论文部分内容阅读
近年来,移动互联网的高速发展,普及了移动终端的使用,终端上层出不穷的各类应用软件以及设备之间的便捷交互,使得移动终端成为人们生活中不可或缺的产品,它已经成为实现移动互联网的重要载体。但由于移动终端自身的操作系统漏洞、接口实现不规范、应用软件设计缺陷以及用户数据管理漏洞等问题,使移动终端面临严重的安全威胁。为保证移动终端安全能力,目前,工信部制定了《移动终端安全能力技术要求》及《移动智能终端安全能力测试方法》,在分析典型安全威胁的基础上,提出了安全能力要求,并设计了测试方法予以验证。考虑到近年来移动终端技术发展迅猛,安全需求更加多样,对移动终端自身的安全能力提出更高的要求。本文在当前标准研制工作的基础上,对保障移动终端安全功能的安全机制与相应测试方法进行了深入研究,主要工作如下:(1)研究现有安全能力相关标准。分析移动终端安全能力标准,得到标准在理论指导与技术实现两方面的不足;基于CC标准在信息系统安全能力建设方面已有的经验,深入分析其在数据库管理系统安全能力建设上提供的思路与方法,用以指导移动终端安全能力建设。(2)分析Android平台安全性。对Android平台的操作系统、外围接口、应用软件和用户数据四个层面进行安全性分析,得到各层环境应满足的安全目标;对当前移动终端技术进行研究,分析并归纳了为保证安全目标而使用的各项安全机制,包括沙箱机制、访问控制机制、权限控制机制等。(3)设计移动终端安全功能指标及测试方法。深入研究了移动终端安全机制的技术实现原理,根据CC标准对安全功能要求的具体描述,确定安全机制与安全功能的对应关系,设计全面的移动终端安全功能指标,解决原标准在理论上的不足;根据安全功能指标,结合安全机制的实践场景与现有技术手段,设计相应的测试方法,实现对安全功能指标的考察。(4)实现测试方法。使用本文设计的测试方法对移动终端样本进行实践,根据实验结果验证了指标的合理性与测试方法的可行性。