宋嘯天 石力 胡向濤

1.江蘇省鎮(zhèn)江市審計(jì)局；2.江蘇省鎮(zhèn)江市公安局京口分局；3.江蘇省鎮(zhèn)江市潤(rùn)清苑管理服務(wù)中心

0 引言

2017年1月，中共中央辦公廳和國(guó)務(wù)院辦公廳印發(fā)《關(guān)于促進(jìn)移動(dòng)互聯(lián)網(wǎng)健康有序發(fā)展的意見(jiàn)》，提出防范移動(dòng)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。移動(dòng)互聯(lián)網(wǎng)的安全問(wèn)題愈加被人們所重視。

本文認(rèn)為，移動(dòng)互聯(lián)網(wǎng)中的安全問(wèn)題可以歸納為以下三個(gè)方面：

一是網(wǎng)絡(luò)安全。指移動(dòng)通信網(wǎng)絡(luò)自身的安全，以及移動(dòng)用戶(hù)與終端應(yīng)用進(jìn)行信息交互時(shí)的安全。移動(dòng)通信網(wǎng)絡(luò)自身的安全主要包含網(wǎng)絡(luò)的設(shè)計(jì)方法、透明原則和拓?fù)浣Y(jié)構(gòu)等。一個(gè)具備良好安全性的網(wǎng)絡(luò)應(yīng)當(dāng)是惡意第三方無(wú)法針對(duì)節(jié)點(diǎn)發(fā)起攻擊。移動(dòng)用戶(hù)與終端應(yīng)用進(jìn)行信息交互時(shí)，需要業(yè)務(wù)的具體提供方具備較為嚴(yán)格的認(rèn)證和鑒權(quán)機(jī)制，才能在一定程度上保障用戶(hù)的信息不受威脅。

二是終端安全。指移動(dòng)終端本身的安全性，如操作系統(tǒng)是否存在安全漏洞，這些安全漏洞是否會(huì)遭受第三方的惡意入侵。

三是位置安全。對(duì)于安全要求級(jí)別較高的工作而言，為強(qiáng)化工作的屬地性，應(yīng)對(duì)工作的移動(dòng)辦公地理位置進(jìn)行安全管控，防止信息泄露于監(jiān)管范圍之外。

同時(shí)我們需要認(rèn)識(shí)到，由于移動(dòng)互聯(lián)網(wǎng)的空中開(kāi)放性，移動(dòng)終端的用戶(hù)必然會(huì)面臨數(shù)據(jù)竊聽(tīng)、篡改等風(fēng)險(xiǎn)，更有甚者可以通過(guò)干涉協(xié)議和物理要素來(lái)阻斷服務(wù)和業(yè)務(wù)，這是首要考慮的重要問(wèn)題之一。因?yàn)橐坏┌l(fā)生安全事故，如信息竊取者編寫(xiě)惡意API（Application Programming Interface，應(yīng)用程序編程接口）竊取手機(jī)信息，將可能對(duì)工作帶來(lái)無(wú)法彌補(bǔ)的嚴(yán)重后果。所以，移動(dòng)互聯(lián)網(wǎng)的信息安全問(wèn)題日漸凸顯，本文認(rèn)為，只有解決好移動(dòng)環(huán)境下的信息安全問(wèn)題，才能夠使移動(dòng)互聯(lián)網(wǎng)更好地發(fā)揮作用。

本文針對(duì)移動(dòng)互聯(lián)網(wǎng)的安全問(wèn)題，設(shè)計(jì)了一個(gè)面向移動(dòng)互聯(lián)網(wǎng)的安全防護(hù)方法，該方法從網(wǎng)絡(luò)、終端和位置三個(gè)層面，展開(kāi)了各具針對(duì)性的信息防護(hù)方式，旨在為移動(dòng)互聯(lián)網(wǎng)中的安全防護(hù)提供一定的參考。

1 基于HOTP的身份認(rèn)證防護(hù)方法

1.1 設(shè)計(jì)思路

HOTP（HMAC-Based One-Time Password Algorithm，基于HMAC的一次性口令算法）是一種由OATH組織提出的OTP（One-Time Password，動(dòng)態(tài)口令）算法標(biāo)準(zhǔn)，主要應(yīng)用于傳統(tǒng)網(wǎng)絡(luò)下的各類(lèi)服務(wù)、路由及強(qiáng)認(rèn)證等領(lǐng)域。其算法示意圖如下所示。

圖1 HOTP算法示意圖

其中，Key為共享密鑰，通常是由服務(wù)器下發(fā)的共享強(qiáng)密鑰；Count為計(jì)數(shù)器值，通過(guò)遞增的邏輯計(jì)算得到HOTP結(jié)果；HS1為運(yùn)用HMAC-SHA-1（一種由SHA1哈希函數(shù)構(gòu)建而成的鍵控算法）對(duì)Key和Count進(jìn)行加密的模塊，輸出HMAC-SHA-1（Key，Count）；DT為運(yùn)用DT函數(shù)對(duì)模塊A的輸出結(jié)果進(jìn)行十進(jìn)制轉(zhuǎn)換的模塊，并輸出HOTP的結(jié)果（HOTP_Client）。

在進(jìn)行HOTP的驗(yàn)證時(shí)，服務(wù)器根據(jù)Key和Count的數(shù)值計(jì)算得到HOTP值（HOTP_Server），隨后比較獲取到的HOTP_Client，并依據(jù)比較情況實(shí)施4種操作：

一是不等情況。此時(shí)服務(wù)器會(huì)自動(dòng)生成一個(gè)重同步的進(jìn)程，發(fā)送至終端要求進(jìn)行下一次認(rèn)證的提交操作。

二是相等情況。服務(wù)器認(rèn)證用戶(hù)通過(guò)，服務(wù)器的計(jì)數(shù)器數(shù)值加1；

三是不等情況下重新同步再次失敗。若終端的請(qǐng)求次數(shù)小于服務(wù)器設(shè)置的最大認(rèn)證閾值，則繼續(xù)要求終端提交下一次認(rèn)證。

四是不等情況下同步失敗次數(shù)已達(dá)服務(wù)器設(shè)置的最大閾值。服務(wù)器通知用戶(hù)認(rèn)證失敗并實(shí)施用戶(hù)鎖定操作。

HOTP的優(yōu)勢(shì)主要有以下三點(diǎn)：

一是密鑰由不確定的單項(xiàng)散列函數(shù)生成，確保密碼的一次性；

二是HOTP模式下的通信的數(shù)據(jù)量和次數(shù)均較低，適用于移動(dòng)互聯(lián)網(wǎng)；

三是HOTP本身算法較易實(shí)現(xiàn)，可匹配目前絕大多數(shù)移動(dòng)終端。

在移動(dòng)互聯(lián)網(wǎng)中，信息安全的核心問(wèn)題之一就是身份的認(rèn)證及鑒權(quán)。

一是身份認(rèn)證。指移動(dòng)終端使用者對(duì)外聲稱(chēng)的身份是否與真實(shí)身份相同。由于用戶(hù)權(quán)限的鑒權(quán)建立在身份認(rèn)證的有效識(shí)別上，所以身份認(rèn)證是鑒權(quán)的基礎(chǔ)。

二是鑒權(quán)。指通過(guò)身份認(rèn)證的用戶(hù)在請(qǐng)求某項(xiàng)信息的權(quán)限時(shí)，其是否確實(shí)擁有操作權(quán)限。

在移動(dòng)互聯(lián)網(wǎng)中，信息以數(shù)字信號(hào)的形式進(jìn)行傳輸，同時(shí)移動(dòng)終端及用戶(hù)基本為一對(duì)一的關(guān)系，所以加密方便、認(rèn)證實(shí)現(xiàn)較為簡(jiǎn)單。但同時(shí)也有著信息可靠性較低、計(jì)算能力及存儲(chǔ)能力不足、續(xù)航能力較差等缺點(diǎn)。本文結(jié)合移動(dòng)互聯(lián)網(wǎng)下的各項(xiàng)優(yōu)缺點(diǎn)及移動(dòng)互聯(lián)網(wǎng)下業(yè)務(wù)的新型特點(diǎn)，設(shè)計(jì)了一種基于HOTP的身份認(rèn)證防護(hù)方法，在用戶(hù)認(rèn)證過(guò)程中加入一定的動(dòng)態(tài)要素，實(shí)現(xiàn)密碼的動(dòng)態(tài)變換，提高用戶(hù)登錄的安全性。

1.2 基于HOTP的認(rèn)證機(jī)制算法

對(duì)于每個(gè)不同的終端，對(duì)其中的各項(xiàng)應(yīng)用設(shè)置一個(gè)獨(dú)立的HOTP值，服務(wù)器在校驗(yàn)HOTP值后獲取用戶(hù)的合法信息。在認(rèn)證開(kāi)始前，移動(dòng)終端需要和服務(wù)器建立一個(gè)共享密鑰，與計(jì)數(shù)器共同作為算法的輸入要素。本文設(shè)計(jì)的基于HOTP的認(rèn)證機(jī)制算法在原有HOTP的框架基礎(chǔ)上，實(shí)施了針對(duì)移動(dòng)互聯(lián)網(wǎng)特性的改進(jìn)，改進(jìn)后的算法如下圖所示。

圖2 基于HOTP的改進(jìn)認(rèn)證機(jī)制算法

其中，Key為共享密鑰；Count為計(jì)數(shù)器值；HS256為SHA-256加 密 模 塊， 輸 出 HMAC-SHA-256（Key，Count）；T為字符轉(zhuǎn)換模塊，輸出Tru（H），經(jīng)過(guò)Base64編碼后得到最終的HOTP值。

具體步驟如下：

步驟一：根據(jù)Key和Count的值輸出HMAC-SHA-256（K，C）；

步驟二：利用截?cái)喃@取T值，其中，H={H（0）,H（1）,…H（31）}，H（n）為H的第n個(gè)字符，取H（31）的末4位，輸出B_Set（十進(jìn)制數(shù)），0

步驟三：將第三步中輸出的P值轉(zhuǎn)換為字符P_Set，0

步驟四：輸出HOTP初始值，HOTP=P_Set×mod10num_HOTP。其中，6≤num_HOTP≤8；

步驟五：為提高信息傳輸?shù)陌踩煽啃?，最終將HOTP進(jìn)行Base64編碼，生成最終的HOTP值，HOTPend=Base64（HOTP）。

由于計(jì)數(shù)器Count值可能在實(shí)際應(yīng)用中發(fā)生偏移（終端計(jì)數(shù)大于服務(wù)器計(jì)數(shù)或終端計(jì)數(shù)小于服務(wù)器計(jì)數(shù)），本文設(shè)計(jì)了一個(gè)面向窗口值的容錯(cuò)算法。具體操作步驟如下：

步驟一：計(jì)算移動(dòng)終端與服務(wù)器之間計(jì)數(shù)器的差值極限（極限窗口），如下式所示：

Req_Max ＞ |Req_Server-Req_Client| （式 1）

其中，Req_Max為極限窗口值，Req_Server為服務(wù)器計(jì)數(shù)器值，Req_Client為移動(dòng)終端計(jì)數(shù)器值。

步驟二：移動(dòng)終端發(fā)出Req_Client請(qǐng)求；

步驟三：當(dāng)Req_Client在窗口范圍內(nèi)時(shí)，服務(wù)器校驗(yàn)成功；

步驟四：服務(wù)器采用Req_Client進(jìn)行用戶(hù)的身份認(rèn)證，不更新Req_Server。

由上述算法中可以看出，Req_Max越小，業(yè)務(wù)整體的安全性越高，這是由于窗口的縮小降低了偽造請(qǐng)求的可能，增強(qiáng)了機(jī)制的容錯(cuò)性能。但是需要注意的是，Req_Max并不是越小越好，而是要根據(jù)網(wǎng)絡(luò)實(shí)際環(huán)境、業(yè)務(wù)吞吐量等因素進(jìn)行綜合分析，才能達(dá)到效率與安全的統(tǒng)一。

但是Req_Max的引入，使得HOTP較容易遭受重放攻擊。對(duì)此本文設(shè)計(jì)了面向偏移量和歷史請(qǐng)求值的雙重安全加固方法。其中，偏移量指業(yè)務(wù)兩端計(jì)數(shù)器的絕對(duì)差值，本文中表示為REQ_Dev，計(jì)算次數(shù)與終端的認(rèn)證請(qǐng)求數(shù)相同（每次認(rèn)證計(jì)算一次），表達(dá)式如下：

Req_Dev=|Req_Server-Req_Client| （式 2）

歷史請(qǐng)求值是指在Req_Max內(nèi)已被終端用戶(hù)選用過(guò)的Req_Client值的集合，本文中表示為Req_Used。一般情況下，由于Req_Max＜32，所以Req_Used可以表示為32bits的整數(shù)值。當(dāng)Req_Client在Req_Max的窗口范圍內(nèi)時(shí)，Req_Used的Req_Dev位的值標(biāo)記為1（代表該C值已使用），可以表示為：

Req_Used（Req_Dev）=1 （式 3）

認(rèn)證Req_Client可以分為以下四種情況進(jìn)行考慮：

情況一：Req_Client＜Req_Server，且Req_Client超出Req_Max范圍。

服務(wù)器判斷終端的計(jì)數(shù)值無(wú)效，并反饋錯(cuò)誤報(bào)告。

情況二：Req_Client＜Req_Server，且Req_Client未超出Req_Max范圍。

服務(wù)器判斷Req_Client是否存在于Req_Dev中，若不存在，則驗(yàn)證成功，隨后計(jì)算HOTP值并進(jìn)行認(rèn)證；反之則反饋錯(cuò)誤報(bào)告。

情況三：Req_Client＞Req_Server。

服務(wù)器驗(yàn)證成功，并計(jì)算HOTP值，置Req_Client<

情況四：Req_Client=Req_Server。

服務(wù)器判斷該終端發(fā)起重放攻擊，記錄日志并反饋錯(cuò)誤報(bào)告。

1.3 安全性分析

本文設(shè)計(jì)的網(wǎng)絡(luò)環(huán)境下基于HOTP的身份認(rèn)證防護(hù)方法具備強(qiáng)密鑰及防御重放攻擊的能力，使得惡意第三方無(wú)法通過(guò)竊取某次的HOTP值實(shí)現(xiàn)移動(dòng)終端的認(rèn)證操作。同時(shí)，由于HOTP值在線(xiàn)性上是無(wú)關(guān)的，所以惡意第三方也無(wú)法通過(guò)推算來(lái)獲取到某一節(jié)點(diǎn)下一時(shí)刻可能出現(xiàn)的HOTP值。

傳統(tǒng)的HOTP認(rèn)證結(jié)構(gòu)大多采用的是HMAC-SHA-1，本文設(shè)計(jì)了一種應(yīng)用HMAC-SHA-256的HOTP認(rèn)證結(jié)構(gòu)，破解難度大，安全性與傳統(tǒng)的HOTP認(rèn)證結(jié)構(gòu)相比有較為顯著的提升。將本文設(shè)計(jì)的網(wǎng)絡(luò)環(huán)境下基于HOTP的身份認(rèn)證防護(hù)方法與消息驗(yàn)證碼MAC（Message Authentication Codes）防護(hù)方法、TIMESTAMP（時(shí)間戳，用于驗(yàn)證數(shù)據(jù)的存在性、有效性和完整性）、應(yīng)用密鑰一次下發(fā)及雙向?qū)Ρ鹊确椒ㄏ嘟Y(jié)合，可以針對(duì)移動(dòng)業(yè)務(wù)提供較為全面的防護(hù)，提升業(yè)務(wù)的安全可靠性。

2 基于移動(dòng)終端的安全防護(hù)方法

2.1 方法流程

移動(dòng)終端作為接入業(yè)務(wù)服務(wù)的媒介之一，其安全性在一定程度上影響著業(yè)務(wù)能否長(zhǎng)期平穩(wěn)有效運(yùn)轉(zhuǎn)。所以，本文認(rèn)為，移動(dòng)化不僅需要配備專(zhuān)屬的移動(dòng)終端，同時(shí)還需要針對(duì)移動(dòng)終端設(shè)計(jì)一套安全策略。

策略下發(fā)流程如下圖所示。

圖3 基于移動(dòng)終端的安全管理策略流程圖

基本流程如下：

步驟一：移動(dòng)終端安裝安全策略管理程序，程序安裝完成后自動(dòng)設(shè)為靜默開(kāi)機(jī)啟動(dòng)，權(quán)限等級(jí)最高。

步驟二：判斷程序的運(yùn)行次數(shù)。若首次運(yùn)行，則采集用戶(hù)信息進(jìn)行注冊(cè)；否則進(jìn)入后臺(tái)啟動(dòng)運(yùn)行并開(kāi)啟進(jìn)程保護(hù)功能。

步驟三：手機(jī)移動(dòng)終端上相關(guān)的硬件信息和軟件信息，上傳至安全策略管理數(shù)據(jù)庫(kù)。

步驟四：服務(wù)器下發(fā)策略配置文件，移動(dòng)終端將配置文件保存在本地文件夾之中，并寫(xiě)保護(hù)。

步驟五：初始化并執(zhí)行策略，監(jiān)聽(tīng)服務(wù)。

步驟六：移動(dòng)終端接收到新策略后進(jìn)行策略對(duì)比。若相同，則忽略策略更新，否則停止舊策略，導(dǎo)入新策略后運(yùn)行新策略。

需要注意的是，由于策略模塊具有唯一性，所以當(dāng)策略模塊過(guò)多時(shí)，一次性將其納入主體框架結(jié)構(gòu)將嚴(yán)重影響程序的運(yùn)轉(zhuǎn)效率，資源利用率低。對(duì)此，本文設(shè)計(jì)的基于移動(dòng)終端的安全管理方法采用動(dòng)態(tài)類(lèi)加載技術(shù)（獲取類(lèi)加載器并loadClass方法）。該方法僅將策略模塊的JAR（Java Archive，Java歸檔文件）包加載到主體框架之中，策略在調(diào)用之時(shí)，根據(jù)策略對(duì)應(yīng)的ID（標(biāo)識(shí)號(hào)）信息實(shí)現(xiàn)實(shí)時(shí)調(diào)用，進(jìn)而提供對(duì)應(yīng)的策略服務(wù)。此方法結(jié)構(gòu)靈活、便于操作，后期擴(kuò)展性較強(qiáng)。

2.2 安全防護(hù)策略

由于移動(dòng)終端與PC終端相比，在存儲(chǔ)空間及硬件水平等方面均存在一定的差距，所以本文針對(duì)移動(dòng)終端的特性，設(shè)計(jì)了十三種安全策略，分別是：

（1）通訊防護(hù)策略

主要用于控制移動(dòng)終端的各類(lèi)對(duì)外通訊方式，包括2/3/4G、WIFI模塊、藍(lán)牙通信等。當(dāng)終端在特定時(shí)間段之外使用通訊功能時(shí)，可以自動(dòng)停用服務(wù)，并生成日志上傳至防護(hù)記錄服務(wù)器。

（2）病毒防護(hù)策略

由于移動(dòng)終端的普及，針對(duì)移動(dòng)終端的各類(lèi)病毒、木馬也層出不窮。對(duì)此，針對(duì)移動(dòng)業(yè)務(wù)，防護(hù)策略應(yīng)當(dāng)做到實(shí)時(shí)/定時(shí)對(duì)設(shè)備進(jìn)行病毒檢查、記錄、消除以及路徑回溯，并及時(shí)更新病毒庫(kù)，確保移動(dòng)終端的使用安全。

（3）軟件防護(hù)策略

原則上，安裝有特殊應(yīng)用的移動(dòng)終端，應(yīng)當(dāng)做到專(zhuān)機(jī)專(zhuān)用。因此，防護(hù)策略在檢測(cè)到移動(dòng)終端安裝應(yīng)用時(shí)，首先與應(yīng)用白名單進(jìn)行比對(duì)，若比對(duì)通過(guò)，則安裝應(yīng)用并記錄上傳相關(guān)信息；否則取消安裝，并上傳告警日志至防護(hù)記錄服務(wù)器。

（4）瀏覽器防護(hù)策略

移動(dòng)終端啟用瀏覽器服務(wù)訪(fǎng)問(wèn)網(wǎng)絡(luò)時(shí)，將訪(fǎng)問(wèn)地址與訪(fǎng)問(wèn)白名單進(jìn)行比對(duì)，若地址存在于白名單之中，則允許訪(fǎng)問(wèn)并記錄上傳緩存信息；否則禁止訪(fǎng)問(wèn)，并上傳告警日志至防護(hù)記錄服務(wù)器。

（5）SIM卡（Subscriber Identi fi cation Module，用戶(hù)身份識(shí)別卡）防護(hù)策略

防護(hù)策略能夠?qū)σ苿?dòng)終端使用的SIM卡進(jìn)行監(jiān)測(cè)，用戶(hù)在首次運(yùn)行應(yīng)用時(shí)，系統(tǒng)自動(dòng)將SIM卡與設(shè)備進(jìn)行綁定，之后有任意一端發(fā)生變動(dòng)，均視為非法操作，系統(tǒng)自動(dòng)鎖定終端并上傳告警日志至防護(hù)記錄服務(wù)器。

（6）注銷(xiāo)防護(hù)策略

當(dāng)移動(dòng)終端因?yàn)槟撤N原因不再使用或報(bào)廢時(shí)，服務(wù)器注銷(xiāo)或轉(zhuǎn)移與該終端相關(guān)的所有信息，同時(shí)停止下發(fā)策略并進(jìn)行全網(wǎng)更新。

（7）用戶(hù)防護(hù)策略

用戶(hù)防護(hù)策略除了最基本的賬號(hào)密碼防護(hù)外，還應(yīng)具備多用戶(hù)防護(hù)策略，即同一設(shè)備上多個(gè)不同用戶(hù)進(jìn)行訪(fǎng)問(wèn)應(yīng)用業(yè)務(wù)時(shí)，需要移動(dòng)終端歸屬人授權(quán)，否則視為非法操作，鎖定終端并上傳告警日志至防護(hù)記錄服務(wù)器。

（8）環(huán)境防護(hù)策略

在首次運(yùn)行各項(xiàng)應(yīng)用前，對(duì)移動(dòng)終端的硬件環(huán)境及軟件環(huán)境進(jìn)行全方位掃描，檢測(cè)設(shè)備的SD卡、ROOT情況、安裝環(huán)境與要求環(huán)境是否吻合等，若不滿(mǎn)足安裝條件，則停止服務(wù)并告知使用者問(wèn)題節(jié)點(diǎn)及修正方案。

（9）流量防護(hù)策略

自動(dòng)檢測(cè)移動(dòng)終端的流量使用情況，將某一時(shí)間周期內(nèi)的流量使用情況與提供服務(wù)的實(shí)際流量消耗量閾值進(jìn)行比對(duì)，若存在異常流量消耗，則鎖定終端、停止服務(wù)并上傳異常流量行為記錄至防護(hù)記錄服務(wù)器。

（10）存儲(chǔ)防護(hù)策略

記錄移動(dòng)終端的文件傳輸行為，如USB傳輸、特定應(yīng)用局域網(wǎng)傳輸?shù)龋鬏旊p方的信息記錄于本地LOG，隨后上傳至防護(hù)記錄服務(wù)器。

（11）應(yīng)用防護(hù)策略

移動(dòng)終端在安裝相關(guān)應(yīng)用時(shí)，應(yīng)由管理員通過(guò)正則表達(dá)式（防止管理員下發(fā)非法路徑）進(jìn)行統(tǒng)一調(diào)配、下發(fā)，并根據(jù)反饋的安裝情況確定應(yīng)用配置的實(shí)際效果，便于對(duì)移動(dòng)終端的應(yīng)用進(jìn)行集中管理，如下圖所示。

圖4 應(yīng)用交互流程示意圖

（12）信息防護(hù)策略

對(duì)移動(dòng)終端接收、發(fā)送的短信及電話(huà)進(jìn)行記錄，同時(shí)對(duì)服務(wù)器與終端交互的信息進(jìn)行加密，確保信息不會(huì)產(chǎn)生泄漏風(fēng)險(xiǎn)。

（13）設(shè)備加速策略

能夠?qū)σ苿?dòng)終端的內(nèi)存、緩存進(jìn)行自動(dòng)/手動(dòng)清洗，提升系統(tǒng)性能、釋放設(shè)備資源、降低安全隱患。

本文認(rèn)為，上述策略在實(shí)際操作過(guò)程中應(yīng)使用分布式系統(tǒng)，將整個(gè)系統(tǒng)分解為各個(gè)功能模塊，便于管理及后續(xù)的開(kāi)發(fā)、更新。

3 面向可信位置的安全防護(hù)方法

3.1 設(shè)計(jì)方法

隨著移動(dòng)終端在互聯(lián)網(wǎng)中的不斷接入，網(wǎng)絡(luò)資源已經(jīng)跨越時(shí)空的阻隔實(shí)現(xiàn)了共享。位置信息的共享易導(dǎo)致安全問(wèn)題，泄漏信息。本文認(rèn)為應(yīng)當(dāng)對(duì)能夠使用移動(dòng)應(yīng)用的地理位置做一定限制，盡管這樣做有悖于“隨處可用”的思路，但也能在一定程度上位置信息被惡意竊??；而且，有的惡意第三方也可通過(guò)位置信息發(fā)起系統(tǒng)攻擊。

因此，本文設(shè)計(jì)了一種面向可信位置的安全防護(hù)方法，用于提升移動(dòng)終端的位置安全性及利用率。

圖5 LBAC模型示意圖

如上圖所示，在LBAC中，箭頭為“一對(duì)多”的邏輯關(guān)系，箭頭出發(fā)端為“一”，指向端為“多”。例如，位置→客體，指一個(gè)位置能夠?qū)?yīng)多個(gè)客體，但一個(gè)客體只能在某一時(shí)刻對(duì)應(yīng)一個(gè)位置。Control和Contain分別表示安全等級(jí)和位置是從高級(jí)別至低級(jí)別的支配和包含關(guān)系。

在LBAC（Location-Based Access Control，位置訪(fǎng)問(wèn)控制）模型的基礎(chǔ)上，本文針對(duì)該模型位置信息傳輸安全性較低的問(wèn)題，提出了一種改進(jìn)的可信位置防護(hù)方法，通過(guò)構(gòu)建T-LBAC（Trusted-Location-Based Access Control，可信的位置訪(fǎng)問(wèn)控制）模型來(lái)確保位置信息的可信度。

首先構(gòu)建可信度函數(shù)，表示為Yt→{0,1}，Yt的取值為0或1。當(dāng)獲取的位置來(lái)源于可信位置模塊時(shí)，Yt=1；否則Yt=0。

隨后結(jié)合主客體雙方的安全等級(jí)以及可信位置的安全等級(jí)設(shè)置強(qiáng)訪(fǎng)問(wèn)策略，以代替LBAC模型中缺少位置可靠性的弱訪(fǎng)問(wèn)策略。可信位置與訪(fǎng)問(wèn)原則如表1所示。

表1 可信位置與訪(fǎng)問(wèn)原則表

表中，主位表示主體位置，主體表示對(duì)其它實(shí)體進(jìn)行操作的實(shí)體；客位表示客體位置，客體表示被主體施加操作的實(shí)體。其中，可信主位能夠讀可信/不可信客位，可信/非可信主位能夠?qū)懣尚趴臀弧?/p>

主體對(duì)客體實(shí)施寫(xiě)操作時(shí)，限制條件有以下四個(gè)，分別是：

條件一：主客體安全等級(jí)相同；

條件二：客位可信度=1；

條件三：主客體的許可訪(fǎng)問(wèn)列表分別包含主客可信位；

條件四：主客體的可讀訪(fǎng)問(wèn)位置的安全等級(jí)分別支配主客體的安全等級(jí)。

主體對(duì)客體實(shí)施讀操作時(shí)，限制條件有以下四個(gè)，分別是：

條件一：主體安全等級(jí)大于客體安全等級(jí)；

條件二：主位可信度=1；

條件三：主客位的許可訪(fǎng)問(wèn)列表包含主客位可信位置；

條件四：主客體的可讀訪(fǎng)問(wèn)位置的安全等級(jí)分別支配主客體的安全等級(jí)。

其中，主客體的安全等級(jí)表示安全性能的集合，主體的安全等級(jí)指主體能夠訪(fǎng)問(wèn)的信息類(lèi)別范圍，客體的安全等級(jí)指客體所包含的信息類(lèi)別范圍。位置安全等級(jí)與主客體安全等級(jí)類(lèi)似，指進(jìn)入某一位置所必須的安全范疇（一般分為四個(gè)范疇），并且由位置集合中所有元素的安全等級(jí)共同決定。原則上，不論是主客體還是位置，均是由高級(jí)別安全等級(jí)向低級(jí)別安全等級(jí)單向流動(dòng)的信息流，從而確保流程中的信息不會(huì)泄露。

讀寫(xiě)控制原則如下表所示。

表2 讀寫(xiě)控制原則表

其中，主位可信度表示為Y_S，客位可信度表示為Y_B，主體安全等級(jí)表示為G_S，客體安全等級(jí)表示為G_B。

3.2 改進(jìn)優(yōu)勢(shì)說(shuō)明

在本文提出的面向可信位置的安全防護(hù)方法中，由于引進(jìn)了可信位置參數(shù)，所以業(yè)務(wù)應(yīng)用安全性有了一定的提升，主要體現(xiàn)在以下三個(gè)方面：

一是避免遭受位置欺騙類(lèi)型的惡意攻擊。TLBAC模型約束于可信位置的加密信息傳輸，較LBAC模型能夠確保授權(quán)主體的真實(shí)性，非授權(quán)主體無(wú)法通過(guò)偽造位置來(lái)發(fā)起攻擊。

二是確保位置信息的完整保密。TLBAC模型中的可信位置由對(duì)應(yīng)的模塊及算法計(jì)算得出，無(wú)法經(jīng)由第三方偽造、篡改。對(duì)于第三方而言，在竊取到當(dāng)前時(shí)刻的位置信息時(shí)，也無(wú)法將偽造的信息傳輸給主體。

三是安全擴(kuò)展性能強(qiáng)?？尚庞?jì)算應(yīng)用于位置信息的安全防護(hù)只是該方法的運(yùn)用方式之一，TLBAC模型在此基礎(chǔ)上能夠進(jìn)行深度擴(kuò)展，進(jìn)一步完善業(yè)務(wù)整體的安全性。

4 結(jié)語(yǔ)

本文設(shè)計(jì)的面向移動(dòng)互聯(lián)網(wǎng)的安全防護(hù)方法從理論層面上為移動(dòng)互聯(lián)網(wǎng)中的安全防護(hù)方法提供了一定的參考，實(shí)用性較高。但在實(shí)際應(yīng)用中，還需要考慮諸如連接數(shù)超限、端口非法占用、硬件斷電、網(wǎng)絡(luò)連接異常等問(wèn)題所帶來(lái)的影響。所以，在方案部署之時(shí)還需要進(jìn)行深入調(diào)研，并思考多級(jí)冗余備份等輔助支撐方法的可行性。此外，隨著混合云技術(shù)的不斷發(fā)展和IT資源的集中化、服務(wù)化，混合云環(huán)境下的移動(dòng)應(yīng)用也會(huì)得到一定的增長(zhǎng)和完善。本文將繼續(xù)研究混合云技術(shù)下的移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題，針對(duì)混合云，積極思考面向移動(dòng)互聯(lián)網(wǎng)的安全防護(hù)框架體系，努力為今后混合云的發(fā)展建設(shè)提供技術(shù)參考。