信息安全导论-第6章-移动互联网终端安全.pptx

第6章移动互联网终端安全Mobileinternetterminalsecurity

02移动终端身份认证安全03移动终端操作系统安全04移动终端软件安全目录05移动终端安全防护01移动终端概述06本章小结练习

移动终端概述01

6.1移动终端概述伴随着移动互联网的迅速发展，移动终端产品变的也多种多样，包括智能手机、平板电脑、可穿戴设备等。当我们利用手机等移动终端上网，打游戏，浏览网页时有可能点击链接看自己感兴趣的话题，但是这些链接安全吗？如图1所示：图1

6.1移动终端概述移动终端概述据腾讯手机管家安全专家分析，这些短信并非工商银行官方短信，而是诈骗分子通过伪基站发送的，这种伪基站可以强制将其周围数十米内的用户手机订阅到自己的网络中，然后可模仿任意号码将广告、诈骗类短信群发给这些手机用户。但实际上这是一个诈骗网站，如果手机用户信以为真，随即用手机登陆短信中提供的网址，并按照网址提示输入个人银行卡卡号、密码、联系方式等信息，接着自己银行卡里的钱就会不翼而飞。

6.1移动终端概述移动终端概述截止2017年，目前全球使用移动设备的用户人数已突破50亿人，以全球人口大约75.11亿人来计算的话。也就是说全球三分之二的人都正在使用。产业界各方都将移动智能终端作为自己进军互联网终端领域的入口，但由于自身优势和经营理念的不同，其发展模式也各不相同。按照操作系统的授权方式和应用商店的运营方式，主要可以分为封闭端到端模式，半封闭模式和开源模式。

6.1移动终端概述移动终端概述iOS是由苹果公司为移动设备所开发的操作系统，iOS操作系统的优点有：专用于iPhone手机，手机界面一致，可以统一进行升级和更新，与iOS这种完全封闭式操作系统相对应的还有半封闭式和开放式两种操作系统。半封闭模式是指操作系统厂商授权给OEM厂商或者终端设备厂商生产终端产品，但不向其开放源代码。例如微软WindowsPhone操作系统。开放开源模式以谷歌安卓（Android）为代表，被进入终端领域的人所采用并发展极为迅猛。截止2017年Android全球市场份额已经达到90%。

移动终端身份认证安全02

6.2移动终端身份认证安全通过对移动终端安全事件和移动互联网终端概述的了解，我们对移动互联网终端的安全有了新的认识，提高了大家在使用移动终端时的安全意识。在使用的过程中，我们通常会给终端上锁，进行身份认证，保证使用者与终端设备的所属关系。也就是大家常用的密码、图案、指纹解锁等，但是对于每天使用的东西是否有深入的了解，通过这一节的介绍，帮助大家理解经常使用的静态密码、动态密码、指纹密码的安全性。

6.2.1移动终端身份认证安全静态密码如图所示，我们常用的移动终端密码为纯数字组成，长度为4~6位。这种为静态密码，通常由用户自己设定，在登录时输入正确的密码，终端就认为是合法的用户，这种方式使用简单，方便用户记忆。但是这种密码真的能保证移动终端的安全吗？

6.2.1移动终端身份认证安全静态密码四位数字总共只能产生1000种组合，这对于暴力破解来说并非难事，并且许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码。不少人为了方便记忆，将密码设置为0000、1234、1111、8888等简单密码，尤其是刚学会使用移动终端的中老年人，为了记忆，极有可能将微信支付密码和解锁密码设置的一样，如果密码被破解，后果将不堪设想。

6.2.1移动终端身份认证安全静态密码虽然静态密码使用简单，方便记忆。但是静态密码在使用的过程中容易被偷看、监听猜测、较容易被暴力破解，因此静态密码的安全性较低，存在下面6个问题。

6.2.1移动终端身份认证安全静态密码（1）静态密码创建在静态密码被创建时，用户为了自己方便记忆，会使用自己熟悉或者简单的数字组合，容易给别人可乘之机，尤其是了解自己的人面前，密码基本是摆设，比如朋友、舍友、家人等，通常他们拿过自己的手机，随便试几个密码，就能解开自己的手机，虽然害人之心不可有，但是防人之心不可无。

6.2.1移动终端身份认证安全静态密码（2）静态密码验证密码是怎样被验证来说明确实是真实使用的用户？通常，密码采用缓存技术，因此旧的或非法的密码可以代替正确的口令使用，只要缓存中存在，密码就可以被匹配。

6.2.1移动终端身份认证安全静态密码（3）静态密码存储密码在程序中是怎样被存储的？有四个级别的存储：明文、加密、隐藏明文，隐藏并加密。在过去许多软件工具已经采用简单的加密存储，但他们一般采用强度不高的加密或允许从系统外获得文件。一些简单