移动互联网的机会与安全挑战.pdf

移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 移动互联网的机会与安全挑战移动互联网的机会与安全挑战 赵淦森赵淦森 博士博士 华南华南师范大学师范大学/ /中山大学中山大学 教授教授 博导博导 广东省服务计算工程中心广东省服务计算工程中心 副主任副主任 中国大数据专家委员会中国大数据专家委员会 专家委员专家委员 中国云计算专家委员会中国云计算专家委员会 专家委员专家委员 项目技术负责人情况 留英博士 教授 博士生导师 研究方向：云计算、大数据、信息安全 主要经历：英国博士，曾任英国Oracle高级工程师、中山大学软件学院海 外引进人才，现任华南师范大学教授、广东省服务计算工程中心副主任、 广州市云计算安全与测评技术重点实验室主任、中山大学软件学院联合教 授。 主要学术兼职: 中国云计算专委会专家委员、中国大数据专委会委员、中国 云计算研究中心专家、中国计算机应用专委会委员、粤港云计算服务和标 准专委会专家、广东省政法信息网二期工程专家、广东省计算机学会常务 理事，广东信息安全技术院士工作站特聘研究员，曾担任十多个国际学术 会议主席。 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 大纲 移动互联网发展趋势和本质移动互联网发展趋势和本质 移动互联网面临的安全挑战与案例分析移动互联网面临的安全挑战与案例分析 移动互联网的安全对策移动互联网的安全对策 结论结论 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 发展趋势和本质发展趋势和本质 移动互联网发展趋势和本质移动互联网发展趋势和本质 移动互联网面临的安全挑战与案例分析移动互联网面临的安全挑战与案例分析 移动互联网的安全对策移动互联网的安全对策 结论结论 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 截至2014年1月，我国移动互联网用户总数达8.388.38亿户 IDC预计，2014年全球智能手机的发货量将大幅增长，出货量将 达到12.512.5亿台，比前一年增长23.8%。截止到2018年，这一数 字将达到18亿台。 12.5亿 8.38亿 两组数据 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 移动互联网民已超过PC用户总量 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 不同设备类型所占比重 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 移动设备依赖 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 9 这是一个移动互联网时代 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 is 移动互联网？ 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 移动互联网智能手机/智能设备 百度百科的解释： 移动互联网 = 移动通信 + 互联网 基于移动通信技术，广域网、局域网及各种移动信息终端按照一定的通 讯协议组成的互联网络 移动互联网概念 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 12 需要移动互联网 Why?Why? 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 看天气 看股票 社交 获取知识 购物 工作 地图 互联网出现之前 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 看天气 看股票 社交 获取知识 购物 工作 地图 互联网时代 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 看天气 看股票 社交 获取知识 购物 工作 地图 移动互联网时代 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 认知世界的方式发生了改变 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 数据之大与多样数据之大与多样 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 18 信息社会在不断产生、存储和处理数据信息社会在不断产生、存储和处理数据 对世界的认知和改造依赖于数据对世界的认知和改造依赖于数据 获取自身以外的信息服务获取自身以外的信息服务 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 移动互联网发展趋势和本质移动互联网发展趋势和本质 移动互联网面临的安全挑战与案例分析移动互联网面临的安全挑战与案例分析 移动互联网的安全对策移动互联网的安全对策 结论结论 系统系统 信道信道 应用应用 设备设备 云端云端 面临的安全挑战与案例分析 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 我们的手机并不安全 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 351%351%的增长率 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 12001200万次的恶意程序传播 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动互联网面临的安全挑战 云端 设备 信道 系统 应用 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 云端安全 云与移动设备 移动设备处理能力有限 应用依赖于云端支持 单点安全瓶颈 集中式的架构 主要攻击目标 云的信任问题 数据和服务外包 可用性 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 云端的7大威胁 共享技术的漏洞共享技术的漏洞 数据损失数据损失/数据泄漏数据泄漏 恶意的内部用户恶意的内部用户 审计服务以及通讯劫持审计服务以及通讯劫持 不安全的应用接口不安全的应用接口 恶意使用服务恶意使用服务 未知的风险未知的风险 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动互联网与云计算、大数据 大数据大数据 云计算云计算 智能移动设备智能移动设备 用户用户 移动互联网移动互联网 便携，源源不断产生数据便携，源源不断产生数据 处理能力有限处理能力有限 资源资源/ /服务依赖于外部服务依赖于外部 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 单点安全瓶颈 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 云的信任问题 Data Flow Cloud Service Provider Clients Cloud Storage Servers Security Message Flow Security Message Flow Security Message Flow Third Party Auditor Untrusted 云对数据服务器而言是不可信的云对数据服务器而言是不可信的 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 案例分析：iCloud照片门 9月1日，众多美国大腕女星像詹妮弗.劳 伦斯、凯特.厄本、爱莉安娜.格兰德以及维多利 亚.嘉丝蒂等人的裸照接连曝光，有消息称原因是 有黑客攻击了多个iCloud账号所致。 用户可以通过iCloud对设备的通讯录、邮件、照 片等私人数据进行备份 iCloud账户被入侵主要利用了“iBrute“漏洞 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-182014-09-18 过程分析 iBrute漏洞是Find My iPhone中存在的安全漏洞，可能导致 用户受到暴力破解的威胁。 攻击者iBrute漏洞暴力破解Find My iPhone账户 影响iCloud账户 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 棱镜 PRISMPRISM 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 32 “斯诺登事件”深度思考“斯诺登事件”深度思考 棱镜计划棱镜计划 巧计划 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 设备安全 随身携带的隐私载体 设备的硬件漏洞 设备的广泛接入 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 本身承载大量隐私信息本身承载大量隐私信息 不断地产生和传播隐私信息不断地产生和传播隐私信息 设备承载隐私信息 支付账户密码 你在哪 你的联系人信息 你的照片 你的社交信息 你的通讯信息 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 设备硬件漏洞 设备的硬件具有漏洞设备的硬件具有漏洞 设备广泛接入设备广泛接入 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 高通芯片漏洞 BlackHat2014公布高通骁龙芯片存在安全漏洞 危害 绝大部分Android手机受到影响 可用于曝光敏感关键资料 危害操作系统的保护机制 该漏洞出现在ARM的TrustZone区域 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 BadUSB漏洞 “BadUSB”是一个重大USB安全漏洞USB接口控制器芯片可 以被重新编程，用于恶意用途，且难以察觉。 危害 任意USB设备都可以植入恶意程序 NSA已经利用这个漏洞 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 安全的设备？ BlackPhone Samsung KNOX GuardianR OM Crytogen Mod 针对喜欢重启的人 群 针对不要求安全的 人群 针对喜欢自己动手 制作的黑客 源于 CyanogenMod 11 针对有钱人 BlackHat安全 大 会上5分钟Root 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 信道安全 多种接入路径 4G/3G/2G WLAN NFC 蓝牙 面临的问题 恶意Wifi 伪基站 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-182014-09-18 无线信道 无线网络承载的通信内容 控制信令 语音数据 . . 威胁 一台符合一定频率标准的设备，可以轻易地获得无线信道上传输的内容 通信的加密算法存在被破解的威胁，GSM网络中的加密算法已经在2009 年被证明是不安全的 容易遭到伪装成网络接入点的中间人攻击 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 咖啡店的wifiwifi 进入一家咖啡店，你会不会先找wifi？ 钓鱼wifi 账号密码被盗 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 wifiwifi安全吗？ 全国免费公共WiFi热点超600万个，21%存在安全隐患 虚假公共WiFi热点钓鱼成本最低、可盗取银行卡密码等重要信息。 公共WiFi热点监管一直存在真空地带，安全问题日益严峻 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-182014-09-18 wifiwifi安全威胁 中间信道容易遭到中间人攻击 免费wifi 中间人伪装热点wifi，设备自动连 上 网络抓包，明文传输 加密wifi 加密算法存在被破解的威胁 简单密码暴力破解 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 伪基站 “伪基站”即假基站。设备是一种高科技仪器，通过相关设备能够 搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商 的基站，任意冒用他人手机号码强行向用户手机发送短信、等需要满 足自己要求的信息。 屏蔽手机信号 重新搜索周围基站信号 连入伪基站 分析手机号码 推送垃圾信息 伪 基 站 移 动 设 备 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 问题成因 无线安全的固有问题 难以验证接入点可信性难以验证接入点可信性 1 传输数据容易窃取分析传输数据容易窃取分析 2 无法进行物理隔离无法进行物理隔离 3 用户安全意识用户安全意识 4 抗外界干扰能力 5 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 系统安全 设计缺陷 安全机制的局限性 系统漏洞 用户意识 越狱和root 应用安装与授权 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动操作系统 Android和iOS是主流 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 Android与ios Android ios 系统架构 Applications、Application Framework、Libraries and Android Runtime、Linux Kernel Cocoa Touch、Media、 Core Services、Core OS 系统与设备 芯片厂商、手机厂商、运 营商不同定制 设备和系统紧密集成 应用商店 Google Play、各种第三方 应用市场 Appstore 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 内核漏洞 禁用SYN cookie支持 ，降低了对SYN洪泛攻 击的抵御 主要受到来自SQLite 、WebKit以及原生库 的一些功能实现等的 攻击 恶意应用 Fragment注入 Android以 Linux内核为基 础，实现内存 管理等服务 应用框架层的 支撑，为 Android系统中 的各个组件提供 服务 提供开发应用 程序所需的类 库，方便重组 组件 各类与用户交 互的应用程序 AndroidAndroid系统安全架构 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 iOSiOS安全架构 iOS系统安全机制 安全引导链 系统软件验证 应用代码签名 运行时安全 文件数据保护 密码链保护 只读信任根只读信任根 逐级验证逐级验证 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-182014-09-18 安卓系统的RootRoot 系统 Android 最终目标 提权，获得超级用户（superuser）权限 原理 通过执行破解程序，临时获得root权限，在这个权限下把su和 superuser.apk拷入手机系统，之后就能随时获得root权限了 相关漏洞 CVE-2010-EASY ZergRush Android adb setuid 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-182014-09-18 如何RootRoot 前提 可以通过adb连接设备 连接adb的用户权限是shell 漏洞描述 早期Android adb代码中没有检查系统调用setuid()与setgid()的 错误返回值而造成的adb降级失败（未能从root降为shell），从而轻 松获得Android的root权限。 android_src/system/core/adb/adc.c中的setuid()和 setgid()调用代码： /* then swith user and group to “shell“ */ setgid(AID_SHELL) setuid(AID_SHELL) 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-182014-09-18 如何RootRoot 关键细节 程序设计者没有考虑当进程数达到上限时，系统调用会失败 代码中没有检测失败的系统调用，继续运行， 没有从root降为shell adb在init.rc中由init进程启动，而init.rc启动时都是root权限 随后再调用前面的代码降级，由于调用失败，因此仍为root 过程（右图） 后续工作便是替换su程序 修补？ 加上代码判断即可if(setgid(AID_SHELL) != 0) exit(1); 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 越狱的本质 越狱的本质是利用系统漏洞，绕过系统安全机制，从而获得系统 的控制权。 盘古越狱利用三个漏洞 代码签名绕过 内核信息泄漏 内核内存覆盖 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 越狱与Root的影响 越狱 Root 提升权限 绕过安全机制 更高读写权限 更加脆弱更加脆弱！ 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 手机的权限越大，潜在的安全威胁也越大 设备和应用程序不稳定 缩减电池续航时间 提高的系统管理权限被恶意软件利用 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 AndroidAndroid签名漏洞 7月30日，安卓爆出签名漏洞 恶意程序能用假ID伪装 危害举例 冒充谷歌钱包，窃取付款数据。 伪装管理软件，控制整个系统。 原理 每个应用程序都有数字签名 当一个程序反射一个ID时， 没有向ID所有者核查真伪。 这样就可以用假ID来伪造应用 恶意应用Adobe Flash 公钥公钥 机构：Adobe机构：Adobe 机构证书机构证书 冒充 反射 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 iOS锁屏漏洞 iOS 7.1.1现存漏洞可让任 何人轻松绕过锁屏密码访问通 讯录，并可直接拨打电话或发 送短信。 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 应用安全 恶意应用 广告 隐私 破坏 植入 应用授权问题 传感器 敏感数据 关键操作 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 应用的安全问题 Android的安全机制 应用授予不同的权限 。有的应用什么权限 都申请，但用户并不 了解应用申请权限做 什么 权限 机制 签名 机制 组件 保护 应用需要签名机制 保证完整性，采用 自签名，不能验证 安全性。 如果组件之间的访 问控制没有做好， 可能出现权限提升 攻击 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 恶意应用的安全威胁 诱骗欺诈 恶意扣费 远程控制 系统破坏 隐私窃取 流氓行为 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动支付类手机木马泛滥 移动支付的火爆，出现了许多移动支付类应用，而这些应用成为 手机木马的目标，严重威胁了手机用户的支付安全。 “手银鬼手” “钓鱼木马” “假面银贼” “鬼面银贼” “替死鬼木马二代” 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 窃听大盗系列木马上演现实版“窃听风云” “窃听大盗”木马通过论坛链 接、扫描二维码等方式骗取用 户安装。 危害 偷录用户通话、环境音 偷拍手机周围环境 窃取隐私信息 定位用户地理位置 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 夺命锁木马强制锁死手机2424小时 夺命锁木马通过伪装成多款手 机应用诱骗用户下载。 危害 手机被强制锁死24小时 可能演化成“敲竹杠”，威胁手 机用户财产安全 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 “长老木马”专盗手机2020余项密码 “长老木马”是ROM级别的木 马 危害 窃取手机的短信、电话号码、位 置、日程、wifi、浏览器等多 达20余项账号及密码 窃取手机环境音 限制用户拨打电话。 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 恶意应用泛滥原因 利润高 缺乏 监管 成本低 多样性 流通效 率高 用户信 任度高 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 漏洞应用 Chainfire SuperSU是超级用户访问管理工具。在实现上存在任 意命令执行漏洞，攻击者可利用此漏洞以root权限执行任意命令。 除了有恶意应用，还会有应用会存在漏洞而被利用 原因 开发者的设计疏忽 应用没有完全通过测试 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 应用授权问题 普通开发者往往为了更好地控制 应用，申请过多不必要的权限 在与通话，短信，位置相关的权限 中容易泄露用户的隐私数据 用户在应用授权中处于被动状态 用户往往不了解应用所申请权限的用 途 在安装并授权时，用户只能选择同意 全部权限，否则应用不能安装 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-182014-09-18 xxshenqixxshenqi这件事 七夕在全国范围内爆发的手机病毒“xx神 奇”，是一个刚入门手机编程的大一学生 制作，有超过50万台受到感染，超过500 万用户收到诈骗短信。 诱导用户注册，泄露个人隐私信息 获得联系人信息，群发恶意链接，导致手机恶 意扣费 安装木马，控制用户的短信消息，包括读取， 发送和伪造 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 xxshenqixxshenqi攻击路线 传播源 无法限制单一权限 信道 对于传播的链接无法判断是否恶 意 感染者 设备无法判断将要安装的应用是 否行为正常 传播源传播源 信道信道 感染者感染者 只要对以上节点的问题进行阻断，只要对以上节点的问题进行阻断，xxshenqi就不会如此肆虐就不会如此肆虐 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-182014-09-18 xxshenqixxshenqi是怎么做到的 恶意程序主包隐含着木马子包恶意程序主包隐含着木马子包 利用朋友圈之间的信任关系利用朋友圈之间的信任关系 用户不了解应用申请的权限用户不了解应用申请的权限 恶意软件制作门槛低恶意软件制作门槛低 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 2014-09-18 安全对策安全对策 移动互联网发展趋势和本质移动互联网发展趋势和本质 移动互联网面临的安全挑战与案例分析移动互联网面临的安全挑战与案例分析 移动互联网的安全对策移动互联网的安全对策 结论结论 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动互联网的安全对策 移动互联网安全体系 移动互联网的安全监管 通道、接入、内容、设备 自主可控的基础平台 操作系统 芯片 移动应用的安全管理 认证、安全分析 面向智能终端的信息安全技术 数据及隐私保护 加解密技术 可信计算 移动互联网后端服务平台 云安全 大数据安全 安全管理 安全评估 安全标准 安全指南 2014-09-18 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动互联网安全体系框架移动互联网安全体系框架 端端 软件环境软件环境硬件环境硬件环境 管管 信道验证信道验证安全传输安全传输 云云 数据隐私数据隐私可信云可信云 访问访问 控制控制 技术技术 可信可信 计算计算 数据数据 安全安全 技术技术 隐私隐私 保护保护 技术技术 漏洞漏洞 挖掘挖掘 技术技术 安全安全 传输传输 技术技术 密钥密钥 管理管理 技术技术 风险管理风险管理 风险分析风险分析 风险评估风险评估 风险控制风险控制 风险预防风险预防 规范管理规范管理 质量模型质量模型 监管体系监管体系 监管措施监管措施 调查取证调查取证 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动互联网的安全监管-通道 目标 保证通道的安全性 监管通道异常 监管手段 排查 检测 维护 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动互联网的安全监管-接入 目标 保证接入点的安全性 管理广泛接入设备 关键技术 各类型通信技术 信道验证技术 安全传输技术 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动互联网的安全监管-内容 目标 对互联网资讯进行审查 维护互联网的环境 关键技术 关键字过滤 中文分词技术 内容分级技术 多媒体信息识别技术 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动互联网的安全监管-设备 目标 保护设备软硬件和数据安全 控制接入配置与网络分配 关键技术 数据加密 访问控制 应用管理 数据隐私保护 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 自主可控的基础平台-操作系统 目标 易用性 可靠性 安全性 关键技术 安全策略灵活配置 高强度访问控制 加入自主模块 检测关键模块 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 自主可控的基础平台-芯片 目标 可控性 安全性 对策 产学研结合 需求驱动 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动应用的安全管理-认证 目标 保护应用的完整性 加固系统安全 关键技术 数字签名 身份认证 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 移动应用的安全管理-安全分析 目标 对移动应用的安全水平进行评估 定位应用安全的薄弱环节 关键技术 静态安全分析方法 动态安全分析方法 移动互联网移动互联网 信息安全信息安全 赵淦森博士赵淦森博士 数据及隐私保护 目标 保护个人或用户数据的完整