2024年4月5日发(作者:章佳鹤轩)
背景 移动终端具有 隐私性、智能性、便携性、网络连通性
移动互联网行业中,与传统行业区别较大的一点就是 应用商店 。 应用商店是作为用户 进入移动互联网的重要入口 之一。
苹果App Store首创移动应用商店模式 (2008年7月)iOS系统
谷歌的应用商店 Android Market (后更名 Google Play) Android 系统 微软的应用商店 Windows Marketplace (后更名
Windows Phone Store) Windows Phone 系统 诺基亚的应用商店 Ovi Store Symbian 系统
移动终端的 智能性 体现在四个方面:
① 具备开放的操作系统平台 ,支持应用程序的灵活开发、安装和运行;
② 具备PC级的处理能力,支持桌面互联网应用的移动化迁移;
③ 具备高速数据网络接入能力 ;
④ 具备丰富的人机交互界面 ,即在 3D 等未来显示技术和语音识别、图像识别等多模态交互技术的发展下,以人为 核心的更智能
的交互方式。
恶意程序的传播途径: APP下载、恶意网站访问、垃圾邮件、诱骗短信、含毒广告、彩信、外围接口 等
从恶意程序的行为特征上看, 恶意扣费 类恶意程序数量 排名第一 ,其次为 资费消耗 类、 系统破坏 类和隐私窃取 类。 移动
智能终端面临的安全威胁
① 空中接口安全威胁
② 信息存储安全威胁
③ 终端丢失安全威胁
④ 数据接入安全威胁
⑤ 外围接口安全威胁
⑥ 终端刷机安全威胁
⑦ 垃圾信息安全风险
⑧ 终端恶意程序安全威胁 安全基础知识 身份认证分为 用户与
主机 、 主机与主机 之间的认证两种方式 用户与主机之间的 认证因素 :
① 用户所知道的东西
② 用户拥有的东西
③ 用户具有的生物特征
① 静态密码
② 动态密码 :短信密码、动态口令牌、手机令牌
③ 智能卡
④ 数字证书 静态密码的缺点
① 安全性低 ,容易受到各种攻击
② 易用性和安全性互相排斥 ,两者不能兼顾
③ 用户使用维护不方便
④ 风险成本高 ,一旦泄密可能造成非常大的损失
:密码、口令
:USB Key印章、智能卡(信用卡)
:指纹、声音、视网膜、签字、笔迹 用户身份认证的 4 中主要方式:
手机令牌具有 高安全性、零成本、无需携带、易于获取 以及 无物流 等优势。
常见的 数字证书 有:
① 服务器证书(SSL证书)
② 电子邮件证书
③ 客户端证书
访问控制涉及的基本要素: 发起访问的主体、接受访问的客体、访问授权规则
访问控制策略的基本因素: ①访问者、 ② 目标、 ③ 动作、 ④ 权限信任源、 ⑤ 访问规则
一般的 访问控制策略 有 3 种:
① 自主访问控制 ( DAC);
② 强制访问控制 ( MAC);
③ 基于角色的访问控制 ( RBAC)。
Linux 系统中的两种自主访问控制策略 :
① 9 位权限码 ( User-Group-Other );
② 访问控制列表 ( ACL)
多级安全(MultiLevel Secure , MLS)是一种强制访问控制策略
。
加密是最常用的安全保密手段,两个基本要素是 算法和密钥 ,从使用密钥策略商,可分为 对称密码体制和非对称密 码体制
对称密码体制包括分组密码和序列密码,典型加密算法有 DES 3DES AES IDEA、RC4 A5和SEAL等
对称密码体制的 优点 : 对称密码体制的 缺点 :
① 加密和解密速度都比较快 ① 密钥分发需要安全通道
② 对称密码体制中使用的密码相对较短 ② 密钥量大,难以管理
③ 密文长度往往与明文长度相同 ③ 难以解决不可否认的问题
非对称密码体制 是为了解决对称密码体制的缺陷而提出的: 密钥分发管理 、不可否认 。 典型的非对称密码体制有 RSA、
ECC、 Rabin、Elgamal、 NTRU。
非对称密码体制的 优点: 非对称密码体制的 缺点 :
① 密钥分发相对容易 ① 同对称密码体制比,加 / 解密速度较慢
② 密钥管理简单 ② 同等安全强度下,非对称密码体制的密钥位数较多
③ 可以有效地实现数字签名 ③ 密文的长度往往大于明文的长度
软件分析技术
① 静态分析技术 :词法分析、语法分析、抽象语法树分析、语义分析、控制流分析、数据流分析、污点分析
② 动态分析技术:动态执行监控、符号执行、动态污点传播分析、 Fuzz分析方法、沙箱技术
静态分析 的特点:
动态分析 的特点
① 不实际执行程序
① 程序必须运行
② 执行速度快、效率高
② 人工干预
③ 误报率较高
③ 准确率高但效率较低
。
2024年4月5日发(作者:章佳鹤轩)
背景 移动终端具有 隐私性、智能性、便携性、网络连通性
移动互联网行业中,与传统行业区别较大的一点就是 应用商店 。 应用商店是作为用户 进入移动互联网的重要入口 之一。
苹果App Store首创移动应用商店模式 (2008年7月)iOS系统
谷歌的应用商店 Android Market (后更名 Google Play) Android 系统 微软的应用商店 Windows Marketplace (后更名
Windows Phone Store) Windows Phone 系统 诺基亚的应用商店 Ovi Store Symbian 系统
移动终端的 智能性 体现在四个方面:
① 具备开放的操作系统平台 ,支持应用程序的灵活开发、安装和运行;
② 具备PC级的处理能力,支持桌面互联网应用的移动化迁移;
③ 具备高速数据网络接入能力 ;
④ 具备丰富的人机交互界面 ,即在 3D 等未来显示技术和语音识别、图像识别等多模态交互技术的发展下,以人为 核心的更智能
的交互方式。
恶意程序的传播途径: APP下载、恶意网站访问、垃圾邮件、诱骗短信、含毒广告、彩信、外围接口 等
从恶意程序的行为特征上看, 恶意扣费 类恶意程序数量 排名第一 ,其次为 资费消耗 类、 系统破坏 类和隐私窃取 类。 移动
智能终端面临的安全威胁
① 空中接口安全威胁
② 信息存储安全威胁
③ 终端丢失安全威胁
④ 数据接入安全威胁
⑤ 外围接口安全威胁
⑥ 终端刷机安全威胁
⑦ 垃圾信息安全风险
⑧ 终端恶意程序安全威胁 安全基础知识 身份认证分为 用户与
主机 、 主机与主机 之间的认证两种方式 用户与主机之间的 认证因素 :
① 用户所知道的东西
② 用户拥有的东西
③ 用户具有的生物特征
① 静态密码
② 动态密码 :短信密码、动态口令牌、手机令牌
③ 智能卡
④ 数字证书 静态密码的缺点
① 安全性低 ,容易受到各种攻击
② 易用性和安全性互相排斥 ,两者不能兼顾
③ 用户使用维护不方便
④ 风险成本高 ,一旦泄密可能造成非常大的损失
:密码、口令
:USB Key印章、智能卡(信用卡)
:指纹、声音、视网膜、签字、笔迹 用户身份认证的 4 中主要方式:
手机令牌具有 高安全性、零成本、无需携带、易于获取 以及 无物流 等优势。
常见的 数字证书 有:
① 服务器证书(SSL证书)
② 电子邮件证书
③ 客户端证书
访问控制涉及的基本要素: 发起访问的主体、接受访问的客体、访问授权规则
访问控制策略的基本因素: ①访问者、 ② 目标、 ③ 动作、 ④ 权限信任源、 ⑤ 访问规则
一般的 访问控制策略 有 3 种:
① 自主访问控制 ( DAC);
② 强制访问控制 ( MAC);
③ 基于角色的访问控制 ( RBAC)。
Linux 系统中的两种自主访问控制策略 :
① 9 位权限码 ( User-Group-Other );
② 访问控制列表 ( ACL)
多级安全(MultiLevel Secure , MLS)是一种强制访问控制策略
。
加密是最常用的安全保密手段,两个基本要素是 算法和密钥 ,从使用密钥策略商,可分为 对称密码体制和非对称密 码体制
对称密码体制包括分组密码和序列密码,典型加密算法有 DES 3DES AES IDEA、RC4 A5和SEAL等
对称密码体制的 优点 : 对称密码体制的 缺点 :
① 加密和解密速度都比较快 ① 密钥分发需要安全通道
② 对称密码体制中使用的密码相对较短 ② 密钥量大,难以管理
③ 密文长度往往与明文长度相同 ③ 难以解决不可否认的问题
非对称密码体制 是为了解决对称密码体制的缺陷而提出的: 密钥分发管理 、不可否认 。 典型的非对称密码体制有 RSA、
ECC、 Rabin、Elgamal、 NTRU。
非对称密码体制的 优点: 非对称密码体制的 缺点 :
① 密钥分发相对容易 ① 同对称密码体制比,加 / 解密速度较慢
② 密钥管理简单 ② 同等安全强度下,非对称密码体制的密钥位数较多
③ 可以有效地实现数字签名 ③ 密文的长度往往大于明文的长度
软件分析技术
① 静态分析技术 :词法分析、语法分析、抽象语法树分析、语义分析、控制流分析、数据流分析、污点分析
② 动态分析技术:动态执行监控、符号执行、动态污点传播分析、 Fuzz分析方法、沙箱技术
静态分析 的特点:
动态分析 的特点
① 不实际执行程序
① 程序必须运行
② 执行速度快、效率高
② 人工干预
③ 误报率较高
③ 准确率高但效率较低
。