郑 超

南京政治学院上海分院，上海 200433

安全领域中移动终端的安全机制研究

郑 超

南京政治学院上海分院，上海 200433

移动终端具有方便灵活的优势，在生活和工作中得到了广泛的应用。但是在处理涉密数据时还存在一定的安全隐患，本文分析了移动终端存在安全问题，从硬件安全、系统安全、应用安全、管理安全四个方面提出了一套系统安全策略，为移动终端在安全领域实际应用提出了具体方案。

安全领域；移动终端；机制研究

在军队、政府办公等安全领域中还以传统的办公模式为主，以纸张为输出终端，信息流通主要手段，不仅造成纸张浪费，信息传递效率低下，形式单一，而且文件管理工作量巨大，查找困难，容易造成涉密文件丢失的风险。将移动终端引入到具体业务工作中，通过信息化技术能够实现无纸化办公，丰富信息展现形式，提高信息传递效率，从而提高工作效率。同时移动设备方便集中管理，具有很好应用前景。但在安全领域中业务数据十分敏感，需要绝对的安全，不能很好的解决数据安全问题，就无法分享信息化技术进步给工作带来的巨大红利。为此本文提出了针对安全移动终端的一整套安全防护解决方案。方案从硬件安全、系统安全、应用安全、管理安全四个方面入手，确保了移动终端在安全领域中的应用安全。

1 移动终端安全问题

随着移动终端硬件的发展，无线设备、卫星定位、红外、蓝牙、SD卡、USB、NFC等硬件接口越来越丰富，方便了数据的传输，但同时也增加的数据泄露的安全隐患，通信模块可能在在用户不知情的情况下被非法连通或受到攻击，泄露用户数据。

从安全角度来说，操作系统是或多或少的会存在设计上的漏洞，甚至有意留有后门，黑客利用系统漏洞就可以窃取用户数据，带来安全隐患。Android 原生安全机制本身就存在缺陷，容易通过混合代理人和权限共谋等手段访问敏感数据[1]，造成安全隐患。

目前主流移动终端中数据的存储与访问机制都是通过明文进行存储，在移动设备在丢失后，存在数据被人为窃取的可能。同时未对敏感性的数据与文件的进行分类，采用统一的安全策略也存在安全问题。系统底层缺少详细的日志和行为记录，无法对系统使用行为进行审计和监督。

2 安全移动终端安全解决方案

移动终端安全是一个综合问题，必须从多个角度来对移动终端的安全解决方案进行研究。本文从硬件、系统、应用和管理四个方面提供移动终端全方面安全防护机制。

2.1 硬件安全设计

硬件上移除GPS、红外、蓝牙、SD卡、USB、NFC等通信模块，采用专用数据接口和管理软件实现集中的通信管理模式。硬件上采用ARMTrustZone机制，划分执行环境，对存放敏感信息的存储空间进行区分管理，实现了安全中断，防止受到恶意的中断处理程序的攻击。该技术可确保恶意软件无法访问安全域中的敏感信息。

2.2 系统安全设计

系统的安全设计主要从三个层面的考虑，保证操作系统不被人为更改，保证规范安装应用软件，同时校验运行软件的合法性。

移动终端系统采用防刷机保护机制，保证安全终端使用指定的系统ROM，便于监管。

移动终端应用软件必须通过PC端的管理平台进行管理，包括数据的传输和软件的安装卸载等。

通过数字签名验证技术，在终端启动、升级过程中，校验加载运行软件的合法性，具体分为镜像签名和镜像校验两个过程。系统启动镜像通过MD5加密技术提取出摘要数据，再通过RSA非对称加密技术对摘要数据进行加密，形成镜像签名，合并镜像签名和启动镜像形成最终的签名镜像。在终端启动、升级过程中通过MD5对启动镜像进行解密，形成计算摘要，通过RSA技术对镜像签名进行解密形成原始摘要，比较计算摘要和原始摘要，如果计算摘要和原始摘要相同则说明软件合法，允许启动运行，否则拒绝软件的启动运行。

2.3 应用安全设计

安全移动终端通过设置多重密码、全盘存储加密和统一通信接口管理等手段保证了终端的数据安全。

系统设置了多重用户密码，开机系统启动前，需要用户输入开机密码，才能进入操作系统。移动终端一段时间未使用后会自动进入待机功能，需使用待机密码才能继续使用移动终端。在开机密码和待机密码界面，如果用户多次输入错误密码，系统会启动自毁程序，清除终端中的数据。安全移动终端在硬件层次上删除了蓝牙，红外，无线设备等数据通信设备，只保留了专用传输接口，通过专用数据接口传输数据需要输入专用密码。

安全移动终端在操作系统与EMMC硬件底层存储之间增加了一层加解密逻辑设备，数据写入先经过加密再写入到EMMC存储器，读取到的加密数据通过解密设备进行解密后返还给用户UI，进行显示。使能全盘加密后，用户通过输入密码建立一个加解密容器，写数据时经过加密功能写入内部EMMC存储，读取用户的数据经过解密功能获得，对用户来说加解密功能透明。终端内部存储空间存储的均为密文数据，没有任何明文数据，他人在没有密码的情况下无法登陆系统，无法获知用户的私人数据，即使将EMMC卡取下来也无法获取用户的真正数据。

2.4 管理安全设计

涉密移动终端除了在技术上保证了安全外，还通过相应的管理平台、安全审计和管理策略来保障安全。

配合涉密移动终端的使用设计专用的终端管理平台，任何对终端设备尤其是设计到数据和系统的修改都需要通过统一的管理平台进行管理，其他任何第三方管理软件均无法使用，这样既保证了系统的安全，同时实现了终端的集中管控。

管理平台与终端的通信指令和文件传输使用密文，终端与管理软件之间的通信使用AES加密算法，防止通信口令被抓包后破解。文件传送使用DES加密算法，防止敏感数据被窃取。

在终端操作系统底层实现日志记录功能，实时记录系统的行为信息，同时记录管理平台对终端的操作记录，便于对系统行为的审计和监督。同时要求管理平台与制定的计算机进行绑定，第一次使用管理软件需要激活，并与指定计算机的物理地址绑定，防止软件被任意盗用。

为了防止管理员权限过大，引起的安全威胁，安全终端采用了三员分立的安全策略。系统设置系统管理员，安全管理员和审计管理员。其中系统管理员负责用户管理和系统日常运作相关的维护；安全管理员负责安全策略的制定、配置和系统资源安全属性的设定；审计管理员负责对系统的审计信息进行管理，监督管理系统管理员和安全管理员的行为。

3 结论

本文从硬件安全、系统安全、应用安全、管理安全四个方面对移动终端进行全方面的安全防护，保证安全移动终端的使用安全，为移动终端在安全领域内的使用提供有力的安全保障。

[1]蒋绍林，王金双，等.Android 安全研究综述.计算机应用与软件，29：10.

[2]TC5-WG5-2010-028 移动终端安全威胁及其解决方案研究[R].2010.

[3]张翼，赵跃华.面向智能手机的立体防御系统设计与实现[D].江苏大学，2011.

[4]宗涛.基于可信计算的结构性安全模型设计与实现[J].计算机工程，2012，38（20）：89-92.

TP3

A

1674-6708（2015）148-0103-01