摘? 要

首先分析了5G時代移動終端和移動通信面臨的主要安全風(fēng)險，進而對目前主流的終端安全技術(shù)如系統(tǒng)隔離技術(shù)和虛擬專網(wǎng)技術(shù)的現(xiàn)狀和不足進行了總結(jié)。提出了滿足高安全移動通信和移動辦公要求的終端安全解決方案，包括基于硬件的系統(tǒng)隔離、門衛(wèi)式內(nèi)網(wǎng)VPN接入和系統(tǒng)間安全通信方案3個組成部分，系統(tǒng)性解決移動終端硬件、操作系統(tǒng)、應(yīng)用、數(shù)據(jù)和網(wǎng)絡(luò)通信安全問題。

? ? 引? 言? ? ?

隨著5G移動終端類型和應(yīng)用場景不斷豐富，移動終端從傳統(tǒng)的通話短信功能為主的通信終端發(fā)展到應(yīng)用于日常生活和工作各領(lǐng)域的智能終端。終端技術(shù)架構(gòu)也發(fā)生了很大變化：終端芯片集成度更高、功能模塊更加豐富；操作系統(tǒng)智能化趨勢越來越強，可承載的應(yīng)用和業(yè)務(wù)越來越復(fù)雜。與此同時，各行業(yè)充分利用移動通信的移動特性、便捷性、靈活性等優(yōu)點，將移動終端接入企業(yè)內(nèi)部網(wǎng)絡(luò)，利用移動終端處理工作和生產(chǎn)事務(wù)，并在移動終端中存儲企業(yè)內(nèi)部數(shù)據(jù)。

5G移動終端存在信息安全風(fēng)險，如何在利用移動通信便捷性的同時，保障通信安全、數(shù)據(jù)安全，保護個人隱私、保護企業(yè)商業(yè)秘密、保護國家信息安全，成為當前移動信息安全領(lǐng)域必須面對的重點問題，也正因如此，移動終端安全關(guān)鍵技術(shù)具有重要研究意義。本文深入分析5G移動終端面臨的安全風(fēng)險和當下主流的終端安全技術(shù)，創(chuàng)新性提出5G終端雙硬件雙系統(tǒng)的門衛(wèi)式隔離防護和內(nèi)部網(wǎng)絡(luò)安全接入技術(shù)方案，為保護個人隱私、商業(yè)秘密和國家密碼提供信息安全保障。

? ?0 1???

安全風(fēng)險分析

工作人員使用移動終端接入辦公內(nèi)網(wǎng)訪問內(nèi)網(wǎng)數(shù)據(jù)，并將內(nèi)網(wǎng)數(shù)據(jù)存儲在本地。如果移動終端與辦公內(nèi)網(wǎng)之間的數(shù)據(jù)通信以及移動終端數(shù)據(jù)存儲沒有有效的安全防護，那么辦公內(nèi)網(wǎng)的數(shù)據(jù)將暴露于互聯(lián)網(wǎng)，存在很大的信息安全風(fēng)險。因此無論是移動終端還是辦公內(nèi)網(wǎng)，以及兩者之間的通信過程，都急需具備安全防護能力。移動終端和辦公內(nèi)網(wǎng)進行通信時，主要面臨如下安全問題 。

a）身份認證安全風(fēng)險。無論是密碼、驗證碼還是生物識別，均存在被破解和仿冒的風(fēng)險，如果移動終端被假冒接入內(nèi)網(wǎng)，那么內(nèi)網(wǎng)存在數(shù)據(jù)泄露的隱患。

b）數(shù)據(jù)存儲安全風(fēng)險。移動終端對于數(shù)據(jù)存儲缺少精細化的管控措施，數(shù)據(jù)通常以明文形式保存在存儲設(shè)備中，缺少機密性和完整性保護，極易被病毒、木馬、惡意程序篡改和竊取。此外，一旦手機遺失，數(shù)據(jù)泄露風(fēng)險很高。

c）通信安全風(fēng)險。移動通信提供了數(shù)據(jù)傳輸?shù)逆溌罚o線數(shù)據(jù)、語音、短消息等，此外還有藍牙、紅外、NFC等近場通信。通信網(wǎng)絡(luò)和設(shè)備不可控因素較多，用戶通信數(shù)據(jù)易被不法分子截獲篡改。

d）終端軟硬件安全風(fēng)險。移動終端通常采用iOS、Android、Arm等軟硬件平臺，根據(jù)披露，以上軟硬件平臺均存在安全漏洞及后門，有極大的安全隱患。

? ?0 2? ?

安全技術(shù)概述

目前主流的終端安全技術(shù)方案主要有2種方式，一種是通過終端虛擬化系統(tǒng)隔離技術(shù)實現(xiàn)一個終端硬件運行多個操作系統(tǒng)，不同系統(tǒng)相互隔離，保證終端的數(shù)據(jù)安全和運行環(huán)境安全；另一種是通過虛擬專用網(wǎng)絡(luò)技術(shù)，如VPDN、VPN等技術(shù)手段，保證移動終端和企業(yè)內(nèi)網(wǎng)的接入安全和網(wǎng)絡(luò)傳輸安全。

2.1 終端系統(tǒng)隔離

當前主流的移動終端中，同一套硬件下僅支持一套操作系統(tǒng)，不同的應(yīng)用軟件間使用軟件沙箱技術(shù)隔離。例如，Android系統(tǒng)中擴展了Linux內(nèi)核安全模型的用戶和權(quán)限機制，將多用戶間的隔離機制應(yīng)用于程序間隔離。每一個應(yīng)用程序均被系統(tǒng)分配單獨的Linux系統(tǒng)用戶標識（UID），使得 Android應(yīng)用程序運行于獨立的Linux進程空間。

隨著虛擬化技術(shù)的發(fā)展和終端硬件能力的提升，在終端中使用虛擬機（Virtual Machine，VM）隔離多個應(yīng)用成為可能。使用 VM 的目的在于創(chuàng)建一個隔離的、受控的運行環(huán)境，使應(yīng)用程序不受VM外安全風(fēng)險的影響。不同VM間的訪問必須通過系統(tǒng)間接口才可完成，因此更容易監(jiān)控，也更安全。虛擬化平臺可通過探針對VM中的操作系統(tǒng)和應(yīng)用軟件進行監(jiān)控，進行病毒查殺。同時必須保證VM中的應(yīng)用不能穿透虛擬機訪問虛擬化平臺的數(shù)據(jù)，保護虛擬化平臺免遭網(wǎng)絡(luò)攻擊。

終端雙系統(tǒng)主要指的是在1個終端中運行2個相互隔離、彼此獨立的操作系統(tǒng)，兼顧工作使用和個人使用的不同需求，如圖1所示。2個系統(tǒng)中，1個為安全系統(tǒng)（工作系統(tǒng)），1個為個人系統(tǒng)（生活系統(tǒng)），具有彼此獨立的運行環(huán)境、文件系統(tǒng)和數(shù)據(jù)存儲，實現(xiàn)應(yīng)用和數(shù)據(jù)的隔離。安全系統(tǒng)根據(jù)安全需求，從硬件驅(qū)動層對終端的部分功能進行限制（例如限制工作系統(tǒng)調(diào)用話筒、攝像頭、藍牙等功能）。進一步地，移動終端可以定義雙系統(tǒng)切換管理策略，并為2個系統(tǒng)設(shè)置各自獨立的安全策略管控，減少信息安全風(fēng)險。

圖1 虛擬機共享終端硬件

2.2? 虛擬專網(wǎng)技術(shù)

在經(jīng)歷了多年的發(fā)展后，虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)形成了2種成熟的技術(shù)架構(gòu)，分別是互聯(lián)網(wǎng)安全（Internet Protocol Security，IPSec）協(xié)議和安全套接層（Secure Sockets Layer，SSL）協(xié)議。在TCP/IP分層模型中，IPSec協(xié)議是工作在網(wǎng)絡(luò)層的安全協(xié)議，通過重建網(wǎng)絡(luò)層中的IP包來實現(xiàn)安全的虛擬網(wǎng)絡(luò)傳輸通道，通過密碼算法對 IP 層數(shù)據(jù)包進行機密性以及完整性保護。SSL協(xié)議及其后繼版本傳輸層安全（Transport Layer Security，TLS）協(xié)議是工作在傳輸層和應(yīng)用層之間的安全協(xié)議，為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性。

采用虛擬專網(wǎng)技術(shù)可實現(xiàn)移動終端安全接入企業(yè)內(nèi)網(wǎng)并保證網(wǎng)絡(luò)傳輸安全。首先企業(yè)內(nèi)網(wǎng)對接入終端的身份合法性進行認證，檢查方式有多種形式，比如通過 MAC地址、IP地址、用戶名和密碼、生物識別、PKI公鑰證書體系、USBKey等，或者是幾種形式的組合運用。身份認證通過后才可繼續(xù)進行VPN通信。在VPN通信過程中，IPSec協(xié)議或SSL協(xié)議可提供如下安全能力。

a）數(shù)據(jù)機密性。發(fā)送方通過密碼算法對數(shù)據(jù)進行加密計算，在傳輸通道中進行傳輸?shù)氖敲芪臄?shù)據(jù)，合法接收方可以通過密碼算法對數(shù)據(jù)進行解密計算獲得明文數(shù)據(jù)。即使數(shù)據(jù)在傳輸過程中被竊取截獲，竊取方也無法對密文數(shù)據(jù)正確解密獲取明文數(shù)據(jù)。

b）數(shù)據(jù)完整性。發(fā)送方通過密碼算法對數(shù)據(jù)進行摘要計算和簽名計算，將摘要值和簽名值與數(shù)據(jù)同時進行傳輸。接收方可以通過密碼算法對接收到的數(shù)據(jù)進行驗簽計算，驗證數(shù)據(jù)來源以及沒有被篡改。

c）防止重放。數(shù)據(jù)接收端可以檢測過時的或者已經(jīng)收到過的報文。

2.3 存在問題

無論是采用終端系統(tǒng)隔離技術(shù)還是虛擬專用網(wǎng)絡(luò)技術(shù)，硬件層面都受到移動終端硬件結(jié)構(gòu)的限制，移動終端的安全機制和安全策略均需通過CPU來實現(xiàn)。在軟件層面，安全機制受到操作系統(tǒng)控制，數(shù)據(jù)的處理、傳輸和存儲均通過操作系統(tǒng)來實現(xiàn)。因此，系統(tǒng)隔離和安全通信協(xié)議只是在移動終端中被CPU和操作系統(tǒng)調(diào)用式實現(xiàn)，如果CPU或者操作系統(tǒng)本身存在漏洞和后門，那么所有的安全機制可能會被旁路，從而喪失安全性。

? ?0 3? ?

終端安全解決方案

本文在現(xiàn)有技術(shù)方案的基礎(chǔ)上對5G移動終端的安全架構(gòu)進行創(chuàng)新優(yōu)化設(shè)計。第一，基于硬件的系統(tǒng)隔離。在 1 臺移動終端中集成 2 套硬件（主要包括CPU、內(nèi)存和存儲），分別用于運行安全系統(tǒng)和生活系統(tǒng)，將操作系統(tǒng)或虛擬機建立在獨立的硬件系統(tǒng)之上，使得應(yīng)用運行環(huán)境和存儲空間的隔離更加徹底。第二，門衛(wèi)式內(nèi)網(wǎng) VPN 接入。采用門衛(wèi)式方式實現(xiàn)VPN內(nèi)網(wǎng)接入，在基帶芯片與安全系統(tǒng)CPU之間放置加密協(xié)處理器，實現(xiàn)終端CPU與基帶芯片之間的門衛(wèi)式物理隔離，使得通信數(shù)據(jù)在CPU和基帶芯片之間的交互必須通過安全協(xié)處理器，保證VPN通路不會被旁路和替代。第三，系統(tǒng)間安全通信方案。安全系統(tǒng)和生活系統(tǒng)的CPU借助加密協(xié)處理器進行通信，并采用加密通信協(xié)議進行控制信號和通信數(shù)據(jù)的交互。

3.1 基于硬件的系統(tǒng)隔離

安全移動終端在 1 臺移動終端中集成 2 套硬件（主要包括CPU、內(nèi)存和存儲），分別用于運行2套操作系統(tǒng)和上層應(yīng)用，硬件結(jié)構(gòu)如圖2所示。安全移動終端在硬件層面可分為安全系統(tǒng)、生活系統(tǒng)、安全通信模塊（加密協(xié)處理器）、通用通信模塊（基帶處理器和射頻模塊）、系統(tǒng)外設(shè)等。

圖2 終端硬件結(jié)構(gòu)

安全通信模塊是安全移動終端的安全核心，分別連接安全系統(tǒng)、生活系統(tǒng)和通用通信模塊。安全通信模塊的核心器件是加密協(xié)處理器，通過硬件的方式實現(xiàn)安全系統(tǒng)與通用通信模塊、安全系統(tǒng)與生活系統(tǒng)之間的安全數(shù)據(jù)通信，實現(xiàn)安全移動終端雙系統(tǒng)之間的硬件隔離。

安全系統(tǒng)主要包括應(yīng)用處理器（CPU）、內(nèi)存和存儲，為辦公應(yīng)用提供運行環(huán)境、文件系統(tǒng)和數(shù)據(jù)存儲。安全系統(tǒng)的CPU與安全協(xié)處理器直接相連，所有與通用通信模塊或生活系統(tǒng)的交互數(shù)據(jù)均需通過安全通信模塊的處理，與通用通信模塊或生活系統(tǒng)無直接的物理連接。安全系統(tǒng)無法進行普通的網(wǎng)絡(luò)通信，必須通過安全通信模塊建立門衛(wèi)式的VPN通信通道，才可與辦公內(nèi)網(wǎng)連接。安全系統(tǒng)與系統(tǒng)功能外設(shè)直接連接，直接控制外設(shè)功能。

生活系統(tǒng)主要包括應(yīng)用處理器（CPU）、內(nèi)存和存儲，與通用通信模塊直接連接，基本功能與普通智能手機的相關(guān)模塊沒有區(qū)別。生活系統(tǒng)與安全系統(tǒng)沒有直接的物理連接。生活系統(tǒng)與安全系統(tǒng)之間的控制信號和通信數(shù)據(jù)交互是受控的，通過安全通信模塊完成。安全系統(tǒng)與系統(tǒng)外設(shè)之間沒有物理連接，當需要調(diào)用外設(shè)功能時，需要安全系統(tǒng)的授權(quán)，并在安全系統(tǒng)的監(jiān)控下進行功能調(diào)用。

通用通信模塊主要包括基帶處理器和射頻模塊，與普通智能手機的通信模塊沒有區(qū)別。該模塊負責(zé)將安全系統(tǒng)通過安全通信模塊發(fā)送的通信數(shù)據(jù)或者生活系統(tǒng)的通信數(shù)據(jù)進行網(wǎng)絡(luò)傳輸。

系統(tǒng)外設(shè)主要包括電源、顯示屏、攝像頭、聽筒、麥克風(fēng)、USB等，其功能與普通智能手機的系統(tǒng)外設(shè)基本一致。系統(tǒng)外設(shè)直接受安全系統(tǒng)控制，在受控條件下可以間接被生活系統(tǒng)調(diào)用。

安全移動終端在軟件層面可分為安全系統(tǒng)、生活系統(tǒng)和VPN模塊，結(jié)構(gòu)如圖3所示。安全系統(tǒng)和應(yīng)用系統(tǒng)具備獨立的硬件抽象層、操作系統(tǒng)層和應(yīng)用層，彼此獨立運行，VPN模塊負責(zé)安全系統(tǒng)的網(wǎng)絡(luò)通信功能。因為將操作系統(tǒng)或虛擬機建立在獨立硬件系統(tǒng)之上，應(yīng)用運行環(huán)境和存儲空間的隔離更加徹底。

圖3 終端軟件結(jié)構(gòu)

3.2? 門衛(wèi)式內(nèi)網(wǎng)VPN接入

安全移動終端可以實現(xiàn)終端與辦公內(nèi)網(wǎng)之間的安全通信，為終端的內(nèi)網(wǎng)接入以及數(shù)據(jù)傳輸提供門衛(wèi)式安全能力。在具備移動通信快捷、靈活優(yōu)勢的同時，安全移動終端可以有效防止各類外部攻擊、非授權(quán)用戶訪問和信息泄露。辦公內(nèi)網(wǎng)結(jié)構(gòu)以及在移動互聯(lián)網(wǎng)中的位置如圖4所示。

圖4 網(wǎng)絡(luò)結(jié)構(gòu)

接入?yún)^(qū)是辦公內(nèi)網(wǎng)安全接入功能的核心模塊，主要包括VPN網(wǎng)關(guān)。VPN網(wǎng)關(guān)部署在應(yīng)用服務(wù)器與互聯(lián)網(wǎng)之間，作為外部用戶進入辦公內(nèi)網(wǎng)的入口，實現(xiàn)接入用戶身份認證、虛擬網(wǎng)絡(luò)通道協(xié)議和密碼安全功能。安全移動終端與VPN網(wǎng)關(guān)之間通過VPN通信協(xié)議進行內(nèi)網(wǎng)數(shù)據(jù)的安全通信。

業(yè)務(wù)區(qū)是辦公內(nèi)網(wǎng)各項業(yè)務(wù)的承載模塊，主要包括應(yīng)用服務(wù)器，應(yīng)用服務(wù)器與互聯(lián)網(wǎng)應(yīng)用服務(wù)器沒有重大區(qū)別。

門衛(wèi)式內(nèi)網(wǎng)VPN接入的核心是移動終端與內(nèi)網(wǎng)VPN 網(wǎng)關(guān)之間的通信通道無法被旁路和惡意替換。在網(wǎng)絡(luò)側(cè)，辦公內(nèi)網(wǎng)與內(nèi)網(wǎng)接入?yún)^(qū)（VPN網(wǎng)關(guān)）物理連接，保證辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)物理隔離。普通互聯(lián)網(wǎng)用戶無法訪問辦公內(nèi)網(wǎng)。在終端側(cè)，安全移動終端的安全系統(tǒng)通過安全通信模塊（加密協(xié)處理器）與基帶連接，加密協(xié)處理器建立與辦公內(nèi)網(wǎng)VPN網(wǎng)關(guān)之間的虛擬網(wǎng)絡(luò)通信通道。安全系統(tǒng)與辦公內(nèi)網(wǎng)之間的虛擬網(wǎng)絡(luò)通信通過移動互聯(lián)網(wǎng)進行傳輸，所有通信數(shù)據(jù)均可保證機密性、完整性和來源可靠性。

3.3 系統(tǒng)間安全通信方案

安全移動終端內(nèi)安全系統(tǒng)和生活系統(tǒng)之間是物理隔離的，二者之間無法直接訪問。但是，雙系統(tǒng)之間需要相互配合，存在控制指令和部分業(yè)務(wù)數(shù)據(jù)的交互需求。所以，在受控條件下完成雙系統(tǒng)之間有限的安全通信尤為關(guān)鍵。

加密協(xié)處理器是雙系統(tǒng)之間安全通信的實現(xiàn)模塊，為雙系統(tǒng)建立類似于服務(wù)器之間的安全通信協(xié)議。只有在符合安全策略的前提下雙系統(tǒng)之間才可進行數(shù)據(jù)交互，實現(xiàn)安全系統(tǒng)向生活系統(tǒng)的系統(tǒng)外設(shè)使用授權(quán)和雙系統(tǒng)之間的消息提醒。

? ?0 4? ?

?總 結(jié)

本文介紹了移動終端在企業(yè)應(yīng)用中面臨的安全風(fēng)險，分析了常用的終端安全技術(shù)和存在問題。基于虛擬化系統(tǒng)隔離技術(shù)和虛擬專網(wǎng)技術(shù)，提出基于硬件的系統(tǒng)隔離、門衛(wèi)式內(nèi)網(wǎng)VPN接入和系統(tǒng)間安全通信方案，分析安全移動終端和辦公內(nèi)網(wǎng)的軟硬件結(jié)構(gòu)和功能。本文提出的安全移動終端和辦公內(nèi)網(wǎng)已在對信息安全有較高要求的政務(wù)通信和辦公領(lǐng)域中實際應(yīng)用，為保障國家信息安全起到了重大作用。

作者簡介

齊霄，碩士，主要從事移動安全應(yīng)用開發(fā)和密碼技術(shù)應(yīng)用工作；

侯玉華，高級工程師，碩士，長期從事移動終端和可信安全相關(guān)技術(shù)的研發(fā)和標準研究工作。

編輯：黃飛

?