移动应用软件架构安全技术研究

◆王辉鹏

移动应用软件架构安全技术研究

◆王辉鹏

(广州供电局有限公司 广东 510620)

TD-LTE网络、单片机等技术的发展和应用，有效促进了智能移动设备的普及，比如智能手机、平板电脑等，这些移动设备部署的应用软件也越来越广泛，提高了人们社交通讯、在线学习、智能旅游、移动办公的便捷性，但是移动应用软件架构也面临着较多的安全威胁，比如勒索病毒、DDOS攻击等，这些木马病毒利用移动应用软件架构通信接口存在的漏洞，大肆攻击移动应用软件，给使用者带来了极大的损失。本文基于笔者多年的工作实践，详细地描述移动应用软件架构特点及其面临的安全威胁，同时利用先进的免疫网络、非对称加密、访问控制、安全访问等技术进一步提高系统移动应用软件的防御能力，具有重要的作用和意义。

移动应用软件；四层架构；勒索病毒；非对称加密

0 引言

移动通信已经进入到4G和5G时代，为人们提供了更高的移动通信带宽，基于移动通信的智能设备也层出不穷，比如华为P20、三星盖世S9、苹果智能手机、平板电脑等，这些智能设备承载的应用软件也非常多，比如手机QQ、微信、微博、手机银行等，进一步提升了移动通信应用范围，方便了人们工作、生活和学习。移动应用软件开发时采用的架构种类多种多样，开发语言也非常多，不同应用软件的模块在集成时难免会存在一些漏洞，因此许多病毒、木马都利用这些软件架构漏洞进行攻击，比如勒索病毒、DDOS攻击等，可以盗窃应用软件的登录用户名和密码，破坏用户数据的完整性和安全性，给人们带来了严重的财产损失[1]。

1 移动应用软件架构特点

移动应用软件架构是基于PC软件的基础改进而来的，其可以更好地适用于移动智能设备，常用的架构主要包括经典MVC架构、三层架构和四层架构。

（1）经典MVC架构。经典MVC架构包括模型层、视图层、控制器层，模型层可以封装软件应用数据，定义软件操作，包括数据计算逻辑规则等；视图层可以为用户提供交互界面，响应用户的逻辑业务请求；控制层可以控制视图层和模型层之间的交互。

（2）三层架构。三层架构包括表现层（UI）、业务逻辑层（BLL）和数据访问层（DAL），表现层可以向用户展现特定业务数据，采集用户输入信息和操作；业务逻辑层可以从DAL中获取数据，输出显示到UI，完成UI输出的操作指令和数据请求，执行业务逻辑或访问DAL；数据访问层可以直接操作数据库，完成信息的添加、修改、删除和查询。

（3）四层架构。四层架构是在三层架构的基础上发展而来的，添加了业务规则层，将三层架构的业务逻辑层拆分为业务逻辑和业务规则，业务规则可以及时处理用户输入的不合法信息，同时还可以及时处理数据库操作存在的错误，增大了业务逻辑层的结构清晰度。具体的，四层架构分别是表现层、业务规则层、业务逻辑层和数据访问层。

移动应用软件架构的每一层之间都采用接口进行通信，实现了业务的集成和解析，因此在这种集成化模式下难免存在漏洞，如果移动应用软件升级不及时，将会吸引病毒和木马攻击移动应用软件[2]。比如2017年初爆发的勒索病毒，该病毒是一种变异式木马，感染移动应用软件之后将会阻止用户访问文件系统。目前，勒索病毒可以划分为两类，分别是加密型勒索病毒和锁定型勒索病毒。加密型勒索病毒采用加密算法加密移动应用软件，如果想获得解密密码就需要支付钱财。锁定型勒索病毒能够远程锁定移动应用软件，用户无法进入系统访问数据资源。移动通信应用软件需要部署于各类型通信设备，并且这些设备部署的软件资源、数据资源和用户资源越来越多，因此移动通信软件需要与其他软件一起共享通信平台，这些应用软件通信过程中将会采用很多的无线通信协议，共享通信带宽资源。DDOS攻击可以利用移动应用软件多用户多并发程序在一定时间内占用带宽资源、通信资源、CPU资源，导致合法的用户无法访问服务器，因此大大地降低了系统处理效率。2017年12月，我国移动应用软件受到DDOS攻击超过亿次，造成了数以万计的移动应用软件下线，严重阻碍了移动应用软件通信数据共享。目前，DDOS攻击开发技术得到了极大的改进，许多的DDOS攻击威胁潜藏得更加隐蔽，不再以可执行文件的形式传播，而是采取迂回策略，将自身嵌入到了移动应用软件中的文本、图片、视频、音频等数据文件中，隐藏的时间也非常长，不利于杀毒软件的扫描和发现，无法及时地清除病毒。

2 移动应用软件架构安全技术

为了提高移动应用软件的安全防御能力，国内外安全研究学者以及企业从不同角度构建了防御规则，覆盖了应用软件架构、应用软件通信等方面，进一步提高了全环节防御链条，保证移动通信应用软件安全[4]。具体的，移动应用软件架构安全防御关键技术包括非对称加密技术、安全认证技术、访问控制和免疫网络等。

2.1 非对称加密技术

非对称加密是移动应用软件安全的重要保障，非对称加密技术包含两个关键密钥，分别是公钥和私钥。非对称加密技术可以按照Base58转换算法或SHA256哈希算法生成一个私钥，私钥是一串长度固定的字符串，可以利用另外一个算法根据私钥生成公钥，公钥的生成过程具有不可逆性，同时SHA256哈希生成的私钥数量为2256个，因此当前的移动应用软件非对称加密算法很难破解。非对称加密技术在移动应用软件安全防御系统的应用主要包括数据加密和数字签名。

2.2 安全认证技术

安全认证是保证移动应用软件安全的一个非常关键的技术，其可以利用身份认证技术确认软件操作者身份，为每一个软件使用者赋予一组特定的安全认证码，只有该移动应用软件识别用户数字身份，安全认证才能够存储用户身份鉴别信息，保证身份认证信息存储到鉴别数据库中，用户登录应用软件时就可以得到验证。

2.3 访问控制技术

访问控制技术部署于移动应用软件通信协议堆栈IP传输层上，是一种IP数据包过滤器，利用枚举方法深入分析数据包中的相关内容，按照既定规则进行封包操作，禁止一切违反规则的数据包内容通过协议侵入移动应用软件，造成移动应用软件的数据传输中断，破坏移动应用软件数据内容。

2.4 Web安全服务

Web安全服务关键组成部分为表单密码技术，该技术可以利用HTTPS对移动应用软件传输数据进行安全加密，引入了128非对称加密技术，当用户输入Web内容请求之后即可将信息加密发送给目的方，网络无法识别加密数据。常见的Web安全服务技术很多，Web安全服务可以针对HTTP流量进行代理，并全面扫描七层数据，确保网络病毒攻击在到达Web服务器之前就将其阻断。Web安全服务采用的技术很多，比如脱壳技术、自我保护技术、修复技术、实时升级技术，许多病毒和木马都隐藏于正常的文件中，利用伪装侵入移动应用软件后再脱壳攻击，造成数据传输中断，移动应用软件服务器保存内容遭到破坏。因此，为了能够防御病毒和木马，Web安全服务采用了脱壳技术，其可以对加壳文件、封装类文件、压缩文件和加花文件进行分析，更好地发现移动应用软件中隐藏的病毒或木马。

3 结束语

移动应用软件架构安全设计是一个系统的、复杂的工程，需要随时随地根据攻击威胁提升防御水平，未来安全防御将会引入更多的高级技术，比如模式识别、数据挖掘和深度学习，从移动应用架构设计数据、软件用户数据、软件攻击数据中提取潜在的有价值信息，构建应用安全防御主题模型，从而分析攻击威胁存在的概率、受损失程度等，及时启动防御规则和工具，进一步提高应用软件安全性。

[1]周志强.基于移动终端的应用软件架构研究与设计[J]. 中国科技纵横，2017.

[2]熊伟，王乐东，李孟君.基于可信计算的安卓移动智能终端安全加固技术研究[J].网络安全技术与应用，2017.

[3]丁小娜.基于移动智能终端安全威胁与防护技术的研究[J].数字技术与应用，2017.

[4]白浩，王朝清.Android系统恶意应用程序的研究[J].网络空间安全，2017.