移动终端安全关键技术与应用分析-知识点汇总选编.docx

移动终端安全关键技术与应用分析 PAGE19 / NUMPAGES19 背景 移动终端具有隐私性、智能性、便携性、网络连通性 移动互联网行业中，与传统行业区别较大的一点就是应用商店。 应用商店是作为用户进入移动互联网的重要入口之一。 苹果App Store首创移动应用商店模式（2008年7月） iOS系统 谷歌的应用商店Android Market（后更名Google Play） Android系统 微软的应用商店Windows Marketplace（后更名Windows Phone Store） Windows Phone 系统 诺基亚的应用商店 Ovi Store Symbian系统 移动终端的智能性体现在四个方面： ①具备开放的操作系统平台，支持应用程序的灵活开发、安装和运行； ②具备PC级的处理能力，支持桌面互联网应用的移动化迁移； ③具备高速数据网络接入能力； ④具备丰富的人机交互界面，即在3D等未来显示技术和语音识别、图像识别等多模态交互技术的发展下，以人为核心的更智能的交互方式。 恶意程序的传播途径：APP下载、恶意网站访问、垃圾邮件、诱骗短信、含毒广告、彩信、外围接口等 从恶意程序的行为特征上看，恶意扣费类恶意程序数量排名第一，其次为资费消耗类、系统破坏类和隐私窃取类。 移动智能终端面临的安全威胁 ①空中接口安全威胁 ②信息存储安全威胁 ③终端丢失安全威胁 ④数据接入安全威胁 ⑤外围接口安全威胁 ⑥终端刷机安全威胁 ⑦垃圾信息安全风险 ⑧终端恶意程序安全威胁 安全基础知识 身份认证分为用户与主机、主机与主机之间的认证两种方式 用户与主机之间的认证因素： ①用户所知道的东西 ：密码、口令 ②用户拥有的东西 ：USB Key、印章、智能卡（信用卡） ③用户具有的生物特征 ：指纹、声音、视网膜、签字、笔迹 用户身份认证的4中主要方式： ①静态密码 ②动态密码 ：短信密码、动态口令牌、手机令牌 ③智能卡 ④数字证书 静态密码的缺点 ①安全性低，容易受到各种攻击 ②易用性和安全性互相排斥，两者不能兼顾 ③用户使用维护不方便 ④风险成??高，一旦泄密可能造成非常大的损失 手机令牌具有高安全性、零成本、无需携带、易于获取以及无物流等优势。 常见的数字证书有： ①服务器证书（SSL证书） ②电子邮件证书 ③客户端证书 访问控制涉及的基本要素：发起访问的主体、接受访问的客体、访问授权规则 访问控制策略的基本因素：①访问者、②目标、③动作、④权限信任源、⑤访问规则 一般的访问控制策略有3种： ①自主访问控制（DAC）； ②强制访问控制（MAC）； ③基于角色的访问控制（RBAC）。 Linux系统中的两种自主访问控制策略： ①9位权限码（User-Group-Other）； ②访问控制列表（ACL） 多级安全（MultiLevel Secure，MLS）是一种强制访问控制策略。 加密是最常用的安全保密手段，两个基本要素是算法和密钥，从使用密钥策略商，可分为对称密码体制和非对称密码体制。 对称密码体制包括分组密码和序列密码，典型加密算法有DES、3DES、AES、IDEA、RC4、A5和SEAL等 对称密码体制的优点： ①加密和解密速度都比较快 ②对称密码体制中使用的密码相对较短 ③密文长度往往与明文长度相同 对称密码体制的缺点： ①密钥分发需要安全通道 ②密钥量大，难以管理 ③难以解决不可否认的问题  非对称密码体制是为了解决对称密码体制的缺陷而提出的：密钥分发管理、不可否认。 典型的非对称密码体制有RSA、ECC、Rabin、Elgamal、NTRU。 非对称密码体制的优点： ①密钥分发相对容易 ②密钥管理简单 ③可以有效地实现数字签名 非对称密码体制的缺点： ①同对称密码体制比，加/解密速度较慢 ②同等安全强度下，非对称密码体制的密钥位数较多 ③密文的长度往往大于明文的长度  软件分析技术 ①静态分析技术：词法分析、语法分析、抽象语法树分析、语义分析、控制流分析、数据流分析、污点分析 ②动态分析技术：动态执行监控、符号执行、动态污点传播分析、Fuzz分析方法、沙箱技术 静态分析的特点： ①不实际执行程序 ②执行速度快、效率高 ③误报率较高 动态分析的特点 ①程序必须运行 ②人工干预 ③准确率高但效率较低  软件保护技术 ①代码混淆技术：（1）词法转换 （2）流程转换 （3）数据转换：静态数据动态生成、数组结构转换、类继承转换、数据存储空间转换 ②软件加壳： 压缩壳、保护壳；加壳技术：花指令、代码混淆、加密与压缩 ③反破解技术：（1）对抗反编译 （2）对抗静态分析：混淆、加壳