中工 2015-JX16- 信商 本科毕业论文(设计)
移动互联网个人信息安全问题研究
系 (部) 专 业 学 号 学生 指导教师 提交日期 商学系 信息管理与信息系统 5 周文龙 董飞 2015年 5 月 15日 WORD ..
.
摘要
移动互联网是全球在过去半个世纪的第 5个新技术周期,新的技术周期将带来巨大的财富,并将带动整个产业的发展和庞大的就业机会。但是在快速发展的移动互联网时代里,风险是与机遇并存的。移动互联网凭借其便携性、移动性、私人性等特点正为用户提供更个性化、更高质量的网络服务,但是移动互联网在为用户提供高质量的服务同时也正将用户更多的个人隐私暴露在网络之中。用户的信息正在被网络运营商、服务提供商或其他商家在用户未授权的条件下收集以及使用着,而且这些个人信息还存在着透过网络泄漏或者是被非法盗取使用的威胁,可能对用户造成十分严重的伤害。
本文就从“攻击”和“防”这两个方面来对移动互联网进行研究。阐述目前移动互联网中存在的安全问题及安全的重要性。对现有安全威胁以及表现形式做了分析,对为加强安全应采取的应对措施做了较深入讨论,并描述了本研究领域的未来发展走向。让人们明白各种网络攻击的原理与防的方法。从而减少因网络安全问题所产生的损失。
关键词:移动互联网,信息安全,安全防护
WORD ..
.
Abstract
Mobile Internet is the world's fifth in the past half-century cycle of new technologies, new technology cycle will bring great wealth, and will promote the development of the entire industry and a huge employment opportunities. But in the era of rapid development of mobile Internet, the risk and opportunities. Mobile Internet With its portability, mobility, personal characteristics such as being to provide users with a more personalized, higher quality network services, but the mobile Internet in providing high-quality service to users while also being more user privacy being exposed to the network. User information is being network operator, service provider or another merchant user is not authorized to collect under the conditions and using them, but the personal information through the Internet, there are still leak or are used illegally stolen threat, may user cause very serious injury.
In this paper from the \"attack\" and \"prevention\" to study two aspects of the mobile Internet. Explained the importance of the current security problems that exist in the mobile Internet and security. Existing forms of security threats and do the analysis, response measures should be taken to strengthen security to do a more in-depth discussion, and describes the future development trend of this research. Allow people to understand the principles and methods of various network attacks prevention. Thereby reducing losses due to network security issues arising.
Key words: Mobile Internet, Information Security, Security Protect WORD ..
.
目录
摘要............................................................... II Abstract.......................................................... III 1 引言......................................................... - 1 -
1.1 研究背景............................................... - 1 - 1.2 研究目的与意义......................................... - 1 - 1.3 研究容................................................. - 2 - 2 移动互联网的发展及未来发展趋势............................... - 2 -
2.1移动互联网概述 .......................................... - 2 - 2.2移动互联网的发展 ........................................ - 4 - 3 移动互联网环境中的个人信息及安全............................. - 6 -
3.1移动互联网环境中的个人信息 .............................. - 6 - 3.2移动互联网环境中的个人信息安全 .......................... - 7 - 4 移动互联网个人信息安全面临的威胁............................. - 9 -
4.1个人信息泄露的渠道 ...................................... - 9 - 5 移动互联网攻击.............................................. - 10 -
5.1应用层攻击 ............................................. - 10 - 5.2中间层攻击 ............................................. - 11 - 5.3核层攻击 ............................................... - 12 - 5.4物理层攻击 ............................................. - 12 - 5.5通信网络层攻击 ......................................... - 13 - 6 应对策略及防护手段.......................................... - 14 -
6.1移动互联网个人信息安全问题的应对策略 ................... - 14 - 6.2移动互联网个人信息安全问题的防护 ....................... - 14 -
WORD ..
.
WORD ..
.
1 引言
1.1 研究背景
当前,移动互联网在全球掀起了新的发展浪潮,特别是随着移动智能终端的日益普及,移动应用和服务不断丰富,我国也进入了移动互联网高速发展阶段。移动互联网一方面给用户带来了快捷便利的良好体验,另一方面也带来了严峻的信息安全挑战。
随着计算机网络技术的飞速发展,网络的开放性、共享性、互连程度随之扩大。信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行,不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题,是保证网络正常运行的前提和保障。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全防措施。无论是在局域网还是在广域网中,网络的安全防措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的性、完整性和可用性。本文就从“攻击”和“防”这两个方面来对网络进行研究。阐述目前计算机网络中存在的安全问题及计算机网络安全的重要性。对现有网络安全的威胁以及表现形式做了分析与比较,对为加强安全应采取的应对措施做了较深入讨论,并描述了本研究领域的未来发展走向。让人们明白各种网络攻击的原理与防的方法。从而减少因网络安全问题所产生的损失。
1.2 研究目的与意义
1.2.1 研究目的
WORD ..
.
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。但必须看到,紧随信息化发展而来的信息安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。随着移动互联网技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家,难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。所以,信息的安全是一个非常严峻的问题。
1.2.2 研究意义
信息安全问题已成为社会关注的焦点。特别是随着Internet 的普及和电子商务、政府上网工程的启动, 一方面, 信息技术已经成为整个社会经济和企业生存发展的重要基础, 在国计民生和企业经营中的重要性日益凸现; 另一方面, 政府主管机构、企业和用户对信息技术的安全性、稳定性、可维护性和可发展性提出了越来越迫切的要求, 因此, 从社会发展和国家安全角度来看, 加大发展信息安全技术的力度已刻不容缓。
2 移动互联网的发展及未来发展趋势
2.1移动互联网概述
随着Web应用技术的不断创新和宽带无线移动通信技术的进一步发展,移动互联网业务的发展将成为继宽带技术后互联网发展的又一推动力,使得互联网更加普及,并以其随身性、可鉴权、可身份识别等独特优势,为传统的互联网类业务提供了新的发展空间和可持续发展的新商业模式、从最初简单的文本浏览、图铃下载等业务发展到当前的与互联网业务深度融合的业务形式,移动互联网业务正在成长为移动运营商业务发展的战略重点。 2.1.1移动互联网的定义
移动互联网是移动和互联网融合的产物,继承了移动随时随地随身和互联网分享、开放、互动的优势,是整合二者优势的“升级版本”,即运营商提供无线
WORD ..
.
接入,互联网企业提供各种成熟的应用。移动互联网被称为下一代互联网web3.0。比如dropbox,uDrop这类应用就是典型的移动互联网应用。移动互联网业务和应用包括移动环境下的网页浏览、文件下载、位置服务、在线游戏、视频浏览和下载等业务。随着宽带无线移动通信技术的进一步发展,移动互联网业务的发展将成为继宽带技术后互联网发展的又一个推动力,为互联网的发展提供一个新的平台,使得互联网更加普及。并以移动应用固有的随身性、可鉴权、可身份识别等独特优势,为传统的互联网类业务提供了新的发展空间和可持续发展的新商业模式;同时,移动互联网业务的发展为移动网带来了无尽的应用空间,促进了移动网络宽带化的深入发展。移动互联网业务正在成长为移动运营商业务发展的战略重点。 2.1.2移动互联网的特点
“小巧轻便”及“通讯便捷”两个特点,决定了移动互联网与PC互联网的根本不同之处,发展趋势及相关联之处。可以“随时、随地、随心”地享受互联网业务带来的便捷,还表现在更丰富的业务种类、个性化的服务和更高服务质量的保证,当然,移动互联网在网络和终端方面也受到了一定的限制。与传统的桌面互联网相比较,移动互联网具有几个鲜明的特性:
(1)便捷性和便携性。移动互联网的基础网络是一立体的网络,GPRS、3G、4G和WLAN或WIFI构成的无缝覆盖,使得移动终端具有通过上述任何形式方便联通网络的特性;移动互联网的基本载体是移动终端。顾名思义,这些移动终端不仅仅是智能手机、平板电脑,还有可能是智能眼镜、手表、服装、饰品等各类随身物品。它们属于人体穿戴的一部分,随时随地都可使用。
(2)即时性和精确性。由于有了上述便捷性和便利性,人们可以充分利用生活中、工作中的碎片化时间,接受和处理互联网的各类信息。不再担心有任何重要信息、时效信息被错过了。无论是什么样的移动终端,其个性化程度都相当高。尤其是智能手机,每一个都精确的指向了一个明确的个体。是的移动互联网能够针对不同的个体,提供更为精准的个性化服务。
(3)感触性和定向性。这一点不仅仅是体现在移动终端屏幕的感触层面。
WORD ..
.
更重要的是体现在照相、摄像、二维码扫描,以及重力感应、磁场感应、移动感应,温度、湿度感应等无所不及的感触功能。而基于LBS的位置服务,不仅能够定位移动终端所在的位置。甚至可以根据移动终端的趋向性,确定下一步可能去往的位置。使得相关服务具有可靠的定位性和定向性。
(4)业务与终端、网络的强关联性和业务使用的私密性。由于移动互联网业务受到了网络及终端能力的限制,因此,其业务容和形式也需要适合特定的网络技术规格和终端类型。在使用移动互联网业务时,所使用的容和服务更私密,如手机支付业务等。
(5)网络的局限性:移动互联网业务在便携的同时,也受到了来自网络能力和终端能力的限制:在网络能力方面,受到无线网络传输环境、技术能力等因素限制;在终端能力方面,受到终端大小、处理能力、电池容量等的限制。
以上这五大特性,构成了移动互联网与桌面互联网完全不同的用户体验生态。移动互联网已经完全渗入到人们生活、工作、娱乐的方方面面了。 2.1.3移动互联网与互联网的区别与联系
什么是移动互联网?对此,业界有两种观点,一种观点认为移动互联网是互联网的延伸;另一种观点认为,移动互联网是互联网的发展方向。本文在这里对移动互联网和互联网的优劣势做了个简单的比较,如表1-1.
WORD ..
.
表1-1移动互联网和互联网的优劣势比较
移动互联网 1)用户可以随时随地通信; 互联网 1)业务和容极大丰富; 优势 2)移动用户身份保持静态且唯2)依托计算机强大的计算能力和一; 输入、输出能力; 3)用户习惯于为业务的使用付3)不存在电池续航问题,可以长费,多为前向收费模式; 时间上网。 4)移动用户的位置信息易于获得。 1)业务和容的相对匮乏; 2)受限于终端的计算能力、输入输出能力; 3)电池续航能力差。 1)用户易于隐藏真实身份; 2)容多以免费为主,开发商多选择后向收费模式; 3)用户上网需要一定的条件。 劣势 2.2移动互联网的发展
IT技术发展已经进入移动互联网发展的早期阶段。技术发展周期一般会持续十年时间,技术发展周期已在之前进入下一个重大计算产品发展周期,即“移动互联网”发展周期。图1为IT技术发展周期。
在最近几年里,移动通信成为当今世界发展最快、市场潜力最大、前景最诱人的业务之一。他们的增长速率是任何预言家都未曾预料到的。
WORD ..
.
图1 IT技术发展周期
2.2.1中国移动互联网的发展现状
中国的移动互联网发展经历了一下上次浪潮:第一次浪潮从1999年中国移动运营商引入日本的分成模式;第二次浪潮是从2004年开始,中国移动互联网进入飞速发展的时期;第三次浪潮在2014年,最重大的变化是运营商获得了4G牌照。
中国具有全球最大的移动用户群,正在进入移动互联网需求的高速增长。PC互联网从2000万到1亿用了6年,移动互联网用户从2000万到1亿用了2年。智能手机使用率、3G和4G网络覆盖率、移动上网资费的快速下降有效激发了移动互联网的高速增长。
移动互联网的浪潮正在席卷到社会的方方面面,新闻阅读、视频节目、电商购物、公交出行等热门应用都出现在移动终端上,在苹果和安卓商店的下载已达到数百亿次,而移动用户规模更是超过了PC用户。这让服务提供商意识到移动应用的必要性,纷纷开始规划和摸索进入移动互联网,客观上加快了移动应用市场的发展,与此同时,Andriod系统凭借开放和免费策略在中国获得了长足的发展。
2.2.2移动互联网的未来发展趋势
曾几何时,移动互联网还仅仅被人们视作互联网的一个分支。事实上,传统互联网和电信业巨头采取的种种战略转型举措早已深刻说明,移动互联网不单是一种时髦应用,更是一股席卷ICT领域的破坏式的创新浪潮。人民网研究院29日发布2013年中国《移动互联网蓝皮书》,认为移动互联网在短短几年时间里,已渗透到社会生活的方方面面,产生了巨大影响,但它仍处在发展的早期,“变化”仍是它的主要特征,革新是它的主要趋势。
(1)移动互联网超越PC互联网,引领发展新潮流。有线互联网是互联网的早期形态,移动互联网(无线互联网)是互联网的未来。
(2)移动互联网和传统行业融合,催生新的应用模式。在移动互联网、云计算、物联网等新技术的推动下,传统行业与互联网的融合正在呈现出新的特点,
WORD ..
.
平台和模式都发生了改变。
(3)移动互联网商业模式多样化。成功的业务,需要成功的商业模式来支持。移动互联网业务的新特点为商业模式创新提供了空间。随着移动互联网发展进入快车道,网络、终端、用户等方面已经打好了坚实的基础,不盈利的情况已开始改变,移动互联网已融入主流生活与商业社会,货币化浪潮即将到来。
(4)用户期盼跨平台互通互联。目前形成的iOS、Android、Windows Phone三大系统各自独立,相对封闭、割裂,应用服务开发者需要进行多个平台的适配开发,这种隔绝有违互联网互通互联之精神。不同品牌的智能手机,甚至不同品牌、类型的移动终端都能互联互通,是用户的期待,也是发展趋势。移动互联网时代是融合的时代,是设备与服务融合的时代,是产业间互相进入的时代,在这个时代,移动互联网业务参与主体的多样性是一个显著的特征。
(5)大数据挖掘成蓝海,精准营销潜力凸显。随着移动带宽技术的迅速提升,更多的传感设备、移动终端随时随地地接入网络,加之云计算、物联网等技术的带动,中国移动互联网也逐渐步入“大数据”时代。
3 移动互联网环境中的个人信息及安全
个人信息是进行身份识别的主要标识,在移动互联网环境中具有更广的含义,除个人基本信息外还包括了用户的消费信息。在互联网中,用户的信息还具有商品性,对于一些不法分子而言具有主要的作用,这就使得用户的个人信息具有很大的经济意义,从而导致一下不法分子会试图搜集、窃取和不合理使用用户的个人信息。如何保证自己的非人信息安全,从用户来说要严格防,从服务提供商来说,要清楚自己的责任。
3.1移动互联网环境中的个人信息
目前对移动互联网环境下的个人信息还没有一个较为统一的定义,但是总结各方对个人信息的定义,其共同点都认为个人信息是信息主体所拥有的能反映其特征的各种信息符号。移动互联网环境下,用户的个人信息区别于他人的个人特征信息外还包括用户的网络活动信息以及用户的网络空间存储的信息。
(1)用户个人的基本信息
WORD ..
.
用户在使用移动互联网的过程中,不论是用户注册、消费还是社交娱乐,都回涉及到个人信息的提供。如用户个人的、性别、年龄、联系方式和家庭住址,更深入一些的还会涉及EMALL、职业、收入、学历等能够识别特定个人的信息。在网上消费的过程中还会涉及信用卡、电子消费卡、交易账号、密码等个人财产信息。这些信息一旦遭到不法分子的窃取,会使用户的隐私泄露,严重会有重大的经济损失。
(2)用户个人网络活动信息
用户在使用移动互联网的过程中,必定会浏览网页或是使用某种应用,这种网络活动也是一种个人信息。这些网络活动信息可以直接的反映用户的网络浏览踪迹,比如该用户在购物浏览过的一些的商品,那么一些商家就可以利用这些信息分析该用户的喜好和消费习惯,从而推荐某些商品给这位用户谋求利益。
(3)用户个人网络空间储存的信息
用户的个人网络空间大致分为实体空间和虚拟空间。实体空间包括用户的手机、平板电脑、移动硬盘和U盘等存储设备。虚拟网络空间包括用户的电子、网络硬盘等。在这两类空间里,都回保存用户的个人信息以及与之有关的各类信息。不法分子就是通过木马病毒等技术手段,盗取在用户在手机、网盘中的各类个人信息。
3.1.1移动互联网环境中个人信息的性质
在信息社会,个人信息已经商品化,已经逐渐演变成一种财产和社会资源,能够产生巨大的社会经济效益。在移动互联网环境下,对于商家来说,其对用户个人信息的搜集和分析能够更好的了解市场发展趋势、用户对于应用的需求,从而给用户更为完善的服务,从中得到更多的利益。一些商家也通过对其所掌握的用户个人信息同其他商家或个人交换从中牟利。商家获得更多的消费者信息的基础是不断发展的信息技术。可以说网络技术的发展使个人信息的搜集更为容易,促使个人信息具备了商品交换价值。 3.1.2移动互联网环境中个人信息的重要性
对公民个人信息的获取可能恶搞导致对公民人身安全和生命权的侵害。个人
WORD ..
.
信息与人的日常生活密切相关,尤其在移动互联网环境下,用户的移动设备中储存的个人信息日益增多,但人们对这些信息的安全防缺少防意识,容易遭到窃取。但一个有犯罪意图的人获得其他人的家庭住址、家庭成员、工作单位,尤其是通过移动设备中GPS功能获取的用户当前位置信息等比较隐秘的个人信息后,会采取盗窃、绑架等行为,在这个过程中往往会造成受害人的人身伤害甚至导致生命权的丧失。
财产权是公民对其神圣不可侵犯的合法财产所享有的占有、使用、处分、牟利的权利。当人们的财产信息被泄露时,其财产权即受到了侵犯。在移动互联网环境下,通过移动终端的网络交易越来越频繁,网络诈骗受害的人数呈大幅上升的趋势,除了个人安全意识的薄弱,大都因为个人信息的泄露导致防意识下降。
3.2移动互联网环境中的个人信息安全
个人信息是指能识别特定某人特征的信息。在移动互联网环境下还包含用户的网络活动信息和空间存储信息。因此,个人信息安全的涵更广,它包含了通信设备、操作系统的稳定性、安全性,个人信息的完整性和性,用户在使用移动互联网过程中的安全性以及终端厂商、系统平台、互联网应用和运营服务商为保证个人信息不受侵害所采取的保护行为。 3.2.1用户对个人信息拥有的权利 (1)用户对个人信息被搜集的知情权
移动互联网环境下,应用的安装会提示用户该应用在设备中搜集信息的权限。用户有权知道是谁用了什么方式搜集了哪些个人信息,这些信息优势以怎样的一个形式展现在他人面前,被收集的信息将用于什么目的。因此,商家在搜集用户个人信息之前,应该告知用户,征得用户的同意。
(2)用户对个人信息的拥有控制权
在移动互联网环境下,用户对自己的个人信息拥有“合理的访问权限”,可以通过合理的途径访问和查阅自己的个人信息,如购物的交易记录、浏览记录。用户对这些信息拥有自主权,有权对这些信息进行修改和删除,从而保证个人信息的相对准确性和完整性。
WORD ..
.
(3)用户个人信息的请求权
随着信息技术的不断发展,移动互联网环境下个人信息必然存在安全隐患。用户的个人信息有可能被人为的披露或被窃取以及故意的篡改或恶意的删除,也有可能由于技术上的缺陷或操作失误导致个人信息的丢失。这些都会造成对用户个人信息安全的威胁。因此,为了个人信息的安全,必须赋予用户以安全请求权。用户有权要求个人信息的获取者采取具体措施和技术手段保证个人信息的安全性和完整性。
3.2.2 个人信息相关的法律法规 (1)中华人民国宪法
第四十条中华人民国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
(2)中华人民国民法通则
第一百条公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。
(3)中华人民国邮政法
第四条通信自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯他人的通信自由和通信秘密。
(4)中华人民国计算机信息网络国际联网管理暂行规定实施办法 第十八条用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。用户有权获得接入单位提供的各项服务;有义务交纳费用。 3.2.3个人信息泄露的原因和后果
与个人信息安全相对应的一个词就是个人信息泄露。目前尚没有形成对个人
WORD ..
.
信息泄露较为公认的概念。从语义上理解,个人信息泄露是指个人信息主体不愿被他人所知晓的个人信息被公开为他人所知晓。可以说,信息泄露是一种不正当的信息传播行为且个人信息的泄露往往是带有营利目的的。移动互联网环境下,由于信息技术及个人信息的商品化因素,使得个人信息更容易泄露。个人信息容的价值量是信息泄露的一个根本动力,在移动互联网环境下,用户的个人信息对商家来说是具有商业价值的,因此,一些商家会从用户个人信息的获取中谋得自身的利益,而损害的则是用户的个人利益。在信息技术不断发展的信息社会,商家能更容易、快捷地获取用户的个人信息。用户个人信息的泄露将会带给其经济及生活上的不利影响。
4 移动互联网个人信息安全面临的威胁
目前移动终端用户数目已超过固网用户数目达到了几十亿,随着3G、Wimax、LTE等多种无线宽带技术的快速发展并推广应用,PDA、无线数据卡、智能手机等各种形式的移动终端成为黑客攻击的主要目标。针对无线终端的攻击除了传统针对PC机和互联网的攻击手段外,也有其自身的特殊性,包括:针对手机操作系统的病毒攻击,针对无线业务的木马攻击、恶意广播的垃圾、基于彩信应用的蠕虫、垃圾短信彩信、手机信息被窃取、SIM卡复制以及针对无线传输协议的黑客攻击等。这些新兴的无线终端攻击方式也给今后无线终端的广泛应用带来严峻挑战。
4.1个人信息泄露的渠道
随着IP技术的高速发展,移动互联网也逐渐IP化,它把互联网中存在的所有安全威胁全部引入到移动互联网中。比如以前只在固网出现的蠕虫病毒、恶意网页推送等,如今在移动互联网中也屡见不鲜,可见移动互联网个人信息泄露的渠道也随着变得多样化。
(1)用户注册和登陆
用户在使用移动互联网过程中,无论是使用软件还是网上娱乐、购物都要进行注册,注册必然会提供个人相关信息。对于用户而言,提供个人基本信息存在一定的安全隐患,因为或软件开发者可能会滥用用户的个人信息进行不合理甚至
WORD ..
.
是的活动。在网上提供个人信息存在一定的安全风险,首先用户不知道会如何利用这些信息,也不能保证这些信息不会遭到泄露。如今,大多的网络诈骗都是利用这些个人信息的泄露进行诈骗的,所以一旦信息遭到泄露,很容易使用户遭受侵犯、财产遭到损失。
(2)网页浏览
用户在使用移动互联网进行网页浏览时,浏览器在用户每次访问网页等相关容时都会在网络服务器的日志上留下记录。这些服务器日志会记录下用户的IP地址、传递查询的URL等信息。用户在网络浏览的过程中会产生cookie文件,网络服务器会使用cookie来标记带有识别信息的网络浏览器来帮助用户获得更快捷的浏览体验。但是黑客可以通过cookie在对用户进行跟踪,也就能得知用户的浏览记录等详细信息。
(3)网络支付
网络支付,就是用户在网上购物的交易过程中,将自己的账户资金通过网络支付的一个过程,将负载有个人基本信息和财务信息的电子支付工具用于资金结算和流转。一些传统的盗号木马、钓鱼、新型交易劫持木马,可以在用户完成付款流程后发现商家并未受到付款,以盗取用户账户中的资金和信息,这种方式及其隐蔽,用户没有防技术很难提防。
(4)网络攻击
“黑客”(Hack)对于大家来说可能并不陌生,他们是一群利用自己的技术专长专门攻击和计算机而不暴露身份的计算机用户,但是随着移动互联网的发展,黑客的也由互联网慢慢转移到移动互联网。由于黑客技术逐渐被越来越多的人掌握和发展,目前世界上约有20多万个黑客,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而任何网络系统、站点都有遭受黑客攻击的可能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客们善于隐蔽,攻击“杀伤力”强,是网络安全的主要威胁。而就目前网络技术的发展趋势来看,黑客攻击的方式也越来越多的采用了病毒进行破坏,它们采用的攻击和破坏方式多种多样,对没有网络安全防护设备(防火墙)的系统(或防护级别较低)进行攻击和破坏,这给移动互联网的安全防护带来了严峻的挑战。
WORD ..
.
5 移动互联网攻击
本章对移动互联网应用层、中间层、核层、传感器和通信网络层的相关概念进行简单介绍,并对其面临的攻击进行描述。
5.1应用层攻击
5.1.1恶意代码的入侵方式
移动智能终端(包括智能手机、平板电脑等)的一个共同特点是搭载操作系统并可运行第三方APP。恶意代码可以随着第三方APP的安装进入移动终端系统。统计信息显示86%的Android恶意代码是嵌入到流行的APP,并重新打包实现的。Android恶意代码入侵的其他方式还包括恶意代码嵌入更新模块、利用二维码、、恶意等形式欺骗用户下载等。
iOS系统采用严格的代码审查和签名机制,攻击相对较少,但面临两个问题:1)用户必须无条件信任苹果公司;2)一些恶意应用通过代码审查发布之后,可能主动下载恶意代码。 5.1.2恶意应用的攻击过程
恶意应用在进入系统之后,其能力受限于操作系统的访问控制机制,因而恶意应用进入系统后的首要工作是提升自身权限。
在Android系统中,系统资源的访问控制分为两层实现。第一层是基于用户和组的访问控制机制。每个应用在安装时,都被分配了唯一的UID,作为一个独立的用户存在。该应用拥有自己的资源,并且在访问文件系统时根据用户和组等进行资源管控。另一层是Android的Permission机制,Permission机制负责管理利用系统服务访问系统资源的行为。然而,Android系统中存在大量以Root身份运行的Daemon进程,可以利用这些进程的漏洞使恶意代码以Root身份运行。目前已知的可用于获取Root权限的漏洞包括ASHMEM、Exploid、Gingerbeak、Levitator、Mempodroid、Wunderbar、ZergRush、Zimperlich等。以Root身份运行的程序可以绕过Android系统的访问控制机制,包括绕过或破坏在中间层实现的Permission机制。
WORD ..
.
在iOS系统中,文件加密被用于系统数据的访问控制。NAND中整个文件系统部分都用单个密钥EMF!进行加密,EMF!保存在存储设备的PLOG块1中。文件系统中的每个文件采用一个唯一密钥加密,一旦文件被删除,唯一密钥也会丢弃。保护等级密钥是基于访问策略打开文件的主密钥,加密文件的密钥采用保护等级密钥加密。iOS系统的基于加密的文件访问控制需要高性能的密码硬件协助实现。突破iOS的访问控制需要突破这种密码访问控制体系,即俗称的越狱。
5.2中间层攻击
中间层是移动终端核层和应用层之间的一层软件栈,通常包括系统运行需要的核心库文件、关键系统服务代码等。攻击中间层软件栈,可以让恶意代码直接面对核,从相对底层获取更多的系统资源,提高攻击效率。本节主要从Android Permission、应用代码签名、代码控制流等方面介绍相关攻击。 5.2.1 Android Permission攻击
Android应用程序在安装时向用户申请相关Permission,然后系统会将该Permission导入系统核心进程中维护。一旦应用程序向系统服务申请资源访问,在提供具体服务之前,系统服务会向核心进程检查该应用是否被授予相关Permission。在系统启动过程中,核心进程会从配置文件package.xml导入应用的Permission列表,因而一种Permission攻击方式是修改配置文件提升自身的Permission。由于配置文件受到文件系统的访问控制保护,因而实现该攻击需要Root权限。
另一种Permission攻击是合谋攻击。具体实现方式分为两种:1)某些高权限的应用可能有意或无意开放了调用接口,恶意应用调用该接口,间接实现高特权的功能;2)攻击者将攻击所需要的权限分散在多个应用中,一旦多个应用安装成功,几个应用通过合谋,完成恶意操作。 5.2.2 应用代码签名攻击
Android在中间层采用了代码自签名机制,允许第三方APP进入终端系统。
WORD ..
.
如果应用在设备上安装成功,仍然能够对它的代码进行随意更改,那么应用程序控制流程的完整性将遭到破坏。
在Android应用安装时,会对安装程序各部分进行摘要计算、签名比对等过程,但是在启动已安装的应用时,不会进行重新计算,只进行比对时间戳等操作。对代码签名的攻击可以通过伪造时间戳实现。
这样可以在不被系统签名机制察觉的情况下,向应用程序中添加恶意代码。但是普通用户无法对上述文件进行操作,因而上述攻击只有Root用户可以成功。除了上述方式外,还可以通过修改中间层代码层的实现绕过签名机制。 5.2.3代码控制流攻击
Android基于Linux核,提供了一个进程控制另一个进程的手段,如ptrace系统调用。利用ptrace可以实现进程劫持,允许父进程控制子进程或者高权限用户的进程控制其他目标进程,从而改变目标进程的执行流程。一方面,注入的代码可以修改目标进程的运行时环境,比如修改dalvik虚拟机的关键入口函数,达到动态监控的目的。另一方面,由于注入的代码处于目标进程地址空间,它可以利用目标进程的所有权限,读取目标进程的私有数据,完成非法操作。如目标进程申请了android.permission.SEND_SMS,注入代码就可以通过发送短信定制付费服务,达到恶意扣费目的。更进一步,Android系统有大量的系统服务,一旦系统服务进程被劫持,使用该系统服务的任何进程将不再可信。
iOS系统在越狱的情况下,存在类似Android的代码控制流攻击。由于iOS系统的非开源性,相关科研人员试图从其他角度对iOS架构的安全性作评估。其中一个思路是分析同一款应用的iOS版本和Android版本,比较二者使用安全相关API(Security sensitive API)的数量。通过对2600余款应用的分析,发现iOS应用使用了较多的安全相关API,这从侧面反映iOS的代码审查机制在保护敏感资源上可能不如Android的Permission机制更有力。
5.3核层攻击
移动终端系统大多数采用ARM处理器,类似于x86架构,ARM处理器也支持多个运行模式。应用代码运行在用户模式,核代码运行在核模式。不同模式之间
WORD ..
.
的硬件隔离使得从用户模式直接发起攻击难度较大。 5.3.1加载核模块
Linux允许用户在运行时将模块整合到核中,如设备驱动。一旦恶意代码被加载进入核,它就拥有核的所有特权,具有直接访问系统硬件资源的能力,可以绕过上层的安全机制。比如借助kprobes,可以实现系统调用劫持的目的。
这种攻击方式在实现上有一定难度。主要原因是移动终端设备的OEM厂商不必考虑灵活地添加外设,因而普遍缺乏对LKM的支持。 5.3.2核漏洞
移动终端系统可能出现核漏洞。一方面,核结构的复杂性和庞大的规模使其包含安全漏洞的可能性大增。另一方面,核代码包含了大量的硬件参数等信息,通常由OEM厂商发布。但是目前移动终端,特别是Android平台,品牌、设备繁多,存在着严重的碎片化问题,无法保证及时地发布安全更新。因此,随着移动终端的发展,利用核漏洞发起攻击的概率将不断增加。
5.4物理层攻击
移动终端系统包含了丰富的传感器资源,比如MIC、摄像头、GPS、重力传感器等。
包含传感器的移动终端设备称为Mobile Cyber-Physical System。由于移动终端通常与用户绑定,用户当前物理世界的信息可以被传感器实时地转换为数据。一旦传感器资源被滥用,用户当前的隐私信息就会通过传感器的转换和通信基础设施的传输被敌手获得。
除了上述攻击方式,传感器资源还被用来进行更为精密的信息窃取。Roman Shclegel等人提出并实现了一个基于音频的用户隐私信息窃取攻击。PlaceRaider是一个视频信息窃取攻击。通过完全控制终端设备的摄像头和其它传感器资源,PlaceRaider可以构建出用户所在空间的三维立体模型。攻击者可以通过PlaceRaider对用户所在的空间信息进程精细的跟踪,从而实现重要信息的获取。另一个攻击的例子为通过加速度传感器获取键盘敲击信息。其攻击过程
WORD ..
.
是通过加速度传感器获取键盘敲击时引起的振动信息,进而判断键盘敲击动作。传感器资源滥用配合信息分析技术,可以通过移动设备实现物理层信息的深度获取。
5.5通信网络层攻击
通信网络是移动终端进行数据交互的基础。通信网络层包括移动终端的无线接入网络和传统的Internet网络。现有的无线接入网络主要有五类:卫星通信网络、蜂窝网络(2G网络、3G网络)、无线城域网(WiMAX)、无线局域网(WLAN)、基于蓝牙的无线个域网。 5.5.1无线接入网络攻击
针对无线接入网络的攻击,容易造成用户隐私信息和位置信息的泄漏。以3G网络协议的一个漏洞为例,参考文献分析了3G协议的安全性,发现了辨别并跟踪移动终端的威胁。首先攻击者向移动用户频繁发送paging请求,就可以在用户、用户暂时标识符TMSI、用户长期标识符IMSI之间建立关联。然后攻击者利用网络和移动用户双向认证协议AKA的弱点,截获网络向移动用户发送的认证请求,然后频繁地重放,就能从移动用户反馈的认证失败消息中提取出基站等位置信息。
5.5.2传统Internet网络的攻击
传统Internet保护数据的主要方式是SSL安全传输协议。移动终端如Android也提供了SSL功能,但是研究人员发现了Android系统可能导致SSL中间人攻击的几个脆弱点。
(1)Android系统可以设置相信所有证书。一旦选择了该选项,就丧失了SSL的网络通信保护;
(2)域名和证书之间没有绑定关系。Android SSL只能验证证书是否被接受,但不能验证该证书是否为一个特定的域名签发。这为假冒域名的调用攻击提供了途径;
(3)包含了太多可信CA。Android4.0默认包含134个根证书,太多的信任
WORD ..
.
根导致用户对网络连接的安全性判别变得困难;
(4)安全和非安全连接并存。非安全网络连接的存在可能存在影响安全网络连接的安全性。当敏感信息没有SSL通信安全保护时,传统地网络通信监控和数据分析技术将可以很容易地用于网络通信信息获取。
6 应对策略及防护手段
6.1移动互联网个人信息安全问题的应对策略
(1)完善法律监督体系
就目前情况来看,我国互联网信息安全立法层次较低,相互间缺乏协调,而且目前还没有建设专业的移动互联网法律.因此,把现有的法律运用到移动互联网上,明显缺乏权威性和针对性,而且目前最关键问题就是移动互联网的接入,现阶段我国还没有实行手机实名制的立法.由此可见,移动互联网继续相关、实用的法律来进行制约和保护.立法是政府对移动互联网管制的最主要的手段,对立法进行完善,其实也就是依法协调移动互联网运营企业与客户关系的需要. 我国要想建立科学合理地移动互联网信息安全法律体系,可以借鉴发达国家的成功经验,把移动互联网网络安全和信息安全相独立,并且建立各自独立的法律法规.针对我国目前的实际情况,对移动互联网安全进行立法可以从以下几个方面来进行:①手机实名制立法的制定,完善隐私保护法律;②对互联网管理以及互联网网络安全管理的法律要进行完善;③把信息安全基本法建立起来,完善与信息安全相关的法律法规.
(2)制定移动互联网的安全技术标准
当前的移动互联网在终端安全及网络安全方面缺乏安全管理机制,所以要确保移动互联网安全应该结合我国现有的密码管理方法制定相关的网络安全标准,确立AKA认证及空口加密体制,并设立网络域的安全体制,在网络域中部署入侵检测、数据加密及用户认证等安全网关,实现安全隔离。同时还要加强移动互联网安全保障的技术标准。
(3)加强移动的终端管理
基于手机病毒及垃圾短信,要加强对移动互联网终端安全产品及技术的研
WORD ..
.
发。同时,公安部门要加强查处力度,政府及运营商要对用户加强安全教育,提高用户安全意识。完善在线监控,建立信息投诉平台,确保移动互联网健康发展。
(4)加大移动互联网安全服务投入
在移动互联网全业务的运营过程中,电信运营企业要加大安全投入,从多方面提高互联网安全能力,加强移动互联网信息安全建设,提高产品的品质安全,提升用户的体验感。
(5)强化新技术在信息安全问题上的应用
在移动互联网快速发展的今天,越来越多的新技术也随之出现,利用这些新技术可以使用户个人的信息更加安全。比如说在移动互联网的云计算安全防护中,利用同态数据加密技术,能够通过客户端和云计算平台提供的强大的计算和储存能力,确保用户在保护自身信息的情况下完成各种操作,实现需要的服务。
6.2移动互联网个人信息安全问题的防护
根据移动互联网的特点及这些安全问题的特征,下面从三个方面分析下移动互联网中的安全防护。 6.2.1 移动终端的防护
移动终端的防护也是唯一用户主导的防护措施,核心理念是要用户提高安全意识,对于自身及其重要的信息比较银行卡的账户密码及等信息最好不要存在终端上,因为存在上面就意味着有一定的风险。另外,养成良好的使用习惯,选择比较权威的或者经过安全检测的应用。此外还应知道安全软件不是万能的,并且安全软件本身安不安全也存在一定疑问。
目前主流的智能终端都带有流量统计,可以经常查看流量的去向,如果发现某一应用明显流量异常,那么其有很大可能性存在盗取流量行为,应及时卸载,必要时可采用法律手段。
及时更新系统软件可以在一定程度上进行安全防护,因为新的系统软件会有一些功能上的改进,或者修补已有的漏洞,这样的话一些依赖旧的系统漏洞的病毒或应用就会失效。
WORD ..
.
6.2.2 APP STORE应加强监管
从目前来看,移动互联网被IOS 和Android 两大阵营垄断,IOS 占据17%左右的份额,Android 占据将近80%的份额。IOS 的APP STORE 有着较为严格的审查,安全性有较好保障,Android 系统的APP STORE 相关监管有待加强。
第一, 对于每一款要上线的APP 都要经过全面的测试,确保没有恶意的盗取用户信息或流量等行为才准许上线。
第二,对于用户的投诉要及时处理,一旦发现属实,应当立即下架相关应用。 第三,对于声明插入广告的应用,要求其明确估计广告所产出的额外流量,避免用户在不知情的情况下被盗用大量流量。 6.2.3电信运营商强化安全防护
电信运营商是基础服务提供商, 如果电信运营商可以强化安全防护措施, 那么可以从根本上解决很多安全问题,比如在用户拨打付费之前提示用户,当得到用户的进一步确认之后再提供后续服务, 另外可监控用户流量信息,如果发现流量使用异常,可发短信提醒用。另外,电信运营商可加强对损害用户的站点及付费等进行监管。必要时可采用法律手段,确保用户的利益。
WORD ..
.
参考文献
(1)柳青. 移动互联网安全问题分析[J].《卫星电视与宽带多媒体》,2011.09 (2)王永斌.移动互联网完全探析[J].通信世界,2008(47)
(3)吴振强,马建峰.基于管理的移动互联网安全体系结构[J].中国计算机学会,2006 (4)春林,萧月江.企业信息安全中的手机防泄密解决方案[J].通信技术,2012
(5)MILLER C. Mobile Attacks and Defense[J].IEEE security privacy,2009.04
WORD ..
因篇幅问题不能全部显示,请点此查看更多更全内容