信息安全工程师笔记-移动应用安全需求分析与安全保护工程

忘是亡心i 2022-09-15 12:39 212阅读 0赞

# 移动应用系统组成 #

基于智能手机的移动应用系基本组成包括三部分：

①一是移动应用，简称App；

②二是通信网络，包括无线网络、移动通写完了及；

③三是应用服务端，由相关的服务器构成，负责处理来自App的相关信息或数据。

# 移动应用安全分析 #

移动应用安全威胁主要有以下类型：

①移动操作系统平台安全威胁；

②无线网络攻击；

③恶意代码；

④移动应用代码逆向工程；

⑤移动应用程序非法篡改。

# Android系统组成概要 #

Android是一个开源的移动终端操作系统，其系统结构分成：

①Linux内核层（Linux Kermel）；

②系统运行库层（Libraries和Runtime）；

③应用程序框架层（Application Framework）；

④应用程序层（Applications）。

# Android应用程序层的权限包括 #

①normal权限：不会给用户带来实质性的伤害。

②dangerous权限：可能会给用户带来潜在的威胁，如读取用户位置信息，读取电话簿等，对于此安全威胁，多数手机会在用户安装应用时提醒用户；

③signature权限：具有同一签名的应用才能访问；

④signatureOrSystem权限：主要由设备商使用。

# Android应用程序签名机制 #

Android将应用程序打包成APK文件，应用程序签名机制规定对APK文件进行数字签名，用来标识相应应用程序的开发者和应用程序之间存在信任关系。所有安装到Android系统中的应用程序都必须拥有一个数字证书，此数字证书用于标识应用程序的作者和应用程序之间的信任关系。

# Android沙箱机制 #

沙箱隔离机制使用应用程序和其相应运行的Dalvik虚拟机都运行在独立的Linux进程空间，不与其他应用程序交叉，实现完全隔离。Android沙箱的本质是为了实现不同应用程序和进程之间的互相隔离， 即在默认情况下，应用程序没有权限访问系统资源或其他应用程序的资源。每个App和系统进程都被分配唯一并且固定的UserID，这个UID与内核进程的UID对应。每个App在各自独立的Dalvik虚拟机中运行，拥有独立的地址空间和资源。

# Android网络通信加密 #

Android支持使用SSL/TLS协议对网络数据进行传输加密，以防止敏感数据泄露。

# Android内核安全机制 #

Android系统的内核层采用分区和Linux ACL权限控制机制。Linux ACL权限控制机制是指每个文件的访问控制权限都由其拥有者、所属的组、读写执三个方面共同控制。文件在创建时被赋予了不同的应用程序ID，只有拥有相同应用程序ID或被设置为全局可读写才能够被其他应用程序所访问。

# IOS系统架构 #

①核心操作系统层：提供本地认证、安全、外部访问、系统等服务；

②核心服务层：提供应用所需要的基础的系统服务，如账户、数据存储、网络连接、地理位置、运动框架等；

③媒体层：提供应用中视听方面的技术；

④可触摸层：为应用程序开发提供了各种常用的框架并且大部分创建与界面有关，负责用户在IOS设备上触摸交互操作。

# IOS平台安全架构 #

分为硬件、固件

①硬件、固件层由设备密钥、设备组密钥、苹果根认证、加密引擎、内核组成。Secure Enclave是苹果高版本A系列处理器中的协处理器，独立与应用处理器之外，提供所有加密操作。

②软件层则由文件系统、操作系统分区、用户分区、应用沙盒及数据保护类构成；

# IOS平台的安全机制 #

①安全启动链；

②数据保护；

③数据加密与保护机制；

④地址空间布局随机化；

⑤代码签名；

⑥沙箱机制。

# 移动应用App安全加固 #

①防反编译；

②防调试；

③防篡改；

④防窃取。

发表评论取消回复

表情：

评论列表（有 0 条评论，212人围观）

还没有评论，来说两句吧...

相关阅读

相关信息安全工程师笔记-移动应用安全需求分析与安全保护工程

移动应用系统组成基于智能手机的移动应用系基本组成包括三部分： ①一是移动应用，简称App； ②二是通信网络，包括无线网络、移动通写完了及； ③三是应用服务端，由相

忘是亡心i/ 2022年09月15日 12:39/ 0 赞/ 213 阅读

相关信息安全工程师笔记-工控安全需求分析与安全保护工程

工业控制系统概念及组成工业控制系统简称工控系统（ICS），是由各个控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。工

电玩女神/ 2022年09月15日 12:39/ 0 赞/ 196 阅读

相关信息安全工程师笔记-网络设备安全

交换机安全威胁交换机面临的网络安全威胁： ①MAC地址泛洪； ②ARP欺骗； ③口令威胁； ④漏洞利用。路由器安全威胁路由器面临的网络安全威胁：

忘是亡心i/ 2022年09月13日 05:21/ 0 赞/ 308 阅读

相关信息安全工程师笔记-网络安全风险评估技术原理与应用

网络安全风险评估要素网络安全分析评估要素包括：资产、威胁、脆弱性、安全措施、风险，各个要素之间相互作用。网络安全风险评估模式 ①自评估：网络系统拥有者依靠自身

深碍√TFBOYSˉ_/ 2022年09月12日 05:42/ 0 赞/ 241 阅读

相关信息安全工程师笔记-网络安全主动防御技术与应用

入侵防御系统（IPS）入侵防御系统（Intrusion Prevention System）是一种主动的、积极的入侵防范及阻止系统（防火墙是被动的），它部署在网络的进出

悠悠/ 2022年09月12日 05:42/ 0 赞/ 231 阅读

相关信息安全工程师笔记-网络安全漏洞防护技术原理与应用

网络安全漏洞概念根据漏洞的补丁情况，漏洞分为： ①普通漏洞：相关漏洞信息已经广泛公开，安全厂商已经有了解决修补方案； ②零日漏洞（zero-day vulnerab

落日映苍穹つ/ 2022年09月11日 07:09/ 0 赞/ 203 阅读

相关信息安全工程师笔记-数据库安全

数据库安全威胁 ①授权的误用； ②逻辑推断和汇聚； ③伪装； ④旁路控制； ⑤隐蔽信道； ⑥SQL注入攻击 ⑦数据库口令密码破解； ⑧硬件及介质攻击。

曾经终败给现在/ 2022年08月28日 11:44/ 0 赞/ 242 阅读

相关信息安全工程师笔记-操作系统安全保护

操作系统安全概念根据安全功能和安全保障要求，操作系统分为： ①用户自主保护级； ②系统审计保护级； ③安全标记保护级； ④结构化保护级； ⑤访问验证保护级。

小灰灰/ 2022年08月28日 11:44/ 0 赞/ 232 阅读

相关信息安全工程师笔记-云计算安全需求分析与安全保护工程

云计算概念云计算通过虚拟化及网络通信技术，提供一种按需服务、弹性化的IT资源池服务平台。云计算的主要特征 ①IT资源以服务的形式提供； ②多租户共享IT资源

落日映苍穹つ/ 2022年08月28日 08:45/ 0 赞/ 173 阅读

相关信息安全工程师笔记-网站安全需求分析与安全保护工程

网站面临的主要安全威胁 ①非法授权访问； ②网页篡改； ③数据泄露； ④恶意代码； ⑤网站假冒； ⑥拒绝服务； ⑦网络后台管理安全威胁。 Apache W

布满荆棘的人生/ 2022年08月28日 08:45/ 0 赞/ 208 阅读