移动终端应用安全设计方案范文

移动终端应用安全

设计方案

移动终端应用安全设计方案

传统互联网相比，移动互联网具有随身性、可鉴权、可身份识别等独特优势。但同时也存在移动终端处理能力弱、网络带宽相对较小的局限性

移动应用的几种模式

原生应用、Web应用、混合应用

➢原生应用：简单的来说是特别为某种操作系统开发的，比如iOS、Android、黑莓等等，它们是在各自的移动设备上运

行的

➢Web应用：本质上是为移动浏览器设计的基于Web的应用，它们是用普通Web开发语言开发的，能够在各种智能手机

浏览器上运行。

➢混合应用：是原生应用和Web应用的结合体，采用了原生应用的一部分、Web应用的一部分，因此必须在部分在设备

上运行、部分在Web上运行，这是主流模式

移动应用模式的优缺点

移动应用的安全

一般用户都认为只要是手机安装客户端模式会比较安全，客户端模式相对于wap网页模式安全些，可是，打开手机就是应用，应用背后却还是一片黑，仿佛还不是很安全呢。

能够从移动终端安全机制、网络安全机制两个方面考虑：

无论是终端还是网络安全都能够从物理安全、系统安全、应用安全和数据安全等方面进行分析。

➢物理安全：设备丢失带来了物理安全隐患

➢数据安全，数据传输的加密处理

➢隐私保护，身份认证PIN密码的加密处理，明文还是暗文➢内容安全，交互协议的加密处理（HTTPS\ jabber\ 3DES加密体系）

移动终端安全机制

Android组件的安全

➢Activity组件权限安全

Activity组件时用户唯一能够看见的组件，首先是访问权

限控制，activity组件在制定Intent-filter后，默认是

能够被外部程序访问的，也就意味着会被其它程序进行串

谋攻击。

这里的其它程序指签名不同、用户id不同的程序，或者是

签名相同且用户id相同的程序在执行同一个进程空间，彼此之间是没有组件访问限制的。

Android:exported熟悉设置为false，设置组件不能被外部程序调用。

如果希望被特定的程序访问，就不能用上面的熟悉设置，需要经过andriod:permission熟悉来指定一个权限字符。

要想启动Activity必须在AndriodManfest.XML文件中加入声明权限的代码

➢Activity组件劫持

当用户安装了带有Activity劫持功能的恶意程序后，恶意程序会遍历系统中运行的程序，当检测到要劫持的Activity（一般有网银或是其它网络程序登录页面）在前台运行时，会用钓鱼式的activity覆盖正常的activity，来欺骗用户

➢Content provider 安全

内容提供者，用于程序之间的数据交换，andriod系统中，每个应用的数据库、文件、资源等信息都是私有的，其它程序无法访问，如果想要访问这些数据，就必须提供程序之间数据的访问机制，content provider经过提供存储与查询数据的接口来实现进程间的数据共享。

Conten provider 提供了insert(), delete(), update （），query（）等操作；