胡一博，朱詩兵，李長青

(1．裝備學院 研究生管理大隊，北京101416； 2．裝備學院 信息裝備系，北京101416)

移動智能終端安全體系研究

胡一博1，朱詩兵2，李長青2

(1．裝備學院 研究生管理大隊，北京101416； 2．裝備學院 信息裝備系，北京101416)

移動智能終端迅猛發(fā)展的同時，也面臨巨大的安全挑戰(zhàn)，導致智能終端在各領域的應用受到嚴重影響。針對這些安全問題，構建了移動智能終端安全防護體系，分別從硬件安全、系統(tǒng)安全和應用安全3個方面進行保護。展望了移動智能終端安全未來的發(fā)展趨勢，為移動智能終端安全下一步研究提供參考。

移動智能終端；安全威脅；防護體系；系統(tǒng)安全；安全措施

0 引言

移動智能終端是指除了具備通信功能外，安裝有與傳統(tǒng)PC類似的開放式操作系統(tǒng)和第三方應用軟件，并可以通過移動通信網(wǎng)絡來實現(xiàn)無線網(wǎng)絡接入的移動終端的總稱，例如智能手機、智能電視、平板電腦以及可攜帶智能設備等[1]。在移動互聯(lián)網(wǎng)產(chǎn)業(yè)快速發(fā)展的影響下，移動智能終端憑借自身強大的硬件性能和極其出色的業(yè)務擴展能力，逐漸成為互聯(lián)網(wǎng)業(yè)務的關鍵入口，在移動網(wǎng)絡資源和環(huán)境交互資源中扮演了重要樞紐的角色。但是，移動智能設備在給用戶帶來便利的同時，越來越多的安全問題也逐漸突顯出來，影響了對各種移動業(yè)務的推廣使用。

2015年，國家互聯(lián)網(wǎng)應急中心捕獲和通過廠商交換獲得的移動互聯(lián)網(wǎng)惡意程序樣本數(shù)量達147.7萬個[2]。其中高危占2.1%，中危占17.2%，針對Android平臺的惡意程序占99.6%。隨著網(wǎng)絡技術的發(fā)展，惡意代碼從簡單的用戶點擊傳播途徑發(fā)展成為短信、網(wǎng)頁瀏覽、應用軟件、電腦連接和電子郵件等多種傳播途徑，導致移動智能終端的非正常運行、信息泄露、惡意扣費、網(wǎng)絡欺詐和遠程受控等，移動智能終端的安全面臨嚴重的威脅。

本文從移動智能終端的安全威脅分析和防護措施設計兩方面入手，詳細分析移動智能終端面臨的各種安全威脅，針對這些安全問題構建相應的防護體系，并進一步展望移動智能終端安全研究的重點方向。

1 移動智能終端的安全威脅分析

移動智能終端從最初的功能終端、增強功能終端，發(fā)展成為繼大型機、小型機、PC后的第4代個人計算設備[3]。目前已經(jīng)成為互聯(lián)網(wǎng)業(yè)務的關鍵入口，推翻了傳統(tǒng)的移動通信終端只是作為移動網(wǎng)絡末梢的觀念，開啟了移動互聯(lián)網(wǎng)新時代。

以谷歌Google Play和蘋果AppStore為代表的各類應用市場規(guī)模巨大，應用程序商店里可下載高達百萬以上數(shù)量的應用程序，總下載量近數(shù)百億次[4]。移動互聯(lián)網(wǎng)業(yè)務以及移動智能終端日益成熟，智能設備成為日常必需品的同時，也面臨越來越多的安全問題[5]。移動智能終端面臨的安全問題如圖1所示。移動智能終端安全問題涵蓋了硬件層、系統(tǒng)層和應用層。

圖1 移動智能終端的安全問題

1.1 硬件層威脅

硬件層作為移動智能終端的底層，面臨SIM卡克隆、IMEI串號篡改和機卡接口威脅。

攻擊者通過鑒權隨機數(shù)的碰撞破解獲取SIM卡用戶信息IMSI、集成電路識別碼與密鑰信息Ki，然后寫入一張空白卡，從而實現(xiàn)SIM克隆[6]。柏林安全研究實驗室創(chuàng)始人Nohl表示[7]，部分使用70年代DES加密方式的SIM卡僅需2 min左右就能被一臺個人計算機破譯并發(fā)送相關病毒。同樣，IMEI作為區(qū)別移動設備唯一識別號，被篡改會導致設備信息遭隨意修改，使終端防盜功能喪失。

因為機卡接口的電氣接觸特征，使得對機卡接口進行竊聽的難度較大，因此當前機卡接口所傳輸?shù)臄?shù)據(jù)通常用明文傳輸信息[8]。然而在支付、公交和社保等特定應用下，多個用戶終端公用一個UICC卡，這時在UICC與終端之間的數(shù)據(jù)可能在空中接口上傳輸，導致某些用戶機密數(shù)據(jù)可能會被竊聽。

1.2 系統(tǒng)層威脅

操作系統(tǒng)后門的本質是系統(tǒng)中未公開的通道，系統(tǒng)設計者或者其他人可以通過這些通道出入系統(tǒng)而不被用戶發(fā)覺，以便遠程刪除終端上的程序[9]。2008年8月，蘋果承認在3G版iPhone中設有一個隱藏的后門應急程序，利用該后門可以遠程刪除應用。2010年12月，微軟承認Windows Phone7操作系統(tǒng)中存在系統(tǒng)后門。

操作系統(tǒng)除了故意留下的后門外，還存在設計上的漏洞，導致用戶遭受各種各樣的安全威脅[10]。即使是以高安全性著稱的iOS系統(tǒng)同樣面臨系統(tǒng)漏洞的威脅。2015年9月的XcodeGhost事件[11]，通過篡改iOS程序開發(fā)工具Xcode，導致使用這些工具編譯出的應用被嵌入惡意代碼，形成了波及千萬用戶的移動智能終端安全大事件。相對于iOS系統(tǒng)而言，其余的智能終端系統(tǒng)感染惡意代碼更加嚴重。2015年8月曝光的Stagefright漏洞[12]，利用彩信發(fā)送或構造特殊的應用程序觸發(fā)Stagefright攻擊，90%以上的Android智能設備被波及。

1.3 應用層威脅

應用層易受到應用軟件漏洞和惡意程序的攻擊。黑客可以利用開發(fā)者在開發(fā)軟件時造成的疏忽從而訪問未授權資源、破壞敏感數(shù)據(jù)，進而威脅系統(tǒng)的安全。自2010年以來，新增漏洞數(shù)量呈現(xiàn)整體增加的趨勢，根據(jù)國家計算機病毒應急處理中心統(tǒng)計，2015年新增應用軟件漏洞5 142個[13]。應用軟件漏洞已經(jīng)成為惡意代碼利用的重要方式之一，這些漏洞可能產(chǎn)生木馬上傳、執(zhí)行任意代碼等多種形式攻擊[14]。

惡意程序是惡意代碼的一種，它的存在給用戶帶來了嚴重的威脅。具有惡意行為的軟件都可以被稱作惡意代碼，形式包括木馬、病毒、蠕蟲和細菌等。伴隨網(wǎng)絡的發(fā)展和終端的智能化，惡意代碼傳播的途徑包括系統(tǒng)漏洞、短信/彩信、網(wǎng)站瀏覽、應用軟件、電腦連接和免費WiFi等。

2 移動智能終端安全防護體系構建

移動智能終端硬件層實現(xiàn)通信功能和處理計算功能，保證上層核心功能的實現(xiàn)；移動智能終端系統(tǒng)層管理和控制設備的硬件與軟件資源，是設備運行的基礎環(huán)境；移動智能終端應用層是用戶與應用的可視化交互平臺，是終端功能具體的表現(xiàn)形式。硬件層、系統(tǒng)層和應用層實現(xiàn)移動智能終端的正常運行，因此這3層的安全是終端安全的3個關鍵因素。根據(jù)這3個關鍵因素以及移動智能終端面臨的安全威脅，構建移動智能終端安全防護體系，如圖2所示。

圖2 移動智能終端安全體系

在圖2的移動智能終端安全體系設計中，整個安全體系包括硬件層、操作系統(tǒng)層和應用層3個層面。首先確保終端的硬件安全，然后通過安全的硬件保證操作系統(tǒng)安全，最終通過安全的操作系統(tǒng)保證應用軟件的安全，從而滿足移動智能終端整體安全的需求。

硬件安全措施包括基于生物特征的身份驗證、設備丟失情況下的遠程防盜和硬件安全模塊等。系統(tǒng)安全措施包括3個方面：通過內核增強和漏洞挖掘等技術保證內核安全；使用沙箱和組件間安全通信機制保護本地庫安全；利用權限機制保障應用程序框架的安全。應用安全措施包括安全檢測、數(shù)據(jù)偽造及跟蹤、加密和云服務等，保護應用數(shù)據(jù)的機密性、完整性和可用性。

2.1 移動智能終端硬件安全措施

人體的生物特征往往具有唯一性，如指紋、掌紋、聲音、虹膜、人臉、步態(tài)、脈搏和運動特征等，這些特征被作為識別和驗證身份的重要手段。指紋識別傳感器和指紋鎖作為一種安全模式已經(jīng)被移動智能終端成功運用[15]。但指紋特征極其容易被拷貝，導致用戶個人信息和隱私內容被竊取。隨后研究人員考慮將人臉和眼球作為更加安全的識別特征。眼球識別作為更高級、更安全的身份驗證方式，有很廣泛的應用前景，但是它在識別范圍和識別率方面還需要進一步研究。常用生物識別特征比較如表1所示。

表1 常用生物識別特征比較

遠程防盜已經(jīng)是移動智能終端的基本安全功能之一，在設備丟失的情況下，只需確定身份的合法性就能遠程對終端實施操作，避免隱私內容被竊取。實現(xiàn)移動智能終端遠程控制的方式有：基于HTTP協(xié)議的遠程數(shù)據(jù)傳輸、基于RDP協(xié)議的遠程桌面控制和基于XMPP的即時消息推送等[16]。特別的，XMPP協(xié)議具有超強的可擴展特性，使得控制端與智能終端之間可自由協(xié)商相關通信指令，因此基于XMPP協(xié)議的遠程控制作為移動智能終端的硬件安全措施會有更好地效果。在應用時，用戶首先將自身信息與設備信息注冊到控制端。當設備遺失后，通過控制端對設備實施定位、鎖定和刪除等指令。但是XMPP協(xié)議也面臨著數(shù)據(jù)負載太重和沒有二進制數(shù)據(jù)的問題。

硬件安全模塊(Hardware Security Modules，HSM)利用硬件滿足高需求的密鑰管理性能，提供存儲、加密和身份認證等安全服務。該模塊與系統(tǒng)總線之間相連，對用戶的隱私數(shù)據(jù)提供集中式的安全防護，尤其是提供更專業(yè)的移動支付安全服務。硬件安全模塊的工作流程如圖3所示。

圖3 硬件安全模塊工作流程

2.2 移動智能終端系統(tǒng)安全措施

移動智能終端操作系統(tǒng)大多采用Unix或Linux內核。為了降低內核漏洞所造成的威脅，從Linux2.6開始，提供一種基于域類模型的強制訪問控制安全系統(tǒng)SELinux。它將系統(tǒng)中的信息分密級和類進行管理，保證每個用戶只能訪問那些有權被訪問的信息。沙箱機制的作用與SELinux相似，都是確保信息不被越權訪問，區(qū)別在于處于不同沙箱中的應用通過設置shareUID可共享數(shù)據(jù)和權限。權限機制用于限制系統(tǒng)資源的訪問，其使用貫穿于移動智能終端的生命周期，權限越高，訪問資源的權利就越大。Android智能終端的權限機制實現(xiàn)如圖4所示。

惡意代碼能在自身沒有權限的情況下，通過調用其他應用權限進而訪問資源，這種行為稱為權限提升行為。為了防止惡意代碼的權限提升行為，一般采用的方法是權限防護和權限增強。通過擴展原有權限框架、設置權限申請及檢查策略、跟蹤權限使用情況等技術可以滿足安全使用權限的需求。權限防護的目的是防止系統(tǒng)權限被非法調用，權限增強用于改善權限的管理機制。

圖4 Android智能終端的權限機制

組件間安全通信是信息在設備內部的必要環(huán)境，可采用最小化組件暴露、組件訪問權限設置以及暴露組件代碼檢查等手段保護組件間安全通信。構建組件調用圖感知數(shù)據(jù)泄露的路徑是組件間安全通信的研究方向。傅建明等[17]以靜態(tài)分析方法構建控制流程圖、函數(shù)調用圖和組件調用圖，用以檢測組件劫持、信息泄露和組件的權限泄露問題。

漏洞是系統(tǒng)在邏輯設計和實現(xiàn)上的缺陷，無法被避免。應對漏洞攻擊的手段包括Fuzz測試、構建漏洞知識庫以及邏輯規(guī)則分析等[18]。通過Fuzz測試和攻擊挖掘方法，分析攻擊樣本判斷漏洞存在的可能性，能有效挖掘出系統(tǒng)漏洞及權限提升漏洞。常見漏洞挖掘技術比較如表2所示。

表2 常見漏洞挖掘技術比較

總體而言，漏洞挖掘是一個持續(xù)性的過程，移動智能終端系統(tǒng)修補的完善程度與漏洞挖掘程度密切相關，漏洞挖掘得越徹底，系統(tǒng)修補得越完善。

隨著移動智能終端原生系統(tǒng)的不斷完善與改進，終端系統(tǒng)的安全性越來越高，相應的所需終端資源也越來越多，導致一般的應用服務功能下降。因此需要建立一套輕量級的安全監(jiān)測工具，監(jiān)視設備運行狀態(tài)并進行相應的安全風險評估，檢測潛在出的安全威脅的同時給出安全預警，以增強移動智能終端自身的安全性。

2.3 移動智能終端應用安全措施

加密作為一種常用的安全防護手段，對移動智能終端聯(lián)系人、通話記錄等存儲于SQLite數(shù)據(jù)庫中的數(shù)據(jù)以及圖片、視頻和音頻等文件數(shù)據(jù)進行最直接的保護。SQLite數(shù)據(jù)庫加密一般利用AES或DES算法對整個數(shù)據(jù)庫文件進行加解密，避免數(shù)據(jù)在入庫加密操作后不便于檢索的問題[19]。當移動智能終端被惡意訪問時，為了保護自己的隱私數(shù)據(jù)不被泄露，提供虛假的數(shù)據(jù)。TISSA、MockDroid和AppFence等[20]方法都能提供位置信息、設備信息及聯(lián)系人信息等虛假數(shù)據(jù)。TaintDroid污點標記系統(tǒng)[21]能對敏感數(shù)據(jù)進行標記并跟蹤其流向，提供數(shù)據(jù)溯源服務。

惡意代碼通過惡意應用對設備系統(tǒng)和其余正常應用進行破壞以竊取用戶的隱私信息，使得移動智能終端的整體安全受到嚴重威脅。因此針對未知應用，可采用安全檢測技術提取應用的特征，判斷是否為惡意代碼，確保應用與系統(tǒng)的安全運行。安全檢測分為靜態(tài)檢測與動態(tài)檢測。靜態(tài)檢測不實際運行應用，通過逆向工程技術獲取待測應用的源代碼，從而得到應用相關的簽名、權限和API調用等敏感特征，再利用機器學習或樣本比對等手段判斷應用。雖然靜態(tài)檢測檢測速度快、消耗資源少，但是靜態(tài)檢測無法應對混淆與加密后的惡意應用的問題，因此研究人員提出了動態(tài)檢測。動態(tài)檢測實際運行應用，提取運行應用中的關鍵數(shù)據(jù)作為特征，通過異常檢測與機器學習等方式實現(xiàn)檢測。經(jīng)典的機器學習算法如表3所示。

惡意代碼與安全檢測是一個技術上相互博弈的過程，且檢測技術相對滯后。針對層出不窮的惡意應用，構建全面的應用檢測系統(tǒng)，利用機器學習算法提取相關的敏感特征，智能化地對未知應用進行安全檢測。通過改進檢測算法提高檢測效率和準確率，減少惡意應用的傳播途徑。

云服務已經(jīng)成為移動智能終端的出廠配置，除了備份功能外，還包括加密存儲、數(shù)據(jù)管理、恢復和交互等功能。設備控制端與云服務端之間采用SSL協(xié)議，提供雙向認證、數(shù)據(jù)加密和完整性驗證等服務，有效避免了備份數(shù)據(jù)在傳輸過程中的竊聽及非法攔截。

表3 經(jīng)典的機器學習算法

相對移動智能終端而言，云服務與大數(shù)據(jù)平臺具有數(shù)據(jù)處理、存儲和管理方面的優(yōu)勢。建立基于云服務與大數(shù)據(jù)的安全平臺，利用云服務平臺對數(shù)據(jù)進行存儲、信息實時維護、病毒及時溯源查殺，利用大數(shù)據(jù)平臺挖掘惡意代碼、及時檢測新型安全威脅，構建良好的移動智能終端生存環(huán)境。

3 移動智能終端安全展望

移動智能終端作為重要的生活工具，其安全問題被廣泛關注。研究人員針對各類威脅提出相應的安全防護措施，已經(jīng)取得了顯著的效果[22]。但是移動智能終端威脅手段日新月異，并且缺乏全能有效的實際解決方案，因此其安全防護是一項長期的任務，還需要從以下方面進行研究：

① 制定相關的移動智能終端安全法律。目前移動智能終端安全威脅問題泛濫，一方面是終端自身存在缺陷，另一方面是非法行為的懲戒小收益大。因此，通過制定相關法律約束不法分子，對危害移動智能終端的組織及個人進行嚴懲，逐漸增強自律意識，從源頭減少移動智能終端的安全威脅問題。

② 通過行業(yè)協(xié)作制定完善的移動智能終端安全標準。移動智能終端安全除了自身安全外，還包括開發(fā)商、運營商、服務提供商和認證機構等。移動智能終端安全需要各方行業(yè)積極協(xié)作，通過制定行業(yè)標準全面保證終端安全。在產(chǎn)品的生命周期內，嚴格實施制定的標準，構建一個安全的產(chǎn)業(yè)氛圍。

③ 培養(yǎng)用戶安全使用移動智能終端的意識。移動智能終端威脅問題增加除了黑客主動攻擊外，還有一部分原因是由于用戶不安全使用終端。因此，用戶應當樹立安全的終端使用意識，選擇官方商店提供的服務，增強安全保密觀念，維護好移動智能終端良好的使用環(huán)境。

4 結束語

移動智能終端的類型和數(shù)量飛速增長的同時，攻擊者與安全研究者的數(shù)量也越來越多。攻擊者通過惡意代碼、系統(tǒng)漏洞和應用漏洞等技術手段獲取用戶信息以獲取利益。安全研究人員對現(xiàn)有的漏洞修復、功能增強和安全檢測等防護手段應對各種各樣的威脅。本文從移動智能終端當前面臨的威脅出發(fā)，構建移動智能終端安全體系，分析終端硬件、系統(tǒng)與應用3個層的安全防護措施，并對未來的研究方向進行展望，為下一步研究提供幫助。

[1] 范雨曉.移動智能終端標準體系研究[J].數(shù)字通信,2014,41(5):45-49.

[2] 佚名.2015年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告:中國互聯(lián)網(wǎng)網(wǎng)絡安全報告[M].北京:人民郵電出版社,2016.

[3] 王躍,肖麗.移動智能終端技術架構模型研究[J].現(xiàn)代電信科技,2013,43(6):13-19.

[4] 鄭威.移動互聯(lián)網(wǎng)應用安全的問題分析與建議[J].現(xiàn)代電信科技,2012(9):27-32.

[5] 龐思銘,嚴宏君,甄真.基于產(chǎn)業(yè)鏈角度的移動互聯(lián)網(wǎng)安全體系現(xiàn)狀、威脅和發(fā)展趨勢研究[J].移動通信,2015,39(11):18-22.

[6] 郭達,張尼,張智江.SIM卡復制原理及防范措施研究[J].數(shù)字通信世界,2009(6):75-76.

[7] NOHL K,PAGET C.Gsm:Srsly[C]∥26th Chaos Communication Congress,2009:11-17.

[8] 周健詠,王炎,田云飛.移動終端安全檢測問題研究[J].現(xiàn)代電信科技,2012(4):27-31.

[9] 黃偉.移動智能終端操作系統(tǒng)安全策略研究[J].現(xiàn)代電信科技,2013,43(6):31-34.

[10] 姚一楠,翟世俊.Android平臺漏洞及安全威脅研究[J].移動通信,2015,39(11):34-38.

[11] XCodeGhost木馬事件全剖析[EB/OL].(2015-09-19).http:∥digi.tech.qq.com/a/20150919/022851.htm

[12] Stagefright漏洞[EB/OL].(2015-08-22).http:∥baike.baidu.com/link?url=do5dpgTK47TNKr7cSXC7EL-snkWgaYZq3oFvIRUA1UiIDLsFzyuvTZMLL4WWEVXoQJGC cRlhLysMdht7C6fHin7ue3fh027yY8sLUnyn9USCRvYuaT 5z7H4NqERoiDm2.

[13] 中國信息安全測評中心.2016年國內外信息安全漏洞態(tài)勢報告[J].中國信息安全,2017(1):110-116.

[14] 趙旺飛.移動智能終端APP發(fā)展趨勢及面臨的安全挑戰(zhàn)[J].移動通信,2015,39(5):26-30.

[15] 傅山,潘娟.移動智能終端生物識別發(fā)展與挑戰(zhàn)[J].移動通信,2015,39(5):13-16.

[16] 齊幸輝,張庚,劉革,等.基于XMPP協(xié)議的文件傳輸模塊設計與實現(xiàn)[J].無線電工程,2014,44(3):1-4.

[17] 傅建明,彭碧琛,杜浩.一種組件加載漏洞的動態(tài)檢測[J].清華大學學報:自然科學版,2012,52(10):1 356-1 363.

[18] 張玉清,方喆君,王凱,等.Android安全漏洞挖掘技術綜述[J].計算機研究與發(fā)展,2015,52(10):2 167-2 177.

[19] 霍成義.面向數(shù)據(jù)提供者的隱私保護訪問控制模型[J].無線電工程,2014,44(2):5-8.

[20] 張駿.移動智能終端隱私信息泄露檢測與保護技術的研究與實現(xiàn)[D].南京:東南大學,2015.

[21] WANG Z,MURMURIA R,STAVROU A.Implementing and Optimizing an Encryption Filesystem on Android[C]∥Mobile Data Management(MDM),2012 IEEE 13th International Conference on.IEEE,2012:52-62.

[22] 李艷,黃光球,曹黎俠,等.復雜攻擊網(wǎng)絡的概率可控性[J].計算機科學與探索,2016(10):1 407-1 419.

Research on Security Architecture of Mobile Intelligent Terminal

HU Yi-bo1，ZHU Shi-bing2，LI Chang-qing2

(1.DepartmentofGraduateManagement,EquipmentAcademy,Beijing101416,China； 2.DepartmentofInformationEquipment,EquipmentAcademy,Beijing101416,China)

With the rapid development of mobile intelligent terminal,a huge security challenge is emerging.And the security threats faced by the hardware layer,system layer and application layer seriously hinder the popularization of intelligent terminals in various fields.Then,to solve these security problems,amobile intelligent terminal security protection system is constructed,which includes three aspects:hardware security,system security and application security.Finally the prospect of the future development trend of mobile intelligent terminal security is presented,providinga reference for the mobile intelligent terminal security in further research.

mobile intelligent terminal;security threat;protective system;system security;security measures

10.3969/j.issn.1003-3106.2017.09.01

胡一博,朱詩兵,李長青.移動智能終端安全體系研究[J].無線電工程,2017,47(9):1-6.[HU Yibo,ZHU Shibing,LI Changqing.Research on Security Architecture of Mobile Intelligent Terminal[J].Radio Engineering,2017,47(9):1-6.]

TP309

A

1003-3106(2017)09-0001-06

2017-03-28

胡一博 男，(1993—)，碩士研究生。主要研究方向：通信系統(tǒng)與安全。

朱詩兵 男，(1969—)，博士，教授。主要研究方向：通信系統(tǒng)與安全。