论文部分内容阅读
在以往的各类移动互联专题中,EF不断强调,信息安全是任何国家和行业都十分重视的问题,而移动终端软件的安全更是涉及用户和运营商切身利益的关键问题。随着移动互联网应用安全风险的日益凸显,移动运营商必须建立对移动终端软件的安全保障体系来解决这一问题。
有了终端软件的签名认证机制,可有效的解决如下问题:
终端软件签名可追溯可标识的问题
开发者的自签名宽松随意,其合法性和相关约束薄弱,用开发者自签名来做为应用的唯一身份标示,其可追溯性不强,且难以解决应用被篡改和假冒的问题;而用移动统一发发布的证书来进行签名,确保了证书的合法性和可管可控,移动可通过管理应用的签名私钥来控制应用最终发布的签名操作。
用户如何有效识别终端软件的可信和安全
应用有了移动公司的证书签名,相当于为应用做了安全性的标识和盖章的作用。用户通过简单的查询应用是否是移动公司的证书签名即可清楚的知晓应用的安全情况。
应用联网使用变更的安全问题
通过建立应用发布下载可信渠道,如MM应用商城或联通沃商城等运营商监管的软件商店,可解决软件在下载安装和升级版本一致性问题,但对某些联网更新类软件,如新闻、游戏等应用,其实时的更新变更不是这些应用商城可解决的,只有通过对软件的实时签名验证才可确保其版本的一致性。
应用发布下载渠道的可信问题
应用的签名证书是应用的唯一身份标示,操作系统在应用的安装和升级时,是以此来识别是否是同一应用的。这样只要应用的签名是安全可信的,就可保障应用的安全性,因此在应用的安装和升级时,通过验证应用的签名证书是否可信。事后,定期对终端软件进行抽查拨测,获取第一手的软件运行数据,发现恶意软件及时告警处理。针对用户投诉的安全问题,进行稽核重现,提出补救措施等。通过对拨测数据及投诉数据分析,掌握各软件在终端上的运行情况,提升用户满意度。
结语
总之,建立终端应用软件的安全测试平台对定制终端软件预装版本和升级版本进行安全测试,实现对终端软件的自动化分析和判定,从源头保障用户不受恶意软件的侵害。
TIPS
终端软件的签名认证机制对安全起到如下作用
安全保障:对通过安全测试的终端软件颁发安全证书并进行签名,即有效的起到对软件安全标示的作用,又防止了软件的篡改和假冒问题。
安全监管:在软件的下载、安装、启动过程,通过对软件的签名验证机制实现对软件的在线实时安全监管。
安全控制:针对已经上线或用户已下载安装的终端软件在出现异常或某种恶意行为,移动运营商可及时通过吊销终端软件的安全证书来终止软件的使用。
有了终端软件的签名认证机制,可有效的解决如下问题:
终端软件签名可追溯可标识的问题
开发者的自签名宽松随意,其合法性和相关约束薄弱,用开发者自签名来做为应用的唯一身份标示,其可追溯性不强,且难以解决应用被篡改和假冒的问题;而用移动统一发发布的证书来进行签名,确保了证书的合法性和可管可控,移动可通过管理应用的签名私钥来控制应用最终发布的签名操作。
用户如何有效识别终端软件的可信和安全
应用有了移动公司的证书签名,相当于为应用做了安全性的标识和盖章的作用。用户通过简单的查询应用是否是移动公司的证书签名即可清楚的知晓应用的安全情况。
应用联网使用变更的安全问题
通过建立应用发布下载可信渠道,如MM应用商城或联通沃商城等运营商监管的软件商店,可解决软件在下载安装和升级版本一致性问题,但对某些联网更新类软件,如新闻、游戏等应用,其实时的更新变更不是这些应用商城可解决的,只有通过对软件的实时签名验证才可确保其版本的一致性。
应用发布下载渠道的可信问题
应用的签名证书是应用的唯一身份标示,操作系统在应用的安装和升级时,是以此来识别是否是同一应用的。这样只要应用的签名是安全可信的,就可保障应用的安全性,因此在应用的安装和升级时,通过验证应用的签名证书是否可信。事后,定期对终端软件进行抽查拨测,获取第一手的软件运行数据,发现恶意软件及时告警处理。针对用户投诉的安全问题,进行稽核重现,提出补救措施等。通过对拨测数据及投诉数据分析,掌握各软件在终端上的运行情况,提升用户满意度。
结语
总之,建立终端应用软件的安全测试平台对定制终端软件预装版本和升级版本进行安全测试,实现对终端软件的自动化分析和判定,从源头保障用户不受恶意软件的侵害。
TIPS
终端软件的签名认证机制对安全起到如下作用
安全保障:对通过安全测试的终端软件颁发安全证书并进行签名,即有效的起到对软件安全标示的作用,又防止了软件的篡改和假冒问题。
安全监管:在软件的下载、安装、启动过程,通过对软件的签名验证机制实现对软件的在线实时安全监管。
安全控制:针对已经上线或用户已下载安装的终端软件在出现异常或某种恶意行为,移动运营商可及时通过吊销终端软件的安全证书来终止软件的使用。