移动终端安全关键技术与应用分析-知识点汇总

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业背景移动终端具有隐私性、智能性、便携性、网络连通性移动互联网行业中，与传统行业区别较大的一点就是应用商店。应用商店是作为用户进入移动互联网的重要入口之一。苹果AppStore首创移动应用商店模式（2008年7月）iOS系统谷歌的应用商店AndroidMarket（后更名GooglePlay）Android系统微软的应用商店WindowsMarketplace（后更名WindowsPhoneStore）WindowsPhone系统诺基亚的应用商店OviStoreSymbian系统移动终端的智能性体现在四个方面：①具备开放的操作系统平台，支持应用程序的灵活开发、安装和运行；②具备PC级的处理能力，支持桌面互联网应用的移动化迁移；③具备高速数据网络接入能力；④具备丰富的人机交互界面，即在3D等未来显示技术和语音识别、图像识别等多模态交互技术的发展下，以人为核心的更智能的交互方式。恶意程序的传播途径：APP下载、恶意网站访问、垃圾邮件、诱骗短信、含毒广告、彩信、外围接口等从恶意程序的行为特征上看，恶意扣费类恶意程序数量排名第一，其次为资费消耗类、系统破坏类和隐私窃取类。移动智能终端面临的安全威胁①空中接口安全威胁②信息存储安全威胁③终端丢失安全威胁④数据接入安全威胁⑤外围接口安全威胁⑥终端刷机安全威胁⑦垃圾信息安全风险⑧终端恶意程序安全威胁------------------------------------------------------------------------------------------------------------------------------------------------------------------安全基础知识身份认证分为用户与主机、主机与主机之间的认证两种方式用户与主机之间的认证因素：①用户所知道的东西：密码、口令②用户拥有的东西：USBKey、印章、智能卡（信用卡）③用户具有的生物特征：指纹、声音、视网膜、签字、笔迹用户身份认证的4中主要方式：①静态密码②动态密码：短信密码、动态口令牌、手机令牌③智能卡④数字证书静态密码的缺点①安全性低，容易受到各种攻击②易用性和安全性互相排斥，两者不能兼顾③用户使用维护不方便④风险成本高，一旦泄密可能造成非常大的损失手机令牌具有高安全性、零成本、无需携带、易于获取以及无物流等优势。常见的数字证书有：①服务器证书（SSL证书）②电子邮件证书③客户端证书访问控制涉及的基本要素：发起访问的主体、接受访问的客体、访问授权规则访问控制策略的基本因素：①访问者、②目标、③动作、④权限信任源、⑤访问规则一般的访问控制策略有3种：①自主访问控制（DAC）；②强制访问控制（MAC）；③基于角色的访问控制（RBAC）。Linux系统中的两种自主访问控制策略：①9位权限码（User-Group-Other）；②访问控制列表（ACL）多级安全（MultiLevelSecure，MLS）是一种强制访问控制策略。加密是最常用的安全保密手段，两个基本要素是算法和密钥，从使用密钥策略商，可分为对称密码体制和非对称密码体制。对称密码体制包括分组密码和序列密码，典型加密算法有DES、3DES、AES、IDEA、RC4、A5和SEAL等对称密码体制的优点：①加密和解密速度都比较快②对称密码体制中使用的密码相对较短③密文长度往往与明文长度相同对称密码体制的缺点：①密钥分发需要安全通道②密钥量大，难以管理③难以解决不可否认的问题非对称密码体制是为了解决对称密码体制的缺陷而提出的：密钥分发管理、不可否认。典型的非对称密码体制有RSA、ECC、Rabin、Elgamal、NTRU。非对称密码体制的优点：①密钥分发相对容易②密钥管理简单③可以有效地实现数字签名非对称密码体制的缺点：①同对称密码体制比，加/解密速度较慢②同等安全强度下，非对称密码体制的密钥位数较多③密文的长度往往大于明文的长度软件分析技术①静态分析技术：词法分析、语法分析、抽象语法树分析、语义分析、控制流分析、数据流分析、污点分析②动态分析技术：动态执行监控、符号执行、动态污点传播分析、Fuzz分析方法、沙箱技术静态分析的特点：①不实际执行程序②执行速度快、效率高③误报率较高动态分析的特点①程序必须运行②人工干预③准确率高但效率较低软件保护技术①代码混淆技术：（1）词法转换（2）流程转换（3）数据转换：静态数据动态生成、数组结构转换、类继承转换、数据存储空间转换②软件加壳：压缩壳、保护壳；加壳技术：花指令、代码混淆、加密与压缩③反破解技术：（1）对抗反编译（2）对抗静态分析：混淆、加壳（3）对抗动态调试：动态调试检测（4）防止重编译：检查签名、校验保护------------------------------------------------------------------------------------------------------------------------------------------------------------------移动终端安全体系架构硬件体系结构 1945年，冯*诺依曼首先提出了“存储程序”概念和二进制原理，后来人们把利用这种概念和原理设计的电子计算机系统统称为“冯*诺依曼结构”，也称为“普林斯顿结构”。X86、ARM7、MIPS处理器都采用了“冯*诺依曼结构”。PC端X86处理器使用了复杂指令集；ARM处理器使用了精简指令集。ARMTrustZone是ARM针对消费电子设备安全所提出的一种架构，是保证手机安全的基础，支持SIM锁、DRM（数字版权保护）和支付安全服务。操作系统体系结构从做系统从结构上都可以分为用户模式和内核模式，一般进程是处于用户态（UserMode）一个标准的智能终端操作系统需要具备的功能：①进程管理（ProcessingManagement②内存管理（MemoryManagement）③文件系统（FileSystem）④网络通信（Networking）⑤安全机制（Security）⑥用户界面（UserInterface）⑦驱动程序（DeviceDrivers）操作系统信息安全机制两大理念：①操作系统提供外界直接或间接访问数种资源的管道；②操作系统有能力认证资源访问的请求：内部来源的请求和外部来源的请求。移动终端的安全特性Android操作系统的安全特性，采用安全沙箱模型隔离每个应用程序和资源。Android的Linux内核控制包括安全、存储管理器、程序管理器、网络堆栈、驱动程序模型等。Android的安全特性①继承自Linux的安全机制：（1）用户ID（UID）（2）Root权限②Android特有的安全特性：（1）沙箱技术。沙箱中使用DVM运行由JAVA语言编译生成的Dalvik指令；（2）Androi内核层安全机制：强制访问控制、自主访问控制（3）Android的权限检查机制：应用程序以XML文件形式申请对受限资源的使用。（4）Android的数字签名机制（5）内核通信机制Android权限机制的缺陷①权限一经授予应用程序，则在该应用程序生命期间都将有效，用户无法剥夺权限。②权限机制缺乏灵活性，要么全部批准应用程序的全部权限申请，要么拒绝程序安装；③权限机制安全性不够，不能阻止恶意软件通过JNI技术直接调用C库，从而获取系统服务。Android不会安装一个没有数字证书的应用程序。Binder提供了轻量级的Android远程方法调用机制。Android系统中的4中组件①Activity（活动），一个界面，保持独立的界面。②Service（服务），运行在后台的功能模块。③ContentProvider（内容提供者），应用程序间数据共享的一种标准接口，以类似URI的方式来表示数据。④BroadcastReceiver（广播接收器），专注于接收系统或其他应用程序的广播通知信息，并做出对应处理的组件。 广播接收器没有用户界面，可以启动一个Activity来响应他们接收到的信息，或者用NotificationManager来通知用户。广播接收器提供了一种把Intent作为一个消息广播出去，由所有对其感兴趣的程序对其作出反应的机制。Intent是一个对动作和行为的抽象描述，负责组件之间程序之间进行消息传递。Android中进程间通信的终点称为通信端点。按照IPC的通信端点划分，Service运行在后台，提供了调用Binder的接口，调用者可以绑定服务，并通过服务暴露出的方法使用Service。内容提供者为设备中应用提供数据内容，广播接收器处理其他组件或是系统发出的广播消息，Activity是个可视组件，可以被自己或其他应用调用。iOS操作系统的安全特性①系统可信启动：iOS的核心安全是基于它的启动；目前大部分“越狱”技术都是以这条启动链为攻击目标，最致命的是对Bootrom的攻击。Bootrom是这条启动信任链的根，对它成功攻击将导致后续的安全机制失效。②沙箱技术：iOS通过沙箱来实现访问控制。沙箱由用于初始化和配置沙箱的用户控件库函数、服务器和内核扩展构成。③地址空间布局随机化策略（ALSR）：一种针对缓冲区溢出的安全保护技术。④数据保护机制：（1）硬件加密、（2）软件加密、（3）程序签名机制、（4）密钥链和数据保护加密手机的通信加密技术是搭载了加密算法的手机终端。CDMA技术在安全保密方面的三道屏障：①扩频技术、②伪随机码技术、③快速功率控制专用技术------------------------------------------------------------------------------------------------------------------------------------------------------------------手机卡与芯片安全SIM（客户识别模块）卡是带有微处理器的智能芯片卡，在GSM中，SIM作为唯一确认用户身份的设备。SIM一般由CPU、ROM、RAM、EPROM/E2PROM（数据存储器）、串行通信单元等模块组成。ROM用于存放系统程序，用户不可操作；RAM用于存放系统临时信息，用户不可操作；EPROM/E2PROM用于存放号码短信等数据和程序，可擦写。SIM卡最早由IC卡发展而来。标准SIM卡的尺寸为25X15mm，容量1~3kB；MicroSIM卡的尺寸为12X15mm；NanoSIM卡的尺寸为12X9mm。SIM卡是一个软件和硬件组合的产品，软件上遵循GSM11.11、GSM11.14标准，硬件上遵循ISO/IEC7816等标准。SIM卡具有系统、文件、业务三层结构。SIM卡的关键数据：①ICCID：集成电路卡识别码，固化在SIM卡中，是IC卡的唯一识别号码，由20位数字组成；②IMSI：国际移动用户识别号，区别移动用户的标识，总长度不超过15位；③Ki：用户鉴权密钥，相当于SIM卡登录网络的密码，随机生成，加密存储；④PIN：个人身份码，SIM开的个人识别密码，4到8位十进制数字组成，缺省为关闭状态；⑤PUK：PIN码解锁码，8位十进制随机数，客户不可自行修改。SIM卡的安全功能主要有：鉴权和密钥生成、数据加密、文件访问控制：①SIM卡访问控制：PIN输入错误3次后，SIM卡自动锁定；PUK码输入输入10次错误后，SIM卡自动销毁失效。②SIM入网认证鉴权：IMSI和Ki会在生产过程中写入SIM卡，并送入GSM网络单元AuC鉴权中心。鉴权过程：AuC发出随机数给SIM卡计算响应数，并将SIM计算的响应数与自己计算的响应参数比对，判断SIM卡是否合法。③用户数据加密：防止窃听，使用A5算法和密钥Kc来加密传输的数据。GSM网络登录步骤1.手机开机；2.从SIM卡中读取IMSI(15个数字)和TMSI(4字节)；3.手机登录网络时，将会IMSI（首次发送）或TMSI发给网络；4.网络判断到该IMSI或TMSI有效，要生成一个128bit的RAND，然后发给手机；5.手机收到RAND后，将RAND发给SIM卡；6.SIM以里面的KI为密钥对RAND进行A3、A8运算，生成(SRES+Kc)；7.手机读取(SRES+Kc)(32bit+64bit)，并将SRES发给网络；8.网络自己进行一次A3、A8运算，如果结果与手机返回的SRES相同，则认为该用户合法。手机终端的安全风险①垃圾短信、骚扰电话②隐私数据泄密和SIM卡信息的复制③手机病毒SIM卡复制卡的一个很重要安全风险是短信和来电劫持，两张相同的SIM卡同时使用，电话和短信会流入先和基站建立连接的那张卡的手机。攻击者复制SIM卡是通过一定手段获取SIM卡关键机密信息Ki、IMSI和ICCID，然后写入一张空白卡。SIM卡复制的危害：卡主可能面临通话被窃听、短信被截获、电话被盗打、被利用散播广告或开展电话诈骗等。SIM卡的防复制原理：依据攻击随机数的关联性，设计鉴权随机数分析方法，实现SIM卡防复制功能①第一代SIM卡防复制技术：基于内置随机因子的鉴权随机数检测方案；SIM单独开辟存储空间，存储50个鉴权随机数，将接收的随机数依次比对，有5个或5个以上对应字节相同则认为是攻击；如果16位全部相同，则认为是网络侧数据重发，而非攻击。安全性：（1）攻击者需要每次至少变化6个字节的随机数，增大了攻击难度；（2）随机数加扰，无法获知选取方式使得攻击者无法绕开存储的随机数检测。②第二代SIM开防复制技术：（1）具备依据鉴权随机数性质，判断攻击模式；（2）能执行防攻击流程，输出错误结果抵抗攻击；（3）对攻击次数进行记录，并累计一定次数后锁定SIM卡；（4）锁定SIM卡后不能执行正确鉴权，必须解锁后才能正常使用。（5）优点：支持在GSM、TD网络等移动终端上使用，处理时间要求小于1000ms能在255次攻击性鉴权内有效识别攻击，并执行锁定。SIM卡复制的综合防治方案①卡片生产环节：敏感数据的安全管理，杜绝人为泄密；②卡片（数据）运输环节：实体SIM卡通过物流公司运送，SIM卡数据通过运营商专业系统提交。③发卡放号环节：采用新技术防止新技术发卡渠道发生数据泄密；④SIM卡使用环节：引导用户使用SIM卡开机密码、培养良好的手机使用习惯，⑤SIM卡复制后的监控三种加强SIM卡防复制能力的办法①在现有Comp128V1的算法和鉴权机制上通过增加更复杂的逻辑进行防御，改动小，成本低，仍有风险；②从根本上对2G的SIM卡鉴权算法进行升级，可采用Comp128V2、MillenageFor2G；③增加后台系统支撑技术进行共同防御。SIM卡的安全机制SIM卡的安全机制分为内部存储数据的加密方式、用户入网鉴权方式等。SIM卡的数据加密：SIM卡通过数据加密保护用户的个人数据和认证鉴权密钥等关键数据。SIM卡内保存的数据可以归纳为以下五种类型：(1)由SIM卡生产厂商存入永久无法更改的系统原始数据。存放在根目录。(2)由GSM网络运营部门或者其他经营部门在将卡发放给用户时注入的网络参数和用户数据。包括：*鉴权和加密信息Ki(Kc算法输入参数之一：密匙号)；*国际移动用户号(IMSI)；*A3：IMSI认证算法；*A5：加密密匙生成算法；*A8：密匙(Kc)生成前，用户密匙(Kc)生成算法；(3)由用户自己存入的数据。比如短消息、固定拨号，缩位拨号，性能参数，话费记数等。(4)用户在用卡过程中自动存入和更新的网络接续和用户信息类数据。包括最近一次位置登记时的手机所在位置区识别号(LAI)，设置的周期性位置更新间隔时间，临时移动用户号(TMSI)等。(5)相关的业务代码，如个人识别码（PIN）、解锁码（PUK）等。SIM卡上的每种数据都存在各自的目录里，每个目录和文件都有自己的ID，叫做FID。手机上的“计费”功能需要PIN2码的支持。A3、A8算法是在生产SIM卡的同时写入的。SIM卡通过身份鉴权保护网络，用户的网络鉴权是通过鉴权中心AuC完成的。GSM系统中的通信加密也只是指无线路径上的加密，指基站收发台BTS和移动台MS之间交换客户信息和客户参数时不被非法个人或团体所得或监听。是否加密有系统决定，产生加密码的算法称为A5算法，利用64bit的Kc和22位的帧号码生成114位的加密序列来和114位的数据信息为进行异或操作，从而达到传输信息的加密。SIM卡的安全芯片安全芯片的优点是数据存储采取只能输入不能输出的存储方式。智能卡芯片的安全特性主要由3部分保证：硬件、操作系统和应用。智能芯片支持应用的安全机制包括数据的机密性、完整性和数据鉴权，同时还要借助非密码技术的流程保护、如密钥管理、程序测试与验证等，以确保卡片各方面的安全性。安全性偏操作系统（COS）的安全模块分散在COS的各模块中，包括最底层的加密算法实现、COS安全服务和上层应用安全操作等。安全策略器+对象管理器+终端COS的安全措施①身份认证：内部认证，终端对智能卡，失败不改变COS安全状态；外部认证，智能卡对终端，失败计数减1，归零锁定密钥。②安全报文传输：对明文信息加密保证信息的机密性，用消息认证码来保证信息的完整性与实体的有效性；③用户鉴别：使用PIN或CHV（持卡人认证）来辨别合法的持卡人；④数据存储条件机制与多应用管理：COS内部文件文件描述块（文件头）包含文件安全属性，含有文件被操作前后的安全特征。⑤密钥管理：密钥的产生、分发、存储、备份更新、销毁全过程管理USIM卡的安全机制USIM，通用用户识别模块，用于UMTS3G网络，是驻留在集成电路卡（UICC）中的应用。USIM卡中的文件系统安全USIM卡中的文件主要包括MF、EF、DF，文件结构与SIM卡的最大区别是引入了ADF（文件分区）概念。为了实现对卡内应用文件的保护，使用了两种安全措施：①PIN码管理：USIM卡内每个ADF下有8个应用PIN和通用密钥索引；PIN码的管理状态：PIN输入状态、PIN未输入或输入错误状态、PIN锁住状态两个计数器：PIN计数器、解锁计数器②访问控制：文件访问条件被定义成5个等级：（1）ALW（总是），无限制访问（2）PIN1（个人鉴别码1），只有提供了有效的PIN1才能访问（3）PIN2（个人鉴别码2），只有提供了有效的PIN2才能访问（4）ADM（可管理的），有适当的管理部门决定访问权限（5）NEV（永不），文件禁止访问。在USIM卡中除了SELECT（选择文件）、STATUS（获取目录相关信息）、GETRESPONSE（获取相应数据）外，其它访问文件指令都需要授权。USIM卡的双向认证和密钥协商认证和密钥协商（AKA）是电信智能卡最重要的功能。①基于USIM卡的AKA协议USIM卡鉴权五元组：RAND、CK、IK、XRES、AUTN②认证和密钥算法：AKA算法为非标算法，可自定义；3GPP参考f1、f1*、f2、f3、f4、f5、f5*算法。Java卡的安全机制①防火墙机制和对象共享机制②垃圾回收机制③事务管理机制：保持操作原子性④Java卡安全性的其它方面：（1）编译时间检查、（2）类文件的证实和子集检查、（3）CAP文件和输出文件验证（4）安装检查、（5）使用密码加强信任链、（6）密码支持目前基于EAP认证协议的EAP-SIM卡广泛应用于2GGSM卡用户接入WLAN网络。EAP-SIM使用的认证数据来源与其它认证协议不同，使用了SINM卡中存储的用户数据和原始认证信息来认证用户。EAP-AKA适用于3G网络USIM的认证；EAP-SIM适用于2GGSM网络SIM的认证。EAP-SIM认证标准是RFC4186；EAP-AKA认证标准是RFC4187.802.1X是一种基于端口的访问控制协议，能够实现对局域网设备的安全认证和授权。IEEE802.1X的体系结构包括：客户端（请求者）、认证系统（认证者）、认证服务器。802.1X用EAP协议来完成认证，EAP本身是一个通用架构用来传输实际的认证协议。终端可信计算芯片集成了可信计算模块（TPM）。TPM是可信计算技术的核心，以TPM为信任根，TCG的信任机制是通过可信度量（TM）、可信报告（TR）、和可信存储（TS）来实现的。终端可信计算芯片内置算法引擎包括：RSA、AES、SHA-1；ECC、SHA256将在后续版本支持。可信计算终端与传统保护方案的区别①传统安全保护基本上以软件为基础并附于密钥技术，并不可靠；②可信计算在底层进行更高级别的防护，通过可信赖的硬件对软件层进行保护；③在硬件层执行保护能够获得独立于软件环境的安全防护；④通过系统硬件执行相对基础和底层的安全功能，可以保证软件层的非法访问和恶意操作无法完成。可信计算的实际应用①信息加密保护：IBM第一个利用可信计算，嵌入式安全子系统；②操作系统安全：Vista安全启动特性是Windows系统所应用的第一个基于硬件的解决方案；③网络保护：3COM集成了嵌入式防火墙的网卡产品，硬件VPN功能；④安全管理：intel主动管理技术（AMT）------------------------------------------------------------------------------------------------------------------------------------------------------------------移动终端操作系统安全Android权限机制缺陷①安装权限申请不能动态修改。要么全部接受，要么拒绝安装；②权限描述不清楚。③可以不显示权限申请界面。通过adbinstall命令安装，或者从GooglePlay下载的应用安装。操作系统的定制开发隐患①手机厂商在定制过程中对基础系统的本身的漏洞修补能力参差不齐；②定制过程中由于技术能力的差别，可能引入新的安全隐患或者在利益驱使下集成预装恶意软件。移动终端系统的越狱问题智能终端操作系统的Root权限被滥用问题是智能终端安全的最大问题。iOS越狱后可实现的功能：自启动运行、获取联系人、获取短信和通话记录、破解邮件和网络密码、无需授权GPS后台追踪、通话和短信拦截、后台录音。根据来源的不同，Android系统的应用软件可以分为内置应用和第三方应用。由于Android系统的机制，所有应用程序均运行在虚拟机中，除了必备的功能集成在操作系统中之外，所有应用都运行在一个独立的虚拟机中。即使是系统应用也运行在一个虚拟机中，只是应用声明的权限不同。内置应用通常指手机出厂时就固化在操作系统ROM中的应用，一般为手机必备功能，如通话、照相、时钟、网页浏览、系统设置等。开发者利用SDK开发Android应用软件。安卓市场的排名指标：总安装/总下载、评分/5、留存安装/总安装。安卓市场的审核机制：①软件运行：经实测可正常运行，不带恶意行为，必须基于平台原生开发；②软件功能及内容：基本功能及常规设置正常，不得违反法律法规和平台市场规则的软件；③软件名称：项目名称与软件名称一致，不得包含无关热门词语及过长的宣传语；④软件描述：准确描述软件相关信息及功能，不得包含无关内容和宣传广告；⑤软件其它信息：语言类别和分类信息应与实际相符合；⑥软件截图：截图不少于三张，个别小部件允许两张，无界面程序允许无截图；超过5M的游戏提供3到5张截图；至少一张展示程序运行的画面；截图不得带竞品工具标识。⑦批量上传：不允许同一款应用批量上传。Android的安全机制①访问限制②应用程序签名③DVM防护④权限命名机制⑤数据安全机制UID⑥“沙箱”机制Android手机的破解一般指获取操作系统的Root权限。Android获取Root权限后，获得的好处：①可以对操作系统进行备份，可随时添加时间断点，恢复方便；②可以使用一些特殊程序，如屏幕截图、RootExplorer等；③修改或删除部分系统程序；④将程序安装到SD卡中（Android2.2以上）；⑤可以使用一些软件的全部功能。Android破解Root面临的安全隐患：①如果在Root操作过程中出现问题，有可能导致手机“变砖”；②受到大量恶意软件的影响；③失去售后服务。Android操作系统的安全风险①安卓市场审核机制不完善②权限管理不严格导致恶意应用软件泛滥Android恶意软件按其行为分类：①恶意扣费②远程控制③窃取隐私④恶意传播⑤资费消耗⑥流氓行为⑦系统破坏⑧诱骗欺诈2010年WindowsPhone系统发布，集成Xbox的独特音乐视频体验，并将其使用的接口称为Modern接口。WindowsPhone7架构基于WindowsEmbeddedCE6.0内核，主要包括3个组件区域：①内核模式、②用户模式组件、③硬件组件WindowsPhone7的特性：①支持蓝牙2.1，使用两种格式文件系统，系统文件为IMFDS格式，用户文件为TexFAT格式；②WindowsPhone7与WindowsLiveID绑定激活手机和获取商店应用；③供应商和设备制造商可以在手机主菜单页面上添加用户tiles，但是微软标准tiles不能被删除。WindowsPhone的安全机制①应用程序安全机制：所有应用程序必须使用微软签发的Authenticode证书进行签名，该证书在注册成为AppHub成员时被分配；市场发布认证过程包括静态验证和自动测试应用程序；应用审核策略包括应用程序策略、内容策略、应用程序提交要求、技术认证要求、特定应用程序类型的其他要求等。②沙箱机制：浏览器和Silverlight在一个特殊的安全沙箱中运行。③数据独立存储：应用程序所有I/O操作仅限于独立存储④数据加密：SDK支持MD5、MAC_MD5、DES、3DES等数据加密算法。WindowsPhone手机的安全风险①WindowsPhone操作系统越狱带来的风险：手机“变砖”；系统不稳定；硬件寿命缩短等；②WindowsPhone的系统漏洞带来的风险：SSL证书验证漏洞、短信导致系统崩溃漏洞、协议安全弱点漏洞iOS原名IphoneOS，只支持苹果硬件的设备，2007年发布。iOS7版本之后，应用程序转入后台运行之后，相关的应用数据信息都需经由苹果的服务器转发传递，不得在应用和应用服务器之间直接传递。根据来源的不同，iOS上的应用软件可分为内置应用和第三方应用。iOS只支持从AppStore下载安装经苹果审核的第三方应用。iOS的安全机制①可信引导确保组件安全启动：嵌入了根证书的BootROM最先被引导，不断校验下一步将加载组件的RSA签名②代码签名确保应用安全运行：应用安装和运行前都会检查代码签名③沙箱机制防止数据越权访问：TrustBSD策略框架④数据加密保护文件安全：基于硬件设备密钥的数据加密机制⑤AppStore应用审核机制：既是应用销售平台，也满足了用户需求；主要审核原则是：拒绝任何越界行为和内容。iOS操作系统的安全风险①系统漏洞可导致功能异常：iOS系统漏洞数占手机操作系统总漏洞数的81%；②系统后门可用于远程控制：苹果的系统框架具备搜集用户信息和远程控制设备的能力，NSA编制“DropoutJeep”恶意软件，针对苹果手机远程遥控安装。③不良应用可泄露用户数据：传输用户位置信息、聊天记录或设备信息④手机越狱引入更多风险：新增系统漏洞、暗藏监控后门、承载不良应用主流智能终端的安全机制比对项目iOSAndroidWindowsPhone可信引导有无有代码签名有，应用安装、运行时都校验有，仅针对安装时校验有，应用安装、运行时都校验沙箱机制有有有数据加密有，系统级硬件加密有，L版开始提供默认的数据加密功能有，系统级硬件加密Smbian操作系统是基于硬实时微内核的系统，实现完整的抢占式多线程和多任务。Symbian操作系统的特性①综合的多方式移动通道；②开放的应用程序环境；③开放的标准和协同性；④多任务处理；⑤面向对象和基于组件的系统设计；⑥灵活的用户界面设计；⑦健壮性。Symbian操作系统具有分离性，即内核模式的特权级别与用户模式的非特权级别分离、进程的地址空间分离。Symbian的安全机制①密码学模块②密码令牌框架③证书管理模块④数字权利管理⑤使用数字签名的软件安装鉴定Symbian手机的安全风险①费用欺骗②信息窃取③程序的可用性：Skulls木马破坏程序应用④应用签名机制漏洞：无签名软件经用户确认仍然可以安装BlackBerry（黑莓）系统支持特定的输入设备：滚轮、轨迹球、触摸板以及触摸屏。BlackBerry系统最著名的莫过于它处理邮件的能力。BlackBerry基于QNX为核心的一种UNIX操作系统。第三方软件开发商可以利用程序接口（API）以及专有的BlackBerryAPI编写软件。BlackBerry的安全机制①BlackBerry平台的安全加密机制②BlackBerry终端的安全机制BlackBerry系统拥有MIME（多用途互联网邮件扩展类型）机制，可以将终端上的信息进行加密传输。BlackBerry手机的安全风险①BlackBerry没有应用审核机制②用户终端上的关键数据并没有加密存储BlackBerrySS8恶意应用的危害：①窃取用户存在BlackBerry终端上的隐私数据②可以实现打开摄像头、监听电话等简单监控功能③进程实现隐藏并且可以绕过防火墙验证移动操作系统安全评估方法《2008~2013移动智能终端安全能力测试方法》①通信类功能是否受控：拨打电话、三方通话、发送彩信、发送邮件、移动通信网络连接、WLAN网络连接；②本地敏感功能是否受控：定位、通话录音、本地录音、拍照录像、对用户数据的操作；③操作系统的更新是否受控：授权更新、更新风险提示。------------------------------------------------------------------------------------------------------------------------------------------------------------------移动终端软件安全移动应用商店的审核机制不完、安全检测能力差等问题，使恶意程序得以发布和扩散。恶意应用的分类①恶意扣费：自动订购移动增值业务；自动利用手机支付功能进行消费；直接扣除用户资费；自动订购各类收费业务。②远程控制：由控制端主动发出指令进行远程控制；由受控端主动向控制端请求指令；③隐私窃取：获取短信、彩信、邮件以及通话记录等内容；获取地理位置、手机号码等信息；获取本机已安装软件、各类账号、各类密码等信息；④恶意传播：发送包含恶意代码链接的短信、彩信、邮件等；利用蓝牙、红外、无线网络通信技术向其它移动终端发送恶意代码；下载恶意代码感染其它文件、向存储卡等移动存储设备上复制恶意代码⑤资费消耗：自动发送短信、彩信、邮件自动连接网络、产生网络流量⑥流氓行为：自动弹出广告信息不断提示用户安装其它应用⑦系统破坏：最显著特征是强行安装和难以卸载，未经用户允许，安装应用和破坏系统；驱动编写流氓软件的动力是使用弹出广告和捆绑安装其他不明软件的方式，强行推广商业产品⑧诱骗欺诈：监听系统状态、自动运行并发送伪造的信息终端恶意软件分析：典型的恶意行为往往隐藏在正常应用中，通过正常安装感染用户的终端，这些恶意行为一般都具有破坏性、存在窃取用户隐私、恶意扣费、发送欺骗短信等恶意行为，而且基本都会进行复制和传播。终端应用缺陷分析正常应用由于设计缺陷等原因也存在一些漏洞，而通过这些漏洞有时甚至会产生比恶意程序更严重的影响。早期欧朋浏览器存在web登录用户名密码明文保存的设计缺陷，极易导致关键用户数据被窃取。终端软件安全测试方法①自动化扫描：分为静态扫描、动态扫描；自动化扫描仅提供一些粗略的检测结果，适用于批量检测，可以排除90%以上的正常应用②人工分析：网络数据分组分析、应用行为分析、源代码分析终端软件签名数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。大部分智能终端上，未经任何签名的程序是不能安装和运行的。应用系统签名认证所需要的证书有三种来源：①自签名证书；以Android为代表。②由OEM或者运营商来颁发；以苹果、RIM为代表。③通过第三方商业性权威数字证书机构签名认证，比较著名的CA有Versign、Thawte；以WindowsPhone为代表。Android数字签名(1)所有的应用程序都必须有数字证书，Android系统不会安装一个没有数字证书的应用程序(2)Android程序包使用的数字证书可以是自签名的，不需要一个权威的数字证书机构签名认证(3)如果要正式发布一个Android，必须使用一个合适的私钥生成的数字证书来给程序签名，而不能使用ADT插件或者ANT工具生成的调试证书来发布。(4)数字证书都是有有效期的，Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中，即使证书过期也不会影响程序的正常功能。Android使用标准的java工具KeytoolandJarsigner来生成数字证书，并给应用程序包签名。APK程序的两种模式：调试模式(debugmode)发布模式(releasemode)Android数字签名的作用：①识别代码的作者②检测应用程序是否发生了改变③在应用程序之间建立信任，基于这一信任关系，应用程序可以安全的共享代码和数据。WindowsPhone数字签名的策略，一般用户选择第二种策略①只准许运行签过名的程序②准许运行所有程序，但是使用特权API的程序不能正常运行③包括使用了特权API的程序（不管有无签名）都可以运行iPhone数字签名①所有iPhones应用程序在iPhonesOS设备上运行之前必须用合法的SigningIdentity进行签名。②已签名的应用程序安装后，iOS将要验证签名以确保该应用程序已签名并在签名后未被篡改。BlackBerry数字签名①每次需要给.cod文件签名的时候，需要接入Internet在线签名②签名工具将发送一个代码文件的SHA-1Hash到签名中心，系统可以生成一个需要的签名③加载一个签名.cod文件到BlackBerry设备时，VM将此.cod文件与API库连接，并且验证.cod文件是否需要签名。如果没有签名，VM停止连接，并且不在加载应用程序。Symbian数字签名没有签名的程序不能安装运行：①Symbian系统官方签名；②开发者签名。终端软件加固①终端软件加壳：对抗静态反汇编②代码混淆：对抗静态反汇编③反动态调试④针对通信安全和系统防护的软件加固------------------------------------------------------------------------------------------------------------------------------------------------------------------移动终端安全防护终端用户所面临的信息安全威胁①恶意软件的危害：一类是直接的恶意应用；另一类是带有敏感行为的应用②个人隐私泄露的威胁③垃圾信息安全风险终端安全防护《移动智能终端安全能力设计导则》智能终端安全框架主要包括：①最底层的智能终端硬件安全②操作系统安全③应用软件安全④通信接口安全⑤用户数据安全终端硬件安全①安全启动功能②可行执行环境③可信区域技术终端操作系统安全终端系统应该能够进行系统程序的一致性检查。安全防护一般分为主动防护与被动防护①一般的终端侧杀毒软件就是数据被动防护技术；②基于程序行为的自主分析判断技术，可以称为主动防护安全技术；主动防御不以病毒的特征码作为判断依据，而是从最原始的病毒定义触发，直接将程序的行为作为判断病毒的依据。主动防御的优点：①能预测未知攻击；②能够自我学习；③能够对系统实行固定周期甚至实时的监控；主动防御技术体系：①入侵检测技术、②入侵预测技术、③入侵响应技术、④入侵跟踪技术、⑤蜜罐技术、⑥取证技术、⑦攻击吸收和转移技术其中入侵检测技术是其它所有技术的基础。病毒行为多维度分析算法、双引擎侦测技术（病毒行为分析引擎+病毒体扫描引擎）“云查杀”模式=网络查毒+终端杀毒终端安全使用建议①不要轻易获取系统的最高权限：越狱、Root会带来更多安全风险②下载时优先选择官方发布或认证的应用③安装或使用时注意系统提示的权限信息④使用防病毒软件并及时更新病毒库我国工业和信息化部已经建立了12321网络不良与垃圾信息举报受理中心，用于专门接收用户举报。基于移动终端的垃圾短消息过滤软件也通过主动过滤技术拦截终端中收到的垃圾短信。短消息过滤的三个实体：①在发送源对短消息分类；②在转发平台支持共性和个性短消息过滤③在移动终端支持短消息过滤有效防范垃圾短信的最有效途径是控制自己的私人信息发布渠道与方式。个人隐私保护建议①保证下载的安全性②安装手机安全软件③查询软件权限列表④注意乱码短信、彩信⑤注意陌生连接请求⑥不浏览危险网站BYOD（BringYourOwnDevice），携带自己的设备办公。MDM是指高效的管理企业信息化系统中的移动设备，包括设备激活、设备配置、安全保护、应用管理、内容管理、终端用户支持等横跨企业各个组织的整个生命周期管理的移动信息化解决方案。要合理的组织MDM的关键功能，包括设备配置、应用配置、安全保护、技术支持、监控报告、设备淘汰等阶段的功能支持。移动终端安全管理的功能①实现终端安全管理标准化②实现安全事件管理规范化③实现内网终端安全维护管理流程化④终端安全态势可视化⑤实现终端运行管理自动化⑥实现终端运行管理指标化⑦通过建立终端安全防护平台对基础管理类、运行安全管理类及信息安全管理类的功能进行控制⑧通过建立终端安全管理平台提供终端安全管理各类状态、信息的报表管理、历史分析、监控视图等功能，以便日常统计、查询、管理和辅助风险处理。移动终端安全管理平台的两大功能①对移动终端进行有效的元辰管理和控制②对移动终端的安全进行集中式平台化管理终端安全的发展趋势：①集成趋势②硬件化趋势③综合趋势嵌入式虚拟化普遍采用半虚拟化技术嵌入式实现半虚拟化的方式是在嵌入式硬件平台和操作系统之间加入一层虚拟机监控程序（VMM），嵌入式虚拟机监控程序是一个虚拟平台和微核的混合物，由VMM构造出嵌入式系统的运行环境（即虚拟机）。VMM、虚拟机、操作系统和应用程序一起构成了嵌入式虚拟化系统。VMM的限制和功能：①效率②安全性③通信④隔离⑤实时功能---------