移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全問題研究(畢業(yè)論文)

1、<p>　　本科畢業(yè)論文（設(shè)計(jì)）</p><p>　　移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全問題研究</p><p><b>　　摘要</b></p><p>　　移動(dòng)互聯(lián)網(wǎng)是全球在過去半個(gè)世紀(jì)的第 5個(gè)新技術(shù)周期，新的技術(shù)周期將帶來巨大的財(cái)富，并將帶動(dòng)整個(gè)產(chǎn)業(yè)的發(fā)展和龐大的就業(yè)機(jī)會(huì)。但是在快速發(fā)展的移動(dòng)互聯(lián)網(wǎng)時(shí)代里，風(fēng)險(xiǎn)是與機(jī)遇并存的。移動(dòng)互聯(lián)網(wǎng)憑

2、借其便攜性、移動(dòng)性、私人性等特點(diǎn)正為用戶提供更個(gè)性化、更高質(zhì)量的網(wǎng)絡(luò)服務(wù)，但是移動(dòng)互聯(lián)網(wǎng)在為用戶提供高質(zhì)量的服務(wù)同時(shí)也正將用戶更多的個(gè)人隱私暴露在網(wǎng)絡(luò)之中。用戶的信息正在被網(wǎng)絡(luò)運(yùn)營商、服務(wù)提供商或其他商家在用戶未授權(quán)的條件下收集以及使用著，而且這些個(gè)人信息還存在著透過網(wǎng)絡(luò)泄漏或者是被非法盜取使用的威脅，可能對用戶造成十分嚴(yán)重的傷害。</p><p>　　本文就從“攻擊”和“防范”這兩個(gè)方面來對移動(dòng)互聯(lián)網(wǎng)進(jìn)行研究。

3、闡述目前移動(dòng)互聯(lián)網(wǎng)中存在的安全問題及安全的重要性。對現(xiàn)有安全威脅以及表現(xiàn)形式做了分析，對為加強(qiáng)安全應(yīng)采取的應(yīng)對措施做了較深入討論，并描述了本研究領(lǐng)域的未來發(fā)展走向。讓人們明白各種網(wǎng)絡(luò)攻擊的原理與防范的方法。從而減少因網(wǎng)絡(luò)安全問題所產(chǎn)生的損失。</p><p>　　關(guān)鍵詞：移動(dòng)互聯(lián)網(wǎng)，信息安全，安全防護(hù)</p><p><b>　　Abstract</b></p&

4、gt;<p>　　Mobile Internet is the world's fifth in the past half-century cycle of new technologies, new technology cycle will bring great wealth, and will promote the development of the entire industry and a hug

5、e employment opportunities. But in the era of rapid development of mobile Internet, the risk and opportunities. Mobile Internet With its portability, mobility, personal characteristics such as being to provide users with

6、 a more personalized, higher quality network services, but the mobile Internet i</p><p>　　In this paper from the "attack" and "prevention" to study two aspects of the mobile Internet. Exp

7、lained the importance of the current security problems that exist in the mobile Internet and security. Existing forms of security threats and do the analysis, response measures should be taken to strengthen security to d

8、o a more in-depth discussion, and describes the future development trend of this research. Allow people to understand the principles and methods of various network attacks prevention.</p><p>　　Key words: Mob

9、ile Internet, Information Security, Security Protect</p><p><b>　　目錄</b></p><p><b>　　摘要II</b></p><p>　　AbstractIII</p><p>　　1 引言- 1 -</p&g

10、t;<p>　　1.1 研究背景- 1 -</p><p>　　1.2 研究目的與意義- 1 -</p><p>　　1.3 研究內(nèi)容- 2 -</p><p>　　2 移動(dòng)互聯(lián)網(wǎng)的發(fā)展及未來發(fā)展趨勢- 2 -</p><p>　　2.1移動(dòng)互聯(lián)網(wǎng)概述- 2 -</p><p>　　2.

11、2移動(dòng)互聯(lián)網(wǎng)的發(fā)展- 4 -</p><p>　　3 移動(dòng)互聯(lián)網(wǎng)環(huán)境中的個(gè)人信息及安全- 6 -</p><p>　　3.1移動(dòng)互聯(lián)網(wǎng)環(huán)境中的個(gè)人信息- 6 -</p><p>　　3.2移動(dòng)互聯(lián)網(wǎng)環(huán)境中的個(gè)人信息安全- 7 -</p><p>　　4 移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全面臨的威脅- 9 -</p><p

12、>　　4.1個(gè)人信息泄露的渠道- 9 -</p><p>　　5 移動(dòng)互聯(lián)網(wǎng)攻擊- 10 -</p><p>　　5.1應(yīng)用層攻擊- 10 -</p><p>　　5.2中間層攻擊- 11 -</p><p>　　5.3內(nèi)核層攻擊- 12 -</p><p>　　5.4物理層攻擊- 12 -<

13、/p><p>　　5.5通信網(wǎng)絡(luò)層攻擊- 13 -</p><p>　　6 應(yīng)對策略及防護(hù)手段- 14 -</p><p>　　6.1移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全問題的應(yīng)對策略- 14 -</p><p>　　6.2移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全問題的防護(hù)- 14 -</p><p><b>　　1 引言</

14、b></p><p><b>　　1.1 研究背景</b></p><p>　　當(dāng)前，移動(dòng)互聯(lián)網(wǎng)在全球掀起了新的發(fā)展浪潮，特別是隨著移動(dòng)智能終端的日益普及，移動(dòng)應(yīng)用和服務(wù)不斷豐富，我國也進(jìn)入了移動(dòng)互聯(lián)網(wǎng)高速發(fā)展階段。移動(dòng)互聯(lián)網(wǎng)一方面給用戶帶來了快捷便利的良好體驗(yàn)，另一方面也帶來了嚴(yán)峻的信息安全挑戰(zhàn)。</p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)技

15、術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的開放性、共享性、互連程度隨之?dāng)U大。信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國家的政府、軍事、文教等諸多領(lǐng)域，存儲(chǔ)、傳輸和處理的許多信息是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。其中有很多是敏感信息，甚至是國家機(jī)密，所以難免會(huì)吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。網(wǎng)絡(luò)的安全性和可靠性已成為不同使用層次的用

16、戶共同關(guān)心的問題。人們都希望自己的網(wǎng)絡(luò)系統(tǒng)能夠更加可靠地運(yùn)行，不受外來入侵者干擾和破壞。所以解決好網(wǎng)絡(luò)的安全性和可靠性問題，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。無論是有意的攻擊，還是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。所以，計(jì)算機(jī)網(wǎng)絡(luò)必須有足夠強(qiáng)的安全防范措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全防范措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。本文就從“攻擊”和“防范”這兩個(gè)方面

17、來對網(wǎng)絡(luò)進(jìn)行研究。闡述目前計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全問題及計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性。對現(xiàn)有網(wǎng)絡(luò)安全的威脅以及表</p><p>　　1.2 研究目的與意義</p><p>　　1.2.1 研究目的</p><p>　　隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，人們的工作、學(xué)習(xí)和生活方式正在發(fā)生巨大變化，效率大為提高，信息資源得到最大程度的共享。但必須看到，緊隨信息化發(fā)展

18、而來的信息安全問題日漸凸出，如果不很好地解決這個(gè)問題，必將阻礙信息化發(fā)展的進(jìn)程。隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。有很多是敏感信息，甚至是國家機(jī)密，難免會(huì)吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。所以，信息的安全是一個(gè)非常嚴(yán)峻的問題。</p><p>　　1.2.2 研究意義</p><p>　　信息安全問

19、題已成為社會(huì)關(guān)注的焦點(diǎn)。特別是隨著Internet 的普及和電子商務(wù)、政府上網(wǎng)工程的啟動(dòng), 一方面, 信息技術(shù)已經(jīng)成為整個(gè)社會(huì)經(jīng)濟(jì)和企業(yè)生存發(fā)展的重要基礎(chǔ), 在國計(jì)民生和企業(yè)經(jīng)營中的重要性日益凸現(xiàn); 另一方面, 政府主管機(jī)構(gòu)、企業(yè)和用戶對信息技術(shù)的安全性、穩(wěn)定性、可維護(hù)性和可發(fā)展性提出了越來越迫切的要求, 因此, 從社會(huì)發(fā)展和國家安全角度來看, 加大發(fā)展信息安全技術(shù)的力度已刻不容緩。</p><p>　　2 移

20、動(dòng)互聯(lián)網(wǎng)的發(fā)展及未來發(fā)展趨勢</p><p>　　2.1移動(dòng)互聯(lián)網(wǎng)概述</p><p>　　隨著Web應(yīng)用技術(shù)的不斷創(chuàng)新和寬帶無線移動(dòng)通信技術(shù)的進(jìn)一步發(fā)展，移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展將成為繼寬帶技術(shù)后互聯(lián)網(wǎng)發(fā)展的又一推動(dòng)力，使得互聯(lián)網(wǎng)更加普及，并以其隨身性、可鑒權(quán)、可身份識(shí)別等獨(dú)特優(yōu)勢，為傳統(tǒng)的互聯(lián)網(wǎng)類業(yè)務(wù)提供了新的發(fā)展空間和可持續(xù)發(fā)展的新商業(yè)模式、從最初簡單的文本瀏覽、圖鈴下載等業(yè)務(wù)發(fā)展到當(dāng)前

21、的與互聯(lián)網(wǎng)業(yè)務(wù)深度融合的業(yè)務(wù)形式，移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)正在成長為移動(dòng)運(yùn)營商業(yè)務(wù)發(fā)展的戰(zhàn)略重點(diǎn)。</p><p>　　2.1.1移動(dòng)互聯(lián)網(wǎng)的定義</p><p>　　移動(dòng)互聯(lián)網(wǎng)是移動(dòng)和互聯(lián)網(wǎng)融合的產(chǎn)物，繼承了移動(dòng)隨時(shí)隨地隨身和互聯(lián)網(wǎng)分享、開放、互動(dòng)的優(yōu)勢，是整合二者優(yōu)勢的“升級(jí)版本”，即運(yùn)營商提供無線接入，互聯(lián)網(wǎng)企業(yè)提供各種成熟的應(yīng)用。移動(dòng)互聯(lián)網(wǎng)被稱為下一代互聯(lián)網(wǎng)web3.0。比如dropbox，

22、uDrop這類應(yīng)用就是典型的移動(dòng)互聯(lián)網(wǎng)應(yīng)用。移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)和應(yīng)用包括移動(dòng)環(huán)境下的網(wǎng)頁瀏覽、文件下載、位置服務(wù)、在線游戲、視頻瀏覽和下載等業(yè)務(wù)。隨著寬帶無線移動(dòng)通信技術(shù)的進(jìn)一步發(fā)展，移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展將成為繼寬帶技術(shù)后互聯(lián)網(wǎng)發(fā)展的又一個(gè)推動(dòng)力，為互聯(lián)網(wǎng)的發(fā)展提供一個(gè)新的平臺(tái)，使得互聯(lián)網(wǎng)更加普及。并以移動(dòng)應(yīng)用固有的隨身性、可鑒權(quán)、可身份識(shí)別等獨(dú)特優(yōu)勢，為傳統(tǒng)的互聯(lián)網(wǎng)類業(yè)務(wù)提供了新的發(fā)展空間和可持續(xù)發(fā)展的新商業(yè)模式；同時(shí)，移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)

23、展為移動(dòng)網(wǎng)帶來了無盡的應(yīng)用空間，促進(jìn)了移動(dòng)網(wǎng)絡(luò)寬帶化的深入發(fā)展。移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)正在成長為移動(dòng)運(yùn)營商業(yè)務(wù)發(fā)展的戰(zhàn)略重點(diǎn)。</p><p>　　2.1.2移動(dòng)互聯(lián)網(wǎng)的特點(diǎn)</p><p>　　“小巧輕便”及“通訊便捷”兩個(gè)特點(diǎn)，決定了移動(dòng)互聯(lián)網(wǎng)與PC互聯(lián)網(wǎng)的根本不同之處，發(fā)展趨勢及相關(guān)聯(lián)之處?？梢浴半S時(shí)、隨地、隨心”地享受互聯(lián)網(wǎng)業(yè)務(wù)帶來的便捷，還表現(xiàn)在更豐富的業(yè)務(wù)種類、個(gè)性化的服務(wù)和更高服務(wù)質(zhì)

24、量的保證，當(dāng)然，移動(dòng)互聯(lián)網(wǎng)在網(wǎng)絡(luò)和終端方面也受到了一定的限制。與傳統(tǒng)的桌面互聯(lián)網(wǎng)相比較，移動(dòng)互聯(lián)網(wǎng)具有幾個(gè)鮮明的特性：</p><p>　?。?）便捷性和便攜性。移動(dòng)互聯(lián)網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)是一張立體的網(wǎng)絡(luò)，GPRS、3G、4G和WLAN或WIFI構(gòu)成的無縫覆蓋，使得移動(dòng)終端具有通過上述任何形式方便聯(lián)通網(wǎng)絡(luò)的特性；移動(dòng)互聯(lián)網(wǎng)的基本載體是移動(dòng)終端。顧名思義，這些移動(dòng)終端不僅僅是智能手機(jī)、平板電腦，還有可能是智能眼鏡、手表、

25、服裝、飾品等各類隨身物品。它們屬于人體穿戴的一部分，隨時(shí)隨地都可使用。</p><p>　　（2）即時(shí)性和精確性。由于有了上述便捷性和便利性，人們可以充分利用生活中、工作中的碎片化時(shí)間，接受和處理互聯(lián)網(wǎng)的各類信息。不再擔(dān)心有任何重要信息、時(shí)效信息被錯(cuò)過了。無論是什么樣的移動(dòng)終端，其個(gè)性化程度都相當(dāng)高。尤其是智能手機(jī)，每一個(gè)電話號(hào)碼都精確的指向了一個(gè)明確的個(gè)體。是的移動(dòng)互聯(lián)網(wǎng)能夠針對不同的個(gè)體，提供更為精準(zhǔn)的個(gè)性化

26、服務(wù)。</p><p>　?。?）感觸性和定向性。這一點(diǎn)不僅僅是體現(xiàn)在移動(dòng)終端屏幕的感觸層面。更重要的是體現(xiàn)在照相、攝像、二維碼掃描，以及重力感應(yīng)、磁場感應(yīng)、移動(dòng)感應(yīng)，溫度、濕度感應(yīng)等無所不及的感觸功能。而基于LBS的位置服務(wù)，不僅能夠定位移動(dòng)終端所在的位置。甚至可以根據(jù)移動(dòng)終端的趨向性，確定下一步可能去往的位置。使得相關(guān)服務(wù)具有可靠的定位性和定向性。</p><p>　　（4）業(yè)務(wù)與終端

27、、網(wǎng)絡(luò)的強(qiáng)關(guān)聯(lián)性和業(yè)務(wù)使用的私密性。由于移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)受到了網(wǎng)絡(luò)及終端能力的限制，因此，其業(yè)務(wù)內(nèi)容和形式也需要適合特定的網(wǎng)絡(luò)技術(shù)規(guī)格和終端類型。在使用移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)時(shí)，所使用的內(nèi)容和服務(wù)更私密，如手機(jī)支付業(yè)務(wù)等。</p><p>　?。?）網(wǎng)絡(luò)的局限性：移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)在便攜的同時(shí)，也受到了來自網(wǎng)絡(luò)能力和終端能力的限制：在網(wǎng)絡(luò)能力方面，受到無線網(wǎng)絡(luò)傳輸環(huán)境、技術(shù)能力等因素限制；在終端能力方面，受到終端大小、處理能力

28、、電池容量等的限制。</p><p>　　以上這五大特性，構(gòu)成了移動(dòng)互聯(lián)網(wǎng)與桌面互聯(lián)網(wǎng)完全不同的用戶體驗(yàn)生態(tài)。移動(dòng)互聯(lián)網(wǎng)已經(jīng)完全滲入到人們生活、工作、娛樂的方方面面了。</p><p>　　2.1.3移動(dòng)互聯(lián)網(wǎng)與互聯(lián)網(wǎng)的區(qū)別與聯(lián)系</p><p>　　什么是移動(dòng)互聯(lián)網(wǎng)？對此，業(yè)界有兩種觀點(diǎn)，一種觀點(diǎn)認(rèn)為移動(dòng)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)的延伸；另一種觀點(diǎn)認(rèn)為，移動(dòng)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)的發(fā)

29、展方向。本文在這里對移動(dòng)互聯(lián)網(wǎng)和互聯(lián)網(wǎng)的優(yōu)劣勢做了個(gè)簡單的比較，如表1-1.</p><p>　　表1-1移動(dòng)互聯(lián)網(wǎng)和互聯(lián)網(wǎng)的優(yōu)劣勢比較</p><p>　　2.2移動(dòng)互聯(lián)網(wǎng)的發(fā)展</p><p>　　IT技術(shù)發(fā)展已經(jīng)進(jìn)入移動(dòng)互聯(lián)網(wǎng)發(fā)展的早期階段。技術(shù)發(fā)展周期一般會(huì)持續(xù)十年時(shí)間，技術(shù)發(fā)展周期已在之前進(jìn)入下一個(gè)重大計(jì)算產(chǎn)品發(fā)展周期，即“移動(dòng)互聯(lián)網(wǎng)”發(fā)展周期。圖1為IT

30、技術(shù)發(fā)展周期。</p><p>　　在最近幾年里，移動(dòng)通信成為當(dāng)今世界發(fā)展最快、市場潛力最大、前景最誘人的業(yè)務(wù)之一。他們的增長速率是任何預(yù)言家都未曾預(yù)料到的。</p><p>　　圖1 IT技術(shù)發(fā)展周期</p><p>　　2.2.1中國移動(dòng)互聯(lián)網(wǎng)的發(fā)展現(xiàn)狀</p><p>　　中國的移動(dòng)互聯(lián)網(wǎng)發(fā)展經(jīng)歷了一下上次浪潮：第一次浪潮從1999年

31、中國移動(dòng)運(yùn)營商引入日本的分成模式；第二次浪潮是從2004年開始，中國移動(dòng)互聯(lián)網(wǎng)進(jìn)入飛速發(fā)展的時(shí)期；第三次浪潮在2014年，最重大的變化是運(yùn)營商獲得了4G牌照。</p><p>　　中國具有全球最大的移動(dòng)用戶群，正在進(jìn)入移動(dòng)互聯(lián)網(wǎng)需求的高速增長。PC互聯(lián)網(wǎng)從2000萬到1億用了6年，移動(dòng)互聯(lián)網(wǎng)用戶從2000萬到1億用了2年。智能手機(jī)使用率、3G和4G網(wǎng)絡(luò)覆蓋率、移動(dòng)上網(wǎng)資費(fèi)的快速下降有效激發(fā)了移動(dòng)互聯(lián)網(wǎng)的高速增長。

32、</p><p>　　移動(dòng)互聯(lián)網(wǎng)的浪潮正在席卷到社會(huì)的方方面面，新聞閱讀、視頻節(jié)目、電商購物、公交出行等熱門應(yīng)用都出現(xiàn)在移動(dòng)終端上，在蘋果和安卓商店的下載已達(dá)到數(shù)百億次，而移動(dòng)用戶規(guī)模更是超過了PC用戶。這讓服務(wù)提供商意識(shí)到移動(dòng)應(yīng)用的必要性，紛紛開始規(guī)劃和摸索進(jìn)入移動(dòng)互聯(lián)網(wǎng)，客觀上加快了移動(dòng)應(yīng)用市場的發(fā)展，與此同時(shí)，Andriod系統(tǒng)憑借開放和免費(fèi)策略在中國獲得了長足的發(fā)展。</p><p&g

33、t;　　2.2.2移動(dòng)互聯(lián)網(wǎng)的未來發(fā)展趨勢</p><p>　　曾幾何時(shí)，移動(dòng)互聯(lián)網(wǎng)還僅僅被人們視作互聯(lián)網(wǎng)的一個(gè)分支。事實(shí)上，傳統(tǒng)互聯(lián)網(wǎng)和電信業(yè)巨頭采取的種種戰(zhàn)略轉(zhuǎn)型舉措早已深刻說明，移動(dòng)互聯(lián)網(wǎng)不單是一種時(shí)髦應(yīng)用，更是一股席卷ICT領(lǐng)域的破壞式的創(chuàng)新浪潮。人民網(wǎng)研究院29日發(fā)布2013年中國《移動(dòng)互聯(lián)網(wǎng)藍(lán)皮書》，認(rèn)為移動(dòng)互聯(lián)網(wǎng)在短短幾年時(shí)間里，已滲透到社會(huì)生活的方方面面，產(chǎn)生了巨大影響，但它仍處在發(fā)展的早期，“變

34、化”仍是它的主要特征，革新是它的主要趨勢。</p><p>　　（1）移動(dòng)互聯(lián)網(wǎng)超越PC互聯(lián)網(wǎng)，引領(lǐng)發(fā)展新潮流。有線互聯(lián)網(wǎng)是互聯(lián)網(wǎng)的早期形態(tài)，移動(dòng)互聯(lián)網(wǎng)(無線互聯(lián)網(wǎng))是互聯(lián)網(wǎng)的未來。</p><p>　?。?）移動(dòng)互聯(lián)網(wǎng)和傳統(tǒng)行業(yè)融合，催生新的應(yīng)用模式。在移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)的推動(dòng)下，傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)的融合正在呈現(xiàn)出新的特點(diǎn)，平臺(tái)和模式都發(fā)生了改變。</p>&

35、lt;p>　?。?）移動(dòng)互聯(lián)網(wǎng)商業(yè)模式多樣化。成功的業(yè)務(wù)，需要成功的商業(yè)模式來支持。移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的新特點(diǎn)為商業(yè)模式創(chuàng)新提供了空間。隨著移動(dòng)互聯(lián)網(wǎng)發(fā)展進(jìn)入快車道，網(wǎng)絡(luò)、終端、用戶等方面已經(jīng)打好了堅(jiān)實(shí)的基礎(chǔ)，不盈利的情況已開始改變，移動(dòng)互聯(lián)網(wǎng)已融入主流生活與商業(yè)社會(huì)，貨幣化浪潮即將到來。</p><p>　?。?）用戶期盼跨平臺(tái)互通互聯(lián)。目前形成的iOS、Android、Windows Phone三大系統(tǒng)各自

36、獨(dú)立，相對封閉、割裂，應(yīng)用服務(wù)開發(fā)者需要進(jìn)行多個(gè)平臺(tái)的適配開發(fā)，這種隔絕有違互聯(lián)網(wǎng)互通互聯(lián)之精神。不同品牌的智能手機(jī)，甚至不同品牌、類型的移動(dòng)終端都能互聯(lián)互通，是用戶的期待，也是發(fā)展趨勢。移動(dòng)互聯(lián)網(wǎng)時(shí)代是融合的時(shí)代，是設(shè)備與服務(wù)融合的時(shí)代，是產(chǎn)業(yè)間互相進(jìn)入的時(shí)代，在這個(gè)時(shí)代，移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)參與主體的多樣性是一個(gè)顯著的特征。</p><p>　?。?）大數(shù)據(jù)挖掘成藍(lán)海，精準(zhǔn)營銷潛力凸顯。隨著移動(dòng)帶寬技術(shù)的迅速提升，

37、更多的傳感設(shè)備、移動(dòng)終端隨時(shí)隨地地接入網(wǎng)絡(luò)，加之云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的帶動(dòng)，中國移動(dòng)互聯(lián)網(wǎng)也逐漸步入“大數(shù)據(jù)”時(shí)代。 </p><p>　　3 移動(dòng)互聯(lián)網(wǎng)環(huán)境中的個(gè)人信息及安全</p><p>　　個(gè)人信息是進(jìn)行身份識(shí)別的主要標(biāo)識(shí)，在移動(dòng)互聯(lián)網(wǎng)環(huán)境中具有更廣的含義，除個(gè)人基本信息外還包括了用戶的消費(fèi)信息。在互聯(lián)網(wǎng)中，用戶的信息還具有商品性，對于一些不法分子而

38、言具有主要的作用，這就使得用戶的個(gè)人信息具有很大的經(jīng)濟(jì)意義，從而導(dǎo)致一下不法分子會(huì)試圖搜集、竊取和不合理使用用戶的個(gè)人信息。如何保證自己的非人信息安全，從用戶來說要嚴(yán)格防范，從服務(wù)提供商來說，要清楚自己的責(zé)任。</p><p>　　3.1移動(dòng)互聯(lián)網(wǎng)環(huán)境中的個(gè)人信息</p><p>　　目前對移動(dòng)互聯(lián)網(wǎng)環(huán)境下的個(gè)人信息還沒有一個(gè)較為統(tǒng)一的定義，但是總結(jié)各方對個(gè)人信息的定義，其共同點(diǎn)都認(rèn)為個(gè)人

39、信息是信息主體所擁有的能反映其特征的各種信息符號(hào)。移動(dòng)互聯(lián)網(wǎng)環(huán)境下，用戶的個(gè)人信息區(qū)別于他人的個(gè)人特征信息外還包括用戶的網(wǎng)絡(luò)活動(dòng)信息以及用戶的網(wǎng)絡(luò)空間存儲(chǔ)的信息。</p><p>　?。?）用戶個(gè)人的基本信息</p><p>　　用戶在使用移動(dòng)互聯(lián)網(wǎng)的過程中，不論是用戶注冊、消費(fèi)還是社交娛樂，都回涉及到個(gè)人信息的提供。如用戶個(gè)人的姓名、性別、年齡、聯(lián)系方式和家庭住址，更深入一些的還會(huì)涉及E

40、MALL、職業(yè)、收入、學(xué)歷等能夠識(shí)別特定個(gè)人的信息。在網(wǎng)上消費(fèi)的過程中還會(huì)涉及信用卡、電子消費(fèi)卡、交易賬號(hào)、密碼等個(gè)人財(cái)產(chǎn)信息。這些信息一旦遭到不法分子的竊取，會(huì)使用戶的隱私泄露，嚴(yán)重會(huì)有重大的經(jīng)濟(jì)損失。</p><p>　?。?）用戶個(gè)人網(wǎng)絡(luò)活動(dòng)信息</p><p>　　用戶在使用移動(dòng)互聯(lián)網(wǎng)的過程中，必定會(huì)瀏覽網(wǎng)頁或是使用某種應(yīng)用，這種網(wǎng)絡(luò)活動(dòng)也是一種個(gè)人信息。這些網(wǎng)絡(luò)活動(dòng)信息可以直接的

41、反映用戶的網(wǎng)絡(luò)瀏覽蹤跡，比如該用戶在購物網(wǎng)站瀏覽過的一些的商品，那么一些商家就可以利用這些信息分析該用戶的喜好和消費(fèi)習(xí)慣，從而推薦某些商品給這位用戶謀求利益。</p><p>　?。?）用戶個(gè)人網(wǎng)絡(luò)空間儲(chǔ)存的信息</p><p>　　用戶的個(gè)人網(wǎng)絡(luò)空間大致分為實(shí)體空間和虛擬空間。實(shí)體空間包括用戶的手機(jī)、平板電腦、移動(dòng)硬盤和U盤等存儲(chǔ)設(shè)備。虛擬網(wǎng)絡(luò)空間包括用戶的電子郵箱、網(wǎng)絡(luò)硬盤等。在這兩類

42、空間里，都回保存用戶的個(gè)人信息以及與之有關(guān)的各類信息。不法分子就是通過木馬病毒等技術(shù)手段，盜取在用戶在手機(jī)、網(wǎng)盤中的各類個(gè)人信息。</p><p>　　3.1.1移動(dòng)互聯(lián)網(wǎng)環(huán)境中個(gè)人信息的性質(zhì)</p><p>　　在信息社會(huì)，個(gè)人信息已經(jīng)商品化，已經(jīng)逐漸演變成一種財(cái)產(chǎn)和社會(huì)資源，能夠產(chǎn)生巨大的社會(huì)經(jīng)濟(jì)效益。在移動(dòng)互聯(lián)網(wǎng)環(huán)境下，對于商家來說，其對用戶個(gè)人信息的搜集和分析能夠更好的了解市場發(fā)展

43、趨勢、用戶對于應(yīng)用的需求，從而給用戶更為完善的服務(wù)，從中得到更多的利益。一些商家也通過對其所掌握的用戶個(gè)人信息同其他商家或個(gè)人交換從中牟利。商家獲得更多的消費(fèi)者信息的基礎(chǔ)是不斷發(fā)展的信息技術(shù)。可以說網(wǎng)絡(luò)技術(shù)的發(fā)展使個(gè)人信息的搜集更為容易，促使個(gè)人信息具備了商品交換價(jià)值。</p><p>　　3.1.2移動(dòng)互聯(lián)網(wǎng)環(huán)境中個(gè)人信息的重要性</p><p>　　對公民個(gè)人信息的獲取可能惡搞導(dǎo)致對公

44、民人身安全和生命權(quán)的侵害。個(gè)人信息與人的日常生活密切相關(guān)，尤其在移動(dòng)互聯(lián)網(wǎng)環(huán)境下，用戶的移動(dòng)設(shè)備中儲(chǔ)存的個(gè)人信息日益增多，但人們對這些信息的安全防范缺少防范意識(shí)，容易遭到竊取。但一個(gè)有犯罪意圖的人獲得其他人的家庭住址、家庭成員、工作單位，尤其是通過移動(dòng)設(shè)備中GPS功能獲取的用戶當(dāng)前位置信息等比較隱秘的個(gè)人信息后，會(huì)采取盜竊、綁架等行為，在這個(gè)過程中往往會(huì)造成受害人的人身傷害甚至導(dǎo)致生命權(quán)的喪失。</p><p>

45、　　財(cái)產(chǎn)權(quán)是公民對其神圣不可侵犯的合法財(cái)產(chǎn)所享有的占有、使用、處分、牟利的權(quán)利。當(dāng)人們的財(cái)產(chǎn)信息被泄露時(shí)，其財(cái)產(chǎn)權(quán)即受到了侵犯。在移動(dòng)互聯(lián)網(wǎng)環(huán)境下，通過移動(dòng)終端的網(wǎng)絡(luò)交易越來越頻繁，網(wǎng)絡(luò)詐騙受害的人數(shù)呈大幅上升的趨勢，除了個(gè)人安全意識(shí)的薄弱，大都因?yàn)閭€(gè)人信息的泄露導(dǎo)致防范意識(shí)下降。</p><p>　　3.2移動(dòng)互聯(lián)網(wǎng)環(huán)境中的個(gè)人信息安全</p><p>　　個(gè)人信息是指能識(shí)別特定某人特征

46、的信息。在移動(dòng)互聯(lián)網(wǎng)環(huán)境下還包含用戶的網(wǎng)絡(luò)活動(dòng)信息和空間存儲(chǔ)信息。因此，個(gè)人信息安全的內(nèi)涵更廣，它包含了通信設(shè)備、操作系統(tǒng)的穩(wěn)定性、安全性，個(gè)人信息的完整性和保密性，用戶在使用移動(dòng)互聯(lián)網(wǎng)過程中的安全性以及終端廠商、系統(tǒng)平臺(tái)、互聯(lián)網(wǎng)應(yīng)用和運(yùn)營服務(wù)商為保證個(gè)人信息不受侵害所采取的保護(hù)行為。</p><p>　　3.2.1用戶對個(gè)人信息擁有的權(quán)利</p><p>　?。?)用戶對個(gè)人信息被搜集的

47、知情權(quán)</p><p>　　移動(dòng)互聯(lián)網(wǎng)環(huán)境下，應(yīng)用的安裝會(huì)提示用戶該應(yīng)用在設(shè)備中搜集信息的權(quán)限。用戶有權(quán)知道是誰用了什么方式搜集了哪些個(gè)人信息，這些信息優(yōu)勢以怎樣的一個(gè)形式展現(xiàn)在他人面前，被收集的信息將用于什么目的。因此，商家在搜集用戶個(gè)人信息之前，應(yīng)該告知用戶，征得用戶的同意。</p><p>　?。?）用戶對個(gè)人信息的擁有控制權(quán)</p><p>　　在移動(dòng)互聯(lián)網(wǎng)

48、環(huán)境下，用戶對自己的個(gè)人信息擁有“合理的訪問權(quán)限”，可以通過合理的途徑訪問和查閱自己的個(gè)人信息，如購物網(wǎng)站的交易記錄、瀏覽記錄。用戶對這些信息擁有自主權(quán)，有權(quán)對這些信息進(jìn)行修改和刪除，從而保證個(gè)人信息的相對準(zhǔn)確性和完整性。</p><p>　　（3）用戶個(gè)人信息的請求權(quán)</p><p>　　隨著信息技術(shù)的不斷發(fā)展，移動(dòng)互聯(lián)網(wǎng)環(huán)境下個(gè)人信息必然存在安全隱患。用戶的個(gè)人信息有可能被人為的披露或

49、被竊取以及故意的篡改或惡意的刪除，也有可能由于技術(shù)上的缺陷或操作失誤導(dǎo)致個(gè)人信息的丟失。這些都會(huì)造成對用戶個(gè)人信息安全的威脅。因此，為了個(gè)人信息的安全，必須賦予用戶以安全請求權(quán)。用戶有權(quán)要求個(gè)人信息的獲取者采取具體措施和技術(shù)手段保證個(gè)人信息的安全性和完整性。</p><p>　　3.2.2 個(gè)人信息相關(guān)的法律法規(guī)</p><p>　?。?）中華人民共和國憲法 </p><

50、;p>　　第四十條中華人民共和國公民的通信自由和通信秘密受法律的保護(hù)。除因國家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密。</p><p>　　（2）中華人民共和國民法通則</p><p>　　第一百條公民享有肖像權(quán)，未經(jīng)本人同意，不得以營利為目的使用公民的肖像。</p>

51、<p>　?。?）中華人民共和國郵政法</p><p>　　第四條通信自由和通信秘密受法律保護(hù)。除因國家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)、國家安全機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯他人的通信自由和通信秘密。</p><p>　?。?）中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法</p><

52、;p>　　第十八條用戶應(yīng)當(dāng)服從接入單位的管理，遵守用戶守則；不得擅自進(jìn)入未經(jīng)許可的計(jì)算機(jī)系統(tǒng)，篡改他人信息；不得在網(wǎng)絡(luò)上散發(fā)惡意信息，冒用他人名義發(fā)出信息，侵犯他人隱私；不得制造、傳播計(jì)算機(jī)病毒及從事其它侵犯網(wǎng)絡(luò)和他人合法權(quán)益的活動(dòng)。用戶有權(quán)獲得接入單位提供的各項(xiàng)服務(wù)；有義務(wù)交納費(fèi)用。</p><p>　　3.2.3個(gè)人信息泄露的原因和后果</p><p>　　與個(gè)人信息安全相對應(yīng)的

53、一個(gè)詞就是個(gè)人信息泄露。目前尚沒有形成對個(gè)人信息泄露較為公認(rèn)的概念。從語義上理解，個(gè)人信息泄露是指個(gè)人信息主體不愿被他人所知曉的個(gè)人信息被公開為他人所知曉?？梢哉f，信息泄露是一種不正當(dāng)?shù)男畔鞑バ袨榍覀€(gè)人信息的泄露往往是帶有營利目的的。移動(dòng)互聯(lián)網(wǎng)環(huán)境下，由于信息技術(shù)及個(gè)人信息的商品化因素，使得個(gè)人信息更容易泄露。個(gè)人信息內(nèi)容的價(jià)值量是信息泄露的一個(gè)根本動(dòng)力，在移動(dòng)互聯(lián)網(wǎng)環(huán)境下，用戶的個(gè)人信息對商家來說是具有商業(yè)價(jià)值的，因此，一些商家會(huì)從

54、用戶個(gè)人信息的獲取中謀得自身的利益，而損害的則是用戶的個(gè)人利益。在信息技術(shù)不斷發(fā)展的信息社會(huì)，商家能更容易、快捷地獲取用戶的個(gè)人信息。用戶個(gè)人信息的泄露將會(huì)帶給其經(jīng)濟(jì)及生活上的不利影響。</p><p>　　4 移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全面臨的威脅</p><p>　　目前移動(dòng)終端用戶數(shù)目已超過固網(wǎng)用戶數(shù)目達(dá)到了幾十億，隨著3G、Wimax、LTE等多種無線寬帶技術(shù)的快速發(fā)展并推廣應(yīng)用，PD

55、A、無線數(shù)據(jù)卡、智能手機(jī)等各種形式的移動(dòng)終端成為黑客攻擊的主要目標(biāo)。針對無線終端的攻擊除了傳統(tǒng)針對PC機(jī)和互聯(lián)網(wǎng)的攻擊手段外，也有其自身的特殊性，包括：針對手機(jī)操作系統(tǒng)的病毒攻擊，針對無線業(yè)務(wù)的木馬攻擊、惡意廣播的垃圾電話、基于彩信應(yīng)用的蠕蟲、垃圾短信彩信、手機(jī)信息被竊取、SIM卡復(fù)制以及針對無線傳輸協(xié)議的黑客攻擊等。這些新興的無線終端攻擊方式也給今后無線終端的廣泛應(yīng)用帶來嚴(yán)峻挑戰(zhàn)。</p><p>　　4.1個(gè)

56、人信息泄露的渠道</p><p>　　隨著IP技術(shù)的高速發(fā)展，移動(dòng)互聯(lián)網(wǎng)也逐漸IP化，它把互聯(lián)網(wǎng)中存在的所有安全威脅全部引入到移動(dòng)互聯(lián)網(wǎng)中。比如以前只在固網(wǎng)出現(xiàn)的蠕蟲病毒、惡意網(wǎng)頁推送等，如今在移動(dòng)互聯(lián)網(wǎng)中也屢見不鮮，可見移動(dòng)互聯(lián)網(wǎng)個(gè)人信息泄露的渠道也隨著變得多樣化。</p><p>　?。?）用戶注冊和登陸</p><p>　　用戶在使用移動(dòng)互聯(lián)網(wǎng)過程中，無論是使

57、用軟件還是網(wǎng)上娛樂、購物都要進(jìn)行注冊，注冊必然會(huì)提供個(gè)人相關(guān)信息。對于用戶而言，提供個(gè)人基本信息存在一定的安全隱患，因?yàn)榫W(wǎng)站或軟件開發(fā)者可能會(huì)濫用用戶的個(gè)人信息進(jìn)行不合理甚至是違法的活動(dòng)。在網(wǎng)上提供個(gè)人信息存在一定的安全風(fēng)險(xiǎn)，首先用戶不知道網(wǎng)站會(huì)如何利用這些信息，也不能保證這些信息不會(huì)遭到泄露。如今，大多的網(wǎng)絡(luò)詐騙都是利用這些個(gè)人信息的泄露進(jìn)行詐騙的，所以一旦信息遭到泄露，很容易使用戶遭受侵犯、財(cái)產(chǎn)遭到損失。</p>&l

58、t;p><b>　　（2）網(wǎng)頁瀏覽</b></p><p>　　用戶在使用移動(dòng)互聯(lián)網(wǎng)進(jìn)行網(wǎng)頁瀏覽時(shí)，瀏覽器在用戶每次訪問網(wǎng)頁等相關(guān)內(nèi)容時(shí)都會(huì)在網(wǎng)絡(luò)服務(wù)器的日志上留下記錄。這些服務(wù)器日志會(huì)記錄下用戶的IP地址、傳遞查詢的URL等信息。用戶在網(wǎng)絡(luò)瀏覽的過程中會(huì)產(chǎn)生cookie文件，網(wǎng)絡(luò)服務(wù)器會(huì)使用cookie來標(biāo)記帶有識(shí)別信息的網(wǎng)絡(luò)瀏覽器來幫助用戶獲得更快捷的瀏覽體驗(yàn)。但是黑客可以通過co

59、okie在對用戶進(jìn)行跟蹤，也就能得知用戶的瀏覽記錄等詳細(xì)信息。</p><p><b>　?。?）網(wǎng)絡(luò)支付</b></p><p>　　網(wǎng)絡(luò)支付，就是用戶在網(wǎng)上購物的交易過程中，將自己的賬戶資金通過網(wǎng)絡(luò)支付的一個(gè)過程，將負(fù)載有個(gè)人基本信息和財(cái)務(wù)信息的電子支付工具用于資金結(jié)算和流轉(zhuǎn)。一些傳統(tǒng)的盜號(hào)木馬、釣魚網(wǎng)站、新型交易劫持木馬，可以在用戶完成付款流程后發(fā)現(xiàn)商家并未受到

60、付款，以盜取用戶賬戶中的資金和信息，這種方式及其隱蔽，用戶沒有防范技術(shù)很難提防。</p><p><b>　?。?）網(wǎng)絡(luò)攻擊</b></p><p>　　“黑客”（Hack）對于大家來說可能并不陌生，他們是一群利用自己的技術(shù)專長專門攻擊網(wǎng)站和計(jì)算機(jī)而不暴露身份的計(jì)算機(jī)用戶，但是隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，黑客的也由互聯(lián)網(wǎng)慢慢轉(zhuǎn)移到移動(dòng)互聯(lián)網(wǎng)。由于黑客技術(shù)逐漸被越來越多的人掌

61、握和發(fā)展，目前世界上約有20多萬個(gè)黑客網(wǎng)站，這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而任何網(wǎng)絡(luò)系統(tǒng)、站點(diǎn)都有遭受黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客們善于隱蔽，攻擊“殺傷力”強(qiáng)，是網(wǎng)絡(luò)安全的主要威脅。而就目前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢來看，黑客攻擊的方式也越來越多的采用了病毒進(jìn)行破壞，它們采用的攻擊和破壞方式多種多樣，對沒有網(wǎng)絡(luò)安全防護(hù)設(shè)備（防火墻）的系統(tǒng)（或防護(hù)級(jí)別較低）進(jìn)行攻

62、擊和破壞，這給移動(dòng)互聯(lián)網(wǎng)的安全防護(hù)帶來了嚴(yán)峻的挑戰(zhàn)。</p><p>　　5 移動(dòng)互聯(lián)網(wǎng)攻擊</p><p>　　本章對移動(dòng)互聯(lián)網(wǎng)應(yīng)用層、中間層、內(nèi)核層、傳感器和通信網(wǎng)絡(luò)層的相關(guān)概念進(jìn)行簡單介紹，并對其面臨的攻擊進(jìn)行描述。</p><p><b>　　5.1應(yīng)用層攻擊</b></p><p>　　5.1.1惡意代碼的入

63、侵方式</p><p>　　移動(dòng)智能終端（包括智能手機(jī)、平板電腦等）的一個(gè)共同特點(diǎn)是搭載操作系統(tǒng)并可運(yùn)行第三方APP。惡意代碼可以隨著第三方APP的安裝進(jìn)入移動(dòng)終端系統(tǒng)。統(tǒng)計(jì)信息顯示86%的Android惡意代碼是嵌入到流行的APP，并重新打包實(shí)現(xiàn)的。Android惡意代碼入侵的其他方式還包括惡意代碼嵌入更新模塊、利用二維碼、郵件、惡意鏈接等形式欺騙用戶下載等。</p><p>　　iOS

64、系統(tǒng)采用嚴(yán)格的代碼審查和簽名機(jī)制，攻擊相對較少，但面臨兩個(gè)問題：1）用戶必須無條件信任蘋果公司；2）一些惡意應(yīng)用通過代碼審查發(fā)布之后，可能主動(dòng)下載惡意代碼。</p><p>　　5.1.2惡意應(yīng)用的攻擊過程</p><p>　　惡意應(yīng)用在進(jìn)入系統(tǒng)之后，其能力受限于操作系統(tǒng)的訪問控制機(jī)制，因而惡意應(yīng)用進(jìn)入系統(tǒng)后的首要工作是提升自身權(quán)限。</p><p>　　在Andr

65、oid系統(tǒng)中，系統(tǒng)資源的訪問控制分為兩層實(shí)現(xiàn)。第一層是基于用戶和組的訪問控制機(jī)制。每個(gè)應(yīng)用在安裝時(shí)，都被分配了唯一的UID，作為一個(gè)獨(dú)立的用戶存在。該應(yīng)用擁有自己的資源，并且在訪問文件系統(tǒng)時(shí)根據(jù)用戶和組等進(jìn)行資源管控。另一層是Android的Permission機(jī)制，Permission機(jī)制負(fù)責(zé)管理利用系統(tǒng)服務(wù)訪問系統(tǒng)資源的行為。然而，Android系統(tǒng)中存在大量以Root身份運(yùn)行的Daemon進(jìn)程，可以利用這些進(jìn)程的漏洞使惡意代碼以R

66、oot身份運(yùn)行。目前已知的可用于獲取Root權(quán)限的漏洞包括ASHMEM、Exploid、Gingerbeak、Levitator、Mempodroid、Wunderbar、ZergRush、Zimperlich等。以Root身份運(yùn)行的程序可以繞過Android系統(tǒng)的訪問控制機(jī)制，包括繞過或破壞在中間層實(shí)現(xiàn)的Permission機(jī)制。</p><p>　　在iOS系統(tǒng)中，文件加密被用于系統(tǒng)數(shù)據(jù)的訪問控制。NAND中

67、整個(gè)文件系統(tǒng)部分都用單個(gè)密鑰EMF！進(jìn)行加密，EMF！保存在存儲(chǔ)設(shè)備的PLOG塊1中。文件系統(tǒng)中的每個(gè)文件采用一個(gè)唯一密鑰加密，一旦文件被刪除，唯一密鑰也會(huì)丟棄。保護(hù)等級(jí)密鑰是基于訪問策略打開文件的主密鑰，加密文件的密鑰采用保護(hù)等級(jí)密鑰加密。iOS系統(tǒng)的基于加密的文件訪問控制需要高性能的密碼硬件協(xié)助實(shí)現(xiàn)。突破iOS的訪問控制需要突破這種密碼訪問控制體系，即俗稱的越獄。</p><p><b>　　5.2

68、中間層攻擊</b></p><p>　　中間層是移動(dòng)終端內(nèi)核層和應(yīng)用層之間的一層軟件棧，通常包括系統(tǒng)運(yùn)行需要的核心庫文件、關(guān)鍵系統(tǒng)服務(wù)代碼等。攻擊中間層軟件棧，可以讓惡意代碼直接面對內(nèi)核，從相對底層獲取更多的系統(tǒng)資源，提高攻擊效率。本節(jié)主要從Android Permission、應(yīng)用代碼簽名、代碼控制流等方面介紹相關(guān)攻擊。</p><p>　　5.2.1 Android Per

69、mission攻擊</p><p>　　Android應(yīng)用程序在安裝時(shí)向用戶申請相關(guān)Permission，然后系統(tǒng)會(huì)將該P(yáng)ermission導(dǎo)入系統(tǒng)核心進(jìn)程中維護(hù)。一旦應(yīng)用程序向系統(tǒng)服務(wù)申請資源訪問，在提供具體服務(wù)之前，系統(tǒng)服務(wù)會(huì)向核心進(jìn)程檢查該應(yīng)用是否被授予相關(guān)Permission。在系統(tǒng)啟動(dòng)過程中，核心進(jìn)程會(huì)從配置文件package.xml導(dǎo)入應(yīng)用的Permission列表，因而一種Permission攻擊方

70、式是修改配置文件提升自身的Permission。由于配置文件受到文件系統(tǒng)的訪問控制保護(hù)，因而實(shí)現(xiàn)該攻擊需要Root權(quán)限。</p><p>　　另一種Permission攻擊是合謀攻擊。具體實(shí)現(xiàn)方式分為兩種：1）某些高權(quán)限的應(yīng)用可能有意或無意開放了調(diào)用接口，惡意應(yīng)用調(diào)用該接口，間接實(shí)現(xiàn)高特權(quán)的功能；2）攻擊者將攻擊所需要的權(quán)限分散在多個(gè)應(yīng)用中，一旦多個(gè)應(yīng)用安裝成功，幾個(gè)應(yīng)用通過合謀，完成惡意操作。</p>

71、;<p>　　5.2.2 應(yīng)用代碼簽名攻擊</p><p>　　Android在中間層采用了代碼自簽名機(jī)制，允許第三方APP進(jìn)入終端系統(tǒng)。如果應(yīng)用在設(shè)備上安裝成功，仍然能夠?qū)λ拇a進(jìn)行隨意更改，那么應(yīng)用程序控制流程的完整性將遭到破壞。</p><p>　　在Android應(yīng)用安裝時(shí)，會(huì)對安裝程序各部分進(jìn)行摘要計(jì)算、簽名比對等過程，但是在啟動(dòng)已安裝的應(yīng)用時(shí)，不會(huì)進(jìn)行重新計(jì)算，

72、只進(jìn)行比對時(shí)間戳等操作。對代碼簽名的攻擊可以通過偽造時(shí)間戳實(shí)現(xiàn)。</p><p>　　這樣可以在不被系統(tǒng)簽名機(jī)制察覺的情況下，向應(yīng)用程序中添加惡意代碼。但是普通用戶無法對上述文件進(jìn)行操作，因而上述攻擊只有Root用戶可以成功。除了上述方式外，還可以通過修改中間層代碼層的實(shí)現(xiàn)繞過簽名機(jī)制。</p><p>　　5.2.3代碼控制流攻擊</p><p>　　Androi

73、d基于Linux內(nèi)核，提供了一個(gè)進(jìn)程控制另一個(gè)進(jìn)程的手段，如ptrace系統(tǒng)調(diào)用。利用ptrace可以實(shí)現(xiàn)進(jìn)程劫持，允許父進(jìn)程控制子進(jìn)程或者高權(quán)限用戶的進(jìn)程控制其他目標(biāo)進(jìn)程，從而改變目標(biāo)進(jìn)程的執(zhí)行流程。一方面，注入的代碼可以修改目標(biāo)進(jìn)程的運(yùn)行時(shí)環(huán)境，比如修改dalvik虛擬機(jī)的關(guān)鍵入口函數(shù)，達(dá)到動(dòng)態(tài)監(jiān)控的目的。另一方面，由于注入的代碼處于目標(biāo)進(jìn)程地址空間，它可以利用目標(biāo)進(jìn)程的所有權(quán)限，讀取目標(biāo)進(jìn)程的私有數(shù)據(jù)，完成非法操作。如目標(biāo)進(jìn)程申請

74、了android.permission.SEND_SMS，注入代碼就可以通過發(fā)送短信定制付費(fèi)服務(wù)，達(dá)到惡意扣費(fèi)目的。更進(jìn)一步，Android系統(tǒng)內(nèi)有大量的系統(tǒng)服務(wù)，一旦系統(tǒng)服務(wù)進(jìn)程被劫持，使用該系統(tǒng)服務(wù)的任何進(jìn)程將不再可信。</p><p>　　? iOS系統(tǒng)在越獄的情況下，存在類似Android的代碼控制流攻擊。由于iOS系統(tǒng)的非開源性，相關(guān)科研人員試圖從其他角度對iOS架構(gòu)的安全性作評估。其中一個(gè)思路是

75、分析同一款應(yīng)用的iOS版本和Android版本，比較二者使用安全相關(guān)API（Security sensitive API）的數(shù)量。通過對2600余款應(yīng)用的分析，發(fā)現(xiàn)iOS應(yīng)用使用了較多的安全相關(guān)API，這從側(cè)面反映iOS的代碼審查機(jī)制在保護(hù)敏感資源上可能不如Android的Permission機(jī)制更有力。</p><p><b>　　5.3內(nèi)核層攻擊</b></p><p

76、>　　移動(dòng)終端系統(tǒng)大多數(shù)采用ARM處理器，類似于x86架構(gòu)，ARM處理器也支持多個(gè)運(yùn)行模式。應(yīng)用代碼運(yùn)行在用戶模式，內(nèi)核代碼運(yùn)行在內(nèi)核模式。不同模式之間的硬件隔離使得從用戶模式直接發(fā)起攻擊難度較大。</p><p>　　5.3.1加載內(nèi)核模塊</p><p>　　Linux允許用戶在運(yùn)行時(shí)將模塊整合到內(nèi)核中，如設(shè)備驅(qū)動(dòng)。一旦惡意代碼被加載進(jìn)入內(nèi)核，它就擁有內(nèi)核的所有特權(quán)，具有直接訪問

77、系統(tǒng)硬件資源的能力，可以繞過上層的安全機(jī)制。比如借助kprobes，可以實(shí)現(xiàn)系統(tǒng)調(diào)用劫持的目的。</p><p>　　這種攻擊方式在實(shí)現(xiàn)上有一定難度。主要原因是移動(dòng)終端設(shè)備的OEM廠商不必考慮靈活地添加外設(shè)，因而普遍缺乏對LKM的支持。</p><p><b>　　5.3.2內(nèi)核漏洞</b></p><p>　　移動(dòng)終端系統(tǒng)可能出現(xiàn)內(nèi)核漏洞。一

78、方面，內(nèi)核結(jié)構(gòu)的復(fù)雜性和龐大的規(guī)模使其包含安全漏洞的可能性大增。另一方面，內(nèi)核代碼包含了大量的硬件參數(shù)等信息，通常由OEM廠商發(fā)布。但是目前移動(dòng)終端，特別是Android平臺(tái)，品牌、設(shè)備繁多，存在著嚴(yán)重的碎片化問題，無法保證及時(shí)地發(fā)布安全更新。因此，隨著移動(dòng)終端的發(fā)展，利用內(nèi)核漏洞發(fā)起攻擊的概率將不斷增加。</p><p><b>　　5.4物理層攻擊</b></p><

79、p>　　移動(dòng)終端系統(tǒng)包含了豐富的傳感器資源，比如MIC、攝像頭、GPS、重力傳感器等。</p><p>　　包含傳感器的移動(dòng)終端設(shè)備稱為Mobile Cyber-Physical System。由于移動(dòng)終端通常與用戶綁定，用戶當(dāng)前物理世界的信息可以被傳感器實(shí)時(shí)地轉(zhuǎn)換為數(shù)據(jù)。一旦傳感器資源被濫用，用戶當(dāng)前的隱私信息就會(huì)通過傳感器的轉(zhuǎn)換和通信基礎(chǔ)設(shè)施的傳輸被敵手獲得。</p><p>　

80、　除了上述攻擊方式，傳感器資源還被用來進(jìn)行更為精密的信息竊取。Roman Shclegel等人提出并實(shí)現(xiàn)了一個(gè)基于音頻的用戶隱私信息竊取攻擊。PlaceRaider是一個(gè)視頻信息竊取攻擊。通過完全控制終端設(shè)備的攝像頭和其它傳感器資源，PlaceRaider可以構(gòu)建出用戶所在空間的三維立體模型。攻擊者可以通過PlaceRaider對用戶所在的空間信息進(jìn)程精細(xì)的跟蹤，從而實(shí)現(xiàn)重要信息的獲取。另一個(gè)攻擊的例子為通過加速度傳感器獲取鍵盤敲擊信息

81、。其攻擊過程是通過加速度傳感器獲取鍵盤敲擊時(shí)引起的振動(dòng)信息，進(jìn)而判斷鍵盤敲擊動(dòng)作。傳感器資源濫用配合信息分析技術(shù)，可以通過移動(dòng)設(shè)備實(shí)現(xiàn)物理層信息的深度獲取。</p><p>　　5.5通信網(wǎng)絡(luò)層攻擊</p><p>　　通信網(wǎng)絡(luò)是移動(dòng)終端進(jìn)行數(shù)據(jù)交互的基礎(chǔ)。通信網(wǎng)絡(luò)層包括移動(dòng)終端的無線接入網(wǎng)絡(luò)和傳統(tǒng)的Internet網(wǎng)絡(luò)。現(xiàn)有的無線接入網(wǎng)絡(luò)主要有五類：衛(wèi)星通信網(wǎng)絡(luò)、蜂窩網(wǎng)絡(luò)（2G網(wǎng)絡(luò)、3G

82、網(wǎng)絡(luò)）、無線城域網(wǎng)（WiMAX）、無線局域網(wǎng)（WLAN）、基于藍(lán)牙的無線個(gè)域網(wǎng)。</p><p>　　5.5.1無線接入網(wǎng)絡(luò)攻擊</p><p>　　針對無線接入網(wǎng)絡(luò)的攻擊，容易造成用戶隱私信息和位置信息的泄漏。以3G網(wǎng)絡(luò)協(xié)議的一個(gè)漏洞為例，參考文獻(xiàn)分析了3G協(xié)議的安全性，發(fā)現(xiàn)了辨別并跟蹤移動(dòng)終端的威脅。首先攻擊者向移動(dòng)用戶頻繁發(fā)送paging請求，就可以在用戶、用戶暫時(shí)標(biāo)識(shí)符TMSI、用

83、戶長期標(biāo)識(shí)符IMSI之間建立關(guān)聯(lián)。然后攻擊者利用網(wǎng)絡(luò)和移動(dòng)用戶雙向認(rèn)證協(xié)議AKA的弱點(diǎn)，截獲網(wǎng)絡(luò)向移動(dòng)用戶發(fā)送的認(rèn)證請求，然后頻繁地重放，就能從移動(dòng)用戶反饋的認(rèn)證失敗消息中提取出基站等位置信息。</p><p>　　5.5.2傳統(tǒng)Internet網(wǎng)絡(luò)的攻擊</p><p>　　傳統(tǒng)Internet保護(hù)數(shù)據(jù)的主要方式是SSL安全傳輸協(xié)議。移動(dòng)終端如Android也提供了SSL功能，但是研究人

84、員發(fā)現(xiàn)了Android系統(tǒng)可能導(dǎo)致SSL中間人攻擊的幾個(gè)脆弱點(diǎn)。</p><p>　?。?）Android系統(tǒng)可以設(shè)置相信所有證書。一旦選擇了該選項(xiàng)，就喪失了SSL的網(wǎng)絡(luò)通信保護(hù)；</p><p>　?。?）域名和證書之間沒有綁定關(guān)系。Android SSL只能驗(yàn)證證書是否被接受，但不能驗(yàn)證該證書是否為一個(gè)特定的域名簽發(fā)。這為假冒域名的調(diào)用攻擊提供了途徑；</p><p

85、>　?。?）包含了太多可信CA。Android4.0默認(rèn)包含134個(gè)根證書，太多的信任根導(dǎo)致用戶對網(wǎng)絡(luò)連接的安全性判別變得困難；</p><p>　?。?）安全和非安全連接并存。非安全網(wǎng)絡(luò)連接的存在可能存在影響安全網(wǎng)絡(luò)連接的安全性。當(dāng)敏感信息沒有SSL通信安全保護(hù)時(shí)，傳統(tǒng)地網(wǎng)絡(luò)通信監(jiān)控和數(shù)據(jù)分析技術(shù)將可以很容易地用于網(wǎng)絡(luò)通信信息獲取。</p><p>　　6 應(yīng)對策略及防護(hù)手段&l

86、t;/p><p>　　6.1移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全問題的應(yīng)對策略</p><p>　?。?）完善法律監(jiān)督體系</p><p>　　就目前情況來看，我國互聯(lián)網(wǎng)信息安全立法層次較低，相互間缺乏協(xié)調(diào)，而且目前還沒有建設(shè)專業(yè)的移動(dòng)互聯(lián)網(wǎng)法律.因此，把現(xiàn)有的法律運(yùn)用到移動(dòng)互聯(lián)網(wǎng)上，明顯缺乏權(quán)威性和針對性，而且目前最關(guān)鍵問題就是移動(dòng)互聯(lián)網(wǎng)的接入，現(xiàn)階段我國還沒有實(shí)行手機(jī)實(shí)名制的立法

87、.由此可見，移動(dòng)互聯(lián)網(wǎng)繼續(xù)相關(guān)、實(shí)用的法律來進(jìn)行制約和保護(hù).立法是政府對移動(dòng)互聯(lián)網(wǎng)管制的最主要的手段，對立法進(jìn)行完善，其實(shí)也就是依法協(xié)調(diào)移動(dòng)互聯(lián)網(wǎng)運(yùn)營企業(yè)與客戶關(guān)系的需要. 我國要想建立科學(xué)合理地移動(dòng)互聯(lián)網(wǎng)信息安全法律體系，可以借鑒發(fā)達(dá)國家的成功經(jīng)驗(yàn)，把移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信息安全相獨(dú)立，并且建立各自獨(dú)立的法律法規(guī).針對我國目前的實(shí)際情況，對移動(dòng)互聯(lián)網(wǎng)安全進(jìn)行立法可以從以下幾個(gè)方面來進(jìn)行：①手機(jī)實(shí)名制立法的制定，完善隱私保護(hù)法律；②對互

88、聯(lián)網(wǎng)管理以及互聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理的法律要進(jìn)行完善；③把信息安全基本法建立起來，完善與信息安全相關(guān)的法律法規(guī).</p><p>　　（2）制定移動(dòng)互聯(lián)網(wǎng)的安全技術(shù)標(biāo)準(zhǔn)</p><p>　　當(dāng)前的移動(dòng)互聯(lián)網(wǎng)在終端安全及網(wǎng)絡(luò)安全方面缺乏安全管理機(jī)制，所以要確保移動(dòng)互聯(lián)網(wǎng)安全應(yīng)該結(jié)合我國現(xiàn)有的密碼管理方法制定相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，確立AKA認(rèn)證及空口加密體制，并設(shè)立網(wǎng)絡(luò)域的安全體制，在網(wǎng)絡(luò)域中部署入侵

89、檢測、數(shù)據(jù)加密及用戶認(rèn)證等安全網(wǎng)關(guān)，實(shí)現(xiàn)安全隔離。同時(shí)還要加強(qiáng)移動(dòng)互聯(lián)網(wǎng)安全保障的技術(shù)標(biāo)準(zhǔn)。</p><p>　?。?）加強(qiáng)移動(dòng)的終端管理</p><p>　　基于手機(jī)病毒及垃圾短信，要加強(qiáng)對移動(dòng)互聯(lián)網(wǎng)終端安全產(chǎn)品及技術(shù)的研發(fā)。同時(shí)，公安部門要加強(qiáng)查處力度，政府及運(yùn)營商要對用戶加強(qiáng)安全教育，提高用戶安全意識(shí)。完善在線監(jiān)控，建立信息投訴平臺(tái)，確保移動(dòng)互聯(lián)網(wǎng)健康發(fā)展。</p>&

90、lt;p>　?。?）加大移動(dòng)互聯(lián)網(wǎng)安全服務(wù)投入</p><p>　　在移動(dòng)互聯(lián)網(wǎng)全業(yè)務(wù)的運(yùn)營過程中，電信運(yùn)營企業(yè)要加大安全投入，從多方面提高互聯(lián)網(wǎng)安全能力，加強(qiáng)移動(dòng)互聯(lián)網(wǎng)信息安全建設(shè)，提高產(chǎn)品的品質(zhì)安全，提升用戶的體驗(yàn)感。</p><p>　　（5）強(qiáng)化新技術(shù)在信息安全問題上的應(yīng)用</p><p>　　在移動(dòng)互聯(lián)網(wǎng)快速發(fā)展的今天，越來越多的新技術(shù)也隨之出現(xiàn)，利

91、用這些新技術(shù)可以使用戶個(gè)人的信息更加安全。比如說在移動(dòng)互聯(lián)網(wǎng)的云計(jì)算安全防護(hù)中，利用同態(tài)數(shù)據(jù)加密技術(shù)，能夠通過客戶端和云計(jì)算平臺(tái)提供的強(qiáng)大的計(jì)算和儲(chǔ)存能力，確保用戶在保護(hù)自身信息的情況下完成各種操作，實(shí)現(xiàn)需要的服務(wù)。</p><p>　　6.2移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全問題的防護(hù)</p><p>　　根據(jù)移動(dòng)互聯(lián)網(wǎng)的特點(diǎn)及這些安全問題的特征，下面從三個(gè)方面分析下移動(dòng)互聯(lián)網(wǎng)中的安全防護(hù)。<

92、/p><p>　　6.2.1 移動(dòng)終端的防護(hù)</p><p>　　移動(dòng)終端的防護(hù)也是唯一用戶主導(dǎo)的防護(hù)措施，核心理念是要用戶提高安全意識(shí)，對于自身及其重要的信息比較銀行卡的賬戶密碼及身份證等信息最好不要存在終端上，因?yàn)榇嬖谏厦婢鸵馕吨幸欢ǖ娘L(fēng)險(xiǎn)。另外，養(yǎng)成良好的使用習(xí)慣，選擇比較權(quán)威的網(wǎng)站或者經(jīng)過安全檢測的應(yīng)用。此外還應(yīng)知道安全軟件不是萬能的，并且安全軟件本身安不安全也存在一定疑問。<

93、/p><p>　　目前主流的智能終端都帶有流量統(tǒng)計(jì)，可以經(jīng)常查看流量的去向，如果發(fā)現(xiàn)某一應(yīng)用明顯流量異常，那么其有很大可能性存在盜取流量行為，應(yīng)及時(shí)卸載，必要時(shí)可采用法律手段。</p><p>　　及時(shí)更新系統(tǒng)軟件可以在一定程度上進(jìn)行安全防護(hù)，因?yàn)樾碌南到y(tǒng)軟件會(huì)有一些功能上的改進(jìn)，或者修補(bǔ)已有的漏洞，這樣的話一些依賴舊的系統(tǒng)漏洞的病毒或應(yīng)用就會(huì)失效。</p><p>　

94、　6.2.2 APP STORE應(yīng)加強(qiáng)監(jiān)管</p><p>　　從目前來看，移動(dòng)互聯(lián)網(wǎng)被IOS 和Android 兩大陣營壟斷，IOS 占據(jù)17%左右的份額，Android 占據(jù)將近80%的份額。IOS 的APP STORE 有著較為嚴(yán)格的審查，安全性有較好保障，Android 系統(tǒng)的APP STORE 相關(guān)監(jiān)管有待加強(qiáng)。</p><p>　　第一， 對于每一款要上線的APP 都要經(jīng)過全面

95、的測試，確保沒有惡意的盜取用戶信息或流量等行為才準(zhǔn)許上線。</p><p>　　第二，對于用戶的投訴要及時(shí)處理，一旦發(fā)現(xiàn)屬實(shí)，應(yīng)當(dāng)立即下架相關(guān)應(yīng)用。</p><p>　　第三，對于聲明插入廣告的應(yīng)用，要求其明確估計(jì)廣告所產(chǎn)出的額外流量，避免用戶在不知情的情況下被盜用大量流量。</p><p>　　6.2.3電信運(yùn)營商強(qiáng)化安全防護(hù)</p><p&g

96、t;　　電信運(yùn)營商是基礎(chǔ)服務(wù)提供商， 如果電信運(yùn)營商可以強(qiáng)化安全防護(hù)措施， 那么可以從根本上解決很多安全問題，比如在用戶撥打付費(fèi)電話之前提示用戶，當(dāng)?shù)玫接脩舻倪M(jìn)一步確認(rèn)之后再提供后續(xù)服務(wù)， 另外可監(jiān)控用戶流量信息，如果發(fā)現(xiàn)流量使用異常，可發(fā)短信提醒用。另外，電信運(yùn)營商可加強(qiáng)對損害用戶的站點(diǎn)及付費(fèi)電話等進(jìn)行監(jiān)管。必要時(shí)可采用法律手段，確保用戶的利益。</p><p><b>　　參考文獻(xiàn)</b>

97、;</p><p>　　（1）柳青. 移動(dòng)互聯(lián)網(wǎng)安全問題分析[J].《衛(wèi)星電視與寬帶多媒體》，2011.09</p><p>　?。?）王永斌.移動(dòng)互聯(lián)網(wǎng)完全探析[J].通信世界，2008（47）</p><p>　?。?）吳振強(qiáng)，馬建峰.基于管理的移動(dòng)互聯(lián)網(wǎng)安全體系結(jié)構(gòu)[J].中國計(jì)算機(jī)學(xué)會(huì)，2006</p><p>　?。?）李春林，蕭月