基于可信計算環(huán)境的新一代智能移動警務終端安全檢測關(guān)鍵技術(shù)研究與分析

按照公安部《關(guān)于大力推進基礎信息化建設的意見》和《公安發(fā)展“十三五”規(guī)劃（2016-2020）》，公安部科技信息化局在2016年6月下發(fā)《全國公安移動警務建設總體技術(shù)方案（2016版）》，重新設計并構(gòu)建基于4G的新一代公安移動警務總體技術(shù)體系。在移動警務建設中，終端安全管控始終是一項重要的基礎性任務。

為較好解決安全問題，確保移動警務終端安全、可控、可驗證，亟待制定相關(guān)檢測技術(shù)標準、研究關(guān)鍵檢測技術(shù)和方法，公安部安全與警用電子產(chǎn)品質(zhì)量檢測中心在部科信局的統(tǒng)一規(guī)劃下，負責牽頭起草新一代智能手機型移動警務終端檢測技術(shù)標準及相關(guān)檢測技術(shù)和方法。

移動警務后臺業(yè)務系統(tǒng)分為Ⅰ類系統(tǒng)、Ⅱ類系統(tǒng)和Ⅲ類系統(tǒng)，各系統(tǒng)中所使用的終端也相應地分為三類，分別是：Ⅰ類系統(tǒng)中所使用的個人普通終端、Ⅱ類系統(tǒng)中所使用的一般受控終端和Ⅲ類系統(tǒng)中所使用的增強受控終端。

個人普通終端在Ⅰ類系統(tǒng)中使用，通過移動互聯(lián)網(wǎng)接入到Ⅰ類系統(tǒng)的移動互聯(lián)網(wǎng)服務子平臺；一般受控終端在Ⅱ類系統(tǒng)中使用，通過無線專用傳輸鏈路接入，在接入控制區(qū)通過無線接入認證、用戶身份認證和應用授權(quán)訪問后，接入到Ⅱ類系統(tǒng)的聯(lián)網(wǎng)服務子平臺；增強受控終端在Ⅲ類系統(tǒng)中使用，也可在Ⅱ類系統(tǒng)中使用。增強受控終端通過無線專用傳輸鏈路接入，在接入控制區(qū)通過無線接入認證、用戶身份認證和應用授權(quán)訪問后，接入到Ⅱ類系統(tǒng)的聯(lián)網(wǎng)服務子平臺或移動安全接入子平臺。移動安全接入子平臺具有安全接入控制、應用代理服務及公安信息網(wǎng)隔離交換的功能，通過該平臺，增強受控終端獲得公安信息網(wǎng)服務子平臺提供的服務。移動警務終端使用分類及應用環(huán)境如圖1所示。

（一）移動警務終端可信計算安全環(huán)境關(guān)鍵檢測技術(shù)

可信計算技術(shù)架構(gòu)是中國的自主創(chuàng)新，早在1992年正式立項研究并規(guī)模應用，經(jīng)過長期攻關(guān)和軍民融合，行成了由可信計算平臺密碼方案、可信平臺控制模塊、可信主板、可信基礎支撐軟件、可信網(wǎng)絡連接等方面組成的自主創(chuàng)新體系?？尚庞嬎闶且环N運算和防護并存的主動免疫的新計算模式，具有身份識別、狀態(tài)度量、保密存儲等功能，及時識別“自己”和“非自己”成分，使漏洞不被攻擊者利用，從而破壞排斥進入“機體”的有害物質(zhì)。可信計算體系目前已經(jīng)成為我國信息技術(shù)產(chǎn)品和裝備自主可控、安全強國的標志性技術(shù)之一，并在多個社會公共安全領(lǐng)域諸如移動警務安全技術(shù)領(lǐng)域正在逐步有效應用。因此，探索和研究在移動警務領(lǐng)域中部署可信計算安全環(huán)境的測試技術(shù)和方法就顯得尤為重要。本文在深入分析可信計算技術(shù)在移動警務終端平臺應用的基礎上，總結(jié)出以下幾點檢測技術(shù)關(guān)鍵研究方向和內(nèi)容。

1. 動態(tài)度量測試

動態(tài)度量技術(shù)主要是對軟件執(zhí)行以后的狀態(tài)、行為等的度量，保護Android操作系統(tǒng)狀態(tài)（關(guān)鍵數(shù)據(jù)結(jié)構(gòu)）、進程執(zhí)行狀態(tài)（進程空間、進程環(huán)境）、進程行為（進程發(fā)起系統(tǒng)調(diào)用的順序、權(quán)限、位置等），以及自我安全機制等。度量間隔是指默認采用定時度量的方法，每間隔一定的周期度量一次，比如可以是每15分鐘度量一次。度量方法采用由“可信計算基”啟動內(nèi)核線程，通過使用可信計算密碼平臺提供的Hash函數(shù)接口計算度量對象的完整性校驗值并與基準值進行比較，基準為啟動階段采集的數(shù)據(jù)。檢測截圖如圖2至圖4所示。

動態(tài)度量測試內(nèi)容包括但不限于以下幾點：（1）內(nèi)核代碼段；（2）文件系統(tǒng)；（3）網(wǎng)絡系統(tǒng)；（4）系統(tǒng)調(diào)用表；（5）應用代碼段。

2. 靜態(tài)度量測試

靜態(tài)度量負責掃描并采集本地程序、共享庫的信息。采集的信息傳遞給上層，由上層決定寫入本地策略庫。靜態(tài)度量對系統(tǒng)中的可執(zhí)行程序及系統(tǒng)重要腳本與用戶軟件、配置進行靜態(tài)度量及驗證。

靜態(tài)度量的依據(jù)是白名單，白名單數(shù)據(jù)需在文件中持續(xù)化保存，每次系統(tǒng)啟動時會加載保存的策略數(shù)據(jù)，策略更新也是先存儲到文件中再通知內(nèi)核。為此定義文件存儲結(jié)構(gòu)。

白名單分為系統(tǒng)白名單和用戶白名單，系統(tǒng)白名單是終端管理軟件第一次啟動時，自動掃描系統(tǒng)的可執(zhí)行程序以及已安裝應用，將掃描結(jié)果存至數(shù)據(jù)庫并發(fā)送內(nèi)核，作為系統(tǒng)白名單，且該信息無法更改；用戶白名單是用戶安裝合法應用時生成的白名單。正確簽名的用戶APK在驗簽通過以后，會由靜態(tài)度量模塊添加到用戶白名單里。靜態(tài)度量根據(jù)白名單檢查用戶程序完整性，如果檢查失敗就會阻斷程序執(zhí)行，執(zhí)行流程如圖5所示。

（二）多模式移動警務終端安全隔離測試

多模式移動警務終端是相對于單模式移動警務終端而言的，單模式移動警務終端顧名思義只有一種使用模式，即只能使用工作模式（連接移動公安網(wǎng)）或個人模式（連接互聯(lián)網(wǎng)等其它網(wǎng)絡）中的一種；而多模式移動警務終端具有兩個或兩個以上使用模式，即允許在一臺多模式設備上同時存在工作模式和個人模式，工作模式僅允許連接移動公安網(wǎng)而個人模式允許連接互聯(lián)網(wǎng)等其它非受控網(wǎng)絡但嚴格禁止接入移動公安網(wǎng)，但同一時刻只允許使用一種模式。由于多模式移動警務終端可能存儲涉及具體警務業(yè)務并存在大量敏感關(guān)鍵數(shù)據(jù)和操作，因而需要對終端進行多模式隔離，做到警務關(guān)鍵業(yè)務數(shù)據(jù)和操作被置于高安全等級的模式下，而個人其他非業(yè)務相關(guān)數(shù)據(jù)和操作可放于個人普通終端模式中。多模式移動警務終端工作方式見圖6所示。

當前對于多模式的技術(shù)實現(xiàn)方式多種多樣，常見的多模式實現(xiàn)機制包括以下幾種：（1）多用戶實現(xiàn)；（2）容器虛擬化；（3）系統(tǒng)虛擬化。

應首先確定當前終端采用的多模式實現(xiàn)方案屬于哪一類，然后確定不同的檢測方案。后續(xù)多模式相關(guān)檢測，基于不同技術(shù)實現(xiàn)方案進行相應檢測項如下：

1. 應用進程隔離測試

多模式環(huán)境中不同模式下進程相關(guān)信息如果被跨模式獲得，可能導致運行環(huán)境監(jiān)控等問題。應用進程相關(guān)信息包括但不僅限于運行進程列表和運行進程屬性。檢測當前待測系統(tǒng)不同模式下是否禁止獲取其他模式進程相關(guān)信息，即各模式下的應用進程不可以獲取其他模式進程相關(guān)信息。根據(jù)多模式的不同實現(xiàn)方式，制定相應測試方案。

（1）對于多用戶實現(xiàn)方式

① 對系統(tǒng)中服務進行系統(tǒng)數(shù)據(jù)隔離檢測，確認關(guān)鍵服務接口是否對多用戶進行區(qū)分；② 對系統(tǒng)中核心程序運行庫進行隔離檢測，確認關(guān)鍵系統(tǒng)程序運行庫接口是否對多用戶進行區(qū)分；③ 對系統(tǒng)中應用數(shù)據(jù)進行應用數(shù)據(jù)隔離檢測，確認應用數(shù)據(jù)是否對多用戶進行區(qū)分；④ 對系統(tǒng)中應用程序運行庫進行應用程序運行庫隔離檢測，確認應用程序運行庫是否對多用戶進行區(qū)分；⑤ 對系統(tǒng)進行應用跨模式訪問隔離檢測，確認應用跨模式訪問在多用戶模式下受到權(quán)限管控；⑥ 對系統(tǒng)進行跨模式消息傳遞隔離檢測，確認跨模式消息傳遞在多用戶模式下受到權(quán)限管控。

（2）對于容器虛擬化方案

① 對系統(tǒng)中服務進行系統(tǒng)數(shù)據(jù)隔離檢測，確認關(guān)鍵服務接口是否對不同容器進行區(qū)分；② 對系統(tǒng)中核心程序運行庫進行隔離檢測，確認關(guān)鍵系統(tǒng)程序運行庫接口是否對不同容器進行區(qū)分；③ 對系統(tǒng)中應用數(shù)據(jù)進行應用數(shù)據(jù)隔離檢測，確認應用數(shù)據(jù)是否對不同容器進行區(qū)分；④ 對系統(tǒng)中應用程序運行庫進行應用程序運行庫隔離檢測，確認應用程序運行庫是否對不同容器進行區(qū)分；⑤ 對系統(tǒng)進行應用跨模式訪問隔離檢測，確認應用跨模式訪問在容器虛擬化模式下受到權(quán)限管控；⑥ 對系統(tǒng)進行跨模式消息傳遞隔離檢測，確認跨模式消息傳遞在容器虛擬化模式下受到權(quán)限管控。

（3）對于系統(tǒng)虛擬化方案

① 對系統(tǒng)中服務進行系統(tǒng)數(shù)據(jù)隔離檢測，確認關(guān)鍵服務接口是否對不同hypervisor進行區(qū)分；② 對系統(tǒng)中核心程序運行庫進行隔離檢測，確認關(guān)鍵系統(tǒng)程序運行庫接口是否對不同hypervisor進行區(qū)分；③ 對系統(tǒng)中應用數(shù)據(jù)進行應用數(shù)據(jù)隔離檢測，確認應用數(shù)據(jù)是否對不同hypervisor進行區(qū)分；④ 對系統(tǒng)中應用程序運行庫進行隔離檢測，確認應用程序運行庫是否對不同hypervisor進行區(qū)分；⑤ 對系統(tǒng)進行應用跨模式訪問隔離檢測，確認保應用跨模式訪問在系統(tǒng)虛擬化模式下受到權(quán)限管控；⑥ 對系統(tǒng)進行跨模式消息傳遞隔離檢測，確認跨模式消息傳遞在系統(tǒng)虛擬化模式下受到權(quán)限管控。

2. 數(shù)據(jù)隔離測試

數(shù)據(jù)隔離測試主要檢查和驗證各模式的文件系統(tǒng)是否彼此隔離不能互相交叉訪問；各模式下的應用及依賴的運行庫應相互隔離，且只能在自身所在的模式下運行不能跨模式訪問，不能進行跨模式消息傳遞；以及各模式下的系統(tǒng)服務及依賴的運行庫應相互隔離，且只能在自身所在的模式下運行，跨模式訪問需要系統(tǒng)級權(quán)限管控，進行跨模式消息傳遞需要系統(tǒng)級權(quán)限管控。

3. 網(wǎng)絡隔離測試

多模式終端網(wǎng)絡隔離測試的目標是檢查個人普通終端模式下是否禁止接入到移動警務Ⅱ類或Ⅲ類系統(tǒng)；以及檢查一般受控終端或增強受控終端模式下，是否僅能接入到移動警務Ⅱ類或Ⅲ類系統(tǒng)。檢測和識別不同類型的移動警務終端按照相應的安全要求只能接入規(guī)定的網(wǎng)絡，禁止不同設備越過安全訪問控制邊界接入非授權(quán)的網(wǎng)絡環(huán)境。

隨著國家“移動互聯(lián)網(wǎng)+”以及公安移動警務業(yè)務的快速發(fā)展，移動警務產(chǎn)品在擴展公安機關(guān)業(yè)務使用場景和提升工作效率的同時，也給警務工作的信息網(wǎng)絡安全帶來極大挑戰(zhàn)，高度專業(yè)化、合規(guī)化的測試評價關(guān)鍵技術(shù)必不可少。公安部安全與警用電子產(chǎn)品質(zhì)量檢測中心作為國內(nèi)公安行業(yè)權(quán)威第三方檢測機構(gòu)，緊跟行業(yè)技術(shù)發(fā)展趨勢，充分利用技術(shù)優(yōu)勢，在移動警務終端產(chǎn)品專業(yè)化檢測方面進行的技術(shù)探索和知識儲備，為移動警務終端產(chǎn)品與技術(shù)應滿足自主可控、安全可信以及可驗證的安全目標提供強有力保障，為新一代公安移動警務終端檢測工作推波助力。

參考文獻：

[1] 蔡林,陳鐵明. Android移動惡意代碼檢測的研究概述與展望[J]. 信息網(wǎng)絡安全,2016(9):218-222.

[2] 潘海洋. 推進國產(chǎn)操作系統(tǒng)發(fā)展為國家安全保駕護航訪中國工程院院士 倪光南[J]. 信息網(wǎng)絡安全,2016(增刊):6-9.

[3] 程斌.發(fā)展可信計算技術(shù)助力信息安全等級保護建設訪中國工程院院士 沈昌祥[J]. 信息網(wǎng)絡安全,2016(增刊):1-5.