摘　要

　　近年來，以智能手機及其周邊設(shè)備為代表的智能移動終端迅速普及，但涉及智能移動終端信息安全問題的相關(guān)報道也呈現(xiàn)上升趨勢。通過以當(dāng)前智能移動終端與信息安全發(fā)展現(xiàn)狀為出發(fā)點，梳理智能移動終端信息安全功能的發(fā)展歷史，總結(jié)平臺結(jié)構(gòu)的主要特征，論述了智能移動終端信息安全風(fēng)險現(xiàn)狀及對策，展望未來信息安全風(fēng)險的研究方向。

　　內(nèi)容目錄：

　　1　智能移動終端的信息安全防護機制

　　1.1　硬件端的安全防護機制

　　1.2　操作系統(tǒng)的安全防護機制

　　1.3　應(yīng)用程序的安全防護機制

　　2　智能移動終端平臺結(jié)構(gòu)的主要特征

　　2.1　SoC 性能不斷提升

　　2.2　軟件發(fā)布和開發(fā)環(huán)境趨向一元化

　　2.3　基于智能手機的周邊設(shè)備發(fā)展迅速

　　3　智能移動終端信息安全風(fēng)險現(xiàn)狀及對策

　　3.1　硬件設(shè)備的風(fēng)險與對策

　　3.2　軟件系統(tǒng)的風(fēng)險與對策

　　3.3　操作使用的風(fēng)險與對策

　　4　結(jié)　語

　　信息安全風(fēng)險是指在信息化建設(shè)中，各類應(yīng)用系統(tǒng)及其賴以運行的基礎(chǔ)網(wǎng)絡(luò)、處理的數(shù)據(jù)和信息，由于其可能存在的軟硬件缺陷、系統(tǒng)集成缺陷等，以及信息安全管理中潛在的薄弱環(huán)節(jié)，而導(dǎo)致的不同程度的安全風(fēng)險 [1]。當(dāng)前，以智能手機及其周邊設(shè)備為代表的智能移動終端迅速普及，正逐漸替代個人計算機成為用戶連接互聯(lián)網(wǎng)的主要終端設(shè)備。在經(jīng)濟、社會和文化等領(lǐng)域中，智能移動終端作為各種信息交互的載體，給用戶帶來便利服務(wù)的同時，也帶來了很多信息安全風(fēng)險。近年來，通過各類研究發(fā)現(xiàn)，智能移動終端面臨的信息安全風(fēng)險正在不斷加劇。

　?。?/p>

　　智能移動終端的信息安全防護機制

　　合理的信息安全機制可以有效提高智能移動終端的信息安全性，最大限度上保護用戶的個人隱私。從功能結(jié)構(gòu)上，可以分為硬件端、操作系統(tǒng)和應(yīng)用程序 3 個層次。

　　1.1　硬件端的安全防護機制

　　通信運營商在確定智能移動終端的各類規(guī)格參數(shù)后，由設(shè)備運營商負(fù)責(zé)向設(shè)備制造商提供安全功能需求，以保障應(yīng)用程序與各設(shè)備的適配性。一方面，設(shè)備制造商需要基于設(shè)備自身參數(shù)，參考來自通信運營商提供的信息安全機制，選擇對應(yīng)所需安全強度的協(xié)議與安全機制；另一方面，產(chǎn)品運營商在沒有通信運營商介入的情況下，可以通過設(shè)備制造商提供的硬件參數(shù)標(biāo)準(zhǔn)，審查軟件運營商在該設(shè)備應(yīng)用商店中發(fā)布的應(yīng)用程序。雖然設(shè)備制造商提供的應(yīng)用程序標(biāo)準(zhǔn)不同，但通過使用操作系統(tǒng)（Operating System，OS）供應(yīng)商提供的應(yīng)用程序接口（Application Programming Interface，API），各應(yīng)用程序的運行安全可得到有效保證。然而，設(shè)備運營商可能無法掌握各種設(shè)備中包括硬件信任根（Root of Trust，RoT）等在內(nèi)的全部安全功能來保證應(yīng)用程序操作的適配性。因此，設(shè)備運營商可通過添加保密安全模塊的方式，為智能移動終端提供特定應(yīng)用程序與硬件適配的信息安全功能?？梢哉J(rèn)為，在為智能移動終端提供應(yīng)用程序和服務(wù)時，設(shè)備運營商管理的關(guān)于安全請求和應(yīng)對方法將變得越來越復(fù)雜，對應(yīng)領(lǐng)域?qū)⒆兊迷絹碓綇V泛。

　　1.2　操作系統(tǒng)的安全防護機制

　　智能移動終端的操作系統(tǒng)是管理和控制手機硬件與軟件資源的核心控制系統(tǒng)。目前，市面上使用最多的移動操作系統(tǒng)是谷歌安卓Android 和蘋果 iOS。Android 系統(tǒng)是由谷歌公司開發(fā)的以 Linux 為核心的開放式操作系統(tǒng)，其特色的安全機制是數(shù)字證書機制。數(shù)字證書機制要求應(yīng)用程序在正式發(fā)布時必須具有數(shù)字簽名，而簽名需要利用開發(fā)者的私鑰生成數(shù)字證書來實現(xiàn)。已簽發(fā)的數(shù)字證書是有有效期限的，過期的證書會導(dǎo)致應(yīng)用無法安裝。Android 系統(tǒng)通過數(shù)字證書來確認(rèn)不同應(yīng)用是否來自同一開發(fā)者，規(guī)定只有通過簽名的應(yīng)用才能被安裝。iOS 系統(tǒng)是由蘋果公司開發(fā)的以 Darwin 為基礎(chǔ)的移動操作系統(tǒng)，其特色的安全機制是沙箱安全機制。沙箱安全機制要求所有第三方應(yīng)用程序都需要使用應(yīng)用開發(fā)者的賬號進行簽名，而該賬號都是通過蘋果官方實名認(rèn)證審查的賬號，來源透明可靠，從源頭上保證了程序的安全性。此外，開發(fā)者在開發(fā)應(yīng)用程序時只能使用蘋果公司提供的加密軟件開發(fā)工具包（Software Development Kit，SDK），能限制開發(fā)者開發(fā)危害手機安全的應(yīng)用程序，相對于 Android 系統(tǒng)的安全性能更高。

　　1.3　應(yīng)用程序的安全防護機制

　　在智能移動終端上，應(yīng)用程序的安全機制是由應(yīng)用程序開發(fā)人員結(jié)合操作系統(tǒng)的特性實現(xiàn)的，可以有效保證應(yīng)用程序在用戶使用過程中的安全性。根據(jù)功能特點，可將應(yīng)用程序的安全機制分為 7 類，如下文所述。（1）可移植操作系統(tǒng)接口（Portable Operating System Interface，POSI）機制。主要功能是使每一個應(yīng)用程序關(guān)聯(lián)一個唯一的用戶 ID。（2）文件訪問控制機制。主要功能是使每一個應(yīng)用程序的路徑只能被應(yīng)用程序自身訪問。（3）內(nèi)存管理機制。主要功能是使應(yīng)用進程只能運行在自己所擁有的虛擬地址空間內(nèi)。（4）強制安全檢查機制。主要功能是在編譯和運行應(yīng)用程序時用一個特定的格式對變量的內(nèi)容進行強制性安全檢查。（5）權(quán)限控制機制。主要功能是使每個應(yīng)用程序在安裝時都必須聲明其所需要的權(quán)限。（6）組件封裝機制。主要功能是生成每個應(yīng)用程序?qū)?yīng)的優(yōu)先級別，該級別可用于比較應(yīng)用程序的優(yōu)先順序。（7）簽名機制。主要功能是使開發(fā)者對自己所開發(fā)的應(yīng)用程序進行簽名。

　?。?/p>

　　智能移動終端平臺結(jié)構(gòu)的主要特征

　　為進一步研究智能移動終端的信息安全風(fēng)險，合理預(yù)測信息安全風(fēng)險的發(fā)展趨勢，有必要了解智能移動終端平臺結(jié)構(gòu)的主要特征，根據(jù)近期智能移動終端的發(fā)展情況，可梳理總結(jié)為下述 3 點。

　　2.1　SoC 性能不斷提升

　　當(dāng)前智能移動終端平臺在硬件方面普遍采 用 高 性 能 系 統(tǒng) 級 芯 片（System-on-a-Chip，SoC）。目前，在設(shè)備集成工藝中，將中央處理器（Central Processing Unit/Processor，CPU）、隨機存取存儲器（Random Access Memory，RAM）和圖形處理器（Graphic Processing Unit，GPU）等集成在一個核心芯片的方法已成為主流。因此，基板集成與能耗降低成為各大芯片設(shè)備制造商的產(chǎn)品規(guī)劃目標(biāo)。近年來，從高端到低端設(shè)備，基本設(shè)計共通的 SoC 產(chǎn)品線不斷標(biāo)準(zhǔn)化、流程化。其結(jié)果是，高性能 SoC 通過量產(chǎn)降低成本，各設(shè)備廠商開發(fā)的各型號智能設(shè)備均搭載通用的 SoC。另外，作為面向智能移動終端的SoC 的派生形式，面向平板電腦、游戲主機和可穿戴周邊設(shè)備等智能設(shè)備的 SoC 標(biāo)準(zhǔn)也逐步向智能手機看齊，其性能也隨芯片集成技術(shù)的發(fā)展而不斷提升。但若 SoC 標(biāo)準(zhǔn)存在漏洞，則黑客可直接利用該漏洞對設(shè)備信息安全造成威脅，如早期任天堂（Nintendo）的 Switch 就因為搭載了存在漏洞的英偉達 GPU 芯片而遭到黑客的大量破解，造成不可估量的經(jīng)濟損失。

　　2.2　軟件發(fā)布和開發(fā)環(huán)境趨向一元化

　　在智能移動終端中，采用從 OS 供應(yīng)商運營的應(yīng)用商店中集中獲取應(yīng)用程序的形式已成為加強設(shè)備安全與保證用戶隱私的有效手段。應(yīng)用程序開發(fā)者在發(fā)布應(yīng)用程序 App 后，用戶可以通過 OS 供應(yīng)商運營的應(yīng)用商店下載 App。這類 App 在應(yīng)用程序開發(fā)過程中，OS 作為平臺可以吸收各設(shè)備硬件的差異，向應(yīng)用程序服務(wù)開發(fā)者提供統(tǒng)一訪問方法和控制方法的 API。使應(yīng)用程序的開發(fā)者在短時間內(nèi)開發(fā)出可以在許多種類設(shè)備上運行的應(yīng)用程序，而無須考慮各個設(shè)備的內(nèi)部結(jié)構(gòu)。同時，每個 App 在應(yīng)用商店上架前，應(yīng)用程序的開發(fā)者必須與設(shè)備生產(chǎn)商簽訂第三方安全協(xié)議，從供應(yīng)端增強了信息安全防護能力。

　　2.3　基于智能手機的周邊設(shè)備發(fā)展迅速

　　隨著智能手環(huán)、智能眼鏡等新型可穿戴智能設(shè)備進入我們的生活，以智能手機為中心節(jié)點的智能家居可通過手機 App 實現(xiàn)復(fù)雜的控制功能。在硬件方面，SoC 供應(yīng)商以面向智能手機開發(fā)的 SoC 為基礎(chǔ)，正在開發(fā)面向各種智能設(shè)備的新 SoC。屆時，將沿用面向智能手機 SoC 的基本設(shè)計，使性能和耗電量符合各周邊智能設(shè)備的需求。使開發(fā)出來的新 SoC 與智能手機一樣，可以面向各公司的智能設(shè)備提供合適的統(tǒng)一標(biāo)準(zhǔn)。在軟件方面，OS 供應(yīng)商針對面向智能手機的 OS，根據(jù)各智能設(shè)備的畫面和操作特征擴充了功能。應(yīng)用程序的發(fā)布與面向智能手機的應(yīng)用程序商店相通，即使是對應(yīng)用程序的開發(fā)也可以在同一環(huán)境下進行，不僅提高了開發(fā)效率，還縮減了時間成本。但對于以上設(shè)備的信息安全防護尚未有統(tǒng)一的標(biāo)準(zhǔn)，控制失靈、隱私信息泄露等風(fēng)險仍在很大程度上威脅著用戶的信息安全。

　?。?/p>

　　智能移動終端信息安全風(fēng)險現(xiàn)狀及對策

　　結(jié)合智能移動終端的安全防護機制，基于智能移動終端平臺結(jié)構(gòu)的主要特征，可從硬件設(shè)備、軟件系統(tǒng)和操作使用 3 個方面總結(jié)當(dāng)前智能移動終端信息安全的風(fēng)險現(xiàn)狀，并有針對性地研究，提出防范對策。

　　3.1　硬件設(shè)備的風(fēng)險與對策

　　智能移動終端一般在出廠前通過設(shè)置硬件RoT 來防范因漏洞攻擊導(dǎo)致的軟件一致性缺失。例如，作為檢測軟件篡改的功能，會先進行安全引導(dǎo)。在安全引導(dǎo)中，可通過驗證電子簽名確認(rèn)設(shè)備啟動時讀取的軟件是否被篡改。在包括硬件 RoT 的智能設(shè)備中，用于驗證數(shù)字簽名的密鑰被存儲在設(shè)備的硬件中，這樣就可以保護密鑰免受被篡改后的軟件盜取密鑰等攻擊，從而增強安全引導(dǎo)功能。硬件 RoT 的實現(xiàn)主要包括將 SIM 卡安裝在終端上使用和配備專用芯片等方法，但主流多采用在 SoC 中集成硬件 RoT功能的方法。

　　為幫助用戶進行數(shù)字版權(quán)管理（Digital ights Management，DRM），保護敏感數(shù)據(jù)，可采用可信執(zhí)行環(huán)境（Trusted Execution Environment，TEE）技術(shù)。該技術(shù)是集成在面向智能移動終端的 SoC中的特色安全功能之一?；?TEE 的技術(shù)原理，可在存儲器中對展開程序的執(zhí)行空間進行分割，生成運行普通 OS 和應(yīng)用程序的富執(zhí)行環(huán) 境（Rich Execution Environment，REE） 空 間與運行要求更高安全性認(rèn)證和加密功能的 TEE空間，這種劃分是通過硬件訪問控制機制實現(xiàn)的。在 TEE 空間中運行的可信應(yīng)用程序（Trusted Application，TA）可通過 DRM 功能保護數(shù)據(jù)的解碼，在 REE 空間中運行應(yīng)用程序的密鑰管理、認(rèn)證和結(jié)算數(shù)據(jù)生成等功能。另外，基于 TEE的空間分離技術(shù)也可以用在智能移動終端配備的傳感器上。例如，可以采用將指紋數(shù)據(jù)讀取設(shè)備僅連接到 TEE 空間配置的方法，達到保護采集的生物數(shù)據(jù)和認(rèn)證邏輯的效果。

　　3.2　軟件系統(tǒng)的風(fēng)險與對策

　　由于智能移動終端的應(yīng)用程序可以從非官方渠道獲取后運行，惡意代碼可能作為應(yīng)用程序的一部分被安裝到設(shè)備上。為了處理個人信息和位置信息等敏感數(shù)據(jù)，設(shè)備生產(chǎn)商從設(shè)備出廠前就在 OS 中加入了安全功能。在早期面向智能移動終端的操作系統(tǒng)中加入了控制應(yīng)用權(quán)限的功能和分離應(yīng)用之間通信的機制。但需要注意的是，部分惡意軟件可利用 OS 運行中的部分缺陷和脆弱性竊取設(shè)備敏感信息。用戶為了避免部分應(yīng)用的功能限制，會通過開放部分功能權(quán)限等方式嘗試篡改設(shè)備初始設(shè)定，因此，OS 中的安全功能會因用戶篡改而失效，故安全防護效果具有一定局限性。具體而言，應(yīng)用程序的權(quán)限在其程序內(nèi)部已被定義，在安裝或運行時，若能得到用戶的同意，該權(quán)限將被 OS 開放給應(yīng)用程序。

　　為此，可禁止運行的應(yīng)用程序之間直接通信，通過操作系統(tǒng)或使用限定可執(zhí)行權(quán)限的沙箱等方式來降低惡意軟件造成的損失。同時，從 OS 層面上對用戶限定能夠訪問的文件系統(tǒng)或變更設(shè)定的權(quán)限范圍，使不具備相關(guān)安全知識的用戶不會因誤操作而使設(shè)備處于危險狀態(tài)。綜上所述，為提高操作系統(tǒng)的安全性，各設(shè)備可不再將安全對策委托給用戶，而是通過 OS 供應(yīng)商實現(xiàn)信息安全對策的功能機制。

　　3.3　操作使用的風(fēng)險與對策

　　用戶在操作使用智能移動終端時出現(xiàn)的信息安全問題主要與用戶的安全防護意識不強有關(guān)。由于用戶數(shù)字證書機制無法完全限制惡意程序的開發(fā)，使用戶往往無法區(qū)分惡意程序和正常程序，在進行操作時會給予程序申請的所有權(quán)限，產(chǎn)生安全隱患。例如針對開源的瀏覽器引擎 WebKit 的攻擊和中間人攻擊（MITM）等，都是基于用戶不當(dāng)操作而對應(yīng)用程序發(fā)起的攻擊，由于此類攻擊成功率較高，已逐漸成為攻擊者頻繁利用的手段。

　　為降低對智能移動終端操作使用的風(fēng)險，除增強用戶安全防護意識外，還可從以下幾個方面加以防范：（1）避免連接使用未知安全風(fēng)險的 Wi-Fi，不點擊陌生短信鏈接；（2）盡量在官方應(yīng)用商城下載 App，若下載來自第三方應(yīng)用程序商店的 App，在安裝前需謹(jǐn)慎考慮其安全性；（3）當(dāng)有應(yīng)用程序請求授權(quán)時，需詳細(xì)閱讀其請求授權(quán)的內(nèi)容，防止開放多余權(quán)限；（4）安裝良好聲譽且有效的安防軟件，定期進行病毒查殺；（5）在官方維修店維修設(shè)備，同時避免進行 Root、刷機、越獄等操作。

　?。?/p>

　　結(jié)　語

　　在大數(shù)據(jù)時代背景下，智能移動終端已成為人們?nèi)粘Ｉ钪胁豢扇鄙俚慕M成部分，保障信息安全已成為當(dāng)下技術(shù)發(fā)展的重要課題。我們不僅要對信息安全風(fēng)險的現(xiàn)狀進行深入研究，還應(yīng)與時俱進，著眼于未來發(fā)展，結(jié)合智能移動終端的各類特征做好信息安全的風(fēng)險評估工作與防護策略，才能在出現(xiàn)問題時及時響應(yīng)，將風(fēng)險降到可控范圍內(nèi)，確保用戶的信息安全。