移动互联网应用的安全风险探究浅析.docVIP

移动互联网应用的安全风险探究浅析 【摘要】本文简单介绍了目前移动互联网的应用现状，并对其中的安全问题进行了分析，提出了解决问题的技术，希望通过技术的应用，让我们的移动互联网络的安全性能有所提高。 【关键词】LSB;移动终端 随着第三代移动通信网络技术的发展，移动互联网应用百花齐放，在巨大的潜在市场空间面前，传统互联网服务商纷纷开始布局移动互联网进行圈地。主要体现在以下方面： 第一，大部分的WAP网站正投放更多的人力来提升网站的使用体验，一部分Web网站还专门针对目前使用的智能手机平台进行相应优化以适配手机屏幕的使用; 第二，应用商店的高速发展也导致了不仅在最大程度上简化了移动互联网网民下载安装手机应用程序的方式，更开创了一种全新的商业模式，便于吸引大量个人或团队开发者投身其中，形成一个全面发展的良性生态系统; 第三，各式各样的移动互联网特有的应用技术不断显现，如手机微博等有时间碎片化特点的应用已成为新的移动互联网关键应用。 在终端方面，智能终端的飞快发展也大力推动着移动互联网产业的升级，从炙手可热的iPhone、新机不断的HTC到背水一战的NOKIA都暗示着未来的移动终端竞争，是OS的竞争，也是用户体验的竞争。并且所有的OS，无论是否开源，都不再局限于手机终端的使用，终端厂商可以根据市场需求，推出搭载移动接入设备（SIM卡模块、Wi-Fi模块）的不同类型移动互联网终端，诸如：平板电脑、MP3、手持游戏机、电子阅读器、车载GPS等，使得用户可以在不同设备间无缝体验相同的移动互联网业务，大大降低了由于设备局限引起的业务不连贯现象。 移动终端功能的增强和移动业务应用内容的丰富，极大地丰富了我们的日常工作和生活，同时移动互联网存在的安全问题也日益凸显，对网络安全提出了新的挑战。 针对不容乐观的行业安全现状，部分应用商店开始与安全厂商开展合作，加强应用的监测力度。鉴于目前第三方应用市场的混乱状态，为了响应国家对于行业安全的号召和为广大移动用户提供一个安全可靠的应用下载平台，中国移动成立了中国移动应用商场（Mobile Market，以下简称移动MM），还建立了国内首个专业的手机应用测评中心，和制定一套严格的软件审核机制。开发者在移动MM上所提交的每一个手机应用，在上线前都要经过性能评估、安全扫描、预测试、正式测试和质检五大环节，对可能存在的病毒和恶意插件进行全面扫描，最大程度地降低用户感染病毒的风险，确保应用软件的绿色安全。 另外，为了保持应用的质量和安全水平，避免出现开发者或黑客利用应用版本更新的机会插入病毒或收费代码的情况，移动MM还坚持公开管理规范，对合作伙伴（应用）的违规行为实行“零容忍”政策：一经发现应用存在隐性收费等行为，在应用强制下架的同时，还将对其提供商进行严厉的惩处。 一、移动互联网应用安全研究 移动互联网是以移动通信网作为接入网络的互联网及服务。它包括几个关键要素：移动通信网络接人，包括2G，3G等;面向公众的互联网服务，包括WAP和Web两种方式.具有移动性和移动终端的适配性特点;移动互联网终端，包括手机、专用移动互联网终端和数据卡方式的便携式电脑。 二、LBS安全分析 如图1所示，LBS系统在逻辑上可分为3部分： LBS Client（LBS服务提供商，即SP）、LSP（位置服务平台）和Target MS（目标移动台）。SP允许LBS用户通过多种方式接入，如短消息、WAP、WEB和语音等。在接到用户的业务请求后， SP首先对用户的身份进行鉴权，检查用户是否具备使用该业务的资格。之后SP将定位请求发给移动运营商提供的LSP。LSP先要对SP的身份进行鉴权（包括确认SP是否在系统中注册、SP提出定位请求的类型、SP是否欠费等）;而后结合Target MS在LSP中注册的隐私保护信息来决定是否允许此次定位请求。若定位请求被允许，则实施定位，并将定位结果发送回SP。SP根据LSP提供的Target MS的位置信息为用户提供相应服务。 图1 LBS系统逻辑结构 三、隐私信息的安全分析 随着移动通信业务的发展和普及，移动终端成为集通话、身份代表、信息获取、电子支付等为一体的手持终端工具，这些方面存在的安全隐患将威胁到个人隐私、私有财产甚至国家安全等诸多方面。移动终端应提供措施保证系统参数、系统数据、用户数据、密钥信息、证书、应用程序等的完整性、机密性，终端关键器件的完整性、可靠性以及用户身份的真实性。 对移动终端上的隐私信息进行保护，移动终端应该从软硬件入手，制定一系列安全策略： 首先，移动终端应提供措施实现移动终端关键器件的完整性认证、应用程序的安全服务等，保证在移动终端在工作时，能提供安全、可信的工作环境。 其次，移动终端还应制定相关完善的安全控制策略、程序的域隔离策略，来实现用户的身份识别、程序访问权限的控制、程序间通