智緒龍，吳倫才，孟欣

（中移（杭州）信息技術(shù)有限公司/中國移動杭州研發(fā)中心，杭州 310000）

行業(yè)安全手機(jī)探索研究＊

智緒龍，吳倫才，孟欣

（中移（杭州）信息技術(shù)有限公司/中國移動杭州研發(fā)中心，杭州 310000）

黨政軍、學(xué)校、企業(yè)等特殊行業(yè)主要移動互聯(lián)網(wǎng)安全問題是接入設(shè)備安全、移動應(yīng)用安全、用戶接入認(rèn)證安全等。本文將從操作系統(tǒng)安全、應(yīng)用程序安全、設(shè)備管理安全、網(wǎng)絡(luò)傳輸安全4個方面進(jìn)行討論，實行對手機(jī)的全面安全防護(hù)，為行業(yè)安全提供成套解決方案。

安全；手機(jī)設(shè)備管理；Android

1 研究背景

Gartner 預(yù)測：2017年全球超過50%的企業(yè)員工會采用移動辦公方式，隨之面臨的安全問題首當(dāng)其沖。據(jù)2015年針對中小學(xué)生的調(diào)查，該群體手機(jī)擁有率達(dá)46.6%，其中近90%通過手機(jī)QQ、微信聊天，由于缺乏對學(xué)生使用手機(jī)的有效管控，手機(jī)使用對學(xué)生的成長和學(xué)習(xí)成績產(chǎn)生了嚴(yán)重的影響。

2 手機(jī)安全解決方案

基于以上問題，本文給出了手機(jī)安全整體解決方案，主要包括操作系統(tǒng)層安全、應(yīng)用程序?qū)影踩?、設(shè)備管理層安全、網(wǎng)絡(luò)傳輸層安全等部分，如圖1所示。本文中將通過構(gòu)建雙域系統(tǒng)保證操作系統(tǒng)安全。通過應(yīng)用掃描和應(yīng)用加固保證應(yīng)用程序安全。通過建立統(tǒng)一的用戶和設(shè)備管理中心保證設(shè)備安全。通過建立企業(yè)專屬SSL VPN通道用于傳輸企業(yè)數(shù)據(jù)保證網(wǎng)絡(luò)傳輸安全。

圖1 手機(jī)安全整體解決方案

2.1 操作系統(tǒng)層安全

在Android系統(tǒng)中，全部應(yīng)用程序的用戶數(shù)據(jù)存儲在data/data目錄下，而且訪問數(shù)據(jù)采用的是 DAC（Discretionary Access Control，自主訪問控制）模式，一定程度上會造成用戶數(shù)據(jù)的泄露，因此考慮將用戶數(shù)據(jù)進(jìn)行劃分，將重要信息存儲于另一個目錄下保護(hù)用戶數(shù)據(jù)的安全，防止信息被讀取、更改，達(dá)到數(shù)據(jù)隔離的目的。

雙域系統(tǒng)是基于操作系統(tǒng)層面的安全加固解決方案，因此需要從系統(tǒng)級別對安卓原系統(tǒng)進(jìn)行改造，使之能對多域下的應(yīng)用及數(shù)據(jù)進(jìn)行隔離，并對安全域下運(yùn)行的應(yīng)用和數(shù)據(jù)提供保護(hù)，對指定目錄的數(shù)據(jù)加密以保障數(shù)據(jù)的安全性。

SEAndroid采用 MAC (Mandatory Access Control,強(qiáng)制訪問控制)模型，在MAC機(jī)制中，用戶、進(jìn)程或者文件的權(quán)限不是由它們自主決定的，而是由管理策略決定的。

雙域系統(tǒng)基于SEAndroid開發(fā)，通過權(quán)限配置的方式在單操作系統(tǒng)中分離出個人區(qū)與企業(yè)區(qū)，以達(dá)到數(shù)據(jù)隔離的目的。雙域手機(jī)可以實現(xiàn)同時管控個人區(qū)、企業(yè)區(qū)，使得設(shè)備管理、應(yīng)用和內(nèi)容的管理等具體應(yīng)用場景和功能實現(xiàn)更簡單、管控邏輯更清晰、更方便，如圖2所示。

圖2 基于SEAndroid機(jī)制的雙域系統(tǒng)

本方案的重點(diǎn)是對數(shù)據(jù)進(jìn)行隔離，使用戶數(shù)據(jù)存放在data/safedata目錄下或者任意文件下進(jìn)行隔離，在此文件夾下的數(shù)據(jù)采用 MAC 模式保護(hù)，即使獲取手機(jī)root權(quán)限也不能獲取該文件下的隔離數(shù)據(jù)。同時，與data/safedata目錄地位平等的是data/data目錄，此文件下存放不重要的信息，此文件夾下的數(shù)據(jù)采用DAC模式訪問控制。首先，data根目錄是由分區(qū)影像文件ramdisk.imag在內(nèi)核啟動的時候調(diào)用init中的mount函數(shù)生成。然后在data目錄下通過mount（"data"，"data/，"data"，0，NULL）操作生成索引節(jié)點(diǎn)再通過mkdir data/safedata 生成 data 根目錄下的safedata目錄。最后在應(yīng)用開發(fā)過程中將數(shù)據(jù)庫的存放路徑 PATH 為 data/safedata。這樣就可以將應(yīng)用的數(shù)據(jù)隔離開來。

經(jīng)過SEAndroid配置權(quán)限以后，其訪問權(quán)限是先進(jìn)行DAC模式檢查，然后再進(jìn)行MAC模式檢查，當(dāng)用戶獲得root權(quán)限后訪問數(shù)據(jù)，可以任意操作data/ data 目錄下的數(shù)據(jù)，但是無法操作data/safedata目錄下的數(shù)據(jù)，因此加強(qiáng)了應(yīng)用的安全性。只有具備策略文件中的訪問權(quán)限，才可以操作data/safedata目錄下的數(shù)據(jù)和文件。

通過雙域手機(jī)建立物理分區(qū)，區(qū)分為個人區(qū)和企業(yè)區(qū)，個人區(qū)數(shù)據(jù)和企業(yè)區(qū)數(shù)據(jù)完全隔離，并不能相互訪問；企業(yè)數(shù)據(jù)加密存儲在企業(yè)區(qū)。雙域安全終端定制1000+條安全策略進(jìn)行底層安全防護(hù)，為Android系統(tǒng)加一道安全門，防止root后的數(shù)據(jù)泄露；可對應(yīng)用進(jìn)行分類管理，對不同的應(yīng)用賦予不同的權(quán)限，增加系統(tǒng)安全性；提供了更豐富的域管控機(jī)制，滿足不同行業(yè)、不同層次的客戶需求。

2.2 應(yīng)用程序?qū)影踩?/p>

由于Android手機(jī)應(yīng)用是基于Java語言研發(fā)，所以應(yīng)用程序比較容易被破解或者反編譯，本文將對應(yīng)用程序進(jìn)行檢測和加固。

應(yīng)用安全檢測即對開發(fā)者APP進(jìn)行漏洞掃描，發(fā)現(xiàn)潛在漏洞，是否存在源代碼被竊取，反編譯和植入，資源文件被竊取替換等問題，保障應(yīng)用安全。Android系統(tǒng)上的應(yīng)用安全漏洞包含應(yīng)用程序漏洞、數(shù)據(jù)安全漏洞、通信安全漏洞、業(yè)務(wù)安全漏洞。

應(yīng)用程序漏洞：針對可能導(dǎo)致程序被惡意篡改和非法控制的不當(dāng)權(quán)限配置及服務(wù)調(diào)用進(jìn)行深入檢測，規(guī)避安全風(fēng)險。

數(shù)據(jù)安全漏洞：全面檢測由于組織權(quán)限控制不當(dāng)及系統(tǒng)函數(shù)的非法調(diào)用而造成的數(shù)據(jù)泄露風(fēng)險，保障APP數(shù)據(jù)安全。

通信安全漏洞：對APP網(wǎng)絡(luò)傳輸協(xié)議進(jìn)行全面解析，從中檢測到是否有未加密的敏感信息傳輸，保障數(shù)據(jù)傳輸安全。

業(yè)務(wù)安全漏洞：通過動態(tài)檢測引擎分析調(diào)用接口，深入分析并發(fā)現(xiàn)SQL注入及XXS等業(yè)務(wù)安全漏洞，規(guī)避業(yè)務(wù)安全風(fēng)險。

可通過全面的基于自動化的漏洞檢測工具，通過靜態(tài)掃描及動態(tài)檢測技術(shù)，針對涵蓋配置缺陷、權(quán)限濫用、業(yè)務(wù)漏洞等安全監(jiān)測風(fēng)險點(diǎn)，實現(xiàn)對APP的全面風(fēng)險檢測。

靜態(tài)漏洞檢測：基于反編譯技術(shù)對應(yīng)用文件進(jìn)行漏洞特征識別，能有效檢測密鑰硬編碼、Https中間人攻擊、風(fēng)險接口調(diào)用等漏洞風(fēng)險，同時基于詞法分析、語法分析等編譯技術(shù)，還原出應(yīng)用內(nèi)部的函數(shù)調(diào)用關(guān)系及代碼運(yùn)行序列圖，排除因代碼未被調(diào)用而造成的漏洞誤報。

動態(tài)漏洞檢測：結(jié)合API Hook技術(shù)、數(shù)據(jù)分組還原技術(shù)、Web漏洞Fuzzing技術(shù)、端口掃描技術(shù)可以對應(yīng)用動態(tài)運(yùn)行過程中的HTTP請求、Log日志打印、文件讀寫等操作進(jìn)行攔截識別，經(jīng)過特征匹配后，可以有效檢測后臺SQL注入、不安全傳輸、敏感信息泄露、不安全存儲等動態(tài)漏洞。

應(yīng)用安全加固即為安卓應(yīng)用加裝保護(hù)殼，屏蔽惡意篡改、病毒/木馬/廣告植入，計費(fèi)破解、敏感信息泄露、代碼竊取等安全風(fēng)險。主要通過以下方法進(jìn)行保護(hù)加固。

（1） dex文件保護(hù)加固：對dex文件進(jìn)行加殼防護(hù)，防止被工具反編譯和破解。

（2）資源文件保護(hù)加固：對圖片、音頻、漢化文件等進(jìn)行加密保護(hù)，包括防查看和防修改。

（3）xml配置文件保護(hù)加固：對配置文件進(jìn)行保護(hù)，防止靜態(tài)注入Service和添加權(quán)限。

（4）防二次打包保護(hù)加固：對APK進(jìn)行指紋校驗保護(hù)，應(yīng)用被二次打包后無法正常運(yùn)行。

（5） so文件保護(hù)加固：防止so庫文件被破解和盜用，保護(hù)C++層代碼安全。

（6）內(nèi)存保護(hù)加固：防止通過內(nèi)存DUMP獲取代碼片段，從而還原dex文件。

綜合運(yùn)用漏洞掃描、安全檢測、加殼、混淆等應(yīng)用加固、本地數(shù)據(jù)保護(hù)、渠道監(jiān)測等技術(shù)手段，防止應(yīng)用靜態(tài)及動態(tài)使用時被破解及惡意篡改，防止應(yīng)用邏輯及敏感信息被竊取，保障企業(yè)應(yīng)用全生命周期的安全性。

2.3 設(shè)備管理層安全

設(shè)備管理層安全：主要通過實現(xiàn)移動設(shè)備管理、移動應(yīng)用管理、移動內(nèi)容管理以及用戶統(tǒng)一身份認(rèn)證，有效將企業(yè)移動設(shè)備管理起來，保障移動設(shè)備上企業(yè)應(yīng)用和數(shù)據(jù)的安全，為企業(yè)建立統(tǒng)一設(shè)備管理中心，在設(shè)備丟失、盜竊、員工離職時通過終端管理對手機(jī)進(jìn)行手機(jī)鎖定、手機(jī)工作數(shù)據(jù)擦除等管控。

2.3.1 移動設(shè)備管理（MDM）

通過客戶端和管理平臺可以監(jiān)控移動終端狀態(tài)，通過設(shè)備管理平臺可以移動設(shè)備發(fā)送指令，來控制移動終端進(jìn)行外設(shè)管控、工作區(qū)切換以及數(shù)據(jù)擦除等。實現(xiàn)移動設(shè)備注冊、工作區(qū)鎖定、鎖定設(shè)備、工作區(qū)切換、設(shè)備振鈴、外設(shè)禁用、消息推送、設(shè)備定位、設(shè)備軌跡查詢、數(shù)據(jù)擦除等功能。構(gòu)建手機(jī)配置中心，通過管理平臺推送手機(jī)配置到手機(jī)終端更改手機(jī)終端配置，實現(xiàn)手機(jī)終端安全、手機(jī)外設(shè)使用安全、手機(jī)配置統(tǒng)一管理。

2.3.2 移動應(yīng)用管理（MAM）

企業(yè)應(yīng)用商店可以為企業(yè)用戶提供專用的應(yīng)用分發(fā)通道，保證設(shè)備工作區(qū)只能安裝經(jīng)過企業(yè)審核后應(yīng)用，通過管理平臺能夠推送應(yīng)用到用戶設(shè)備，保障企業(yè)對設(shè)備應(yīng)用的管控和應(yīng)用數(shù)據(jù)的安全。實現(xiàn)企業(yè)應(yīng)用發(fā)布申請、企業(yè)應(yīng)用安全加固、企業(yè)應(yīng)用發(fā)布審核、企業(yè)應(yīng)用推送、企業(yè)應(yīng)用強(qiáng)制安裝、企業(yè)應(yīng)用強(qiáng)制卸載、企業(yè)應(yīng)用安裝統(tǒng)計等功能。

2.3.3 移動內(nèi)容管理（MCM）

通過控制粘貼板和分發(fā)功能，限制企業(yè)數(shù)據(jù)只允許分發(fā)到企業(yè)應(yīng)用中，防止數(shù)據(jù)外泄；集成安全存儲SDK，保障文件本地存儲安全；通過客戶端自動或者手動的方式建立VPN數(shù)據(jù)傳輸隧道，實現(xiàn)文件傳輸過程中加密的功能。從而實現(xiàn)企業(yè)數(shù)據(jù)在存儲、傳輸、分發(fā)等各環(huán)節(jié)的安全需要，多維度保護(hù)數(shù)據(jù)的機(jī)密性、可用性、完整性。

2.3.4 用戶統(tǒng)一身份認(rèn)證

用戶在使用業(yè)務(wù)時，可以一次認(rèn)證，多處登錄。即用戶認(rèn)證自身身份后，其身份信息能夠安全地傳遞到多個業(yè)務(wù)，以免去用戶重復(fù)認(rèn)證的負(fù)擔(dān)。針對各類移動用戶及終端，進(jìn)行嚴(yán)格的身份認(rèn)證及權(quán)限管理，并根據(jù)用戶行為實時進(jìn)行基于賬戶的風(fēng)險控制。基于客戶端的統(tǒng)一認(rèn)證流程如圖3所示。

流程簡述如下。

（1）企業(yè)的業(yè)務(wù)平臺在需要交易（簽名）請求時，調(diào)用SIM盾接口至統(tǒng)一認(rèn)證平臺。

（2）統(tǒng)一認(rèn)證平臺的安全短信模塊將業(yè)務(wù)平臺交易數(shù)據(jù)轉(zhuǎn)換成安全數(shù)據(jù)短信，并將其通過短信網(wǎng)關(guān)下發(fā)給手機(jī)。

（3）手機(jī)的基帶芯片識別為SIM卡數(shù)據(jù)短信后，不經(jīng)過手機(jī)操作系統(tǒng)，而是直接將數(shù)據(jù)短信傳給SIM卡中的SIM盾應(yīng)用處理。

（4）SIM盾解密并調(diào)用手機(jī)底層STK菜單顯示交易信息讓用戶確認(rèn)，并將交易記錄進(jìn)行數(shù)字簽名。

（5）SIM盾將簽名結(jié)果以數(shù)據(jù)短信方式發(fā)回統(tǒng)一認(rèn)證平臺。

（6）統(tǒng)一認(rèn)證平臺將安全短信中包含的簽名信息轉(zhuǎn)換成http報文并返回給業(yè)務(wù)平臺。

（7）業(yè)務(wù)平臺接收到交易簽名數(shù)據(jù)，對簽名數(shù)據(jù)進(jìn)行驗簽操作確保業(yè)務(wù)安全。

運(yùn)營商具有的EAL4+高安全USIM卡和廣覆蓋移動通信網(wǎng)絡(luò)，可以對各類應(yīng)用場景提供不同級別、普適的認(rèn)證能力。利用SIM卡中的認(rèn)證應(yīng)用實現(xiàn)用戶確認(rèn)和加密、簽名，利用SIM卡芯片從物理層保護(hù)安全性，通過構(gòu)建用戶管理中心實現(xiàn)對用戶的身份認(rèn)證、權(quán)限管理、行為風(fēng)控功能，保障合法用戶授權(quán)接入企業(yè)業(yè)務(wù)系統(tǒng)，并通過實時監(jiān)測及事后審計對用戶行為進(jìn)行風(fēng)險控制。

設(shè)備管理層系統(tǒng)建設(shè)了手機(jī)安全管理信息化服務(wù)平臺，為用戶提供智能手機(jī)使用的安全管控功能，包括智能手機(jī)設(shè)備統(tǒng)一管理、手機(jī)應(yīng)用管理、安全文明上網(wǎng)、泄密信息管理等服務(wù)，保障手機(jī)終端及信息的安全。

2.4 網(wǎng)絡(luò)傳輸層安全

SSL VPN (Security Socket Layer Virtual Private Network)安全通道基于高強(qiáng)度密碼算法，具備防通信竊取、防數(shù)據(jù)篡改、防重放攻擊等能力；硬件級安全網(wǎng)關(guān)，安全可靠，可擴(kuò)展性強(qiáng)；IP層數(shù)據(jù)加密封裝，實現(xiàn)TCP/UDP協(xié)議透明加解密，完美支持應(yīng)用層所有常見通信協(xié)議，如圖4所示，可采用基于虛擬網(wǎng)卡技術(shù)+SSL VPN安全通信技術(shù)實現(xiàn)的可定制化移動安全通信解決方案，保障信息安全傳輸，防止信息在傳輸過程中被竊取、破壞。SSL安全協(xié)議提供3種安全服務(wù)：數(shù)據(jù)保密服務(wù)、身份認(rèn)證、數(shù)據(jù)完整性服務(wù)。

通過建立SSL VPN通道保證網(wǎng)絡(luò)傳輸安全，手機(jī)切換到工作區(qū)同時建立企業(yè)專屬SSL VPN通道用于傳輸企業(yè)數(shù)據(jù)，杜絕企業(yè)信息的暴露風(fēng)險，切出工作區(qū)時關(guān)閉SSL VPN通道并打開公用VPN數(shù)據(jù)網(wǎng)絡(luò)通道。

3 總結(jié)與展望

圖3 基于客戶端的統(tǒng)一認(rèn)證流程

圖4 基于虛擬網(wǎng)卡技術(shù)+SSL VPN安全通信技術(shù)

本文首先進(jìn)行了行業(yè)手機(jī)安全分析，提出了基于SEAndroid 技術(shù)的雙域，建立企業(yè)應(yīng)用數(shù)據(jù)隔離區(qū)，保證系統(tǒng)安全；采用了漏洞掃描和安全加固等技術(shù)手段，防止應(yīng)用靜態(tài)及動態(tài)使用時被破解及惡意篡改，保證應(yīng)用安全；建設(shè)了手機(jī)安全管理信息化服務(wù)平臺，為用戶提供智能手機(jī)使用的安全管控功能，保障手機(jī)終端的安全；最后，給出了基于虛擬網(wǎng)卡技術(shù)+SSL VPN安全通信技術(shù)實現(xiàn)的可定制化移動安全通信解決方案，避免了信息傳輸風(fēng)險。

[1] 鐘亮, 呂萍. 淺析智能手機(jī)的軍事應(yīng)用前景[J]. 微型機(jī)與應(yīng)用, 2016,35(2):4-5.

[2] 劉剛, 任飛, 彭元志. 一種基于Linux容器機(jī)制的系統(tǒng)級雙域隔離方案[J]. 信息安全與通信保密, 2016,(03):126-128.

[3] 劉魁. Android平臺的一種數(shù)據(jù)安全隔離方案[J]. 科技創(chuàng)新與應(yīng)用, 2016,(27):48-49.

[4] 劉洪強(qiáng). 基于SSL協(xié)議的VPN技術(shù)研究與實現(xiàn)[D]. 濟(jì)南：山東大學(xué), 2008.

[5] 陳傳偉. 基于SSL VPN技術(shù)構(gòu)建企業(yè)移動訪問系統(tǒng)[J]. 中國新信, 2016,(09):88.

Research on the safety of mobile phones

ZHI Xu-long, WU Lun-cai, MENG Xin
(China Mobile (Hangzhou) Information Technology Co., Ltd./China Mobile Hangzhou R & D Center, Hangzhou 310000, China)

The main security issues of special industries such as party, government, school and enterprise are security of access devices, security of mobile application and security of user access authentication. This paper will discuss the four aspects of operating system security, application security, equipment management security and network transmission security, which implement the comprehensive security protection for mobile phones and provide a complete set of solutions for security.

security; mobile device management; Android

TN918

A

1008-5599（2017）08-0037-05

2017-07-03

* 中國移動集團(tuán)級一類科技創(chuàng)新成果，原成果名稱為《安全手機(jī)產(chǎn)品》。