電子發燒友App
摘? 要
首先分析了5G時代移動終端和移動通信面臨的主要安全風險,進而對目前主流的終端安全技術如系統隔離技術和虛擬專網技術的現狀和不足進行了總結。提出了滿足高安全移動通信和移動辦公要求的終端安全解決方案,包括基于硬件的系統隔離、門衛式內網VPN接入和系統間安全通信方案3個組成部分,系統性解決移動終端硬件、操作系統、應用、數據和網絡通信安全問題。
? ? 引? 言? ? ?
隨著5G移動終端類型和應用場景不斷豐富,移動終端從傳統的通話短信功能為主的通信終端發展到應用于日常生活和工作各領域的智能終端。終端技術架構也發生了很大變化:終端芯片集成度更高、功能模塊更加豐富;操作系統智能化趨勢越來越強,可承載的應用和業務越來越復雜。與此同時,各行業充分利用移動通信的移動特性、便捷性、靈活性等優點,將移動終端接入企業內部網絡,利用移動終端處理工作和生產事務,并在移動終端中存儲企業內部數據。
5G移動終端存在信息安全風險,如何在利用移動通信便捷性的同時,保障通信安全、數據安全,保護個人隱私、保護企業商業秘密、保護國家信息安全,成為當前移動信息安全領域必須面對的重點問題,也正因如此,移動終端安全關鍵技術具有重要研究意義。本文深入分析5G移動終端面臨的安全風險和當下主流的終端安全技術,創新性提出5G終端雙硬件雙系統的門衛式隔離防護和內部網絡安全接入技術方案,為保護個人隱私、商業秘密和國家密碼提供信息安全保障。
? ?0 1???
安全風險分析
工作人員使用移動終端接入辦公內網訪問內網數據,并將內網數據存儲在本地。如果移動終端與辦公內網之間的數據通信以及移動終端數據存儲沒有有效的安全防護,那么辦公內網的數據將暴露于互聯網,存在很大的信息安全風險。因此無論是移動終端還是辦公內網,以及兩者之間的通信過程,都急需具備安全防護能力。移動終端和辦公內網進行通信時,主要面臨如下安全問題 。
a)身份認證安全風險。無論是密碼、驗證碼還是生物識別,均存在被破解和仿冒的風險,如果移動終端被假冒接入內網,那么內網存在數據泄露的隱患。
b)數據存儲安全風險。移動終端對于數據存儲缺少精細化的管控措施,數據通常以明文形式保存在存儲設備中,缺少機密性和完整性保護,極易被病毒、木馬、惡意程序篡改和竊取。此外,一旦手機遺失,數據泄露風險很高。
c)通信安全風險。移動通信提供了數據傳輸的鏈路,包括無線數據、語音、短消息等,此外還有藍牙、紅外、NFC等近場通信。通信網絡和設備不可控因素較多,用戶通信數據易被不法分子截獲篡改。
d)終端軟硬件安全風險。移動終端通常采用iOS、Android、Arm等軟硬件平臺,根據披露,以上軟硬件平臺均存在安全漏洞及后門,有極大的安全隱患。
? ?0 2? ?
安全技術概述
目前主流的終端安全技術方案主要有2種方式,一種是通過終端虛擬化系統隔離技術實現一個終端硬件運行多個操作系統,不同系統相互隔離,保證終端的數據安全和運行環境安全;另一種是通過虛擬專用網絡技術,如VPDN、VPN等技術手段,保證移動終端和企業內網的接入安全和網絡傳輸安全。
2.1 終端系統隔離
當前主流的移動終端中,同一套硬件下僅支持一套操作系統,不同的應用軟件間使用軟件沙箱技術隔離。例如,Android系統中擴展了Linux內核安全模型的用戶和權限機制,將多用戶間的隔離機制應用于程序間隔離。每一個應用程序均被系統分配單獨的Linux系統用戶標識(UID),使得 Android應用程序運行于獨立的Linux進程空間。
隨著虛擬化技術的發展和終端硬件能力的提升,在終端中使用虛擬機(Virtual Machine,VM)隔離多個應用成為可能。使用 VM 的目的在于創建一個隔離的、受控的運行環境,使應用程序不受VM外安全風險的影響。不同VM間的訪問必須通過系統間接口才可完成,因此更容易監控,也更安全。虛擬化平臺可通過探針對VM中的操作系統和應用軟件進行監控,進行病毒查殺。同時必須保證VM中的應用不能穿透虛擬機訪問虛擬化平臺的數據,保護虛擬化平臺免遭網絡攻擊。
終端雙系統主要指的是在1個終端中運行2個相互隔離、彼此獨立的操作系統,兼顧工作使用和個人使用的不同需求,如圖1所示。2個系統中,1個為安全系統(工作系統),1個為個人系統(生活系統),具有彼此獨立的運行環境、文件系統和數據存儲,實現應用和數據的隔離。安全系統根據安全需求,從硬件驅動層對終端的部分功能進行限制(例如限制工作系統調用話筒、攝像頭、藍牙等功能)。進一步地,移動終端可以定義雙系統切換管理策略,并為2個系統設置各自獨立的安全策略管控,減少信息安全風險。
圖1 虛擬機共享終端硬件
2.2? 虛擬專網技術
在經歷了多年的發展后,虛擬專用網絡(VPN)技術形成了2種成熟的技術架構,分別是互聯網安全(Internet Protocol Security,IPSec)協議和安全套接層(Secure Sockets Layer,SSL)協議。在TCP/IP分層模型中,IPSec協議是工作在網絡層的安全協議,通過重建網絡層中的IP包來實現安全的虛擬網絡傳輸通道,通過密碼算法對 IP 層數據包進行機密性以及完整性保護。SSL協議及其后繼版本傳輸層安全(Transport Layer Security,TLS)協議是工作在傳輸層和應用層之間的安全協議,為網絡通信提供安全及數據完整性。
采用虛擬專網技術可實現移動終端安全接入企業內網并保證網絡傳輸安全。首先企業內網對接入終端的身份合法性進行認證,檢查方式有多種形式,比如通過 MAC地址、IP地址、用戶名和密碼、生物識別、PKI公鑰證書體系、USBKey等,或者是幾種形式的組合運用。身份認證通過后才可繼續進行VPN通信。在VPN通信過程中,IPSec協議或SSL協議可提供如下安全能力。
a)數據機密性。發送方通過密碼算法對數據進行加密計算,在傳輸通道中進行傳輸的是密文數據,合法接收方可以通過密碼算法對數據進行解密計算獲得明文數據。即使數據在傳輸過程中被竊取截獲,竊取方也無法對密文數據正確解密獲取明文數據。
b)數據完整性。發送方通過密碼算法對數據進行摘要計算和簽名計算,將摘要值和簽名值與數據同時進行傳輸。接收方可以通過密碼算法對接收到的數據進行驗簽計算,驗證數據來源以及沒有被篡改。
c)防止重放。數據接收端可以檢測過時的或者已經收到過的報文。
2.3 存在問題
無論是采用終端系統隔離技術還是虛擬專用網絡技術,硬件層面都受到移動終端硬件結構的限制,移動終端的安全機制和安全策略均需通過CPU來實現。在軟件層面,安全機制受到操作系統控制,數據的處理、傳輸和存儲均通過操作系統來實現。因此,系統隔離和安全通信協議只是在移動終端中被CPU和操作系統調用式實現,如果CPU或者操作系統本身存在漏洞和后門,那么所有的安全機制可能會被旁路,從而喪失安全性。
? ?0 3? ?
終端安全解決方案
本文在現有技術方案的基礎上對5G移動終端的安全架構進行創新優化設計。第一,基于硬件的系統隔離。在 1 臺移動終端中集成 2 套硬件(主要包括CPU、內存和存儲),分別用于運行安全系統和生活系統,將操作系統或虛擬機建立在獨立的硬件系統之上,使得應用運行環境和存儲空間的隔離更加徹底。第二,門衛式內網 VPN 接入。采用門衛式方式實現VPN內網接入,在基帶芯片與安全系統CPU之間放置加密協處理器,實現終端CPU與基帶芯片之間的門衛式物理隔離,使得通信數據在CPU和基帶芯片之間的交互必須通過安全協處理器,保證VPN通路不會被旁路和替代。第三,系統間安全通信方案。安全系統和生活系統的CPU借助加密協處理器進行通信,并采用加密通信協議進行控制信號和通信數據的交互。
3.1 基于硬件的系統隔離
安全移動終端在 1 臺移動終端中集成 2 套硬件(主要包括CPU、內存和存儲),分別用于運行2套操作系統和上層應用,硬件結構如圖2所示。安全移動終端在硬件層面可分為安全系統、生活系統、安全通信模塊(加密協處理器)、通用通信模塊(基帶處理器和射頻模塊)、系統外設等。
圖2 終端硬件結構
安全通信模塊是安全移動終端的安全核心,分別連接安全系統、生活系統和通用通信模塊。安全通信模塊的核心器件是加密協處理器,通過硬件的方式實現安全系統與通用通信模塊、安全系統與生活系統之間的安全數據通信,實現安全移動終端雙系統之間的硬件隔離。
安全系統主要包括應用處理器(CPU)、內存和存儲,為辦公應用提供運行環境、文件系統和數據存儲。安全系統的CPU與安全協處理器直接相連,所有與通用通信模塊或生活系統的交互數據均需通過安全通信模塊的處理,與通用通信模塊或生活系統無直接的物理連接。安全系統無法進行普通的網絡通信,必須通過安全通信模塊建立門衛式的VPN通信通道,才可與辦公內網連接。安全系統與系統功能外設直接連接,直接控制外設功能。
生活系統主要包括應用處理器(CPU)、內存和存儲,與通用通信模塊直接連接,基本功能與普通智能手機的相關模塊沒有區別。生活系統與安全系統沒有直接的物理連接。生活系統與安全系統之間的控制信號和通信數據交互是受控的,通過安全通信模塊完成。安全系統與系統外設之間沒有物理連接,當需要調用外設功能時,需要安全系統的授權,并在安全系統的監控下進行功能調用。
通用通信模塊主要包括基帶處理器和射頻模塊,與普通智能手機的通信模塊沒有區別。該模塊負責將安全系統通過安全通信模塊發送的通信數據或者生活系統的通信數據進行網絡傳輸。
系統外設主要包括電源、顯示屏、攝像頭、聽筒、麥克風、USB等,其功能與普通智能手機的系統外設基本一致。系統外設直接受安全系統控制,在受控條件下可以間接被生活系統調用。
安全移動終端在軟件層面可分為安全系統、生活系統和VPN模塊,結構如圖3所示。安全系統和應用系統具備獨立的硬件抽象層、操作系統層和應用層,彼此獨立運行,VPN模塊負責安全系統的網絡通信功能。因為將操作系統或虛擬機建立在獨立硬件系統之上,應用運行環境和存儲空間的隔離更加徹底。
圖3 終端軟件結構
3.2? 門衛式內網VPN接入
安全移動終端可以實現終端與辦公內網之間的安全通信,為終端的內網接入以及數據傳輸提供門衛式安全能力。在具備移動通信快捷、靈活優勢的同時,安全移動終端可以有效防止各類外部攻擊、非授權用戶訪問和信息泄露。辦公內網結構以及在移動互聯網中的位置如圖4所示。
圖4 網絡結構
接入區是辦公內網安全接入功能的核心模塊,主要包括VPN網關。VPN網關部署在應用服務器與互聯網之間,作為外部用戶進入辦公內網的入口,實現接入用戶身份認證、虛擬網絡通道協議和密碼安全功能。安全移動終端與VPN網關之間通過VPN通信協議進行內網數據的安全通信。
業務區是辦公內網各項業務的承載模塊,主要包括應用服務器,應用服務器與互聯網應用服務器沒有重大區別。
門衛式內網VPN接入的核心是移動終端與內網VPN 網關之間的通信通道無法被旁路和惡意替換。在網絡側,辦公內網與內網接入區(VPN網關)物理連接,保證辦公內網與互聯網物理隔離。普通互聯網用戶無法訪問辦公內網。在終端側,安全移動終端的安全系統通過安全通信模塊(加密協處理器)與基帶連接,加密協處理器建立與辦公內網VPN網關之間的虛擬網絡通信通道。安全系統與辦公內網之間的虛擬網絡通信通過移動互聯網進行傳輸,所有通信數據均可保證機密性、完整性和來源可靠性。
3.3 系統間安全通信方案
安全移動終端內安全系統和生活系統之間是物理隔離的,二者之間無法直接訪問。但是,雙系統之間需要相互配合,存在控制指令和部分業務數據的交互需求。所以,在受控條件下完成雙系統之間有限的安全通信尤為關鍵。
加密協處理器是雙系統之間安全通信的實現模塊,為雙系統建立類似于服務器之間的安全通信協議。只有在符合安全策略的前提下雙系統之間才可進行數據交互,實現安全系統向生活系統的系統外設使用授權和雙系統之間的消息提醒。
? ?0 4? ?
?總 結
本文介紹了移動終端在企業應用中面臨的安全風險,分析了常用的終端安全技術和存在問題。基于虛擬化系統隔離技術和虛擬專網技術,提出基于硬件的系統隔離、門衛式內網VPN接入和系統間安全通信方案,分析安全移動終端和辦公內網的軟硬件結構和功能。本文提出的安全移動終端和辦公內網已在對信息安全有較高要求的政務通信和辦公領域中實際應用,為保障國家信息安全起到了重大作用。
作者簡介
齊霄,碩士,主要從事移動安全應用開發和密碼技術應用工作;
侯玉華,高級工程師,碩士,長期從事移動終端和可信安全相關技術的研發和標準研究工作。
編輯:黃飛
?
工商網監
評論