移動互聯網應用的安全風險探究淺析

姚蕾

【摘要】本文簡單介紹了目前移動互聯網的應用現狀，并對其中的安全問題進行了分析，提出了解決問題的技術，希望通過技術的應用，讓我們的移動互聯網絡的安全性能有所提高。

【關鍵詞】LSB;移動終端

隨著第三代移動通信網絡技術的發展，移動互聯網應用百花齊放，在巨大的潛在市場空間面前，傳統互聯網服務商紛紛開始布局移動互聯網進行圈地。主要體現在以下方面：

第一，大部分的WAP網站正投放更多的人力來提升網站的使用體驗，一部分Web網站還專門針對目前使用的智能手機平臺進行相應優化以適配手機屏幕的使用;

第二，應用商店的高速發展也導致了不僅在最大程度上簡化了移動互聯網網民下載安裝手機應用程序的方式，更開創了一種全新的商業模式，便于吸引大量個人或團隊開發者投身其中，形成一個全面發展的良性生態系統;

第三，各式各樣的移動互聯網特有的應用技術不斷顯現，如手機微博等有時間碎片化特點的應用已成為新的移動互聯網關鍵應用。

在終端方面，智能終端的飛快發展也大力推動著移動互聯網產業的升級，從炙手可熱的iPhone、新機不斷的HTC到背水一戰的NOKIA都暗示著未來的移動終端競爭，是OS的競爭，也是用戶體驗的競爭。并且所有的OS，無論是否開源，都不再局限于手機終端的使用，終端廠商可以根據市場需求，推出搭載移動接入設備（SIM卡模塊、Wi-Fi模塊）的不同類型移動互聯網終端，諸如：平板電腦、MP3、手持游戲機、電子閱讀器、車載GPS等，使得用戶可以在不同設備間無縫體驗相同的移動互聯網業務，大大降低了由于設備局限引起的業務不連貫現象。

移動終端功能的增強和移動業務應用內容的豐富，極大地豐富了我們的日常工作和生活，同時移動互聯網存在的安全問題也日益凸顯，對網絡安全提出了新的挑戰。

針對不容樂觀的行業安全現狀，部分應用商店開始與安全廠商開展合作，加強應用的監測力度。鑒于目前第三方應用市場的混亂狀態，為了響應國家對于行業安全的號召和為廣大移動用戶提供一個安全可靠的應用下載平臺，中國移動成立了中國移動應用商場（Mobile Market，以下簡稱移動MM），還建立了國內首個專業的手機應用測評中心，和制定一套嚴格的軟件審核機制。開發者在移動MM上所提交的每一個手機應用，在上線前都要經過性能評估、安全掃描、預測試、正式測試和質檢五大環節，對可能存在的病毒和惡意插件進行全面掃描，最大程度地降低用戶感染病毒的風險，確保應用軟件的綠色安全。

另外，為了保持應用的質量和安全水平，避免出現開發者或黑客利用應用版本更新的機會插入病毒或收費代碼的情況，移動MM還堅持公開管理規范，對合作伙伴（應用）的違規行為實行“零容忍”政策：一經發現應用存在隱性收費等行為，在應用強制下架的同時，還將對其提供商進行嚴厲的懲處。

一、移動互聯網應用安全研究

移動互聯網是以移動通信網作為接入網絡的互聯網及服務。它包括幾個關鍵要素：移動通信網絡接人，包括2G，3G等;面向公眾的互聯網服務，包括WAP和Web兩種方式.具有移動性和移動終端的適配性特點;移動互聯網終端，包括手機、專用移動互聯網終端和數據卡方式的便攜式電腦。

二、LBS安全分析

如圖1所示，LBS系統在邏輯上可分為3部分： LBS Client（LBS服務提供商，即SP）、LSP（位置服務平臺）和Target MS（目標移動臺）。SP允許LBS用戶通過多種方式接入，如短消息、WAP、WEB和語音等。在接到用戶的業務請求后， SP首先對用戶的身份進行鑒權，檢查用戶是否具備使用該業務的資格。之后SP將定位請求發給移動運營商提供的LSP。LSP先要對SP的身份進行鑒權（包括確認SP是否在系統中注冊、SP提出定位請求的類型、SP是否欠費等）;而后結合Target MS在LSP中注冊的隱私保護信息來決定是否允許此次定位請求。若定位請求被允許，則實施定位，并將定位結果發送回SP。SP根據LSP提供的Target MS的位置信息為用戶提供相應服務。

圖1 LBS系統邏輯結構

三、隱私信息的安全分析

隨著移動通信業務的發展和普及，移動終端成為集通話、身份代表、信息獲取、電子支付等為一體的手持終端工具，這些方面存在的安全隱患將威脅到個人隱私、私有財產甚至國家安全等諸多方面。移動終端應提供措施保證系統參數、系統數據、用戶數據、密鑰信息、證書、應用程序等的完整性、機密性，終端關鍵器件的完整性、可靠性以及用戶身份的真實性。

對移動終端上的隱私信息進行保護，移動終端應該從軟硬件入手，制定一系列安全策略：

首先，移動終端應提供措施實現移動終端關鍵器件的完整性認證、應用程序的安全服務等，保證在移動終端在工作時，能提供安全、可信的工作環境。

其次，移動終端還應制定相關完善的安全控制策略、程序的域隔離策略，來實現用戶的身份識別、程序訪問權限的控制、程序間通信的安全可靠性保障及有效地防止程序在運行過程中出現非法讀取、修改、刪除其它程序空間數據的攻擊。

除以上列舉功能之外，智能的移動終端還應根據其數據、文件的特性，快速對其進行分類存儲，還能對不同級別的數據、文件引入不同層次的安全措施。進而定義出更加完善的安全審計策略，來協助對已發生的安全事件和潛在的安全隱患的風險分析。

參考文獻

[1]NINIS.移動互聯網應用安全分析報告[R/OL].（2012-08）[2013-07-12].http：//www.cert.org.cn/publish/main/47/2012/20120829140819611427739/20120829140819611427739_.html

[2]騰訊移動安全實驗室.騰訊移動安全實驗室2012年手機安全報告[R/OL].（2013-01）[2013-07-05].http：//m.qq.com/security_lab/news_detail_133.html.

[3]中國通信標準化協會.移動環境下云安全技術研究，2012.

本文屬成都職業技術學院2013年院級科研課題《移動互聯網安全風險評估研究》（課題編號：13CZY16）。