1.客戶端安全保護
移動應用往往基於通用架構開發設計,安全逆向技術成熟,往往成為攻擊者分析協議、發動網絡攻擊的突破口。在應用正式發布前,合理配置主配置文件Android Manifest.xml,關閉可調試的allowBackup屬性,關閉不需要與外界交互的組件的導出屬性,防止配置不合理帶來的移動應用安全風險。
同時與國內外專業安全公司合作,通過代碼混淆、字符串加密、變量名數字化、反調試等方式,加強車聯網手機app的安全性,防止手機APP被惡意破解、重新打包、逆向分析。此外,在應用發布前,邀請安全團隊對車聯網手機app進行安全滲透測試,尋找漏洞並修復,在安全廠商的幫助下提升車聯網手機APP的安全性。
2.通信安全保護
車聯網環境中的車輛不再是獨立的機械個體,而是借助各種通信手段和外部接口實現與外部終端的數據交互。因此,保證車聯網手機APP的安全,提供安全可靠的對外通信策略,對於車輛與外部終端的連接和通信安全至關重要。
在車聯網手機APP與TSP服務平臺的通信過程中,使用了HTTPS的安全通信協議,增加了攻擊者竊聽和破解的難度。同時采用基於公鑰基礎設施(PKI) [5]的身份認證機制,在每次通信中對車聯網手機APP和TSP服務平臺進行身份認證,保證雙方的合法性。此外,關鍵數據流量在通信過程中被加密,以防止中間人攻擊和重放攻擊。
3.數據安全保護
在使用車聯網手機APP的過程中,壹些用戶敏感信息,如手機號碼、登錄密碼、車輛Vin碼等。,將存儲在本地手機上。對移動終端上各種格式的文件、數據庫等數據內容進行加密安全存儲,避免移動終端上數據存儲不當造成的數據泄露。同時防止密鑰泄露和硬編碼入碼,采用密鑰分散技術和白盒密鑰加密技術提高密鑰的安全性。
4.商業安全保護
開發者應遵循移動應用的安全開發流程和安全開發規範,將安全意識融入軟件開發生命周期的每個階段。同時,開發人員要積極參加軟件安全開發生命周期(S-SDLC)[6-7]的培訓,強化開發人員的安全開發意識,嚴格按照安全開發規範進行開發。