当前位置:文档之家› 移动智能终端安全防护技术_孙龙

移动智能终端安全防护技术_孙龙

基于上述原因,对移动智能终端安全防护技术 的研究分成了五个方面:硬件安全、操作系统安全、 应用软件安全、外围接口安全和用户数据安全。
2 硬件安全
图 1(b) 2012 年中美两国在全球智能手机 市场份额中的占比
心,这是移动智能终端的重要特征。如图 2 所示,移 动智能终端的安全架构包括三大层面:硬件层、操作 系统层和应用软件层。移动智能终端的安全架构是 首先保证安全的硬件,通过安全的硬件绑定安全的 操作系统,安全的操作系统绑定安全的应用软件,这 样层层绑定从而实现移动智能终端整体的安全。
1 移动智能终端安全架构
移动智能终端安全架构以开放式操作系统为核
M ···························· 现代电信科技 ODERN SCIENCE & TECHNOLOGY OF TELECOMMUNICATIONS
图 1(a) 2012 年二季度国 Nhomakorabea智能手机出货量占比
终端的智能化以及存储空间的不断增大,用户的很 多重要数据存储在终端中,如通讯录、短信、日程安 排等,终端中的大量隐私一旦遭到泄露,那么将对用 户造成很大的危害,因此用户数据的保护也是移动 智能终端安全研究非常重要的方面。
应用软件 外用 围户 接数 口据
图 2 移动智能终端安全架构
移动终端硬件安全的目标是为移动终端提供可 信的硬件平台,在移动终端芯片级实现安全策略,保 证移动通信终端内部 Flash 和基带的安全,确保芯 片内系统程序、终端参数、安全数据、用户数据不被 篡改或非法获取。
移动终端芯片的安全主要是指移动终端内部 Flash 芯片和基带芯片的安全两个方面。Flash 芯片 是指记录移动终端系统程序、终端参数以及用户数 据的芯片。为了保护移动终端 Flash 芯片的安全,需 要通过对芯片中的系统引导程序、通信协议栈、移动 终端 IMEI 号、用户私密数据、其他芯片配置软件等 进行安全保护。基带芯片通常包含一个用于声音编 码 / 压缩、平衡、调制和解调的数字信号处理器和一 个用于处理协议栈和用户接口的控制处理器。对于 基带芯片来说,需要对 ROM 中的软件程序、重要安 全参数(例如 UID、认证数据、访问控制列表、密钥 等)、芯片的逻辑设计信息、其他重要安全资产等进 行安全保护。
应用软件安全控制的防护技术分为两种:应用 软件认证签名机制和敏感 API 管控技术。
4.1 应用软件认证签名机制 应用软件认证签名机制是目前业界常用的对应 用软件进行管理的有效手段。Android、Apple、Windows Mobile 等智能终端平台厂商都采取了各自的 数字签名认证机制,对调用特定 API 的软件进行测 试认证,对通过测试的软件进行数字签名。未经过签 名认证的软件在移动智能终端安装运行时,将无法 调用敏感 API 或调用时会对用户进行安全提醒。 应用软件认证签名是应用软件在发布之前经由 可信第三方对应用程序进行检测并签名,用户在下 载安装应用之时,使用可信第三方的公钥对经过签 名的应用程序进行签名验证,只有通过签名验证的
2.3 移动终端基带芯片一致性的安全 基带芯片的一致性可以保证移动终端的基带芯 片在出厂后的整个生命周期中保持自身的物理特 性、功能属性、主要参数等与出厂时相同,并具备一 定的软硬件合法识别能力。通过该技术,可以有效地 保证移动终端基带芯片的安全。具体要求如下: ·移动终端芯片能够识别基带芯片是否合法,能 够通过芯片内部的信息标识出厂商、硬件版本等信 息; ·基带芯片与 Flash 芯片之间建立匹配关系; ·移动终端芯片发现基带芯片出现异常情况之 时,可采取一定的措施保护移动终端的安全。
3.1 安全调用控制 由于移动智能终端操作系统的开放性,操作系 统中间层有很多应用程序编程接口(API:Application Programming Interface)开放给用户进行二次开发,这 就带来了很多风险。如果对 API 不加以控制,则开发 者很容易通过合理的组合调用实现恶意行为,对用 户信息安全造成威胁。 需要进行安全控制的 API 包括通信类 API 和 本地敏感 API。通信类 API 可能会造成用户的资费 损失,如:拨打电话、三方通话、发送短信、发送彩信、 发送邮件、移动网络数据连接、WLAN 网络连接等。 本地敏感 API 可能会造成用户私密信息的泄露,如: 定位、通话录音、本地录音、拍照 / 摄像、对用户数据 的操作等。 安全控制的方式是在调用这些敏感 API 时应得 到用户的确认,相应的调用行为才能执行。每次调用 均需确认是最安全的做法,但是可能会影响用户体 验,因此为了不影响用户使用的感受,针对不同的应 用场景,可以选择其他的确认方式。如应用软件首次 运行时进行确认,一次确认后长期有效,或者重起软 件时需再次确认。 操作系统也可以提供统一的应用权限管理功 能,将每个应用软件所调用的敏感 API 列出来,用户 可在列表中选择允许调用哪些 API,禁止调用哪些 API。这样既保证了移动智能终端操作系统的安全 性,又不影响用户的操作体验。
4 应用软件安全
随着移动智能终端用户越来越多,相对应的应 用软件也迅猛增加。但是,由于操作系统厂商缺乏对 应用软件的审核机制,攻击者很容易把病毒、木马、 蠕虫等恶意代码植入到应用软件中,对移动智能终 端用户造成一定的危害。
应用软件安全控制的目标是移动智能终端能够 确定应用软件的来源,并对已经安装的应用软件进 行敏感行为的控制。
移动智能终端通常有丰富的外围接口,这些外 围接口在增强用户体验的同时增加了病毒传播的风 险,一些攻击者会通过这些外围接口对移动智能终 端进行攻击,从而威胁移动智能终端的安全,因此在 研究移动智能终端安全时将外围接口安全作为单独 的内容进行研究具有重要意义。另外随着移动智能
绑定 绑定
第三方应用软件 预置应用软件 智能终端操作系统 智能终端芯片
通过对移动终端芯片安全的技术分析,为了完 成对以上安全内容的保护,移动终端的芯片必须要 实现一系列的安全技术方案,来达到对芯片不同级 别的安全保护。下面从四个方面对移动终端芯片安 全进行分析。
2.1 移动终端基带芯片调试端口的安全 通过联合测试行动小组 (JTAG:Joint Test Ac-
2012 年 9 月第 9 期 现代电信科技 23
2.4 加密单元的安全 为了进一步提高移动终端芯片的安全,移动终 端芯片可以通过加密单元对受保护的程序、数据、参 数进行加密,通过该技术方案能够对移动终端芯片 实现进一步的安全保护。加密单元的安全性是针对 具备加密能力的移动终端芯片进行加密功能的验 证。主要是验证加密模块的正确性,包含对称加密算 法、非对称加密算法、哈希算法等。
由于移动智能终端本身的开放性、灵活性,以及移 动智能终端的广泛应用,给移动用户乃至国家在信息 安全方面造成极大威胁。移动智能终端面临着各种各 样的安全问题:如恶意软件可以控制移动智能终端后 台发送短信及后台联网等,造成话费损失;恶意软件还 可以在用户不知情的情况下,监听通话、获取用户位置 信息、读取和删除用户的个人数据等,造成用户隐私的 泄露。基于当前移动智能终端的安全形势,本文针对移 动智能终端的安全防护技术进行了分析,并介绍了相 应的评测方法。
F 技术专题···························· eat r u es
tion Group)接口可以访问移动终端基带芯片,通常 是使用该接口对基带芯片进行调试,因此 JTAG 接 口是目前威胁移动终端基带芯片安全的最主要因素 之一。所以需要对 JTAG 口进行安全访问限制,来保 证移动终端芯片的安全。
2.2 移动终端芯片的安全访问 为了对移动终端芯片中需要保护的区域提供保 护,移动终端芯片需要提供安全访问规则,通常涉及 移动终端硬件中几类受限制的访问区域:受保护的 应用程序、系统安全参数(如:芯片 ID、认证数据、访 问控制列表、密钥等)、受保护的用户数据、其他敏感 类数据等。通过提供安全访问规则,可以有效地对以 上区域进行保护。
22 MSTT September 2012
随着通信技术和移动互联网的高速发展,移动智 能终端成为了访问互联网的主要方式之一。由于移动 智能终端的功能不断强大和大面积普及,移动智能终 端已成为人们日常生活不可或缺的用品。据 IDC 数据 显示,2012 年第二季度,中国移动手机出货量达到 8 700 万部,其中 51%为智能手机。在 2012 年全球智能 手机市场中,中国市场份额占比达 26.5%,美国占 17.8%,中国已经超越美国成全球最大智能手机市场 (图 1)。
应用程序才能安装到终端上。 应用软件认证签名机制要求移动智能终端具备
该机制,在用户下载安装应用软件时,可提示应用软 件的签名状态,避免用户由于下载安装未经签名的 应用软件,给用户带来安全威胁。通过应用软件认证 签名机制可有效避免携带恶意代码或非法内容的应 用软件的传播。
4.2 敏感 API 管控技术 除了利用应用软件的签名机制外,还可加强对 敏感 API 的调用管理,从而对移动智能终端进行安 全防护。应用软件的 API 管控技术与上文操作系统 提到的安全控制技术相似。移动智能终端操作系统 可提供对应用所调用的敏感 API 的管控,给用户提 供菜单可允许或者禁止应用软件对某一敏感 API 的 调用。通过敏感 API 管控技术可有效地防范携带恶 意代码的应用软件实施恶意行为。
24 MSTT September 2012
M ···························· 现代电信科技 ODERN SCIENCE & TECHNOLOGY OF TELECOMMUNICATIONS
3.2 操作系统的更新 除了加强操作系统的安全调用控制外,还应保 证操作系统的自身升级是可控的。由于智能终端操 作系统的开放性,很多移动智能终端在出厂后还能 够进行非官方授权的刷机操作。通过对移动智能终 端刷机操作,有可能修改移动智能终端的协议栈,给 移动终端植入恶意代码,从而给移动智能终端带来 巨大的安全威胁。所以移动智能终端应能保证官方 授权的操作系统的更新,对于非授权操作系统更新, 应给用户相应的提示,保证操作系统的安全。对于不 能保证操作系统安全的更新,厂家应在说明书或其 他地方明示用户可能带来的安全风险。
相关主题