Android移動(dòng)應(yīng)用程序中SSL實(shí)現(xiàn)的安全性分析.pdf

1、在過(guò)去的幾年中，智能手機(jī)銷量呈現(xiàn)爆發(fā)式增長(zhǎng)，用戶也因此獲得“永遠(yuǎn)在線、永遠(yuǎn)連接”的良好體驗(yàn)。通過(guò)智能手機(jī)傳輸?shù)膫€(gè)人敏感信息的數(shù)量也不斷增加。因此，確保流量交換的安全性已經(jīng)變得至關(guān)重要，尤其是在免費(fèi)Wifi陷阱和偽信號(hào)塔無(wú)處不在的今天。安全套接字協(xié)議可以保證網(wǎng)絡(luò)數(shù)據(jù)的完整性和保密性，然而在Android移動(dòng)應(yīng)用開發(fā)中SSL協(xié)議在實(shí)現(xiàn)過(guò)程中往往存在問(wèn)題，對(duì)用戶構(gòu)成嚴(yán)重的安全威脅，包括賬號(hào)財(cái)務(wù)信息遭竊取和社會(huì)關(guān)系信息被泄漏等。
　　本文

2、從Android移動(dòng)應(yīng)用程序出發(fā)，對(duì)存在中間人漏洞的應(yīng)用進(jìn)行了研究，然后在此基礎(chǔ)上提出了一種SSL實(shí)現(xiàn)缺陷檢測(cè)方案，以達(dá)到防止用戶受到SSL中間人攻擊的目的。文章首先就SSL協(xié)議以及SSL中間人攻擊原理進(jìn)行了闡述，對(duì)安卓系統(tǒng)的架構(gòu)以及安全機(jī)制進(jìn)行研究，對(duì)Android軟件關(guān)鍵技術(shù)進(jìn)行分析，并討論了目前現(xiàn)有的用于檢測(cè)網(wǎng)絡(luò)攔截的技術(shù)。其次，針對(duì)SSL協(xié)議通信特點(diǎn)，引入機(jī)器學(xué)習(xí)技術(shù)，從應(yīng)用程序SSL握手?jǐn)?shù)據(jù)包中提取證書鏈的大小、證書鏈的深度、

3、公共密鑰大小、證書的主題名稱和發(fā)行人名稱等信息作為特征，通過(guò)決策樹算法判斷該應(yīng)用程序存在SSL安全性實(shí)現(xiàn)缺陷的可能性。通過(guò)靜態(tài)掃描方法，提出了基于安全缺陷分類的分析方法，并在此基礎(chǔ)上對(duì)各個(gè)缺陷可能造成的危害進(jìn)行了分析。
　　為了評(píng)估Android應(yīng)用程序中SSL實(shí)現(xiàn)安全性，本文對(duì)國(guó)內(nèi)1000個(gè)常用的免費(fèi)Android應(yīng)用樣本及150個(gè)銀行、金融類樣本進(jìn)行分析，歸納總結(jié)這些應(yīng)用軟件存在的四類安全缺陷：信任所有證書、信任所有域名、SS