基于产业链角度的移动互联网安全体系现状、威胁和发展趋势研究.docVIP

基于产业链角度的移动互联网安全体系现状、威胁和发展趋势研究 　　【摘 要】基于移动终端信息安全，从产业链角度研究了移动互联网信息安全的现状、威胁以及发展趋势。首先分析了产业链四大主要环节芯片、操作系统、应用程序和分发渠道的现有安全机制，然后研究了后三者目前存在的安全隐患，最后对移动互联网信息安全发展趋势做了分析和展望。 　　【关键词】信息安全 操作系统安全 应用安全 发布渠道安全 　　[Abstract] Considering information security on mobile terminal， status， threat and developmental trend of mobile Internet information security were researched from aspect of industrial chain. Existing security mechanism of four links， including chip， operating system， applications and distribution channel， was analyzed. Then， the security hazard of the latter three was researched. Finally， analysis and prospect on developmental trend of mobile Internet information security were presented 　　[Key words] information security operating system security application security distribution channel security 　　1 引言 　　移动互联网产业链涵盖芯片、设备、操作系统、移动应用、应用分发渠道等多个环节，具体的安全场景涉及移动终端安全和网络服务安全，本文面向移动终端安全，从移动互联网全产业链角度，对产业链所涉及的各个环节的安全现状、安全威胁以及发展趋势进行了深入的分析研究。 　　2 移动互联网信息安全体系现状 　　2.1 芯片安全 　　芯片安全是移动互联网信息安全体系的基础之一，尤其是移动终端信息安全的根基。目前市场上主流移动终端CPU架构主要有2类：ARM和X86，而作为SoC市场三大巨头的高通、联发科、苹果以占据了近80%的市场份额[1]确定ARM已经成为移动智能终端CPU的主流架构。 　　从ARM1176开始，ARM已经支持TrustZone技术[2]，而作为工业界可信执行环境（TEE）的一种实现，TrustZone提供了一种灵活的可信计算的实现方式，通过CPU在“可信模式（secure mode）”和“普通模式（normal mode）”的切换形成了2个虚拟处理器，并实现了“安全世界（secure world）”与“普通世界（normal world）”的隔离。结合加密芯片以及SecureBoot，具备TrustZone技术的ARM处理器将为上层操作系统提供一个安全可信的计算环境。 　　2.2 操作系统安全 　　（1）应用程序沙盒 　　主流移动智能终端操作系统，如Android、iOS、Windows都支持应用程序的沙盒机制，核心功能是为运行中的应用程序提供一个隔离环境，限制应用程序之间数据的访问，从而对应用数据、文件、系统资源进行保护[3]。 　　（2）代码签名验证 　　移动智能终端操作系统通过本机制实现对应用开发者的辨识与区别。Android操作系统更基于此实现对沙盒机制的补充，控制应用程序之间数据的访问权限。iOS、Windows这2种操作系统都是封闭的体系，用户必须使用官方应用商店才能下载正版应用程序，只有使用官方应用商店根证书签发的开发者证书（且未被撤销）签名的应用才属于正版应用。而对于Android操作系统，由于其开放性允许第三方应用商店发布应用及其自行发布应用的情况存在，且对应用签名证书颁发者的合法性验证机制可由用户自行选择关闭，导致Android平台盗版、仿冒程序相比另外2个平台严重许多。 　　（3）文件系统加密 　　Android系统在3.0版本之后提供了基于内核级别的文件系统加密功能。iOS则提供了256位的AES（Advanced Encryption Standard）硬件加密算法来保护设备中的所有数据，并且加密是强制选项，不能被用户取消[4]。 　　（4）强制访问控制 　　对比自主访问控制（DAC）允许主体间相互转让访问权限的特征，强制访问控制（MAC）则强制限制主体和客体的权限，对系统资