智能手机的金融安全

随着3G网络和智能手机的普及，为了满足人们对掌上购物、掌上支付的需求，各家银行、第三方支付平台纷纷推出基于Android 系统、苹果iOS 系统的移动客户端。在移动金融应用日渐增多的当下，智能手机的安全问题也日趋突出。据国家互联网应急中心在2012年中国计算机网络安全年会上公布的一项调查结果表表明明：在分析的一万个手机应用程序中，发现一半手机程序存在窃取隐私等问题。这些程序不仅可能会威胁个人信息安全，而且可能对使用手机支付的用户带来金融风险。如今，智能手机的金融安全越来越引起人们的重视。本文对目前网上银行、网上支付客户端应用较广的苹果iOS系统和Android系统的安全风险、风险影响进行了分析，并提出了相应的安全建议。

一、iOS系统安全性分析

        iOS系统是由苹果公司开发的手持设备操作系统。根据Canalys的数据显示，截至2011年11 月，iOS系统已经占据了全球智能手机系统市场份额的30%，在美国的市场占有率为43%。

        1.iOS系统的体系结构
        iOS系统基于Unix，因此，从系统的稳定性上来说它要比其他操作系统好很多。iOS系统的体系结构可以分为四个层次：核心操作系统层、核心服务层、媒体层、可触摸框架层（如图1所示）。
 

        位于iOS系统的体系结构最下面的一层是核心操作系统层，它包括内存管理、文件系统、电源管理以及一些其他的操作系统任务。它可以直接和硬件设备进行交互，主要包括安全、认证、密钥等组件。

        第二层是核心服务层，可以通过它来访问iOS系统的一些服务。它包括地址薄、网络接入等组件。第三层是媒体层，通过它可以在应用程序中使用各种媒体文件，进行音频与视频的录制，图形的绘制以及制作基础的动画效果。它包括音频、图片等组件。第四层是可触摸层，这一层为应用程序开发提供了各种有用的框架，并且大部分与用户界面有关，本质上来说它负责用户在iOS设备上的触摸交互操作，如闹钟、互联网登录等。

        2.iOS 系统的安全性
        iOS系统除了提供强大的娱乐功能外，也提供了许多安全机制，其中包括：防范对设备的未授权使用、对设备数据的全面保护(包括设备丢失或被偷的情况下)、安全的网络传输协议和数据加密算法、安全的平台等。在系统保护层面，iOS系统支持用户从一系列密码设计策略中根据安全需求进行选择，包括最小密码长度、最大密码尝试次数等。

        iOS系统可以通过XML格式文件对设备的安全策略和限制、VPN 配置信息等进行设置，也可对配置文件提供签名和加密的保护。

        在数据保护层面，iOS系统提供了256位的AES硬件加密算法对设备中的所有数据进行强制加密。同时iOS系统也支持远程信息和本地信息清除，例如，管理员或者设备所有者可以触发远程信息清除命令，在手机丢失、被盗的情况下保障数据安全。

        在网络通信层面，iOS系统支持主流的VPN技术、SSLv3以及TLSv1。在无线网络接入方面，iOS 系统支持WPA/WPA2 认证方式通过无线网络接入网络。同时，它支持8802.102.1x 协议，因此也能应用于基于RADDIIUS 认证的环境。

        在平台层面，运行在iOS系统的应用程序遵循“沙箱原则”，即不能够访问其他应用程序的数据。另外，系统文件、资源以及内核都与用户应用程序相隔离。所有的iOS系统的应用程序都必须签名。

二、Android系统安全性分析

        Android是Google与开放手机联盟成员共同开发的、基于Linux平台的开源手机操作系统，它包括操作系统、用户界面和应用程序三部分。成员可从http://www.android.com网站上获得Android操作系统的源代码。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文