立即咨询在线客服

计算机

您现在的位置: > 论文欣赏 > 计算机 >

对于移动智能终端的个人信息安全技术分析

  1 引言
  移动互联网的飞速发展推动了移动智能终端的快速普及。与传统终端相比,移动智能终端应用了移动通信技术、计算机技术和多媒体技术的最新成果,给人们带来了前所未有的丰富体验。移动互联网的迅猛发展推动了移动智能终端数量的急剧增加、应用功能的日益增多。伴随着终端智能化及网络宽带化的趋势,移动互联网业务层出不穷、日益繁荣。但作为业务载体的智能终端却面临各种安全威胁,如恶意订购、盗取账户、监听通话等。与此同时,智能终端越来越多地涉及商业机密和个人隐私等敏感信息,智能终端作为移动互联网业务最主要的载体,面临着严峻的安全挑战。随着移动终端操作系统的功能日益多样,其漏洞随之增加并导致安全事件种类增多;特别是移动智能终端操作系统开放性提高,使移动智能终端病毒开发更为容易;带宽增加,使更加复杂多样的病毒通过各种数据业务进行传播成为可能;多样的外部接口增加了病毒传播的渠道;移动终端使用量提高和数据业务日益多样和应用的发展,促使手机安全事件大规模滋生;移动终端所存信息的私密性及终端存储能力的提高,极大增加了移动终端安全的危害性;国际漫游业务量及业务互通的增加,使移动终端病毒在国际之间散播更为容易。另外,对于计算机,只有接入互联网才可能受到病毒攻击,并且可以通过重装操作系统方式来进行处理;而移动终端不同的是,移动终端时刻与移动网络相连,并且其操作系统不能随便重新安装。故此,一旦安全事件爆发,其危害力将远远大于电脑病毒的危害。
  2 移动智能终端信息安全技术现状
  信息安全目前是各界都比较关注的一个问题,移动终端作为移动业务对用户的唯一体现形式以及存储用户个人信息的载体,要配合移动网络保证移动业务的安全,实现移动网络与移动终端之间通信通道的安全可靠,同时还要保证用户个人信息的机密性、完整性。随着移动终端功能的不断强大和大面积普及,移动终端已成为人们日常生活不可或缺的用品,而这些功能强大的智能终端在带给用户便利的同时,导致的信息安全问题也日益突显。一方面,智能终端中存储的个人信息越来越多;另一方面,丰富的通信和数据交换功能为信息泄露和病毒传播提供了通道。
  目前,国内通信行业标准在早些年就发布了有关于移动终端信息安全的标准,如YD/T1699-2007《移动终端信息安全技术要求》、YD/T 1700-2007《移动终端信息安全测试方法》、YD/T 1886-2009《移动终端芯片安全技术要求和测试方法》,但是由于这些标准制定得比较早,且当时的研究还不够深入,随着技术的不断发展,移动终端新的安全问题不断暴露,新的安全技术不断产生,因此对于移动终端的信息安全要求又更上了一个台阶。2013 年发布的YD/T2407-2013《移动智能终端安全能力技术要求》和YD/T2408-2013《移动智能终端安全能力测试方法》标准进一步细化了移动智能终端在操作系统安全、应用软件安全等方面要求。2013 年工业和信息化部发布了《关于加强移动智能终端进网管理的通知》,对移动智能终端安全能力和预置应用软件提出了管理要求,要求移动智能终端在进网中严格按照YD/T 2407-2013《移动智能终端安全能力技术要求》和YD/T2408-2013《移动智能终端安全能力测试方法》标准中的一级安全能力要求。这使得国内移动智能终端的信息安全得到进一步的保障,移动智能终端上的个人信息安全也得到相应的保护。在进网检测管理中,检测机构已对现有信息安全威胁进行分析,并通过专业的检测工具对移动智能终端进行操作系统安全检测,让移动智能终制造商提高终端自身的防护能力,让原本没有防护能力的智能终端得到保护。通过行业标准规范应用程序在供用户使用时应该让用户可知、可控,从而减少恶意软件引起的安全泄漏。
  但是,目前仍有部分用户的信息安全意识不强、自我管理水平不足,导致部分用户移动智能终端上的个人信息仍处于暴露状态。2014 年8 月一款名为“XX神器”的恶意应用程序过短信传播,下载后立刻遍历通讯录,给所有通讯录中的朋友发送该病毒,数日之间感染了全国数百万智能终端。虽然该作者的动机并非要借此牟利,但造成的社会危害非常严重,这正是因为用户的信息安全意思不强,随意下载不明的应用程序导致的。
  3 移动智能终端的个人信息安全策略
  3.1 Android 安全策略
  根据IDC调查报告数据显示,Android 占全球智能手机的份额在不断上升。Android 设备占据的全球智能手机市场份额从2012 年的69%上升到2013 年的78.6%,Android 成为目前最主流的手机平台。因为Android 平台的开放特性,吸引了众多终端厂商和软件应用商加入到Android 平台中来,也因为开放特性和众多的Android 终端用户数量让许多的黑客和灰色产业链瞄准了Android 平台。通过网络安全企业通报的2012 年移动互联网恶意程序样本有162981 个,较2011年增长25 倍,其中约有82.5%的样本针对Android 平台。Android 平台已成为恶意程序的重灾区。
  Android 系统是基于Linux 内核开发的,因此Android 系统保留和继承了Linux 操作系统的安全机制,并扩展了Linux 内核安全模型的用户与权限机制,将多用户操作系统的用户隔离机制巧妙地移植为应用程序隔离。在Linux 中,一个用户标识(UID)识别一个给定用户;在Android 上,一个UID 只识别一个应用程序。Android 应用程序在安装的过程中,安装服务PackageManagerService 会为它们分配一个唯一的UID和GID,以及根据应用程序所申请的权限,赋予其他的GID。有了这些UID 和GID 之后,应用程序就只能限访问特定的文件,一般就是只能访问自己创建的文件。此外,Android 应用程序在调用设备的敏感API时,系统检查它在安装的时候会没有申请相应的权限,如果没有申请相关权限,那么访问也会被拒绝。
  Android 提供了一百多种权限,这些权限包括拨打电话、照相、键盘输入、发送短信、读取通讯录等。应用程序如果需要用相关的权限时,需要在AndroidManifest.xml 文件中声明,并且在应用程序安装时呈现出该应用程序会使用到的权限,并由用户决定是否安装此应用程序,用户只有选择接受应用程序所需的权限才能安装使用,否则只能放弃安装。而且,权限在安装时一经确认就不能再更改,一旦允许安装,该应用程序就拥有了它所声明的操作权限。
  Android 应用程序可以通过各种方式进行下载安装,如通过本地安装、蓝牙传输方式、网络下载方式等。而第三方应用程序的下载源非常多,如论坛、谷歌商店、其他第三方商店、特定网站等,且各企业对应用程序的审核机制不一,导致应用软件存在较大的信息安全隐患。
  3.2 iOS安全策略
  以iPhone 为代表的iOS平台智能终端在2007 年开启了智能终端的新时代,iOS 给用户带来了更直接的体验,使其能更方便地使用移动互联网应用,这让iOS设备受到全球用户的喜爱。虽然近些年iOS 平台在智能终端的市场份额不断缩减,这主要是因为Android 平台终端的数量递增速度更快,且iOS 平台只有苹果公司使用,产品类型及型号的更新比不上众多的Android平台终端,但iOS设备的出货量还是在不断递增的。基于Darwin 的iOS 是一个相对封闭和安全的系统,运行在iOS 上的应用程序遵循“沙箱”安全原则,每个应用程序不能访问其他应用程序的内存和文件,且每个应用都有自己唯一的目录。另外,系统文件、资源以及内核都与用户应用程序相隔离,应用程序的用户的身份都是Mobile,如果需要访问其他程序的数据。
  5 个人信息安全技术的策略建议
  5.1 进一步提高移动智能终端操作系统的安全能力
  目前,根据进网的要求智能终端都有了一定的操作系统安全能力,但对于个人信息安全方面还不够细化和全面,应考虑在操作系统层面提出相应的个人信息安全增强方法,如要求操作系统增加对个人信息敏感API 的访问策略。目前的移动终端信息安全标准针对个人信息安全的方面还不够全面,应考虑新增个人信息安全技术相关的标准,并考虑从终端设备进网管理的要求进行监管智能终端上的个人信息安全能力,保证移动智能终端上的个人信息得到有效保护。
  5.2 实行应用程序商店的监管机制
  根据不准确的数字,目前国内的Android 应用程序商店已经有几十家,其中包括手机厂商、Android 社区、Android 终端管理软件、Rom开发者,他们都推出自己的应用商店。在众多第三方应用程序商店内,应用商店的审核机制尚不完善或应用程序审核制度都存在或大或小的漏洞,这些机制的不完善和漏洞给恶意应用软件提供了传播的温床。应用程序商店作为一个应用程序传播的主要载体,建议应对应用程序商店进行监管,制定行业内的移动应用商店检测要求,并对应用程序商店的相关审核机制进行检测。并进行联动管理,对于已发现的恶意软件进行统一下架。
  5.3 建立完善的应用程序签名认证机制
  Andorid、iOS、Windows Phone 平台的应用程序都有签名认证机制,但是Android 平台不支持权威认证机构的认证,因此不会对应用程序证书的有效性进行验证,开发者可以使用任何证书对应用程序进行签名认证,这样用户在安装时无法得知该应用程序是否来自官方,当应用程序出现恶意行为时无法追溯到应用程序开发商甚至开发者。所以,应建立完善应用程序认证机制,并通过技术手段让Android 平台的应用程序支持权威认证机构的认证,对应用软件信息内容、漏洞、恶意代码和应用开发者资质等进行严格的评估。检测机构依据相关技术标准对应用软件进行检测、审核,并将通过审核的软件进行数字签名,放到可信网站上,以供终端用户查询使用。用户可通过官方提供的在线工具,开展数字签名校验,鉴定所下载的软件是否为可信软件,从而给予用户鉴别软件可信度的能力。
  5.4 进一步提高用户的自我管理水平
  应继续加强用户信息安全意识的宣传,普及智能终端的信息安全常识,如避免安装来源不明的软件、只到正规的应用程序商店下载安装、只安装通过认证的应用程序、避免连接不明的网络以及不明的终端设备、只连接可信的主机或其他终端设备、设置用户口令、加密隐私数据、安装防病毒软件等,从而实现智能终端的个人信息安全。