М.В. ДУБОВИЦКАЯ
Московский инженерно-физический институт (государственный университет)
Построение СИСТЕМЫ МОБИЛЬНОГО БЕЗОПАСНОГО ДОСТУПА К ИНФОРМАЦИИ НА БАЗЕ JAVA ME.
Целью данной работы является рассмотрение проблемы защиты информации в мобильных системах и разработка системы безопасного доступа к данным для мобильных приложений. Такая система позволит расширить возможности по применению мобильных устройств и снизит риск утечки информации при их использовании.
В настоящее время мобильные телефоны, карманные компьютеры, смартфоны, коммуникаторы, и другие так называемые «цифровые гаджеты» являются неотъемлемой частью нашей повседневной жизни. Компактность и мобильность данных устройств наряду с достаточно большими техническими возможностями позволяют использовать их в корпоративных решениях и проектах многих компаний для увеличения прибыли. Однако, несмотря на то, что эти миниатюрные устройства приносят пользу компании, масштабируя проекты и в значительной мере облегчая жизнь ее сотрудникам, нельзя забывать, что они могут являться источниками уязвимостей действующей системы, давая возможность злоумышленнику нанести вред компании.
Технология Java2ME позволяет создавать кроссплатформенные, легко переносимые бизнес-приложения для мобильных устройств. В большинстве случаев это клиент-серверные приложения. Вся основная работа выполняется сервером – к нему нужно обеспечить мобильный доступ, причем только авторизованных пользователей. [1] Также мобильный телефон или КПК сотрудника может содержать электронную почту, в том числе и конфиденциальную, различные корпоративные документы, интеллектуальную собственность компании, информацию, которую можно использовать для взлома и проникновения в корпоративную сеть. Поэтому нельзя допустить возможность утечки информации с портативного устройства сотрудника.
Спектр возможных уязвимостей информации при использовании цифровых гаджетов, к сожалению, достаточно широк. Во-первых, миниатюрность телефонов одновременно увеличивает риск их потери или кражи. Во-вторых, перехват трафика при использовании GPRS - сетей и пересылки SMS становится для мобильных устройств не меньшей проблемой, чем в стандартных сетях. Наконец, в-третьих, синхронизация при передаче данных с мобильного устройства, возможность скопировать с SIM-карты и из памяти телефона информацию позволяют получить доступ практически ко всем данным в мобильном устройстве. [2]
Не смотря на эти угрозы, защита в мобильном телефоне порой ограничивается лишь наличием четырехзначного PIN-кода, а иногда отключается и это.
Использование паролей, привязка приложения к определенному аппарату или SIM-карте и прозрачное шифрование являются ключевыми моментами в обеспечении безопасности информации в мобильных приложениях. [3]
Однако, длинные пароли сложны для запоминания, хранение же паролей в телефоне увеличивает риск несанкционированного доступа. Маломощный процессор не позволяет полноценно использовать криптографию с открытым ключом, так как необходимые для генерации ключей и проверки подписи вычисления требуют значительных временных затрат, что неудобно при доступе к данным или безопасном соединении с сервером. В этом случае пользователь вынужден проводить несколько минут в ожидании выполнения необходимых вычислений. [4],[5]
Таким образом, построение надежной, удобной, а главное быстрой системы защиты для мобильных приложений является актуальной и сложной задачей. Ее решение позволит расширить возможности по применению мобильных устройств и снизит риск утечки информации при их использовании.
Список литературы:
-
“MIDP Application Security 3: Authentication in MIDP” by Jonathan Knudsen December, 2002
-
“Maximum Security, Optimum Usability Version 1.0”; April, 2005 forum.nokia.com
-
“MIDP Application Security 4: Encryption in MIDP” by Jonathan Knudsen, September, 2005
-
“Data security in mobile Java applications” by Michael Juntao Yuan, December, 2002
-
“Mobile Security Starts To Grow Up” by Steve Wallage, October, 2004
Достарыңызбен бөлісу: |