安全通信让你安心-中国联通研究院.PDFVIP

安全通信让你安心 侯玉华 一、信息安全形势 随着2013 年棱镜门事件曝光之后，人们对信息安全的关注程度达到了空前 的高度。根据斯诺登的披露，美国国家安全局和联邦调查局直接接入苹果、微软、 谷歌、雅虎等九大互联网公司的中心服务器针对境外非美国人搜集情报，获取的 信息中，不仅涵盖用户电子邮件、即时消息、位置行为轨迹、信用卡等个人隐私 数据，还包括大量的商业和政治秘密，引发了各个国家、社会各界对信任危机、 商业危机和道德危机的讨论。另一方面，随着移动互联网技术的高速发展，手机 已成为人们生活中不可缺少的消费品，但同时各种手机病毒、恶意软件等安全威 胁层出不穷，严重影响了移动互联网的健康发展。面对严峻的信息安全现状，手 机终端的安全对于大众用户尤其是党政军用户都有强烈的需求。 二、安全核心能力 从用户的安全需求角度分析，主要有终端的数据安全、终端的通信安全以及 可靠的应用下载渠道三类安全需求。终端的数据安全能够保证终端上存储的信息、 图片、文件等信息不会被随意窃取、恶意外泄；终端的通信安全保证终端在通话、 消息、文件传输等通信过程中，不会被随意截获和破解；可靠的应用下载渠道提 供经过严格审核的应用，不必担心恶意软件的攻击，对于特殊群体用户，还可以 提供经过严密的安全性分析以及加密的应用，保证下载和安装过程的安全性。 为了提供这些安全保障，终端的操作系统、安全认证能力以及可信商店平台， 这三个技术环节非常关键。 1. 终端的操作系统安全 当前，iOS 和Android 操作系统已经成为市场的绝对主流，据Statista 的数 据，2015 年Android 和iOS 在移动市场上已经占据了超过97%的份额，但两大 操作系统随之暴露的后门和漏洞越来越多。根据金山手机安全中心的报道，通过 Android 后门可将恶意代码插入到游戏等软件中，安装后即可监听短信和电话、 自动发送手机位置信息等。2014 年 7 月，iOS 系统研发人员乔那森披露了多个 后门，其可以从iPhone 中提取大量数据，如用户的地理位置信息。斯诺登也曾 表示，美国国家安全局可以在iPhone 关机的情况下通过麦克风监听用户。 在这种安全形势下，需要通过发展自主可控的终端操作系统，构建终端的安 全环境，避免国外机构利用操作系统的后门程序危害我国信息安全、危害个人信 息安全，掌控终端系统软件的发展路标为我所用。同时，基于自主操作系统构建 生态体系，建立完善的应用签名机制和API 授权机制，尤其在特殊行业和特殊领 域，构建更为严格的应用管控机制，最大限度的避免各种安全问题。 2009 年开始，中国联通开始探索智能终端操作系统的研发，实现了首个真正 自主可控的沃Phone 操作系统，几年来，已经发布四次大版本，适配十余款沃 Phone 终端，并建设了沃Phone 应用商店，形成了自主可控的操作系统生态环 境。但是自主操作系统的发展不是一蹴而就的，需要长期的投入和生态培植，推 动终端厂商参与其中，吸引应用开发者进行自主操作系统环境下的应用开发，通 过专有领域逐渐带动整个市场。 当前Android 和iOS 两大操作系统已经形成了庞大的生态体系，终端和应用 的数据繁多，可以满足各类用户各种需求，用户已经在终端操控、体验方面形成 依赖。如果在终端上构建一个相对安全的终端环境，也能够为用户提供安全保障。 该安全环境可以在双操作系统中实现，安全系统与互联网进行隔离，避免木马和 恶意软件访问，为用户提供安全的存储和安全的通信；另一个操作系统则是开放 的环境，提供对外的通信环境，两个系统之间可以构建可控的安全通道。安全终 端环境也可以在单系统中实现，比如设置存储安全数据的安全分区，并提供读写 等访问权限的规则，保证数据不会在没有授权的情况下被访问。 2. 加密认证能力 加密是指以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获 得已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。认证是指对 用户真实身份的认定，保证交互过程中的不可抵赖性。为手机终端提供加密和认 证能力，提供互相验证对方身份的能力，保护手机中存储的数据和文件，保护手 机对外传输的数据。在保密通信、移动支付、金融业务、移动办公等业务中可以 保护用户数据不被外泄。 手机终端的加密能力可以通过平台+终端的方式实现，也可以单独在手机终端 上实现。 （1）平台+终端