenen Mobilfunkstandards;
• Skalierbarkeit und Anpassbarkeit des Dienstportfolios der Netzbetreiber an Kundenwünsche;
• Garantie der geforderten Kommunikationsmerkmale im Bereich von Dienstgüte (QoS: Quality of Service), Zuverlässigkeit und Sicherheit.

Nachfolgend werden die wichtigsten Komponenten der WAP-Protokoll-Architektur auf Basis des derzeitigen WAP-Standards 1.1 und einige zusätzliche Merkmale der ab Herbst 2000 geplanten Erweiterung 1.2 vorgestellt.

WAP-Protokollarchitektur

Ein wesentliches Merkmal von WAP ist die Bereitstellung einer skalierbaren und erweiterbaren Anwendungs- und Kommunikationsinfrastruktur zur Unterstützung mobiler Kommunikationsgeräte.

Dies wird durch die hierarchisch geschichtete WAP-Protokollarchitektur gewährleistet, die in Abb. 1 dem WWW-Protokollstack des Internet gegenübergestellt ist. Jede horizontale WAP-Protokollschicht ist im Vergleich zu den Internetprotokollen auf die Bedürfnisse der mobilen Endgeräte mit den oben beschriebenen Ressourcenbeschränkungen angepasst und optimiert. Je nach Anwendung können einzelne Kommunikationsmerkmale über Schnittstellen und vertikale Dienstprotokolle aktiviert und überwacht werden.

Wireless Application Environment (WAE)

WAE stellt eine allgemeine Anwendungsumgebung bereit und integriert sowohl WWW-Datendienste als auch Mobiltelefonsprachdienste. Primäres Ziel ist die effiziente Unterstützung von Netzbetreibern und Dienstanbietern unter Berücksichtigung der heterogenen Vielfalt möglicher Endgeräte. Ermöglicht wird dies durch eine Mikrobrowser-Umgebung:

• WAE stützt sich auf ein Client/Server-Programmier- und Zugriffsmodell. Im Unterschied zum WWW erfolgt die Kommunikation zwischen mobilem Client und Web-Server indirekt über einen Proxy-Server mit Gateway-Funktionalität. Durch komprimierte Binärverschlüsselung der WML-, HTML- und XML-Beschreibungen [1] mittels Encode-/Decode-Funktionen reduziert sich die zu übertragende Datenmenge auf der Funkschnittstelle erheblich.
• Wireless Markup Language (WML) ist eine auf die Bedürfnisse mobiler Endgeräte zugeschnittene Seitenbeschreibungssprache und als XML-Dokumententyp spezifiziert. WML basiert auf einem Card-/Deck-Paradigma, d.h., ein Deck besteht aus einer Menge von Cards, die alle gleichzeitig in das mobile Endgerät geladen werden. Auf einzelne Cards kann danach unmittelbar mittels Browsen ohne Belastung der Funkschnittstelle zugegriffen werden.
• WMLSkript ist eine leichtgewichtige, prozedurale Skriptsprache und eine angepasste Teilmenge von ECMASkript [2], das auf JavaScript [3] aufbaut. WMLSkript ermöglicht u.a. die Validierung von Benutzereingaben, den Zugriff auf spezielle Gerätefunktionen oder Benutzerinteraktionen ohne netzbedingte Verzögerungen. WMLSkript kann analog WML in einen speicheroptimierten Bytecode übersetzt werden, was für den WAP-Client transparent bleibt.
• Der WAE User Agent ist eine Client-seitige geräteabhängige Benutzerumgebung, die auf der Basis von URLs (Uniform Resource Locators) Daten aus dem Netz übernimmt, den Inhalt anwendungsspezifisch interpretiert und entsprechend darstellt. Beispiele sind der WTA (Wireless Telephony Application) User Agent zur Unterstützung telefonspezifischer Aufgaben, wie z.B. Rufkontrolle, und Web-Browser für den Zugriff auf Internetdaten.
• Eine effiziente Datencodierung (Content Encoding) reduziert den Kommunikationsaufwand. Komprimierte Inhaltstypen (Content Types) existieren u.a. für WML, WMLSkript, verschiedene Grafikformate, Visitenkarten und Kalenderaustauschformate.

Wireless Session Protocol (WSP)

Je nach Anwendung bietet WSP einen verbindungsorientierten Netzzugriff unter Verwendung von WTP und einen Datagrammdienst mit Hilfe von WDP. Wesentliche Charakteristika:

• Bereitstellung konsistenter Zustandsinformationen zwischen Client und Server für die optimierte Übertragung von Seiteninhalten;
• Semantik und Transportmechanismen basieren auf HTTP 1.1 [4];
• Verhandeln von Capabilities (Protocol Feature Negotiation) während des Verbindungsaufbaus:
  • Nachrichtenlängen von Client und Server,
  • Protokolloptionen: bestätigter und unbestätigter Push-Dienst, Suspend/Resume einer Sitzung,
  • maximale Anzahl ausstehender Anfragen;
• Unterstützung von Multibearer-Endgeräten (Suspend/Resume ermöglicht die effiziente Freigabe nicht genutzter Bearer-Ressourcen).

Wireless Transaction Protocol (WTP)

WTP stellt einen leichtgewichtigen Transaktionsdienst zur Verfügung, der an ressourcenarme Mobilstationen („thin" clients) angepasst ist und auf WDP aufsetzt. Zu den Diensten zählen u.a.

• synchrone Transaktionsklassen: unzuverlässiger 1-Weg-Request, zuverlässiger 1-Weg-Request und bestätigter 2-Wege-Request/Reply;
• optionale Endezu-Ende-Bestätigung (Userto-User Reliability) durch getriggerte Bestätigungsmeldungen für jede empfangene Nachricht;
• Zusammenfassung mehrerer Protokolldateneinheiten und gezielte Verzögerung von Bestätigungsmeldungen zur Reduzierung der Nachrichtenanzahl;
• parallele Kommunikation durch asynchrone Transaktionen, die unmittelbar nacheinander im Client initiiert werden, wobei Ergebnismeldungen in beliebiger Reihenfolge eintreffen dürfen.

Wireless Transport Layer Security (WTLS)

WTLS dient der Sicherung von schutzwürdigen Daten über unsichere Netzinfrastrukturen, zur Authentifizierung von Teilnehmern, z.B. beim Austausch von Visitenkarten, und zur Verhinderung von „Denial-of-Service"-Angriffen durch Detektion und Abweisung von Nachrichten, die sich als nicht ausreichend verifizierbar erweisen.

WTLS verwendet zur Erfüllung seiner Aufgaben Funktionen und Protokollelemente des Internetstandards TLS [5], wie z.B. kryptographische Verschlüsselungsalgorithmen auf Basis von öffentlichen Schlüsseln. In Abhängigkeit von den Sicherheitsvorgaben können Anwendungen selektiv Sicherungsdienste hinzunehmen oder deaktivieren. Beispielsweise unterstützt WAE die Authentifizierung zwischen WAP-Client und -Server mittels Benutzername-/Passwort-Abfrage, die unter WSP und HTTP 1.1 bereitgestellt wird.

Wireless Datagram Protocol (WDP)

WDP stellt den höheren WAP-Protokollen einen Datagrammdienst zur Verfügung und dient gleichzeitig als Schnittstelle zu den darunter liegenden Trägerdiensten (Bearer Services), die nicht mehr durch WAP-Spezifikationen definiert sind. WDP gewährleistet durch Konvergenzfunktionen die Anpassung der Transportschicht an die bereitgestellten Trägerdienste und somit die funktionelle Unabhängigkeit der höheren WAP-Schichten von dem eigentlichen Mobilfunknetz. Nach Möglichkeit sollen vorhandene Protokolle direkt übernommen werden, wie z.B. UDP (User Datagram Protocol), wenn WDP auf IP (Internet Protocol) aufsetzt.

Trägerdienste

Die WAP-Architektur ist so konzipiert, dass WAP-Anwendungen über verschiedenste Mobilfunknetze mit unterschiedlichster Dienstgüte (QoS: Quality of Service) wie Durchsatz, Fehlerrate, Verzögerungsoder Echtzeitverhalten kooperieren können. Die WAP-Protokolle sind in der Lage, die unterschiedlichen QoS-Eigenschaften der Netze zu kompensieren oder angemessen zu tolerieren. Zu den wichtigsten Trägerdiensten gehören:

• SMS (Short Message Service): GSM-Dienst mit maximal 14,4 kbps Datenübertragungsrate;
• HSCSD (High-Speed Circuit Switched Data): GSM-Kanalbündelung mit 57,6 kbps;
• EDGE (Enhanced Data Rates for GSM Evolution): 48 kbps (statt heute 22,8 kbps) Bruttodatenrate pro GSM-Kanal, bei 8 er-Kanalbündel maximal 384 kbps;
• GPRS (General Packet Radio Service): bei Nutzung von 8 Zeitschlitzen maximal 171,2 kbps mit Unterstützung von 4 QoS-Klassen; Mobilteilnehmer ist immer „online" mit dem Internet verbunden, d.h., es entfallen Verbindungsaufbauzeiten;
• UMTS (Universal Mobile Telecommunication System): Je nach Anwendung und Mobilität liegt die Datenrate zwischen 144 kbps (Großzellen, mobiler Teilnehmer) und 2 Mbps (Kleinzellen, quasistationärer Teilnehmer).

Fazit

Vieles spricht dafür, dass sich WAP-Applikationen in vielen Bereichen des öffentlichen und privaten Lebens in relativ kurzer Zeit etablieren können. Beispiele dafür sind der Zugriff auf behördliche Informationssysteme (Einwohnermeldeamt, Katasteramt, Arbeitsamt, Finanzamt usw.), Cityinformationssysteme, Positionierungs- oder Routenplanungssysteme, Kfz-Telematikdienste, elektronisch unterstütztes Einkaufen und Reisen, intelligente Haushaltskomponenten oder medizinische Überwachungsassistenten.

Gerade das letzte Beispiel verdeutlicht aber auch weiteren Forschungsbedarf auf den Problemfeldern Sicherheit, Dienstgüte und garantiertes Echtzeitverhalten. Insbesondere mit Bluetooth [6], dem Defacto-Standard für den Massenmarkt der peripheren Endgeräte und PDAs im frei zugänglichen 2,4-GHzISM-Band (Industry, Science, Medicine), der auch als als möglicher WAP-Bearer gehandelt wird, gewinnen diese Fragestellungen zunehmend an Bedeutung.

Weitere aktuelle Informationen und detaillierte WAP-Spezifikationen, die in diesem Beitrag nur kurz angerissen sind, finden sich unter [7] und [8].

                   Artikelanfang   Seitenanfang

Literatur

1. Tolksdorf R.: XML und darauf basierende Standards. Die neuen Auszeichnungssprachen des Web. Informatik Spektrum 22 (6), 1999
2. Standard ECMA-262: ECMAScript Language Specification. ECMA, June 1997
3. Flanagan D.: JavaScript: The Definitive Guide. O'Reilly & Associates 1997
4. Fielding R. et al.: Hypertext Transfer Protocol – HTTP/1.1, January 1997. ftp.isi.edu/in-notes/rfc2068.txt
5. Dierks, T., Allen, C.: The TLS Protocol, January 1999.
   ftp.isi.edu/in-notes/rfc2246.txt
6. Bluetooth: www.bluetooth.com
7. WAPJAG: www.wapjag.de
8. WAP Forum: www.wapforum.org

                   Artikelanfang   Seitenanfang

Autor & Copyright
Winfried Dulz
Universität Erlangen,
Institut für Informatik,
Martensstraße 3,
D-91058 Erlangen
dulz@informatik.uni-erlangen.de

© 2000 Informatik Spektrum, Springer-Verlag Berlin Heidelberg

                   Artikelanfang   Seitenanfang

Web Mining

• Kurzinfo
• Erläuterung
• Fazit
• Literatur
• Autor & Copyright

Kurzinfo Web Mining ist die Übertragung von Data-Mining-Techniken auf Datenmaterial, das im Zusammenhang mit Prozessen im Internet gesammelt wird.

Erläuterung

Schon vor vielen Jahren ist eine der unangenehmen Auswirkungen des Informationszeitalters in den EDV-Abteilungen und Rechenzentren sichtbar geworden.

Euphorisch über die neuen technischen Möglichkeiten der Datenverarbeitung wurden und werden immer mehr und immer detailliertere Informationen gespeichert. Die Folge ist unübersichtliches, inkonsistentes und hochgradig redundantes Datenmaterial, dem schon bei einfachen Fragestellungen kaum eine Antwort zu entlocken ist.

Ein Datawarehouse [1] kann in diesem Fall helfen, Ordnung in die Daten zu bringen. In einem Datawarehouse werden alle operativen Datenquellen, die meist heterogen und von sehr unterschiedlicher Qualität sind, zusammengeführt, um sie unternehmensweit und für zukünftige Ansprüche skalierbar zur Verfügung zu stellen. Auch im Falle des Web Minings muss die Datenhaltung, die auch als Data Webhouse bezeichnet werden kann, an die neuen Anforderungen angepasst sein [2].

Auf diesen kumulierten Daten kann anschließend mit Data Mining [3] nach Antworten auf nicht gestellte Fragen gesucht werden. Data Mining bezeichnet den Prozess, der automatisch vorher unbekannte, interessante und interpretierbare Zusammenhänge in großen Datenmengen zu finden vermag. Data Mining ist stets im Kontext von Wissensentdeckung zu sehen (Knowledge Discovery in Databases, KDD), welche den gesamten Prozessablauf bezeichnet, der im Wesentlichen aus Datenaufbereitung, Data Mining und Interpretation der Ergebnisse besteht. Übertragen auf Web Mining wird der Prozess mit „Web KDD" [4, 5] bezeichnet.

Spuren im Datensand

Durch die rasante Entwicklung des Internets, insbesondere im kommerziellen Sektor, fallen zunehmend auch umfangreiche Daten aus der Benutzung von Internetdiensten an. Dazu zählen primär die Protokolldateien der Web-Server, die Informationen über die angeforderten Inhalte und auch über denjenigen speichern, der sie angefordert hat. Auf diese Weise hinterlässt jeder Internet-Anwender seine Spur in Form von Seitenanfragen (Hits) in den entsprechenden Protokolldateien (Hitlog). Eine weitere Datenquelle ergibt sich, wenn sich der Internetbenutzer aus seiner Anonymität heraus bewegt und sich innerhalb eines Internetdienstes als Person zu erkennen gibt (Name, Anschrift usw.). Navigiert er zudem noch in einem zusammenhängendem WebAuftritt (z.B. ein e-Commerce-System), können alle Benutzeraktionen, die von dem System angeboten werden, registriert werden. Im einfachen Fall sind dies lediglich die Interaktionen des Benutzers mit der Maus (click stream) bzw. die Navigationsanfragen; sie können jedoch beliebig detailliert sein (z.B. Informationen über Suchanfragen, Bestellvorgänge, Warenkorbanwendungen, Gewinnspiele usw.).

Eine weitere wesentliche Informationsquelle, die in besonderem Maße die Verarbeitung der gesammelten Daten beeinflusst, sind Metainformationen über die zu untersuchenden Seiten. Das ist insbesondere die Topologie (Aufbau und Verbindungen) und das Wissen über die Funktionalität. Jeder Internetseite wohnt eine der Anwendung sehr spezifische Funktionalität inne und die Interaktion des Benutzers wird entscheidend von den möglichen Prozessen beeinflusst. Die in einem Auftritt möglichen Prozessabläufe sind zwar sehr individuell, jedoch liefern sie sehr detaillierte und damit sehr wertvolle Informationen.

Daten sind nicht gleich Daten

Die Datenaufbereitung spielt beim Web Mining dieselbe wichtige Rolle wie beim Data Mining. Aufgrund technischer Begebenheiten (z.B. Caching) sind die Daten zumeist unsauber. Es finden an dieser Stelle die vom Data Mining bekannten Techniken zur Verbesserung der Datenqualität Anwendung. Extremwerte und Randwertartefakte können gefiltert (Outlier/Noise-Elimination) und fehlende Werte können aufgrund von statistischer Schätzung bzw. empirisch erhobenen Werten ersetzt werden.

Da die Datenaufbereitungsschritte stets sehr stark auf die Datenquellen ausgerichtet sind, müssen beim Web Mining die internetspezifischen Umstände berücksichtigt werden, mit denen die Daten gesammelt werden. Das Internet besteht nicht nur aus international heterogenen Datenquellen, sondern auch die Benutzer können jeder Herkunft und fast jeden Alters sein. Die Überlegungen für das Data Mining von Kundendaten einer Filialbank sind auf solche Daten nicht ohne weiteres übertragbar.

Die Ziele des Web Minings können in zwei Gruppen aufgeteilt werden: Zum einen geht es darum, die einzelnen Internetseiten auf ihre Inhalte zu untersuchen (Web Content Mining), und zum anderen, das Benutzerverhalten zu erkunden (Web Usage Mining). Häufig wird noch ein zusätzlicher Bereich genannt, der sich explizit mit der Analyse der Struktur im Web befasst (Web Structure Mining). Hier wird dieses Gebiet im Zusammenhang mit Web Content Mining behandelt.

Web Content Mining

Das Internet bietet zu jedem Thema unzählige Informationen und vielfältige Dateninhalte. Web Content Mining befasst sich mit der Analyse von den im Netz befindlichen Daten. Dazu gehören textuelle und multimediale Informationen jeglichen Formats und auch die Verbindungen (Links) zu den Nachbarseiten.

Ein Ziel kann die Einteilung (Segmentierung) der Daten in thematisch zusammenhängende Bereiche sein. Hierfür können Algorithmen der automatischen Klassifikation (Clusteranalyse) herangezogen werden, wobei die Wahl der Metriken die entscheidende Rolle spielt. Die Ähnlichkeitsberechnung zweier Dokumente kann z.B. mit statistischer Gewichtung von Schlagwörtern als auch über einen aufwendig errechneten Feature-Vektor aus einer linguistischen Analyse erfolgen. Hierbei werden zumeist die partitionierenden den hierarchischen Verfahren vorgezogen, da die Distanzberechnungen hierarchischer Verfahren sehr schnell an Komplexitätsgrenzen stoßen [6].

Auch die Untersuchung der Verbindungen der Seiten untereinander kann helfen, die inhaltliche Verwandtschaft von Webseiten abzuleiten. Dem Entwickler der Webseiten darf unterstellt werden, dass sich sein Wissen über semantische Zusammenhänge zweier Seiten in den entsprechenden Verbindungen ausdrückt. Von Wang und Liu [7] werden Ansätze beschrieben, die das Web als gerichteten Graph modellieren, wobei die Dokumente auf die Knoten und die Links auf die Kanten abgebildet werden. Mittels Graphentransformationen und Bewertung wird nach Mustern in der Struktur des Webs gesucht, die auch Aussagen über den Inhalt der vernetzten Dokumente zulassen.

Neben der Klassifikation von Webseiten aufgrund des Textinhaltes können auch die Ergebnisse der Klassifikation der „Nachbardokumente" herangezogen werden [8]. Als Techniken werden sowohl klassische statistische Verfahren (K-Nächste-Nachbarn, Diskriminanzanalyse) als auch Verfahren des maschinellen Lernens eingesetzt (künstliche neuronale Netze, Entscheidungsbäume) [9].

Web Usage Mining

Die Interaktion des Benutzers mit dem Internet ist Zentrum der Fragestellungen des Web Usage Minings. Wie navigiert er durch die Netzstruktur? Welche Inhalte bewegen ihn zu welchem Handeln?

Sofern sich der Benutzer nicht freiwillig zu erkennen gibt (z.B. Benutzer-Login in eine Site), spricht man von nichtpersonalisiertem Web Mining, da der Benutzer anonym seine Seitenanfragen im Hitlog hinterlässt bzw. die Aktionen, die er auf den Seiten auslöst, keiner realen Person zugeordnet werden können. Im anderen Fall spricht man von personalisiertem Web Mining, da der Benutzer namentlich bekannt ist und sogar zusätzliche Datenquellen (z.B. demographische Daten) zur Analyse hinzugezogen werden können.

In einem ersten Schritt können durch einfache Statistiken schon wichtige Fragestellungen beantwortet werden, z.B. kann die Häufigkeit der Zugriffe auf die Seiten einen Verknüpfungsfehler der Seiten untereinander aufdecken. Das Benutzerverhalten selbst kann jedoch erst durch die Aufdeckung von Mustern innerhalb der Seitenanfragen und Aktionen aufgedeckt werden. Ein Mittel ist die Generierung von Assoziationsregeln, welche das Benutzerverhalten in sog. WENN-DANN-Regeln beschreiben (z.B. WENN Produktseite und dann zusätzliche Informationsseite, DANN zu 25 % Bestellseite). Für eine solche Regel muss die Sequenz der Seitenanfragen des Benutzers bzw. der Zeitraum, in dem sich ein Benutzer auf bestimmten Seiten navigierend bewegt (Sitzung), identifiziert werden.

Mittels z.B. dem Apriori-Algorithmus [10] werden dann alle Sequenzen von Seitenanfragen nach wiederkehrenden Teilsequenzen abgesucht. Das Ergebnis ist eine zumeist sehr große Menge von Regeln. Zu diesem Zeitpunkt der Analyse wird ein Bestandteil der Assoziationsanalyse wichtig: die Definition der Interessantheit von Regeln [6]. Insbesondere triviale Zusammenhänge können dadurch frühzeitig ausgefiltert werden. So kann z.B. via Apriori-Wahrscheinlichkeiten eine Bewertung der Navigationswege erfolgen (beispielsweise wird mit nahezu 100 % eine Sequenz von angeforderten Seiten mit einer der Einstiegsseiten beginnen).

Die generierten Regeln können wiederum Ausgangspunkt für einer Clusteranalyse sein (Hypergraph Clustering [11]), um die Relevanz und Anwendbarkeit der Regeln zu überprüfen.

Beim personalisiertem Web Usage Mining ist das Sammeln von Informationen zu einzelnen Benutzern von Interesse. Je nach Aktionsmöglichkeiten auf den Webseiten werden die Aktionen in ein Benutzerprofil abgelegt. Diese Profile sind dann wieder Gegenstand von Clusteranalysen, um Personen gleichen Interesses (Community) zu identifizieren oder auch von Klassifikationsanalysen, um neue Benutzer den bereits identifizierten Klassen zuordnen zu können. Anwendung der gewonnenen Erkenntnisse sind personalisierte dynamische Webangebote (Newsletter, Portal).

Aber auch die Verbindung der beiden Bereiche Web Usage und Web Content Mining kann zur Analyse beitragen, sie sogar teilweise erst ermöglichen. Benutzer, deren Profil ähnliche Eigenschaften aufweisen, interessieren sich für ähnliche Seiteninhalte, d.h., aufgrund des Nutzerprofils kann die semantische Verwandtschaft von Inhalten abgeleitet werden.

Meine Daten, deine Daten

Auch wenn sich die Benutzer freiwillig auf den Internetseiten bewegen, sind die Aspekte des Datenschutzes wichtiger denn je [12]. In der Anfangsphase des Internets war die Surferidentität noch nicht direkt monetär nutzbar. Nach der Kommerzialisierung des Internets sieht es anders aus: Personenbezogene Daten werden intensiv gesammelt und oft genug gegen den Willen der Benutzer weitergegeben. Eine Sensibilität für den Schutz der Daten ist also auch bei Web Mining wünschenswert.

Fazit

Web Mining ist ein Anwendungsfeld von Data-Mining-Techniken, das durch das Internet induziert wurde und mit Sicherheit zukünftig noch intensive Aktivitäten verspricht. Unterschieden werden im Wesentlichen die inhaltsgetriebenen (Web Content Mining) und die verhaltensgetriebenen Analysen (Web Usage Mining). Es finden auf die Daten des Internets angepasste Techniken Anwendung, wie z.B. die Assoziationsanalyse und Klassifikation.

Web Mining hat mit denselben Herausforderungen zu kämpfen wie Data Mining und bemüht eine spezielle Ausprägung in der Interpretation der Ergebnisse. Auch spielen die Fragen des Datenschutzes bei Web Mining eine besondere Rolle, gerade im Zusammenhang mit der steigenden Anzahl von kommerziellen Anwendungen im Internet.

                   Artikelanfang  Seitenanfang

Literatur

1. Martin, W: Data Warehousing, Data Mining - OLAP. Bonn: Thomson 1998
2. Kimball, R., Merz, R.: The Data Webhouse Toolkit - Building the WebEnabled Data Warehouse. New York: Wiley 2000
3. Fayyad, U. M. (ed): Advances in Knowledge Discovery and Data Mining. 1996
4. Spiliopoulou, M.: Tutorial - Data Mininig for the Web. PKDD, Prague, 1999
5. Masand, B., Spiliopoulou, M.: Web Usage Analysis and User Profiling. KDD, San Diego, 1999
6. Nakhaeizadeh, G: Data Mining. Theoretische Aspekte und Anwendungen. Heidelberg: Physica 1998
7. Wang, K., Liu, H.: Discovering Typical Structures of Documents. In: SIGIR `98 (ACM 1998)
8. Chakrabarti, S., Dom, B., Indyk, P.: Enhanced Hypertext Categorization Using Hyperlinks. SIGMOD `98 (June 1998)
9. Michie, D., Spiegelhalter, D. J., Taylor, C. C.: Machine Learning, Neural and Statistical Classification. Ellis Horwood 1994
10. Agrawal, R., Srikant, R.: Fast Algorithms for Mining Association Rules. Proc. of the 20th VLDB Conference, Chile 1994
11. Han, E.-H., Karypis, G., Kumar, V.: Clustering Based on Association Rule Hypergraphs. SIGMOD `97 (ACM 1997)
12. Horster, P.: Datenschutz und Datensicherheit. Wiesbaden: Vieweg 1999

                   Artikelanfang  Seitenanfang

Autor & Copyright
Ralf Walther
mindUp Web + Intelligence GmbH,
Blarerstraße 56,
D-78462 Konstanz
ralf.walther@mindup.de

© 2001 Informatik Spektrum, Springer-Verlag Berlin Heidelberg

                   Artikelanfang  Seitenanfang

Web-Services

• Kurzinfo
• Erläuterung
• Fazit
• Literatur
• Autor & Copyright

Kurzinfo Ein Web-Service entspricht der XML-basierten Darstellung einer Anwendung oder Software-Komponente. Web-Services sind selbstbeschreibend; Schnittstelle und deren Metadaten sind getrennt. Konsument und Anbieter eines Web-Service sind lose gekoppelt; beide kommunizieren mittels XML-basierten Nachrichten über definierte Schnittstellen. Dadurch bleiben Details der Implementierung des Web-Service verborgen.

Erläuterung

Das World Wide Web (WWW) – einst ein Sammelsurium aus durch Hyperlinks verknüpften Text-, Ton- und Bilddateien – hat sich gerade in letzter Zeit zu einer Palette von Informationsdiensten entwickelt. Ein typischer Informationsdienst im WWW stellt Aktieninformationsdienst dar, der den neuesten Stand von Aktienkursen notiert.

Das WWW in seiner heutigen Form ist bereits weitgehend am Benutzer und seinen Bedürfnissen orientiert. Trotzdem zeichnet sich in letzter Zeit vermehrt ein weiterer Trend ab – die Automatisierung der Informationsdienste im WWW. Speziell im Bereich der Business-to-Business-(B2B-) und e-Commerce Anwendungen ist diese Art der Informationsverarbeitung bereits schon heute Wirklichkeit.

B2B-Anwendungen beruhen auf manuell vereinbarten Schnittstellen und Nachrichtenformaten zwischen den Geschäftspartnern. Erschwerend kommt hinzu, dass die zeit- und kostenaufwendige Integration für jeden Geschäftspartner neu vorgenommen werden muss. Eine Automatisierung dieses Vorgangs wäre folglich sehr wünschenswert. Hier kommen die Web-Services ins Spiel.

Eine einheitliche, konsistente und standardisierte Terminologie ist zum jetzigen Zeitpunkt noch nicht verfügbar. Trotzdem herrscht in Standardisierungsgremien wie dem World Wide Web Consortium (W3C) eine allgemeine Übereinstimmung darüber, was ein Web-Service ist [5]. Demnach lassen sich Web-Services wie folgt charakterisieren:

• Programmierbar: Web-Services sind über programmierbare Schnittstellen erreichbar. Web-Services sind in erster Linie zur Anwendungskommunikation und nicht zur menschlichen Informationsverarbeitung geschaffen. Web-Services haben keine graphische Benutzeroberfläche.
• Selbstbeschreibend: Ein Web-Service wird begleitet von „Metadaten" (Daten über Daten), die während der Laufzeit von weiteren Web-Services ausgewertet werden können. Name, Beschreibung, Version und Dienstgüte sind typische Beschreibungsmerkmale.
• Kapselung: Ein Web-Service ist eine unabhängige, in sich abgeschlossene bzw. gekapselte Anwendung, die eine genau definierte Aufgabe erfüllt.
• Lose gekoppelt: Kommunikation erfolgt über Nachrichtenaustausch. Web-Service-Konsumenten und -Anbietern bleiben Implementierungsdetails verborgen.
• Ortstransparenz: Web-Services sind ortsunabhängig und können jederzeit und von jedem Ort aus aktiviert werden, vorausgesetzt Benutzer und Anwendungen haben entsprechende Zugriffsrechte.
• Protokolltransparenz: Ein Web-Service basiert auf der Internet-Protokollsuite. Operationen und Nachrichten können mehrere Protokolle unterstützen, z.B. Hypertext Transfer Protocol (HTTP) oder Simple Mail Transfer Protocol (SMTP).
• Komposition: Web-Services können entweder in weitere Web-Services zerlegt werden oder mehrere wiederverwendbare Basis-Web-Services können zu einem neuen Web-Service zusammengestellt werden.

Darüber hinaus können Web-Services entweder von informativer oder von transaktioneller Natur sein. Transaktionelle Web-Services können Bestandteil lang laufender Geschäftstransaktionen sein.

Web-Service-Architektur

Web-Services sind nicht monolithisch und müssen vielmehr im Zusammenhang mit einer verteilten Service-Architektur betrachtet werden. Aufgrund ihrer Protokolltransparenz können sie entweder auf transport- oder anwendungsorientierten Protokollen fußen. Das bedeutet, dass Funktionsaufrufe, verlässliche Nachrichtenübermittlung im Text- oder Binärformat, Transaktionen, Workflow und Kontext auf höherer Ebene geregelt werden müssen. Sicherheitsaspekte und Zusicherungen zur Dienstgüte sind bereichsübergreifend. Die Abgrenzung und Anordnung der einzelnen Schichten ist Gegenstand einer Diskussion in Standardisierungsgremien.

Unabhängiger von der Anordnung der einzelnen Schichten lassen sich folgende Rollen von Web-Services identifizieren:

• Konsument: Agiert mittels XML-basierter Nachrichten und Transportprotokoll mit einem Web-Service-Verzeichnis oder -Anbieter. Die dynamische Anbindung mit dem kommunizierenden Web-Service erfolgt über ein Web-Service-Verzeichnis.
• Anbieter: Als eigentlicher Dienstanbieter zugänglich über programmierbare Schnittstellen.
• Verzeichnis: Enthält eine logische Beschreibung und Angaben über den Aufenthaltsort sämtlicher Web-Service-Anbieter.

Konsument, Anbieter und Verzeichnis sind austauschbar. Ein Konsument kann auch als Zwischenhändler fungieren und somit auch Anbieter eines Web-Service sein.

In ihrer einfachsten Form interagieren zwei Web-Services wie folgt:

1. Ein potentieller Nutzer eines Web-Service stellt eine Suchanfrage an einen Verzeichnisdienst.
2. Das Web-Service Verzeichnis enthält eine kategorisierte Ansammlung von registrierten, vertrauenswürdigen Web-Services.
3. Nachdem der gewünschte Service ausfindig gemacht wurde, können weitere Details über Nachrichtenformate und Protokolle angefragt werden.
4. Basierend auf der Servicebeschreibung, kann eine Protokollanbindung erzeugt werden. Somit können beide Web-Services miteinander kommunizieren.

Anfragemechanismus und Anbindung können entweder statisch oder dynamisch erfolgen. Bei einem dynamischen Ansatz können z.B. Dienstgüte, Verfügbarkeit oder weitere Kriterien zur Laufzeit ausgehandelt werden.

Ergänzend lässt sich ein Lebenszyklus eines Web-Service feststellen. Bevor ein Web-Service genutzt werden kann, muss er erstellt werden. Danach kann er in einem Verzeichnis registriert werden. Potentielle Nutzer können Web-Services in einem Verzeichnis finden, damit er letztendlich verwendet werden kann.

Standardisierung von Web-Services

Je stärker neue Technologien verbreitet sind, desto mehr Bedeutung gewinnt ihre Interoperabilität. Internet-Standards und die zugrunde liegenden Technologien (z.B. XML) sind deshalb wichtiger denn je. Mit der Berücksichtigung von Standards sind auch klare Wettbewerbsvorteile verbunden. Sie reduzieren nicht nur Entwicklungskosten und Komplexität, sondern ermöglichen den Einstieg von Firmen und Privatpersonen ohne technologische Hürden. Beispielsweise erreichen Anbieter von Web-Services eine größere Verfügbarkeit. Auch haben Nutzer von Web-Services geringere Probleme beim Integrationsprozess.

Leider kann die Standardisierung und Automatisierung von Web-Services nur zu einem bestimmten Grad vorangetrieben werden. Das bekannte Dilemma zwischen Dejure- und Defacto-Standards bleibt bislang noch bestehen.

Zurzeit ist die Standardisierung im Bereich der Web-Services in vollem Gange. Das World Wide Web Consortium (W3C), OASIS (Organization for the Advancement of Structured Information Standards) und einige weitere unabhängige Gremien widmen sich der Standardisierung in diesem Bereich. Das W3C konzentriert sich hierbei weitgehend auf horizontale Standards, d.h. technische Standards, die auf alle Industriezweige angewendet werden können. OASIS dagegen befasst sich mit sog. vertikalen Standards und verwendet – soweit möglich – bestehende technische Standards. Gelegentlich kommt es aufgrund mangelnder Abstimmung zwischen den Organisationen zu Widersprüchen und Redundanzen.

Folgende Standards bilden das Fundament der Web-Service-Architektur:

• Web Service Description Language (WSDL): Sie bietet eine XML-Beschreibung der Fähigkeiten des Web-Service. WSDL wurde der W3C im März 2001 zur Standardisierung vorgelegt [1].
• Simple Object Access Protocol (SOAP): Mit SOAP [3] wurde im Mai 2000 dem W3C eine weitere Technologie vorgelegt, die sich der Integration von Applikationen über das Internet widmet, unabhängig von der zugrunde liegenden Software-Architektur.
• Universal Description, Discovery and Integration (UDDI): Hierbei handelt es sich um einen Verzeichnisdienst, eine Art „Gelbe Seiten" (yellow pages), in dem Web-Services und ihre Schnittstellen registriert sind. UDDI [4] umfasst programmierbare Schnittstellen zum dynamischen Auffinden von Web-Services. UDDI erweitert das Prinzip der Gelben Seiten um sog. White- und Green-Pages. Die White-Pages bieten Aufschluss über den Firmennamen, Beschreibung und Ansprechpartner. Die Yellow-Pages enthalten Produkt, Dienst, Industriezweig und geographische Unterteilung, während sich die Green-Pages mit den technischen Details der Datenkommunikation auseinander setzen.

Ergänzend zu den bereits genannten Standards wurde ein einheitlicher Standard für die e-Business-Geschäftsabwicklung verabschiedet. Im Detail handelt es sich um die von OASIS und UN/CEFACT entwickelte Electronic Business Extensible Markup Language (ebXML) [2]. Dieser Standard unterstützt den Austausch von Geschäftsnachrichten und regelt Handelsbeziehungen. Er ermöglicht Datenkommunikation unter Verwendung des gleichen Vokabulars. Darüber hinaus definiert und registriert er Geschäftsprozesse. Die ebXML-Spezifikation enthält u.a. eine Referenzarchitektur, Schemata für Geschäftsprozesse und eine Protokollvereinbarung, die den Nachrichtenaustausch zwischen den Geschäftspartnern regelt.

Fazit

Web-Services und die damit assoziierten Standards befinden sich in einem aufeinander bezogenen Entwicklungsprozess: Sie beinhalten neben rein technologischen Vorteilen völlig neue wirtschaftliche Potentiale. Zum Beispiel lässt sich einerseits die verteilte B2B-Integration automatisieren, andererseits können interne Geschäftsprozesse durch externe Web-Services unterstützt werden.

Aufgrund ihrer Neuartigkeit sind Web-Services auch mit Problemen verbunden. Letzte architektonische Lücken müssen geschlossen werden und grundlegende Standards reifen, damit sich vertrauenswürdige Web-Services und ihr Zusammenspiel mit anderen Web-Services voll entfalten können.

Zahlreiche Unternehmen befassen sich zur Zeit mit Web-Services und arbeiten bereits an ihrer Verwirklichung. Erste produktive Ansätze in Form von Standards wurden bereits geschaffen. Allerdings müssen Web-Services und ihre Werkzeuge noch stark verbessert werden. Erste zuverlässige Produkte und Services werden nicht vor Ablauf diesen Jahres zu erwarten sein.

                   Artikelanfang  Seitenanfang

Literatur

1. Ariba, IBM, and Microsoft. Web Services Description Language (WSDL) 1.0. http://www-106.ibm.com/developerworks/webservices/, September 2000
2. ebXML. ORG. Electronic Business XML (ebXML).
   http://www.ebxml.org, September 1999.
3. Microsoft, IBM et al. Simple Object Access Protocol (SOAP) 1.1.
   http://www.w3c.org/TR/SOAP, Mai 2000.
4. UDDI. ORG. UDDI Executive White Paper.
   http://www.uddi.org, September 2000.
5. World Wide Web Consortium (W3C). W3C Workshop Proceedings on Web Services.http://www.w3.org/2001/03/WSWS-popa/, April 2001

Hinweis: Die URLs entsprechen dem Stand bei der Veröffentlichung des Artikels und werden nicht aktualisiert.

                   Artikelanfang  Seitenanfang

Autor & Copyright
Urban Bettag
Reuters Limited,
Chief Technology Office,
85 Fleet Street,
London EC4P 4AJ,
UK
Urban.bettag@reuter.com

© 2001 Informatik Spektrum, Springer-Verlag Berlin Heidelberg

                   Artikelanfang  Seitenanfang

Wireless Internet Security

• Kurzinfo
• Erläuterung
• Literatur
• Autor & Copyright

Kurzinfo Immer kleiner, immer schneller, immer mobiler – Wireless LANs (WLANs) haben Einzug in Unternehmen und Hochschulen gehalten und GPRS soll den Mobilfunk revolutionieren.

Erläuterung

GPRS (General Packet Radio Service), das „schnelle" Internet über GSM (Global System for Mobile Communications), krankt zwar noch an technischen Anlaufschwierigkeiten und einschüchternden Preismodellen, wird sich aber mittelfristig ebenfalls durchsetzen. Beide Technologien haben das gleiche Ziel: drahtloses Internet; WLANs decken den lokalen Bereich ab (Abb. 1, rechts), GPRS bietet Weitverkehr (Abb. 1, links).

Insbesondere für Unternehmen bedeutet drahtloses Internet aber auch neue Sicherheitsrisiken. So manches WLAN wurde wegen nachträglich erkannter Sicherheitsrisiken schon wieder stillgelegt, und auch bei GPRS sollte man vor der Nutzung ein klares Sicherheitskonzept haben. Im Folgenden werden die Sicherheitsaspekte beider Technologien kurz beleuchtet; der Schwerpunkt liegt dabei auf professioneller Nutzung, z.B. für den Zugriff auf Enterprise-Anwendungen.

Wireless LAN

WLAN Produkte nach dem IEEE-Standard 802.11 b können in zwei Modi betrieben werden: im Infrastruktur-Modus kommuniziert jeder Teilnehmer mit einem sog. Accesspoint (AP), der auf dem Linklevel (ISO-OSI, Schicht 2) eine Brücke zwischen funk- und drahtgebundenem Netz bildet. Im Ad-hoc Modus kommunizieren alle Teilnehmer direkt untereinander (Punkt-zu-Punkt-Verbindungen).

Der Nutzen, aber eben auch die Gefahr von Funkübertragungen liegt darin, dass sich Funkwellen nicht an physikalische Grenzen wie z.B. die Wände eines Gebäudes halten: Zunächst einmal kann jeder, der nahe genug ist, Kommunikation mithören oder sich sogar selbst mit dem Netz verbinden.

Viele WLAN-Installationen nutzen einen Netzwerknamen (SSID) und MAC-Adressen von WLAN-Karten als Zugriffsschutz. Diese Merkmale bieten jedoch kaum Sicherheit: SSIDs werden im Klartext übertragen und sind somit abhörbar. MAC-Adressen können mit relativ wenig Aufwand manipuliert werden und sind nicht fälschungssicher. Um WLANs abzusichern, definiert IEEE 802.11 ein kryptographisches Verfahren: WEP(„Wired Equivalent Privacy"). WEP ist in die WLAN-Komponenten (AP und WLAN-Karten) integriert und soll eine dem verkabelten Netz ähnliche Sicherheit zur Verfügungstellen.

WEP basiert darauf, dass alle Komponenten gemeinsame geheime Schlüssel besitzen, mit denen sie sich gegenseitig authentifizieren und die Kommunikation auf OSI-Schicht 2 verschlüsseln. Diese auf den ersten Blick sinnvolle Vorgehensweise birgt jedoch einige Probleme:

Security-Management. Der statische „Shared-key-Ansatz" von WEP skaliert nicht auf eine große Anzahl von Nutzern: Da alle WLAN-Karten und jeder AP die gleichen (bis zu 4) kryptographischen Schlüssel besitzen, stellt der Besitz einer Karte mit einem passenden Schlüssel einen „Freibrief" für den Netzzugang dar. Da keine Verfahren zum Schlüsselmanagement vorgesehen sind, ist der Austausch der Schlüssel aufwändig und erfordert physischen Zugriff auf die Karten. Ein periodischer Schlüsselwechsel oder das Austauschen nach der Kompromittierung des Schlüssels (Verlust oder Diebstahl einer Karte) ist dadurch in der Praxis schon ab ein paar Dutzend Karten schwierig, bei mehreren hundert oder gar tausend Karten so gut wie unmöglich.

Kryptographische Schwächen. Zur Verschlüsselung verwendet WEP einen Strom von Pseudozufallszahlen, der mit den zu übertragenen Daten mittels XOR verknüpft wird. Die Zufallszahlen werden durch den Algorithmus RC4 aus einem geheimen Schlüssel k berechnet. Solche Verfahren sind anfällig für sog. „Known-plaintext-Attacken": Aus einem Klartext P wird der verschlüsselte Text C = P Å RC4(k) berechnet. Für feste k gilt jedoch C1 Å C 2 = P 1 Å P 2 , d.h., man kann mit einem bekannten Paar (P 1 , C 1 ) auch P 2 = (C 1 Å C 2 ) Å P 1 berechnen und somit sämtliche Kommunikation entschlüsseln ohne k zu kennen.

Um diesen Effekt zu verhindern, sieht WEP zusätzlich einen Initialisierungsvektor (IV) vor, der sich bei jedem Datenpaket ändern muss: C = P Å RC4 (IV, k). Damit die Gegenseite das Paket wieder entschlüsseln kann, wird der IV dem übertragenen Datenpaket als Klartext hinzugefügt. Der IV ist aber nur 24 Bit groß; somit ist spätestens nach ein paar Tagen durchschnittlicher Netzlast dieser Zahlenraum erschöpft. Hat man sich in dieser Zeit eine Tabelle aller IVs angelegt, so ist man in der Lage, jedes weitere Paket mit machbarem Aufwand anzugreifen (z.B. mit tabellenbasierten Attacken [1]). Hinzu kommen Implementierungsschwächen; die Produkte mancher Hersteller erzeugen IVs nicht zufällig, sondern zählen nach jeder Initialisierung von Null aufwärts.

Weiter wurde bekannt, dass RC4 mit bestimmten IVs den geheimen Schlüssel fast unverändert als Output liefert [2]. Angriffs-Tools, die WEP-Schlüssel durch reines „Zuhören" kompromittieren (passive Attacke), sind inzwischen frei verfügbar [3]. Der Rechenaufwand ist dabei so klein, dass ein Angreifer unter Umständen in weniger als 15 Minuten vollen Zugriff auf ein WLAN erhalten kann.

Die Sicherheitsfunktionen des IEEE-802.11b-Standards genügen also oft nicht den Anforderungen für professionelle Nutzung. Einige Hersteller bieten inzwischen Produkte mit Schlüsselmanagementfunktionen und dynamischer externer Authentifizierung an (z.B. über Radius [5]); dies bedeutet aber, Interoperabilität zu opfern und sich an einen Hersteller zu binden. In Folgeversionen des IEEE-Standards (802.11x) soll hier nachgebessert werden; wie sicher diese Technologie dann sein wird, kann derzeit nicht seriös beurteilt werden.

GPRS

GPRS ist aus Anwendersicht das WAN-Pendant zu WLANs; auch hier wird drahtloses Internet zur Verfügung gestellt, die zugrunde liegende Technologie ist allerdings eine andere: GPRS baut auf dem GSM-Standard auf und integriert dort die Vermittlung von IP-Paketen. Wunder an Geschwindigkeit sollte man jedoch nicht erwarten: Derzeit sind Übertragungsraten von 20–30 kBit/s realistisch, ebenso Paketlaufzeiten von 1–2 Sekunden („ping").

Abbildung 1 zeigt links die grobe Architektur von GPRS: Der GGSN (Gateway GPRS Support Node) stellt die Verbindung zum öffentlichen Internet her, der SGSN (Service GPRS Support Node) vermittelt IP über GSM-Protokolle an das Endgerät. GPRS ist also kein „Dial-in-Verfahren" ins Internet bzw. Intranet, wie es z.B. bei der Einwahl mit Laptops in Firmennetze etabliert ist. Ein GPRS-Client befindet sich im öffentlichen Internet und greift von dort aus z.B. auf Application-Server zu. Befinden sich diese Server in einem Firmennetz hinter einer Firewall, muss ein tragfähiges Sicherheitskonzept gefunden werden.

Betrachten wir zunächst die GPRS-interne Sicherheit, die auf folgenden Komponenten der GSM-Sicherheit aufbaut:

Authentifizierung. GSM bietet eine vergleichsweise starke Authentifizierung über Smart Cards (SIMs), die es dem Netzbetreiber beispielsweise erlaubt, die IP-Adresse eines GPRS-Clients auf den Teilnehmer abzubilden. Zu bedenken ist dabei jedoch, dass im ungeschützten öffentlichen Internet Angriffe wie IP-Spoofing oder Connection-Highjacking möglich sind.

Vertraulichkeit. Relevant sind hier die Luftschnittstelle (GSM-Netz/Endgerät), die GSM-interne Sicherheit sowie evtl. das öffentliche Internet zwischen GGSN und Firmennetz:

Der Algorithmus zur Verschlüsselung der Luftschnittstelle bei GPRS ist nicht veröffentlicht; es dürfte sich jedoch um eine schwache Verschlüsselung mit einem etwa 40 Bit großen Schlüssel handeln, darauf deutet zumindest das Requirements-Dokument [4] hin:

„An algorithm with minimal restrictions on exports when licensed and managed is desired because of the global use of GSM."

Ein neuer, aber ebenfalls geheimer Algorithmus wurde nach der Lockerung der Krypto-Exportbestimmungen spezifiziert, ist aber noch nicht in Produkten umgesetzt. Selbst diese zukünftige, wohl stärkere Verschlüsselung kann jedoch durch das GSM-Netz abgeschaltet werden; der Nutzer hat also keine Kontrolle über die verwendete Sicherheit.

Schutz der übertragenen Information innerhalb des GSM-Netzes ist Sache des Netzbetreibers. Hier können also keine generellen Aussagen getroffen werden. Sobald der Datenverkehr ins öffentliche Internet wechselt, ist er so angreifbar, wie das Internet auf dieser Strecke eben ist.

Datenübertragung über GPRS ist also per se kaum abgesichert. Hinzu kommt, dass sich ein über GPRS verbundener Rechner (Laptop, PDA) direkt im Internet befindet und somit leicht angreifbar ist. Zusätzliche Sicherheitslösungen dürften also oft erforderlich sein, sowohl zum Schutz der Kommunikation (z.B. durch ein Ende-zu-Ende-VPN, „Virtual Private Network") als auch zum Schutz des Clients vor Angriffen aus dem Internet (z.B. durch eine lokale Firewall).

Für Firmen bieten Netzbetreiber zusätzliche Sicherheits-Features (VPNs, Firewalls am GGSN, Port-Sperren); welchen Schutz diese bieten, sollte im Einzelnen geprüft werden. Ein Aspekt dabei sind auch sog. „Lawful-interception"-Interfaces, die das Mithören von Kommunikation durch Staatsorgane ermöglichen. Insbesondere bei GPRS-Nutzung im Ausland (roaming) kann dies problematisch sein, denn es gibt Indizien, dass dies in manchen Ländern nicht nur zur Verbrechensbekämpfung, sondern auch zur Erlangung wirtschaftlich relevanter Informationen genutzt wird [6].

Schlussfolgerungen

WLAN-Technologie und GPRS bieten viele interessante und neue Möglichkeiten, um Anwendungen über drahtlose Netze zu nutzen. Insbesondere für die professionelle Nutzung im Enterprise-Umfeld stellt jedoch Sicherheit eine Herausforderung dar: Praktikable und hersteller- bzw. providerunabhängige Sicherheitslösungen sind momentan nur auf höheren Netzwerkschichten zu finden. VPN-Lösungen, SSL/TLS-Verschlüsselung oder Sicherung auf Anwendungsebene stellen sinnvolle Maßnahmen dar.

Ein VPN auf IP-Ebene bietet wohl die derzeit universellste Alternative. In der Praxis ist das aber oft nicht einfach umzusetzen: „Bordmittel" wie Microsofts PPTP haben sich in der Vergangenheit als verwundbar erwiesen. Für die oft präferierte Variante IPSEC sind Clients zwar für die meisten gängigen Betriebssysteme erhältlich, aber noch kaum für mobile Geräte wie PDAs. Auch kann die Konfiguration von VPNs Überraschungen bergen: Bei GPRS stellen Roundtrip-Zeiten evtl. Hürden dar, und Network Address Translation (NAT) kann Features wie Authentication Header bei IPSEC ausschließen. Bei WLANs stellen die i. d. R. dezentral über das Firmengelände verteilten Accesspoints ein Problem dar, denn dies erfordert ebenso verteilte VPN-Server, eine separate Verkabelung oder entsprechende Konfiguration bei Routern.

Insbesondere wird aber das Security-Management vor neue Herausforderungen gestellt, was skalierbaren, sicheren Betrieb angeht. WLAN und GPRS in Firmennetze einzubinden ist keine leichte Aufgabe, nicht zuletzt weil auch Security Policies diese neuen Technologien oft noch nicht adäquat berücksichtigen.

                   Artikelanfang  Seitenanfang

Literatur

1. Borisov, N., Goldberg, I., Wagner, D.: Intercepting Mobile Communications: The Insecurity of 802.11, Mobicom 2001.
   http://www.isaac.cs.berkeley.edu/isaac/wep-draft.pdf
2. Fluhrer, S., Mantin, I., Shamir, A.: Weaknesses in Key Scheduling of RC4. Eighth Annual Workshop on Selected Areas in Cryptography, August 2001.
   http://www.eyetap.org/~rguerra/toronto2001/rc4_ksaproc.pdf
3. AirSnort, a wireless LAN (WLAN) tool which recovers encryption keys.
   http://airsnort.sourceforge.net/
4. ETSI Security Algorithms Group of Experts (SAGE): Report on the specification, evaluation and usage of the GSM GPRS Encryption Algorithm (GEA). ETSI TR 101 375 V1.1.1 (1998–09)
5. IETF Network Working Group: Remote Authentication Dial in User Service (RADIUS). RFC 2138, April 1997
6. European Parliament: Report on the existence of a global system for the interception of private and commercial communications (ECHELON interception system). A5–0264/ 2001, July 2001

Hinweis: Die URLs entsprechen dem Stand bei der Veröffentlichung des Artikels und werden nicht aktualisiert.

                   Artikelanfang  Seitenanfang

Autor & Copyright
Joachim Posegga, Simon Vetter
SAP Corporate Research,
Mobile Security,
Vinzenz-Priessnitz-Str 1,
76131 Karlsruhe
joachim.posegga@sap.com
simon.vetter@sap.com

© 2001 Informatik Spektrum, Springer-Verlag Berlin Heidelberg

                   Artikelanfang  Seitenanfang