模塊8移動互聯(lián)網(wǎng)安全（1）了解移動互聯(lián)網(wǎng)安全。（2）熟悉移動云計算安全。（3）掌握移動終端安全和無線接入安全。學習目標（1）iOS和Android系統(tǒng)的移動終端安全。（2）無線接入安全。學習要點移動互聯(lián)網(wǎng)可為人們衣食住行的各個方面提供豐富的信息或服務，極大地便利了人們的工作與生活。移動互聯(lián)網(wǎng)可以使智能終端用戶在信號覆蓋的范圍內(nèi)隨時隨地上網(wǎng)，比傳統(tǒng)的PC上網(wǎng)更加方便。隨著傳統(tǒng)互聯(lián)網(wǎng)與移動網(wǎng)絡的進一步融合和發(fā)展，移動客戶端將能夠為用戶提供更加豐富多彩的內(nèi)容和服務，為用戶提供更好的體驗。目錄contents8.18.28.38.4移動互聯(lián)網(wǎng)安全概述移動終端安全無線接入安全數(shù)控銑床加工工藝規(guī)程文件的擬定8.5移動終端安全工具使用8.1

移動互聯(lián)網(wǎng)安全概述8.1移動互聯(lián)網(wǎng)安全概述移動互聯(lián)網(wǎng)是移動通信技術和互聯(lián)網(wǎng)技術不斷發(fā)展、融合的必然產(chǎn)物，其存在與應用使人們的生產(chǎn)生活得到了極大的便利，但隨著國內(nèi)移動網(wǎng)絡規(guī)模和用戶規(guī)模的不斷擴大，其中存在的信息安全風險日益凸顯。8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀2017年，國家互聯(lián)網(wǎng)應急中心（CNCERT/CC）持續(xù)加強對移動互聯(lián)網(wǎng)惡意程序的監(jiān)測、樣本分析和驗證處置工作。根據(jù)監(jiān)測結(jié)果，2017年移動互聯(lián)網(wǎng)惡意程序的數(shù)量繼續(xù)保持增長趨勢。1.移動互聯(lián)網(wǎng)惡意程序監(jiān)測情況移動互聯(lián)網(wǎng)惡意程序是指在用戶不知情或未授權的情況下，在移動終端系統(tǒng)中安裝、運行以達到不正當目的，或具有違反國家相關法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。移動互聯(lián)網(wǎng)惡意程序一般存在以下一種或多種惡意行為，包括惡意扣費、信息竊取、遠程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐和流氓行為。2017年，CNCERT/CC捕獲及通過廠商交換獲得的移動互聯(lián)網(wǎng)惡意程序樣本數(shù)量為2533331個。2013—2017年，移動互聯(lián)網(wǎng)惡意程序樣本數(shù)量持續(xù)高速增長，如圖8-1所示。8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀移動互聯(lián)網(wǎng)的安全8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀2017年，CNCERT/CC捕獲和通過廠商交換獲得的移動互聯(lián)網(wǎng)惡意程序按行為屬性統(tǒng)計如圖8-2所示。其中，流氓行為類的惡意程序數(shù)量仍居首位，為909965個（占35.9%），惡意扣費類869244個（占34.3%）、資費消耗類263559個（占10.4%），分列第二、三位。按操作系統(tǒng)分布統(tǒng)計，2017年CNCERT/CC捕獲和通過廠商交換獲得的移動互聯(lián)網(wǎng)惡意程序主要針對Android平臺，共有2533331個，占100.00%。2017年，iOS平臺、Symbian平臺和J2ME平臺的惡意程序數(shù)量均未捕獲到。由此可見，移動互聯(lián)網(wǎng)地下產(chǎn)業(yè)的目標趨于集中，Android平臺用戶成為最主要的攻擊對象。如圖83所示，按危害等級統(tǒng)計，2017年CNCERT/CC捕獲和通過廠商交換獲得的移動互聯(lián)網(wǎng)惡意程序中，高危的為32173個，占1.3%；中危的為241680個，占9.5%；低危的為2259478個，占89.2%。相對于2016年，高危移動互聯(lián)網(wǎng)惡意程序的分布情況大幅降低95.6%，中危移動互聯(lián)網(wǎng)惡意程序分布情況大幅降低35.5%，低危移動互聯(lián)網(wǎng)惡意程序所占比例大幅提升1.39倍。8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀2.移動互聯(lián)網(wǎng)惡意程序傳播活動監(jiān)測2017年，CNCERT/CC監(jiān)測發(fā)現(xiàn)移動互聯(lián)網(wǎng)惡意程序傳播事件24689923次，較2016年同期的124152425次減少80.1%。移動互聯(lián)網(wǎng)惡意程序URL下載鏈接2515550個，較2016年同期的668293個增長2.76倍。進行移動互聯(lián)網(wǎng)惡意程序傳播的域名34290個，較2016年同期的222035個大幅度下降84.6%；進行移動互聯(lián)網(wǎng)惡意程序傳播的IP地址1133763個，較2016年同期的31213個增長35.32倍。隨著政府部門對應用商店的監(jiān)督管理愈加完善，通過正規(guī)應用商店傳播移動惡意程序的難度不斷增加，傳播移動惡意程序的陣地已經(jīng)轉(zhuǎn)向網(wǎng)盤、廣告平臺等目前審核措施還不完善的App傳播渠道。2017年，移動互聯(lián)網(wǎng)惡意程序傳播事件的月度統(tǒng)計如圖8-4所示，結(jié)果顯示，2017年1~5月移動惡意程序傳播活動呈逐月上升趨勢，6月后傳播事件數(shù)量總體呈下降趨勢。8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀移動互聯(lián)網(wǎng)惡意程序傳播所使用的域名和IP地址數(shù)量的月度統(tǒng)計如圖8-5所示，可以看出，1~10月傳播惡意程序的域名總體呈下降趨勢，11~12月有所回升，11月惡意域名數(shù)量最多，達到3074個；1~4月IP數(shù)量呈逐漸上升趨勢，4月的數(shù)量達到最高峰，單月出現(xiàn)的惡意IP地址數(shù)量達46.1萬個，5~12月傳播惡意程序的IP地址數(shù)量總體呈下降趨勢。8.1移動互聯(lián)網(wǎng)安全概述8.1.1移動互聯(lián)網(wǎng)安全現(xiàn)狀8.1移動互聯(lián)網(wǎng)安全概述8.1.2移動互聯(lián)網(wǎng)存在的安全問題移動互聯(lián)網(wǎng)憑借自身所具有的開放性、交互性、隱私性、分散性等特點，已經(jīng)成為人們?nèi)粘Ｉ钪斜夭豢缮俚囊粋€重要組成部分。但移動互聯(lián)網(wǎng)不是一個“以田園風光為美的”信息網(wǎng)絡，安全事故的發(fā)生率逐年提高，移動互聯(lián)網(wǎng)違法犯罪活動也越來越多。從應用層面來看，目前對移動互聯(lián)網(wǎng)產(chǎn)生的安全威脅可以分為以下六大類的內(nèi)容。1.病毒侵襲病毒侵襲是公共信息安全受到威脅較多的形式，其主要特點是在進行侵襲的過程中，沒有明確的攻擊目標，而是采取廣播的攻擊方式對公共信息安全進行破壞，一旦發(fā)生攻擊，就無法進行人為控制。所以在發(fā)生病毒侵襲后，公共信息沒辦法及時地進行發(fā)送，需求人群也沒辦法第一時間收到信息，將會導致移動互聯(lián)網(wǎng)公共信息安全的價值下降，影響其安全性和可控性。8.1移動互聯(lián)網(wǎng)安全概述8.1.2移動互聯(lián)網(wǎng)存在的安全問題2.垃圾信息垃圾信息的主要特點是以各種廣播的方式吞噬大量的網(wǎng)絡資源，導致網(wǎng)絡擁塞，從而影響移動互聯(lián)網(wǎng)用戶的正常行為。由于垃圾郵件或者信息的大量存在，會直接影響公共信息發(fā)布渠道的通暢性，而且如果是公共信息部門向社會發(fā)布各種垃圾信息，那么將會對其形象產(chǎn)生嚴重的影響，不利于公共信息部門權威性的保障，甚至會直接影響到其在移動互聯(lián)網(wǎng)監(jiān)管活動的正常開展。8.1移動互聯(lián)網(wǎng)安全概述8.1.2移動互聯(lián)網(wǎng)存在的安全問題3.黑客攻擊黑客攻擊是公共信息安全受到威脅的重要方式之一，其主要特點就是利用移動互聯(lián)網(wǎng)絡用戶的失誤或者是某個系統(tǒng)的漏洞，針對特定的目標進行攻擊。這種攻擊行為對公共信息安全的影響非常大，而且隨著網(wǎng)絡技術的不斷發(fā)展，網(wǎng)絡黑客的攻擊技術也在不斷提高。黑客會通過系統(tǒng)漏洞，制造一些較為恐怖、異于和諧的氣氛，使人民大眾產(chǎn)生恐懼的心理，甚至會因為這種心理的存在導致他們的利益乃至生命受到威脅。從世界范圍分析，每年都有大量的黑客行為發(fā)生，因為黑客行為導致的損失也在逐年增多，因此黑客行為成為威脅移動互聯(lián)網(wǎng)公共信息安全的重要因素。8.1移動互聯(lián)網(wǎng)安全概述8.1.2移動互聯(lián)網(wǎng)存在的安全問題4.系統(tǒng)脆弱在對移動互聯(lián)網(wǎng)網(wǎng)絡進行監(jiān)督管理時發(fā)現(xiàn)，信息系統(tǒng)的脆弱性也會導致公共信息安全問題的發(fā)生，其主要特點是信息系統(tǒng)本身存在的漏洞可以在某個條件下被激活，從而導致整個信息系統(tǒng)出現(xiàn)問題，不能正常運行，影響公共信息的可控性。5.惡意信息隨著互聯(lián)網(wǎng)技術的不斷提高，監(jiān)管難度也在不斷地提高，很多有害信息的傳播速度也會因此而加快，其核心特點是以廣泛傳播有害言論的方式來控制、影響社會的輿論。一旦移動公共信息網(wǎng)絡出現(xiàn)失誤，信息將會以很快的速度傳播，這樣會嚴重影響公共信息在人們心目中的權威性，不利于更好地開展相關的監(jiān)管工作。8.1移動互聯(lián)網(wǎng)安全概述8.1.2移動互聯(lián)網(wǎng)存在的安全問題6.手機App泛濫隨著移動互聯(lián)網(wǎng)技術的發(fā)展和智能手機的普及，基于谷歌公司Android系統(tǒng)和蘋果iOS系統(tǒng)的手機App的開發(fā)迎來了發(fā)展的春天，大量從事移動互聯(lián)網(wǎng)增值業(yè)務的公司如雨后春筍般出現(xiàn)。但是，由于Android系統(tǒng)的源代碼是開放的，任何有一定計算機軟件編程基礎的人員，都可以查看該系統(tǒng)的源代碼，并根據(jù)自己的需求做出修改。國內(nèi)很多計算機方面的技術人員由于利益的驅(qū)使或其他某種原因，借助Android系統(tǒng)平臺研發(fā)了很多有后門程序的App應用，這些應用可以在用戶無意間通過后門程序竊取用戶的手機信息和身份信息，在繞過用戶授權的情況下盜取用戶的銀行卡密碼，將用戶的銀行資金轉(zhuǎn)走，給用戶造成重大財產(chǎn)損失。8.1移動互聯(lián)網(wǎng)安全概述8.1.3移動互聯(lián)網(wǎng)安全問題產(chǎn)生的原因移動互聯(lián)網(wǎng)雖然是移動通信與互聯(lián)網(wǎng)融合產(chǎn)生的一種新的網(wǎng)絡，但也繼承了兩種技術的基本特點和技術缺陷。從技術層面來看，目前移動互聯(lián)網(wǎng)安全問題產(chǎn)生的原因可以分為以下三大類。（1）傳統(tǒng)IPv4協(xié)議存在安全缺陷。移動互聯(lián)網(wǎng)雖然與傳統(tǒng)的多層次、多網(wǎng)絡的通信網(wǎng)絡有所不同，主要網(wǎng)絡結(jié)構趨于扁平化，但利用IPv4網(wǎng)絡協(xié)議仍是其核心技術。由于IPv4網(wǎng)絡協(xié)議自設計之初就存在無法彌補的安全缺陷，雖然數(shù)據(jù)的管理和控制可以在移動互聯(lián)網(wǎng)的核心網(wǎng)完成，用戶數(shù)據(jù)實現(xiàn)網(wǎng)絡傳輸，核心網(wǎng)還可以通過終端用戶訪問和登錄，但是網(wǎng)絡數(shù)據(jù)泄露可能存在于傳輸過程中，可能遭受中間人攻擊，數(shù)據(jù)被劫持、竊聽、篡改，甚至遭受DoS拒絕服務攻擊。因此，移動互聯(lián)網(wǎng)如何進行數(shù)據(jù)安全傳輸，也逐漸成為各廠商需要重點解決的問題。8.1移動互聯(lián)網(wǎng)安全概述8.1.3移動互聯(lián)網(wǎng)安全問題產(chǎn)生的原因（2）信息安全技術基礎設施匱乏。信息安全技術基礎設施主要包括基于密碼理論技術的CA/PKI公鑰基礎設施、底層硬件芯片生產(chǎn)開發(fā)能力、自主操作系統(tǒng)開發(fā)能力、5G移動通信技術標準等。相關基礎設施匱乏主要表現(xiàn)在：自主知識產(chǎn)權的密碼技術缺失，相關CA/PKI公鑰基礎設施未大規(guī)模應用；底層硬件芯片和自主操作系統(tǒng)主要依賴進口，還沒有自我研發(fā)能力和相關產(chǎn)業(yè)環(huán)境；移動通信技術標準份額不夠，需要在新一代5G移動通信技術國際標準中占據(jù)較大份額。信息安全技術基礎設施是受制于人還是自主創(chuàng)新是一個技術戰(zhàn)略性的問題。8.1移動互聯(lián)網(wǎng)安全概述8.1.3移動互聯(lián)網(wǎng)安全問題產(chǎn)生的原因（3）移動互聯(lián)網(wǎng)安全邊界逐漸模糊。隨著移動互聯(lián)網(wǎng)的大規(guī)模發(fā)展，大數(shù)據(jù)、云平臺、物聯(lián)網(wǎng)等新興技術應用，逐漸走向萬物互聯(lián)時代，互聯(lián)網(wǎng)網(wǎng)絡安全邊界越來越模糊。以前邊界集中在網(wǎng)絡出口處，而現(xiàn)在終端中的某個應用程序成為一個新的安全邊界。之前配置訪問控制策略，控制好從某終端到另一終端之間的端口訪問即可，但現(xiàn)在必須控制兩臺終端中的應用程序之間的端口通信規(guī)則，甚至精細到終端中某些進程之間的端口通信規(guī)則。因此，移動互聯(lián)網(wǎng)邊界的模糊也影響著移動互聯(lián)網(wǎng)信息的安全管理。8.2

移動終端安全8.2移動終端安全移動智能終端指能夠接入互聯(lián)網(wǎng)，擁有與之配套的操作系統(tǒng)并能滿足用戶需求的各種設備。廣義上的移動智能終端有智能手機、隨身聽、播放器和可穿戴設備，但是大多數(shù)情況下我們所指的移動智能終端被定義為智能手機。移動智能終端不僅能通話、視頻、看電影、游戲等，還能實現(xiàn)地理位置查詢、指紋掃描、二維碼掃描、靜脈掃描、RFID掃描等滿足各類用戶需求的功能，在辦公、商務和執(zhí)法過程中我們帶來了極大的靈活性。如今移動智能終端已經(jīng)滲透到我們?nèi)粘Ｉ畹姆椒矫婷妫蟠筇岣吡宋覀兊纳钏?、管理效率和?zhí)法效率，同時減少了資源消耗，節(jié)約了大量時間，保護了自然環(huán)境。伴隨著移動智能終端使用人數(shù)的持續(xù)增長、應用軟件的豐富多樣、市場范圍的不斷增大，移動智能終端將會越來越普遍，越來越貼近我們的生活，相信未來移動智能終端會將世界連成一張巨大的網(wǎng)絡。無線射頻識別即射頻識別技術（RadioFrequencyIdentification，RFID），是自動識別技術的一種，通過無線射頻方式進行非接觸雙向數(shù)據(jù)通信，利用無線射頻方式對記錄媒體（電子標簽或射頻卡）進行讀寫，從而達到識別目標和數(shù)據(jù)交換的目的，其被認為是21世紀最具發(fā)展?jié)摿Φ男畔⒓夹g之一。其原理為閱讀器與標簽之間進行非接觸式的數(shù)據(jù)通信，達到識別目標的目的。RFID的應用非常廣泛，目前典型應用有動物晶片、汽車晶片防盜器、門禁管制、停車場管制、生產(chǎn)線自動化、物料管理。知識拓展8.2移動終端安全8.2.1移動終端安全概述通信技術與移動互聯(lián)網(wǎng)的快速發(fā)展極大地推動了移動智能終端的普及，以手機為代表的移動智能終端用戶數(shù)量呈井噴式增長。終端的智能化使其已具備自己的操作系統(tǒng)，能夠由用戶自行安裝軟件、游戲等第三方服務商提供的程序。如今用戶可以使用終端上的應用軟件上網(wǎng)瀏覽新聞、收發(fā)電子郵件、發(fā)送短信息、繳費、充值等，很方便地與其他設備進行數(shù)據(jù)交互，極大地滿足了用戶在日常工作、學習、生產(chǎn)和生活中的各種需求。而隨著智能手機和4G、5G移動互聯(lián)網(wǎng)的普及，用戶對移動智能終端的依賴性也越來越強，幾乎變得不可分離。然而，一方面移動智能終端使用戶的生活變得越來越方便，另一方面又使用戶的敏感信息安全問題變得越來越突出。由于移動智能終端小巧、方便攜帶、功能強大等原因，用戶隨身都會攜帶著終端，很多用戶個人敏感信息直接存儲在移動智能終端上，這些用戶隱私信息極易暴露在互聯(lián)網(wǎng)中，或隨著終端的丟失落入非法用戶手中，為不法分子的非法竊取行為帶來了捷徑。移動終端上存儲著大量的商業(yè)秘密和個人隱私等敏感信息。科技的發(fā)展也促使不法分子的手段變得多樣化，非法獲取用戶電話號碼、釣魚網(wǎng)站竊取銀行賬號密碼支取現(xiàn)金、非法轉(zhuǎn)賬支付、第三方惡意軟件自動聯(lián)網(wǎng)造成流量損失信息泄露、電信欺詐等一系列手段使移動智能終端用戶防不勝防。8.2移動終端安全8.2.1移動終端安全概述移動終端作為智慧化、“云”化最主要的載體，面臨著嚴峻的安全挑戰(zhàn)。然而，從目前移動終端的使用情況看，用戶對終端安全問題關注得非常少，只關心手機功能、性能和操作速度等使用上的問題，對敏感信息防護意識薄弱，對安全問題不敏感、不在乎，對終端敏感信息缺乏安全意識，安全技能有限，對安全產(chǎn)品和安全服務防護認知不高。不同類型移動終端用戶群體的安全意識相差得也較大，特別是文化水平偏低的用戶及老年用戶，對敏感信息的安全意識更是淡薄。而目前移動終端服務程序開發(fā)前景仍然比較廣闊，但是還沒有相關法律法規(guī)進行約束，很多管理人員對移動終端的安全風險認識不足，而設計和開發(fā)人員也沒有將信息安全作為軟件開發(fā)的重點，對于復雜業(yè)務邏輯只是簡單地將功能累加集成，甚至有些開發(fā)者為了商業(yè)利益利用應用程序故意收集用戶信息等。這些原因?qū)е乱苿咏K端的應用程序中存在的漏洞和缺陷等被攻擊者切入，造成敏感信息的泄露，而生活中經(jīng)常出現(xiàn)終端丟失、被盜等現(xiàn)象，移動終端上的隱私信息更是直接暴露給不法分子。8.2移動終端安全8.2.1移動終端安全概述因此，一方面為廣大移動終端用戶普及移動終端的安全使用知識迫在眉睫，讓移動終端用戶能夠?qū)σ苿咏K端的安全性重視起來，使用戶在移動終端的使用中始終保持安全意識；另一方面，由于當前常見的移動終端安全威脅主要包括惡意木馬病毒威脅、針對移動終端系統(tǒng)安全漏洞的攻擊威脅、應用程序中的組合權限攻擊、第三方軟件隱蔽功能及不法分子針對數(shù)據(jù)內(nèi)容的惡意攻擊等高科技威脅，僅僅提高移動終端用戶的安全意識可能無法達到保護敏感數(shù)據(jù)的效果，所以迫切需要深入研究有效的移動終端安全應對方法。8.2移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制iOS和Android操作系統(tǒng)提供應對主要安全威脅的安全機制包括以下幾個。1.應用沙盒機制應用沙盒機制的過程首先需要聲明權限或授權，這些聲明在移動應用的manifest文件中定義。創(chuàng)建移動應用程序時會給它們分配權限或權限集。一旦被分配，移動應用程序或移動操作系統(tǒng)內(nèi)核在運行時就不會動態(tài)地更改它們，這種分配決定了移動應用可以共享的資源，我們可以將它看作移動操作系統(tǒng)提供的保護層。對于移動操作系統(tǒng)，沙盒機制已經(jīng)被應用于提高移動設備的安全性上。應用程序沙盒是用于控制和限制應用程序訪問系統(tǒng)或其他應用程序（尤其是惡意代碼和病毒）的容器。沙盒將為每個應用程序分配一個唯一的ID，并將其在單獨進程中運行，這種機制對于減少惡意軟件的攻擊非常有效，因為它與其他應用程序是完全隔離的。8.2移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制對于Android系統(tǒng)，應用程序沙盒是基于Linux內(nèi)核平臺的，這是一個復雜而強大的沙盒模型，它的本質(zhì)是為了實現(xiàn)不同應用程序和進程之間的相互隔離。在默認情況下，應用程序沒有權限訪問系統(tǒng)資源或其他應用程序資源。每個App在各自獨立的Dalvik虛擬機中運行，擁有獨立的地址空間和資源。每個應用程序都有自己的沙盒目錄，并且每個應用程序的權限是它自己，任何應用程序如果想要訪問系統(tǒng)資源或者其他應用程序的資源必須在自己的manifest文件中進行權限聲明。對于iOS系統(tǒng)，應用程序沙盒已經(jīng)由蘋果公司定義為一組細粒度的控件，可以限制應用程序?qū)ξ募到y(tǒng)、網(wǎng)絡和硬件的訪問。8.2移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制2.內(nèi)存隨機化移動端的其他安全功能還包括內(nèi)存隨機化或地址空間布局隨機化（addressspacelayoutrandomization，ASLR）。內(nèi)存隨機化對于避免惡意代碼或病毒攻擊正在運行的應用程序的內(nèi)存很重要。惡意代碼或病毒需要找到它想要攻擊的任務的確切位置或內(nèi)存區(qū)域才能展開攻擊，而采取了內(nèi)存隨機化機制之后，實現(xiàn)攻擊行為對于它們來說是很復雜的，因為內(nèi)存已經(jīng)被隨機定位。但是需要注意的是，即使存在ASLR，開發(fā)人員也必須避免可能發(fā)生的緩沖區(qū)溢出和其他內(nèi)存損壞的情況。第二節(jié)移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制對于Android操作系統(tǒng)，內(nèi)存隨機化完全適用于JellyBean發(fā)行版。對于iOS而言，內(nèi)存隨機化已經(jīng)應用于iOS4.3以上。除此之外，它還增加了更安全的技術，如iOS的代碼簽名技術，這是允許未經(jīng)授權的應用程序在設備中運行所需的過程。代碼簽名技術是一個新的第三方應用程序需要使用蘋果公司頒發(fā)的證書進行驗證和簽名的過程，是為了確保操作系統(tǒng)保持對新應用的信任。同時，防止第三方應用程序加載未簽名的代碼資源或使用自修改代碼。所以，與Android操作系統(tǒng)相比，iOS系統(tǒng)更加安全，因為iOS系統(tǒng)中的內(nèi)存隨機化通過代碼簽名技術得到了增強。8.2移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制3.加密加密是指將數(shù)據(jù)通過密碼轉(zhuǎn)換成密文，加密也是存檔數(shù)據(jù)、保證數(shù)據(jù)安全的最有效辦法，必須具有訪問密碼或密碼，才可以解密加密文件中的數(shù)據(jù)。我們稱未加密數(shù)據(jù)為純文本，稱加密數(shù)據(jù)為密文。加密對于移動設備來說很重要，因為它可以提供額外的保護，以防手機中的重要信息被盜。加密是Android系統(tǒng)中引入的一種新的安全方法。Android3.0以下沒有加密措施，Android系統(tǒng)的首個加密方法是在“IceCreamSandwich4.0”中發(fā)布的設備加密API。加密是基于Android系統(tǒng)的DM加密，必須有加密引腳或者密碼才能讀取Android系統(tǒng)中的加密文件。8.2移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制加密也是iOS系統(tǒng)中的一種新的安全防護方法。iPhone3GS引入了硬件加密，加密了在蘋果產(chǎn)品中的所有數(shù)據(jù)。加密允許通過刪除設備的加密密鑰進行遠程擦除。iOS中提供了完整的MDMAPI，必須具有密碼才能讀取iOS中的加密文件。盡管Android和iOS系統(tǒng)都支持在磁盤上以密文模式存儲信息，但蘋果的iOS設備保護API比Android系統(tǒng)的更強大。所有加密的數(shù)據(jù)都可以以純文本格式存儲，不知道加密代碼的開發(fā)人員無法對其進行訪問。8.2移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制4.數(shù)據(jù)存儲格式數(shù)據(jù)存儲是將所有數(shù)據(jù)存儲在內(nèi)置存儲器或外部存儲器中。通常移動設備都有內(nèi)置存儲器和外部存儲器，以保存所有數(shù)據(jù)。如果將敏感數(shù)據(jù)存儲在設備上，則需要確保存儲設備本身受到保護。對于Android系統(tǒng)，數(shù)據(jù)可以存儲在外部和內(nèi)部的數(shù)據(jù)存儲器。Android外部存儲器如SD卡沒有權限，默認情況下所有的應用程序都具有讀取權限，可以讀取所有的文件。在iOS系統(tǒng)中，設備本身沒有外部存儲器或內(nèi)部存儲器，只有一個內(nèi)置存儲器，需要權限才能操縱或訪問所有數(shù)據(jù)，內(nèi)置于iOS中的數(shù)據(jù)保護API與復雜的密碼相結(jié)合可以提供額外的數(shù)據(jù)保護層。因此，iOS存儲比Android存儲更安全，應用程序難以訪問數(shù)據(jù)存儲中的數(shù)據(jù)。8.2移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制5.內(nèi)置防毒軟件一般來說，有3種類型的流行惡意軟件會影響移動設備，即病毒、間諜軟件和木馬。病毒是惡意軟件，其通過電子郵件進行傳輸。間諜軟件是在不知情的情況下獲取手機中的用戶信息的軟件。木馬是通過特定的程序來控制另一臺設備。Android和iOS手機都引入了內(nèi)置防毒功能，以避免病毒、間諜軟件和木馬等惡意軟件影響移動終端的正常使用。Android手機沒有一個有力的審查過程，Android用戶可以從GooglePlay安裝上千個應用程序。在Android設備上實際上沒有發(fā)現(xiàn)防病毒功能，這意味著從GooglePlay外部的網(wǎng)站資源下載應用程序是非常危險的。外部來源的惡意應用程序容易將開發(fā)的軟件變成病毒，Android系統(tǒng)將出現(xiàn)提示窗口允許從不受信任的網(wǎng)頁下載一些應用程序。一旦獲得了許可，某些應用程序會將病毒下載到Android系統(tǒng)中。需要在Android系統(tǒng)中安裝額外的防病毒解決方案，以避免流行的惡意軟件影響移動操作系統(tǒng)。8.2移動終端安全8.2.2iOS和Android系統(tǒng)的移動終端安全機制iOS是蘋果公司開發(fā)的移動操作系統(tǒng)，蘋果公司對其進行了額外的設計工作以增強其安全性。蘋果手機不需要iOS的反病毒程序，因為它沒有給病毒進入系統(tǒng)空間的機會。獲取應用程序下載的唯一地方是AppStore，蘋果不允許從外部來源進行應用程序的安裝。通過AppStore進行的一切安裝過程都經(jīng)過嚴格的檢查，以確保它不包含惡意代碼。iOS系統(tǒng)相比Android系統(tǒng)來說，更不太可能發(fā)生病毒攻擊。蘋果的iOS系統(tǒng)提出了認證程序以確保其用戶的安全。綜上所述，Android系統(tǒng)更容易發(fā)生病毒攻擊和其他安全威脅。8.3

無線接入安全8.3無線接入安全從19世紀30年代最初的電報開始，無線通信技術一次又一次的跨越式發(fā)展無不凝結(jié)著人類的科學智慧。隨著信息社會的飛速發(fā)展，在各行各業(yè)中人們對于多媒體的依賴性越來越強。據(jù)統(tǒng)計到2020年，我國移動通信用戶數(shù)量將突破22億。在網(wǎng)絡不斷得到優(yōu)化的今天和第四代移動通信（4G）普及應用的大背景下，無線通信網(wǎng)絡技術已滲透到人們?nèi)粘Ｉ畹姆椒矫婷妗?.3無線接入安全8.3.1無線局域網(wǎng)概述無線局域網(wǎng)（wirelesslocalareanetworks，WLAN）利用電磁波在空氣中發(fā)送和接收數(shù)據(jù)，而無須線纜介質(zhì)。作為傳統(tǒng)有線網(wǎng)絡的一種補充和延伸，無線局域網(wǎng)把個人從辦公桌邊解放了出來，使他們可以隨時隨地獲取信息，提高了員工的工作效率。此外，WLAN還有其他一些優(yōu)點。它能夠方便地實施聯(lián)網(wǎng)技術，因為WLAN可以便捷、迅速地接納新加入的人員，而不必對網(wǎng)絡的用戶管理配置進行過多的變動。WLAN還可以在有線網(wǎng)絡布線困難的地方實施，使用WLAN方案，則不必再實施打孔、敷線等作業(yè)，因此不會對建筑設施造成任何損害。8.3無線接入安全8.3.1無線局域網(wǎng)概述WLAN的數(shù)據(jù)傳輸速率現(xiàn)已經(jīng)能夠達到300Mb/s，傳輸距離可遠至20km以上。無線局域網(wǎng)是對有線聯(lián)網(wǎng)方式的一種補充和擴展，使網(wǎng)上的計算機具有可移動性，能快速方便地解決使用有線方式不易實現(xiàn)的網(wǎng)絡連通問題。具體來講，無線局域網(wǎng)具有以下幾個特點。（1）安裝便捷。一般而言，在網(wǎng)絡建設中，施工周期最長、對周邊環(huán)境影響最大的就是網(wǎng)絡布線施工。在施工過程中，往往需要破墻掘地、穿線加管。而無線局域網(wǎng)最大的優(yōu)勢就是免去或減少了網(wǎng)絡布線的工作量，一般只要安裝一個或多個無線接入點AP（accesspoint）設備，就可組建覆蓋整個建筑或地區(qū)的無線局域網(wǎng)。8.3無線接入安全8.3.1無線局域網(wǎng)概述（2）使用靈活。在有線網(wǎng)絡中，網(wǎng)絡設備的安放位置受網(wǎng)絡信息點位置的限制；而無線局域網(wǎng)一旦建成，在無線網(wǎng)絡的信號覆蓋區(qū)域內(nèi)任何一個位置都可以接入網(wǎng)絡。（3）經(jīng)濟節(jié)約。由于有線網(wǎng)絡缺少靈活性，這就要求網(wǎng)絡規(guī)劃者盡可能地考慮未來發(fā)展的需要，因此往往導致預設大量利用率較低的信息點，而一旦網(wǎng)絡的發(fā)展超出了設計規(guī)劃，又要花費較多費用進行網(wǎng)絡改造，無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。（4）易于擴展。無線局域網(wǎng)有多種配置方式，能夠根據(jù)需要靈活選擇。因此無線局域網(wǎng)能勝任從只有幾個用戶的小型局域網(wǎng)到上千用戶的大型網(wǎng)絡，并且能夠提供像“漫游”等有線網(wǎng)絡無法提供的特性。8.3無線接入安全8.3.2無線局域網(wǎng)面臨的安全威脅無線網(wǎng)絡受到了眾多公司的青睞，但是無線網(wǎng)絡的安全可能面臨的威脅一直存在。1.網(wǎng)絡竊聽數(shù)據(jù)一般來說，大多數(shù)網(wǎng)絡通信都是以明文（非加密）格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)視并破解（讀取）通信。這類攻擊是網(wǎng)絡管理員所面臨的最大安全問題。如果沒有基于加密的強有力的安全服務，數(shù)據(jù)就很容易在空氣中傳輸時被他人讀取并利用。2.中途截獲或修改傳輸數(shù)據(jù)如果攻擊者可訪問網(wǎng)絡，有可能將惡意系統(tǒng)插入兩個合法系統(tǒng)之間，中途截獲、修改或延遲兩個合法方的通信。8.3無線接入安全8.3.2無線局域網(wǎng)面臨的安全威脅3.欺騙訪問內(nèi)部網(wǎng)絡使攻擊者有機會偽造數(shù)據(jù)，使其看上去是合法通信。這類攻擊包括欺騙性電子郵件，較之來自外部的通信，內(nèi)部用戶更愿意信任這些郵件，因此為攻擊和特洛伊木馬插入提供了平臺。4.拒絕服務（DoS）不論實施哪種安全解決方案，WLAN都容易受到DoS有意或無意的攻擊，從而使網(wǎng)絡塞滿不加選擇的通信。5.自由下載（資源竊?。┠承┤肭终叩哪康目赡苤皇琴Y源竊取，直接自由下載合法用戶的資源，從中發(fā)現(xiàn)竊取者想要的資料。6.意外威脅和非托管連接在無安全保護的WLAN環(huán)境中，任何訪問者只需啟動能夠訪問無線網(wǎng)絡的設備，即可獲得對內(nèi)部網(wǎng)絡的訪問權。這種非托管設備可能已經(jīng)被破壞，或為攻擊者提供了攻擊網(wǎng)絡的攻擊點。8.3無線接入安全8.3.2無線局域網(wǎng)面臨的安全威脅7.WLAN惡意訪問點即使企業(yè)沒有無線網(wǎng)絡，仍很容易受到來自非托管無線網(wǎng)絡的安全威脅。無線硬件的價格相對便宜，因為任何人員都有可能在環(huán)境內(nèi)部建立非托管和不受保護的網(wǎng)絡。8.私接AP無線局域網(wǎng)接入點（WLANAP）價格便宜，容易安裝，容易攜帶。非法的WLANAP可以無意地或者在IT管理人員無法察覺的情況下惡意地接入網(wǎng)絡中。9.不當設置的APWLANAP支持多種安全特性和設置。許多時候，IT管理人員都會讓合法的AP仍舊保持出廠時的默認設置或者沒有對它進行恰當?shù)脑O置，這會使AP在沒有加密或在弱加密（如WEP）的條件下工作。也有些時候，一個AP在沒有設置任何密碼的情況下與客戶端連接，于是整個企業(yè)網(wǎng)絡就都在沒有任何密碼情況下建立了無線連接。8.3無線接入安全8.3.2無線局域網(wǎng)面臨的安全威脅10.客戶端不當連接客戶端不當連接就是企業(yè)內(nèi)合法用戶與外部AP建立連接，這也存在一些不安全因素。一些部署在工作區(qū)周圍的AP可能沒有做任何安全控制，企業(yè)內(nèi)的合法用戶的WiFi卡就可能與這些外部AP建立連接。一旦這個客戶端連接到外部AP，企業(yè)內(nèi)可信賴的網(wǎng)絡就置于風險之中，外部不安全的連接就通過這個客戶端接入用戶的網(wǎng)絡。因此，要防止在不知情的狀況下發(fā)生合法用戶與外部AP建立連接或內(nèi)部信息外露的情況。11.非法連接非法連接是指企業(yè)外的人員與企業(yè)內(nèi)合法的AP建立連接，這通常發(fā)生在無線空間沒有安全控制的情況下。如果一個非法用戶與合法AP建立連接，就意味著用戶的網(wǎng)絡向外部開放了，這會導致重要數(shù)據(jù)和信息外泄。12.直連網(wǎng)絡IEEE802.11WLAN標準提供在無線客戶端間建立點對點無線連接的方式。無線客戶端之間借此建立直連網(wǎng)絡（AdHoc）。但是，這種直連網(wǎng)絡帶來了安全漏洞，攻擊者可以在網(wǎng)絡周邊隱藏區(qū)內(nèi)與企業(yè)內(nèi)一個合法的筆記本電腦建立無線連接。WLAN各種標準對比知識拓展8.3無線接入安全8.3.2無線局域網(wǎng)面臨的安全威脅13.WEP破解現(xiàn)在互聯(lián)網(wǎng)上存在一些程序，能夠捕捉位于無線AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的數(shù)據(jù)包，并進行分析以破解WEP密鑰。根據(jù)監(jiān)聽無線通信的機器速度、WLAN內(nèi)發(fā)射信號的無線主機數(shù)量，以及由于IEEE802.11標準幀沖突引起的IV重發(fā)數(shù)量，最快可以在兩個小時內(nèi)破解WEP密鑰。14.MAC地址欺騙即使無線AP使用了MAC地址過濾，使未授權的黑客的無線網(wǎng)卡不能連接無線AP，也并不意味著能夠阻止黑客進行無線信號偵聽。通過某些軟件分析截獲的數(shù)據(jù)，能夠獲得無線AP允許通信的客戶端的MAC地址，這樣黑客就能利用MAC地址偽裝等手段入侵網(wǎng)絡了。WEP是WiredEquivalentPrivacy的簡稱，有線等效保密（WEP）協(xié)議是對在兩臺設備間無線傳輸?shù)臄?shù)據(jù)進行加密的方式，用以防止非法用戶竊聽或侵入無線網(wǎng)絡。不過密碼分析學家已經(jīng)找出WEP好幾個弱點，因此在2003年被

Wi-Fi

ProtectedAccess(WPA)淘汰，又在2004年由完整的IEEE

802.11i

標準（又稱為WPA2）所取代。WEP雖然有些弱點，但也足以嚇阻非專業(yè)人士的窺探了。知識拓展MAC地址知識拓展MAC（MediaAccessControl，介質(zhì)訪問控制）地址，或稱為MAC位址、硬件地址，用來定義網(wǎng)絡設備的位置。MAC集成在網(wǎng)卡，由48bit的2進制的數(shù)字組成，第1~24位數(shù)字叫作組織唯一標志符（organizationallyunique，是識別局域網(wǎng)節(jié)點的標識）。第25~48位是由廠家自己分配，其中第48位是組播地址標志位。網(wǎng)卡的物理地址通常是由網(wǎng)卡生產(chǎn)廠家寫入網(wǎng)卡的EPROM芯片中，芯片中的數(shù)據(jù)可以通過程序進行擦寫，它存儲的是傳輸數(shù)據(jù)時真正賴以標識發(fā)出數(shù)據(jù)的電腦和接收數(shù)據(jù)的主機的地址。也就是說，在網(wǎng)絡底層的物理傳輸過程中，數(shù)據(jù)傳輸是通過物理地址來識別主機的，它一定是全球唯一的。8.3無線接入安全8.3.3無線局域網(wǎng)標準目前，支持無線網(wǎng)絡的技術標準主要有IEEE802.11x系列標準、家庭網(wǎng)絡（HomeRF）技術、藍牙技術等。1.IEEE802.11x系列標準IEEE802.11標準是IEEE在1997年為無線局域網(wǎng)定義的一個無線網(wǎng)絡通信的工業(yè)標準，速率最高只能達到2Mb/s。此后這一標準不斷得到補充和完善，形成IEEE802.11x系列標準。IEEE802.11標準規(guī)定了在物理層上允許3種傳輸技術：紅外線、跳頻擴頻和直接序列擴頻。紅外無線數(shù)據(jù)傳輸按視距方式傳播，發(fā)送點必須能直接看到接收點，中間沒有阻擋。紅外無線數(shù)據(jù)傳輸技術主要有3種：定向光束紅外傳輸、全方位紅外傳輸和漫反射紅外傳輸。8.3無線接入安全8.3.3無線局域網(wǎng)標準IEEE802.11b即無線相容性認證（wirelessfidelity，Wi-Fi），它利用2.4GHz的頻段。2.4GHz的ISM（industrialscientificmedical）頻段為世界上絕大多數(shù)國家通用，因此，IEEE802.11b得到了最為廣泛的應用。802.11b的最大數(shù)據(jù)傳輸速率為11Mb/s，無須直線傳播。在動態(tài)速率轉(zhuǎn)換時，如果無線信號變差，可將數(shù)據(jù)傳輸速率降低為5.5Mb/s、2Mb/s或1Mb/s。支持的范圍是室外最長為300m，在辦公環(huán)境中最長為100m。802.11b是所有WLAN標準演進的基石，未來的系統(tǒng)大都需要與802.11b向后兼容。IEEE802.11a（Wi-Fi5）標準是得到廣泛應用的IEEE802.11b標準的后續(xù)標準。它工作在5GHz頻段，傳輸速率可達54Mb/s。由于IEEE802.11a工作在5GHz頻段，因此它與IEEE802.11、IEEE802.11b標準不兼容。8.3無線接入安全8.3.3無線局域網(wǎng)標準IEEE802.11g是為了提高傳輸速率而制定的標準，它采用2.4GHz頻段，使用CCK（complementarycodekeying，補碼鍵控）技術與IEEE802.11b（Wi-Fi）向后兼容，同時它又通過采用OFDM（orthogonalfrequencydivisionmultiplexing，正交頻分多路復用）技術支持高達54Mb/s的數(shù)據(jù)流。IEEE802.11n可以將WLAN的傳輸速率由目前802.11a及802.11g提供的54Mb/s，提高到300Mb/s甚至高達600Mb/s。通過應用將MIMO（multipleinputmultipleoutput，多入多出）與OFDM技術相結(jié)合的MIMOOFDM技術，提高了無線傳輸質(zhì)量，也使傳輸速率得到極大提升。和以往的IEEE802.11標準不同，IEEE802.11n協(xié)議為雙頻工作模式（包含2.4GHz和5GHz兩個工作頻段），這樣802.11n保障了與以往的802.11b、802.11a、802.11g標準兼容。8.3無線接入安全8.3.3無線局域網(wǎng)標準IEEE802.11ac是在IEEE802.11a標準上建立起來的，仍然使用IEEE802.11a的5GHz頻段。不過在通道的設置上，IEEE802.11ac將沿用IEEE802.11n的MIMO技術。IEEE802.11ac每個通道的工作頻率將由IEEE802.11n的40MHz提升到80MHz甚至是160MHz，再加上大約10%的實際頻率調(diào)制效率提升，最終理論傳輸速率將由IEEE802.11n最高的600Mb/s躍升至1Gb/s，足以在一條信道上同時傳輸多路壓縮視頻流。IEEE802.11ad主要用于實現(xiàn)家庭內(nèi)部無線高清音視頻信號的傳輸，為家庭多媒體應用帶來更為完備的高清視頻解決方案。IEEE802.11ad拋棄了擁擠的2.4GHz和5GHz頻段，而是使用高頻載波的60GHz頻譜。由于60GHz頻譜在大多數(shù)國家有大段的頻率可供使用，因此IEEE802.11ad可以在MIMO技術的支持下實現(xiàn)多信道的同時傳輸，而每個信道的傳輸帶寬都將超過1Gb/s。IEEE802.11ad最大傳輸速率可達7Gb/s。8.3無線接入安全8.3.3無線局域網(wǎng)標準2.家庭網(wǎng)絡技術家庭網(wǎng)絡（homeradiofrequency，HomeRF）是一種專門為家庭用戶設計的小型無線局域網(wǎng)技術。它是IEEE802.11與DECT（數(shù)字增強型無繩通信）標準的結(jié)合，旨在降低語音數(shù)據(jù)成本。HomeRF在進行數(shù)據(jù)通信時，采用IEEE802.11標準中的TCP/IP傳輸協(xié)議；進行語音通信時，則采用數(shù)字增強型無繩通信標準。HomeRF的工作頻率為2.4GHz，原來最大數(shù)據(jù)傳輸速率為2Mb/s。2000年8月，美國聯(lián)邦通信委員會（FCC）批準了HomeRF的傳輸速率可以提高到8~11Mb/s。HomeRF可以實現(xiàn)最多5個設備之間的互聯(lián)。8.3無線接入安全8.3.3無線局域網(wǎng)標準3.藍牙技術藍牙技術實際上是一種短距離無線數(shù)字通信的技術標準，工作在2.4GHz頻段，最高數(shù)據(jù)傳輸速率為1Mb/s（有效傳輸速率為721Kb/s），傳輸距離為10cm～10m，通過增加發(fā)射功率可達到100m。藍牙技術主要應用于手機、筆記本電腦等數(shù)字終端設備之間的通信和這些設備與Internet的連接。8.3無線接入安全8.3.4無線加密標準目前無線加密標準主要有WEP、WPA和WPA2這3種標準。1．WEP加密標準WEP（wiredequivalentprivacy，有線等效保密）是IEEE802.11b標準定義的一個用于無線局域網(wǎng)的安全性協(xié)議，主要用于無線局域網(wǎng)業(yè)務流的加密和節(jié)點的認證，提供和有線局域網(wǎng)相當?shù)谋Ｃ苄?。WEP定義了兩種身份驗證的方法：開放系統(tǒng)和共享密鑰。在默認的開放系統(tǒng)方法中，用戶即使沒有提供正確的WEP密鑰也能接入訪問點。共享密鑰方法則需要用戶提供正確的WEP密鑰才能通過身份驗證。8.3無線接入安全8.3.4無線加密標準WEP支持64位和128位加密。對于64位加密，加密密鑰為10個十六進制字符或5個ASCII字符；對于128位加密，加密密鑰為26個十六進制字符或13個ASCII字符。WEP依賴通信雙方共享的密鑰來保護所傳輸?shù)募用軘?shù)據(jù)幀。WEP在數(shù)據(jù)鏈路層采用RC4對稱加密技術，在無線網(wǎng)絡中傳輸?shù)臄?shù)據(jù)是使用一個隨機產(chǎn)生的密鑰來加密的。但WEP用來產(chǎn)生這些密鑰的算法很快就被發(fā)現(xiàn)具有可預測性，對于入侵者來說，他們可以很容易截取和破解這些密鑰，讓用戶的無線安全防護形同虛設。IEEE802.11的WEP加密模式是在20世紀90年代后期設計的，當時的無線安全防護效果非常出色。然而僅僅兩年以后，在2001年8月，F(xiàn)luhrer就發(fā)表了針對WEP的密碼分析，利用RC4加解密和IV（initializationvector，初始向量）的使用方式的特性，在無線網(wǎng)絡上偵聽幾個小時之后，就可以把RC4的密鑰破解出來。這個攻擊方式迅速被傳播，而且自動化破解工具也相繼推出，WEP加密變得岌岌可危。WEP加密過程如圖8-6所示。8.3無線接入安全8.3.4無線加密標準8.3無線接入安全8.3.4無線加密標準其中，IV為初始化向量，PASSWORD為密碼，KSA=IV+PASSWORD。DATA為明文，CRC32為明文的完整性校驗值，PRGA=RC4（KSA）的偽隨機數(shù)密鑰流，XOR為異或的加密算法。ENCRYPTEDDATA為最終加密后的密文。最后IV+ENCRYPTEDDATA一起發(fā)送出去。WEP解密過程如圖8-7所示。其中，CIPHERTEXT為密文。它采用與加密相同的辦法產(chǎn)生解密密鑰序列，再將密文異或（XOR）得到明文，將明文按照CRC32算法計算得到完整性校驗值CRC32′。如果加密密鑰與解密密鑰相同，且CRC32′=CRC32，則接收端就得到了原始明文數(shù)據(jù)，否則解密失敗。8.3無線接入安全8.3.4無線加密標準8.3無線接入安全8.3.4無線加密標準2．WPA加密標準由于WEP的安全性較低，IEEE802.11組織開始制定新的安全標準，也就是802.11i協(xié)議。但由于新標準從制定到發(fā)布需要較長的周期，而且用戶也不會僅為了網(wǎng)絡的安全性就放棄原來的無線設備，所以Wi-Fi聯(lián)盟在新標準推出之前，又在802.11i草案的基礎上制定了WPA（Wi-Fiprotectedaccess）無線加密協(xié)議。WPA使用TKIP（temporalkeyintegrityprotocol，臨時密鑰完整性協(xié)議），它的加密算法依然是WEP中使用的RC4加密算法，所以不需要修改原有的無線設備硬件。WPA針對WEP存在的缺陷，如IV過短、密鑰管理過于簡單、對消息完整性沒有有效的保護等，通過軟件升級的方式來提高無線網(wǎng)絡的安全性。WPA有WPA和WPA2兩個標準，是一種保護無線電腦網(wǎng)絡（Wi-Fi）安全的系統(tǒng)，它是應研究者在前一代的系統(tǒng)有線等效加密（WEP）中找到的幾個嚴重的弱點而產(chǎn)生的。WPA實作了IEEE

802.11i標準的大部分，是在802.11i完備之前替代WEP的過渡方案。WPA的設計可以用在所有的無線網(wǎng)卡上，但未必能用在第一代的無線取用點上。WPA2具備完整的標準體系，但其不能被應用在某些老舊型號的網(wǎng)卡上。知識拓展8.3無線接入安全8.3.4無線加密標準WPA為用戶提供了一個完整的認證機制，AP/無線路由器根據(jù)用戶的認證結(jié)果來決定是否允許其接入無線網(wǎng)絡，認證成功后可以根據(jù)多種方式（傳輸數(shù)據(jù)包的多少、用戶接入網(wǎng)絡的時間等）動態(tài)地改變每個接入用戶的加密密鑰。此外，它還會對用戶在無線傳輸中的數(shù)據(jù)包進行MIC編碼，確保用戶數(shù)據(jù)不會被其他用戶更改。作為802.11i標準的子集，WPA的核心就是IEEE802.1x（一種基于端口的網(wǎng)絡接入控制協(xié)議）和TKIP。考慮到不同的用戶群和不同的應用安全需要，WPA采用了兩種應用模式，即企業(yè)模式和家庭模式。根據(jù)不同的應用模式，WPA的認證也分為兩種不同的方式。對于大型企業(yè)用戶，802.1x+EAP（extensibleauthenticationprotocol，可擴展認證協(xié)議）的加密方式是最佳選擇，它的安全性非常好，用戶必須提供認證所需的憑證才能實現(xiàn)連接。8.3無線接入安全8.3.4無線加密標準3.WPA2加密標準前面已經(jīng)提到，由于完整的IEEE802.11i標準推出尚需一段時日，而Wi-Fi聯(lián)盟為了讓新的安全性標準能夠盡快被部署，以消除用戶對無線網(wǎng)絡安全性的擔憂，從而讓無線網(wǎng)絡的市場可以迅速擴展開來，因此以已經(jīng)完成的TKIP的IEEE802.11i第三版草案（IEEE802.11idraft3）為基準制定了WPA。而當IEEE完成并公布IEEE802.11i無線局域網(wǎng)安全標準后，Wi-Fi聯(lián)盟隨即公布了WPA第二版——WPA2。WPA2支持AES（高級加密算法），安全性更高。但與WPA不同的是，WPA2需要新的硬件才能支持。WPA2是Wi-Fi聯(lián)盟驗證過的IEEE802.11i標準的認證形式。WPA2實現(xiàn)了802.11i的強制性元素，特別是Michael算法被公認徹底安全的CCMP（counterCBCMACprotocol，計算器模式密碼塊鏈消息完整碼協(xié)議）信息認證碼所取代，而RC4加密算法也被AES所取代。8.4

移動云計算安全8.4移動云計算安全移動互聯(lián)網(wǎng)和云計算的快速成長帶來一種新的關聯(lián)衍生領域技術——移動云計算。移動云廠商將服務以按需索取的方式，通過移動網(wǎng)絡交付給移動用戶，并提供多維而廣泛的擴展服務。移動云計算使得移動端設備可以更加便利、快捷地獲取所需服務，這也正是移動互聯(lián)網(wǎng)壯大的必由之路。8.4移動云計算安全8.4.1移動云計算簡述早在2009年9月，美國官方就發(fā)布了云計算相關的重要決策，建立了官方主導的云計算網(wǎng)站，以此作為平臺用于展示和交流云計算產(chǎn)品。將云計算的發(fā)展當作一種商業(yè)規(guī)劃，由政府開始，從上而下地進行革新，重點關注云計算可信、信息提供、供求關系、投資力度和IT的生命周期。FDCCI決議的提出標志著數(shù)據(jù)中心的結(jié)構由分散轉(zhuǎn)為整合，這加速了云計算在公共服務及其他方面的快速發(fā)展。美國國防部針對服務層的架構提出了以網(wǎng)絡為中心的企業(yè)服務（NCES）和按需提供計算服務（DECC）構想；美國國防信息系統(tǒng)局（DISA）開展了快速訪問計算環(huán)境（RACE）、快速發(fā)布和獲取服務（F）、全球分布式計算平臺（GCDS）等項目；美國宇航局（NASA）埃姆斯研究中心開展了相關的官方云端運算項目，主要進行云計算在教育、控制及公共服務應用方面的研究。歐盟早在2011年就開展了云計算相關的咨詢，并于2012年推出了移動云組網(wǎng)（themobilecloudnetworking，MCN）計劃，作為歐盟第七框架大規(guī)模的集成項目，其目標是促進移動通信和云計算行業(yè)的融合，探索用于移動網(wǎng)運營的移動接入和云服務方式，保證提供的服務是基于需求的、彈性的和可計量的。8.4移動云計算安全8.4.1移動云計算簡述我國也非常重視未來信息網(wǎng)絡的研究。2012年5月，我國在“十二五”計劃中將云計算課題研究列為重點課題。國家863計劃在2015年度項目申報指南中也明確指示要把云計算相關體系結(jié)構的研究作為信息科技發(fā)展的重頭戲?？萍疾肯嚓P部門在“十三五”國家重點研發(fā)計劃中將大數(shù)據(jù)與云計算、寬帶通信與物聯(lián)網(wǎng)作為支撐引領產(chǎn)業(yè)轉(zhuǎn)型升級的重點研發(fā)任務，并在國家科技重大專項啟動了新一代寬帶無線移動通信網(wǎng)等項目，旨在加速發(fā)展移動互聯(lián)網(wǎng)等技術，促進相關行業(yè)應用及運營環(huán)節(jié)創(chuàng)新和知識產(chǎn)權創(chuàng)新。國家自然科學基金委員會先后通過了多項移動云計算和移動云服務相關的項目研究。8.4移動云計算安全8.4.1移動云計算簡述移動云計算相關行業(yè)正在官方和民方雙方的大力支持下穩(wěn)步發(fā)展。許多龍頭企業(yè)已經(jīng)相繼推出了移動云計算產(chǎn)品，如微軟、蘋果、Google等，這也預示著云計算相關產(chǎn)品開始從傳統(tǒng)PC平臺蔓延至移動市場。我國電信、移動、聯(lián)通三大移動運營商已經(jīng)同時開始向移動云計算領域發(fā)展，力爭在移動云領域成為領頭羊；另有以聯(lián)想為代表的一批IT廠商也擴充了移動云計算的服務項目。中國移動研究院的相關專家學者在多年前就開始了對云計算大型平臺的研究，主要內(nèi)容是基于開源代碼開發(fā)名為大云的云計算系統(tǒng)，同時也對云數(shù)據(jù)處理實驗平臺進行設計開發(fā)，這兩項研究大力推動了我國云計算系統(tǒng)向高性能、低成本、可擴展、高可靠性更新發(fā)展的進程，為我國科研事業(yè)及市場需求提供了堅實基礎。2014年8月，阿里巴巴大力推動了云合計劃，這項計劃將數(shù)萬家云服務公司集合起來構建聯(lián)合云服務平臺，促進了我國各行業(yè)向云平臺的業(yè)務遷移。8.4移動云計算安全8.4.1移動云計算簡述隨著移動云服務研究與應用的日益深入，對其服務性能和服務質(zhì)量的有效管理吸引了眾多研究機構和學者的關注，主要包括移動云計算的環(huán)境管理、服務管理和可信性研究，出現(xiàn)了一些具有代表性的研究成果。針對環(huán)境可信，南京航空航天大學信息中心袁家斌從移動節(jié)點跨域讀寫過程中的云數(shù)據(jù)安全性保障的角度，基于移動云計算和服務的環(huán)境多變劣勢及移動端的諸多缺點，引入基于托管機制的RBAC技術，給出了一種跨域讀寫的委托模型，這種模型可以一定程度上使終端免受環(huán)境干擾。徐正全等研究了一種基于重加密的云計算數(shù)據(jù)讀寫和服務執(zhí)行的安全模型，這種模型提出的目標是滿足云商對于提供服務環(huán)境安全性的高需求。方濱興院士等針對機密性和完整性問題，利用演算對移動并發(fā)系統(tǒng)的特征進行了建模，提出了一種統(tǒng)一的安全形式模型。8.4移動云計算安全8.4.2移動云計算的基本特征從云計算的基本實現(xiàn)機制——任務卸載可以看出，移動云計算具有以下兩個重要特征。（1）交互性。移動云計算在任務上傳和結(jié)果回傳的過程中，會使網(wǎng)絡中的多個節(jié)點協(xié)同工作，在交付服務的期間，始終伴隨著終端與云端間的數(shù)據(jù)交換，這也是移動云計算的顯著特征。交互過程是通過移動通信網(wǎng)絡協(xié)助完成的，需占用網(wǎng)絡中的傳輸資源及云端的計算/存儲等資源。（2）置換性。在移動云計算過程中，終端與云端的交互過程實質(zhì)上是資源置換的過程。終端通過相應的網(wǎng)絡通信資源來置換云端的計算/存儲資源，使物理資源相對匱乏的終端設備獲得強大的處理能力或者得到需要的信息。可見，移動云服務的完成需要移動通信網(wǎng)絡及計算機網(wǎng)絡間的協(xié)同配合，服務的交付過程即是兩個系統(tǒng)之間的資源（通信資源、計算/存儲資源）置換過程。8.4移動云計算安全8.4.3移動云計算的體系結(jié)構移動云計算集成了移動計算、移動網(wǎng)絡和云計算的優(yōu)點，即所有智能終端設備不管需要什么服務都可以從無線網(wǎng)絡環(huán)境中獲取。移動終端上只有有限的存儲容量，而且信息容易丟失，而服務器端云計算正好解決了移動終端的這些問題，因為它有超大的存儲和超強的計算能力。當前基于移動云計算的應用越來越多，云計算正慢慢從互聯(lián)網(wǎng)轉(zhuǎn)移到移動互聯(lián)網(wǎng)上，這已經(jīng)成為一種趨勢。與傳統(tǒng)的計算機等固定的設備相比，移動終端訪問云計算的方式會有一些不同。移動云計算的體系結(jié)構如圖8-8所示。8.4移動云計算安全8.4.3移動云計算的體系結(jié)構8.4移動云計算安全8.4.3移動云計算的體系結(jié)構移動云計算的體系結(jié)構可分為4層，即接收層、基本管理層、虛擬層和物理層。其中接收層也稱接收控制層，包括客戶端的服務界面、服務注冊和合理服務接收?；竟芾韺游挥诜蘸头掌骷褐g，它的作用是在移動云計算系統(tǒng)架構中，對系統(tǒng)進行管理、服務等操作。虛擬層也就是虛擬項。例如，計算池、存儲池、網(wǎng)絡池等都屬于該層，要想實現(xiàn)其虛擬功能，一般是借用軟件功能來實現(xiàn)的，主要包括虛擬環(huán)境、虛擬系統(tǒng)、虛擬平臺等。物理層主要是對移動云服務進行支持，包括硬件設備和技術等，計算機、智能手機或其他非智能手機等都可以作為物理層。8.4移動云計算安全8.4.4移動云