移动应用开发安全防范研究

贾 露

（湖北广播电视大学， 湖北 武汉 430074）

0 引言

伴随着移动网络信息化的来临，在尤为突出的智能手机和3G技术方面，手机的应用替代了过去PC成为了目前最重要的网络设备登录，让人们的上网习惯得到了完全改变。然而各类各样的移动产品飞速地创新、改良，研究并开发了大批量的安卓操作系统和iO S应用程序，移动网络俨然成为人们平日里办公、生活的一部分。而此时观察到，在搭建现如今的互联网TP技术根本上，移动网络通信不仅产生了独特的安全问题还有当下的网络安全问题。面对这些问题，各大运营商在移动网络上采用了安置全方位的安全设备，例如，杀毒软件、防火墙以及ID S 等。虽然部署着这些设备但不能有效地将病毒以及软件中残留隔离、根治，仍让会出现缺点和纰漏。鉴于此，在移动网络安全防范技术上进行研究和探索迫在眉睫。

1 身份鉴别

移动应用程序在实践开发制作中，出现了客户端在验证客户身份时，产生了不具体的各项问题。针对这一问题解决需开发出整体的验证流程，如下：设置有用的身份验证体系；账户密码体系认证；要求密码在八位上，采用数字、字符及特殊符号并存，要有强度；如出现交易以及资金往来等交易，采用再次确认；登录移动应用时添加手机号码并随机发送验证；在多次登录不上移动应用系统时，通过控制登录频率以及会话等形式；捆绑对象是用户自己时，不在同一个设备上操作；全部的用户需聚集来认证；在移动应用中，有一定级别的用户采用特权来区分，运用授权准则来访问。

2 移动应用开发访问控制

移动应用程序在用户签名时未经允许不能加入网络，确保网络安全的实用性；应用程序需扫描启动，是获得应用程序独一标记；在应用程序标记和应用目标程序匹配时，会解开并解锁的指令，确保移动程序中信息的安全性；设立独立的ADMIN 帐号，一样的用户要分别在不同的系统账户中绑定，ADMIN 认证访问终端系统，设立里面一体的账号，分别在各个系统里设立相同的账号认证；利用用户的授权机制达到对用户的访问进行控制。移动应用程序制作中，一方面采用辨别、区分、控制访问，不仅维护全部的信息系统，还对移动应用程序关键部位进行保护。

3 移动应用开发安全防范措施

3.1 程序安全防范

在移动端应用程度投入市场后，黑客采用反汇编 APK 文件对软件造成攻破。需在程序开发阶段，利用加壳处理提升安全度，在二进制应用程序中加入代码，原始的二进制原文采用隐蔽密码，可以阻碍着对程序的反汇编分析，避免应用程序遭到破坏解密，对代码注入、内存注入等危险行为起到缓和作用。

3.2 通讯安全防范

移动通讯安全在移动应用程序安全中传输数据过程中起着保护用户信息安全不被病毒拦截及侵害的作用。有下面几种措施：服务器与移动客户端相互连接之初，采用密码才完成会话的验证。在通讯过程中出现的敏感信息加固密码后采取传送。服务器和移动终端两者间出现敏感数据时要采用SSL传输，这样有效地阻止敏感数据不在通讯应用中遭到盗取。在运用 HTTP 协议时，为了应对移动客户端产生的整个请求附带 MAC 地址，要及时运用临时密钥。在无限网络以及运营商网络间，服务器和移动客户端两者间的通讯网络是不能相互信任的。这是因为HTTP-GET 协议一般是采用查询字符串的方式来传播数据，为此在应用传输敏感数据的阶段，把HTTP-GET 协议当作唯一的协议是不允许的。服务器会记录搜查到的信息，在敏感信息安全方面查询字符串的方式也不能确保。

3.3 后台安全防范

后期，移动应用的后台控制页面连接到互联网时，由此网络上会出现各种各样的安全威胁等，如黑客会破解在程序开发过程中管理员设置的口令，破解完成后就可登录系统，用管理员的身份登录后可以操作各项，包括：删减信息资料、获得有效的身份信息、篡改数据等，出现的后果无法想象。为此，在预防方面需通过安全可靠的后台管理体制，加大管理的防御。

3.4 日志安全防范

移动应用安全防范中重心工作是日志安全，日志的放置、质量以及日志的备份安全在移动应用开发中需大量改良，具体的开发过程中可运用下面措施：在移动应用程序日志中一些敏感的数据等不易保存。具体的实际操作采用以下步骤：首先登录密码→完成密码修改→进行支付等一系列步骤在日志中被记录收藏。服务器端是记录日志位置的重要操作。应用程序要具备日志缓存，在出现网络中断的情况下将日志保存下来，网络接通后再次上传到服务器操作后台。移动应用日志的记录问题上应该恰当地设立，才能对此完成控制以及监测，在阀值到达之前采用先处理记录信息，以此在日志信息的安全、可靠、完整性上才能起到关键的作用。

3.5 数据传输安全防范

数据在传送、输送的同时，采用网络接入到服务器端，达到移动应用的各项功能，此时黑客会截取传送、输送数据把有毒代码带入，来侵犯网络，从中盗取数据。在确保传送、输送数据时安全性，需加大力度管理。企业在传送、输送重要数据时多使用SSL 加密，在如今的企业中已大大跟不上步伐了。企业的使用形式有下面几种：物理APN专线、SSL 协议的安全传输隧道、应用层虚拟化数据封装的三级隧道体制，这三种采用安全接入、APN 接入、移动数据服务器等来保证传送、输送可靠，达到使用者的安全接入和数据之间有效的互换隔开，此时同样隔离了企业网络数据和企业移动应用服务器。

3.6 入侵防范

面对来自外界的有毒病毒侵犯时，移动应用中防护中要具备下面措施才能有效地恢复在发布移动应用程序时的纰漏，要有不断完善和不断更新的技能。更新的过程中要具备安全提醒、新版本更新进行检测方面功能，在更新阶段不删除及修改用户的个人隐私及数据等，并附有新版本注明；更新以及升级的功能上要对程序采用全面检测，有效地阻止网络传送、输送时程序被置换；在移动应用程序中挪用的组件和外部模块，具备完善的验证步骤，符合挪用者的正当性；数据访问，供给服务这些功能时，在验证方面需要验证好挪用者合法性；在SQL 注入攻击、跨站脚本攻击、CSRF 等方面做好安全有效地预防。

4 结语

智能手机在近几年被广泛地应用，手机在使用、操作和安全防护上运用不恰当会出现身份泄露、财产受损现象，当下移动网络安全方面已是人们关注的重要问题，尽管产生的问题多复杂多紧急，移动网络通信都存在着很大的优点，给通信事业的未来奠定了一定基础，指出了新道路。3G 、4G 技术的革新，在提升企业发展、生产中以及人们日常工作生活中都起着重大的影响。3G网络在商业及个人使用中取得了不错的效果，因在起初筹备、实行中已是一套较为全面的体制。4G网络时代在各种各样的规范、准则下日渐熟练，起初在运行阶段需认识到安全信息的重要性，在用户端、应用端、传输端上建立安全可控体制，从全方面提升3G 、4G 技术和面对将来产生新型网络的预警、防护等技术。