王姗姗, 曹鹏

（中移（杭州）信息技术有限公司/中国移动杭州研发中心，杭州 310000）

构建覆盖“端管云”的业务保障系统＊

王姗姗, 曹鹏

（中移（杭州）信息技术有限公司/中国移动杭州研发中心，杭州 310000）

随着移动化、云化、物联网的发展，业务安全呈现出边界模糊，环境不受控，数据攻击，攻击手段隐蔽等特点，传统老三样在新攻击形式下漏洞百出，单项技术无法保护业务安全，外挂作弊、二次打包、应用仿冒、病毒木马、恶意吸费、系统入侵攻击等问题严重，因此，业务安全防护必须端到端系统化。本文设计并提出了端到端业务保障系统，通过“端侧安全组件+云端安全网关”的端云联动架构，提供应用安全、通道安全、数据安全、主机及系统安全等核心安全能力，为移动互联网及物联网等领域业务安全提供全周期保护。

应用安全；数据保护；端管云

1 移动互联网业务安全风险分析

随着移动化、云化、物联网的发展，攻击手段的变化，业务安全呈现以下新趋势。

（1） 安全边界模糊：应用与数据资产遍布终端、云端、网络，跨机房、跨地域部署，没有明显的安全边界，需要端到端、全生命周期防护。

（2） 环境不完全受控：应用和数据部署于移动设备、云端虚拟机上，物理设备、操作系统安全不受控制，需在不安全环境下保护应用和数据安全。

（3） 数据成为攻击重点：企业和用户隐私数据商业价值越来越高，需要保护终端和云端数据资产的安全（防泄漏、防丢失、远程擦除）。

（4） 攻击手段更加隐蔽：针对特定商业和政治目标的持续攻击（APT）上升明显，特征识别难度加大，基于大数据的安全分析是较有效防范手段。

因此，互联网及物联网等各类业务正面临着更严峻“不可控”、“不可见”的安全挑战。运营商、手游、金融、政企等行业安全风险频发，外挂作弊、二次打包、应用仿冒、病毒木马、恶意吸费等问题严重。2016年中国移动通信集团信安中心选取40款移动应用进行测评，21款存在严重安全风险，重大安全漏洞23个。此外，根据国家互联网应急中心发布《2016年我国互联网网络安全态势综述》显示，高级持续性威胁常态化，依托商业攻击平台和互联网黑色产业链数据等成熟资源实现工程APT攻击。不仅如此，随着智能可穿戴设备、智能家居、智能路由器等终端和网络设备的迅速发展及普及，针对物联网智能设备的网络攻击事件比例呈上升趋势。基于安全发展趋势分析及业务安全问题分析，业务安全风险可分为以下4类。

（1）应用安全风险：由于Android系统的开放性，导致APP普遍遭遇反编译、二次打包、病毒侵袭等安全性问题，盗版、数据篡改、山寨等事件频发；移动应用良莠不齐，导致应用漏洞、病毒、木马问题严重，不仅如此，移动应用的安全漏洞的危害正逐步从终端应用延伸到平台资产。

（2） 数据安全风险：随着移动智能终端的广泛应用，企业面临的数据安全问题越来越严重，主要表现在企业核心数据在终端侧和云端平台侧被拖库、篡改等导致的数据泄露。

（3） 通道安全风险：伴随着移动互联网的普及，数据传输通道安全问题越为突出，数据在传输的过程中存在被窃取和篡改的风险更为猖獗。

（4） 主机与系统安全风险：在新形势的业务中，攻击的承载方式、隐蔽性及穿透性都在不断增强，不安全的认证授权、平台及系统漏洞、入侵攻击等问题严重。

2 业务保障系统

业务安全指贯穿整个业务生命周期，覆盖终端、网络、业务平台，为业务提供包括终端应用安全、网络通道安全、业务平台身份安全、数据安全、主机及系统安全在内的端到端安全保障。构建覆盖“端+管+云”的端到端业务安全保障系统体系，为运营商、政府、金融、手游等行业客户提供包括应用加固、应用检测、通道安全、应用安全、用户认证、数据安全、风控审计等核心安全能力。业务保障系统设计思路如图1所示，具体功能描述如下。

图1 业务安全保障系统

（1） 应用检测：基于反编译技术、自动化脱壳技术、编译原理技术和数据分组解析技术，实现移动应用的自动化安全检测，能够有效识别配置文件漏洞、静态代码漏洞和动态运行时漏洞等。

（2） 应用加固：综合运用加壳、混淆、文件加密、指纹校验等“安全加固”技术，支持“一键加固”功能，提供代码加壳、完整性保护、防调试、本地数据保护、渠道监测等功能，防止应用被篡改破解及二次打包，保障应用静态及动态使用安全。

（3） 通道安全：构建多维度分层的通道安全防护体系，提供基于SSL/IPSec技术的VPN安全通信，防止消息的被重放、窃取、篡改。

（4） 应用安全：提供应用与业务平台间的双向身份认证，防止应用身份仿冒，此外，提供分等级的应用完整性校验，防止应用被篡改。

（5） 数据安全：提供数据在应用及云端存储、传输、使用过程中的全套安全保护，支持数据的安全存储、安全传输、访问控制、密钥管理，防止核心数据泄露。

（6） 风控审计：提供基于大数据分析的风控及安全审计，通过面向账号、计费、内容等的风控审计，提供应用全周期安全保障，实现风险实时阻断及问题快速定位与追溯。

此外，业务保障系统针对业务运行过程中的各类安全问题，设计贯穿事前、事中、事后的全套解决方案，为业务提供全生命周期的安全保护。

（1） 事前：为防止应用上线后破解、篡改，在上线前对应用进行应用安全检测、应用加固保护，通过代码加壳、完整性保护、防调试、本地数据保护等加固机制，保证应用在上线运行后的安全性。

（2） 事中：基于应用完整性校验、应用身份认证、智能化VPN安全通道，构建完善的通道安全保护机制，保护应用与平台之间的传输安全，同时，支持核心数据在应用侧及云端的加密存储，此外，基于大数据平台的日志采集存储、模式识别规则匹配等核心技术，对运行日志进行实时异常行为分析，发现潜在攻击行为及安全风险，及时反馈业务平台进行处理，保证业务安全。

（3） 事后：基于大数据平台的离线分析，对已知行为进行全面的安全审计，并以可视化方式对结果进行展现，同时对系统遭受的安全威胁进行定期评估，形成报告供运维人员决策，保证业务系统安全稳定运行。

3 移动互联网业务保障系统

业务保障系统设计了“应用侧安全组件+云端安全网关”的端云联动架构，通过安全组件与安全网关的协同，实现应用安全、认证安全、通道安全、数据安全风控审计等安全防护能力。如图2所示，业务保障系统主要包括应用侧安全组件和云端安全网关两部分。

图2 业务保障系统架构

安全组件部署在应用侧，与云端安全网关对接。应用通过调用安全组件，与安全网关协同交互，实现应用与业务平台间的交互及安全保护。安全组件主要模块功能描述如下。

（1） 应用检测加固模块：支持应用安全检测，提供过代码加壳保护、本地完整性保护、防调试、本地数据保护等功能，防止应用被破解、反编译。

（2） 应用安全模块：与安全网关协同实现认证参数协商以及网关与应用间的双向身份认证，提取应用指纹，与网关配合实现在应用线指纹校验，防止应用被非法篡改。

（3） 通道安全模块：与安全网关间建立基于SSL/ IPSec的VPN通道，对传输消息进行加密及完整性校验，防止核心数据在传输过程中被泄露及非法篡改。

（4） 数据安全模块：实现密钥协商及管理，对应用数据进行加解密及安全存储，防止数据被非法窃取及泄露。

安全网关部署在云端，除与安全组件对接协同实现应用安全、通道安全、数据安全等功能外，与业务平台对接，通过消息转换还原初始消息，发送给业务平台实现业务调用。安全网关主要模块功能描述如下。

（1） 应用检测模块：提供移动应用静态检测、静态代码漏扫、动态运行时漏扫等静态及动态检测。

（2） 应用加固模块：提供SO、Dex代码加壳、完整性保护、渠道监测、防调试、本地数据保护等功能，防止应用被篡改破解及二次打包。

（3） 应用安全模块：采集应用原始认证指纹，对交互的应用进行身份认证和多级别指纹完整性校验，保证接入应用的合法性和完整性。

（4） 通道安全模块：与移动端的安全组件一同构建多维度控制的通道安全防护体系，提供基于SSL（或IPSec）的VPN网络通道安全保护，防止消息的被重放、窃取、篡改，保护传输数据的安全。

（5） 数据安全模块：对移动端和安全网关侧的密钥进行更新、替换等管理，并对网关中的数据进行加密保存和解密处理。

（6） 风险控制模块：提供基于大数据分析的风控及安全审计，通过面向账号、计费、内容等的风控审计，提供应用全周期安全保障，实现风险实时阻断及问题快速定位与追溯。

4 关键技术方案

4.1 基于动静结合的应用检测技术

在静态检测的基础上，突破动态检测技术，针对应用在开发过程中遗留的安全问题，通过对移动应用进行安全检测，有效识别应用的配置文件漏洞、静态代码漏洞，以及动态运行时漏洞扫描，精准定位漏洞并给出修复建议。

（1） 静态漏洞检测：基于反编译技术对应用文件进行漏洞特征识别，能有效检测密钥硬编码、Https中间人攻击、风险接口调用等漏洞风险，同时基于词法分析、语法分析等编译技术，还原出应用内部的函数调用关系及代码运行序列图，排除因代码未被调用而造成的漏洞误报。

（2） 动态漏洞检测：结合API Hook技术、数据分组还原技术、Web漏洞Fuzzing技术、端口扫描技术可以对应用动态运行过程中的HTTP请求、Log日志打印、文件读写等操作进行拦截识别，经过特征匹配后，可以有效检测后台SQL注入、不安全传输、敏感信息泄露、不安全存储等动态漏洞。

4.2 基于虚拟指令集的虚拟机加固技术

虚拟机加固技术突破现有整包加固、代码抽取加固技术，基于自定义指令集重新构建了应用运行的终端虚拟机执行环境，避免Android原生系统开放性导致代码攻击，通过对应用代码进行加固保护，防止应用被反编译，恶意篡改，盗取源码、植入恶意病毒、添加广告等问题，保护应用安全。

虚拟机加固技术将APP中关键逻辑的字节码代码实现，替换为基于一套私有指令集的实现。加固后APP进程中，除了系统虚拟机外，还会运行一个加固虚拟机。当APP执行到关键逻辑时将转移至加固虚拟机中，指令的解析和运行将都由自定义的加固虚拟机来完成。如图3所示，加固虚拟机主要包括虚拟机运行时、虚拟机指令解析器和异常处理等功能。虚拟机运行时保存虚拟机的状态以及执行指令所需的相关信息，虚拟机指令解析器用来循环解析执行由私有指令组成的代码，异常处理等外围辅助功能用来处理异常以及与系统虚拟机控制衔接等。

图3 基于虚拟指令集的虚拟机加固技术

加固虚拟机由C/C++编写而成，执行效率高，为了增大攻击者逆向与篡改的难度，虚拟机加固定义的私有指令集支持快速改变，此外，在将关键逻辑转换为私有指令集实现时，还加入了对程序控制流的混淆，加固虚拟机自身也进行了加固保护，安全等级高。

4.3 基于分等级的应用完整性保护技术

应用完整性保护采用指纹校验机制，应用发布时提取应用指纹，应用运行时安全组件重新计算当前应用指纹，安全网关通过指纹比对，判断应用是否被篡改，从而为了防止应用被攻击者非法篡改或二次打包。

业务保障系统针对不同信用等级的开发者、渠道方，提供不分等级的应用完整性校验，在保证安全性的前提下，兼顾业务灵活性。分等级应用完整性保护技术提供高、中、低3个等级的安全保护。

（1）低等级：仅对开发者证书进行校验，适用于可信的大型企业或可信的开发者，即开发者签名不被篡改，其它文件可以被修改。

（2）中等级：除对开发者签名进行完整性校验，还对核心逻辑代码Classes.dex进行完整性校验，即保证开发者签名、Classes.dex均不被篡改。但应用中的资源文件、配置文件和其它库文件可以被修改。中等级安全保护适用于一般信用等级的开发者，典型的应用场景之一是开发者可以通过对配置文件的修改，增加渠道标识ChannelID，从而实现与渠道方的合作分成。

（3） 高等级：对应用的整个APK包进行完整性校验，即应用不能进行任何修改。高等级安全保护适用于个人或信用等级较差的开发者提供。

4.4 基于多维度的通道安全技术

构建多维度控制的通道安全防护体系，实现对恶意、仿冒应用的实时阻断，以及基于SSL（或IPSec）的VPN通道安全保护。建立安全通道前，业务保障系统对应用身份进行认证，确保接入应用的合法性，通过后安全组件与安全网关之间基于SSL协议进行密钥协商并建立加密通道，防止数据在传输过程中泄露。

（1）应用身份认证：应用在不同终端生成不同的一次性Token，即使参数被破解也不影响其它终端，安全通信网关通过校验Token验证应用身份，防止截取及重放风险。

（2）VPN安全通道：结合虚拟网卡以及SSL/IPSec技术实现VPN安全通信，充分利用了SSL协议提供的数据加密和消息完整性验证机制，有效的防止数据在传输过程中被窃听、篡改等。终端及应用无需修改，使用PKI技术进行数据高强度加密，具备防重放、防窃取、防篡改等能力。

4.5 基于密钥协商的数据安全保护技术

数据安全保护技术对终端和平台侧的重要数据进行加密存储，防止手机被root、平台被拖库后敏感数据被窃取造成信息泄露问题，如图4所示。

图4 数据安全保护

数据安全保护通过应用侧安全组件和安全网关实现敏感数据在存储时的自动加密，并在合法用户访问时自动解密，在不改变现有应用使用的同时，保证数据存储安全。

（1）端侧数据加密存储：客户端侧通过密钥保护模块为终端设备分配唯一密钥，然后通过加解密模块对本地SQLite数据库中的数据加密存储，防止手机被root后敏感信息泄露的问题。

（2）云端数据加密存储：平台侧通过密钥管理平台进行密钥的生成、分发和存储，采用字段即加密方式对业务平台侧的敏感信息加密存储，即使业务平台侧的数据库被拖库，数据库中的信息由于是以密文状态存储，不会造成数据泄露。

4.6 基于机器学习+复杂事件的风控预警

通过机器进行有监督和无监督学习，动态构建风险识别模型，结合复杂事件机制对业务平台操作行为进行在线风险识别和安全审计，为业务平台提供实时安全保护，事后安全处置。

（1）标记数据库：基于长期数据积累，及对异常行为数据的标记和分析，构建了丰富的特征数据库，能够有效提高风控模型的覆盖范围和有效性。

（2）资源统一：针对不同实时性要求的分析处理单元，如离线分析、数据挖掘处理等，基于YARN资源调度框架，实现底层资源的统一分配和调度,提升服务器资源利用率。

（3）事件处理：基于事件驱动的模式识别技术(CEP)，实现对实时事件的处理，提供分解事件、路由事件、过滤事件、关联事件等能力；通过用户画像，结合风险模型和规则引擎技术进行在线实时处理，提升业务平台应对异常风险的能力。

（4）时序处理：基于时间窗口移动的动态数据快速处理技术，实现复杂计算的时序处理。

5 部署方案

如图5所示，安全组件部署在应用侧，与应用的集成模式包括以下两种方式。

（1）应用集成SDK：在应用开发阶段，开发者将安全组件SDK集成在APP中，此方式对应用和终端适配性好，能够集成更复杂的安全机制。

（2）一键加固集成：应用开发者将应用APK上传至平台，云端平台通过“一键加固方式”将安全组件SDK集成在APK中，此方式对客户业务系统零改动，通过“一键加固”提供应用加固、应用安全、通道安全、数据安全等安全能力。

图5 安全组件集成模式

安全网关部署自云端，可采用云端部署和本地部署两种形式。云端部署具有良好的扩展性，同时减少企业的硬件资产投入，灵活快捷，本地部署安全性更高，更有利于企业用户的定制化。

6 结束语

本文结合现网实际情况，深入分析了移动互联网业务面临的实际安全问题，并在此基础上，构建了端云联动的业务保障系统，提出并设计了相关安全解决方案，从而有效应对移动互联网面临的应用被仿冒、应用被破解和篡改、数据泄露、入侵攻击等安全风险，保障业务全周期安全性。

目前，业务安全保障系统已在中国移动互联网公司、咪咕公司、政企、江苏、湖北、福建、江西等现网多个专业公司和省公司落地全面商用。随着物联网技术和应用的发展，业务安全保障系统将积极布局物联网安全领域，为物联网业务发展提供安全保障。此外，在互联网转型过程中，中国移动致力于通过搭建开发平台，开放短彩能力、语音能力、计费等核心能力，打造中国移动互联网生态圈，在此过程中，业务保障系统助力企业转型，为中国移动互联网转型提供能力开放安全保障。

Building service security system covering "terminal, pipe and cloud"

WANG Shan-shan, CAO Peng
(China Mobile (Hangzhou) Information Technology Co., Ltd./ China Mobile Hangzhou R & D Center, Hangzhou 310000, China)

With the development of mobile, cloud and IoT, the security of services is characterized by unclear boundary, uncontrolled environment, data attack and so on. The traditional ways of defense face serious problem while lots of new attacks appearing. Individual technology isn’t able to protect service security. Service systems face a lot of serious problem such as plug-in cheating, identity counterfeiting, trojan virus, system intrusion and so on. So service security must be protected covering terminals, pipe, and cloud. service security system covering "terminal, pipe, and cloud" is designed and put forward in this paper. Based on the framework including security component deployed in the terminal side and the security gateway deployed in the cloud side, the security mechanisms such as application security, channel security, data security, host and system security and so on are provided to the consumers’ service systems, in order to protect the full cycle security of mobile internet services, IoT services and other areas of service and so on.

service security; data protection; terminal; pipe and cloud

TP39

A

1008-5599（2017）08-0026-06

2017-07-04

* 中国移动集团级一类科技创新成果，原成果名称为《端到端业务安全保障平台》。