摘? 要
首先分析了5G時(shí)代移動(dòng)終端和移動(dòng)通信面臨的主要安全風(fēng)險(xiǎn),進(jìn)而對(duì)目前主流的終端安全技術(shù)如系統(tǒng)隔離技術(shù)和虛擬專網(wǎng)技術(shù)的現(xiàn)狀和不足進(jìn)行了總結(jié)。提出了滿足高安全移動(dòng)通信和移動(dòng)辦公要求的終端安全解決方案,包括基于硬件的系統(tǒng)隔離、門衛(wèi)式內(nèi)網(wǎng)VPN接入和系統(tǒng)間安全通信方案3個(gè)組成部分,系統(tǒng)性解決移動(dòng)終端硬件、操作系統(tǒng)、應(yīng)用、數(shù)據(jù)和網(wǎng)絡(luò)通信安全問(wèn)題。
? ? 引? 言? ? ?
隨著5G移動(dòng)終端類型和應(yīng)用場(chǎng)景不斷豐富,移動(dòng)終端從傳統(tǒng)的通話短信功能為主的通信終端發(fā)展到應(yīng)用于日常生活和工作各領(lǐng)域的智能終端。終端技術(shù)架構(gòu)也發(fā)生了很大變化:終端芯片集成度更高、功能模塊更加豐富;操作系統(tǒng)智能化趨勢(shì)越來(lái)越強(qiáng),可承載的應(yīng)用和業(yè)務(wù)越來(lái)越復(fù)雜。與此同時(shí),各行業(yè)充分利用移動(dòng)通信的移動(dòng)特性、便捷性、靈活性等優(yōu)點(diǎn),將移動(dòng)終端接入企業(yè)內(nèi)部網(wǎng)絡(luò),利用移動(dòng)終端處理工作和生產(chǎn)事務(wù),并在移動(dòng)終端中存儲(chǔ)企業(yè)內(nèi)部數(shù)據(jù)。
5G移動(dòng)終端存在信息安全風(fēng)險(xiǎn),如何在利用移動(dòng)通信便捷性的同時(shí),保障通信安全、數(shù)據(jù)安全,保護(hù)個(gè)人隱私、保護(hù)企業(yè)商業(yè)秘密、保護(hù)國(guó)家信息安全,成為當(dāng)前移動(dòng)信息安全領(lǐng)域必須面對(duì)的重點(diǎn)問(wèn)題,也正因如此,移動(dòng)終端安全關(guān)鍵技術(shù)具有重要研究意義。本文深入分析5G移動(dòng)終端面臨的安全風(fēng)險(xiǎn)和當(dāng)下主流的終端安全技術(shù),創(chuàng)新性提出5G終端雙硬件雙系統(tǒng)的門衛(wèi)式隔離防護(hù)和內(nèi)部網(wǎng)絡(luò)安全接入技術(shù)方案,為保護(hù)個(gè)人隱私、商業(yè)秘密和國(guó)家密碼提供信息安全保障。
? ?0 1???
安全風(fēng)險(xiǎn)分析
工作人員使用移動(dòng)終端接入辦公內(nèi)網(wǎng)訪問(wèn)內(nèi)網(wǎng)數(shù)據(jù),并將內(nèi)網(wǎng)數(shù)據(jù)存儲(chǔ)在本地。如果移動(dòng)終端與辦公內(nèi)網(wǎng)之間的數(shù)據(jù)通信以及移動(dòng)終端數(shù)據(jù)存儲(chǔ)沒(méi)有有效的安全防護(hù),那么辦公內(nèi)網(wǎng)的數(shù)據(jù)將暴露于互聯(lián)網(wǎng),存在很大的信息安全風(fēng)險(xiǎn)。因此無(wú)論是移動(dòng)終端還是辦公內(nèi)網(wǎng),以及兩者之間的通信過(guò)程,都急需具備安全防護(hù)能力。移動(dòng)終端和辦公內(nèi)網(wǎng)進(jìn)行通信時(shí),主要面臨如下安全問(wèn)題 。
a)身份認(rèn)證安全風(fēng)險(xiǎn)。無(wú)論是密碼、驗(yàn)證碼還是生物識(shí)別,均存在被破解和仿冒的風(fēng)險(xiǎn),如果移動(dòng)終端被假冒接入內(nèi)網(wǎng),那么內(nèi)網(wǎng)存在數(shù)據(jù)泄露的隱患。
b)數(shù)據(jù)存儲(chǔ)安全風(fēng)險(xiǎn)。移動(dòng)終端對(duì)于數(shù)據(jù)存儲(chǔ)缺少精細(xì)化的管控措施,數(shù)據(jù)通常以明文形式保存在存儲(chǔ)設(shè)備中,缺少機(jī)密性和完整性保護(hù),極易被病毒、木馬、惡意程序篡改和竊取。此外,一旦手機(jī)遺失,數(shù)據(jù)泄露風(fēng)險(xiǎn)很高。
c)通信安全風(fēng)險(xiǎn)。移動(dòng)通信提供了數(shù)據(jù)傳輸?shù)逆溌罚o(wú)線數(shù)據(jù)、語(yǔ)音、短消息等,此外還有藍(lán)牙、紅外、NFC等近場(chǎng)通信。通信網(wǎng)絡(luò)和設(shè)備不可控因素較多,用戶通信數(shù)據(jù)易被不法分子截獲篡改。
d)終端軟硬件安全風(fēng)險(xiǎn)。移動(dòng)終端通常采用iOS、Android、Arm等軟硬件平臺(tái),根據(jù)披露,以上軟硬件平臺(tái)均存在安全漏洞及后門,有極大的安全隱患。
? ?0 2? ?
安全技術(shù)概述
目前主流的終端安全技術(shù)方案主要有2種方式,一種是通過(guò)終端虛擬化系統(tǒng)隔離技術(shù)實(shí)現(xiàn)一個(gè)終端硬件運(yùn)行多個(gè)操作系統(tǒng),不同系統(tǒng)相互隔離,保證終端的數(shù)據(jù)安全和運(yùn)行環(huán)境安全;另一種是通過(guò)虛擬專用網(wǎng)絡(luò)技術(shù),如VPDN、VPN等技術(shù)手段,保證移動(dòng)終端和企業(yè)內(nèi)網(wǎng)的接入安全和網(wǎng)絡(luò)傳輸安全。
2.1 終端系統(tǒng)隔離
當(dāng)前主流的移動(dòng)終端中,同一套硬件下僅支持一套操作系統(tǒng),不同的應(yīng)用軟件間使用軟件沙箱技術(shù)隔離。例如,Android系統(tǒng)中擴(kuò)展了Linux內(nèi)核安全模型的用戶和權(quán)限機(jī)制,將多用戶間的隔離機(jī)制應(yīng)用于程序間隔離。每一個(gè)應(yīng)用程序均被系統(tǒng)分配單獨(dú)的Linux系統(tǒng)用戶標(biāo)識(shí)(UID),使得 Android應(yīng)用程序運(yùn)行于獨(dú)立的Linux進(jìn)程空間。
隨著虛擬化技術(shù)的發(fā)展和終端硬件能力的提升,在終端中使用虛擬機(jī)(Virtual Machine,VM)隔離多個(gè)應(yīng)用成為可能。使用 VM 的目的在于創(chuàng)建一個(gè)隔離的、受控的運(yùn)行環(huán)境,使應(yīng)用程序不受VM外安全風(fēng)險(xiǎn)的影響。不同VM間的訪問(wèn)必須通過(guò)系統(tǒng)間接口才可完成,因此更容易監(jiān)控,也更安全。虛擬化平臺(tái)可通過(guò)探針對(duì)VM中的操作系統(tǒng)和應(yīng)用軟件進(jìn)行監(jiān)控,進(jìn)行病毒查殺。同時(shí)必須保證VM中的應(yīng)用不能穿透虛擬機(jī)訪問(wèn)虛擬化平臺(tái)的數(shù)據(jù),保護(hù)虛擬化平臺(tái)免遭網(wǎng)絡(luò)攻擊。
終端雙系統(tǒng)主要指的是在1個(gè)終端中運(yùn)行2個(gè)相互隔離、彼此獨(dú)立的操作系統(tǒng),兼顧工作使用和個(gè)人使用的不同需求,如圖1所示。2個(gè)系統(tǒng)中,1個(gè)為安全系統(tǒng)(工作系統(tǒng)),1個(gè)為個(gè)人系統(tǒng)(生活系統(tǒng)),具有彼此獨(dú)立的運(yùn)行環(huán)境、文件系統(tǒng)和數(shù)據(jù)存儲(chǔ),實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)的隔離。安全系統(tǒng)根據(jù)安全需求,從硬件驅(qū)動(dòng)層對(duì)終端的部分功能進(jìn)行限制(例如限制工作系統(tǒng)調(diào)用話筒、攝像頭、藍(lán)牙等功能)。進(jìn)一步地,移動(dòng)終端可以定義雙系統(tǒng)切換管理策略,并為2個(gè)系統(tǒng)設(shè)置各自獨(dú)立的安全策略管控,減少信息安全風(fēng)險(xiǎn)。
圖1 虛擬機(jī)共享終端硬件
2.2? 虛擬專網(wǎng)技術(shù)
在經(jīng)歷了多年的發(fā)展后,虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)形成了2種成熟的技術(shù)架構(gòu),分別是互聯(lián)網(wǎng)安全(Internet Protocol Security,IPSec)協(xié)議和安全套接層(Secure Sockets Layer,SSL)協(xié)議。在TCP/IP分層模型中,IPSec協(xié)議是工作在網(wǎng)絡(luò)層的安全協(xié)議,通過(guò)重建網(wǎng)絡(luò)層中的IP包來(lái)實(shí)現(xiàn)安全的虛擬網(wǎng)絡(luò)傳輸通道,通過(guò)密碼算法對(duì) IP 層數(shù)據(jù)包進(jìn)行機(jī)密性以及完整性保護(hù)。SSL協(xié)議及其后繼版本傳輸層安全(Transport Layer Security,TLS)協(xié)議是工作在傳輸層和應(yīng)用層之間的安全協(xié)議,為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性。
采用虛擬專網(wǎng)技術(shù)可實(shí)現(xiàn)移動(dòng)終端安全接入企業(yè)內(nèi)網(wǎng)并保證網(wǎng)絡(luò)傳輸安全。首先企業(yè)內(nèi)網(wǎng)對(duì)接入終端的身份合法性進(jìn)行認(rèn)證,檢查方式有多種形式,比如通過(guò) MAC地址、IP地址、用戶名和密碼、生物識(shí)別、PKI公鑰證書體系、USBKey等,或者是幾種形式的組合運(yùn)用。身份認(rèn)證通過(guò)后才可繼續(xù)進(jìn)行VPN通信。在VPN通信過(guò)程中,IPSec協(xié)議或SSL協(xié)議可提供如下安全能力。
a)數(shù)據(jù)機(jī)密性。發(fā)送方通過(guò)密碼算法對(duì)數(shù)據(jù)進(jìn)行加密計(jì)算,在傳輸通道中進(jìn)行傳輸?shù)氖敲芪臄?shù)據(jù),合法接收方可以通過(guò)密碼算法對(duì)數(shù)據(jù)進(jìn)行解密計(jì)算獲得明文數(shù)據(jù)。即使數(shù)據(jù)在傳輸過(guò)程中被竊取截獲,竊取方也無(wú)法對(duì)密文數(shù)據(jù)正確解密獲取明文數(shù)據(jù)。
b)數(shù)據(jù)完整性。發(fā)送方通過(guò)密碼算法對(duì)數(shù)據(jù)進(jìn)行摘要計(jì)算和簽名計(jì)算,將摘要值和簽名值與數(shù)據(jù)同時(shí)進(jìn)行傳輸。接收方可以通過(guò)密碼算法對(duì)接收到的數(shù)據(jù)進(jìn)行驗(yàn)簽計(jì)算,驗(yàn)證數(shù)據(jù)來(lái)源以及沒(méi)有被篡改。
c)防止重放。數(shù)據(jù)接收端可以檢測(cè)過(guò)時(shí)的或者已經(jīng)收到過(guò)的報(bào)文。
2.3 存在問(wèn)題
無(wú)論是采用終端系統(tǒng)隔離技術(shù)還是虛擬專用網(wǎng)絡(luò)技術(shù),硬件層面都受到移動(dòng)終端硬件結(jié)構(gòu)的限制,移動(dòng)終端的安全機(jī)制和安全策略均需通過(guò)CPU來(lái)實(shí)現(xiàn)。在軟件層面,安全機(jī)制受到操作系統(tǒng)控制,數(shù)據(jù)的處理、傳輸和存儲(chǔ)均通過(guò)操作系統(tǒng)來(lái)實(shí)現(xiàn)。因此,系統(tǒng)隔離和安全通信協(xié)議只是在移動(dòng)終端中被CPU和操作系統(tǒng)調(diào)用式實(shí)現(xiàn),如果CPU或者操作系統(tǒng)本身存在漏洞和后門,那么所有的安全機(jī)制可能會(huì)被旁路,從而喪失安全性。
? ?0 3? ?
終端安全解決方案
本文在現(xiàn)有技術(shù)方案的基礎(chǔ)上對(duì)5G移動(dòng)終端的安全架構(gòu)進(jìn)行創(chuàng)新優(yōu)化設(shè)計(jì)。第一,基于硬件的系統(tǒng)隔離。在 1 臺(tái)移動(dòng)終端中集成 2 套硬件(主要包括CPU、內(nèi)存和存儲(chǔ)),分別用于運(yùn)行安全系統(tǒng)和生活系統(tǒng),將操作系統(tǒng)或虛擬機(jī)建立在獨(dú)立的硬件系統(tǒng)之上,使得應(yīng)用運(yùn)行環(huán)境和存儲(chǔ)空間的隔離更加徹底。第二,門衛(wèi)式內(nèi)網(wǎng) VPN 接入。采用門衛(wèi)式方式實(shí)現(xiàn)VPN內(nèi)網(wǎng)接入,在基帶芯片與安全系統(tǒng)CPU之間放置加密協(xié)處理器,實(shí)現(xiàn)終端CPU與基帶芯片之間的門衛(wèi)式物理隔離,使得通信數(shù)據(jù)在CPU和基帶芯片之間的交互必須通過(guò)安全協(xié)處理器,保證VPN通路不會(huì)被旁路和替代。第三,系統(tǒng)間安全通信方案。安全系統(tǒng)和生活系統(tǒng)的CPU借助加密協(xié)處理器進(jìn)行通信,并采用加密通信協(xié)議進(jìn)行控制信號(hào)和通信數(shù)據(jù)的交互。
3.1 基于硬件的系統(tǒng)隔離
安全移動(dòng)終端在 1 臺(tái)移動(dòng)終端中集成 2 套硬件(主要包括CPU、內(nèi)存和存儲(chǔ)),分別用于運(yùn)行2套操作系統(tǒng)和上層應(yīng)用,硬件結(jié)構(gòu)如圖2所示。安全移動(dòng)終端在硬件層面可分為安全系統(tǒng)、生活系統(tǒng)、安全通信模塊(加密協(xié)處理器)、通用通信模塊(基帶處理器和射頻模塊)、系統(tǒng)外設(shè)等。
圖2 終端硬件結(jié)構(gòu)
安全通信模塊是安全移動(dòng)終端的安全核心,分別連接安全系統(tǒng)、生活系統(tǒng)和通用通信模塊。安全通信模塊的核心器件是加密協(xié)處理器,通過(guò)硬件的方式實(shí)現(xiàn)安全系統(tǒng)與通用通信模塊、安全系統(tǒng)與生活系統(tǒng)之間的安全數(shù)據(jù)通信,實(shí)現(xiàn)安全移動(dòng)終端雙系統(tǒng)之間的硬件隔離。
安全系統(tǒng)主要包括應(yīng)用處理器(CPU)、內(nèi)存和存儲(chǔ),為辦公應(yīng)用提供運(yùn)行環(huán)境、文件系統(tǒng)和數(shù)據(jù)存儲(chǔ)。安全系統(tǒng)的CPU與安全協(xié)處理器直接相連,所有與通用通信模塊或生活系統(tǒng)的交互數(shù)據(jù)均需通過(guò)安全通信模塊的處理,與通用通信模塊或生活系統(tǒng)無(wú)直接的物理連接。安全系統(tǒng)無(wú)法進(jìn)行普通的網(wǎng)絡(luò)通信,必須通過(guò)安全通信模塊建立門衛(wèi)式的VPN通信通道,才可與辦公內(nèi)網(wǎng)連接。安全系統(tǒng)與系統(tǒng)功能外設(shè)直接連接,直接控制外設(shè)功能。
生活系統(tǒng)主要包括應(yīng)用處理器(CPU)、內(nèi)存和存儲(chǔ),與通用通信模塊直接連接,基本功能與普通智能手機(jī)的相關(guān)模塊沒(méi)有區(qū)別。生活系統(tǒng)與安全系統(tǒng)沒(méi)有直接的物理連接。生活系統(tǒng)與安全系統(tǒng)之間的控制信號(hào)和通信數(shù)據(jù)交互是受控的,通過(guò)安全通信模塊完成。安全系統(tǒng)與系統(tǒng)外設(shè)之間沒(méi)有物理連接,當(dāng)需要調(diào)用外設(shè)功能時(shí),需要安全系統(tǒng)的授權(quán),并在安全系統(tǒng)的監(jiān)控下進(jìn)行功能調(diào)用。
通用通信模塊主要包括基帶處理器和射頻模塊,與普通智能手機(jī)的通信模塊沒(méi)有區(qū)別。該模塊負(fù)責(zé)將安全系統(tǒng)通過(guò)安全通信模塊發(fā)送的通信數(shù)據(jù)或者生活系統(tǒng)的通信數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸。
系統(tǒng)外設(shè)主要包括電源、顯示屏、攝像頭、聽筒、麥克風(fēng)、USB等,其功能與普通智能手機(jī)的系統(tǒng)外設(shè)基本一致。系統(tǒng)外設(shè)直接受安全系統(tǒng)控制,在受控條件下可以間接被生活系統(tǒng)調(diào)用。
安全移動(dòng)終端在軟件層面可分為安全系統(tǒng)、生活系統(tǒng)和VPN模塊,結(jié)構(gòu)如圖3所示。安全系統(tǒng)和應(yīng)用系統(tǒng)具備獨(dú)立的硬件抽象層、操作系統(tǒng)層和應(yīng)用層,彼此獨(dú)立運(yùn)行,VPN模塊負(fù)責(zé)安全系統(tǒng)的網(wǎng)絡(luò)通信功能。因?yàn)閷⒉僮飨到y(tǒng)或虛擬機(jī)建立在獨(dú)立硬件系統(tǒng)之上,應(yīng)用運(yùn)行環(huán)境和存儲(chǔ)空間的隔離更加徹底。
圖3 終端軟件結(jié)構(gòu)
3.2? 門衛(wèi)式內(nèi)網(wǎng)VPN接入
安全移動(dòng)終端可以實(shí)現(xiàn)終端與辦公內(nèi)網(wǎng)之間的安全通信,為終端的內(nèi)網(wǎng)接入以及數(shù)據(jù)傳輸提供門衛(wèi)式安全能力。在具備移動(dòng)通信快捷、靈活優(yōu)勢(shì)的同時(shí),安全移動(dòng)終端可以有效防止各類外部攻擊、非授權(quán)用戶訪問(wèn)和信息泄露。辦公內(nèi)網(wǎng)結(jié)構(gòu)以及在移動(dòng)互聯(lián)網(wǎng)中的位置如圖4所示。
圖4 網(wǎng)絡(luò)結(jié)構(gòu)
接入?yún)^(qū)是辦公內(nèi)網(wǎng)安全接入功能的核心模塊,主要包括VPN網(wǎng)關(guān)。VPN網(wǎng)關(guān)部署在應(yīng)用服務(wù)器與互聯(lián)網(wǎng)之間,作為外部用戶進(jìn)入辦公內(nèi)網(wǎng)的入口,實(shí)現(xiàn)接入用戶身份認(rèn)證、虛擬網(wǎng)絡(luò)通道協(xié)議和密碼安全功能。安全移動(dòng)終端與VPN網(wǎng)關(guān)之間通過(guò)VPN通信協(xié)議進(jìn)行內(nèi)網(wǎng)數(shù)據(jù)的安全通信。
業(yè)務(wù)區(qū)是辦公內(nèi)網(wǎng)各項(xiàng)業(yè)務(wù)的承載模塊,主要包括應(yīng)用服務(wù)器,應(yīng)用服務(wù)器與互聯(lián)網(wǎng)應(yīng)用服務(wù)器沒(méi)有重大區(qū)別。
門衛(wèi)式內(nèi)網(wǎng)VPN接入的核心是移動(dòng)終端與內(nèi)網(wǎng)VPN 網(wǎng)關(guān)之間的通信通道無(wú)法被旁路和惡意替換。在網(wǎng)絡(luò)側(cè),辦公內(nèi)網(wǎng)與內(nèi)網(wǎng)接入?yún)^(qū)(VPN網(wǎng)關(guān))物理連接,保證辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)物理隔離。普通互聯(lián)網(wǎng)用戶無(wú)法訪問(wèn)辦公內(nèi)網(wǎng)。在終端側(cè),安全移動(dòng)終端的安全系統(tǒng)通過(guò)安全通信模塊(加密協(xié)處理器)與基帶連接,加密協(xié)處理器建立與辦公內(nèi)網(wǎng)VPN網(wǎng)關(guān)之間的虛擬網(wǎng)絡(luò)通信通道。安全系統(tǒng)與辦公內(nèi)網(wǎng)之間的虛擬網(wǎng)絡(luò)通信通過(guò)移動(dòng)互聯(lián)網(wǎng)進(jìn)行傳輸,所有通信數(shù)據(jù)均可保證機(jī)密性、完整性和來(lái)源可靠性。
3.3 系統(tǒng)間安全通信方案
安全移動(dòng)終端內(nèi)安全系統(tǒng)和生活系統(tǒng)之間是物理隔離的,二者之間無(wú)法直接訪問(wèn)。但是,雙系統(tǒng)之間需要相互配合,存在控制指令和部分業(yè)務(wù)數(shù)據(jù)的交互需求。所以,在受控條件下完成雙系統(tǒng)之間有限的安全通信尤為關(guān)鍵。
加密協(xié)處理器是雙系統(tǒng)之間安全通信的實(shí)現(xiàn)模塊,為雙系統(tǒng)建立類似于服務(wù)器之間的安全通信協(xié)議。只有在符合安全策略的前提下雙系統(tǒng)之間才可進(jìn)行數(shù)據(jù)交互,實(shí)現(xiàn)安全系統(tǒng)向生活系統(tǒng)的系統(tǒng)外設(shè)使用授權(quán)和雙系統(tǒng)之間的消息提醒。
? ?0 4? ?
?總 結(jié)
本文介紹了移動(dòng)終端在企業(yè)應(yīng)用中面臨的安全風(fēng)險(xiǎn),分析了常用的終端安全技術(shù)和存在問(wèn)題。基于虛擬化系統(tǒng)隔離技術(shù)和虛擬專網(wǎng)技術(shù),提出基于硬件的系統(tǒng)隔離、門衛(wèi)式內(nèi)網(wǎng)VPN接入和系統(tǒng)間安全通信方案,分析安全移動(dòng)終端和辦公內(nèi)網(wǎng)的軟硬件結(jié)構(gòu)和功能。本文提出的安全移動(dòng)終端和辦公內(nèi)網(wǎng)已在對(duì)信息安全有較高要求的政務(wù)通信和辦公領(lǐng)域中實(shí)際應(yīng)用,為保障國(guó)家信息安全起到了重大作用。
作者簡(jiǎn)介
齊霄,碩士,主要從事移動(dòng)安全應(yīng)用開發(fā)和密碼技術(shù)應(yīng)用工作;
侯玉華,高級(jí)工程師,碩士,長(zhǎng)期從事移動(dòng)終端和可信安全相關(guān)技術(shù)的研發(fā)和標(biāo)準(zhǔn)研究工作。
編輯:黃飛
?
評(píng)論
查看更多