发布时间:2018-11-16 21:11:06     行业资讯

基于可信计算环境的新一代智能移动警务终端安全检测关键技术研究与分析

按照公安部《关于大力推进基础信息化建设的意见》和《公安发展“十三五”规划(2016-2020)》,公安部科技信息化局在2016年6月下发《全国公安移动警务建设总体技术方案(2016版)》,重新设计并构建基于4G的新一代公安移动警务总体技术体系。在移动警务建设中,终端安全管控始终是一项重要的基础性任务。

为较好解决安全问题,确保移动警务终端安全、可控、可验证,亟待制定相关检测技术标准、研究关键检测技术和方法,公安部安全与警用电子产品质量检测中心在部科信局的统一规划下,负责牵头起草新一代智能手机型移动警务终端检测技术标准及相关检测技术和方法。


一、新一代移动警务终端及平台系统建设架构


移动警务后台业务系统分为Ⅰ类系统、Ⅱ类系统和Ⅲ类系统,各系统中所使用的终端也相应地分为三类,分别是:Ⅰ类系统中所使用的个人普通终端、Ⅱ类系统中所使用的一般受控终端和Ⅲ类系统中所使用的增强受控终端。

个人普通终端在Ⅰ类系统中使用,通过移动互联网接入到Ⅰ类系统的移动互联网服务子平台;一般受控终端在Ⅱ类系统中使用,通过无线专用传输链路接入,在接入控制区通过无线接入认证、用户身份认证和应用授权访问后,接入到Ⅱ类系统的联网服务子平台;增强受控终端在Ⅲ类系统中使用,也可在Ⅱ类系统中使用。增强受控终端通过无线专用传输链路接入,在接入控制区通过无线接入认证、用户身份认证和应用授权访问后,接入到Ⅱ类系统的联网服务子平台或移动安全接入子平台。移动安全接入子平台具有安全接入控制、应用代理服务及公安信息网隔离交换的功能,通过该平台,增强受控终端获得公安信息网服务子平台提供的服务。移动警务终端使用分类及应用环境如图1所示。


1.png


二、关键检测技术研究


(一)移动警务终端可信计算安全环境关键检测技术

可信计算技术架构是中国的自主创新,早在1992年正式立项研究并规模应用,经过长期攻关和军民融合,行成了由可信计算平台密码方案、可信平台控制模块、可信主板、可信基础支撑软件、可信网络连接等方面组成的自主创新体系。可信计算是一种运算和防护并存的主动免疫的新计算模式,具有身份识别、状态度量、保密存储等功能,及时识别“自己”和“非自己”成分,使漏洞不被攻击者利用,从而破坏排斥进入“机体”的有害物质。可信计算体系目前已经成为我国信息技术产品和装备自主可控、安全强国的标志性技术之一,并在多个社会公共安全领域诸如移动警务安全技术领域正在逐步有效应用。因此,探索和研究在移动警务领域中部署可信计算安全环境的测试技术和方法就显得尤为重要。本文在深入分析可信计算技术在移动警务终端平台应用的基础上,总结出以下几点检测技术关键研究方向和内容。

1. 动态度量测试

动态度量技术主要是对软件执行以后的状态、行为等的度量,保护Android操作系统状态(关键数据结构)、进程执行状态(进程空间、进程环境)、进程行为(进程发起系统调用的顺序、权限、位置等),以及自我安全机制等。度量间隔是指默认采用定时度量的方法,每间隔一定的周期度量一次,比如可以是每15分钟度量一次。度量方法采用由“可信计算基”启动内核线程,通过使用可信计算密码平台提供的Hash函数接口计算度量对象的完整性校验值并与基准值进行比较,基准为启动阶段采集的数据。检测截图如图2至图4所示。

动态度量测试内容包括但不限于以下几点:(1)内核代码段;(2)文件系统;(3)网络系统;(4)系统调用表;(5)应用代码段。

 

2.png

2. 静态度量测试

静态度量负责扫描并采集本地程序、共享库的信息。采集的信息传递给上层,由上层决定写入本地策略库。静态度量对系统中的可执行程序及系统重要脚本与用户软件、配置进行静态度量及验证。

静态度量的依据是白名单,白名单数据需在文件中持续化保存,每次系统启动时会加载保存的策略数据,策略更新也是先存储到文件中再通知内核。为此定义文件存储结构。

白名单分为系统白名单和用户白名单,系统白名单是终端管理软件第一次启动时,自动扫描系统的可执行程序以及已安装应用,将扫描结果存至数据库并发送内核,作为系统白名单,且该信息无法更改;用户白名单是用户安装合法应用时生成的白名单。正确签名的用户APK在验签通过以后,会由静态度量模块添加到用户白名单里。静态度量根据白名单检查用户程序完整性,如果检查失败就会阻断程序执行,执行流程如图5所示。

666.png

(二)多模式移动警务终端安全隔离测试

多模式移动警务终端是相对于单模式移动警务终端而言的,单模式移动警务终端顾名思义只有一种使用模式,即只能使用工作模式(连接移动公安网)或个人模式(连接互联网等其它网络)中的一种;而多模式移动警务终端具有两个或两个以上使用模式,即允许在一台多模式设备上同时存在工作模式和个人模式,工作模式仅允许连接移动公安网而个人模式允许连接互联网等其它非受控网络但严格禁止接入移动公安网,但同一时刻只允许使用一种模式。由于多模式移动警务终端可能存储涉及具体警务业务并存在大量敏感关键数据和操作,因而需要对终端进行多模式隔离,做到警务关键业务数据和操作被置于高安全等级的模式下,而个人其他非业务相关数据和操作可放于个人普通终端模式中。多模式移动警务终端工作方式见图6所示。


55.png

当前对于多模式的技术实现方式多种多样,常见的多模式实现机制包括以下几种:(1)多用户实现;(2)容器虚拟化;(3)系统虚拟化。

应首先确定当前终端采用的多模式实现方案属于哪一类,然后确定不同的检测方案。后续多模式相关检测,基于不同技术实现方案进行相应检测项如下:

1. 应用进程隔离测试

多模式环境中不同模式下进程相关信息如果被跨模式获得,可能导致运行环境监控等问题。应用进程相关信息包括但不仅限于运行进程列表和运行进程属性。检测当前待测系统不同模式下是否禁止获取其他模式进程相关信息,即各模式下的应用进程不可以获取其他模式进程相关信息。根据多模式的不同实现方式,制定相应测试方案。

(1)对于多用户实现方式

① 对系统中服务进行系统数据隔离检测,确认关键服务接口是否对多用户进行区分;② 对系统中核心程序运行库进行隔离检测,确认关键系统程序运行库接口是否对多用户进行区分;③ 对系统中应用数据进行应用数据隔离检测,确认应用数据是否对多用户进行区分;④ 对系统中应用程序运行库进行应用程序运行库隔离检测,确认应用程序运行库是否对多用户进行区分;⑤ 对系统进行应用跨模式访问隔离检测,确认应用跨模式访问在多用户模式下受到权限管控;⑥ 对系统进行跨模式消息传递隔离检测,确认跨模式消息传递在多用户模式下受到权限管控。

(2)对于容器虚拟化方案

① 对系统中服务进行系统数据隔离检测,确认关键服务接口是否对不同容器进行区分;② 对系统中核心程序运行库进行隔离检测,确认关键系统程序运行库接口是否对不同容器进行区分;③ 对系统中应用数据进行应用数据隔离检测,确认应用数据是否对不同容器进行区分;④ 对系统中应用程序运行库进行应用程序运行库隔离检测,确认应用程序运行库是否对不同容器进行区分;⑤ 对系统进行应用跨模式访问隔离检测,确认应用跨模式访问在容器虚拟化模式下受到权限管控;⑥ 对系统进行跨模式消息传递隔离检测,确认跨模式消息传递在容器虚拟化模式下受到权限管控。

(3)对于系统虚拟化方案

① 对系统中服务进行系统数据隔离检测,确认关键服务接口是否对不同hypervisor进行区分;② 对系统中核心程序运行库进行隔离检测,确认关键系统程序运行库接口是否对不同hypervisor进行区分;③ 对系统中应用数据进行应用数据隔离检测,确认应用数据是否对不同hypervisor进行区分;④ 对系统中应用程序运行库进行隔离检测,确认应用程序运行库是否对不同hypervisor进行区分;⑤ 对系统进行应用跨模式访问隔离检测,确认保应用跨模式访问在系统虚拟化模式下受到权限管控;⑥ 对系统进行跨模式消息传递隔离检测,确认跨模式消息传递在系统虚拟化模式下受到权限管控。

2. 数据隔离测试

数据隔离测试主要检查和验证各模式的文件系统是否彼此隔离不能互相交叉访问;各模式下的应用及依赖的运行库应相互隔离,且只能在自身所在的模式下运行不能跨模式访问,不能进行跨模式消息传递;以及各模式下的系统服务及依赖的运行库应相互隔离,且只能在自身所在的模式下运行,跨模式访问需要系统级权限管控,进行跨模式消息传递需要系统级权限管控。

3. 网络隔离测试

多模式终端网络隔离测试的目标是检查个人普通终端模式下是否禁止接入到移动警务Ⅱ类或Ⅲ类系统;以及检查一般受控终端或增强受控终端模式下,是否仅能接入到移动警务Ⅱ类或Ⅲ类系统。检测和识别不同类型的移动警务终端按照相应的安全要求只能接入规定的网络,禁止不同设备越过安全访问控制边界接入非授权的网络环境。


三、结束语


随着国家“移动互联网+”以及公安移动警务业务的快速发展,移动警务产品在扩展公安机关业务使用场景和提升工作效率的同时,也给警务工作的信息网络安全带来极大挑战,高度专业化、合规化的测试评价关键技术必不可少。公安部安全与警用电子产品质量检测中心作为国内公安行业权威第三方检测机构,紧跟行业技术发展趋势,充分利用技术优势,在移动警务终端产品专业化检测方面进行的技术探索和知识储备,为移动警务终端产品与技术应满足自主可控、安全可信以及可验证的安全目标提供强有力保障,为新一代公安移动警务终端检测工作推波助力。


来源:警察技术杂志