基于上述原因，对移动智能终端安全防护技术 的研究分成了五个方面：硬件安全、操作系统安全、 应用软件安全、外围接口安全和用户数据安全。
2 硬件安全
图 1（b） 2012 年中美两国在全球智能手机 市场份额中的占比
心，这是移动智能终端的重要特征。如图 2 所示，移 动智能终端的安全架构包括三大层面：硬件层、操作 系统层和应用软件层。移动智能终端的安全架构是 首先保证安全的硬件，通过安全的硬件绑定安全的 操作系统，安全的操作系统绑定安全的应用软件，这 样层层绑定从而实现移动智能终端整体的安全。
1 移动智能终端安全架构
移动智能终端安全架构以开放式操作系统为核
M ···························· 现代电信科技 ODERN SCIENCE & TECHNOLOGY OF TELECOMMUNICATIONS
图 1（a） 2012 年二季度国 Nhomakorabea智能手机出货量占比
终端的智能化以及存储空间的不断增大，用户的很 多重要数据存储在终端中，如通讯录、短信、日程安 排等，终端中的大量隐私一旦遭到泄露，那么将对用 户造成很大的危害，因此用户数据的保护也是移动 智能终端安全研究非常重要的方面。
应用软件 外用 围户 接数 口据
图 2 移动智能终端安全架构
移动终端硬件安全的目标是为移动终端提供可 信的硬件平台，在移动终端芯片级实现安全策略，保 证移动通信终端内部 Flash 和基带的安全，确保芯 片内系统程序、终端参数、安全数据、用户数据不被 篡改或非法获取。
移动终端芯片的安全主要是指移动终端内部 Flash 芯片和基带芯片的安全两个方面。Flash 芯片 是指记录移动终端系统程序、终端参数以及用户数 据的芯片。为了保护移动终端 Flash 芯片的安全，需 要通过对芯片中的系统引导程序、通信协议栈、移动 终端 IMEI 号、用户私密数据、其他芯片配置软件等 进行安全保护。基带芯片通常包含一个用于声音编 码 / 压缩、平衡、调制和解调的数字信号处理器和一 个用于处理协议栈和用户接口的控制处理器。对于 基带芯片来说，需要对 ROM 中的软件程序、重要安 全参数（例如 UID、认证数据、访问控制列表、密钥 等）、芯片的逻辑设计信息、其他重要安全资产等进 行安全保护。
应用软件安全控制的防护技术分为两种：应用 软件认证签名机制和敏感 API 管控技术。
4.1 应用软件认证签名机制 应用软件认证签名机制是目前业界常用的对应 用软件进行管理的有效手段。Android、Apple、Windows Mobile 等智能终端平台厂商都采取了各自的 数字签名认证机制，对调用特定 API 的软件进行测 试认证，对通过测试的软件进行数字签名。未经过签 名认证的软件在移动智能终端安装运行时，将无法 调用敏感 API 或调用时会对用户进行安全提醒。 应用软件认证签名是应用软件在发布之前经由 可信第三方对应用程序进行检测并签名，用户在下 载安装应用之时，使用可信第三方的公钥对经过签 名的应用程序进行签名验证，只有通过签名验证的
2.3 移动终端基带芯片一致性的安全 基带芯片的一致性可以保证移动终端的基带芯 片在出厂后的整个生命周期中保持自身的物理特 性、功能属性、主要参数等与出厂时相同，并具备一 定的软硬件合法识别能力。通过该技术，可以有效地 保证移动终端基带芯片的安全。具体要求如下： ·移动终端芯片能够识别基带芯片是否合法，能 够通过芯片内部的信息标识出厂商、硬件版本等信 息； ·基带芯片与 Flash 芯片之间建立匹配关系； ·移动终端芯片发现基带芯片出现异常情况之 时，可采取一定的措施保护移动终端的安全。
3.1 安全调用控制 由于移动智能终端操作系统的开放性，操作系 统中间层有很多应用程序编程接口(API：Application Programming Interface)开放给用户进行二次开发，这 就带来了很多风险。如果对 API 不加以控制，则开发 者很容易通过合理的组合调用实现恶意行为，对用 户信息安全造成威胁。 需要进行安全控制的 API 包括通信类 API 和 本地敏感 API。通信类 API 可能会造成用户的资费 损失，如：拨打电话、三方通话、发送短信、发送彩信、 发送邮件、移动网络数据连接、WLAN 网络连接等。 本地敏感 API 可能会造成用户私密信息的泄露，如： 定位、通话录音、本地录音、拍照 / 摄像、对用户数据 的操作等。 安全控制的方式是在调用这些敏感 API 时应得 到用户的确认，相应的调用行为才能执行。每次调用 均需确认是最安全的做法，但是可能会影响用户体 验，因此为了不影响用户使用的感受，针对不同的应 用场景，可以选择其他的确认方式。如应用软件首次 运行时进行确认，一次确认后长期有效，或者重起软 件时需再次确认。 操作系统也可以提供统一的应用权限管理功 能，将每个应用软件所调用的敏感 API 列出来，用户 可在列表中选择允许调用哪些 API，禁止调用哪些 API。这样既保证了移动智能终端操作系统的安全 性，又不影响用户的操作体验。
4 应用软件安全
随着移动智能终端用户越来越多，相对应的应 用软件也迅猛增加。但是，由于操作系统厂商缺乏对 应用软件的审核机制，攻击者很容易把病毒、木马、 蠕虫等恶意代码植入到应用软件中，对移动智能终 端用户造成一定的危害。
应用软件安全控制的目标是移动智能终端能够 确定应用软件的来源，并对已经安装的应用软件进 行敏感行为的控制。
移动智能终端通常有丰富的外围接口，这些外 围接口在增强用户体验的同时增加了病毒传播的风 险，一些攻击者会通过这些外围接口对移动智能终 端进行攻击，从而威胁移动智能终端的安全，因此在 研究移动智能终端安全时将外围接口安全作为单独 的内容进行研究具有重要意义。另外随着移动智能
绑定 绑定
第三方应用软件 预置应用软件 智能终端操作系统 智能终端芯片
通过对移动终端芯片安全的技术分析，为了完 成对以上安全内容的保护，移动终端的芯片必须要 实现一系列的安全技术方案，来达到对芯片不同级 别的安全保护。下面从四个方面对移动终端芯片安 全进行分析。
2.1 移动终端基带芯片调试端口的安全 通过联合测试行动小组 （JTAG：Joint Test Ac-
2012 年 9 月第 9 期 现代电信科技 23
2.4 加密单元的安全 为了进一步提高移动终端芯片的安全，移动终 端芯片可以通过加密单元对受保护的程序、数据、参 数进行加密，通过该技术方案能够对移动终端芯片 实现进一步的安全保护。加密单元的安全性是针对 具备加密能力的移动终端芯片进行加密功能的验 证。主要是验证加密模块的正确性，包含对称加密算 法、非对称加密算法、哈希算法等。
由于移动智能终端本身的开放性、灵活性，以及移 动智能终端的广泛应用，给移动用户乃至国家在信息 安全方面造成极大威胁。移动智能终端面临着各种各 样的安全问题：如恶意软件可以控制移动智能终端后 台发送短信及后台联网等，造成话费损失；恶意软件还 可以在用户不知情的情况下，监听通话、获取用户位置 信息、读取和删除用户的个人数据等，造成用户隐私的 泄露。基于当前移动智能终端的安全形势，本文针对移 动智能终端的安全防护技术进行了分析，并介绍了相 应的评测方法。
F 技术专题···························· eat r u es
tion Group）接口可以访问移动终端基带芯片，通常 是使用该接口对基带芯片进行调试，因此 JTAG 接 口是目前威胁移动终端基带芯片安全的最主要因素 之一。所以需要对 JTAG 口进行安全访问限制，来保 证移动终端芯片的安全。
2.2 移动终端芯片的安全访问 为了对移动终端芯片中需要保护的区域提供保 护，移动终端芯片需要提供安全访问规则，通常涉及 移动终端硬件中几类受限制的访问区域：受保护的 应用程序、系统安全参数（如：芯片 ID、认证数据、访 问控制列表、密钥等）、受保护的用户数据、其他敏感 类数据等。通过提供安全访问规则，可以有效地对以 上区域进行保护。
22 MSTT September 2012
随着通信技术和移动互联网的高速发展，移动智 能终端成为了访问互联网的主要方式之一。由于移动 智能终端的功能不断强大和大面积普及，移动智能终 端已成为人们日常生活不可或缺的用品。据 IDC 数据 显示，2012 年第二季度，中国移动手机出货量达到 8 700 万部，其中 51%为智能手机。在 2012 年全球智能 手机市场中，中国市场份额占比达 26.5%，美国占 17.8%，中国已经超越美国成全球最大智能手机市场 （图 1）。
应用程序才能安装到终端上。 应用软件认证签名机制要求移动智能终端具备
该机制，在用户下载安装应用软件时，可提示应用软 件的签名状态，避免用户由于下载安装未经签名的 应用软件，给用户带来安全威胁。通过应用软件认证 签名机制可有效避免携带恶意代码或非法内容的应 用软件的传播。
4.2 敏感 API 管控技术 除了利用应用软件的签名机制外，还可加强对 敏感 API 的调用管理，从而对移动智能终端进行安 全防护。应用软件的 API 管控技术与上文操作系统 提到的安全控制技术相似。移动智能终端操作系统 可提供对应用所调用的敏感 API 的管控，给用户提 供菜单可允许或者禁止应用软件对某一敏感 API 的 调用。通过敏感 API 管控技术可有效地防范携带恶 意代码的应用软件实施恶意行为。
24 MSTT September 2012
M ···························· 现代电信科技 ODERN SCIENCE & TECHNOLOGY OF TELECOMMUNICATIONS
3.2 操作系统的更新 除了加强操作系统的安全调用控制外，还应保 证操作系统的自身升级是可控的。由于智能终端操 作系统的开放性，很多移动智能终端在出厂后还能 够进行非官方授权的刷机操作。通过对移动智能终 端刷机操作，有可能修改移动智能终端的协议栈，给 移动终端植入恶意代码，从而给移动智能终端带来 巨大的安全威胁。所以移动智能终端应能保证官方 授权的操作系统的更新，对于非授权操作系统更新， 应给用户相应的提示，保证操作系统的安全。对于不 能保证操作系统安全的更新，厂家应在说明书或其 他地方明示用户可能带来的安全风险。