鄭 超

南京政治學(xué)院上海分院，上海 200433

安全領(lǐng)域中移動(dòng)終端的安全機(jī)制研究

鄭 超

南京政治學(xué)院上海分院，上海 200433

移動(dòng)終端具有方便靈活的優(yōu)勢(shì)，在生活和工作中得到了廣泛的應(yīng)用。但是在處理涉密數(shù)據(jù)時(shí)還存在一定的安全隱患，本文分析了移動(dòng)終端存在安全問(wèn)題，從硬件安全、系統(tǒng)安全、應(yīng)用安全、管理安全四個(gè)方面提出了一套系統(tǒng)安全策略，為移動(dòng)終端在安全領(lǐng)域?qū)嶋H應(yīng)用提出了具體方案。

安全領(lǐng)域；移動(dòng)終端；機(jī)制研究

在軍隊(duì)、政府辦公等安全領(lǐng)域中還以傳統(tǒng)的辦公模式為主，以紙張為輸出終端，信息流通主要手段，不僅造成紙張浪費(fèi)，信息傳遞效率低下，形式單一，而且文件管理工作量巨大，查找困難，容易造成涉密文件丟失的風(fēng)險(xiǎn)。將移動(dòng)終端引入到具體業(yè)務(wù)工作中，通過(guò)信息化技術(shù)能夠?qū)崿F(xiàn)無(wú)紙化辦公，豐富信息展現(xiàn)形式，提高信息傳遞效率，從而提高工作效率。同時(shí)移動(dòng)設(shè)備方便集中管理，具有很好應(yīng)用前景。但在安全領(lǐng)域中業(yè)務(wù)數(shù)據(jù)十分敏感，需要絕對(duì)的安全，不能很好的解決數(shù)據(jù)安全問(wèn)題，就無(wú)法分享信息化技術(shù)進(jìn)步給工作帶來(lái)的巨大紅利。為此本文提出了針對(duì)安全移動(dòng)終端的一整套安全防護(hù)解決方案。方案從硬件安全、系統(tǒng)安全、應(yīng)用安全、管理安全四個(gè)方面入手，確保了移動(dòng)終端在安全領(lǐng)域中的應(yīng)用安全。

1 移動(dòng)終端安全問(wèn)題

隨著移動(dòng)終端硬件的發(fā)展，無(wú)線設(shè)備、衛(wèi)星定位、紅外、藍(lán)牙、SD卡、USB、NFC等硬件接口越來(lái)越豐富，方便了數(shù)據(jù)的傳輸，但同時(shí)也增加的數(shù)據(jù)泄露的安全隱患，通信模塊可能在在用戶不知情的情況下被非法連通或受到攻擊，泄露用戶數(shù)據(jù)。

從安全角度來(lái)說(shuō)，操作系統(tǒng)是或多或少的會(huì)存在設(shè)計(jì)上的漏洞，甚至有意留有后門，黑客利用系統(tǒng)漏洞就可以竊取用戶數(shù)據(jù)，帶來(lái)安全隱患。Android 原生安全機(jī)制本身就存在缺陷，容易通過(guò)混合代理人和權(quán)限共謀等手段訪問(wèn)敏感數(shù)據(jù)[1]，造成安全隱患。

目前主流移動(dòng)終端中數(shù)據(jù)的存儲(chǔ)與訪問(wèn)機(jī)制都是通過(guò)明文進(jìn)行存儲(chǔ)，在移動(dòng)設(shè)備在丟失后，存在數(shù)據(jù)被人為竊取的可能。同時(shí)未對(duì)敏感性的數(shù)據(jù)與文件的進(jìn)行分類，采用統(tǒng)一的安全策略也存在安全問(wèn)題。系統(tǒng)底層缺少詳細(xì)的日志和行為記錄，無(wú)法對(duì)系統(tǒng)使用行為進(jìn)行審計(jì)和監(jiān)督。

2 安全移動(dòng)終端安全解決方案

移動(dòng)終端安全是一個(gè)綜合問(wèn)題，必須從多個(gè)角度來(lái)對(duì)移動(dòng)終端的安全解決方案進(jìn)行研究。本文從硬件、系統(tǒng)、應(yīng)用和管理四個(gè)方面提供移動(dòng)終端全方面安全防護(hù)機(jī)制。

2.1 硬件安全設(shè)計(jì)

硬件上移除GPS、紅外、藍(lán)牙、SD卡、USB、NFC等通信模塊，采用專用數(shù)據(jù)接口和管理軟件實(shí)現(xiàn)集中的通信管理模式。硬件上采用ARMTrustZone機(jī)制，劃分執(zhí)行環(huán)境，對(duì)存放敏感信息的存儲(chǔ)空間進(jìn)行區(qū)分管理，實(shí)現(xiàn)了安全中斷，防止受到惡意的中斷處理程序的攻擊。該技術(shù)可確保惡意軟件無(wú)法訪問(wèn)安全域中的敏感信息。

2.2 系統(tǒng)安全設(shè)計(jì)

系統(tǒng)的安全設(shè)計(jì)主要從三個(gè)層面的考慮，保證操作系統(tǒng)不被人為更改，保證規(guī)范安裝應(yīng)用軟件，同時(shí)校驗(yàn)運(yùn)行軟件的合法性。

移動(dòng)終端系統(tǒng)采用防刷機(jī)保護(hù)機(jī)制，保證安全終端使用指定的系統(tǒng)ROM，便于監(jiān)管。

移動(dòng)終端應(yīng)用軟件必須通過(guò)PC端的管理平臺(tái)進(jìn)行管理，包括數(shù)據(jù)的傳輸和軟件的安裝卸載等。

通過(guò)數(shù)字簽名驗(yàn)證技術(shù)，在終端啟動(dòng)、升級(jí)過(guò)程中，校驗(yàn)加載運(yùn)行軟件的合法性，具體分為鏡像簽名和鏡像校驗(yàn)兩個(gè)過(guò)程。系統(tǒng)啟動(dòng)鏡像通過(guò)MD5加密技術(shù)提取出摘要數(shù)據(jù)，再通過(guò)RSA非對(duì)稱加密技術(shù)對(duì)摘要數(shù)據(jù)進(jìn)行加密，形成鏡像簽名，合并鏡像簽名和啟動(dòng)鏡像形成最終的簽名鏡像。在終端啟動(dòng)、升級(jí)過(guò)程中通過(guò)MD5對(duì)啟動(dòng)鏡像進(jìn)行解密，形成計(jì)算摘要，通過(guò)RSA技術(shù)對(duì)鏡像簽名進(jìn)行解密形成原始摘要，比較計(jì)算摘要和原始摘要，如果計(jì)算摘要和原始摘要相同則說(shuō)明軟件合法，允許啟動(dòng)運(yùn)行，否則拒絕軟件的啟動(dòng)運(yùn)行。

2.3 應(yīng)用安全設(shè)計(jì)

安全移動(dòng)終端通過(guò)設(shè)置多重密碼、全盤存儲(chǔ)加密和統(tǒng)一通信接口管理等手段保證了終端的數(shù)據(jù)安全。

系統(tǒng)設(shè)置了多重用戶密碼，開機(jī)系統(tǒng)啟動(dòng)前，需要用戶輸入開機(jī)密碼，才能進(jìn)入操作系統(tǒng)。移動(dòng)終端一段時(shí)間未使用后會(huì)自動(dòng)進(jìn)入待機(jī)功能，需使用待機(jī)密碼才能繼續(xù)使用移動(dòng)終端。在開機(jī)密碼和待機(jī)密碼界面，如果用戶多次輸入錯(cuò)誤密碼，系統(tǒng)會(huì)啟動(dòng)自毀程序，清除終端中的數(shù)據(jù)。安全移動(dòng)終端在硬件層次上刪除了藍(lán)牙，紅外，無(wú)線設(shè)備等數(shù)據(jù)通信設(shè)備，只保留了專用傳輸接口，通過(guò)專用數(shù)據(jù)接口傳輸數(shù)據(jù)需要輸入專用密碼。

安全移動(dòng)終端在操作系統(tǒng)與EMMC硬件底層存儲(chǔ)之間增加了一層加解密邏輯設(shè)備，數(shù)據(jù)寫入先經(jīng)過(guò)加密再寫入到EMMC存儲(chǔ)器，讀取到的加密數(shù)據(jù)通過(guò)解密設(shè)備進(jìn)行解密后返還給用戶UI，進(jìn)行顯示。使能全盤加密后，用戶通過(guò)輸入密碼建立一個(gè)加解密容器，寫數(shù)據(jù)時(shí)經(jīng)過(guò)加密功能寫入內(nèi)部EMMC存儲(chǔ)，讀取用戶的數(shù)據(jù)經(jīng)過(guò)解密功能獲得，對(duì)用戶來(lái)說(shuō)加解密功能透明。終端內(nèi)部存儲(chǔ)空間存儲(chǔ)的均為密文數(shù)據(jù)，沒(méi)有任何明文數(shù)據(jù)，他人在沒(méi)有密碼的情況下無(wú)法登陸系統(tǒng)，無(wú)法獲知用戶的私人數(shù)據(jù)，即使將EMMC卡取下來(lái)也無(wú)法獲取用戶的真正數(shù)據(jù)。

2.4 管理安全設(shè)計(jì)

涉密移動(dòng)終端除了在技術(shù)上保證了安全外，還通過(guò)相應(yīng)的管理平臺(tái)、安全審計(jì)和管理策略來(lái)保障安全。

配合涉密移動(dòng)終端的使用設(shè)計(jì)專用的終端管理平臺(tái)，任何對(duì)終端設(shè)備尤其是設(shè)計(jì)到數(shù)據(jù)和系統(tǒng)的修改都需要通過(guò)統(tǒng)一的管理平臺(tái)進(jìn)行管理，其他任何第三方管理軟件均無(wú)法使用，這樣既保證了系統(tǒng)的安全，同時(shí)實(shí)現(xiàn)了終端的集中管控。

管理平臺(tái)與終端的通信指令和文件傳輸使用密文，終端與管理軟件之間的通信使用AES加密算法，防止通信口令被抓包后破解。文件傳送使用DES加密算法，防止敏感數(shù)據(jù)被竊取。

在終端操作系統(tǒng)底層實(shí)現(xiàn)日志記錄功能，實(shí)時(shí)記錄系統(tǒng)的行為信息，同時(shí)記錄管理平臺(tái)對(duì)終端的操作記錄，便于對(duì)系統(tǒng)行為的審計(jì)和監(jiān)督。同時(shí)要求管理平臺(tái)與制定的計(jì)算機(jī)進(jìn)行綁定，第一次使用管理軟件需要激活，并與指定計(jì)算機(jī)的物理地址綁定，防止軟件被任意盜用。

為了防止管理員權(quán)限過(guò)大，引起的安全威脅，安全終端采用了三員分立的安全策略。系統(tǒng)設(shè)置系統(tǒng)管理員，安全管理員和審計(jì)管理員。其中系統(tǒng)管理員負(fù)責(zé)用戶管理和系統(tǒng)日常運(yùn)作相關(guān)的維護(hù)；安全管理員負(fù)責(zé)安全策略的制定、配置和系統(tǒng)資源安全屬性的設(shè)定；審計(jì)管理員負(fù)責(zé)對(duì)系統(tǒng)的審計(jì)信息進(jìn)行管理，監(jiān)督管理系統(tǒng)管理員和安全管理員的行為。

3 結(jié)論

本文從硬件安全、系統(tǒng)安全、應(yīng)用安全、管理安全四個(gè)方面對(duì)移動(dòng)終端進(jìn)行全方面的安全防護(hù)，保證安全移動(dòng)終端的使用安全，為移動(dòng)終端在安全領(lǐng)域內(nèi)的使用提供有力的安全保障。

[1]蔣紹林，王金雙，等.Android 安全研究綜述.計(jì)算機(jī)應(yīng)用與軟件，29：10.

[2]TC5-WG5-2010-028 移動(dòng)終端安全威脅及其解決方案研究[R].2010.

[3]張翼，趙躍華.面向智能手機(jī)的立體防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].江蘇大學(xué)，2011.

[4]宗濤.基于可信計(jì)算的結(jié)構(gòu)性安全模型設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2012，38（20）：89-92.

TP3

A

1674-6708（2015）148-0103-01