移動應用開發安全防范研究

賈 露

（湖北廣播電視大學， 湖北 武漢 430074）

0 引言

伴隨著移動網絡信息化的來臨，在尤為突出的智能手機和3G技術方面，手機的應用替代了過去PC成為了目前最重要的網絡設備登錄，讓人們的上網習慣得到了完全改變。然而各類各樣的移動產品飛速地創新、改良，研究并開發了大批量的安卓操作系統和iO S應用程序，移動網絡儼然成為人們平日里辦公、生活的一部分。而此時觀察到，在搭建現如今的互聯網TP技術根本上，移動網絡通信不僅產生了獨特的安全問題還有當下的網絡安全問題。面對這些問題，各大運營商在移動網絡上采用了安置全方位的安全設備，例如，殺毒軟件、防火墻以及ID S 等。雖然部署著這些設備但不能有效地將病毒以及軟件中殘留隔離、根治，仍讓會出現缺點和紕漏。鑒于此，在移動網絡安全防范技術上進行研究和探索迫在眉睫。

1 身份鑒別

移動應用程序在實踐開發制作中，出現了客戶端在驗證客戶身份時，產生了不具體的各項問題。針對這一問題解決需開發出整體的驗證流程，如下：設置有用的身份驗證體系；賬戶密碼體系認證；要求密碼在八位上，采用數字、字符及特殊符號并存，要有強度；如出現交易以及資金往來等交易，采用再次確認；登錄移動應用時添加手機號碼并隨機發送驗證；在多次登錄不上移動應用系統時，通過控制登錄頻率以及會話等形式；捆綁對象是用戶自己時，不在同一個設備上操作；全部的用戶需聚集來認證；在移動應用中，有一定級別的用戶采用特權來區分，運用授權準則來訪問。

2 移動應用開發訪問控制

移動應用程序在用戶簽名時未經允許不能加入網絡，確保網絡安全的實用性；應用程序需掃描啟動，是獲得應用程序獨一標記；在應用程序標記和應用目標程序匹配時，會解開并解鎖的指令，確保移動程序中信息的安全性；設立獨立的ADMIN 帳號，一樣的用戶要分別在不同的系統賬戶中綁定，ADMIN 認證訪問終端系統，設立里面一體的賬號，分別在各個系統里設立相同的賬號認證；利用用戶的授權機制達到對用戶的訪問進行控制。移動應用程序制作中，一方面采用辨別、區分、控制訪問，不僅維護全部的信息系統，還對移動應用程序關鍵部位進行保護。

3 移動應用開發安全防范措施

3.1 程序安全防范

在移動端應用程度投入市場后，黑客采用反匯編 APK 文件對軟件造成攻破。需在程序開發階段，利用加殼處理提升安全度，在二進制應用程序中加入代碼，原始的二進制原文采用隱蔽密碼，可以阻礙著對程序的反匯編分析，避免應用程序遭到破壞解密，對代碼注入、內存注入等危險行為起到緩和作用。

3.2 通訊安全防范

移動通訊安全在移動應用程序安全中傳輸數據過程中起著保護用戶信息安全不被病毒攔截及侵害的作用。有下面幾種措施：服務器與移動客戶端相互連接之初，采用密碼才完成會話的驗證。在通訊過程中出現的敏感信息加固密碼后采取傳送。服務器和移動終端兩者間出現敏感數據時要采用SSL傳輸，這樣有效地阻止敏感數據不在通訊應用中遭到盜取。在運用 HTTP 協議時，為了應對移動客戶端產生的整個請求附帶 MAC 地址，要及時運用臨時密鑰。在無限網絡以及運營商網絡間，服務器和移動客戶端兩者間的通訊網絡是不能相互信任的。這是因為HTTP-GET 協議一般是采用查詢字符串的方式來傳播數據，為此在應用傳輸敏感數據的階段，把HTTP-GET 協議當作唯一的協議是不允許的。服務器會記錄搜查到的信息，在敏感信息安全方面查詢字符串的方式也不能確保。

3.3 后臺安全防范

后期，移動應用的后臺控制頁面連接到互聯網時，由此網絡上會出現各種各樣的安全威脅等，如黑客會破解在程序開發過程中管理員設置的口令，破解完成后就可登錄系統，用管理員的身份登錄后可以操作各項，包括：刪減信息資料、獲得有效的身份信息、篡改數據等，出現的后果無法想象。為此，在預防方面需通過安全可靠的后臺管理體制，加大管理的防御。

3.4 日志安全防范

移動應用安全防范中重心工作是日志安全，日志的放置、質量以及日志的備份安全在移動應用開發中需大量改良，具體的開發過程中可運用下面措施：在移動應用程序日志中一些敏感的數據等不易保存。具體的實際操作采用以下步驟：首先登錄密碼→完成密碼修改→進行支付等一系列步驟在日志中被記錄收藏。服務器端是記錄日志位置的重要操作。應用程序要具備日志緩存，在出現網絡中斷的情況下將日志保存下來，網絡接通后再次上傳到服務器操作后臺。移動應用日志的記錄問題上應該恰當地設立，才能對此完成控制以及監測，在閥值到達之前采用先處理記錄信息，以此在日志信息的安全、可靠、完整性上才能起到關鍵的作用。

3.5 數據傳輸安全防范

數據在傳送、輸送的同時，采用網絡接入到服務器端，達到移動應用的各項功能，此時黑客會截取傳送、輸送數據把有毒代碼帶入，來侵犯網絡，從中盜取數據。在確保傳送、輸送數據時安全性，需加大力度管理。企業在傳送、輸送重要數據時多使用SSL 加密，在如今的企業中已大大跟不上步伐了。企業的使用形式有下面幾種：物理APN專線、SSL 協議的安全傳輸隧道、應用層虛擬化數據封裝的三級隧道體制，這三種采用安全接入、APN 接入、移動數據服務器等來保證傳送、輸送可靠，達到使用者的安全接入和數據之間有效的互換隔開，此時同樣隔離了企業網絡數據和企業移動應用服務器。

3.6 入侵防范

面對來自外界的有毒病毒侵犯時，移動應用中防護中要具備下面措施才能有效地恢復在發布移動應用程序時的紕漏，要有不斷完善和不斷更新的技能。更新的過程中要具備安全提醒、新版本更新進行檢測方面功能，在更新階段不刪除及修改用戶的個人隱私及數據等，并附有新版本注明；更新以及升級的功能上要對程序采用全面檢測，有效地阻止網絡傳送、輸送時程序被置換；在移動應用程序中挪用的組件和外部模塊，具備完善的驗證步驟，符合挪用者的正當性；數據訪問，供給服務這些功能時，在驗證方面需要驗證好挪用者合法性；在SQL 注入攻擊、跨站腳本攻擊、CSRF 等方面做好安全有效地預防。

4 結語

智能手機在近幾年被廣泛地應用，手機在使用、操作和安全防護上運用不恰當會出現身份泄露、財產受損現象，當下移動網絡安全方面已是人們關注的重要問題，盡管產生的問題多復雜多緊急，移動網絡通信都存在著很大的優點，給通信事業的未來奠定了一定基礎，指出了新道路。3G 、4G 技術的革新，在提升企業發展、生產中以及人們日常工作生活中都起著重大的影響。3G網絡在商業及個人使用中取得了不錯的效果，因在起初籌備、實行中已是一套較為全面的體制。4G網絡時代在各種各樣的規范、準則下日漸熟練，起初在運行階段需認識到安全信息的重要性，在用戶端、應用端、傳輸端上建立安全可控體制，從全方面提升3G 、4G 技術和面對將來產生新型網絡的預警、防護等技術。