智绪龙，吴伦才，孟欣

（中移（杭州）信息技术有限公司/中国移动杭州研发中心，杭州 310000）

行业安全手机探索研究＊

智绪龙，吴伦才，孟欣

（中移（杭州）信息技术有限公司/中国移动杭州研发中心，杭州 310000）

党政军、学校、企业等特殊行业主要移动互联网安全问题是接入设备安全、移动应用安全、用户接入认证安全等。本文将从操作系统安全、应用程序安全、设备管理安全、网络传输安全4个方面进行讨论，实行对手机的全面安全防护，为行业安全提供成套解决方案。

安全；手机设备管理；Android

1 研究背景

Gartner 预测：2017年全球超过50%的企业员工会采用移动办公方式，随之面临的安全问题首当其冲。据2015年针对中小学生的调查，该群体手机拥有率达46.6%，其中近90%通过手机QQ、微信聊天，由于缺乏对学生使用手机的有效管控，手机使用对学生的成长和学习成绩产生了严重的影响。

2 手机安全解决方案

基于以上问题，本文给出了手机安全整体解决方案，主要包括操作系统层安全、应用程序层安全、设备管理层安全、网络传输层安全等部分，如图1所示。本文中将通过构建双域系统保证操作系统安全。通过应用扫描和应用加固保证应用程序安全。通过建立统一的用户和设备管理中心保证设备安全。通过建立企业专属SSL VPN通道用于传输企业数据保证网络传输安全。

图1 手机安全整体解决方案

2.1 操作系统层安全

在Android系统中，全部应用程序的用户数据存储在data/data目录下，而且访问数据采用的是 DAC（Discretionary Access Control，自主访问控制）模式，一定程度上会造成用户数据的泄露，因此考虑将用户数据进行划分，将重要信息存储于另一个目录下保护用户数据的安全，防止信息被读取、更改，达到数据隔离的目的。

双域系统是基于操作系统层面的安全加固解决方案，因此需要从系统级别对安卓原系统进行改造，使之能对多域下的应用及数据进行隔离，并对安全域下运行的应用和数据提供保护，对指定目录的数据加密以保障数据的安全性。

SEAndroid采用 MAC (Mandatory Access Control,强制访问控制)模型，在MAC机制中，用户、进程或者文件的权限不是由它们自主决定的，而是由管理策略决定的。

双域系统基于SEAndroid开发，通过权限配置的方式在单操作系统中分离出个人区与企业区，以达到数据隔离的目的。双域手机可以实现同时管控个人区、企业区，使得设备管理、应用和内容的管理等具体应用场景和功能实现更简单、管控逻辑更清晰、更方便，如图2所示。

图2 基于SEAndroid机制的双域系统

本方案的重点是对数据进行隔离，使用户数据存放在data/safedata目录下或者任意文件下进行隔离，在此文件夹下的数据采用 MAC 模式保护，即使获取手机root权限也不能获取该文件下的隔离数据。同时，与data/safedata目录地位平等的是data/data目录，此文件下存放不重要的信息，此文件夹下的数据采用DAC模式访问控制。首先，data根目录是由分区影像文件ramdisk.imag在内核启动的时候调用init中的mount函数生成。然后在data目录下通过mount（"data"，"data/，"data"，0，NULL）操作生成索引节点再通过mkdir data/safedata 生成 data 根目录下的safedata目录。最后在应用开发过程中将数据库的存放路径 PATH 为 data/safedata。这样就可以将应用的数据隔离开来。

经过SEAndroid配置权限以后，其访问权限是先进行DAC模式检查，然后再进行MAC模式检查，当用户获得root权限后访问数据，可以任意操作data/ data 目录下的数据，但是无法操作data/safedata目录下的数据，因此加强了应用的安全性。只有具备策略文件中的访问权限，才可以操作data/safedata目录下的数据和文件。

通过双域手机建立物理分区，区分为个人区和企业区，个人区数据和企业区数据完全隔离，并不能相互访问；企业数据加密存储在企业区。双域安全终端定制1000+条安全策略进行底层安全防护，为Android系统加一道安全门，防止root后的数据泄露；可对应用进行分类管理，对不同的应用赋予不同的权限，增加系统安全性；提供了更丰富的域管控机制，满足不同行业、不同层次的客户需求。

2.2 应用程序层安全

由于Android手机应用是基于Java语言研发，所以应用程序比较容易被破解或者反编译，本文将对应用程序进行检测和加固。

应用安全检测即对开发者APP进行漏洞扫描，发现潜在漏洞，是否存在源代码被窃取，反编译和植入，资源文件被窃取替换等问题，保障应用安全。Android系统上的应用安全漏洞包含应用程序漏洞、数据安全漏洞、通信安全漏洞、业务安全漏洞。

应用程序漏洞：针对可能导致程序被恶意篡改和非法控制的不当权限配置及服务调用进行深入检测，规避安全风险。

数据安全漏洞：全面检测由于组织权限控制不当及系统函数的非法调用而造成的数据泄露风险，保障APP数据安全。

通信安全漏洞：对APP网络传输协议进行全面解析，从中检测到是否有未加密的敏感信息传输，保障数据传输安全。

业务安全漏洞：通过动态检测引擎分析调用接口，深入分析并发现SQL注入及XXS等业务安全漏洞，规避业务安全风险。

可通过全面的基于自动化的漏洞检测工具，通过静态扫描及动态检测技术，针对涵盖配置缺陷、权限滥用、业务漏洞等安全监测风险点，实现对APP的全面风险检测。

静态漏洞检测：基于反编译技术对应用文件进行漏洞特征识别，能有效检测密钥硬编码、Https中间人攻击、风险接口调用等漏洞风险，同时基于词法分析、语法分析等编译技术，还原出应用内部的函数调用关系及代码运行序列图，排除因代码未被调用而造成的漏洞误报。

动态漏洞检测：结合API Hook技术、数据分组还原技术、Web漏洞Fuzzing技术、端口扫描技术可以对应用动态运行过程中的HTTP请求、Log日志打印、文件读写等操作进行拦截识别，经过特征匹配后，可以有效检测后台SQL注入、不安全传输、敏感信息泄露、不安全存储等动态漏洞。

应用安全加固即为安卓应用加装保护壳，屏蔽恶意篡改、病毒/木马/广告植入，计费破解、敏感信息泄露、代码窃取等安全风险。主要通过以下方法进行保护加固。

（1） dex文件保护加固：对dex文件进行加壳防护，防止被工具反编译和破解。

（2）资源文件保护加固：对图片、音频、汉化文件等进行加密保护，包括防查看和防修改。

（3）xml配置文件保护加固：对配置文件进行保护，防止静态注入Service和添加权限。

（4）防二次打包保护加固：对APK进行指纹校验保护，应用被二次打包后无法正常运行。

（5） so文件保护加固：防止so库文件被破解和盗用，保护C++层代码安全。

（6）内存保护加固：防止通过内存DUMP获取代码片段，从而还原dex文件。

综合运用漏洞扫描、安全检测、加壳、混淆等应用加固、本地数据保护、渠道监测等技术手段，防止应用静态及动态使用时被破解及恶意篡改，防止应用逻辑及敏感信息被窃取，保障企业应用全生命周期的安全性。

2.3 设备管理层安全

设备管理层安全：主要通过实现移动设备管理、移动应用管理、移动内容管理以及用户统一身份认证，有效将企业移动设备管理起来，保障移动设备上企业应用和数据的安全，为企业建立统一设备管理中心，在设备丢失、盗窃、员工离职时通过终端管理对手机进行手机锁定、手机工作数据擦除等管控。

2.3.1 移动设备管理（MDM）

通过客户端和管理平台可以监控移动终端状态，通过设备管理平台可以移动设备发送指令，来控制移动终端进行外设管控、工作区切换以及数据擦除等。实现移动设备注册、工作区锁定、锁定设备、工作区切换、设备振铃、外设禁用、消息推送、设备定位、设备轨迹查询、数据擦除等功能。构建手机配置中心，通过管理平台推送手机配置到手机终端更改手机终端配置，实现手机终端安全、手机外设使用安全、手机配置统一管理。

2.3.2 移动应用管理（MAM）

企业应用商店可以为企业用户提供专用的应用分发通道，保证设备工作区只能安装经过企业审核后应用，通过管理平台能够推送应用到用户设备，保障企业对设备应用的管控和应用数据的安全。实现企业应用发布申请、企业应用安全加固、企业应用发布审核、企业应用推送、企业应用强制安装、企业应用强制卸载、企业应用安装统计等功能。

2.3.3 移动内容管理（MCM）

通过控制粘贴板和分发功能，限制企业数据只允许分发到企业应用中，防止数据外泄；集成安全存储SDK，保障文件本地存储安全；通过客户端自动或者手动的方式建立VPN数据传输隧道，实现文件传输过程中加密的功能。从而实现企业数据在存储、传输、分发等各环节的安全需要，多维度保护数据的机密性、可用性、完整性。

2.3.4 用户统一身份认证

用户在使用业务时，可以一次认证，多处登录。即用户认证自身身份后，其身份信息能够安全地传递到多个业务，以免去用户重复认证的负担。针对各类移动用户及终端，进行严格的身份认证及权限管理，并根据用户行为实时进行基于账户的风险控制。基于客户端的统一认证流程如图3所示。

流程简述如下。

（1）企业的业务平台在需要交易（签名）请求时，调用SIM盾接口至统一认证平台。

（2）统一认证平台的安全短信模块将业务平台交易数据转换成安全数据短信，并将其通过短信网关下发给手机。

（3）手机的基带芯片识别为SIM卡数据短信后，不经过手机操作系统，而是直接将数据短信传给SIM卡中的SIM盾应用处理。

（4）SIM盾解密并调用手机底层STK菜单显示交易信息让用户确认，并将交易记录进行数字签名。

（5）SIM盾将签名结果以数据短信方式发回统一认证平台。

（6）统一认证平台将安全短信中包含的签名信息转换成http报文并返回给业务平台。

（7）业务平台接收到交易签名数据，对签名数据进行验签操作确保业务安全。

运营商具有的EAL4+高安全USIM卡和广覆盖移动通信网络，可以对各类应用场景提供不同级别、普适的认证能力。利用SIM卡中的认证应用实现用户确认和加密、签名，利用SIM卡芯片从物理层保护安全性，通过构建用户管理中心实现对用户的身份认证、权限管理、行为风控功能，保障合法用户授权接入企业业务系统，并通过实时监测及事后审计对用户行为进行风险控制。

设备管理层系统建设了手机安全管理信息化服务平台，为用户提供智能手机使用的安全管控功能，包括智能手机设备统一管理、手机应用管理、安全文明上网、泄密信息管理等服务，保障手机终端及信息的安全。

2.4 网络传输层安全

SSL VPN (Security Socket Layer Virtual Private Network)安全通道基于高强度密码算法，具备防通信窃取、防数据篡改、防重放攻击等能力；硬件级安全网关，安全可靠，可扩展性强；IP层数据加密封装，实现TCP/UDP协议透明加解密，完美支持应用层所有常见通信协议，如图4所示，可采用基于虚拟网卡技术+SSL VPN安全通信技术实现的可定制化移动安全通信解决方案，保障信息安全传输，防止信息在传输过程中被窃取、破坏。SSL安全协议提供3种安全服务：数据保密服务、身份认证、数据完整性服务。

通过建立SSL VPN通道保证网络传输安全，手机切换到工作区同时建立企业专属SSL VPN通道用于传输企业数据，杜绝企业信息的暴露风险，切出工作区时关闭SSL VPN通道并打开公用VPN数据网络通道。

3 总结与展望

图3 基于客户端的统一认证流程

图4 基于虚拟网卡技术+SSL VPN安全通信技术

本文首先进行了行业手机安全分析，提出了基于SEAndroid 技术的双域，建立企业应用数据隔离区，保证系统安全；采用了漏洞扫描和安全加固等技术手段，防止应用静态及动态使用时被破解及恶意篡改，保证应用安全；建设了手机安全管理信息化服务平台，为用户提供智能手机使用的安全管控功能，保障手机终端的安全；最后，给出了基于虚拟网卡技术+SSL VPN安全通信技术实现的可定制化移动安全通信解决方案，避免了信息传输风险。

[1] 钟亮, 吕萍. 浅析智能手机的军事应用前景[J]. 微型机与应用, 2016,35(2):4-5.

[2] 刘刚, 任飞, 彭元志. 一种基于Linux容器机制的系统级双域隔离方案[J]. 信息安全与通信保密, 2016,(03):126-128.

[3] 刘魁. Android平台的一种数据安全隔离方案[J]. 科技创新与应用, 2016,(27):48-49.

[4] 刘洪强. 基于SSL协议的VPN技术研究与实现[D]. 济南：山东大学, 2008.

[5] 陈传伟. 基于SSL VPN技术构建企业移动访问系统[J]. 中国新信, 2016,(09):88.

Research on the safety of mobile phones

ZHI Xu-long, WU Lun-cai, MENG Xin
(China Mobile (Hangzhou) Information Technology Co., Ltd./China Mobile Hangzhou R & D Center, Hangzhou 310000, China)

The main security issues of special industries such as party, government, school and enterprise are security of access devices, security of mobile application and security of user access authentication. This paper will discuss the four aspects of operating system security, application security, equipment management security and network transmission security, which implement the comprehensive security protection for mobile phones and provide a complete set of solutions for security.

security; mobile device management; Android

TN918

A

1008-5599（2017）08-0037-05

2017-07-03

* 中国移动集团级一类科技创新成果，原成果名称为《安全手机产品》。