吳 一 鳴

(南寧供電局信息中心 廣西 南寧 530031)

0 引 言

當(dāng)前，各大國(guó)企均將移動(dòng)作業(yè)平臺(tái)系統(tǒng)設(shè)立為重點(diǎn)發(fā)展的信息化方向，從總公司層面規(guī)劃建設(shè)移動(dòng)作業(yè)總體平臺(tái)，在移動(dòng)作業(yè)總體平臺(tái)上各專業(yè)線業(yè)務(wù)開(kāi)發(fā)其移動(dòng)作業(yè)app。移動(dòng)作業(yè)app基本都是Android版本，運(yùn)行于時(shí)下應(yīng)用最廣的Android系統(tǒng)移動(dòng)智能終端上。

移動(dòng)智能終端使用的是基于Android的操作系統(tǒng)，是終端廠家二次開(kāi)發(fā)的智能操作系統(tǒng)。Android系統(tǒng)因?yàn)槠溟_(kāi)放性、開(kāi)源性獲得了智能系統(tǒng)市場(chǎng)的超過(guò)半數(shù)的份額，開(kāi)放性引入不安全因素的同時(shí)，開(kāi)源性提供定制基于Android的移動(dòng)智能操作系統(tǒng)功能的空間。

本文通過(guò)研究Android系統(tǒng)的開(kāi)源源碼，修改內(nèi)核代碼，定制實(shí)現(xiàn)互聯(lián)網(wǎng)加密傳輸?shù)南到y(tǒng)功能，達(dá)到安全通信、限制非工作應(yīng)用、節(jié)省通信流量等目的。研究成果充分滿足移動(dòng)作業(yè)系統(tǒng)作業(yè)終端的信息安全要求，可作為高度定制版本的企業(yè)版專用移動(dòng)作業(yè)智能操作系統(tǒng)。

1 需求分析

各大國(guó)企移動(dòng)作業(yè)平臺(tái)的移動(dòng)智能終端，多為直接應(yīng)用終端廠家的硬件及操作系統(tǒng)，因此實(shí)際使用中存在的問(wèn)題有：

(1) 不符合信息安全要求。移動(dòng)作業(yè)傳輸?shù)臄?shù)據(jù)屬于企業(yè)涉密內(nèi)容，是企業(yè)的數(shù)據(jù)資產(chǎn)，在運(yùn)營(yíng)商公用網(wǎng)絡(luò)中明文傳輸情況下，存在被截獲、非法收集的隱患。

(2) 違規(guī)安裝非工作app。因移動(dòng)智能終端權(quán)限未受限制，終端上常會(huì)有安裝游戲、視頻、娛樂(lè)等非工作app的情況，使用者可以隨意安裝各種應(yīng)用。除了移動(dòng)作業(yè)外，終端會(huì)被另作他用。

(3) 非工作流量占比高。移動(dòng)作業(yè)app對(duì)流量需求不高，主要傳輸格式化數(shù)據(jù)以及靜態(tài)圖片。但在實(shí)際工作中，因?yàn)榉枪ぷ鱝pp的流量損耗，企業(yè)需要為終端訂購(gòu)大流量的通信套餐，增加了不必要的移動(dòng)作業(yè)平臺(tái)的運(yùn)營(yíng)成本。

針對(duì)上述問(wèn)題，本文提出了一個(gè)技術(shù)方案，對(duì)移動(dòng)智能終端的互聯(lián)網(wǎng)傳輸進(jìn)行加密，傳輸加密的流程圖如圖1所示。

圖1 移動(dòng)智能終端的互聯(lián)網(wǎng)加密傳輸數(shù)據(jù)流

移動(dòng)作業(yè)app向移動(dòng)作業(yè)平臺(tái)發(fā)送加密了互聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包，移動(dòng)作業(yè)平臺(tái)收到并對(duì)數(shù)據(jù)包解密，得到正確的請(qǐng)求數(shù)據(jù)包，完成響應(yīng)，移動(dòng)作業(yè)終端與平臺(tái)交互正常。移動(dòng)作業(yè)app數(shù)據(jù)在運(yùn)營(yíng)商公用網(wǎng)絡(luò)中，傳輸?shù)氖羌用芎蟮臄?shù)據(jù)包，大大降低了非法監(jiān)聽(tīng)、收集破解的隱患，解決了第一個(gè)問(wèn)題。

非工作app的互聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包加密后發(fā)送到非工作應(yīng)用的服務(wù)器端，非工作應(yīng)用的服務(wù)器端無(wú)法解密，無(wú)法響應(yīng)非工作app的互聯(lián)網(wǎng)請(qǐng)求。在此情況下，非工作app無(wú)法使用，安裝再多的非工作app都形同虛設(shè)，更無(wú)法消耗通信流量。解決了第二個(gè)和第三個(gè)問(wèn)題。

通過(guò)上述需求分析，對(duì)移動(dòng)智能終端Android系統(tǒng)的互聯(lián)網(wǎng)傳輸加密可以解決移動(dòng)平臺(tái)終端的實(shí)際使用問(wèn)題，實(shí)現(xiàn)基于Android的互聯(lián)網(wǎng)加密傳輸功能便是開(kāi)發(fā)目標(biāo)。

2 技術(shù)原理

2.1 TCP協(xié)議

移動(dòng)智能終端接入的移動(dòng)互聯(lián)網(wǎng)是基于移動(dòng)通信技術(shù)的互聯(lián)網(wǎng)絡(luò)，移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)傳輸流程圖如圖2所示：app生成互聯(lián)網(wǎng)數(shù)據(jù)，該互聯(lián)網(wǎng)數(shù)據(jù)經(jīng)過(guò)移動(dòng)終端轉(zhuǎn)換，以通信網(wǎng)絡(luò)數(shù)據(jù)形式發(fā)出，進(jìn)入通信網(wǎng)絡(luò)。在通信網(wǎng)絡(luò)中傳輸?shù)酵ㄐ啪W(wǎng)關(guān)設(shè)備，通信網(wǎng)關(guān)設(shè)備將通信網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換為互聯(lián)網(wǎng)數(shù)據(jù)，進(jìn)入互聯(lián)網(wǎng)。通信網(wǎng)絡(luò)數(shù)據(jù)在移動(dòng)終端與通信網(wǎng)關(guān)設(shè)備之間傳輸過(guò)程，即為移動(dòng)通信技術(shù)。

圖2 移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)傳輸過(guò)程

移動(dòng)互聯(lián)網(wǎng)的協(xié)議體系是基于TCP/IP協(xié)議棧，移動(dòng)互聯(lián)網(wǎng)的應(yīng)用層數(shù)據(jù)經(jīng)過(guò)傳輸層、網(wǎng)絡(luò)層及網(wǎng)絡(luò)接口層協(xié)議封裝后，進(jìn)入物理層，由通信網(wǎng)絡(luò)相應(yīng)協(xié)議完成移動(dòng)通信傳輸，傳輸流程圖如圖3所示。對(duì)于每臺(tái)移動(dòng)智能終端，移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)的收發(fā)均需要使用TCP協(xié)議。對(duì)移動(dòng)智能終端操作系統(tǒng)的TCP協(xié)議修改，等同于互聯(lián)網(wǎng)傳輸?shù)募用堋?/p>

圖3 移動(dòng)通信協(xié)議棧中的TCP/IP協(xié)議

2.2 Android系統(tǒng)體系結(jié)構(gòu)

Android的系統(tǒng)架構(gòu)和其操作系統(tǒng)一樣，采用了分層的架構(gòu)。從架構(gòu)圖看，Android分為四個(gè)層，從高層到低層分別是應(yīng)用程序?qū)?、?yīng)用程序框架層、系統(tǒng)運(yùn)行庫(kù)層和Linux核心層。Android的核心系統(tǒng)服務(wù)依賴于Linux Kernel(內(nèi)核)，如安全性、內(nèi)存管理、進(jìn)程管理、網(wǎng)絡(luò)協(xié)議棧和驅(qū)動(dòng)模型，Android系統(tǒng)體系結(jié)構(gòu)圖如圖4所示。對(duì)Android系統(tǒng)的TCP協(xié)議修改，是在Linux Kernel(內(nèi)核)實(shí)現(xiàn)的。

圖4 Android系統(tǒng)體系結(jié)構(gòu)

3 功能實(shí)現(xiàn)

Android系統(tǒng)的互聯(lián)網(wǎng)加密傳輸功能開(kāi)發(fā)軟硬件環(huán)境表如表1所示。

表1 開(kāi)發(fā)軟硬件環(huán)境表

Kernel源代碼中，net模塊的ipv4 cp.c文件對(duì)應(yīng)tcp協(xié)議，其中函數(shù)tcp_sendmsg實(shí)現(xiàn)tcp消息傳輸，傳輸內(nèi)容關(guān)鍵在msghdr和iovec兩個(gè)結(jié)構(gòu)體里，如圖5所示。

圖5 ipv4_tcp.c文件中的tcp_sendmsg函數(shù)

msghdr結(jié)構(gòu)體的解析：

struct msghdr {

void *msg_name;

//網(wǎng)絡(luò)包指向

//sockaddr_in，存數(shù)據(jù)包的目的地址

//指向sockaddr_nl，向內(nèi)核發(fā)數(shù)據(jù)

Int msg_namelen;

//消息地址長(zhǎng)度

struct iovec *msg_iov;

//結(jié)構(gòu)體iovec指針

__kernel_size_t msg_iovlen;

//結(jié)構(gòu)體iovec長(zhǎng)度標(biāo)志

void *msg_control;

//空指針

__kernel_size_t msg_controllen;

unsigned msg_flags;

//消息標(biāo)志

};

iovec結(jié)構(gòu)體的解析：

/* Structure for scatter/gather I/O. *//結(jié)構(gòu)體定義

struct iovec

{

void *iov_base; /* Pointer to data. *//數(shù)據(jù)指針

size_t iov_len; /* Length of data. *//數(shù)據(jù)長(zhǎng)度

};

針對(duì)這兩個(gè)結(jié)構(gòu)體，寫(xiě)了2個(gè)函數(shù)：

ipv4_iov_base_invert(char str1[])和ipv4_iovec_invert(struct msghdr *msg)，用來(lái)倒置tcp的傳輸內(nèi)容，例如，tcp傳輸內(nèi)容為abcdefg，倒置后為gfedcba，代碼如圖6所示。

圖6 2個(gè)函數(shù)用來(lái)修改tcp的傳輸內(nèi)容

在tcp.c的tcp_sendmsg函數(shù)中調(diào)用自定義的TCP傳輸內(nèi)容倒置函數(shù)，如圖7所示。

圖7 tcp_sendmsg函數(shù)中調(diào)用ipv4_iovec_invert函數(shù)

編譯Kernel，加載Kernel。

然后測(cè)試修改。

Ubuntu 14.04_2 64bit的LTS的初始Kernel是3.16.0版本的。

Kernel測(cè)試結(jié)果如圖8所示。

圖8 Kernel測(cè)試結(jié)果

(1) HTTP失效，對(duì)地址www.bing.com的訪問(wèn)，瀏覽器回應(yīng)“Bad Request—Invalid URL”，地址無(wú)法識(shí)別，說(shuō)明TCP傳輸內(nèi)容倒置函數(shù)生效；

(2) Kernel版本已更新，輸入Linux 命令“cat/proc/version”，顯示“Linux version 3.13.11”，Kernel版本已經(jīng)從3.16.0變成3.13.11；

(3) ping 8.8.8.8正常，ICMP協(xié)議正常，說(shuō)明IP協(xié)議正常。

4 驗(yàn) 證

將更新了Kernel的Android系統(tǒng)刷入移動(dòng)智能終端，可以看到下圖中終端系統(tǒng)的“內(nèi)核版本”有筆者的姓名拼音“wuyiming”，說(shuō)明該系統(tǒng)是筆者定制Kernel后編譯的，如圖9所示。

圖9 開(kāi)發(fā)系統(tǒng)刷入智能終端

在終端上運(yùn)行QQ應(yīng)用app和微信應(yīng)用app，均顯示“連接”問(wèn)題，說(shuō)明無(wú)法在此終端上運(yùn)行第三方應(yīng)用app，如圖10所示。

圖10 第三方應(yīng)用移動(dòng)網(wǎng)絡(luò)連接異常

在終端上某企業(yè)的移動(dòng)應(yīng)用app“eSpace”，運(yùn)行正常，各功能模塊均可使用，如圖11所示。

圖11 企業(yè)定制應(yīng)用運(yùn)行正常

通過(guò)對(duì)Android系統(tǒng)Kernel的TCP協(xié)議修改，解決了前文提到的移動(dòng)作業(yè)平臺(tái)三個(gè)問(wèn)題。

(1) 違規(guī)安裝非法app：第三方非工作app無(wú)法使用，安裝無(wú)意義。

(2) 非工作流量占比高：第三方非工作app無(wú)法使用。

(3) 不符合信息安全要求：傳輸加密，保障信息安全。

基于Android的互聯(lián)網(wǎng)加密傳輸功能的實(shí)現(xiàn)，達(dá)到預(yù)期需求。

5 結(jié) 語(yǔ)

本次針對(duì)移動(dòng)智能終端，基于Android的互聯(lián)網(wǎng)加密傳輸功能設(shè)計(jì)與實(shí)現(xiàn)，達(dá)到安全通信的目的，實(shí)現(xiàn)了限制非工作應(yīng)用、節(jié)省通信流量的效果，解決了企事業(yè)單位移動(dòng)平臺(tái)終端的實(shí)際使用問(wèn)題。

本次功能設(shè)計(jì)與實(shí)現(xiàn)是移動(dòng)操作系統(tǒng)定制開(kāi)發(fā)的實(shí)踐，定制的移動(dòng)智能操作系統(tǒng)功能，例如信息安全、權(quán)限管控、統(tǒng)一UI、續(xù)航能力等，更符合業(yè)務(wù)實(shí)際使用需求，有廣泛需求前景。同時(shí)，在系統(tǒng)體系中，平臺(tái)“基礎(chǔ)”決定上層應(yīng)用“建筑”。對(duì)移動(dòng)操作系統(tǒng)的深度優(yōu)化，可以作為移動(dòng)應(yīng)用生態(tài)環(huán)境基礎(chǔ)，例如規(guī)范應(yīng)用app開(kāi)發(fā)、移動(dòng)安全通信協(xié)議等，形成企事業(yè)移動(dòng)應(yīng)用體系的基礎(chǔ)規(guī)范，占得行業(yè)先機(jī)。