移动终端应用安全设计方案范文
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
移动终端应用安全
设计方案
移动终端应用安全设计方案
传统互联网相比,移动互联网具有随身性、可鉴权、可身份识别等独特优势。但同时也存在移动终端处理能力弱、网络带宽相对较小的局限性
移动应用的几种模式
原生应用、Web应用、混合应用
➢原生应用:简单的来说是特别为某种操作系统开发的,比如iOS、Android、黑莓等等,它们是在各自的移动设备上运
行的
➢Web应用:本质上是为移动浏览器设计的基于Web的应用,它们是用普通Web开发语言开发的,能够在各种智能手机
浏览器上运行。
➢混合应用:是原生应用和Web应用的结合体,采用了原生应用的一部分、Web应用的一部分,因此必须在部分在设备
上运行、部分在Web上运行,这是主流模式
移动应用模式的优缺点
移动应用的安全
一般用户都认为只要是手机安装客户端模式会比较安全,客户端模式相对于wap网页模式安全些,可是,打开手机就是应用,应用背后却还是一片黑,仿佛还不是很安全呢。
能够从移动终端安全机制、网络安全机制两个方面考虑:
无论是终端还是网络安全都能够从物理安全、系统安全、应用安全和数据安全等方面进行分析。
➢物理安全:设备丢失带来了物理安全隐患
➢数据安全,数据传输的加密处理
➢隐私保护,身份认证PIN密码的加密处理,明文还是暗文➢内容安全,交互协议的加密处理(HTTPS\ jabber\ 3DES加密体系)
移动终端安全机制
Android组件的安全
➢Activity组件权限安全
Activity组件时用户唯一能够看见的组件,首先是访问权
限控制,activity组件在制定Intent-filter后,默认是
能够被外部程序访问的,也就意味着会被其它程序进行串
谋攻击。
这里的其它程序指签名不同、用户id不同的程序,或者是
签名相同且用户id相同的程序在执行同一个进程空间,彼此之间是没有组件访问限制的。
Android:exported熟悉设置为false,设置组件不能被外部程序调用。
如果希望被特定的程序访问,就不能用上面的熟悉设置,需要经过andriod:permission熟悉来指定一个权限字符。
要想启动Activity必须在AndriodManfest.XML文件中加入声明权限的代码
➢Activity组件劫持
当用户安装了带有Activity劫持功能的恶意程序后,恶意程序会遍历系统中运行的程序,当检测到要劫持的Activity(一般有网银或是其它网络程序登录页面)在前台运行时,会用钓鱼式的activity覆盖正常的activity,来欺骗用户
➢Content provider 安全
内容提供者,用于程序之间的数据交换,andriod系统中,每个应用的数据库、文件、资源等信息都是私有的,其它程序无法访问,如果想要访问这些数据,就必须提供程序之间数据的访问机制,content provider经过提供存储与查询数据的接口来实现进程间的数据共享。
Conten provider 提供了insert(), delete(), update (),query()等操作;