楊育斌，程麗明

（藍盾信息安全技術(shù)股份有限公司 廣州 510665）

1 引言

近年來隨著智能手機、平板電腦等移動設(shè)備的飛速發(fā)展，移動計算的應(yīng)用范圍不斷擴大，提供的服務(wù)也愈加廣泛。BYOD（bring your own device，自帶設(shè)備）就是移動計算服務(wù)重要的領(lǐng)域之一，BYOD是指攜帶自己的設(shè)備辦公，這些設(shè)備包括個人電腦、手機、平板電腦等，在公司辦公場所之外登錄公司郵箱、在線辦公系統(tǒng)，不受時間、地點、設(shè)備、人員、網(wǎng)絡(luò)環(huán)境的限制。2013年3月，IT168對企業(yè)移動安全應(yīng)用狀況進行了一份調(diào)查，結(jié)果顯示300人以下使用移動辦公的企業(yè)占到 48%、300～500人使用移動辦公的企業(yè)占 22%、500～1000人使用移動辦公的企業(yè)占24%、1000～2000人使用移動辦公的企業(yè)占3%、2000人以上使用移動辦公的企業(yè)占3%。BYOD已得到了相當廣泛的應(yīng)用。

BYOD利用移動智能設(shè)備使用靈活的特點，為員工在辦公室外工作提供了極大的方便，大大提升了企業(yè)或組織的辦公效率，但同時也帶來了嚴峻的安全問題，主要集中在用戶訪問、追蹤移動設(shè)備、保護移動數(shù)據(jù)等，其中最重要的就是企業(yè)數(shù)據(jù)的安全保護。Cisco公司在 “BYOD and Virtualization”中提到，BYOD中最關(guān)心的就是企業(yè)數(shù)據(jù)安全威脅問題。Accellion公司在“10 Mobile Security Requirements for the BYOD Enterprise”中也強調(diào)，BYOD移動安全控制就是對企業(yè)數(shù)據(jù)存儲、處理中基于權(quán)限的安全控制。SAP公司計劃在3～6個月后推出自行研制的一款軟件，幫助用戶在他們的智能手機或平板電腦上把商業(yè)數(shù)據(jù)從個人信息中分離出來，以此保障信息安全，但大多國際和國 內(nèi) 的 MDM（mobile device management）或 MAM（mobile application management）產(chǎn)品都沒有基于用戶權(quán)限對企業(yè)數(shù)據(jù)進行細粒度操作控制管理的功能。

2 國內(nèi)外相關(guān)研究

國內(nèi)外學(xué)術(shù)研究者針對移動辦公中的數(shù)據(jù)安全問題進行了相當深入的研究。楊衛(wèi)軍和秦海權(quán)[1]提到攻擊者的目的可以劃分為收集用戶隱私數(shù)據(jù)、使用移動設(shè)備計算資源以及破壞設(shè)備正常運行3種類型；針對移動設(shè)備的攻擊方式可以分為四大類:利用移動網(wǎng)絡(luò)服務(wù)接入、利用互聯(lián)網(wǎng)接入、利用藍牙接入、利用USB及其他外圍設(shè)備接入。陸宏亮[2]提出移動云環(huán)境下基于終端上下文信息的數(shù)據(jù)保護架構(gòu)，利用ASFC在數(shù)據(jù)決策模塊中應(yīng)用層次分析的方法對數(shù)據(jù)安全保護策略進行決策，實現(xiàn)在對用戶終端進行保護的同時，減少終端資源的消耗并提升事務(wù)處理性能，進而改善移動用戶的事務(wù)處理體驗。石莎[3]利用散列加密原理提出了一種通過設(shè)計全新的內(nèi)容安全分權(quán)分域解決方案來滿足云計算環(huán)境下的內(nèi)容分配和內(nèi)容管理中的相關(guān)安全和授權(quán)問題的方法，以保護移動互聯(lián)網(wǎng)中的內(nèi)容和文檔的安全。杜久升和陳宜金[4]通過5種方式提高數(shù)據(jù)傳輸?shù)陌踩裕謩e為:在客戶端進行身份驗證，確保用戶合法性；針對使用者，采用授權(quán)與訪問控制的方式明確權(quán)限范圍；通過網(wǎng)絡(luò)防護手段保證內(nèi)外網(wǎng)的安全性；通過特定技術(shù)手段提高數(shù)據(jù)傳輸?shù)目煽啃?；通過多種方式確保數(shù)據(jù)在公網(wǎng)傳遞的保密性。Butter T和Aleksy M[5]展示了在移動和上下文感知應(yīng)用環(huán)境中，基于運行在Java虛擬機內(nèi)部的虛擬機執(zhí)行不可信代碼進行數(shù)據(jù)隔離和服務(wù)隔離的方法。Nkosi M和Mekuria F[6]使用云計算協(xié)議管理模型（提供多媒體感應(yīng)信號處理），向移動設(shè)備提供安全存儲即服務(wù)。Wonjoo P、Sun J K和Kee S C[7]提出了一個管理復(fù)雜移動終端的安全管理框架，向同步接收多種服務(wù)和系統(tǒng)管理的復(fù)雜終端提供安全保護功能。Wu J J、Zhou J和Ma J等[8]提出了一種主動防止數(shù)據(jù)泄漏的模型，利用可信存儲與虛擬隔離技術(shù)，并結(jié)合數(shù)據(jù)對象保護要求，防止內(nèi)部威脅。但以上研究均未對移動數(shù)據(jù)進行單獨的、細粒度的保護。

本文提出一種細粒度的移動數(shù)據(jù)安全保護模型，通過在智能終端和接入網(wǎng)關(guān)/服務(wù)器處對移動數(shù)據(jù)、移動應(yīng)用進行標記，以控制對移動數(shù)據(jù)的訪問、處理操作，實現(xiàn)移動終端數(shù)據(jù)的安全隔離（含企業(yè)/個人數(shù)據(jù)隔離功能），進而實現(xiàn)對移動數(shù)據(jù)保密性的細粒度安全管理功能。

3 模型的系統(tǒng)結(jié)構(gòu)

本文提出了一種細粒度的移動數(shù)據(jù)安全保護模型，根據(jù)標簽識別用戶權(quán)限和數(shù)據(jù)保密級別，對移動數(shù)據(jù)的移動應(yīng)用進行操作控制，以實現(xiàn)移動數(shù)據(jù)細粒度的保密安全防護。模型包含標簽控制管理模塊和移動數(shù)據(jù)管理模塊。標簽控制管理模塊主要對數(shù)據(jù)標簽 （data-tag）和應(yīng)用標簽（App-tag）進行管理，有效記錄數(shù)據(jù)的保密級別和應(yīng)用操作的權(quán)限及其生成數(shù)據(jù)的保密級別，進而在移動數(shù)據(jù)的創(chuàng)建、存儲和傳輸環(huán)境中進行安全保護，確保數(shù)據(jù)的存儲安全、操作安全和傳輸安全，包括標簽生成器、標簽存儲管理和標簽傳輸控制3個子模塊；移動數(shù)據(jù)管理模塊主要根據(jù)移動數(shù)據(jù)標簽和移動應(yīng)用標簽來保護數(shù)據(jù)的安全，進行細粒度的管理，是數(shù)據(jù)處理過程的安全隔離控制、數(shù)據(jù)傳輸過程的安全控制和數(shù)據(jù)存儲中的安全隔離控制的具體功能實現(xiàn)部分。系統(tǒng)模型如圖1所示。

系統(tǒng)將標簽（數(shù)據(jù)標簽和應(yīng)用標簽）作為基礎(chǔ)的安全控制的信息載體，對移動數(shù)據(jù)進行細粒度的安全保護。本模型針對每個移動應(yīng)用和移動數(shù)據(jù)創(chuàng)建標簽。標簽分為移動數(shù)據(jù)標簽和移動應(yīng)用標簽，其中移動數(shù)據(jù)標簽僅在移動智能終端上保存，移動應(yīng)用標簽需在移動接入網(wǎng)關(guān)/服務(wù)器和移動智能終端上同時保存。

（1）數(shù)據(jù)標簽保密級別、數(shù)據(jù)存放地址

保密級別的值為大于或等于0的整數(shù)，不同級別的數(shù)字用于指明該移動數(shù)據(jù)是否需加/解密，確保安全傳輸；數(shù)據(jù)存放地址是該數(shù)據(jù)在移動智能終端上的保存路徑。

（2）移動應(yīng)用標簽應(yīng)用ID、操作權(quán)限、生成數(shù)據(jù)的保密級別

圖1 一種細粒度的移動數(shù)據(jù)安全保護系統(tǒng)模型

應(yīng)用ID是該應(yīng)用進行特定操作的唯一標識，由應(yīng)用的唯一標識和操作的唯一標識組成。操作權(quán)限是該應(yīng)用進行此操作有權(quán)處理的數(shù)據(jù)保密級別 （當應(yīng)用a對數(shù)據(jù)b進行操作c時，若應(yīng)用a進行操作c的應(yīng)用標簽的操作權(quán)限大于或等于數(shù)據(jù)b的保密級別，則可對數(shù)據(jù)b進行操作）。此外，該標簽在移動接入網(wǎng)關(guān)/服務(wù)器處保存時，按照用戶保存 （同一用戶智能設(shè)備上的所有應(yīng)用對應(yīng)的應(yīng)用標簽放入同一張表中）。

管理員在移動接入網(wǎng)關(guān)/服務(wù)器端賦值，指定某用戶使用應(yīng)用X進行操作Z的移動應(yīng)用標簽的操作權(quán)限。

模型的系統(tǒng)流程主要包括數(shù)據(jù)從移動網(wǎng)關(guān)進入移動智能終端的處理流程、應(yīng)用從移動網(wǎng)關(guān)進入移動智能終端的處理流程和應(yīng)用X企圖對移動數(shù)據(jù)Y進行操作時的處理流程。在這些流程中，系統(tǒng)能在辦公環(huán)境中監(jiān)控每個應(yīng)用對數(shù)據(jù)的操作活動，對單個數(shù)據(jù)進行用戶指定保密級別的安全守護，有力保證了移動數(shù)據(jù)的安全，具體如圖2所示。

3.1 數(shù)據(jù)從移動網(wǎng)關(guān)進入移動智能終端的處理流程

圖2 一種細粒度的移動數(shù)據(jù)安全保護模型系統(tǒng)流程

當移動數(shù)據(jù)從內(nèi)網(wǎng)或移動接入網(wǎng)關(guān)準備推送到移動智能終端時 （序號1），首先通知標簽生成器生成數(shù)據(jù)標簽（序號2），標簽生成器通知標簽傳輸控制功能模塊（序號3）對移動數(shù)據(jù)標簽加密，隨后根據(jù)數(shù)據(jù)的保密級別與數(shù)據(jù)一起加密并以合適的方式發(fā)送到移動智能終端 （序號4、序號A）。移動智能終端接收到加密的數(shù)據(jù)標簽和按照保密級別加密的數(shù)據(jù)后，將數(shù)據(jù)解密后再進行加密存儲，并且通知移動智能終端處的標簽生成器（序號5），標簽生成器重新生成該數(shù)據(jù)對應(yīng)的數(shù)據(jù)標簽，并將此數(shù)據(jù)標簽發(fā)送到標簽存儲管理功能（序號6），標簽存儲管理功能將之保存至移動數(shù)據(jù)標簽數(shù)據(jù)庫（序號7）。

3.2 應(yīng)用從移動網(wǎng)關(guān)進入移動智能終端的處理流程

當移動應(yīng)用從內(nèi)網(wǎng)或移動接入網(wǎng)關(guān)準備推送到移動智能終端時（序號a），首先通知標簽生成器生成移動應(yīng)用標簽（序號b），標簽生成器生成該應(yīng)用所有相關(guān)操作所對應(yīng)的移動應(yīng)用標簽，并將這些移動應(yīng)用標簽發(fā)送到標簽存儲管理模塊（序號c），標簽存儲管理模塊將它們保存至移動應(yīng)用標簽數(shù)據(jù)庫（序號d），然后通知標簽傳輸控制功能模塊（序號e）將這些移動應(yīng)用標簽加密，然后與應(yīng)用一起，以合適的方式發(fā)送到移動智能終端（序號f、序號B）。移動智能終端接收到加密的移動應(yīng)用標簽后，解密并將它們發(fā)送到標簽存儲管理模塊（序號g），標簽存儲管理模塊將之保存至移動應(yīng)用標簽數(shù)據(jù)庫（序號h）。

3.3 應(yīng)用X企圖對移動數(shù)據(jù)Y進行操作時的處理流程

數(shù)據(jù)存儲中的安全隔離控制功能對移動終端上存儲的數(shù)據(jù)進行隔離。當應(yīng)用X企圖對移動數(shù)據(jù)Y進行操作Z時，立即通知數(shù)據(jù)處理過程的安全隔離控制模塊。若收到數(shù)據(jù)傳送消息通知，則立即通知數(shù)據(jù)傳輸過程的安全控制模塊。安全控制模塊判斷應(yīng)用X進行操作Z的權(quán)限，以確認是否有權(quán)對移動數(shù)據(jù)Y進行操作。若有權(quán)處理，則解密數(shù)據(jù)后交由應(yīng)用X進行操作Z，否則拒絕操作。

若應(yīng)用X有權(quán)對移動數(shù)據(jù)Y進行操作Z，則標簽生成器對處理后修改或生成的數(shù)據(jù)重新生成對應(yīng)的數(shù)據(jù)標簽，并通過標簽存儲功能對數(shù)據(jù)標簽數(shù)據(jù)庫進行更新。

4 模型子系統(tǒng)及算法

4.1 標簽控制管理子模塊

4.1.1 標簽生成器

標簽生成器包括數(shù)據(jù)標簽生成器和移動應(yīng)用標簽生成器。數(shù)據(jù)標簽生成器在移動智能終端和移動接入網(wǎng)關(guān)/服務(wù)器處，根據(jù)需要對移動數(shù)據(jù)創(chuàng)建或修改（移動接入網(wǎng)關(guān)/服務(wù)器處不修改）數(shù)據(jù)標簽，并在移動智能終端維護數(shù)據(jù)標簽數(shù)據(jù)庫，此模塊主要的算法為移動數(shù)據(jù)標簽生成算法。移動應(yīng)用標簽生成器負責生成移動應(yīng)用的標簽，在移動接入網(wǎng)關(guān)/服務(wù)器處對移動應(yīng)用生成標簽 （存入對應(yīng)使用者的數(shù)據(jù)表），并推送到相應(yīng)使用者的移動智能終端（存入移動智能終端的移動應(yīng)用標簽數(shù)據(jù)庫），此模塊主要的算法為移動應(yīng)用標簽生成算法。

4.1.1.1 移動應(yīng)用標簽生成算法

移動應(yīng)用標簽生成器僅工作在移動接入網(wǎng)關(guān)/服務(wù)器處，當有新的應(yīng)用需要推送到某一用戶的移動智能終端或某一用戶使用該應(yīng)用的權(quán)限發(fā)生變化時，生成相應(yīng)的移動應(yīng)用標簽，按用戶存入移動接入網(wǎng)關(guān)/服務(wù)器處的移動應(yīng)用標簽數(shù)據(jù)庫，將其推送至相應(yīng)的移動智能終端，同時更新移動接入網(wǎng)關(guān)/服務(wù)器處和用戶所使用的移動智能終端處的移動應(yīng)用標簽數(shù)據(jù)庫。需注意的是，在移動智能終端側(cè)不對標簽進行任何修改。移動應(yīng)用標簽生成算法確保移動設(shè)備上的應(yīng)用同步最新的權(quán)限操作信息，能細粒度地監(jiān)控用戶對移動數(shù)據(jù)的操作。具體流程如圖3所示。

圖3 移動應(yīng)用標簽生成算法具體流程

4.1.1.2 移動數(shù)據(jù)標簽生成算法

移動數(shù)據(jù)標簽生成器工作在移動接入網(wǎng)關(guān)/服務(wù)器處和移動智能終端。在移動接入網(wǎng)關(guān)/服務(wù)器處根據(jù)數(shù)據(jù)的機密程度等信息，針對每個移動數(shù)據(jù)標簽的保密級別進行初始賦值操作，具體算法流程如圖4所示。

賦值“data-tag.保密級別”:“data-tag.保密級別”等于對該數(shù)據(jù)進行處理的應(yīng)用操作對應(yīng)的“App-tag.生成數(shù)據(jù)保密級別”與該數(shù)據(jù)的“data-tag.保密級別”這兩個數(shù)值中的較大者。

賦值“tag.用戶權(quán)限”:“data-tag.保密級別”等于對數(shù)據(jù)進行處理的應(yīng)用操作對應(yīng)的 “App-tag.生成數(shù)據(jù)保密級別”與被處理數(shù)據(jù)的“data-tag.保密級別”這兩個數(shù)值中的較大者。

移動接入網(wǎng)關(guān)/服務(wù)器端初始賦值:由管理員指定該數(shù)據(jù)的保密級別，“用戶權(quán)限”項留空。

4.1.2 標簽存儲管理功能和標簽傳輸控制功能

標簽存儲管理模塊負責移動數(shù)據(jù)標簽和移動應(yīng)用標簽的存儲管理以及移動終端上的移動數(shù)據(jù)標簽數(shù)據(jù)庫、移動終端處的移動應(yīng)用標簽數(shù)據(jù)庫和移動接入網(wǎng)關(guān)/服務(wù)器處的移動應(yīng)用標簽數(shù)據(jù)庫這3個數(shù)據(jù)庫的運行維護。根據(jù)標簽生成器生成、修改、刪除標簽的情況，標簽存儲管理功能對相應(yīng)的數(shù)據(jù)庫分別進行存儲、更新和刪除工作。

標簽從移動接入網(wǎng)關(guān)/服務(wù)器向移動智能終端做單向的傳輸；在移動接入網(wǎng)關(guān)/服務(wù)器處加密以安全的方式傳輸至移動智能終端；在移動智能模塊終端處對標簽進行解密，傳遞給標簽生成器。

4.2 移動數(shù)據(jù)管理模塊

移動數(shù)據(jù)管理模塊根據(jù)標簽識別用戶權(quán)限和數(shù)據(jù)保密級別，對移動數(shù)據(jù)進行處理的移動應(yīng)用操作進行控制，以實現(xiàn)移動數(shù)據(jù)細粒度的保密安全防護。移動數(shù)據(jù)管理模塊分為數(shù)據(jù)處理過程的安全隔離控制、數(shù)據(jù)傳輸過程的安全控制和數(shù)據(jù)存儲的安全隔離控制。移動數(shù)據(jù)管理模塊最關(guān)鍵的是權(quán)限確認算法。當該數(shù)據(jù)的情況發(fā)生變化（生成新數(shù)據(jù)、加/解密、共享、整體復(fù)制、多個數(shù)據(jù)合并、修改、備份、轉(zhuǎn)移、銷毀）時，權(quán)限確認算法判斷用戶是否有權(quán)對某一數(shù)據(jù)進行此操作。

權(quán)限確認算法具體介紹如下。

輸入:移動應(yīng)用標簽、移動數(shù)據(jù)標簽。

輸出:Y或N。

Kano 2008: Kanu Kazuo (加納和雄), Two Short Glosses on Yogācāra Texts by Vairocanarakita: Vi?ikāikāvivti and *Dharmadharmatāvibhāgavivti, Sanskrit Texts from Giuseppe Tucci’s Collection Part I, ed. Francesco Sferra, Roma:Instituto Italiano Per L’Africa E L’Oriente, 343-380.

具體流程如下。

·查看“App-tag操作權(quán)限”，讀取用戶使用該應(yīng)用進行此操作的數(shù)據(jù)保密級別。

·查看所有的“data-tag.保密級別”，讀取最高的保密級別。

·比較“App-tag.操作權(quán)限”與最高“data-tag.保密級別”的大小；若為大于或等于關(guān)系，則返回Y；若為小于關(guān)系，則返回N。

4.2.1 數(shù)據(jù)處理過程的安全隔離控制

數(shù)據(jù)處理過程的安全隔離控制主要是對移動智能終端上的指定數(shù)據(jù)情況進行監(jiān)控，當有應(yīng)用對該移動數(shù)據(jù)進行操作時，利用權(quán)限確認算法判斷用戶是否有權(quán)操作，如果允許操作則調(diào)用移動數(shù)據(jù)標簽生成算法處理。模型禁止用戶復(fù)制數(shù)據(jù)內(nèi)容中的一部分。具體流程如圖5所示。

4.2.2 數(shù)據(jù)傳輸過程和數(shù)據(jù)存儲過程的安全隔離控制

數(shù)據(jù)傳輸過程的安全控制包括對數(shù)據(jù)從移動接入網(wǎng)關(guān)/服務(wù)器傳輸?shù)揭苿又悄芙K端的過程和數(shù)據(jù)從移動智能終端傳輸?shù)酵獠康倪^程進行數(shù)據(jù)安全控制（如圖2所示）。當移動數(shù)據(jù)的位置發(fā)生改變或某一應(yīng)用對其進行操作時，針對特定用戶進行細粒度的權(quán)限判斷，選擇合適的加密和傳輸方式進行，在數(shù)據(jù)進入移動設(shè)備的情況下更新數(shù)據(jù)標簽。

5 仿真實驗及分析

5.1 實驗設(shè)計與實驗環(huán)境

5.1.1 實驗設(shè)計

細粒度的移動數(shù)據(jù)安全保護模型的功能模塊主要分為移動設(shè)備對數(shù)據(jù)安全的細粒度管理功能、移動接入網(wǎng)關(guān)/服務(wù)器與移動設(shè)備的標志加密通信功能和移動數(shù)據(jù)傳輸?shù)耐ㄐ殴δ?。由于后兩種功能比較普通，并且學(xué)術(shù)上已進行了深入的研究，商業(yè)上也相當成熟，所以重點驗證移動設(shè)備上的系統(tǒng)對數(shù)據(jù)安全的細粒度管理能力。

移動智能平臺主要有 Android、iOS、Windows Phone和黑莓等。其中，Android的市場份額最大，也較為靈活；iOS的封閉性強、安全保障比其他平臺稍好；剩下的其他平臺的份額遠不如前兩大平臺。實驗選擇在Android平臺上完成，需要根據(jù)Android平臺的特點對模型的算法進行一些調(diào)整:數(shù)據(jù)文件加密保存在外部存儲，并采用雙重密鑰以增強安全性，密鑰由監(jiān)控程序保管；給每個應(yīng)用程序和需要保護的數(shù)據(jù)文件分發(fā)標簽，標簽里存放應(yīng)用程序或數(shù)據(jù)文件的保密級別，通過權(quán)限校驗算法，細化應(yīng)用程序?qū)?shù)據(jù)文件的操作權(quán)限；為了防止其他第三方應(yīng)用偽裝，對每個申請訪問數(shù)據(jù)的應(yīng)用程序進行簽名驗證以確定其身份；最后，通過簽名驗證和權(quán)限校驗的應(yīng)用程序可以獲得所申請訪問的數(shù)據(jù)文件的密鑰，以進行數(shù)據(jù)訪問。

在Android平臺上實現(xiàn)了對指定路徑下的數(shù)據(jù)文件的保護，根據(jù)Android平臺對數(shù)據(jù)的操作原理，對數(shù)據(jù)標簽增加一項“加密密鑰”以記錄移動數(shù)據(jù)解密密鑰，進而控制對加密移動數(shù)據(jù)的任何操作，起到安全保護的作用。在監(jiān)控程序中開啟一個業(yè)務(wù)常駐后臺，用File Observer監(jiān)視指定路徑下文件的創(chuàng)建和刪除，以增加/刪除移動數(shù)據(jù)標簽的項。一旦有新文件創(chuàng)建，則產(chǎn)生一個新的隨機的移動數(shù)據(jù)加密密鑰文件，并保存至隱藏文件夾中；用根密鑰（root key）加密移動數(shù)據(jù)并將加密密鑰存入數(shù)據(jù)標簽表；如果有文件被刪除，則刪除其移動數(shù)據(jù)標簽數(shù)據(jù)庫中對應(yīng)的文件表項。

圖5 數(shù)據(jù)處理過程的安全隔離控制流程

圖6 應(yīng)用啟動logcat記錄

安全性分析:Android簽名機制不能阻止APK數(shù)據(jù)分組被修改，但修改后的再簽名無法與原先的簽名保持一致（擁有私鑰的情況除外）。只要應(yīng)用程序通過簽名機制的驗證，就證明這個應(yīng)用程序是可信任的。應(yīng)用程序通過AIDL接口申請訪問某個數(shù)據(jù)文件；如果應(yīng)用程序通過簽名驗證，則繼續(xù)執(zhí)行權(quán)限校驗算法，否則拒絕訪問。監(jiān)控程序使用根密鑰解密相應(yīng)數(shù)據(jù)文件的數(shù)據(jù)解密密鑰，根密鑰作為對稱加密算法的密鑰，用來加密文件密鑰；在這種機制下，某個應(yīng)用必須得到一定數(shù)量級的移動數(shù)據(jù)密鑰的明文密文對，才有可能破解根密鑰，因此根密鑰是難以破解的，這里認為根密鑰是不能破解的。也因為只有監(jiān)控程序本身能取得根密鑰，所以如果不通過監(jiān)控程序的AIDL接口，則無法解密數(shù)據(jù)密鑰，從而無法解密數(shù)據(jù)文件。

5.1.2 實驗環(huán)境

在主流廠商Android 4.1版本的智能手機或平板電腦（具備Wi-Fi功能）及Eclipse的Android模擬器上進行實驗。測試環(huán)境為 1臺雙核 CPU 2.7 GHz、3 GB內(nèi)存、Windows 7操作系統(tǒng)的計算機，1臺三星GALAXY NoteⅡ智能手機 （Android 4.1），1臺三星Tab2-P511010.1英寸平板電腦 （Android 4.1），1 臺 TP-Link TL-WR845N 300 Mbit/s無線路由器。計算機與2臺智能移動設(shè)備通過路由器連接組成一個移動局域網(wǎng)。

5.2 實驗結(jié)果及分析

使用工具Eclipse Java EE IDE for Web Developers完成實驗的開發(fā)。應(yīng)用在移動智能終端和仿真器上均可運行，為了方便分析，在代碼中對關(guān)鍵變量進行了標記，然后將應(yīng)用在Eclipse的仿真器上運行，便于在logcat中對實驗結(jié)果進行分析。應(yīng)用啟動后，logcat記錄結(jié)果如圖6所示。

首先，使用應(yīng)用TagTest訪問report20130619文件。此智能終端的使用用戶有權(quán)使用應(yīng)用TagTest對文件report20130619進行讀操作。結(jié)果顯示如圖7所示，應(yīng)用返回密鑰 （真實場景中將直接利用該密鑰對文件進行操作）。

圖7 應(yīng)用TagTest有權(quán)對文件report20130619進行讀操作

圖8 未授權(quán)應(yīng)用無權(quán)對文件report20130619進行相應(yīng)操作

然后，使用另一未授權(quán)應(yīng)用對文件report20130619進行讀操作，系統(tǒng)拒絕操作，同時若用工具強行打開該文件，所顯示的也為亂碼。結(jié)果如圖8所示。

由以上結(jié)果可見，本模型在Android環(huán)境下能根據(jù)應(yīng)用的操作權(quán)限進行判斷，以實現(xiàn)對移動數(shù)據(jù)細粒度的保護。

6 結(jié)束語

隨著移動辦公的興起，移動計算的安全問題備受關(guān)注。BYOD的安全問題主要集中在用戶訪問、追蹤移動設(shè)備、保護移動數(shù)據(jù)等方面，其中最重要的就是企業(yè)移動數(shù)據(jù)的安全保護。但是國內(nèi)外相關(guān)的學(xué)術(shù)研究均未把重點放在對移動數(shù)據(jù)進行單獨的、細粒度的保護上，同時大多數(shù)國內(nèi)外的MDM或MAM產(chǎn)品也都沒有基于用戶個體對企業(yè)數(shù)據(jù)進行細粒度的訪問修改等操作的控制管理功能。

本文提出了一種細粒度的移動數(shù)據(jù)安全保護模型，與傳統(tǒng)的無區(qū)分保護統(tǒng)一移動數(shù)據(jù)相比，該模型使用了移動數(shù)據(jù)標簽和移動應(yīng)用標簽，并根據(jù)不同用戶執(zhí)行不同操作的權(quán)限控制管理，能針對每個單獨用戶對指定的每個數(shù)據(jù)的操作權(quán)限進行細粒度的控制，如允許某用戶僅能使用移動應(yīng)用A對數(shù)據(jù)B進行讀取操作，但不能進行修改或共享等其他操作。通過在Android移動終端上進行實驗，驗證了模型在移動智能終端對移動數(shù)據(jù)控制的有效性和安全性。目前用戶對應(yīng)的移動應(yīng)用操作權(quán)限、生成數(shù)據(jù)機密級別和移動數(shù)據(jù)機密級別參數(shù)仍需由管理員在移動接入網(wǎng)關(guān)/服務(wù)器處單獨賦值，有一定的局限性，通過在移動接入網(wǎng)關(guān)/服務(wù)器根據(jù)已有策略自動對這3種參數(shù)賦值進行改進，是下一步研究工作的重點。

1 楊衛(wèi)軍，秦海權(quán).智能移動平臺安全威脅分析.警察技術(shù)，2013(1):45～47

2 陸宏亮.移動云環(huán)境下基于終端上下文信息的數(shù)據(jù)保護研究.國防科學(xué)技術(shù)大學(xué)碩士學(xué)位論文，1998

3 石莎.移動互聯(lián)網(wǎng)絡(luò)安全認證及安全應(yīng)用中若干關(guān)鍵技術(shù)研究.北京郵電大學(xué)碩士學(xué)位論文,2012

4 杜久升，陳宜金.計算機工程與應(yīng)用.移動數(shù)據(jù)傳輸安全性研究，2011,47(34):11～14

5 Butter T,Aleksy M.MixVM-An approach to service isolation and data protection in mobile context-sensitive applications.Proceedings of 2009 International Conference on Availability,Reliability and Security,ARES 09，F(xiàn)ribourg,Switzerland,2009:322～328

6 Nkosi M,Mekuria F.Improving the capacity,reliability&life of mobile devices with cloud computing.Proceedings of IST-Africa Conference,South Africa,2011:1～9

7 Wonjoo P,Sun J K,Kee S.Framework for security management of mobile devices.Proceedings of Communications and Information Technology,ISCIT 2009,Korea,2009:1219～1222

8 Wu J J,Zhou J,Ma J,et al.An active data leakage prevention model for insider threat.Intelligence Information Processing and Trusted Computing(IPTC),2011(2):39～42