移动互联网环境下终端与服务器安全交互的研究-南京信息工程大学学报.pdfVIP

文章编号：１６７４⁃７０７０（２０１５）０５⁃０４２２⁃０５ 陈遥 　 夏亮亮　 谭辉１ １ １ 移动互联网环境下终端与服务器安全交互的研究 摘要 ０　 引言 移动互联网的飞跃式发展与智能终 端成本的降低，惠及了众多的普通消费 　 　 随着３Ｇ／ ４Ｇ通信技术的快速发展与智能终端的大量普及，移动 者，移动互联时代用户的隐私与信息安 互联网的成长得到了巨大的推动，以ｉＯＳ与Ａｎｄｒｏｉｄ 为代表的移动终 全变得更为重要．针对ＷｉＦｉ 热点环境下 用户隐私与数据容易泄露的环节，对比 端操作系统，为众多的应用提供了良好的“发育环境”．但移动互联网 传统的常用加密算法与使用效果，提出 特殊的基因———无线接入方式，使众多应用在使用中存在巨大的安 了一种基于ＯＡｕｔｈ 协议的令牌机制的安 全风险，因为相对于传统的有线网络或者家庭、办公所使用的无线局 全交互方式，它可以在保证用户相关隐 私与信息安全的同时，保证服务器的响 域网络而言，因其接入方式更加快捷、灵活、开放和自由，以及公共无 应速度，且在用户的应用存在风险或异 线热点随到、随连和随用的特性注定使其成为目前网络安全相对薄 常时，可及时提醒并引导用户进行相关 弱的一个环节．如果智能终端连接到不安全或者是恶意伪装的ＷｉＦｉ 安全操作．压力测试结果表明该设计是 有效可行的． 热点后，个人信息（如账号、密码和银行卡信息等）等敏感数据将面临 关键词 泄露的风险，可能造成不可弥补的损失． 移动互联网；ＯＡｕｔｈ协议；安全交互 在实际应用中，应用系统与服务器的数据交换不可避免，要达到 中图分类号 ＴＰ３１１ 安全交互的目的，须对传输数据进行加密变形或根据应用的请求、意 文献标志码 Ａ 图更换新的终端与服务器交互形式． 移动终端常用的网络连接是Ｈｔｔｐ协议的方式．以Ｈｔｔｐ协议的交 互方式为例，传统的ＰＣ端Ｗｅｂ应用使用浏览器访问服务器时由Ｓｅｓ⁃ ｓｉｏｎ存储并标识当前活动用户，从而在 Ｓｅｓｓｉｏｎ失效后或用户关闭浏 览器时，服务器可以终止会话，释放资源；而移动智能终端设备在访 问服务器时，由于并非使用浏览器的访问机制，为了标识自身会话信 息，通常使用发送上次请求返回的ＳｅｓｓｉｏｎＩＤ 的方式达到目的．但是， 移动应用与传统Ｗｅｂ应用差别很大且ＳｅｓｓｉｏｎＩＤ会有过期时间，当会 话过期后，若要识别身份，则需要重新发送验证信息，而于某些移动 应用来说，这样做会使操作变得极为繁琐与不便，所以也有很多开发 者放弃使用会话的机制，转为使用发送特定识别信息的方式．例如最 为简单直接的做法就是请求附带用户账号与密码，既保证了请求标 识的唯一性，不用考虑会话过期所带来的多次额外操作，同时又能认 证用户的有效身份．不过这种简单暴力的方式风险是最为突出的，频 收稿日期 ２０１４⁃０５⁃０５ 繁的请求每次都附带用户最为核心的信息，一旦请求数据在不安全 资助项目 南京信息工程大学滨江学院２０１４ 的ＷｉＦｉ 网络环境中传输时被捕获抓包，用户信息便直接暴露．大多数 届优秀本科毕业论文支持计划（ＢＹＷ００２０６３） 作者简介 人都有这样一种习惯