移動應(yīng)用開發(fā)安全防范研究

賈 露

（湖北廣播電視大學(xué)， 湖北 武漢 430074）

0 引言

伴隨著移動網(wǎng)絡(luò)信息化的來臨，在尤為突出的智能手機(jī)和3G技術(shù)方面，手機(jī)的應(yīng)用替代了過去PC成為了目前最重要的網(wǎng)絡(luò)設(shè)備登錄，讓人們的上網(wǎng)習(xí)慣得到了完全改變。然而各類各樣的移動產(chǎn)品飛速地創(chuàng)新、改良，研究并開發(fā)了大批量的安卓操作系統(tǒng)和iO S應(yīng)用程序，移動網(wǎng)絡(luò)儼然成為人們平日里辦公、生活的一部分。而此時觀察到，在搭建現(xiàn)如今的互聯(lián)網(wǎng)TP技術(shù)根本上，移動網(wǎng)絡(luò)通信不僅產(chǎn)生了獨(dú)特的安全問題還有當(dāng)下的網(wǎng)絡(luò)安全問題。面對這些問題，各大運(yùn)營商在移動網(wǎng)絡(luò)上采用了安置全方位的安全設(shè)備，例如，殺毒軟件、防火墻以及ID S 等。雖然部署著這些設(shè)備但不能有效地將病毒以及軟件中殘留隔離、根治，仍讓會出現(xiàn)缺點(diǎn)和紕漏。鑒于此，在移動網(wǎng)絡(luò)安全防范技術(shù)上進(jìn)行研究和探索迫在眉睫。

1 身份鑒別

移動應(yīng)用程序在實(shí)踐開發(fā)制作中，出現(xiàn)了客戶端在驗證客戶身份時，產(chǎn)生了不具體的各項問題。針對這一問題解決需開發(fā)出整體的驗證流程，如下：設(shè)置有用的身份驗證體系；賬戶密碼體系認(rèn)證；要求密碼在八位上，采用數(shù)字、字符及特殊符號并存，要有強(qiáng)度；如出現(xiàn)交易以及資金往來等交易，采用再次確認(rèn)；登錄移動應(yīng)用時添加手機(jī)號碼并隨機(jī)發(fā)送驗證；在多次登錄不上移動應(yīng)用系統(tǒng)時，通過控制登錄頻率以及會話等形式；捆綁對象是用戶自己時，不在同一個設(shè)備上操作；全部的用戶需聚集來認(rèn)證；在移動應(yīng)用中，有一定級別的用戶采用特權(quán)來區(qū)分，運(yùn)用授權(quán)準(zhǔn)則來訪問。

2 移動應(yīng)用開發(fā)訪問控制

移動應(yīng)用程序在用戶簽名時未經(jīng)允許不能加入網(wǎng)絡(luò)，確保網(wǎng)絡(luò)安全的實(shí)用性；應(yīng)用程序需掃描啟動，是獲得應(yīng)用程序獨(dú)一標(biāo)記；在應(yīng)用程序標(biāo)記和應(yīng)用目標(biāo)程序匹配時，會解開并解鎖的指令，確保移動程序中信息的安全性；設(shè)立獨(dú)立的ADMIN 帳號，一樣的用戶要分別在不同的系統(tǒng)賬戶中綁定，ADMIN 認(rèn)證訪問終端系統(tǒng)，設(shè)立里面一體的賬號，分別在各個系統(tǒng)里設(shè)立相同的賬號認(rèn)證；利用用戶的授權(quán)機(jī)制達(dá)到對用戶的訪問進(jìn)行控制。移動應(yīng)用程序制作中，一方面采用辨別、區(qū)分、控制訪問，不僅維護(hù)全部的信息系統(tǒng)，還對移動應(yīng)用程序關(guān)鍵部位進(jìn)行保護(hù)。

3 移動應(yīng)用開發(fā)安全防范措施

3.1 程序安全防范

在移動端應(yīng)用程度投入市場后，黑客采用反匯編 APK 文件對軟件造成攻破。需在程序開發(fā)階段，利用加殼處理提升安全度，在二進(jìn)制應(yīng)用程序中加入代碼，原始的二進(jìn)制原文采用隱蔽密碼，可以阻礙著對程序的反匯編分析，避免應(yīng)用程序遭到破壞解密，對代碼注入、內(nèi)存注入等危險行為起到緩和作用。

3.2 通訊安全防范

移動通訊安全在移動應(yīng)用程序安全中傳輸數(shù)據(jù)過程中起著保護(hù)用戶信息安全不被病毒攔截及侵害的作用。有下面幾種措施：服務(wù)器與移動客戶端相互連接之初，采用密碼才完成會話的驗證。在通訊過程中出現(xiàn)的敏感信息加固密碼后采取傳送。服務(wù)器和移動終端兩者間出現(xiàn)敏感數(shù)據(jù)時要采用SSL傳輸，這樣有效地阻止敏感數(shù)據(jù)不在通訊應(yīng)用中遭到盜取。在運(yùn)用 HTTP 協(xié)議時，為了應(yīng)對移動客戶端產(chǎn)生的整個請求附帶 MAC 地址，要及時運(yùn)用臨時密鑰。在無限網(wǎng)絡(luò)以及運(yùn)營商網(wǎng)絡(luò)間，服務(wù)器和移動客戶端兩者間的通訊網(wǎng)絡(luò)是不能相互信任的。這是因為HTTP-GET 協(xié)議一般是采用查詢字符串的方式來傳播數(shù)據(jù)，為此在應(yīng)用傳輸敏感數(shù)據(jù)的階段，把HTTP-GET 協(xié)議當(dāng)作唯一的協(xié)議是不允許的。服務(wù)器會記錄搜查到的信息，在敏感信息安全方面查詢字符串的方式也不能確保。

3.3 后臺安全防范

后期，移動應(yīng)用的后臺控制頁面連接到互聯(lián)網(wǎng)時，由此網(wǎng)絡(luò)上會出現(xiàn)各種各樣的安全威脅等，如黑客會破解在程序開發(fā)過程中管理員設(shè)置的口令，破解完成后就可登錄系統(tǒng)，用管理員的身份登錄后可以操作各項，包括：刪減信息資料、獲得有效的身份信息、篡改數(shù)據(jù)等，出現(xiàn)的后果無法想象。為此，在預(yù)防方面需通過安全可靠的后臺管理體制，加大管理的防御。

3.4 日志安全防范

移動應(yīng)用安全防范中重心工作是日志安全，日志的放置、質(zhì)量以及日志的備份安全在移動應(yīng)用開發(fā)中需大量改良，具體的開發(fā)過程中可運(yùn)用下面措施：在移動應(yīng)用程序日志中一些敏感的數(shù)據(jù)等不易保存。具體的實(shí)際操作采用以下步驟：首先登錄密碼→完成密碼修改→進(jìn)行支付等一系列步驟在日志中被記錄收藏。服務(wù)器端是記錄日志位置的重要操作。應(yīng)用程序要具備日志緩存，在出現(xiàn)網(wǎng)絡(luò)中斷的情況下將日志保存下來，網(wǎng)絡(luò)接通后再次上傳到服務(wù)器操作后臺。移動應(yīng)用日志的記錄問題上應(yīng)該恰當(dāng)?shù)卦O(shè)立，才能對此完成控制以及監(jiān)測，在閥值到達(dá)之前采用先處理記錄信息，以此在日志信息的安全、可靠、完整性上才能起到關(guān)鍵的作用。

3.5 數(shù)據(jù)傳輸安全防范

數(shù)據(jù)在傳送、輸送的同時，采用網(wǎng)絡(luò)接入到服務(wù)器端，達(dá)到移動應(yīng)用的各項功能，此時黑客會截取傳送、輸送數(shù)據(jù)把有毒代碼帶入，來侵犯網(wǎng)絡(luò)，從中盜取數(shù)據(jù)。在確保傳送、輸送數(shù)據(jù)時安全性，需加大力度管理。企業(yè)在傳送、輸送重要數(shù)據(jù)時多使用SSL 加密，在如今的企業(yè)中已大大跟不上步伐了。企業(yè)的使用形式有下面幾種：物理APN專線、SSL 協(xié)議的安全傳輸隧道、應(yīng)用層虛擬化數(shù)據(jù)封裝的三級隧道體制，這三種采用安全接入、APN 接入、移動數(shù)據(jù)服務(wù)器等來保證傳送、輸送可靠，達(dá)到使用者的安全接入和數(shù)據(jù)之間有效的互換隔開，此時同樣隔離了企業(yè)網(wǎng)絡(luò)數(shù)據(jù)和企業(yè)移動應(yīng)用服務(wù)器。

3.6 入侵防范

面對來自外界的有毒病毒侵犯時，移動應(yīng)用中防護(hù)中要具備下面措施才能有效地恢復(fù)在發(fā)布移動應(yīng)用程序時的紕漏，要有不斷完善和不斷更新的技能。更新的過程中要具備安全提醒、新版本更新進(jìn)行檢測方面功能，在更新階段不刪除及修改用戶的個人隱私及數(shù)據(jù)等，并附有新版本注明；更新以及升級的功能上要對程序采用全面檢測，有效地阻止網(wǎng)絡(luò)傳送、輸送時程序被置換；在移動應(yīng)用程序中挪用的組件和外部模塊，具備完善的驗證步驟，符合挪用者的正當(dāng)性；數(shù)據(jù)訪問，供給服務(wù)這些功能時，在驗證方面需要驗證好挪用者合法性；在SQL 注入攻擊、跨站腳本攻擊、CSRF 等方面做好安全有效地預(yù)防。

4 結(jié)語

智能手機(jī)在近幾年被廣泛地應(yīng)用，手機(jī)在使用、操作和安全防護(hù)上運(yùn)用不恰當(dāng)會出現(xiàn)身份泄露、財產(chǎn)受損現(xiàn)象，當(dāng)下移動網(wǎng)絡(luò)安全方面已是人們關(guān)注的重要問題，盡管產(chǎn)生的問題多復(fù)雜多緊急，移動網(wǎng)絡(luò)通信都存在著很大的優(yōu)點(diǎn)，給通信事業(yè)的未來奠定了一定基礎(chǔ)，指出了新道路。3G 、4G 技術(shù)的革新，在提升企業(yè)發(fā)展、生產(chǎn)中以及人們?nèi)粘９ぷ魃钪卸计鹬卮蟮挠绊憽?G網(wǎng)絡(luò)在商業(yè)及個人使用中取得了不錯的效果，因在起初籌備、實(shí)行中已是一套較為全面的體制。4G網(wǎng)絡(luò)時代在各種各樣的規(guī)范、準(zhǔn)則下日漸熟練，起初在運(yùn)行階段需認(rèn)識到安全信息的重要性，在用戶端、應(yīng)用端、傳輸端上建立安全可控體制，從全方面提升3G 、4G 技術(shù)和面對將來產(chǎn)生新型網(wǎng)絡(luò)的預(yù)警、防護(hù)等技術(shù)。