随着智能手机和3G通信技术的迅速发展，移动应用安全问题日益突显。文章分析了移动应用中出现的安全隐患，从移动用户认证的角度，对移动应用中流程控制和技术手段进行了分析，提出了解决移动应用安全问题的技术原则。

1.移动应用的安全问题

由于移动终端本身的开放性、灵活性及广泛的应用，导致每一种移动操作系统上都出现了恶意攻击软件。据调查，2011年，移动恶意软件数量增加了2180%，达到17439 个。移动安全问题主要有恶意代码导致智能终端上的隐私信息被窃取、智能终端系统遭破坏及智能终端攻击通信网络等恶意行为。恶意软件能破坏和获取移动设备上的用户信息，例如用户的身份凭证信息等。获得这些信息后，这些恶意软件可以接管用户的账户，然后伪装用户的身份进行虚假的业务交易，或者是窃取存储在服务器上的信息和数据。恶意软件通常隐藏在看似普通的移动应用程序中，当用户下载这些移动应用程序时，恶意软件就会侵入用户的移动设备，黑客就可以利用这些恶意软件冒充别人的身份对移动电子商务提供商进行欺诈，给提供商带来巨大的经济损失。同时，移动应用安全问题还会对社会稳定造成一定威胁，例如部分智能终端被用作非法信息传播平台，还有的智能终端采用非法加密压缩手段逃避监管部门的审查，被不法分子用于进行非法群体活动，这都将给国家安全和社会稳定带来巨大威胁。

2.移动应用的安全控制技术

鉴于伪装身份等安全风险的存在，移动应用需要一个系统的、有效的移动用户认证手段，以防范恶意软件冒充合法的用户进行欺诈。由于移动终端的操作系统要求移动应用适应多样化的环境，即需要支持多种移动操作系统，例如iOS、Android、Windows Phone等，因此移动用户认证和欺诈防范的方案也应该是跨移动操作系统平台的、通用的，不能仅支持某种特定的移动操作系统。

为了对移动用户进行验证，保护企业资产免受欺诈等安全风险的威胁，通常可以采用2 类手段：一类是基于流程控制的方法，另一类是基于技术控制的解决方案。

2.1 基于流程控制的方法

常用的流程控制手段有以下几种。

(1) 控制交易的风险。在部署移动应用程序时，可以先启用一些低风险的功能。例如，不允许通过移动应用修改敏感的用户资料信息，不允许转账到非该用户创建的账户上。在企业方面，则不允许用户通过移动应用访问高风险的应用或者高敏感度的信息。

(责任编辑：)