移动应用安全批量化检测关键问题探讨

doi:10.3969/j.issn.1000-0801.2014.12.020

电信科学 ›› 2014, Vol. 30 ›› Issue (12): 139-144.doi: 10.3969/j.issn.1000-0801.2014.12.020

移动应用安全批量化检测关键问题探讨

薛立宏¹,郑京芳²,蒋永成¹,王渭清²

¹ 中国电信股份有限公司上海研究院上海200122
² 中国电信集团公司北京100035

出版日期:2014-12-15 发布日期:2017-06-20

Discussion on Key Issue of Batch Testing About the Security of Mobile Application

Lihong Xue¹,Jingfang Zheng²,Yongcheng Jiang¹,Weiqing Wang²

¹ Shanghai Research Institute of China Telecom Co., Ltd., Shanghai 200122, China
² China Telecom, Beijing 100035, China

Online:2014-12-15 Published:2017-06-20

摘要/Abstract

摘要：

结合运营商应用商城业务运营安全需求，分析了移动应用安全检测存在的主要问题，提出了移动应用安全批量化检测的体系框架，阐述了架构实施过程中的各项关键问题，最后，给出了安全检测服务平台建设策略。

关键词: 移动应用安全, 批量化检测, 安全模型

Abstract:

Based on the service secure operating requirements for telecom carrier's mobile application store, the main problem of batch testing for the security of mobile application was analyzed and the architecture of batch testing was proposed. Then, the key issue about the architecture was discussed. Furthermore, some advices for the constructing of batch testing's service platform were given.

Key words: security of mobile application, batch testing, secure model

薛立宏,郑京芳,蒋永成,王渭清. 移动应用安全批量化检测关键问题探讨[J]. 电信科学, 2014, 30(12): 139-144.

Lihong Xue,Jingfang Zheng,Yongcheng Jiang,Weiqing Wang. Discussion on Key Issue of Batch Testing About the Security of Mobile Application[J]. Telecommunications Science, 2014, 30(12): 139-144.

图/表 12

图1

图2

图3

表1

表2

图4

图5

图6

图7

图8

表3

表4

一级指标	二级指标	三级指标
恶意软件V₁	恶意代码V₁₁	恶意扣费S₁
		远程控制S₂
		恶意传播S₃
		恶意资费消耗S₄
		系统破坏S₅
		诱骗欺诈S₆
		流氓行为S₇
	恶意联网行为V₁₂	自动联网S₈
		反复请求联网S₉
	违规内容V₁₃	政府监管S₁₀
		运营限制S₁₁
风险软件V₂	通信功能调用（经提示）V₂₁	电话拨打S₁₂三方通话S₁₃
		短/彩信发送S₁₄
		邮件发送S₁₅
		蜂窝网络数据连接S₁₆
		WLAN数据网络连接S₁₇
		蓝牙连接S₁₈
	本地敏感功能调用（经提示）V₂₂	定位功能S₁₉通话录音S₂₁
		本地录音S₂₂
		拍照摄像S₂₃
		用户数据读写S₂₄
		搜集用户行为S₂₅
		用户数据上传S₂₆
	强制捆绑V₂₃	插件安装S₂₇
		软件捆绑S₂₈
	加密通信V₂₄	VPN软件S₂₉
	信令风暴V₂₅	频繁心跳连接S₃₀

内容可控	检测可执行
文件来源可控；内容信息可控	· 减少人工检测量；
	· 标注图片、音视频文件内容问题可能出现点；
	· 结合现有文本过滤系统

标识	类型	描述
ID	string	检测批次ID
FileRoute	string	待检测分组的目录路径
FileFolder	string	待检测分组文件夹
Type	int	全扫描；
		静态扫描；
		动态扫描；
		进度查询；
		报告查询

标识	类型	描述
ID	string	检测批次ID
FileFolder	string	待检测分组文件夹
Vendor	string	能力提供者
Code	int	相应状态包括：
		20000：成功；
		20001：目录不存在；
		20002：文件不存在；
		20003：用户名、密码错误
Score	int	检测得分
Msg	string	返回结果消息

1	CNCERT. 2013年我国互联网网络安全态势综述， 2013
2	陈建民 . 基于行为的移动应用程序安全检测方法研究. 计算机与工程设计， 2012, 33 (12): 4476～4481
3	中国电信集团公司. 2013网络信息安全技术发展白皮书， 2013
4	孙泽锋 . 移动互联网发展技术与安全分析. 电信科学， 2011， 27 (10A): 98～101
5	罗志强，史国水，沈军等. 移动互联网安全热点技术研究. 电信科学， 2013, 29 (Z1): 254～256
6	袁春阳 . 移动智能终端应用软件安全检测. 信息安全与通信保密， 2012 (10)

移动应用安全批量化检测关键问题探讨

Discussion on Key Issue of Batch Testing About the Security of Mobile Application

在线阅读

PDF下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 12

参考文献 6

相关文章 4

Metrics

推荐阅读 0

[1]	粟栗, 陆黎, 张星, 刘畅. 基于图数据库的5G数据流转安全防护机制[J]. 电信科学, 2021, 37(4): 28-36.
[2]	刘道远,孙科达,周君良,范海东. 模糊综合评判法在电力企业网络信息安全评估中的应用[J]. 电信科学, 2020, 36(3): 34-41.
[3]	蔡逆水,石屹嵘,邱晨旭. 移动应用安全深度检测能力开放平台及部署关键技术[J]. 电信科学, 2018, 34(3): 41-49.
[4]	陈杰,刘建伟,王蒙蒙,何双羽,毛剑. 基于安全基片的可重构网络安全管控机制[J]. 电信科学, 2014, 30(7): 19-25.