移动应用终端信息安全设计方案

1、移动应用终端信息安全设计方案随着移动通信业务的发展，移动终端设备的功能也随之发生了巨大的变化。3G技术的普及改变了以往移动终端单一的业务模式。从最初的语音传输，发展成短消息业务和Web浏览，后来扩展成多媒体短信业务及各种无线增值业务，移动终端也从简单的通话工具逐渐成为集合PDA、MP3、视频、游戏、拍照、GPS、视频通话等功能的移动多媒体终端，演变成集通话、身份代表、信息获取、电子支付等为一体的手持终端工具。伴随着移动终端用户规模的继续扩大和用户对移动终端技术的了解，移动终端正面临着越来越多的安全威胁。1、移动终端的几种典型的安全威胁：² 移动终端身份识别码的删除和篡改等由于IMEI

2、号可用来统计用户的终端类型、限制被盗终端在移动网内的重新使用等用途，所以IMEI号应该具有一定的保护措施。² 终端操作系统非法修改和刷新等由于非法操作系统可能会影响用户使用并干扰正常网络运行，因此操作系统应当阻止一切非法的修改和刷新等。² 个人隐私数据的非法读取访问等移动终端内部可能会存有用户的电话簿、短信、银行账号、口令等用户隐私信息，如果这些信息被他人非法获得，很可能给用户造成直接的经济损失。² 病毒和恶意代码的破坏病毒和恶意代码很可能会破坏移动终端的正常使用，还可能会将用户的隐私信息不知不觉地传给他人。² 移动终端被盗等目前移动终端被盗现象极其严重

3、，终端被盗给用户带来直接经济损失，更严重的是用户隐私数据的泄漏等。总之，移动终端存在的安全隐患可能会威胁到个人隐私、私有财产甚于国家安全。尽管移动终端面临着许多的安全威胁，但目前其安全问题仍是整个移动运营网络中的一个安全盲点。虽然目前面市的一些终端号称信息安全终端，采用了比如生物特征识别、数据加密保护、终端杀毒软件等等，但对终端的安全保护程度是远远不够的。2、移动终端内部架构2.1移动终端开放的内部数据资源一般来说，目前所有的敏感信息包括开关机口令、敏感电话簿、机密短信、证书、用户私钥等信息都存放在片外存储器中，用于调试访问片内资源的JTAG口等是开放的（目前没有有效的方式封闭JTAG口）。所

4、以攻击者很容易通过JTAG口等调试端口获得DBB内部或者Flash中的存储信息。甚于很多终端的JTAG口直接连在终端外边，攻击者连机壳等都不必打开，就可以获得内部资源。攻击者也可以将Flash芯片取下并采用专门的设备将内部数据读出。FLASH或EEPROMDBBABBRFJTAG接口图1常见移动终端内部结构模型图基于以上介绍，出于为移动终端内部敏感数据资源提供集中的安全保护措施角度考虑，提出了安全模块的概念。2.2安全模块所谓安全模块，就是为移动终端所有或大部分敏感信息提供集中存放和运算的芯片模块。典型应用如：Ø 移动终端系统的各种配置信息；Ø 敏感信息的安全存储包括银行账

5、号密码信息、CA证书、密钥；Ø 操作系统、身份序列号及其他信息的完整性保护；Ø 手机防盗技术的实施；Ø 密码算法的存储和运算等。根据安全模块的功能，提出一种典型的安全模块文件逻辑模型，如图2所示。EFOsEFDataEFAdnEFSmsEFonoffEFFileEFCAEFPrivDFPassDDFKeyDFAdnMsaDFMACEFIMEIMF图2安全模块的文件逻辑模型从图2可以看出，文件按分层结构组织，共有三种类型。操作系统可以处理和访问不同文件中的数据。a) 主文件（MFMaster File）主文件代表一个功能大类，只有文件头，没有文件体。其下可以存放针对

6、某一应用领域的各种安全相关参数和数据。b) 目录文件（DFDirectory File）目录文件是一个或多个文件的逻辑分组，目录文件只有文件头，没有文件体。在图2的文件逻辑模型中，DF PpassD目录包括开关机口令文件EF OnOFF和文件资源访问口令EF File等；DFKEY目录下包括CA证书文件EFCa和私钥文件EF Priv等；DFMAC目录包括操作系统MAC文件Efos和数据MAC文件EFData等；DFAdnSms目录包括机密电话簿文件EFAdn和EFSms等。c) 基于数据文件（EFElementary File）一个基本数据文件由文件头和文件体组成。2.3安全模块的硬件模型安

7、全模块以微处理作为其核心。该芯片必须能够抵挡芯片的各种威胁，如开冒后的探针物理探测、边信道（例如DPA、SPA）攻击等，另外芯片体积要小，功耗要少。图3是一种典型的安全模块硬件模型图。定时器I/O端口ROM随机数产生器RAMEEPROM密码算法协处理器MPU系统中断时钟输入滤波电源电路协处理器安全检测传感器协处理器复位电路协处理器/RSTVSSVDD图3安全模块硬件模型安全性分析：系统首先从安全模块启动，而且安全模块和基带芯片处于主从工作状态。当安全模块没有通过对基带芯片的认证，或者操作系统等数据的MAC结果不正确时，安全模块就会拒绝与基带芯片协商会话密钥，同时拒绝将敏感信息传送出去。在这种情

8、况下，假冒的基带芯片有可能会继续启动并达到一种稳定的工作状态，但攻击者仍无法获得安全模块中的敏感数据。3、移动终端的安全需求中国通信标准化协会（CCSA）明确提出移动终端信息安全技术要求，需提供措施保证系统参数和数据、用户数据、密钥信息和证书以及应用程序的完整性、机密性，终端关键器件的完整性、可靠性以及用户身份的真实性。因此在进行移动终端应用开发、设计时应参照行业标准以及未来的安全发展需求分析作为依据，将一系列的安全策略作为开发的关键因素。如，对操作系统、应用程序等进行一致性检验；基于对用户的身份进行认证后，根据用户的授权提供资源及对象的访问和操作权限；对终端的密钥、证书、系统数据和用户数据等

9、进行有效的安全管理，保证存储数据的安全；提供终端各种接口接入的安全控制，安全的接入各种网络；终端中的关键硬件组成还应具有抵抗防篡改等物理攻击的能力，提升移动终端的自身安全防护能力。4、移动终端的安全保护手段一般来说，现在流行的智能化移动终端设备由于可以人性化的做更多的事情，所以因此而产生的安全威胁更大一些。其中根据智能终端的特点可以在此基础上发掘和保护自身的终端安全。主要可以分为以下几点具体方法：使用移动终端的内置安全功能。正确配置其内置的安全功能可有效保障智能手机被滥用或误用，如基于android系统的“位置和安全”设置、创建手机口令或图形加密可以防止未被授权的第三方直接访问手机用户的机密或

10、敏感信息；优化移动终端程序。根据自身的实际需要从电子市场安装口碑良好且下载量多的必要应用软件，不要随意下载不可信的程序。在软件使用中软件自身有可能会推送其他安装程序，也不要盲目安装，从来源上严格控制来至网络的安全威胁。同时在安装软件过程中，注意相关的授权信息。恶意程序往往试图访问存储在智能移动终端上的各种信息，如有的恶意程序专门搜索用户发送文本消息的许可，决定用户的当前位置，查看其保存的文本消息，并改变其设备设置。如果用户接受了许可，就使其成了后门程序，收集并将设备信息发送到一个远程URL。还执行其它非授权的功能，如修改呼叫日志、监视并截获进入的文本消息等。在允许访问个人或设备信息时，或允许应

11、用程序执行其它非必要的操作时，必须格外谨慎。用户应当考虑应用程序是如何发挥功能的。例如，安装一个游戏，会获取终端的联系人、短信信息等。及时升级系统或应用的补丁程序。定期或经常检查安全补丁和更新，保持移动终端操作系统、安全软件、应用程序等的最新状态，防止因漏洞产生的安全隐患。选择可信的终端安全产品。如，360、瑞星、卡巴斯基、Macafee等。严格审核来至外部邮件的内容信息。不要随意打开来至外部的陌生邮件，同时在打开或下载前，可以使用手机安全软件其进行扫描。5、移动终端信息安全发展前瞻随着4G移动网络的到来，各种移动技术将会出现一个大的交集。移动终端安全技术也在可信、可控和保密的道路上不断发展，

12、例如，基于移动平台的可信计算技术、终端的安全管理技术和端到端加密技术等。移动终端控制管理技术基于无线PKI技术，在移动通信系统内建立专用的移动安全平台，采用OTA、WAP等传输平台对移动终端（包括SIM卡）及应用进行远程管理。移动终端通过移动运营商与移动安全平台进行信息交互，移动终端中的安全模块与移动安全平台（服务器）和集成到公钥基础设施（PKI）中的认证机构（CA）形成了完善的安全机制，在整个移动应用（如电子商务、移动办公、移动支付等）中提供交易数据的认证、加密、数字签名和不可抵赖机制，为服务提供方和用户之间提供点到点的信息安全保证。可信移动终端技术可信计算联盟（TCPA）提出的可信计算移动

13、平台（TMP）技术体系，包括硬件、软件、及协议三个部分来实现移动无线平台的端到端的安全。可信移动终端技术的主要思路是在硬件平台上引入具有安全存储和加密功能并且可抵制篡改的可信平台模块TPM，通过其提供的安全功能使非法用户无法更改其内部数据，从而确保了身份认证和数据加密的安全性，提高终端系统的安全。可信移动平台将加密、解密、认证等基本的安全功能写入硬件芯片，并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除，否则理论上是无法突破这层防护的，这也是构建可信的终端设备以及建立可信通信的基础。可信移动平台的安全特性为移动终端访问控制提供了强有力的支持：完整性检测可以实现移动设备的可信启动，同时可以检测病毒和对操作系统的恶意攻击；密封存储和保护存储技术可以保证加密/签名密钥、各种证书和敏感数据不被攻击者读