移動(dòng)應(yīng)用終端信息安全設(shè)計(jì)方案

1、移動(dòng)應(yīng)用終端信息安全設(shè)計(jì)方案隨著移動(dòng)通信業(yè)務(wù)的發(fā)展，移動(dòng)終端設(shè)備的功能也隨之發(fā)生了巨大的變化。3G技術(shù)的普及改變了以往移動(dòng)終端單一的業(yè)務(wù)模式。從最初的語音傳輸，發(fā)展成短消息業(yè)務(wù)和Web瀏覽，后來擴(kuò)展成多媒體短信業(yè)務(wù)及各種無線增值業(yè)務(wù)，移動(dòng)終端也從簡單的通話工具逐漸成為集合PDA、MP3、視頻、游戲、拍照、GPS、視頻通話等功能的移動(dòng)多媒體終端，演變成集通話、身份代表、信息獲取、電子支付等為一體的手持終端工具。伴隨著移動(dòng)終端用戶規(guī)模的繼續(xù)擴(kuò)大和用戶對(duì)移動(dòng)終端技術(shù)的了解，移動(dòng)終端正面臨著越來越多的安全威脅。1、移動(dòng)終端的幾種典型的安全威脅：² 移動(dòng)終端身份識(shí)別碼的刪除和篡改等由于IMEI

2、號(hào)可用來統(tǒng)計(jì)用戶的終端類型、限制被盜終端在移動(dòng)網(wǎng)內(nèi)的重新使用等用途，所以IMEI號(hào)應(yīng)該具有一定的保護(hù)措施。² 終端操作系統(tǒng)非法修改和刷新等由于非法操作系統(tǒng)可能會(huì)影響用戶使用并干擾正常網(wǎng)絡(luò)運(yùn)行，因此操作系統(tǒng)應(yīng)當(dāng)阻止一切非法的修改和刷新等。² 個(gè)人隱私數(shù)據(jù)的非法讀取訪問等移動(dòng)終端內(nèi)部可能會(huì)存有用戶的電話簿、短信、銀行賬號(hào)、口令等用戶隱私信息，如果這些信息被他人非法獲得，很可能給用戶造成直接的經(jīng)濟(jì)損失。² 病毒和惡意代碼的破壞病毒和惡意代碼很可能會(huì)破壞移動(dòng)終端的正常使用，還可能會(huì)將用戶的隱私信息不知不覺地傳給他人。² 移動(dòng)終端被盜等目前移動(dòng)終端被盜現(xiàn)象極其嚴(yán)重

3、，終端被盜給用戶帶來直接經(jīng)濟(jì)損失，更嚴(yán)重的是用戶隱私數(shù)據(jù)的泄漏等。總之，移動(dòng)終端存在的安全隱患可能會(huì)威脅到個(gè)人隱私、私有財(cái)產(chǎn)甚于國家安全。盡管移動(dòng)終端面臨著許多的安全威脅，但目前其安全問題仍是整個(gè)移動(dòng)運(yùn)營網(wǎng)絡(luò)中的一個(gè)安全盲點(diǎn)。雖然目前面市的一些終端號(hào)稱信息安全終端，采用了比如生物特征識(shí)別、數(shù)據(jù)加密保護(hù)、終端殺毒軟件等等，但對(duì)終端的安全保護(hù)程度是遠(yuǎn)遠(yuǎn)不夠的。2、移動(dòng)終端內(nèi)部架構(gòu)2.1移動(dòng)終端開放的內(nèi)部數(shù)據(jù)資源一般來說，目前所有的敏感信息包括開關(guān)機(jī)口令、敏感電話簿、機(jī)密短信、證書、用戶私鑰等信息都存放在片外存儲(chǔ)器中，用于調(diào)試訪問片內(nèi)資源的JTAG口等是開放的（目前沒有有效的方式封閉JTAG口）。所

4、以攻擊者很容易通過JTAG口等調(diào)試端口獲得DBB內(nèi)部或者Flash中的存儲(chǔ)信息。甚于很多終端的JTAG口直接連在終端外邊，攻擊者連機(jī)殼等都不必打開，就可以獲得內(nèi)部資源。攻擊者也可以將Flash芯片取下并采用專門的設(shè)備將內(nèi)部數(shù)據(jù)讀出。FLASH或EEPROMDBBABBRFJTAG接口圖1常見移動(dòng)終端內(nèi)部結(jié)構(gòu)模型圖基于以上介紹，出于為移動(dòng)終端內(nèi)部敏感數(shù)據(jù)資源提供集中的安全保護(hù)措施角度考慮，提出了安全模塊的概念。2.2安全模塊所謂安全模塊，就是為移動(dòng)終端所有或大部分敏感信息提供集中存放和運(yùn)算的芯片模塊。典型應(yīng)用如：Ø 移動(dòng)終端系統(tǒng)的各種配置信息；Ø 敏感信息的安全存儲(chǔ)包括銀行賬

5、號(hào)密碼信息、CA證書、密鑰；Ø 操作系統(tǒng)、身份序列號(hào)及其他信息的完整性保護(hù)；Ø 手機(jī)防盜技術(shù)的實(shí)施；Ø 密碼算法的存儲(chǔ)和運(yùn)算等。根據(jù)安全模塊的功能，提出一種典型的安全模塊文件邏輯模型，如圖2所示。EFOsEFDataEFAdnEFSmsEFonoffEFFileEFCAEFPrivDFPassDDFKeyDFAdnMsaDFMACEFIMEIMF圖2安全模塊的文件邏輯模型從圖2可以看出，文件按分層結(jié)構(gòu)組織，共有三種類型。操作系統(tǒng)可以處理和訪問不同文件中的數(shù)據(jù)。a) 主文件（MFMaster File）主文件代表一個(gè)功能大類，只有文件頭，沒有文件體。其下可以存放針對(duì)

6、某一應(yīng)用領(lǐng)域的各種安全相關(guān)參數(shù)和數(shù)據(jù)。b) 目錄文件（DFDirectory File）目錄文件是一個(gè)或多個(gè)文件的邏輯分組，目錄文件只有文件頭，沒有文件體。在圖2的文件邏輯模型中，DF PpassD目錄包括開關(guān)機(jī)口令文件EF OnOFF和文件資源訪問口令EF File等；DFKEY目錄下包括CA證書文件EFCa和私鑰文件EF Priv等；DFMAC目錄包括操作系統(tǒng)MAC文件Efos和數(shù)據(jù)MAC文件EFData等；DFAdnSms目錄包括機(jī)密電話簿文件EFAdn和EFSms等。c) 基于數(shù)據(jù)文件（EFElementary File）一個(gè)基本數(shù)據(jù)文件由文件頭和文件體組成。2.3安全模塊的硬件模型安

7、全模塊以微處理作為其核心。該芯片必須能夠抵擋芯片的各種威脅，如開冒后的探針物理探測(cè)、邊信道（例如DPA、SPA）攻擊等，另外芯片體積要小，功耗要少。圖3是一種典型的安全模塊硬件模型圖。定時(shí)器I/O端口ROM隨機(jī)數(shù)產(chǎn)生器RAMEEPROM密碼算法協(xié)處理器MPU系統(tǒng)中斷時(shí)鐘輸入濾波電源電路協(xié)處理器安全檢測(cè)傳感器協(xié)處理器復(fù)位電路協(xié)處理器/RSTVSSVDD圖3安全模塊硬件模型安全性分析：系統(tǒng)首先從安全模塊啟動(dòng)，而且安全模塊和基帶芯片處于主從工作狀態(tài)。當(dāng)安全模塊沒有通過對(duì)基帶芯片的認(rèn)證，或者操作系統(tǒng)等數(shù)據(jù)的MAC結(jié)果不正確時(shí)，安全模塊就會(huì)拒絕與基帶芯片協(xié)商會(huì)話密鑰，同時(shí)拒絕將敏感信息傳送出去。在這種情

8、況下，假冒的基帶芯片有可能會(huì)繼續(xù)啟動(dòng)并達(dá)到一種穩(wěn)定的工作狀態(tài)，但攻擊者仍無法獲得安全模塊中的敏感數(shù)據(jù)。3、移動(dòng)終端的安全需求中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）明確提出移動(dòng)終端信息安全技術(shù)要求，需提供措施保證系統(tǒng)參數(shù)和數(shù)據(jù)、用戶數(shù)據(jù)、密鑰信息和證書以及應(yīng)用程序的完整性、機(jī)密性，終端關(guān)鍵器件的完整性、可靠性以及用戶身份的真實(shí)性。因此在進(jìn)行移動(dòng)終端應(yīng)用開發(fā)、設(shè)計(jì)時(shí)應(yīng)參照行業(yè)標(biāo)準(zhǔn)以及未來的安全發(fā)展需求分析作為依據(jù)，將一系列的安全策略作為開發(fā)的關(guān)鍵因素。如，對(duì)操作系統(tǒng)、應(yīng)用程序等進(jìn)行一致性檢驗(yàn)；基于對(duì)用戶的身份進(jìn)行認(rèn)證后，根據(jù)用戶的授權(quán)提供資源及對(duì)象的訪問和操作權(quán)限；對(duì)終端的密鑰、證書、系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)等

9、進(jìn)行有效的安全管理，保證存儲(chǔ)數(shù)據(jù)的安全；提供終端各種接口接入的安全控制，安全的接入各種網(wǎng)絡(luò)；終端中的關(guān)鍵硬件組成還應(yīng)具有抵抗防篡改等物理攻擊的能力，提升移動(dòng)終端的自身安全防護(hù)能力。4、移動(dòng)終端的安全保護(hù)手段一般來說，現(xiàn)在流行的智能化移動(dòng)終端設(shè)備由于可以人性化的做更多的事情，所以因此而產(chǎn)生的安全威脅更大一些。其中根據(jù)智能終端的特點(diǎn)可以在此基礎(chǔ)上發(fā)掘和保護(hù)自身的終端安全。主要可以分為以下幾點(diǎn)具體方法：使用移動(dòng)終端的內(nèi)置安全功能。正確配置其內(nèi)置的安全功能可有效保障智能手機(jī)被濫用或誤用，如基于android系統(tǒng)的“位置和安全”設(shè)置、創(chuàng)建手機(jī)口令或圖形加密可以防止未被授權(quán)的第三方直接訪問手機(jī)用戶的機(jī)密或

10、敏感信息；優(yōu)化移動(dòng)終端程序。根據(jù)自身的實(shí)際需要從電子市場(chǎng)安裝口碑良好且下載量多的必要應(yīng)用軟件，不要隨意下載不可信的程序。在軟件使用中軟件自身有可能會(huì)推送其他安裝程序，也不要盲目安裝，從來源上嚴(yán)格控制來至網(wǎng)絡(luò)的安全威脅。同時(shí)在安裝軟件過程中，注意相關(guān)的授權(quán)信息。惡意程序往往試圖訪問存儲(chǔ)在智能移動(dòng)終端上的各種信息，如有的惡意程序?qū)ｉT搜索用戶發(fā)送文本消息的許可，決定用戶的當(dāng)前位置，查看其保存的文本消息，并改變其設(shè)備設(shè)置。如果用戶接受了許可，就使其成了后門程序，收集并將設(shè)備信息發(fā)送到一個(gè)遠(yuǎn)程URL。還執(zhí)行其它非授權(quán)的功能，如修改呼叫日志、監(jiān)視并截獲進(jìn)入的文本消息等。在允許訪問個(gè)人或設(shè)備信息時(shí)，或允許應(yīng)

11、用程序執(zhí)行其它非必要的操作時(shí)，必須格外謹(jǐn)慎。用戶應(yīng)當(dāng)考慮應(yīng)用程序是如何發(fā)揮功能的。例如，安裝一個(gè)游戲，會(huì)獲取終端的聯(lián)系人、短信信息等。及時(shí)升級(jí)系統(tǒng)或應(yīng)用的補(bǔ)丁程序。定期或經(jīng)常檢查安全補(bǔ)丁和更新，保持移動(dòng)終端操作系統(tǒng)、安全軟件、應(yīng)用程序等的最新狀態(tài)，防止因漏洞產(chǎn)生的安全隱患。選擇可信的終端安全產(chǎn)品。如，360、瑞星、卡巴斯基、Macafee等。嚴(yán)格審核來至外部郵件的內(nèi)容信息。不要隨意打開來至外部的陌生郵件，同時(shí)在打開或下載前，可以使用手機(jī)安全軟件其進(jìn)行掃描。5、移動(dòng)終端信息安全發(fā)展前瞻隨著4G移動(dòng)網(wǎng)絡(luò)的到來，各種移動(dòng)技術(shù)將會(huì)出現(xiàn)一個(gè)大的交集。移動(dòng)終端安全技術(shù)也在可信、可控和保密的道路上不斷發(fā)展，

12、例如，基于移動(dòng)平臺(tái)的可信計(jì)算技術(shù)、終端的安全管理技術(shù)和端到端加密技術(shù)等。移動(dòng)終端控制管理技術(shù)基于無線PKI技術(shù)，在移動(dòng)通信系統(tǒng)內(nèi)建立專用的移動(dòng)安全平臺(tái)，采用OTA、WAP等傳輸平臺(tái)對(duì)移動(dòng)終端（包括SIM卡）及應(yīng)用進(jìn)行遠(yuǎn)程管理。移動(dòng)終端通過移動(dòng)運(yùn)營商與移動(dòng)安全平臺(tái)進(jìn)行信息交互，移動(dòng)終端中的安全模塊與移動(dòng)安全平臺(tái)（服務(wù)器）和集成到公鑰基礎(chǔ)設(shè)施（PKI）中的認(rèn)證機(jī)構(gòu)（CA）形成了完善的安全機(jī)制，在整個(gè)移動(dòng)應(yīng)用（如電子商務(wù)、移動(dòng)辦公、移動(dòng)支付等）中提供交易數(shù)據(jù)的認(rèn)證、加密、數(shù)字簽名和不可抵賴機(jī)制，為服務(wù)提供方和用戶之間提供點(diǎn)到點(diǎn)的信息安全保證。可信移動(dòng)終端技術(shù)可信計(jì)算聯(lián)盟（TCPA）提出的可信計(jì)算移動(dòng)

13、平臺(tái)（TMP）技術(shù)體系，包括硬件、軟件、及協(xié)議三個(gè)部分來實(shí)現(xiàn)移動(dòng)無線平臺(tái)的端到端的安全。可信移動(dòng)終端技術(shù)的主要思路是在硬件平臺(tái)上引入具有安全存儲(chǔ)和加密功能并且可抵制篡改的可信平臺(tái)模塊TPM，通過其提供的安全功能使非法用戶無法更改其內(nèi)部數(shù)據(jù)，從而確保了身份認(rèn)證和數(shù)據(jù)加密的安全性，提高終端系統(tǒng)的安全?？尚乓苿?dòng)平臺(tái)將加密、解密、認(rèn)證等基本的安全功能寫入硬件芯片，并確保芯片中的信息不能在外部通過軟件隨意獲取。在這種情況下除非將硬件芯片從系統(tǒng)中移除，否則理論上是無法突破這層防護(hù)的，這也是構(gòu)建可信的終端設(shè)備以及建立可信通信的基礎(chǔ)?？尚乓苿?dòng)平臺(tái)的安全特性為移動(dòng)終端訪問控制提供了強(qiáng)有力的支持：完整性檢測(cè)可以實(shí)現(xiàn)移動(dòng)設(shè)備的可信啟動(dòng)，同時(shí)可以檢測(cè)病毒和對(duì)操作系統(tǒng)的惡意攻擊；密封存儲(chǔ)和保護(hù)存儲(chǔ)技術(shù)可以保證加密/簽名密鑰、各種證書和敏感數(shù)據(jù)不被攻擊者讀