移动终端安全关键技术与应用分析-知识点汇总.pdf

学习必备 欢迎下载

背景

移动终端具有隐私性、智能性、便携性、网络连通性

移动互联网行业中，与传统行业区别较大的一点就是应用商店。

应用商店是作为用户进入移动互联网的重要入口之一。

苹果 App Store 首创移动应用商店模式（2008 年 7 月） iOS 系统

谷歌的应用商店 Android Market（后更名 Google Play） Android 系统

微软的应用商店 Windows Marketplace（后更名 Windows Phone Store） Windows Phone 系统

诺基亚的应用商店 Ovi Store Symbian 系统

恶意程序的传播途径：APP 下载、恶意网站访问、垃圾邮件、诱骗短信、含毒广告、彩信、外围接口等

从恶意程序的行为特征上看，恶意扣费类恶意程序数量排名第一，其次为资费消耗类、系统破坏类和隐私窃取类。

移动智能终端面临的安全威胁

①空中接口安全威胁 ⑤外围接口安全威胁

②信息存储安全威胁 ⑥终端刷机安全威胁

③终端丢失安全威胁 ⑦垃圾信息安全风险

④数据接入安全威胁 ⑧终端恶意程序安全威胁

------------------------------------------------------------------------------------------------------------------------------------------------------------------

安全基础知识

身份认证分为用户与主机、主机与主机之间的认证两种方式

②动态密码 ：短信密码、动态口令牌、手机令牌

③智能卡

④数字证书

静态密码的缺点

①安全性低，容易受到各种攻击

②易用性和安全性互相排斥，两者不能兼顾

③用户使用维护不方便

④风险成本高，一旦泄密可能造成非常大的损失

学习必备 欢迎下载

手机令牌具有高安全性、零成本、无需携带、易于获取以及无物流等优势。

一般的访问控制策略有 3 种：

①自主访问控制（DAC）；

②强制访问控制（MAC）；

③基于角色的访问控制（RBAC）。

Linux 系统中的两种自主访问控制策略：

①9 位权限码（User-Group-Other）；

②访问控制列表（ACL）

多级安全（MultiLevel Secure，MLS）是一种强制访问控制策略。

加密是最常用的安全保密手段，两个基本要素是算法和密钥，从使用密钥策略商，可分为对称密码体制和非对称密

码体制。

典型的非对称密码体制有 RSA、ECC、Rabin、Elgamal、NTRU。

非对称密码体制的优点： 非对称密码体制的缺点：

①密钥分发相对容易 ①同对称密码体制比，加/解密速度较慢

②密钥管理简单 ②同等安全强度下，非对称密码体制的密钥位数较多

③可以有效地实现数字签名 ③密文的长度往往大于明文的长度

软件分析技术

①静态分析技术：词法分析、语法分析、抽象语法树分析、语义分析、控制流分析、数据流分析、污点分析

②动态分析技术：动态执行监控、符号执行、动态污点传播分析、Fuzz 分析方法、沙箱技术

静态分析的特点： 动态分析的特点

①不实际执行程序 ①程序必须运行

Binder 提供了轻量级的 Android 远程方法调用机制。

④Broadcast Receiver（广播接收器），专注于接收系统或其他应用程序的广播通知信息，并做出对应处理的组件。

Intent 是一个对动作和行为的抽象描述，负责组件之间程序之间进行消息传递。

④数据保护机制：（1）硬件加密、（2）软件加密、（3）程序签名机制、（4）密钥链和数据保护

PROM（数据存储器）、串行通信单元等模块组成。

ROM 用于存放系统程序，用户不可操作；RAM 用于存放系统临时信息，用户不可操作；