移动设备安全认证与浏览器安全指标评估

### 移动设备安全认证与浏览器安全指标评估 #### 1. 移动电话强认证系统 移动电话作为安全令牌在联合单点登录环境中实现强双因素认证的系统具有诸多特性。 系统设计避免了一些常见连接方式的弊端。例如，通过局域网无线电链路（如蓝牙）或其他本地通信通道（如手机摄像头）连接设备，这种方式对用户来说设置繁琐、易失败，还会对使用的设备类型造成不必要限制。而且该系统在手机离线时无法工作。不过，该系统具有可渐进式投入使用的优点。身份提供者（IdP）的所有用户无需在一开始就进行强身份验证。身份验证和认证方法及其强度的信息可以与其他属性（如在SAML消息中）一起传递给在线服务。这种渐进式部署方式允许服务提供者（SP）在大多数用户身份得到强验证后，再要求进行强认证。 用户方面，除了需要配备具有硬件安全功能的智能手机外，无需进行大量一次性硬件投资，服务提供者也无需签订运营商合同。如果服务提供者对基于软件的凭证较低的安全性感到满意，手机上的硬件安全模块也不是绝对必要的。只有身份提供者需要更新其软件，以除传统密码认证外还能提供强认证。 这个系统基于开源组件，具有模块化特点，允许用其他类似技术替换单点登录（SSO）系统和硬件安全模块。使用该系统进行用户认证无需更改客户端网页浏览器或服务提供者应用程序。用户负责比较会话标识符，从而将服务会话和认证相互关联，避免了浏览器和手机之间需要直接通信链路。整体而言，该项目结果表明，为开源SSO系统实现强个人认证是可行的，具有低启动和运营成本，并且可以逐步部署到广泛的设备和浏览器上。 | 系统特点 | 详情 | | ---- | ---- | | 连接方式 | 避免繁琐、易失败的本地连接方式 | | 部署方式 | 可渐进式投入使用 | | 用户要求 | 需智能手机，硬件安全模块非绝对必要 | | 身份提供者 | 需更新软件提供强认证 | | 系统架构 | 基于开源组件，模块化 | #### 2. 移动浏览器安全指标评估 移动浏览器在安全敏感操作中的使用越来越广泛，它们可以启用SSL/TLS来为网络通信提供强大的安全保障。然而，屏幕尺寸的大幅减小和屏幕布局的重新组织，显著改变了安全指标和证书信息的使用和一致性，这些信息用于提醒用户网站身份和强加密算法的存在。 研究对十款移动浏览器和两款平板电脑浏览器（代表超过90%的市场份额）进行了评估，依据万维网联盟（W3C）为网页用户界面传达安全性而制定的推荐指南。与桌面浏览器大多遵循这些指南不同，移动浏览器在很大程度上未能达标，并且在实际实施这些机制时，不同移动浏览器之间存在明显的不一致性。 研究的主要发现如下： - **广泛未能实施推荐的安全指标**：移动和平板电脑浏览器在许多情况下未能遵循W3C指南，这使得即使是专家用户也容易受到包括不可检测的中间人攻击在内的威胁。 - **安全指标实施不一致**：与传统桌面浏览器相比，移动和平板电脑浏览器在安全指标的呈现和可用性方面存在巨大差异，专家指导普通用户寻找的许多线索在这些平台