移动应用终端信息安全设计方案

移动应用终端信息安全

设计方案

随着移动通信业务的发展，移动终端设备的功能也随之发生了巨大的变化。3G技术的普及改变了以往移动终端单一的业务模式。从最初的语音传输，发展成短消息业务和Web浏览，后来扩展成多媒体短信业务及各种无线增值业务，移动终端也从简单的通话工具逐渐成为集合PDA、MP3、视频、游戏、拍照、GPS、视频通话等功能的移动多媒体终端，演变成集通话、身份代表、信息获取、电子支付等为一体的手持终端工具。伴随着移动终端用户规模的继续扩大和用户对移动终端技术的了解，移动终端正面临着越来越多的安全威胁。

1、移动终端的几种典型的安全威胁：

✧移动终端身份识别码的删除和篡改等

由于IMEI号可用来统计用户的终端类型、限制被盗终端在移动网内的重新使用等用途，所以IMEI号应该具有一定的保护措施。

✧终端操作系统非法修改和刷新等

由于非法操作系统可能会影响用户使用并干扰正常网络运行，因此操作系统应当阻止一切非法的修改和刷新等。

✧个人隐私数据的非法读取访问等

移动终端内部可能会存有用户的电话簿、短信、银行账号、口令等用户隐私信息，如果这些信息被他人非法获得，很可能给用户造成直接的经济损失。

✧病毒和恶意代码的破坏

病毒和恶意代码很可能会破坏移动终端的正常使用，还可能会将用户的隐私信息不知不觉地传给他人。

✧移动终端被盗等

目前移动终端被盗现象极其严重，终端被盗给用户带来直接经济损失，更严重的是用户隐私数据的泄漏等。

总之，移动终端存在的安全隐患可能会威胁到个人隐私、私有财产甚于国家安全。尽管移动终端面临着许多的安全威胁，但目前其安全问题仍是整个移动运营网络中的一个安全盲点。虽然目前面市的一些终端号称信息安全终端，采用了

比如生物特征识别、数据加密保护、终端杀毒软件等等，但对终端的安全保护程度是远远不够的。

2、移动终端内部架构

2.1移动终端开放的内部数据资源

一般来说，目前所有的敏感信息包括开关机口令、敏感电话簿、机密短信、证书、用户私钥等信息都存放在片外存储器中，用于调试访问片内资源的JTAG 口等是开放的（目前没有有效的方式封闭JTAG 口）。所以攻击者很容易通过JTAG 口等调试端口获得DBB 内部或者Flash 中的存储信息。甚于很多终端的JTAG 口直接连在终端外边，攻击者连机壳等都不必打开，就可以获得内部资源。攻击者也可以将Flash 芯片取下并采用专门的设备将内部数据读出。

图1常见移动终端内部结构模型图

基于以上介绍，出于为移动终端内部敏感数据资源提供集中的安全保护措施角度考虑，提出了安全模块的概念。

2.2安全模块

所谓安全模块，就是为移动终端所有或大部分敏感信息提供集中存放和运算的芯片模块。典型应用如：

➢ 移动终端系统的各种配置信息；

➢ 敏感信息的安全存储包括银行账号密码信息、CA 证书、密钥；

➢ 操作系统、身份序列号及其他信息的完整性保护；

FLASH 或EEPROM DBB ABB RF JTAG 接口

➢ 手机防盗技术的实施；

➢ 密码算法的存储和运算等。

根据安全模块的功能，提出一种典型的安全模块文件逻辑模型，如图2所示。

图2安全模块的文件逻辑模型

从图2可以看出，文件按分层结构组织，共有三种类型。操作系统可以处理和访问不同文件中的数据。

a) 主文件（MF —Master File ）

主文件代表一个功能大类，只有文件头，没有文件体。其下可以存放针对某一应用领域的各种安全相关参数和数据。

b) 目录文件（DF —Directory File ）

目录文件是一个或多个文件的逻辑分组，目录文件只有文件头，没有文件体。在图2的文件逻辑模型中，DF PpassD 目录包括开关机口令文件EF OnOFF 和文件资源访问口令EF File 等；DFKEY 目录下包括CA 证书文件EFCa 和私钥文件EF Priv 等；DFMAC 目录包括操作系统MAC 文件Efos 和数据MAC 文件EFData 等；DFAdnSms 目录包括机密电话簿文件EFAdn 和EFSms 等。

c) 基于数据文件（EF —Elementary File ）

一个基本数据文件由文件头和文件体组成。

PassD

DF MAC EF IMEI MF

2.3安全模块的硬件模型

安全模块以微处理作为其核心。该芯片必须能够抵挡芯片的各种威胁，如开冒后的探针物理探测、边信道（例如DPA 、SPA ）攻击等，另外芯片体积要小，功耗要少。图3是一种典型的安全模块硬件模型图。

图3安全模块硬件模型

安全性分析：系统首先从安全模块启动，而且安全模块和基带芯片处于主从工作状态。当安全模块没有通过对基带芯片的认证，或者操作系统等数据的MAC 结果不正确时，安全模块就会拒绝与基带芯片协商会话密钥，同时拒绝将敏感信息传送出去。在这种情况下，假冒的基带芯片有可能会继续启动并达到一种稳定的工作状态，但攻击者仍无法获得安全模块中的敏感数据。

RAM

密码算法 协处理器 MPU 协处理器

3、移动终端的安全需求

中国通信标准化协会（CCSA）明确提出移动终端信息安全技术要求，需提供措施保证系统参数和数据、用户数据、密钥信息和证书以及应用程序的完整性、机密性，终端关键器件的完整性、可靠性以及用户身份的真实性。因此在进行移动终端应用开发、设计时应参照行业标准以及未来的安全发展需求分析作为依据，将一系列的安全策略作为开发的关键因素。如，对操作系统、应用程序等进行一致性检验；基于对用户的身份进行认证后，根据用户的授权提供资源及对象的访问和操作权限；对终端的密钥、证书、系统数据和用户数据等进行有效的安全管理，保证存储数据的安全；提供终端各种接口接入的安全控制，安全的接入各种网络；终端中的关键硬件组成还应具有抵抗防篡改等物理攻击的能力，提升移动终端的自身安全防护能力。

4、移动终端的安全保护手段

一般来说，现在流行的智能化移动终端设备由于可以人性化的做更多的事情，所以因此而产生的安全威胁更大一些。其中根据智能终端的特点可以在此基础上发掘和保护自身的终端安全。主要可以分为以下几点具体方法：

使用移动终端的内置安全功能。正确配置其内置的安全功能可有效保障智能手机被滥用或误用，如基于android系统的“位置和安全”设置、创建手机口令或图形加密可以防止未被授权的第三方直接访问手机用户的机密或敏感信息；

优化移动终端程序。根据自身的实际需要从电子市场安装口碑良好且下载量多的必要应用软件，不要随意下载不可信的程序。在软件使用中软件自身有可能会推送其他安装程序，也不要盲目安装，从来源上严格控制来至网络的安全威胁。同时在安装软件过程中，注意相关的授权信息。恶意程序往往试图访问存储在智能移动终端上的各种信息，如有的恶意程序专门搜索用户发送文本消息的许可，决定用户的当前位置，查看其保存的文本消息，并改变其设备设置。如果用户接受了许可，就使其成了后门程序，收集并将设备信息发送到一个远程URL。还执行其它非授权的功能，如修改呼叫日志、监视并截获进入的文本消息等。在允许访问个人或设备信息时，或允许应用程序执行其它非必要的操作时，必须格外谨