Android应用程序安全

本书结合实际操作的例子、图表和日常使用情况，深入研究从内核级到应用程序级的Android安全。向读者展示如何保护Android应用程序及数据的安全。在开发应用程序时，它会作为技巧和提示以馈赠读者。读者将会学习Android堆的整体安全架构。使用权限、在清单文件中定义安全性、安全加密算法等方法来保护组件，Android堆协议、安全存储、安全测试和保护设备上的企业数据也会详细介绍。读者也将学习在整合新的技术和使用类似NFC和移动支付到Android应用程序上时，如何变得有安全意识。 

本书详细阐述了与Android移动应用程序安全相关的基本解决方案，主要包括Android安全模型、应用程序构建块、权限、定义应用程序的策略文件、加密API、应用程序数据安全、Android在企业的运用、安全测试等内容。此外，本书还提供了相应的示例、代码，以帮助读者进一步理解相关方案的实现过程。
第1章，Android安全模型—整体，主要讲述Android堆的整体安全，从平台安全到应用程序安全的方方面面。本章将是学习后续章节的基础。
第2章，应用程序构建块，介绍应用程序组件、权限、清单文件以及从安全角度着手的应用程序签名等内容。这些Android应用程序的基本组件和关于这些组件的知识对于构建Android安全知识很重要。
第3章，权限，讨论Android平台的既有权限、如何定义新的权限、如何使用权限保护应用程序组件安全以及在定义新的权限时给予分析。
第4章，定义应用程序的策略文件，深入剖析作为应用程序策略文件的清单文件的机制。讨论加强策略文件的提示和技巧。
第5章，尊重您的用户，包含了妥善处理用户数据的*实例。这对于依赖于用户评论和用户关注度的开发者的声誉来说是重要的。开发者也应谨慎处理用户的私人信息，以免落入法律的陷阱。
第6章，您的工具—加密API，讨论Android平台提供的加密功能。它包括对称加密、非对称加密、散列、加密模式和密钥管理。
第7章，应用程序数据安全，是关于所有在休眠和传输过程中的应用程序数据的安全存储。讨论如何利用应用程序将私有数据沙箱化，如何安全地存储数据到设备、外部存储卡、硬盘和数据库中。
第8章，Android在企业的运用，讨论Android平台提供的设备安全构件以及它对应用程序开发者的意义。企业应用程序开发者对于本章将会特别感兴趣。
第9章，安全测试，专注于以设计和开发为安全重点的测试用例。
第10章，展望未来，讨论即将到来的移动领域的用例，以及它是如何影响Android的，特别是从安全的角度。

目    录
第1章  Android安全模型—整体 1
1.1  谨慎安装 1
1.2  Android平台架构
2
1.2.1  Linux内核 2
1.2.2  中间件 4
1.2.3  应用程序层 4
1.3  应用程序签名 7
1.4  在设备上的数据存储 7
1.5  加密的API 8
1.6  设备管理 8
1.7  小结 9
第2章  应用程序构建块 10
2.1  应用程序组件 10
2.1.1  Activity 10
2.1.2  Service 13
2.1.3  Content Provide 18
2.1.4  Broadcast Receiver 23
2.2  Intent 27
2.2.1  显式Intent
28
2.2.2  隐式Intent
29
2.2.3  Intent Filter 30
2.2.4  挂起Intent
30
2.3  小结 31
第3章  权限 32
3.1  权限保护等级 32
3.2  应用程序级权限 38
3.3  组件级权限 39
3.3.1  Activity 39
3.3.2  Service 40
3.3.3  Content Provider 40
3.3.4  Broadcast Receiver 41
3.4  扩展Android权限 42
3.4.1  添加新的权限 42
3.4.2  创建权限组 43
3.4.3  创建权限树 44
3.5  小结 44
第4章  定义应用程序的策略文件 45
4.1  AndroidManifest.xml文件 45
4.2  应用程序策略用例 50
4.2.1  声明应用程序权限
50
4.2.2  为外部应用程序声明权限 51
4.2.3  使用相同Linux
ID运行的应用程序 52
4.2.4  外部存储 53
4.2.5  设置组件可见性 55
4.2.6  调试 56
4.2.7  备份 56
4.2.8  融会贯通 57
4.3  示例检查清单 58
4.3.1  应用程序级 58
4.3.2  组件级 59
4.4  小结 59
第5章  尊重您的用户 60
5.1  数据安全的原则 60
5.1.1  保密性 61
5.1.2  完整性 61
5.1.3  可用性 61
5.2  识别资产、威胁和攻击
61
5.3  端到端安全 66
5.3.1  移动生态系统 67
5.3.2  数据的3种状态 69
5.4  数字版权管理 70
5.5  小结 73
第6章  您的工具—加密API 74
6.1  术语 74
6.2  安全provider
76
6.3  随机数生成 77
6.4  散列函数 78
6.5  公钥加密 80
6.5.1  RSA 81
6.5.2  Diffie-Hellman算法 82
6.6  对称密钥加密 83
6.6.1  流密码 84
6.6.2  分组密码 85
6.6.3  分组密码模式 86
6.6.4  高级加密标准 89
6.7  消息鉴别码 89
6.8  小结 91
第7章  应用程序数据安全 92
7.1  数据存储决策 92
7.1.1  隐私 92
7.1.2  数据保留 93
7.1.3  实现决策 94
7.2  用户项 95
7.2.1  共享项 95
7.2.2  项Activity
97
7.3  文件 98
7.3.1  创建一个文件 98
7.3.2  写入一个文件 98
7.3.3  从文件读取 99
7.3.4  外部存储器的文件操作
99
7.4  缓存 100
7.5  数据库 102
7.6  账户管理 103
7.7  SSL/TLS 104
7.8  在外部存储器安装应用程序
105
7.9  小结 107
第8章  Android在企业的运用 108
8.1  基础知识 108
8.2  了解Android生态系统 109
8.3  设备管理功能 109
8.3.1  设备管理API
110
8.3.2  保护设备上的数据
114
8.3.3  安全连接 115
8.3.4  身份 116
8.4  后续步骤 116
8.4.1  设备的具体决定
117
8.4.2  了解你的社区 118
8.4.3  定义边界 119
8.4.4  推出支持 120
8.4.5  策略和制度 120
8.5  小结 121
第9章  安全测试 122
9.1  测试概述 122
9.2  安全性测试的基础知识
125
9.2.1  安全原则 125
9.2.2  安全性测试类别
127
9.3  样例测试用例场景描述
128
9.3.1  服务器测试 128
9.3.2  网络测试 128
9.3.3  保证传输当中的数据安全 128
9.3.4  安全存储 129
9.3.5  在行动前验证 129
9.3.6  小特权原则 129
9.3.7  管理责任 129
9.3.8  清理 130
9.3.9  可用性与安全性
130
9.3.10  身份验证方案
130
9.3.11  像黑客一样思考
130
9.3.12  谨慎集成 131
9.4  安全测试资源 131
9.4.1  OWASP 131
9.4.2  Android工具
131
9.4.3  BusyBox 134
9.4.4  反编译的APK
134
9.5  小结 136
第10章  展望未来 137
10.1  移动商务 137
10.1.1  使用移动设备进行产品发掘 137
10.1.2  移动支付 138
10.2  近场感应技术 143
10.3  社交网络 144
10.4  医疗保健 145
10.5  身份验证 145
10.5.1  双要素身份验证
146
10.5.2  生物识别 146
10.6  硬件的进展 147
10.6.1  硬件安全模块
148
10.6.2  信任域 149
10.6.3  移动信任模块
149
10.7  应用程序架构 150
10.8  小结 151