陈卫平

摘 要：PGC（Professional Generated Content）需要借助专业摄像机或智能手机等移动终端设备制作媒体内容，面临终端应用可被冒用、媒体内容被篡改等安全风险。文章提出一种面向融合媒体的PGC移动终端安全防护方法，该方法通过融合可信度量和阻断进程Hook 技术，保证PGC移动终端运行环境的可信，通过签名验签技术确保PGC APP的接入可信。在真实设备的实验结果表明，论文提出方法在实现对PGC移动终端安全防护的同时，不会给PGC移动终端带来太大的性能开销。

关键词：融合媒体；PGC；移动终端；可信计算；签名验签

中图分类号：TN948 文献标识码：B

1 引言

全媒体融合是当前广电行业的重要发展趋势，PGC是全媒体融合中一种主流的内容制作方式，具有内容由专业机构提供、可控性强、可多层筛选、更具权威性等优点。目前通过PGC模式生成的媒体内容数量在迅猛增长。然而，由于PGC需要借助专业摄像机或智能手机等移动终端设备制作媒体内容，而当前PGC移动终端面临多种安全风险：PGC制播APP自身存在漏洞或缺陷、PGC制播APP运行环境的不安全带来的间接风险或伤害、PGC制播APP与后端服务器间缺乏安全认证致使私自或非注册登记的PGC制播APP可接入等，这些安全风险易导致PGC制作的媒体内容被篡改或破坏，给整个全媒体融合制播系统带来安全隐患，因此，如何对PGC移动终端进行安全防护已成为全媒体融合下制播安全的关键问题，具有重要的现实意义。

为应对上述安全风险，对PGC移动终端进行安全防护需要解决两个重要问题。一是在PGC移动终端启动和运行媒体内容制播APP时，需要确保PGC移动终端的当前执行环境安全可信。以安卓平台上的PGC制播APP启动为例，虽然安卓平台是基于Linux内核的，Linux自带的沙箱机制可保证不同应用程序运行在各自独立的Dalvik虚拟机实例中，但是传统的沙箱机制无法阻止恶意应用程序通过挟持操作系统来监控系统的数据传输[1]，一旦操作系统被劫持，PGC制播APP制作的媒体内容便容易被篡改和破坏。二是在PGC制播APP完成对媒体内容制作后、向后台服务器上传媒体内容时，需要确保PGC制播APP的接入可信。如果在PGC制播APP接入全媒体融合制播系统后台服务器时缺少安全认证，一旦有恶意应用程序仿冒了该APP，盗用其身份就容易对后台服务器发起外部恶意攻击，带来重要媒体资料被篡改、正常全媒体内容分发播出被干扰等安全问题。

针对上述问题，本文提出一种面向融合媒体的PGC移动终端安全防护方法。该方法借鉴可信计算思想，通过融合PGC应用环境可信度量、阻断进程Hook技术来保证全媒体融合内容制作过程中PGC移动终端运行环境的可信，通过签名验签技术確保PGC制播APP的接入可信。最后，在真实移动终端设备上对提出进行了实验检验，实验结果表明，本文提出方法在实现对PGC移动终端安全防护的同时，不会给PGC移动终端带来太大的性能开销。

2 相关工作

当前的移动终端安全工作多侧重在对移动终端上的恶意程序检测方面[2]，包括静态分析和动态检测两类。静态分析[3，4]主要通过逆向工程分析应用程序的源码来获取移动终端应用程序的权限、签名信息等。动态检测[5，6]主要通过实际运行应用程序，通过触发其恶意行为来实现对恶意程序的检测。

另外，在移动终端的安全防护方面，Mingshen等[7]以安卓智能终端为例设计并实现了一个基于主机的入侵防护系统Patronus，实验表明Patronus能有效防止侵入行为并且准确地检测恶意软件，具有非常低的性能开销和功率消耗。Wen-Chieh等[8]利用GUI测试技术、大数据分析和机器学习技术，提出了一个动态恶意程序分析框架DroidDolphin，实验表明该框架的恶意程序检出率为86%，并且随着数据集的增大，检测的准确率能显著提高。基于上述检测结果进一步进行安全防护能在一定程度上实现移动终端的可信执行环境，但这种被动防御模式无法应对全媒体融合系统面临的未知安全威胁。

本文借鉴可信计算的主动防御思想[9，10]，针对广电行业全媒体融合系统和PGC应用的特点[11]，研究PGC移动终端的安全保护措施，力图从构建PGC移动终端可信执行环境和实现PGC制播APP可信接入两个方面去保证PGC相关媒体内容不被篡改和破坏等安全问题。

3 应用场景

典型的PGC系统由PGC移动终端、PGC PC客户端、回传缓存模块、直播连线模块等构成，主要业务流程如图1所示：（1）素材回传模式——利用PGC终端采集/录制节目素材，通过互联网回传到PGC服务端的回传缓存模块，经过安全传输后进入节目制作流程；（2）直播连线模式——利用PGC终端摄制节目，并通过互联网实时传输到PGC服务端的直播连线模块，再通过IP或SDI等信号模式传输到演播室进入直播/录播流程，或通过直播流分发模块进入新媒体发布流程。

上述业务过程需解决两个安全问题。一是在移动终端启动和运行PGC APP时，需要确保终端当前执行环境的安全可信。以安卓为例，安卓平台上Linux自带的沙箱机制无法阻止恶意应用挟持操作系统：一旦操作系统被劫持，PGC APP制作的媒体内容便容易被篡改破坏；二是在PGC APP向服务端上传媒体内容时，除传统对用户和设备的认证以外还需确保PGC APP的接入可信，一旦其被恶意应用仿冒，就容易对服务端发起攻击，带来重要数据被篡改、正常分发播出被干扰等问题。因此，本文从确保PGC终端应用环境可信和PGC APP接入可信两方面对PGC移动终端进行安全防护。

4 方法设计

如图2所示，本文提出方法主要包含三个模块，各模块核心功能有三种。

4.1可信度量模块

可信度模块包括动态度量和静态度量。动态度量是对PGC APP执行后的状态等进行度量，旨在保护操作系统状态、进程行为以及自身安全机制等。静态度量是对PGC终端系统中的可执行程序及系统重要脚本与软件、配置进行完整性验证。

4.2 阻断进程Hook模块

通过强制PGC APP调用自定义的本地安全类库，在其运行时启动定制的保护程序对本地文件输入输出流进行加密，避免其他程序通过进程间Hook篡改PGC APP制作的媒体数据。

4.3 PGC APP签名验签模块

在PGC用户和设备认证的基础上，通过事先将合法PGC APP的签名信息存储在签名服务器上，在PGC APP接入安全交换域时，实时获取其签名并进行比对。拒绝签名不一致的接入请求，保护后台服务端的媒体内容安全。

5 關键技术

5.1 PGC移动应用执行环境可信度量技术

对PGC移动终端应用执行环境的可信度量分为静态度量和动态度量。静态度量具体流程如图3所示。

首先，通过扫描PGC终端中已有文件生成可信策略白名单；其次，在PGC APP启动前，对其进行完整性校验，若校验失败，则拒绝其执行PGC APP；另外，对于PGC APP的安装，只有使用广电行业指定密卡签名的应用才允许安装，否则拒绝安装。

动态度量需要可信计算密码平台的支撑，其核心思想是由TSB启动内核线程，通过使用可信计算密码平台提供的Hash函数接口计算度量对象（包括系统内核、系统调用表、系统重要数据结构等）的完整性校验值，并与基准值进行比较。基准值为启动阶段采集的数据。

5.2 阻断进程Hook技术

PGC移动终端的主流平台包括IOS和安卓，本文以安卓平台为例介绍阻断进程Hook技术。安卓系统的底层由Linux内核实现，上层的应用由Java语言编写，通过JNI技术可以实现Java和Linux内核的相互调用，其实质是通过Java虚拟机（JVM）产生交互，安卓的Linux内核系统通过将各个进程运行在独立的Dalvik虚拟机上来保证应用的安全，然而因为恶意程序仍可通过进程Hook来获取其他进程的消息，这给PGC制播应用带来安全威胁。

安卓平台的进程Hook原理如图4所示，即恶意程序可通过将SO文件注入到目标进程，进而获取到JNIEnv对象，JNIEnv对象是Java和Linux相互调用的桥梁，通过该对象可以实现调用目标进程中的Java方法，并实现目标函数的Hook。接着，当应用程序执行时，会加载libtest_nonPIC.so文件，该文件会替换原始的printf（）函数的调用，改为先调用Hooked_printf（）方法，在该方法中执行Hook操作。这样一来，恶意程序就可通过进程Hook获取到特定APP的数据并进行篡改。

本文提出的阻断进程Hook技术以插件方式帮助PGC APP开发者提升它的安全性，插件中包含了安卓内核保护代码、防止内核函数被Hook调用。该插件以安卓本地类库的方式被添加到工程项目中，当PGC APP启动时会自动载入，这些类库文件会向PGC APP中注入保护代码，如图5所示，通过注入protect_prinf（）方法，使恶意程序Hook假的prinf（）函数，绕过android_log_print（）函数的执行，避免恶意程序开发者通过输出Logcat信息获取PGC APP处理的媒体内容，并返回正常的printf（）函数调用，保证媒体数据安全。

5.3 PGC APP的签名校验技术

当合法PGC制播APP上传应用商店前，需要该APP开发者通过自己的私钥对APP进行签名。当PGC用户安装PGC制播APP时，PGC移动终端系统会验证该APP的签名密钥，该密钥会作为APP的唯一标志。后续APP进行升级或者覆盖安装时，PGC移动终端系统会检验APP的签名信息，新版本APP和之前的签名信息一致，APP才能正常升级和使用。

如果恶意程序开发者对合法PGC APP进行反编译解析源码、嵌入恶意代码后用自己的密钥对APP进行打包，然后通过短信链接的方式诱导用户进行安装，一旦用户安装并用其进行录播、制作，媒体内容可能会被篡改、损坏。本方法提出将合法PGC APP的签名私钥信息存储在PGC系统的服务器端，在PGC APP运行过程中实时获取其签名信息，并与服务端存储的签名信息进行对比，以判断该APP是否已被恶意篡改。APP签名校验的具体流程如图6所示。

6 实验评估

我们在真实移动终端设备（安卓版本4.4、内存2G）上实验检验提出方法的效果。

我们对安卓设备的内核段代码、系统调用表、内核文件系统等进行监控。如图7所示，实验中向内核中动态插入HelloTest.ko测试模块，此时部署在PGC终端的可信度量模块会检测到相应内核文件的变化，并提示用户当前的执行环境存在安全风险。另外，利用APK Tool工具对合法PGC APP进行重打包并用其录制媒体内容上传服务端，此时签名校验模块会进行签名信息的比对，如图8所示，若签名不一致，系统会提示用户该APP存在安全风险。

最后，我们测试提出方法对PGC安卓移动设备的资源消耗情况。实验中阻断进程Hook模块借助在内核中插入Hook模块实现，度量模块的进程ID为“com.example.testjni”，如图9所示， CPU的消耗峰值稳定在4%，大部分时间几乎为0，系统内存基本稳定在23MB。当前主流安卓机器的内存大都为4GB，因此本文提出方法对于安卓系统的内存消耗极低。

7 结束语

本文提出了一种面向融合媒体的PGC移动终端安全防护方法，该方法通过融合可信度量、阻断进程Hook和签名验签技术实现PGC移动终端运行环境的可信和PGC APP的可信接入。本文当前实验是在安卓平台上完成，实验结果表明提出方法在对PGC移动终端安全防护的同时不会给带来太大的性能开销。下一步将在IOS等其他移动平台上进行提出方法的实验测试，进一步优化方法设计。

基金项目：

国家新闻出版广电总局科研项目“电视台网络化制播信息安全技术研究”（项目编号：2015-21）。

参考文献

[1] 白浩，王朝清. Android系统恶意应用程序的研究[J].网络空间安全，2017 （4-5）： 28-31.

[2] 宋丽珠，林柏钢，倪一涛，等. Android软件漏洞檢测方法与技术研究[J].网络空间安全，2016 （9-10）： 54-62.

[3] Alazab M， Monsamy V， Batten L， et al. Analysis of Malicious and Benign Android Applications[C]. International Conference on Distributed Computing Systems Workshops. IEEE Computer Society， 2012：608-616.

[4] Feldman S， Stadther D， Wang B. Manilyzer： Automated Android Malware Detection through Manifest Analysis[C]. IEEE， International Conference on Mobile Ad Hoc and Sensor Systems. IEEE， 2015：767-772.

[5] Chan P P K， Song W K. Static detection of Android malware by using permissions and API calls[C]. International Conference on Machine Learning and Cybernetics. IEEE， 2015：82-87.

[6] Quan D， Zhai L， Yang F， et al. Detection of Android Malicious Apps Based on the Sensitive Behaviors[C]. IEEE International Conference on Trust， Security and Privacy in Computing and Communications. IEEE， 2015：877-883.

[7] Sun M， Zheng M， Lui J C S， et al. Design and implementation of an Android host-based intrusion prevention system[C]. Computer Security Applications Conference. 2014：226-235.

[8] Wu W C， Hung S H. DroidDolphin： a dynamic Android malware detection framework using big data and machine learning [C]. Conference on Research in Adaptive and Convergent Systems. ACM， 2014：247-252.

[9] 沈昌祥，张焕国，王怀民，等.可信计算的研究与发展[J].中国科学： F辑 信息科学， 2010， 40（2）：139-166.

[10] 沈昌祥，陈兴蜀.基于可信计算构建纵深防御的信息安全保障体系[J].四川大学学报（工程科学版）， 2014， 46 （1）： 1-7.

[11] 徐妍.移动外场融媒体——大型体育赛事前场网络制播系统融媒体应用[J].现代电视技术， 2017（02）：70-75.