移動互聯(lián)網(wǎng)個人信息安全問題研究(畢業(yè)論文)

1、<p>　　本科畢業(yè)論文（設(shè)計）</p><p>　　移動互聯(lián)網(wǎng)個人信息安全問題研究</p><p><b>　　摘要</b></p><p>　　移動互聯(lián)網(wǎng)是全球在過去半個世紀的第 5個新技術(shù)周期，新的技術(shù)周期將帶來巨大的財富，并將帶動整個產(chǎn)業(yè)的發(fā)展和龐大的就業(yè)機會。但是在快速發(fā)展的移動互聯(lián)網(wǎng)時代里，風險是與機遇并存的。移動互聯(lián)網(wǎng)憑

2、借其便攜性、移動性、私人性等特點正為用戶提供更個性化、更高質(zhì)量的網(wǎng)絡服務，但是移動互聯(lián)網(wǎng)在為用戶提供高質(zhì)量的服務同時也正將用戶更多的個人隱私暴露在網(wǎng)絡之中。用戶的信息正在被網(wǎng)絡運營商、服務提供商或其他商家在用戶未授權(quán)的條件下收集以及使用著，而且這些個人信息還存在著透過網(wǎng)絡泄漏或者是被非法盜取使用的威脅，可能對用戶造成十分嚴重的傷害。</p><p>　　本文就從“攻擊”和“防范”這兩個方面來對移動互聯(lián)網(wǎng)進行研究。

3、闡述目前移動互聯(lián)網(wǎng)中存在的安全問題及安全的重要性。對現(xiàn)有安全威脅以及表現(xiàn)形式做了分析，對為加強安全應采取的應對措施做了較深入討論，并描述了本研究領(lǐng)域的未來發(fā)展走向。讓人們明白各種網(wǎng)絡攻擊的原理與防范的方法。從而減少因網(wǎng)絡安全問題所產(chǎn)生的損失。</p><p>　　關(guān)鍵詞：移動互聯(lián)網(wǎng)，信息安全，安全防護</p><p><b>　　Abstract</b></p&

4、gt;<p>　　Mobile Internet is the world's fifth in the past half-century cycle of new technologies, new technology cycle will bring great wealth, and will promote the development of the entire industry and a hug

5、e employment opportunities. But in the era of rapid development of mobile Internet, the risk and opportunities. Mobile Internet With its portability, mobility, personal characteristics such as being to provide users with

6、 a more personalized, higher quality network services, but the mobile Internet i</p><p>　　In this paper from the "attack" and "prevention" to study two aspects of the mobile Internet. Exp

7、lained the importance of the current security problems that exist in the mobile Internet and security. Existing forms of security threats and do the analysis, response measures should be taken to strengthen security to d

8、o a more in-depth discussion, and describes the future development trend of this research. Allow people to understand the principles and methods of various network attacks prevention.</p><p>　　Key words: Mob

9、ile Internet, Information Security, Security Protect</p><p><b>　　目錄</b></p><p><b>　　摘要II</b></p><p>　　AbstractIII</p><p>　　1 引言- 1 -</p&g

10、t;<p>　　1.1 研究背景- 1 -</p><p>　　1.2 研究目的與意義- 1 -</p><p>　　1.3 研究內(nèi)容- 2 -</p><p>　　2 移動互聯(lián)網(wǎng)的發(fā)展及未來發(fā)展趨勢- 2 -</p><p>　　2.1移動互聯(lián)網(wǎng)概述- 2 -</p><p>　　2.

11、2移動互聯(lián)網(wǎng)的發(fā)展- 4 -</p><p>　　3 移動互聯(lián)網(wǎng)環(huán)境中的個人信息及安全- 6 -</p><p>　　3.1移動互聯(lián)網(wǎng)環(huán)境中的個人信息- 6 -</p><p>　　3.2移動互聯(lián)網(wǎng)環(huán)境中的個人信息安全- 7 -</p><p>　　4 移動互聯(lián)網(wǎng)個人信息安全面臨的威脅- 9 -</p><p

12、>　　4.1個人信息泄露的渠道- 9 -</p><p>　　5 移動互聯(lián)網(wǎng)攻擊- 10 -</p><p>　　5.1應用層攻擊- 10 -</p><p>　　5.2中間層攻擊- 11 -</p><p>　　5.3內(nèi)核層攻擊- 12 -</p><p>　　5.4物理層攻擊- 12 -<

13、/p><p>　　5.5通信網(wǎng)絡層攻擊- 13 -</p><p>　　6 應對策略及防護手段- 14 -</p><p>　　6.1移動互聯(lián)網(wǎng)個人信息安全問題的應對策略- 14 -</p><p>　　6.2移動互聯(lián)網(wǎng)個人信息安全問題的防護- 14 -</p><p><b>　　1 引言</

14、b></p><p><b>　　1.1 研究背景</b></p><p>　　當前，移動互聯(lián)網(wǎng)在全球掀起了新的發(fā)展浪潮，特別是隨著移動智能終端的日益普及，移動應用和服務不斷豐富，我國也進入了移動互聯(lián)網(wǎng)高速發(fā)展階段。移動互聯(lián)網(wǎng)一方面給用戶帶來了快捷便利的良好體驗，另一方面也帶來了嚴峻的信息安全挑戰(zhàn)。</p><p>　　隨著計算機網(wǎng)絡技

15、術(shù)的飛速發(fā)展，網(wǎng)絡的開放性、共享性、互連程度隨之擴大。信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡涉及到國家的政府、軍事、文教等諸多領(lǐng)域，存儲、傳輸和處理的許多信息是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。其中有很多是敏感信息，甚至是國家機密，所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等）。網(wǎng)絡的安全性和可靠性已成為不同使用層次的用

16、戶共同關(guān)心的問題。人們都希望自己的網(wǎng)絡系統(tǒng)能夠更加可靠地運行，不受外來入侵者干擾和破壞。所以解決好網(wǎng)絡的安全性和可靠性問題，是保證網(wǎng)絡正常運行的前提和保障。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計算機網(wǎng)絡必須有足夠強的安全防范措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡的安全防范措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。本文就從“攻擊”和“防范”這兩個方面

17、來對網(wǎng)絡進行研究。闡述目前計算機網(wǎng)絡中存在的安全問題及計算機網(wǎng)絡安全的重要性。對現(xiàn)有網(wǎng)絡安全的威脅以及表</p><p>　　1.2 研究目的與意義</p><p>　　1.2.1 研究目的</p><p>　　隨著信息化進程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，人們的工作、學習和生活方式正在發(fā)生巨大變化，效率大為提高，信息資源得到最大程度的共享。但必須看到，緊隨信息化發(fā)展

18、而來的信息安全問題日漸凸出，如果不很好地解決這個問題，必將阻礙信息化發(fā)展的進程。隨著移動互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證。有很多是敏感信息，甚至是國家機密，難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等）。所以，信息的安全是一個非常嚴峻的問題。</p><p>　　1.2.2 研究意義</p><p>　　信息安全問

19、題已成為社會關(guān)注的焦點。特別是隨著Internet 的普及和電子商務、政府上網(wǎng)工程的啟動, 一方面, 信息技術(shù)已經(jīng)成為整個社會經(jīng)濟和企業(yè)生存發(fā)展的重要基礎(chǔ), 在國計民生和企業(yè)經(jīng)營中的重要性日益凸現(xiàn); 另一方面, 政府主管機構(gòu)、企業(yè)和用戶對信息技術(shù)的安全性、穩(wěn)定性、可維護性和可發(fā)展性提出了越來越迫切的要求, 因此, 從社會發(fā)展和國家安全角度來看, 加大發(fā)展信息安全技術(shù)的力度已刻不容緩。</p><p>　　2 移

20、動互聯(lián)網(wǎng)的發(fā)展及未來發(fā)展趨勢</p><p>　　2.1移動互聯(lián)網(wǎng)概述</p><p>　　隨著Web應用技術(shù)的不斷創(chuàng)新和寬帶無線移動通信技術(shù)的進一步發(fā)展，移動互聯(lián)網(wǎng)業(yè)務的發(fā)展將成為繼寬帶技術(shù)后互聯(lián)網(wǎng)發(fā)展的又一推動力，使得互聯(lián)網(wǎng)更加普及，并以其隨身性、可鑒權(quán)、可身份識別等獨特優(yōu)勢，為傳統(tǒng)的互聯(lián)網(wǎng)類業(yè)務提供了新的發(fā)展空間和可持續(xù)發(fā)展的新商業(yè)模式、從最初簡單的文本瀏覽、圖鈴下載等業(yè)務發(fā)展到當前

21、的與互聯(lián)網(wǎng)業(yè)務深度融合的業(yè)務形式，移動互聯(lián)網(wǎng)業(yè)務正在成長為移動運營商業(yè)務發(fā)展的戰(zhàn)略重點。</p><p>　　2.1.1移動互聯(lián)網(wǎng)的定義</p><p>　　移動互聯(lián)網(wǎng)是移動和互聯(lián)網(wǎng)融合的產(chǎn)物，繼承了移動隨時隨地隨身和互聯(lián)網(wǎng)分享、開放、互動的優(yōu)勢，是整合二者優(yōu)勢的“升級版本”，即運營商提供無線接入，互聯(lián)網(wǎng)企業(yè)提供各種成熟的應用。移動互聯(lián)網(wǎng)被稱為下一代互聯(lián)網(wǎng)web3.0。比如dropbox，

22、uDrop這類應用就是典型的移動互聯(lián)網(wǎng)應用。移動互聯(lián)網(wǎng)業(yè)務和應用包括移動環(huán)境下的網(wǎng)頁瀏覽、文件下載、位置服務、在線游戲、視頻瀏覽和下載等業(yè)務。隨著寬帶無線移動通信技術(shù)的進一步發(fā)展，移動互聯(lián)網(wǎng)業(yè)務的發(fā)展將成為繼寬帶技術(shù)后互聯(lián)網(wǎng)發(fā)展的又一個推動力，為互聯(lián)網(wǎng)的發(fā)展提供一個新的平臺，使得互聯(lián)網(wǎng)更加普及。并以移動應用固有的隨身性、可鑒權(quán)、可身份識別等獨特優(yōu)勢，為傳統(tǒng)的互聯(lián)網(wǎng)類業(yè)務提供了新的發(fā)展空間和可持續(xù)發(fā)展的新商業(yè)模式；同時，移動互聯(lián)網(wǎng)業(yè)務的發(fā)

23、展為移動網(wǎng)帶來了無盡的應用空間，促進了移動網(wǎng)絡寬帶化的深入發(fā)展。移動互聯(lián)網(wǎng)業(yè)務正在成長為移動運營商業(yè)務發(fā)展的戰(zhàn)略重點。</p><p>　　2.1.2移動互聯(lián)網(wǎng)的特點</p><p>　　“小巧輕便”及“通訊便捷”兩個特點，決定了移動互聯(lián)網(wǎng)與PC互聯(lián)網(wǎng)的根本不同之處，發(fā)展趨勢及相關(guān)聯(lián)之處?？梢浴半S時、隨地、隨心”地享受互聯(lián)網(wǎng)業(yè)務帶來的便捷，還表現(xiàn)在更豐富的業(yè)務種類、個性化的服務和更高服務質(zhì)

24、量的保證，當然，移動互聯(lián)網(wǎng)在網(wǎng)絡和終端方面也受到了一定的限制。與傳統(tǒng)的桌面互聯(lián)網(wǎng)相比較，移動互聯(lián)網(wǎng)具有幾個鮮明的特性：</p><p>　?。?）便捷性和便攜性。移動互聯(lián)網(wǎng)的基礎(chǔ)網(wǎng)絡是一張立體的網(wǎng)絡，GPRS、3G、4G和WLAN或WIFI構(gòu)成的無縫覆蓋，使得移動終端具有通過上述任何形式方便聯(lián)通網(wǎng)絡的特性；移動互聯(lián)網(wǎng)的基本載體是移動終端。顧名思義，這些移動終端不僅僅是智能手機、平板電腦，還有可能是智能眼鏡、手表、

25、服裝、飾品等各類隨身物品。它們屬于人體穿戴的一部分，隨時隨地都可使用。</p><p>　　（2）即時性和精確性。由于有了上述便捷性和便利性，人們可以充分利用生活中、工作中的碎片化時間，接受和處理互聯(lián)網(wǎng)的各類信息。不再擔心有任何重要信息、時效信息被錯過了。無論是什么樣的移動終端，其個性化程度都相當高。尤其是智能手機，每一個電話號碼都精確的指向了一個明確的個體。是的移動互聯(lián)網(wǎng)能夠針對不同的個體，提供更為精準的個性化

26、服務。</p><p>　?。?）感觸性和定向性。這一點不僅僅是體現(xiàn)在移動終端屏幕的感觸層面。更重要的是體現(xiàn)在照相、攝像、二維碼掃描，以及重力感應、磁場感應、移動感應，溫度、濕度感應等無所不及的感觸功能。而基于LBS的位置服務，不僅能夠定位移動終端所在的位置。甚至可以根據(jù)移動終端的趨向性，確定下一步可能去往的位置。使得相關(guān)服務具有可靠的定位性和定向性。</p><p>　　（4）業(yè)務與終端

27、、網(wǎng)絡的強關(guān)聯(lián)性和業(yè)務使用的私密性。由于移動互聯(lián)網(wǎng)業(yè)務受到了網(wǎng)絡及終端能力的限制，因此，其業(yè)務內(nèi)容和形式也需要適合特定的網(wǎng)絡技術(shù)規(guī)格和終端類型。在使用移動互聯(lián)網(wǎng)業(yè)務時，所使用的內(nèi)容和服務更私密，如手機支付業(yè)務等。</p><p>　?。?）網(wǎng)絡的局限性：移動互聯(lián)網(wǎng)業(yè)務在便攜的同時，也受到了來自網(wǎng)絡能力和終端能力的限制：在網(wǎng)絡能力方面，受到無線網(wǎng)絡傳輸環(huán)境、技術(shù)能力等因素限制；在終端能力方面，受到終端大小、處理能力

28、、電池容量等的限制。</p><p>　　以上這五大特性，構(gòu)成了移動互聯(lián)網(wǎng)與桌面互聯(lián)網(wǎng)完全不同的用戶體驗生態(tài)。移動互聯(lián)網(wǎng)已經(jīng)完全滲入到人們生活、工作、娛樂的方方面面了。</p><p>　　2.1.3移動互聯(lián)網(wǎng)與互聯(lián)網(wǎng)的區(qū)別與聯(lián)系</p><p>　　什么是移動互聯(lián)網(wǎng)？對此，業(yè)界有兩種觀點，一種觀點認為移動互聯(lián)網(wǎng)是互聯(lián)網(wǎng)的延伸；另一種觀點認為，移動互聯(lián)網(wǎng)是互聯(lián)網(wǎng)的發(fā)

29、展方向。本文在這里對移動互聯(lián)網(wǎng)和互聯(lián)網(wǎng)的優(yōu)劣勢做了個簡單的比較，如表1-1.</p><p>　　表1-1移動互聯(lián)網(wǎng)和互聯(lián)網(wǎng)的優(yōu)劣勢比較</p><p>　　2.2移動互聯(lián)網(wǎng)的發(fā)展</p><p>　　IT技術(shù)發(fā)展已經(jīng)進入移動互聯(lián)網(wǎng)發(fā)展的早期階段。技術(shù)發(fā)展周期一般會持續(xù)十年時間，技術(shù)發(fā)展周期已在之前進入下一個重大計算產(chǎn)品發(fā)展周期，即“移動互聯(lián)網(wǎng)”發(fā)展周期。圖1為IT

30、技術(shù)發(fā)展周期。</p><p>　　在最近幾年里，移動通信成為當今世界發(fā)展最快、市場潛力最大、前景最誘人的業(yè)務之一。他們的增長速率是任何預言家都未曾預料到的。</p><p>　　圖1 IT技術(shù)發(fā)展周期</p><p>　　2.2.1中國移動互聯(lián)網(wǎng)的發(fā)展現(xiàn)狀</p><p>　　中國的移動互聯(lián)網(wǎng)發(fā)展經(jīng)歷了一下上次浪潮：第一次浪潮從1999年

31、中國移動運營商引入日本的分成模式；第二次浪潮是從2004年開始，中國移動互聯(lián)網(wǎng)進入飛速發(fā)展的時期；第三次浪潮在2014年，最重大的變化是運營商獲得了4G牌照。</p><p>　　中國具有全球最大的移動用戶群，正在進入移動互聯(lián)網(wǎng)需求的高速增長。PC互聯(lián)網(wǎng)從2000萬到1億用了6年，移動互聯(lián)網(wǎng)用戶從2000萬到1億用了2年。智能手機使用率、3G和4G網(wǎng)絡覆蓋率、移動上網(wǎng)資費的快速下降有效激發(fā)了移動互聯(lián)網(wǎng)的高速增長。

32、</p><p>　　移動互聯(lián)網(wǎng)的浪潮正在席卷到社會的方方面面，新聞閱讀、視頻節(jié)目、電商購物、公交出行等熱門應用都出現(xiàn)在移動終端上，在蘋果和安卓商店的下載已達到數(shù)百億次，而移動用戶規(guī)模更是超過了PC用戶。這讓服務提供商意識到移動應用的必要性，紛紛開始規(guī)劃和摸索進入移動互聯(lián)網(wǎng)，客觀上加快了移動應用市場的發(fā)展，與此同時，Andriod系統(tǒng)憑借開放和免費策略在中國獲得了長足的發(fā)展。</p><p&g

33、t;　　2.2.2移動互聯(lián)網(wǎng)的未來發(fā)展趨勢</p><p>　　曾幾何時，移動互聯(lián)網(wǎng)還僅僅被人們視作互聯(lián)網(wǎng)的一個分支。事實上，傳統(tǒng)互聯(lián)網(wǎng)和電信業(yè)巨頭采取的種種戰(zhàn)略轉(zhuǎn)型舉措早已深刻說明，移動互聯(lián)網(wǎng)不單是一種時髦應用，更是一股席卷ICT領(lǐng)域的破壞式的創(chuàng)新浪潮。人民網(wǎng)研究院29日發(fā)布2013年中國《移動互聯(lián)網(wǎng)藍皮書》，認為移動互聯(lián)網(wǎng)在短短幾年時間里，已滲透到社會生活的方方面面，產(chǎn)生了巨大影響，但它仍處在發(fā)展的早期，“變

34、化”仍是它的主要特征，革新是它的主要趨勢。</p><p>　?。?）移動互聯(lián)網(wǎng)超越PC互聯(lián)網(wǎng)，引領(lǐng)發(fā)展新潮流。有線互聯(lián)網(wǎng)是互聯(lián)網(wǎng)的早期形態(tài)，移動互聯(lián)網(wǎng)(無線互聯(lián)網(wǎng))是互聯(lián)網(wǎng)的未來。</p><p>　?。?）移動互聯(lián)網(wǎng)和傳統(tǒng)行業(yè)融合，催生新的應用模式。在移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)等新技術(shù)的推動下，傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)的融合正在呈現(xiàn)出新的特點，平臺和模式都發(fā)生了改變。</p>&

35、lt;p>　?。?）移動互聯(lián)網(wǎng)商業(yè)模式多樣化。成功的業(yè)務，需要成功的商業(yè)模式來支持。移動互聯(lián)網(wǎng)業(yè)務的新特點為商業(yè)模式創(chuàng)新提供了空間。隨著移動互聯(lián)網(wǎng)發(fā)展進入快車道，網(wǎng)絡、終端、用戶等方面已經(jīng)打好了堅實的基礎(chǔ)，不盈利的情況已開始改變，移動互聯(lián)網(wǎng)已融入主流生活與商業(yè)社會，貨幣化浪潮即將到來。</p><p>　?。?）用戶期盼跨平臺互通互聯(lián)。目前形成的iOS、Android、Windows Phone三大系統(tǒng)各自

36、獨立，相對封閉、割裂，應用服務開發(fā)者需要進行多個平臺的適配開發(fā)，這種隔絕有違互聯(lián)網(wǎng)互通互聯(lián)之精神。不同品牌的智能手機，甚至不同品牌、類型的移動終端都能互聯(lián)互通，是用戶的期待，也是發(fā)展趨勢。移動互聯(lián)網(wǎng)時代是融合的時代，是設(shè)備與服務融合的時代，是產(chǎn)業(yè)間互相進入的時代，在這個時代，移動互聯(lián)網(wǎng)業(yè)務參與主體的多樣性是一個顯著的特征。</p><p>　?。?）大數(shù)據(jù)挖掘成藍海，精準營銷潛力凸顯。隨著移動帶寬技術(shù)的迅速提升，

37、更多的傳感設(shè)備、移動終端隨時隨地地接入網(wǎng)絡，加之云計算、物聯(lián)網(wǎng)等技術(shù)的帶動，中國移動互聯(lián)網(wǎng)也逐漸步入“大數(shù)據(jù)”時代。 </p><p>　　3 移動互聯(lián)網(wǎng)環(huán)境中的個人信息及安全</p><p>　　個人信息是進行身份識別的主要標識，在移動互聯(lián)網(wǎng)環(huán)境中具有更廣的含義，除個人基本信息外還包括了用戶的消費信息。在互聯(lián)網(wǎng)中，用戶的信息還具有商品性，對于一些不法分子而

38、言具有主要的作用，這就使得用戶的個人信息具有很大的經(jīng)濟意義，從而導致一下不法分子會試圖搜集、竊取和不合理使用用戶的個人信息。如何保證自己的非人信息安全，從用戶來說要嚴格防范，從服務提供商來說，要清楚自己的責任。</p><p>　　3.1移動互聯(lián)網(wǎng)環(huán)境中的個人信息</p><p>　　目前對移動互聯(lián)網(wǎng)環(huán)境下的個人信息還沒有一個較為統(tǒng)一的定義，但是總結(jié)各方對個人信息的定義，其共同點都認為個人

39、信息是信息主體所擁有的能反映其特征的各種信息符號。移動互聯(lián)網(wǎng)環(huán)境下，用戶的個人信息區(qū)別于他人的個人特征信息外還包括用戶的網(wǎng)絡活動信息以及用戶的網(wǎng)絡空間存儲的信息。</p><p>　?。?）用戶個人的基本信息</p><p>　　用戶在使用移動互聯(lián)網(wǎng)的過程中，不論是用戶注冊、消費還是社交娛樂，都回涉及到個人信息的提供。如用戶個人的姓名、性別、年齡、聯(lián)系方式和家庭住址，更深入一些的還會涉及E

40、MALL、職業(yè)、收入、學歷等能夠識別特定個人的信息。在網(wǎng)上消費的過程中還會涉及信用卡、電子消費卡、交易賬號、密碼等個人財產(chǎn)信息。這些信息一旦遭到不法分子的竊取，會使用戶的隱私泄露，嚴重會有重大的經(jīng)濟損失。</p><p>　?。?）用戶個人網(wǎng)絡活動信息</p><p>　　用戶在使用移動互聯(lián)網(wǎng)的過程中，必定會瀏覽網(wǎng)頁或是使用某種應用，這種網(wǎng)絡活動也是一種個人信息。這些網(wǎng)絡活動信息可以直接的

41、反映用戶的網(wǎng)絡瀏覽蹤跡，比如該用戶在購物網(wǎng)站瀏覽過的一些的商品，那么一些商家就可以利用這些信息分析該用戶的喜好和消費習慣，從而推薦某些商品給這位用戶謀求利益。</p><p>　?。?）用戶個人網(wǎng)絡空間儲存的信息</p><p>　　用戶的個人網(wǎng)絡空間大致分為實體空間和虛擬空間。實體空間包括用戶的手機、平板電腦、移動硬盤和U盤等存儲設(shè)備。虛擬網(wǎng)絡空間包括用戶的電子郵箱、網(wǎng)絡硬盤等。在這兩類

42、空間里，都回保存用戶的個人信息以及與之有關(guān)的各類信息。不法分子就是通過木馬病毒等技術(shù)手段，盜取在用戶在手機、網(wǎng)盤中的各類個人信息。</p><p>　　3.1.1移動互聯(lián)網(wǎng)環(huán)境中個人信息的性質(zhì)</p><p>　　在信息社會，個人信息已經(jīng)商品化，已經(jīng)逐漸演變成一種財產(chǎn)和社會資源，能夠產(chǎn)生巨大的社會經(jīng)濟效益。在移動互聯(lián)網(wǎng)環(huán)境下，對于商家來說，其對用戶個人信息的搜集和分析能夠更好的了解市場發(fā)展

43、趨勢、用戶對于應用的需求，從而給用戶更為完善的服務，從中得到更多的利益。一些商家也通過對其所掌握的用戶個人信息同其他商家或個人交換從中牟利。商家獲得更多的消費者信息的基礎(chǔ)是不斷發(fā)展的信息技術(shù)?？梢哉f網(wǎng)絡技術(shù)的發(fā)展使個人信息的搜集更為容易，促使個人信息具備了商品交換價值。</p><p>　　3.1.2移動互聯(lián)網(wǎng)環(huán)境中個人信息的重要性</p><p>　　對公民個人信息的獲取可能惡搞導致對公

44、民人身安全和生命權(quán)的侵害。個人信息與人的日常生活密切相關(guān)，尤其在移動互聯(lián)網(wǎng)環(huán)境下，用戶的移動設(shè)備中儲存的個人信息日益增多，但人們對這些信息的安全防范缺少防范意識，容易遭到竊取。但一個有犯罪意圖的人獲得其他人的家庭住址、家庭成員、工作單位，尤其是通過移動設(shè)備中GPS功能獲取的用戶當前位置信息等比較隱秘的個人信息后，會采取盜竊、綁架等行為，在這個過程中往往會造成受害人的人身傷害甚至導致生命權(quán)的喪失。</p><p>

45、　　財產(chǎn)權(quán)是公民對其神圣不可侵犯的合法財產(chǎn)所享有的占有、使用、處分、牟利的權(quán)利。當人們的財產(chǎn)信息被泄露時，其財產(chǎn)權(quán)即受到了侵犯。在移動互聯(lián)網(wǎng)環(huán)境下，通過移動終端的網(wǎng)絡交易越來越頻繁，網(wǎng)絡詐騙受害的人數(shù)呈大幅上升的趨勢，除了個人安全意識的薄弱，大都因為個人信息的泄露導致防范意識下降。</p><p>　　3.2移動互聯(lián)網(wǎng)環(huán)境中的個人信息安全</p><p>　　個人信息是指能識別特定某人特征

46、的信息。在移動互聯(lián)網(wǎng)環(huán)境下還包含用戶的網(wǎng)絡活動信息和空間存儲信息。因此，個人信息安全的內(nèi)涵更廣，它包含了通信設(shè)備、操作系統(tǒng)的穩(wěn)定性、安全性，個人信息的完整性和保密性，用戶在使用移動互聯(lián)網(wǎng)過程中的安全性以及終端廠商、系統(tǒng)平臺、互聯(lián)網(wǎng)應用和運營服務商為保證個人信息不受侵害所采取的保護行為。</p><p>　　3.2.1用戶對個人信息擁有的權(quán)利</p><p>　　（1)用戶對個人信息被搜集的

47、知情權(quán)</p><p>　　移動互聯(lián)網(wǎng)環(huán)境下，應用的安裝會提示用戶該應用在設(shè)備中搜集信息的權(quán)限。用戶有權(quán)知道是誰用了什么方式搜集了哪些個人信息，這些信息優(yōu)勢以怎樣的一個形式展現(xiàn)在他人面前，被收集的信息將用于什么目的。因此，商家在搜集用戶個人信息之前，應該告知用戶，征得用戶的同意。</p><p>　　（2）用戶對個人信息的擁有控制權(quán)</p><p>　　在移動互聯(lián)網(wǎng)

48、環(huán)境下，用戶對自己的個人信息擁有“合理的訪問權(quán)限”，可以通過合理的途徑訪問和查閱自己的個人信息，如購物網(wǎng)站的交易記錄、瀏覽記錄。用戶對這些信息擁有自主權(quán)，有權(quán)對這些信息進行修改和刪除，從而保證個人信息的相對準確性和完整性。</p><p>　　（3）用戶個人信息的請求權(quán)</p><p>　　隨著信息技術(shù)的不斷發(fā)展，移動互聯(lián)網(wǎng)環(huán)境下個人信息必然存在安全隱患。用戶的個人信息有可能被人為的披露或

49、被竊取以及故意的篡改或惡意的刪除，也有可能由于技術(shù)上的缺陷或操作失誤導致個人信息的丟失。這些都會造成對用戶個人信息安全的威脅。因此，為了個人信息的安全，必須賦予用戶以安全請求權(quán)。用戶有權(quán)要求個人信息的獲取者采取具體措施和技術(shù)手段保證個人信息的安全性和完整性。</p><p>　　3.2.2 個人信息相關(guān)的法律法規(guī)</p><p>　?。?）中華人民共和國憲法 </p><

50、;p>　　第四十條中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。</p><p>　?。?）中華人民共和國民法通則</p><p>　　第一百條公民享有肖像權(quán)，未經(jīng)本人同意，不得以營利為目的使用公民的肖像。</p>

51、<p>　?。?）中華人民共和國郵政法</p><p>　　第四條通信自由和通信秘密受法律保護。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)、國家安全機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯他人的通信自由和通信秘密。</p><p>　?。?）中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法</p><

52、;p>　　第十八條用戶應當服從接入單位的管理，遵守用戶守則；不得擅自進入未經(jīng)許可的計算機系統(tǒng)，篡改他人信息；不得在網(wǎng)絡上散發(fā)惡意信息，冒用他人名義發(fā)出信息，侵犯他人隱私；不得制造、傳播計算機病毒及從事其它侵犯網(wǎng)絡和他人合法權(quán)益的活動。用戶有權(quán)獲得接入單位提供的各項服務；有義務交納費用。</p><p>　　3.2.3個人信息泄露的原因和后果</p><p>　　與個人信息安全相對應的

53、一個詞就是個人信息泄露。目前尚沒有形成對個人信息泄露較為公認的概念。從語義上理解，個人信息泄露是指個人信息主體不愿被他人所知曉的個人信息被公開為他人所知曉。可以說，信息泄露是一種不正當?shù)男畔鞑バ袨榍覀€人信息的泄露往往是帶有營利目的的。移動互聯(lián)網(wǎng)環(huán)境下，由于信息技術(shù)及個人信息的商品化因素，使得個人信息更容易泄露。個人信息內(nèi)容的價值量是信息泄露的一個根本動力，在移動互聯(lián)網(wǎng)環(huán)境下，用戶的個人信息對商家來說是具有商業(yè)價值的，因此，一些商家會從

54、用戶個人信息的獲取中謀得自身的利益，而損害的則是用戶的個人利益。在信息技術(shù)不斷發(fā)展的信息社會，商家能更容易、快捷地獲取用戶的個人信息。用戶個人信息的泄露將會帶給其經(jīng)濟及生活上的不利影響。</p><p>　　4 移動互聯(lián)網(wǎng)個人信息安全面臨的威脅</p><p>　　目前移動終端用戶數(shù)目已超過固網(wǎng)用戶數(shù)目達到了幾十億，隨著3G、Wimax、LTE等多種無線寬帶技術(shù)的快速發(fā)展并推廣應用，PD

55、A、無線數(shù)據(jù)卡、智能手機等各種形式的移動終端成為黑客攻擊的主要目標。針對無線終端的攻擊除了傳統(tǒng)針對PC機和互聯(lián)網(wǎng)的攻擊手段外，也有其自身的特殊性，包括：針對手機操作系統(tǒng)的病毒攻擊，針對無線業(yè)務的木馬攻擊、惡意廣播的垃圾電話、基于彩信應用的蠕蟲、垃圾短信彩信、手機信息被竊取、SIM卡復制以及針對無線傳輸協(xié)議的黑客攻擊等。這些新興的無線終端攻擊方式也給今后無線終端的廣泛應用帶來嚴峻挑戰(zhàn)。</p><p>　　4.1個

56、人信息泄露的渠道</p><p>　　隨著IP技術(shù)的高速發(fā)展，移動互聯(lián)網(wǎng)也逐漸IP化，它把互聯(lián)網(wǎng)中存在的所有安全威脅全部引入到移動互聯(lián)網(wǎng)中。比如以前只在固網(wǎng)出現(xiàn)的蠕蟲病毒、惡意網(wǎng)頁推送等，如今在移動互聯(lián)網(wǎng)中也屢見不鮮，可見移動互聯(lián)網(wǎng)個人信息泄露的渠道也隨著變得多樣化。</p><p>　?。?）用戶注冊和登陸</p><p>　　用戶在使用移動互聯(lián)網(wǎng)過程中，無論是使

57、用軟件還是網(wǎng)上娛樂、購物都要進行注冊，注冊必然會提供個人相關(guān)信息。對于用戶而言，提供個人基本信息存在一定的安全隱患，因為網(wǎng)站或軟件開發(fā)者可能會濫用用戶的個人信息進行不合理甚至是違法的活動。在網(wǎng)上提供個人信息存在一定的安全風險，首先用戶不知道網(wǎng)站會如何利用這些信息，也不能保證這些信息不會遭到泄露。如今，大多的網(wǎng)絡詐騙都是利用這些個人信息的泄露進行詐騙的，所以一旦信息遭到泄露，很容易使用戶遭受侵犯、財產(chǎn)遭到損失。</p>&l

58、t;p><b>　?。?）網(wǎng)頁瀏覽</b></p><p>　　用戶在使用移動互聯(lián)網(wǎng)進行網(wǎng)頁瀏覽時，瀏覽器在用戶每次訪問網(wǎng)頁等相關(guān)內(nèi)容時都會在網(wǎng)絡服務器的日志上留下記錄。這些服務器日志會記錄下用戶的IP地址、傳遞查詢的URL等信息。用戶在網(wǎng)絡瀏覽的過程中會產(chǎn)生cookie文件，網(wǎng)絡服務器會使用cookie來標記帶有識別信息的網(wǎng)絡瀏覽器來幫助用戶獲得更快捷的瀏覽體驗。但是黑客可以通過co

59、okie在對用戶進行跟蹤，也就能得知用戶的瀏覽記錄等詳細信息。</p><p><b>　?。?）網(wǎng)絡支付</b></p><p>　　網(wǎng)絡支付，就是用戶在網(wǎng)上購物的交易過程中，將自己的賬戶資金通過網(wǎng)絡支付的一個過程，將負載有個人基本信息和財務信息的電子支付工具用于資金結(jié)算和流轉(zhuǎn)。一些傳統(tǒng)的盜號木馬、釣魚網(wǎng)站、新型交易劫持木馬，可以在用戶完成付款流程后發(fā)現(xiàn)商家并未受到

60、付款，以盜取用戶賬戶中的資金和信息，這種方式及其隱蔽，用戶沒有防范技術(shù)很難提防。</p><p><b>　?。?）網(wǎng)絡攻擊</b></p><p>　　“黑客”（Hack）對于大家來說可能并不陌生，他們是一群利用自己的技術(shù)專長專門攻擊網(wǎng)站和計算機而不暴露身份的計算機用戶，但是隨著移動互聯(lián)網(wǎng)的發(fā)展，黑客的也由互聯(lián)網(wǎng)慢慢轉(zhuǎn)移到移動互聯(lián)網(wǎng)。由于黑客技術(shù)逐漸被越來越多的人掌

61、握和發(fā)展，目前世界上約有20多萬個黑客網(wǎng)站，這些站點都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而任何網(wǎng)絡系統(tǒng)、站點都有遭受黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，使得黑客們善于隱蔽，攻擊“殺傷力”強，是網(wǎng)絡安全的主要威脅。而就目前網(wǎng)絡技術(shù)的發(fā)展趨勢來看，黑客攻擊的方式也越來越多的采用了病毒進行破壞，它們采用的攻擊和破壞方式多種多樣，對沒有網(wǎng)絡安全防護設(shè)備（防火墻）的系統(tǒng)（或防護級別較低）進行攻

62、擊和破壞，這給移動互聯(lián)網(wǎng)的安全防護帶來了嚴峻的挑戰(zhàn)。</p><p>　　5 移動互聯(lián)網(wǎng)攻擊</p><p>　　本章對移動互聯(lián)網(wǎng)應用層、中間層、內(nèi)核層、傳感器和通信網(wǎng)絡層的相關(guān)概念進行簡單介紹，并對其面臨的攻擊進行描述。</p><p><b>　　5.1應用層攻擊</b></p><p>　　5.1.1惡意代碼的入

63、侵方式</p><p>　　移動智能終端（包括智能手機、平板電腦等）的一個共同特點是搭載操作系統(tǒng)并可運行第三方APP。惡意代碼可以隨著第三方APP的安裝進入移動終端系統(tǒng)。統(tǒng)計信息顯示86%的Android惡意代碼是嵌入到流行的APP，并重新打包實現(xiàn)的。Android惡意代碼入侵的其他方式還包括惡意代碼嵌入更新模塊、利用二維碼、郵件、惡意鏈接等形式欺騙用戶下載等。</p><p>　　iOS

64、系統(tǒng)采用嚴格的代碼審查和簽名機制，攻擊相對較少，但面臨兩個問題：1）用戶必須無條件信任蘋果公司；2）一些惡意應用通過代碼審查發(fā)布之后，可能主動下載惡意代碼。</p><p>　　5.1.2惡意應用的攻擊過程</p><p>　　惡意應用在進入系統(tǒng)之后，其能力受限于操作系統(tǒng)的訪問控制機制，因而惡意應用進入系統(tǒng)后的首要工作是提升自身權(quán)限。</p><p>　　在Andr

65、oid系統(tǒng)中，系統(tǒng)資源的訪問控制分為兩層實現(xiàn)。第一層是基于用戶和組的訪問控制機制。每個應用在安裝時，都被分配了唯一的UID，作為一個獨立的用戶存在。該應用擁有自己的資源，并且在訪問文件系統(tǒng)時根據(jù)用戶和組等進行資源管控。另一層是Android的Permission機制，Permission機制負責管理利用系統(tǒng)服務訪問系統(tǒng)資源的行為。然而，Android系統(tǒng)中存在大量以Root身份運行的Daemon進程，可以利用這些進程的漏洞使惡意代碼以R

66、oot身份運行。目前已知的可用于獲取Root權(quán)限的漏洞包括ASHMEM、Exploid、Gingerbeak、Levitator、Mempodroid、Wunderbar、ZergRush、Zimperlich等。以Root身份運行的程序可以繞過Android系統(tǒng)的訪問控制機制，包括繞過或破壞在中間層實現(xiàn)的Permission機制。</p><p>　　在iOS系統(tǒng)中，文件加密被用于系統(tǒng)數(shù)據(jù)的訪問控制。NAND中

67、整個文件系統(tǒng)部分都用單個密鑰EMF！進行加密，EMF！保存在存儲設(shè)備的PLOG塊1中。文件系統(tǒng)中的每個文件采用一個唯一密鑰加密，一旦文件被刪除，唯一密鑰也會丟棄。保護等級密鑰是基于訪問策略打開文件的主密鑰，加密文件的密鑰采用保護等級密鑰加密。iOS系統(tǒng)的基于加密的文件訪問控制需要高性能的密碼硬件協(xié)助實現(xiàn)。突破iOS的訪問控制需要突破這種密碼訪問控制體系，即俗稱的越獄。</p><p><b>　　5.2

68、中間層攻擊</b></p><p>　　中間層是移動終端內(nèi)核層和應用層之間的一層軟件棧，通常包括系統(tǒng)運行需要的核心庫文件、關(guān)鍵系統(tǒng)服務代碼等。攻擊中間層軟件棧，可以讓惡意代碼直接面對內(nèi)核，從相對底層獲取更多的系統(tǒng)資源，提高攻擊效率。本節(jié)主要從Android Permission、應用代碼簽名、代碼控制流等方面介紹相關(guān)攻擊。</p><p>　　5.2.1 Android Per

69、mission攻擊</p><p>　　Android應用程序在安裝時向用戶申請相關(guān)Permission，然后系統(tǒng)會將該Permission導入系統(tǒng)核心進程中維護。一旦應用程序向系統(tǒng)服務申請資源訪問，在提供具體服務之前，系統(tǒng)服務會向核心進程檢查該應用是否被授予相關(guān)Permission。在系統(tǒng)啟動過程中，核心進程會從配置文件package.xml導入應用的Permission列表，因而一種Permission攻擊方

70、式是修改配置文件提升自身的Permission。由于配置文件受到文件系統(tǒng)的訪問控制保護，因而實現(xiàn)該攻擊需要Root權(quán)限。</p><p>　　另一種Permission攻擊是合謀攻擊。具體實現(xiàn)方式分為兩種：1）某些高權(quán)限的應用可能有意或無意開放了調(diào)用接口，惡意應用調(diào)用該接口，間接實現(xiàn)高特權(quán)的功能；2）攻擊者將攻擊所需要的權(quán)限分散在多個應用中，一旦多個應用安裝成功，幾個應用通過合謀，完成惡意操作。</p>

71、;<p>　　5.2.2 應用代碼簽名攻擊</p><p>　　Android在中間層采用了代碼自簽名機制，允許第三方APP進入終端系統(tǒng)。如果應用在設(shè)備上安裝成功，仍然能夠?qū)λ拇a進行隨意更改，那么應用程序控制流程的完整性將遭到破壞。</p><p>　　在Android應用安裝時，會對安裝程序各部分進行摘要計算、簽名比對等過程，但是在啟動已安裝的應用時，不會進行重新計算，

72、只進行比對時間戳等操作。對代碼簽名的攻擊可以通過偽造時間戳實現(xiàn)。</p><p>　　這樣可以在不被系統(tǒng)簽名機制察覺的情況下，向應用程序中添加惡意代碼。但是普通用戶無法對上述文件進行操作，因而上述攻擊只有Root用戶可以成功。除了上述方式外，還可以通過修改中間層代碼層的實現(xiàn)繞過簽名機制。</p><p>　　5.2.3代碼控制流攻擊</p><p>　　Androi

73、d基于Linux內(nèi)核，提供了一個進程控制另一個進程的手段，如ptrace系統(tǒng)調(diào)用。利用ptrace可以實現(xiàn)進程劫持，允許父進程控制子進程或者高權(quán)限用戶的進程控制其他目標進程，從而改變目標進程的執(zhí)行流程。一方面，注入的代碼可以修改目標進程的運行時環(huán)境，比如修改dalvik虛擬機的關(guān)鍵入口函數(shù)，達到動態(tài)監(jiān)控的目的。另一方面，由于注入的代碼處于目標進程地址空間，它可以利用目標進程的所有權(quán)限，讀取目標進程的私有數(shù)據(jù)，完成非法操作。如目標進程申請

74、了android.permission.SEND_SMS，注入代碼就可以通過發(fā)送短信定制付費服務，達到惡意扣費目的。更進一步，Android系統(tǒng)內(nèi)有大量的系統(tǒng)服務，一旦系統(tǒng)服務進程被劫持，使用該系統(tǒng)服務的任何進程將不再可信。</p><p>　　? iOS系統(tǒng)在越獄的情況下，存在類似Android的代碼控制流攻擊。由于iOS系統(tǒng)的非開源性，相關(guān)科研人員試圖從其他角度對iOS架構(gòu)的安全性作評估。其中一個思路是

75、分析同一款應用的iOS版本和Android版本，比較二者使用安全相關(guān)API（Security sensitive API）的數(shù)量。通過對2600余款應用的分析，發(fā)現(xiàn)iOS應用使用了較多的安全相關(guān)API，這從側(cè)面反映iOS的代碼審查機制在保護敏感資源上可能不如Android的Permission機制更有力。</p><p><b>　　5.3內(nèi)核層攻擊</b></p><p

76、>　　移動終端系統(tǒng)大多數(shù)采用ARM處理器，類似于x86架構(gòu)，ARM處理器也支持多個運行模式。應用代碼運行在用戶模式，內(nèi)核代碼運行在內(nèi)核模式。不同模式之間的硬件隔離使得從用戶模式直接發(fā)起攻擊難度較大。</p><p>　　5.3.1加載內(nèi)核模塊</p><p>　　Linux允許用戶在運行時將模塊整合到內(nèi)核中，如設(shè)備驅(qū)動。一旦惡意代碼被加載進入內(nèi)核，它就擁有內(nèi)核的所有特權(quán)，具有直接訪問

77、系統(tǒng)硬件資源的能力，可以繞過上層的安全機制。比如借助kprobes，可以實現(xiàn)系統(tǒng)調(diào)用劫持的目的。</p><p>　　這種攻擊方式在實現(xiàn)上有一定難度。主要原因是移動終端設(shè)備的OEM廠商不必考慮靈活地添加外設(shè)，因而普遍缺乏對LKM的支持。</p><p><b>　　5.3.2內(nèi)核漏洞</b></p><p>　　移動終端系統(tǒng)可能出現(xiàn)內(nèi)核漏洞。一

78、方面，內(nèi)核結(jié)構(gòu)的復雜性和龐大的規(guī)模使其包含安全漏洞的可能性大增。另一方面，內(nèi)核代碼包含了大量的硬件參數(shù)等信息，通常由OEM廠商發(fā)布。但是目前移動終端，特別是Android平臺，品牌、設(shè)備繁多，存在著嚴重的碎片化問題，無法保證及時地發(fā)布安全更新。因此，隨著移動終端的發(fā)展，利用內(nèi)核漏洞發(fā)起攻擊的概率將不斷增加。</p><p><b>　　5.4物理層攻擊</b></p><

79、p>　　移動終端系統(tǒng)包含了豐富的傳感器資源，比如MIC、攝像頭、GPS、重力傳感器等。</p><p>　　包含傳感器的移動終端設(shè)備稱為Mobile Cyber-Physical System。由于移動終端通常與用戶綁定，用戶當前物理世界的信息可以被傳感器實時地轉(zhuǎn)換為數(shù)據(jù)。一旦傳感器資源被濫用，用戶當前的隱私信息就會通過傳感器的轉(zhuǎn)換和通信基礎(chǔ)設(shè)施的傳輸被敵手獲得。</p><p>　

80、　除了上述攻擊方式，傳感器資源還被用來進行更為精密的信息竊取。Roman Shclegel等人提出并實現(xiàn)了一個基于音頻的用戶隱私信息竊取攻擊。PlaceRaider是一個視頻信息竊取攻擊。通過完全控制終端設(shè)備的攝像頭和其它傳感器資源，PlaceRaider可以構(gòu)建出用戶所在空間的三維立體模型。攻擊者可以通過PlaceRaider對用戶所在的空間信息進程精細的跟蹤，從而實現(xiàn)重要信息的獲取。另一個攻擊的例子為通過加速度傳感器獲取鍵盤敲擊信息

81、。其攻擊過程是通過加速度傳感器獲取鍵盤敲擊時引起的振動信息，進而判斷鍵盤敲擊動作。傳感器資源濫用配合信息分析技術(shù)，可以通過移動設(shè)備實現(xiàn)物理層信息的深度獲取。</p><p>　　5.5通信網(wǎng)絡層攻擊</p><p>　　通信網(wǎng)絡是移動終端進行數(shù)據(jù)交互的基礎(chǔ)。通信網(wǎng)絡層包括移動終端的無線接入網(wǎng)絡和傳統(tǒng)的Internet網(wǎng)絡?，F(xiàn)有的無線接入網(wǎng)絡主要有五類：衛(wèi)星通信網(wǎng)絡、蜂窩網(wǎng)絡（2G網(wǎng)絡、3G

82、網(wǎng)絡）、無線城域網(wǎng)（WiMAX）、無線局域網(wǎng)（WLAN）、基于藍牙的無線個域網(wǎng)。</p><p>　　5.5.1無線接入網(wǎng)絡攻擊</p><p>　　針對無線接入網(wǎng)絡的攻擊，容易造成用戶隱私信息和位置信息的泄漏。以3G網(wǎng)絡協(xié)議的一個漏洞為例，參考文獻分析了3G協(xié)議的安全性，發(fā)現(xiàn)了辨別并跟蹤移動終端的威脅。首先攻擊者向移動用戶頻繁發(fā)送paging請求，就可以在用戶、用戶暫時標識符TMSI、用

83、戶長期標識符IMSI之間建立關(guān)聯(lián)。然后攻擊者利用網(wǎng)絡和移動用戶雙向認證協(xié)議AKA的弱點，截獲網(wǎng)絡向移動用戶發(fā)送的認證請求，然后頻繁地重放，就能從移動用戶反饋的認證失敗消息中提取出基站等位置信息。</p><p>　　5.5.2傳統(tǒng)Internet網(wǎng)絡的攻擊</p><p>　　傳統(tǒng)Internet保護數(shù)據(jù)的主要方式是SSL安全傳輸協(xié)議。移動終端如Android也提供了SSL功能，但是研究人

84、員發(fā)現(xiàn)了Android系統(tǒng)可能導致SSL中間人攻擊的幾個脆弱點。</p><p>　　（1）Android系統(tǒng)可以設(shè)置相信所有證書。一旦選擇了該選項，就喪失了SSL的網(wǎng)絡通信保護；</p><p>　?。?）域名和證書之間沒有綁定關(guān)系。Android SSL只能驗證證書是否被接受，但不能驗證該證書是否為一個特定的域名簽發(fā)。這為假冒域名的調(diào)用攻擊提供了途徑；</p><p

85、>　?。?）包含了太多可信CA。Android4.0默認包含134個根證書，太多的信任根導致用戶對網(wǎng)絡連接的安全性判別變得困難；</p><p>　　（4）安全和非安全連接并存。非安全網(wǎng)絡連接的存在可能存在影響安全網(wǎng)絡連接的安全性。當敏感信息沒有SSL通信安全保護時，傳統(tǒng)地網(wǎng)絡通信監(jiān)控和數(shù)據(jù)分析技術(shù)將可以很容易地用于網(wǎng)絡通信信息獲取。</p><p>　　6 應對策略及防護手段&l

86、t;/p><p>　　6.1移動互聯(lián)網(wǎng)個人信息安全問題的應對策略</p><p>　?。?）完善法律監(jiān)督體系</p><p>　　就目前情況來看，我國互聯(lián)網(wǎng)信息安全立法層次較低，相互間缺乏協(xié)調(diào)，而且目前還沒有建設(shè)專業(yè)的移動互聯(lián)網(wǎng)法律.因此，把現(xiàn)有的法律運用到移動互聯(lián)網(wǎng)上，明顯缺乏權(quán)威性和針對性，而且目前最關(guān)鍵問題就是移動互聯(lián)網(wǎng)的接入，現(xiàn)階段我國還沒有實行手機實名制的立法

87、.由此可見，移動互聯(lián)網(wǎng)繼續(xù)相關(guān)、實用的法律來進行制約和保護.立法是政府對移動互聯(lián)網(wǎng)管制的最主要的手段，對立法進行完善，其實也就是依法協(xié)調(diào)移動互聯(lián)網(wǎng)運營企業(yè)與客戶關(guān)系的需要. 我國要想建立科學合理地移動互聯(lián)網(wǎng)信息安全法律體系，可以借鑒發(fā)達國家的成功經(jīng)驗，把移動互聯(lián)網(wǎng)網(wǎng)絡安全和信息安全相獨立，并且建立各自獨立的法律法規(guī).針對我國目前的實際情況，對移動互聯(lián)網(wǎng)安全進行立法可以從以下幾個方面來進行：①手機實名制立法的制定，完善隱私保護法律；②對互

88、聯(lián)網(wǎng)管理以及互聯(lián)網(wǎng)網(wǎng)絡安全管理的法律要進行完善；③把信息安全基本法建立起來，完善與信息安全相關(guān)的法律法規(guī).</p><p>　?。?）制定移動互聯(lián)網(wǎng)的安全技術(shù)標準</p><p>　　當前的移動互聯(lián)網(wǎng)在終端安全及網(wǎng)絡安全方面缺乏安全管理機制，所以要確保移動互聯(lián)網(wǎng)安全應該結(jié)合我國現(xiàn)有的密碼管理方法制定相關(guān)的網(wǎng)絡安全標準，確立AKA認證及空口加密體制，并設(shè)立網(wǎng)絡域的安全體制，在網(wǎng)絡域中部署入侵

89、檢測、數(shù)據(jù)加密及用戶認證等安全網(wǎng)關(guān)，實現(xiàn)安全隔離。同時還要加強移動互聯(lián)網(wǎng)安全保障的技術(shù)標準。</p><p>　　（3）加強移動的終端管理</p><p>　　基于手機病毒及垃圾短信，要加強對移動互聯(lián)網(wǎng)終端安全產(chǎn)品及技術(shù)的研發(fā)。同時，公安部門要加強查處力度，政府及運營商要對用戶加強安全教育，提高用戶安全意識。完善在線監(jiān)控，建立信息投訴平臺，確保移動互聯(lián)網(wǎng)健康發(fā)展。</p>&

90、lt;p>　　（4）加大移動互聯(lián)網(wǎng)安全服務投入</p><p>　　在移動互聯(lián)網(wǎng)全業(yè)務的運營過程中，電信運營企業(yè)要加大安全投入，從多方面提高互聯(lián)網(wǎng)安全能力，加強移動互聯(lián)網(wǎng)信息安全建設(shè)，提高產(chǎn)品的品質(zhì)安全，提升用戶的體驗感。</p><p>　　（5）強化新技術(shù)在信息安全問題上的應用</p><p>　　在移動互聯(lián)網(wǎng)快速發(fā)展的今天，越來越多的新技術(shù)也隨之出現(xiàn)，利

91、用這些新技術(shù)可以使用戶個人的信息更加安全。比如說在移動互聯(lián)網(wǎng)的云計算安全防護中，利用同態(tài)數(shù)據(jù)加密技術(shù)，能夠通過客戶端和云計算平臺提供的強大的計算和儲存能力，確保用戶在保護自身信息的情況下完成各種操作，實現(xiàn)需要的服務。</p><p>　　6.2移動互聯(lián)網(wǎng)個人信息安全問題的防護</p><p>　　根據(jù)移動互聯(lián)網(wǎng)的特點及這些安全問題的特征，下面從三個方面分析下移動互聯(lián)網(wǎng)中的安全防護。<

92、/p><p>　　6.2.1 移動終端的防護</p><p>　　移動終端的防護也是唯一用戶主導的防護措施，核心理念是要用戶提高安全意識，對于自身及其重要的信息比較銀行卡的賬戶密碼及身份證等信息最好不要存在終端上，因為存在上面就意味著有一定的風險。另外，養(yǎng)成良好的使用習慣，選擇比較權(quán)威的網(wǎng)站或者經(jīng)過安全檢測的應用。此外還應知道安全軟件不是萬能的，并且安全軟件本身安不安全也存在一定疑問。<

93、/p><p>　　目前主流的智能終端都帶有流量統(tǒng)計，可以經(jīng)常查看流量的去向，如果發(fā)現(xiàn)某一應用明顯流量異常，那么其有很大可能性存在盜取流量行為，應及時卸載，必要時可采用法律手段。</p><p>　　及時更新系統(tǒng)軟件可以在一定程度上進行安全防護，因為新的系統(tǒng)軟件會有一些功能上的改進，或者修補已有的漏洞，這樣的話一些依賴舊的系統(tǒng)漏洞的病毒或應用就會失效。</p><p>　

94、　6.2.2 APP STORE應加強監(jiān)管</p><p>　　從目前來看，移動互聯(lián)網(wǎng)被IOS 和Android 兩大陣營壟斷，IOS 占據(jù)17%左右的份額，Android 占據(jù)將近80%的份額。IOS 的APP STORE 有著較為嚴格的審查，安全性有較好保障，Android 系統(tǒng)的APP STORE 相關(guān)監(jiān)管有待加強。</p><p>　　第一， 對于每一款要上線的APP 都要經(jīng)過全面

95、的測試，確保沒有惡意的盜取用戶信息或流量等行為才準許上線。</p><p>　　第二，對于用戶的投訴要及時處理，一旦發(fā)現(xiàn)屬實，應當立即下架相關(guān)應用。</p><p>　　第三，對于聲明插入廣告的應用，要求其明確估計廣告所產(chǎn)出的額外流量，避免用戶在不知情的情況下被盜用大量流量。</p><p>　　6.2.3電信運營商強化安全防護</p><p&g

96、t;　　電信運營商是基礎(chǔ)服務提供商， 如果電信運營商可以強化安全防護措施， 那么可以從根本上解決很多安全問題，比如在用戶撥打付費電話之前提示用戶，當?shù)玫接脩舻倪M一步確認之后再提供后續(xù)服務， 另外可監(jiān)控用戶流量信息，如果發(fā)現(xiàn)流量使用異常，可發(fā)短信提醒用。另外，電信運營商可加強對損害用戶的站點及付費電話等進行監(jiān)管。必要時可采用法律手段，確保用戶的利益。</p><p><b>　　參考文獻</b>

97、;</p><p>　　（1）柳青. 移動互聯(lián)網(wǎng)安全問題分析[J].《衛(wèi)星電視與寬帶多媒體》，2011.09</p><p>　?。?）王永斌.移動互聯(lián)網(wǎng)完全探析[J].通信世界，2008（47）</p><p>　?。?）吳振強，馬建峰.基于管理的移動互聯(lián)網(wǎng)安全體系結(jié)構(gòu)[J].中國計算機學會，2006</p><p>　?。?）李春林，蕭月