详情
本书以OpenHarmony操作系统为例,介绍新一代智能终端(由分布式多设备组成的超级终端)的安全原理与实践,详细阐述了智能终端的分级安全架构设计及核心安全机制,包括安全架构、系统完整性保护、用户身份认证、访问控制、分布式协同安全、应用安全与数据安全等内容。
本书主要面向网络空间安全、计算机科学与技术、电子信息等相关专业的高校师生和相关领域的科研人员,以及从事智能终端安全研发、测试与运维的工程技术人员。
书名:智能终端安全与实践:基于OpenHarmony操作系统
ISBN:978-7-115-67637-5
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
编 著 邹仕洪 郭燕慧 张 熙
技术审校 付天福 陆月明
责任编辑 邓昱洲
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书以OpenHarmony操作系统为例,介绍新一代智能终端(由分布式多设备组成的超级终端)的安全原理与实践,详细阐述了智能终端的分级安全架构设计及核心安全机制,包括安全架构、系统完整性保护、用户身份认证、访问控制、分布式协同安全、应用安全与数据安全等内容。
本书主要面向网络空间安全、计算机科学与技术、电子信息等相关专业的高校师生和相关领域的科研人员,以及从事智能终端安全研发、测试与运维的工程技术人员。
在万物互联的智能化时代,智能终端已深度融入人类生活,从移动支付终端、智能穿戴设备到工业物联网节点,数以百亿计的智能设备承载着数字经济核心业务与关键数据资产。智能终端的安全性不仅关乎个人隐私与财产安全,更成为维系社会数字化进程的基石。面对终端形态泛在化、操作系统碎片化与攻击技术持续演进的三重挑战,传统“围墙式”安全架构在万物智联场景下日显疲态,“烟囱式”和“补丁式”防御体系难以应对动态威胁,构建软硬协同的内生安全能力已成为产业发展的必然选择。
2020年9月,开放原子开源基金会(OpenAtom Foundation)正式接纳华为贡献的智能终端操作系统基础代码,由此诞生了开源操作系统项目OpenAtom OpenHarmony(以下简称OpenHarmony)。自开源以来,国内外众多芯片厂商、设备厂商积极对OpenHarmony进行适配,发布各种开发板、操作系统发行版和设备,使它成为万物智联时代的首选数字基座。作为我国自主研发的新一代操作系统,OpenHarmony能够将多个架构迥异、能力不同的设备通过虚拟化技术组成一个超级终端,在这个全新的虚拟超级终端上,OpenHarmony的分级安全架构确保了“正确的人用正确的设备正确使用数据”。OpenHarmony不仅具备开源开放的生态优势,而且通过分级安全架构实现了从芯片信任根到应用服务的全生命周期的、跨设备的体系化安全防护,这使其成为研究新一代智能终端安全体系的理想样本。
本书秉承“理论架构与工程实践双轮驱动”的理念,系统地构建了智能终端安全知识体系。通过深入解析OpenHarmony开源代码,将安全机制理论与工程实践有机融合,着力培养读者“知其然更知其所以然”的体系化安全思维。全书内容如下。
这一章首先从硬件、操作系统和应用3个方面对智能终端进行介绍,接着介绍安全概念与信息技术安全通用评估准则,然后基于通用评估准则的方法论分析智能终端安全威胁与安全需求,最后介绍智能终端安全体系与评估的现状。
这一章首先回顾计算机安全的发展历程,详细阐述计算机安全架构的3个要素:隔离机制、访问控制和可信计算。然后介绍微观层面与漏洞对抗的内存访问控制,以及系统安全等级和系统安全的演进与发展。最后介绍OpenHarmony安全设计理念与分级安全架构。
这一章首先介绍系统完整性保护的主要技术,包括系统启动的基本保护机制和基于TPM硬件芯片的度量机制,然后从启动时完整性保护、运行时完整性保护和配置文件完整性保护3个方面详细阐述了OpenHarmony的系统完整性保护。
这一章首先介绍用户身份认证概念、分类及主要技术,然后详细介绍OpenHarmony的身份认证技术体系,包括用户身份管理与认证架构、用户身份认证流程,以及生物认证可信等级(Authentication Trust Level,ATL)。
这一章首先介绍访问控制和权限管理,然后介绍黑/白名单、自主访问控制(Discretionary Access Control,DAC)、强制访问控制(Mandatory Access Control,MAC)等主流访问控制机制,最后详细阐述OpenHarmony访问控制体系和OpenHarmony应用分级访问控制。
这一章首先阐述分布式操作系统及分布式协同关键技术,剖析协同安全挑战;然后解读OpenHarmony分布式协同安全目标与设计理念;最后详解OpenHarmony分布式协同安全的技术路径——设备互信关系建立与认证的原理及方法。
这一章首先剖析应用安全面临的威胁与挑战、应用生态安全模型、应用生态安全目标与治理架构,解读应用运行生命周期各阶段安全要点;然后讲解OpenHarmony的沙箱隔离、权限管控与应用签名的流程与作用。
这一章首先剖析数据安全总体目标,然后详解数据分类分级、系统级文件加密、分布式数据传输安全,以及跨用户文件分享安全。
智能终端是安全攻防博弈的永恒战场,期待本书能培育兼具战略视野与战术能力的新一代安全人才。值此开源生态蓬勃发展之际,我们更呼吁读者秉持“开放共治”理念,共同筑牢数字世界的安全基石。
感谢华为终端安全团队对北京邮电大学“基于OpenHarmony的高安全终端设计”课程的全方位支持,特别致敬付天福、李昌婷、侯林、聂集腾、高红亮和刘元章等华为专家,以及北京邮电大学陆月明教授在课程建设与书稿审校中的专业贡献。
感激北京邮电大学网络空间安全学院师生的深度参与,实验室研究生团队孙冠楠、武琦、薛安、王婷宇、曹强、叶成杰、杨勇杰、张国胤、孟繁帆、林于翔、赵思苇、张一鸣、杨成尧等在代码验证与文稿校对上展现出卓越的专业素养,以及李剑教授对书稿审校工作的支持。
最后,向所有OpenHarmony开源社区贡献者致以崇高敬意,正是你们的智慧结晶铸就了技术创新之路。
本书配套代码资源请在PC浏览器中访问https://box.lenovo.com/l/u1FKVr下载。
书中不足之处,恳请学界同仁与业界专家不吝指正,让我们共同推动智能终端安全技术的持续演进。
在20世纪,终端(Terminal)通常指的是与大型主机系统交互的,由显示器、键盘等I/O设备组成的操作台设备,是直接与用户交互的输入输出处理设备。后来,终端的处理能力越来越强大,“终端”这个词已经约等于计算机系统,也就是人们常说的微型机或个人计算机(Personal Computer,PC)。到了21世纪,随着移动系统技术(包括软件和硬件)的发展,人们所说的终端,更多指的是笔记本计算机、智能手机、平板计算机等设备。并且,随着消费电子设备的发展,智能电视、智能眼镜、智能手表、智能手环等设备也已加入终端的行列。
近年来,智能终端(Smart Terminal)的概念在各种媒体中频繁被提及。从概念上讲,智能终端是相对于非智能终端而言的,“智能”的核心特征是功能的可扩展性。在21世纪之前,面向消费市场的终端产品由于受软硬件能力的限制,大多属于非智能终端,出厂之后功能即被固化。功能可扩展的基础是有一个软件平台——操作系统。随着嵌入式软硬件技术和操作系统技术的发展及硬件成本的不断降低,智能终端由于功能灵活可扩展,迅速发展并快速取代了非智能终端,成为市场主流。
随着信息技术的飞速发展,网络已经成为现代社会的基础设施之一。从最初的“固定”互联网到如今的移动互联网、物联网(Internet of Things,IoT),网络技术的演进不断推动着智能终端的革新,二者之间的关系也日益紧密。首先,2000年开始的移动互联网的兴起,为移动智能终端的普及提供了强有力的支撑,手机、平板计算机等移动智能终端使用户能够随时随地访问互联网,逐渐成为日常生活的核心工具。随着支持eMBB、uRLLC、mMTC三大场景的5G网络的商用,进一步推动了智能终端与网络的紧密结合,无论是智能家居设备、可穿戴设备,还是应用于工业、农业、医疗、交通等领域的设备,如工业平板计算机、智能电表、智能水文监测仪、医疗监控和诊断终端、智能网联汽车等,都能与网络连接、彼此协同工作,极大增强了终端设备的应用价值。
综上所述,智能终端是一种嵌入式计算机设备,通常具有网络连接能力和人机交互能力,具备可以明确区分的操作系统与应用软件,可以动态配置操作系统并增减应用软件。智能终端的核心构成包括硬件、操作系统和一系列可扩展的应用软件,如图1-1所示。
图1-1 智能终端构成
智能终端的硬件通常包括应用处理器(Application Processor,AP)、基带处理器(Baseband Processor,BP)、射频模块、电源管理模块、接口控制模块、传感器、显示屏、摄像头、内存、电池等。AP支持逻辑处理与计算,随着移动终端智能化发展,为了更好地支持高效智能计算与对3D、4K图像及视频的处理,AP在传统中央处理器(Central Processing Unit,CPU)的基础上,引入了神经处理单元(Neural Processing Unit,NPU)及图形处理单元(Graphics Processing Unit,GPU)等异构计算模块。BP实现通信信号处理功能,射频模块负责信号的收发,电源管理模块负责管理元器件的电力供应,接口控制模块负责各种外设接口的逻辑控制。传感器是能感受和测量某物理量并按照一定的规律将其转换成可用信号的器件或装置,能使智能终端更智能,是用户获得与智能终端良好交互体验必不可少的部件。智能终端常用的传感器包括光线传感器和距离传感器等。光线传感器可以根据环境光线的强弱自动调整屏幕亮度;距离传感器可以使屏幕靠近耳朵时候自动变暗,远离身体时自动变亮,可以防止用户误操作触摸屏。陀螺仪、光学心率传感器、运动传感器等也集成在相当多的智能可穿戴设备中。数字世界与物理世界融合的趋势正推动智能终端集成越来越多的传感器。这些传感器能够收集用户的各种生理数据和与环境相关的数据,从而提高设备理解用户及环境的能力。这些高度集成的传感器正在成为智能终端的核心特征之一,极大地扩展了智能终端的应用范围和智能化程度。而其他模块,也在智能终端时代取得了长足的发展。
从芯片形态上看,各类处理器与模块既可以以独立的形态存在,也可以高度集成于一个单片系统(System on a Chip,SoC)上。由于移动终端对轻、薄的极致追求,以可复用IP核为基础的SoC成为主流的芯片设计技术。但是,SoC对芯片的集成度及制造工艺提出了更高的要求,例如,2020年10月华为公司发布的移动终端SoC芯片麒麟9000采用了5 nm制造工艺,集成了8个CPU核、3个NPU核和24个GPU核。
CPU主要分为ARM架构和x86架构。ARM架构用于精简指令集计算机(Reduced Instruction Set Computer,RISC),而x86架构则采用英特尔公司设计的复杂指令集计算机(Complex Instruction Set Computer,CISC)。目前,以低功耗见长的ARM处理器已占据智能终端芯片市场总销售量的90%以上,ARM架构简介如表1-1所示。从RISC体系结构角度看,ARM架构从ARMv1演进到ARMv9。ARM的最新处理器内核架构又可分为Cortex不同系列,分别适用于不同应用领域,例如,Cortex-A系列多应用于高性能的移动智能终端领域,Cortex-M系列架构多应用于低功耗的工业控制嵌入式领域,Cortex-R系列架构则多应用于对实时性和可靠性要求高的领域。
表1-1 ARM架构简介
| 架构 |
处理器内核 |
说明 |
|---|---|---|
| ARMv7 |
ARM Cortex-A、Cortex-M、Cortex-R、Cortex-SC等 |
2004年,ARMv7架构诞生,采用Thumb-2技术,由ARM的Thumb代码压缩技术发展而来,并且保持了对已存在的ARM解决方案完整的代码兼容性。 ● Cortex-A:针对高性能计算。 ● Cortex-M:专为低功耗、低成本系统设计。 ● Cortex-R:针对实时操作处理。主要面向嵌入式实时处理器。 ● Cortex-SC:主要用于高安全需求场景 |
| ARMv8 |
ARM Cortex-A450、Cortex-A57、Cortex-A53等 |
2011年,ARMv8架构诞生,这是首款支持64位指令集的处理器架构。由于ARM处理器的授权内核被广泛用于手机等诸多电子产品,ARMv8架构作为新一代处理器的核心技术而受到普遍关注 |
| ARMv9 |
ARM Cortex-X2、Neoverse V1、Neoverse N2 等 |
2021年,ARMv9架构诞生,与ARMv8相比,ARMv9升级了SVE2(一种单指令多数据流)指令集,可以支持多倍128位运算,最多2048位,全面增强了CPU在机器学习、数字信号处理等方面的处理能力。另外,ARMv9还推出机密计算架构,引入了动态域技术,增强了系统安全性 |
CPU遵循的是冯·诺依曼体系结构,大量空间用于放置存储单元与控制单元,相比之下算术逻辑部件(Arithmetic and Logic Unit,ALU)只占据了很小的一部分,因此,CPU更擅长处理逻辑控制,在进行大规模并行计算方面受到限制。与CPU相比,GPU已从图形处理器演进为通用并行计算加速器,是由大量运算单元组成的大规模并行计算器件,专门用于处理多重并行计算任务。近年来,人工智能技术得到广泛应用,移动应用对于高效移动智能计算的需求激增。由此,NPU成为当前中高端移动芯片的标配,NPU的工作原理是在电路层模拟人类神经元和突触,并使用深度学习指令集直接处理大规模的神经元和突触,一条指令完成一组神经元的处理。相比CPU和GPU,NPU通过突触权重实现存储和计算一体化,能够大幅提高智能计算效率。
操作系统是计算机系统中至关重要的基础性系统软件。它是计算机硬件与上层软件之间的桥梁,为用户和计算机硬件之间的交互提供了统一的接口。操作系统负责管理计算机的硬件和软件资源,并为计算机程序的运行提供基础环境。在计算机世界里,硬件资源之间、软件资源之间,以及硬件资源和软件资源之间的基本交互逻辑,都依赖操作系统进行定义和抽象。同时,人和计算机之间、计算机和计算机之间的基本交互逻辑也依赖操作系统进行定义和抽象。计算机硬件厂商需要按照操作系统定义和抽象的接口来设计与操作系统的交互,从而完成与其他计算机硬件及软件之间的交互。同理,计算机软件也需要按照操作系统定义的应用程序接口(Application Program Interface,API)完成与操作系统的交互,从而达成与计算机硬件及其他软件之间的交互。
操作系统在智能终端中处于核心枢纽的地位,能够使用基础通信服务,管理各种硬件资源,安装和运行丰富的扩展应用。智能终端的操作系统一般包括内核层、核心服务层和应用框架层。内核层实现内存管理、文件管理、电源管理等核心操作系统任务;核心服务层通过封装库函数为外部接口提供访问操作系统的服务,如安全性管理、媒体管理、SQLite引擎等;应用框架层为开发者提供各种开发组件,支持应用的运行,并负责处理屏幕触摸、页面显示等事件。
智能终端操作系统已经历了20多年的发展,图1-2给出了典型智能终端操作系统的诞生时间。早期,智能终端操作系统的研发由欧美企业主导。作为现代信息技术产业的核心技术之一,智能终端操作系统的重要性是毋庸置疑的。因此,近10年来我国在智能终端操作系统领域持续发力,已经拥有以开源鸿蒙操作系统(OpenHarmony)为代表的自主智能终端操作系统。
图1-2 典型智能终端操作系统诞生时间
1996年,微软发布了Windows CE操作系统,开始进军移动操作系统领域。2001年6月,塞班公司发布了塞班(Symbian)S60操作系统,该系统借助诺基亚庞大的客户群一度称霸当时的智能手机操作系统市场。2007年6月,苹果公司的iOS登上历史舞台,将移动电话、可触摸宽屏、网页浏览、手机游戏、手机地图等多种功能融为一体,主要用于iPhone、iPad、iPod touch、Apple TV等苹果公司的产品。2008年9月,谷歌公司研发的Android操作系统悄然出现,良好的用户体验与开放性的设计使其快速进入智能手机市场。2011年,面向移动智能终端的Android系统与iOS两强争霸的局面开始逐步形成。
2005年,韩国TmaxCore公司启动了兼容Windows操作系统的Tmax Window移动操作系统的研发。但是,随着Windows操作系统自身在移动终端市场的萎靡,Tmax Window早早地退出了市场。2011年9月,三星联合英特尔开发了Tizen移动操作系统,该系统主要应用于智能电视和智能手表等产品。但是,由于Android操作系统与iOS已占据大量市场,且韩国本土市场规模较小,Tizen至今也未能形成良好的移动操作系统生态。
我国自主智能终端操作系统经过十几年的发展,已取得了显著的成绩。2013年,元心科技基于Linux内核开发了元心操作系统(SyberOS),目前已发布了多个版本,能够满足不同用户的多样化需求。2019年8月,华为公司在华为开发者大会上正式发布了面向5G物联网和全场景的鸿蒙操作系统(HarmonyOS)。鸿蒙操作系统通过架构解耦,可弹性部署在不同形态的设备上;通过极简开发与一次开发、多端部署,为用户提供多种终端设备上的一致使用体验;面对多设备场景,支持应用在不同的设备之间自由流转,提供智慧协同的全新体验。可以看出,鸿蒙操作系统在设计理念上突破了传统单设备操作系统的设计假设和约束,是万物互联时代智能终端操作系统领域的一次大胆探索。
2020年9月,开放原子开源基金会接受华为公司贡献的智能终端操作系统基础能力相关代码,随后进行开源,并根据命名规则将该开源项目命名为OpenAtom OpenHarmony(简称OpenHarmony)。OpenHarmony和HarmonyOS之间是类似根社区版和商用发行版的关系,基于开源的OpenHarmony,任何公司都可以开发自己的商用发行版,如图1-3所示。
图1-3 OpenHarmony与HarmonyOS的关系
截至2024年12月,鸿蒙操作系统用户数已超过10亿。凭借国内良好的移动互联网及物联网环境、巨大的市场规模,我国自主研发的智能终端操作系统处于快速发展阶段。
智能终端操作系统向开发者开放了软件开发工具包(Software Development Kit,SDK),使开发者能够调用操作系统提供的丰富API开发丰富的扩展应用,造就了多姿多彩的智能终端操作系统生态环境。
随着移动互联网的快速发展与移动智能终端的普及,传统桌面互联网应用服务开始向移动互联网全面迁移,移动应用(以下简称“移动App”)逐渐成为用户最依赖的互联网入口。近年来,移动App的种类和数量持续增长,用户使用移动App的数量和时长逐年递增,移动App已成为承载手机用户上网的核心载体。根据相关数据,截至2023年年底,我国市场上监测到的移动App数量约为265万款。2023年,我国移动App下载量达到1134亿次,这使得中国成为当时全球移动App下载量最大的国家。线上购物、外卖、移动支付、短视频等移动App改变了人们的消费方式,网约车、共享单车等移动App为出行提供了极大便利,微博、微信等移动App扩大了人际交往的边界,在线教育App也为传统的线下授课与知识获取模式提供了有益的补充。第三方开发的应用通过应用商店分发,用户可以从应用商店下载应用并安装这些应用。应用商店的应用规模是衡量操作系统生态的一个重要指标,Android操作系统和iOS的应用规模都超过了百万,鸿蒙操作系统的应用规模正在迎头赶上。
与此同时,智能手表、智能电视、智能座舱等新型智能终端的应用生态蓬勃发展,各具特色。
智能手表作为可穿戴设备的重要代表,其应用生态主要围绕健康监测、智能交互和便捷生活展开。
健康监测:智能手表搭载了先进的传感器和AI算法,能够实时监测用户的心率、血压、血氧饱和度等生理数据,并提供异常预警。部分智能手表还能分析用户的睡眠质量,提供个性化的改善建议。
智能交互:智能手表内置语音助手功能,用户可以通过语音指令完成多种操作,如音乐播放、信息查询、日程安排等,极大地提升了使用便利性。同时,智能手表还支持与智能手机无缝连接,实现电话接听、信息推送等功能。
便捷生活:智能手表具有丰富的应用生态,可以接入各种健康、运动、支付等服务。例如,用户可以通过智能手表实现在线支付、控制智能家居设备等,打造全面的智能生活体验。
智能电视已经超越了传统电视机的功能,其应用生态更加多元化和智能化。
娱乐功能:智能电视配备高分辨率屏幕和优质的音响系统,提供影院级的视觉和听觉体验。用户可以通过智能电视在线观看高清影视、玩体感游戏等,享受丰富的娱乐体验。
个性化推荐:智能电视集成强大的AI技术,能够深度学习用户的观看习惯,提供个性化的内容推荐。这使得用户在海量内容中能够快速找到自己喜欢的内容。
智能家居控制:智能电视还可以作为智能家居的控制中心,用户通过电视屏幕即可控制家中的智能设备,如智能电灯、智能空调等,实现智能家居的便捷管理。
生活助手:智能电视还具有工作助手、学习助手等多种功能。例如,用户可以利用电视处理工作事务、提升外语口语水平等。此外,智能电视还能根据用户的兴趣推荐旅游目的地和特色美食,为用户的旅行计划提供更多选择。
智能座舱作为汽车行业的创新成果,其应用生态主要围绕人机交互、个性化服务、安全舒适性和娱乐与信息服务展开。
人机交互:智能座舱采用多种人机交互方式,如触控操作、语音识别、手势控制等。这些技术使得用户能够轻松操控车辆功能,如调节空调、播放音乐等。同时,智能座舱还支持多区域语音控制和手势识别,提高了驾驶的安全性与便利性。
个性化服务:智能座舱能够根据用户的喜好和需求提供个性化的服务。例如,用户可以根据自己的喜好调整座椅和内饰,打造独一无二的驾驶环境。智能座舱还能根据乘客的身体状况自动调整座椅参数,以满足乘客对舒适性的要求。
安全舒适性:智能座舱通过优化驾驶员、传感器与车辆系统的协同工作,提升驾驶安全性。例如,智能座舱可以实时监测驾驶员的疲劳程度,并在必要时发出预警。同时,智能座舱还具备自动调节空调、切换空气循环模式等功能,为用户提供舒适的乘坐体验。
娱乐与信息服务:智能座舱还提供了丰富的在线音乐、视频、有声读物等内容,以及实时交通信息和新闻资讯。这使得车内人员能够在出行过程中享受娱乐和信息服务,实现与外界信息的无缝衔接。
随着信息技术的发展,政府、军队、公司、金融机构、医院等组织机构构建了各种各样的IT系统,积累了大量产品研发、生产经营、财务运作、员工档案、客户关系等与组织业务运营和生产经营相关的信息资产。这些资产被收集、组织、存储在IT系统中,并通过网络传输到组织内外的网络化系统中。诸如个人信息、重要数据等敏感信息一旦泄露或遭受破坏,可能会导致相关机构和个人在经济等多个层面的损失。因此,信息安全技术从20世纪60年代开始逐步得到重视。
对信息的保护应从多个方面进行考虑。例如,IT系统必须遵循各种法律法规及组织合规性的要求,确保IT系统及其管理信息受到保护,不受偶然的或者恶意的因素影响而遭到破坏、修改、泄露;同时,IT系统及IT产品组成部分应能连续、可靠地运行,保证组织业务运行的连续性。
实际上,信息保护的目标随着人们对信息安全技术的认识逐步加深而渐渐清晰。信息安全最初用于保护IT产品和IT系统中处理、传递的秘密数据,注重数据在传输和存储过程中的机密性。因此,早期的信息安全主要强调的是通信安全。随着主机技术、数据库技术和信息系统的广泛应用,信息安全概念逐步扩充到数据完整性,包括用户身份鉴别、授权和访问控制、安全审计等安全机制与功能。因此,在20世纪70年代,信息安全强调计算机安全。随着计算机软硬件技术的快速发展,出现了对内开放、对外封闭的IT系统,计算机在处理、存储、传输和使用信息时面临被泄露、窃取、篡改、滥用、干扰、丢失等安全威胁,出现了数据加密、可信计算等面向信息保护的信息安全概念。网络的发展,特别是互联网技术的发展使IT产品和系统的应用范围不断扩大,IT产品和系统依赖网络的正常运行,信息安全必须考虑网络安全。
21世纪以来,特别是随着云计算、移动互联网技术和大数据技术的广泛应用,信息安全又上升到“网络空间安全”层次。网络空间是所有IT产品和系统的集合,是人类生存的信息环境,人在其中与信息相互作用、相互影响,并由此产生人与人、人与社会的更深层次的交流。网络空间安全的概念最宏观,涉及技术、法律、经济、军事等诸多领域。2015年6月,国务院学位委员会和教育部批准在我国增设网络空间安全一级学科。网络空间安全是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴学科,融合了计算机、电子、通信、数学、物理、生物、管理、法律和教育等诸多学科,是一门交叉学科。
在有关信息安全的国际标准中,安全通常定义为“安全是指保护信息在采集、传输和处理中,免遭未授权的泄露(机密性)、未授权的修改(完整性),并对授权实体而言是随时可用的(可用性)”。换句话说,安全是指处理信息的硬件、软件及网络受到保护,不因偶然的或者恶意的原因而遭到破坏、修改、泄露,IT系统连续、可靠、正常地运行,信息服务不中断。
从安全属性着眼,业界普遍认可1985年美国国防部发布的计算机安全桔皮书《可信计算机系统评估标准》(TCSEC)所提出的机密性、完整性、可用性(Confidentiality, Integrity, Availability,CIA)信息安全“金三角”框架模型。
机密性是指保证信息不泄露给非授权的用户或实体,确保存储的信息和传输的信息仅能被得到授权的各方得到,而非授权用户无法知晓信息内容,不能使用。它是信息安全的基本特性,也是信息安全研究的主要内容之一。对于纸质文档中的信息,保护好文件,使其不被非授权用户接触即可。而对于计算机及网络环境中的信息,不仅要通过访问控制制止非授权用户对信息的阅读或阻止授权用户将其访问的信息传递给非授权用户,也要通过各种加密变换技术阻止非授权用户获知信息内容。在信息安全领域,机密性有时又称为保密性。
完整性是指在信息生成、传输、存储和使用过程中,确保信息或数据不被未授权用户篡改(插入、修改、删除、重排序等)或在篡改后能够被迅速发现。例如在数据库中,完整性是为防止存在不符合语义规定的数据和防止因错误信息的输入输出造成无效操作或信息错误而提出的。在通信领域,完整性主要通过消息认证码等消息鉴别技术来实现;在云存储领域,数据完整性主要通过数据冗余编码、数字签名、消息认证码等技术来保证。因此,一般通过访问控制阻止篡改行为,同时通过消息鉴别算法来验证信息是否被篡改。
可用性是指在某个考查时间段内,信息系统能够正常运行,可以通过概率或时间占有率期望值来度量。可用性是IT产品和系统的可靠性、可维护性和维护支持性的综合特性。相对信息安全来讲,可用性是指授权主体在需要信息时能及时得到信息服务的能力。可用性是在信息安全保护阶段对信息安全提出的重要要求,也是在网络化空间中信息服务必须满足的一项信息安全要求。
当然,不同的组织和机构因其对信息安全目标的不同期望,对机密性、完整性和可用性要求的侧重会存在差异。信息安全的机密性、完整性和可用性主要强调对非授权用户的安全控制。而对授权用户(即合法身份的用户)的不正当行为如何进行控制呢?在TCSEC基础上,ISO/IEC 27001:2022(对应国标GB/T 22080—2016)等标准提出了信息安全的其他属性,包括可控性、不可否认性、可审计性、可鉴别性等。其中,可控性、不可否认性等安全属性通过控制授权用户的行为,实现对保密性、完整性和可用性的有效补充。这些安全属性主要强调授权用户只能在授权范围内对IT产品和系统资源及数据进行合法的访问和处理,IT产品和系统会对授权用户的行为进行监督和审查。
可控性是度量IT产品和系统中的所有安全状态是否可被其输入数据影响的性质。如果IT产品和系统所有状态变迁都可被输入数据影响和控制,且从任意的初始状态都可达到某个指定状态,则称IT产品和系统安全功能行为是可控的。或者更确切地说,IT产品和系统的安全状态是可控的。否则就称IT产品和系统安全功能是不完全可控的,或简称为IT产品和系统安全功能不可控。因此,可控性要求IT产品和系统管理的信息及其安全技术与控制机制对用户是透明的,用户可通过输入参数和安全管控措施对IT产品和系统的信息和技术机制实施安全监控管理,防止它们被非法访问和使用。
不可否认性是指防止发送方或接收方抵赖所传输的信息及其行为,要求无论发送方还是接收方都不能抵赖所进行的信息传输。因此,当发送一个信息时,接收方能证实该消息的确是由所宣称的发送方发来的(源非否认性)。当接收方接收到一个消息时,发送方能够证实该消息的确送到了指定的接收方(非否认性)。信息安全领域一般通过数字签名来提供抗否认服务。
可审计性要求IT产品和系统记录针对网络服务资源(包括数据库、主机、操作系统、网络设备、安全设备等)所发生的各种事件并提供给安全管理员,作为系统维护及安全防范的依据。安全审计是保障信息的机密性、完整性、可控性、可用性和不可否认性的重要手段。从不同的审计角度和实现技术与机制进行划分,安全审计分为合规性审计、日志审计、网络行为审计、主机审计、应用系统审计、集中操作运维审计等。
可鉴别性是指确保一个信息的来源或信息本身被正确地标识,同时确保该标识没有被伪造,分为实体鉴别和消息鉴别。消息鉴别是指能向接收方保证该消息确实来自它所宣称的源;实体鉴别是指在双方通信连接发起时能确保这两个实体是可信的,即每个实体的确是他们宣称的那个实体,使第三方不能假冒这两个合法方中的任何一方。可鉴别性也是一个与不可否认性相关的概念。为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本原则。
需要指出的是,ISO/IEC 15408:2022(对应GB/T 18336—2024)已替代TCSEC,成为国际互认的信息技术安全的通用评估准则。该标准对安全属性的支持十分宽泛,不仅提供了针对机密性、完整性和可用性这3个属性的安全组件,还提供了丰富的安全组件来支持可鉴别性、不可否认性、可审计性、用户隐私性、数据和实体真实性等安全属性,同时它还允许用户通过扩展组件定义来支持IT产品其他特定的安全要求。
通用评估准则体现了西方国家在信息技术安全评估领域多年来的发展成果,标志着它们在“信息技术安全评估标准”这一领域的新高度。早在计算机诞生之初,人们对计算机安全的需求及对信息安全的关注便开始萌芽。在那个时代,国防、情报等国家敏感领域相关部门是计算机的主要用户,他们非常重视计算机安全技术及其测试与评估技术,以防止非授权人员对国家重要信息或机密信息蓄意或无意的访问,或者是对可能导致组织机密信息泄露的计算机及其外围设备的非授权操作。
由于信息技术安全评估的复杂性和IT国际贸易的迅速发展,单靠一个国家或地区自行制定并实行的信息技术安全评估标准已无法满足测评结果国际互认的要求。因此,西方多个国家安全机构与组织决定集结他们的资源以应对信息技术发展带来的各种安全挑战,提出了制定统一的IT产品和系统安全评估标准的方案。在此方面,原欧洲共同体提出的《信息技术安全评估准则》(ITSEC)为多国共同制定区域性信息安全标准开了先河。为了掌握IT市场的主导权,美国在ITSEC发布之后立即倡议欧美6个国家的7个组织,包括英国、法国、德国、荷兰、加拿大的国家安全相关机构,以及美国国家安全局(National Security Agency,NSA)和国家标准技术研究所(National Institute of Standards and Technology,NIST),共同制定《信息技术安全通用评估准则》(CC),这6个国家成为CC发起人。1993年6月,CC编辑理事会(Common Criteria Editorial Board,CCEB)成立,正式启动CC的编制工作,随后通过与ISO/IEC JTC1/SC27的WG3合作,于1994年启动了CC项目的国际化工作,以便将CC及其配套标准以ISO/IEC国际标准的形式进行发布和维护。
CC是在早期多种信息技术安全评估相关标准(如TCSEC、ITSEC、CTCPEC、FC等)基础上开发和不断完善而来的,其优势体现在安全要求表达结构的开放性、表达方式的通用性、表达结构的内在逻辑完备性及标准的实用性几个方面。这些特点是CC不断扩大应用范围、取得应用成效的主要原因。
在CCEB与ISO/IEC JTC1/SC27 WG3合作前,国内的学者就已跟踪区域性信息技术安全评估标准的研制工作。在CC成为ISO/IEC标准后,由中国信息安全测评中心牵头,会同上海交通大学、中国科学院等机构对ISO/IEC 15408:1999标准进行了翻译和转标处理,于2001年完成了等同ISO/IEC 15408:1999的国家推荐标准GB/T 18336—2001《信息技术 安全技术 信息技术安全评估准则》,包含以下3个部分:GB/T 18336.1—2001《信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型》(对应ISO/IEC 15408-1);GB/T 18336.2—2001《信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件》(对应ISO/IEC 15408-2);GB/T 18336.3—2001《信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件》(对应ISO/IEC 15408-3)。
2022年,CC最新版本发布,国内对应采标为GB/T 18336.1—2024,新增GB/T 18336.4—2024《信息技术 安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架》(对应ISO/IEC 15408-4)和GB/T 18336.5—2024《信息技术 安全技术 信息技术安全评估准则—第5部分:预定义的安全要求包》(对应ISO/IEC 15408-5)。
CC安全模型的核心,在于明确产品的市场定位与应用场景,进而深入分析影响安全性的两大核心要素:内因(脆弱性)与外因(威胁)。脆弱性主要源于系统设计与实现中的不足,如代码缺陷、配置错误等;而威胁则来自外部环境的恶意行为,如黑客攻击、病毒传播等。通过深入剖析这两大要素,我们能够更准确地评估安全风险,为制定有效的安全对策提供依据,CC安全模型如图1-4所示。
在设计安全产品时,我们的目标是通过合理的组合与配置,最大限度地降低安全风险,保护资产免受损害。这要求人们在充分理解威胁与脆弱性的基础上,灵活运用各种安全技术与产品,如防火墙、入侵检测系统、数据加密等,构建出多层次、立体化的安全防护体系。
CC标准定义了两类关键的安全需求:功能需求、保障需求。
图1-4 CC安全模型
功能需求是指信息安全产品或系统必须具备的安全功能,它们是确保产品或系统能够稳定、安全运行的基本条件。以操作系统为例,功能需求可能包括用户身份验证、访问控制、数据加密、日志审计等,这些功能共同构成了操作系统的安全防线,保护系统免受未授权访问和数据泄露等风险。对于数据库而言,功能需求则可能涉及数据完整性保护、并发控制、备份恢复等,以确保数据的准确性和可用性。明确和满足功能需求,是信息安全产品设计和开发过程中的关键环节,也是产品获得市场认可和用户信任的基础。
保障需求与信息安全产品或系统安全性的保障程度紧密相关,并且这种需求是分层次的。以操作系统为例,保证等级可能划分为四级或五级,每一级都代表了操作系统在安全性方面的不同保证程度。保障需求可以类比为一扇门的坚固程度,它不仅关注门的基本作用(即功能需求),更关注门在抵御外部威胁时的能力和强度。就像木门、铁门,以及不同级别的防盗门一样,它们在抵御撬锁、撞击等威胁时的表现各不相同,从而反映了不同的安全保证级别。在信息安全领域,保障需求的高低直接决定了产品或系统在面对复杂多变的安全威胁时的抵御能力。
CC还引入了评估保障级别(Evaluation Assurance level,EAL)的概念,用于表示对产品进行评估的深度和严格程度。EAL级别分为EAL1~EAL7,级别越高表示评估越严格,产品的安全性能越可靠,如表1-2所示。
表1-2 EAL的说明
| 级别 |
说明 |
|---|---|
| EAL1 |
功能性测试,主要验证产品是否具备声明的安全功能 |
| EAL2 |
结构性测试,在功能性测试的基础上增加对产品内部结构的检查 |
| EAL3 |
系统性测试和检查,对产品的整体安全性进行更深入的测试和审查 |
| EAL4 |
系统性设计、测试和复查,在系统性测试和检查的基础上增加对产品设计的评估 |
| EAL5 |
半形式化设计和测试,采用半形式化的方法对产品的设计和实现进行评估 |
| EAL6 |
半形式化验证的设计和测试,在半形式化设计和测试的基础上增加对产品实现的验证 |
| EAL7 |
形式化验证的设计和测试,采用形式化的方法对产品的设计和实现进行全面验证 |
CC被广泛应用于操作系统、网络设备、软件等IT产品的安全评估中;产品的CC认证由授权的独立评估实验室进行,评估过程包括安全功能、功能和保证措施的测试与验证。如果产品符合指定的标准,就可以获得认证并列入评估产品列表。通过CC认证的产品可以在国际市场上获得更多的认可和信任,因为CC具有广泛的国际互认性。目前,已有多个国家签署了《CC互认协定》(CCRA),明确了该体系下认证产品可以得到广泛的认可。
由于操作系统在智能终端的核心枢纽地位,很多智能终端厂商的操作系统通过了CC的高等级评估认证。2013年,黑莓的BlackBerry 10 OS通过了EAL4级安全评估。2015年,元心公司完成了国内首个移动操作系统的EAL4级安全评估。2021年12月,元心公司的安全微内核通过了中国信息安全测评中心的CC EAL5+级别测评,成为国内权威测评机构颁发的首例EAL5+级别的软件产品。2023年7月,华为鸿蒙微内核获得了CC EAL6+级别认证,这是业界通用操作系统内核领域的最高安全等级认证。2024年6月,华为HarmonyOS NEXT斩获智能终端操作系统领域首个EAL5+级别的认证。
随着移动互联网及4G/5G移动通信技术的飞速发展,以智能手机为代表的移动智能终端已成为人们工作与生活不可或缺的重要工具。与此同时,针对智能手机的病毒、木马、黑客攻击等各种安全威胁层出不穷,种类与数量也呈逐年上升的趋势,并且传播速度呈指数级增长,移动安全问题日趋复杂。通过智能手机窃取个人信息,并以此为踏板诈骗个人财产,甚至威胁人身安全的事件频发。如图1-5所示,据《2023年中国手机安全状况报告》统计,2023年360安全大脑共截获移动端新增恶意程序样本约5964.0万个,同比2022年(2407.9万个)增长了约147.7%。恶意软件的攻击目的主要包括数据与隐私窃取、资费消耗与恶意扣费、远程控制,以及破坏移动终端可用性。
图1-5 移动终端新增恶意程序样本量
数据与隐私窃取:作为个人生活、工作不可或缺的工具,移动终端通常存储有大量个人信息与工作信息。攻击者可能利用恶意移动App(如针对iPhone的PhoneSpy软件)窃取用户信息并传送给攻击者或其他利益方。而移动终端信息窃取通常还伴随着电信诈骗、商业欺诈等违法行为,因此信息与隐私窃取会对用户财产、人身安全造成严重威胁。
资费消耗与恶意扣费:已有研究表明,超过40%的恶意移动App是以直接或间接获取金钱利益为目的的。例如,攻击者可以利用恶意软件(如木马Trojan-SMS.AndroidOS.FakePlayer)控制移动设备向特殊号码发送短信定制某服务,从而非法获得经济利益。
远程控制:由于移动终端已成为智能家居、汽车的远程控制端,通过移动终端实现的恶意攻击可能会导致对用户的人身伤害。例如,通过远程恶意软件控制智能门锁、加热装置、抽水马桶等智能家居设备对用户进行人身伤害等。另外,移动终端蓝牙、WiFi等无线通信方式为用户提供便利的同时,也为攻击者实施远程控制提供了便利的途径。目前,业界已公开了多种基于蓝牙、WiFi接口入侵并远程控制移动终端的案例。
破坏移动终端可用性:该类攻击的目的是破坏系统、干扰用户正常使用,乃至使系统崩溃或移动终端关机。例如,利用移动终端电池供电的特点,恶意软件通过CPU进行大量运算来耗尽电量,从而造成移动终端关机。更为严重的是,恶意软件可以获取Root权限后随意修改、删除终端数据,给用户造成难以挽回的损失。
2021年“飞马(Pegasus)事件”曝光,包括一些国家政要在内的5万余人的手机被飞马间谍软件入侵。2023年12月27日,在德国汉堡举行的混沌通信大会上,卡巴斯基的专家展示了“三角测量行动”研究的结果,该研究揭示了对Apple设备的复杂攻击链,该攻击链利用了4个零日漏洞。这些漏洞链接在一起,形成零点击漏洞,使攻击者无须与受害者进行交互即可获得权限并执行远程代码。攻击从发送到目标的恶意iMessage附件开始。整个攻击链是零点击的,这意味着它不需要用户交互,也不会产生任何可检测的痕迹。
由于智能终端具有广泛的使用场景,并承载了巨大经济及数据价值,它们已成为不法分子、黑客甚至高级持续性威胁(Advanced Persistent Threat,APT)组织的主要攻击目标。如何系统性地构建智能终端的安全防御体系以应对这些挑战,需要一套科学的方法论和实践体系。1.2节介绍的CC,就提供了国内外业界公认的方法论和实践体系。依据该体系,首要的工作是识别受保护资产、分析安全威胁,进而得出安全需求。
从CC安全模型的角度,智能终端的资产主要是用户数据、系统数据和敏感资源。
用户数据:用户或应用软件产生的数据,如用户联系人、短信、位置信息、健康数据、照片等。
系统数据:包括系统镜像、系统升级包、访问控制策略、安全配置数据、预置证书、根密钥等。
敏感资源:包含敏感接口、通信资源、外设资源(如摄像头、位置传感器)等。
与此同时,智能终端面临的威胁可以抽象归纳如下。
完整性破坏:通过攻击非法篡改智能终端安全功能数据或可执行代码,破坏智能终端的完整性,导致保护数据资产的安全机制不再正常工作。
非授权访问:非授权用户或进程访问智能终端的安全功能、系统数据和用户数据,并对安全功能、系统数据和用户数据进行恶意操作。
授权用户的恶意行为:授权用户因安全意识薄弱或误操作,对智能终端操作系统进行不正确配置,或授权用户恶意利用权限进行非法操作,使智能终端安全受到威胁。
数据传输窃听:攻击者可能窃听或篡改智能终端与其他实体之间传输的数据,造成数据泄露或被篡改。
物理访问:攻击者尝试通过访问智能终端的物理接口来访问资产,或通过猜测口令和/或仿冒生物识别技术,来获得对用户数据资产的访问权限。物理接口包括JTAG接口、USB接口、充电接口、直接访问智能终端存储介质的物理接口等。
残余信息利用:用户出售智能终端并尝试事先删除所有用户数据资产,攻击者可能利用智能终端残留信息的处理缺陷,利用未删除的残留信息获取敏感信息。
恶意应用软件攻击:恶意应用软件尝试越权访问用户数据和系统敏感资源,窃取用户数据或修改智能终端的关键配置。
会话冒用:攻击者尝试利用不被使用的会话,假冒授权用户对智能终端的功能和数据进行恶意操作。
根据已识别的受保护资产和安全威胁,下一步就是制定安全需求。安全需求是IT系统或产品设计需要满足的条件,以防止安全威胁对受保护资产造成损害。在CC框架中,安全需求通常从以下几方面推导得到。
机密性:确保信息只能被授权的实体访问。例如,如果一个资产涉及敏感数据,安全需求可能包括加密和访问控制机制,防止未授权的访问。
完整性:确保信息或系统在传输或存储过程中不被篡改。针对篡改威胁,安全需求可能包括数据完整性检查、签名或校验机制。
可用性:确保资产在需要时可用,不受拒绝服务(Denial of Service,DoS)攻击或其他因素影响。对于服务中断威胁,安全需求可能包括冗余、备份和防止DoS攻击的机制。
身份验证和授权:确保只有合法用户能够访问系统资源。针对非法用户访问,安全需求可能包括强身份验证、访问控制、权限管理等。
不可否认性:确保行为者无法否认其行为,常通过日志记录、数字签名等手段来实现。
接下来根据威胁和资产确定安全需求的具体措施,将安全需求转化为具体的技术和操作措施。例如以下措施。
访问控制:为了防止未经授权的访问,可能需要设计基于角色的访问控制(Role-Based Access Control,RBAC)系统,或者使用生物识别技术进行身份验证。
加密:为了保护数据的机密性,可能需要在传输过程中使用传输层安全协议(Transport Layer Security,TLS)进行加密,或者在存储过程中使用高级加密标准(Advanced Encryption Standard,AES)加密。
审计和监控:为了防止数据泄露和篡改,可能需要实施审计日志机制,记录所有重要操作,并进行实时监控。
以上描述的是安全功能需求,下面介绍安全需求另一方面的需求:安全保障需求。对应不同的评估保障级别,有不同的安全保障需求。安全保障需求是指为确保系统的安全性,所需要的设计、开发、测试和验证方面的保障措施。它们主要关注的是如何证明系统的设计和实施是否足够安全,以及是否能够有效应对潜在的安全威胁。与安全功能需求(如数据加密、访问控制等)不同,安全保障需求侧重于对安全性进行验证和证明,确保安全措施的实施是可靠的、有效的。
总结一下,在CC中,通过受保护资产和安全威胁的识别与分析,能够明确导出具体的安全需求。这些需求不仅为系统的设计和实现提供指导,还为后续的评估和认证提供了依据。其中关键的过程如下。
识别受保护资产:全面梳理需要保护的资产。
识别安全威胁:分析哪些威胁可能影响这些资产。
制定安全需求:根据威胁和资产的性质,制定相应的安全需求。
通过这种方式,可以确保智能终端的安全性,满足其在实际应用中的各种安全要求。
针对1.3节分析的智能终端安全威胁,为了保障智能终端在复杂环境中安全运行,需要构建一个包括一系列防护措施和机制的智能终端安全体系。该安全体系通常需要包括以下几个关键部分。
硬件安全:确保智能终端设备的硬件组件在设计和制造过程中符合安全标准,防止硬件层面的攻击和篡改。
系统安全:加强操作系统的安全性,包括权限管理、访问控制、安全审计等功能,防止系统层面的攻击和漏洞利用。
应用安全:对智能终端上的应用进行严格的安全审查和管理,确保应用代码的安全性,防止恶意软件的入侵和攻击。
数据安全:采用加密技术保护智能终端上的敏感数据,确保数据在传输和存储过程中的完整性和机密性。
典型的移动智能终端安全体系如图1-6所示。
物联网时代,智能终端部署环境与应用场景复杂多样,最关键的是硬件配置千差万别,因此其安全体系也需要灵活应对这一情况。简要来说,物联网智能终端安全体系设计的核心思路是“分级”,在满足基础安全要求的前提下随着硬件资源的增加进行增量的安全机制设计,终端的安全级别决定了它能够处理的数据的安全级别,具体将在第2章中展开描述。
图1-6 移动智能终端安全体系
移动设备基础保护框架(Mobile Device Fundamental Protection Profile,MDFPP)是针对移动智能终端(特别是智能手机、平板计算机等)安全性的一个重要标准,为移动智能终端的安全评估和认证提供了基础的保护要求。MDFPP由全球平台组织和全球移动通信系统协会(Global System for Mobile Communications Association,GSMA)等组织推动,主要用于为移动智能终端的安全性评估提供一套标准化、通用的框架,确保移动智能终端在设计、开发和部署过程中能够抵御各类安全威胁。MDFPP主要关注移动智能终端的核心安全需求,尤其是那些影响用户隐私、数据保护和设备完整性的基本安全功能。
MDFPP定义了与移动设备安全相关的基本要求,主要涵盖以下几个方面。
加密保护:要求设备能够加密存储的数据,包括应用数据和系统数据。所有敏感数据(如个人信息、支付数据等)必须进行加密处理。
数据完整性:确保数据在存储和传输过程中没有被篡改。设备需要使用校验和、哈希算法等机制来保障数据的完整性。
用户身份验证:设备应支持强身份验证机制,如个人识别码(Personal Identification Number,PIN)、密码、指纹识别、人脸识别等,确保只有授权用户能够访问设备。
访问控制:设备应实施严格的访问控制策略,确保只有经过授权的应用和用户能够访问设备的敏感部分(如存储、通信模块等)。
启动时安全性(Secure Boot):设备必须具备安全启动功能,确保系统从启动到操作过程中,任何未经授权的操作或篡改都会被检测到并阻止。
固件和操作系统的更新:设备应支持通过安全通道进行远程固件和操作系统更新,以修复安全漏洞。
加密通信:设备应支持加密的网络通信协议(如HTTPS、SSL/TLS),确保在传输过程中的敏感信息不会被窃取。
认证机制:设备需要支持多种认证机制,确保在与其他设备或服务器进行通信时能够有效验证对方身份,防止中间人攻击和伪装攻击。
防篡改和反病毒:设备应具备恶意软件的检测和防护功能,能够检测并阻止病毒、木马等恶意软件的入侵。
沙箱技术:通过沙箱技术隔离和限制应用的行为,避免恶意应用对设备的操作系统或其他应用造成损害。
防止物理攻击:设备应具备一定的物理防护措施,能够防止通过硬件层面的攻击(如侧信道攻击、冷启动攻击等)来获取设备中的敏感信息。
MDFPP为移动智能终端的安全性提供了一个全面、标准化的保护框架,涵盖了从数据保护到物理安全的各个方面。通过遵循MDFPP的要求,厂商可以设计出更加安全的智能终端,增强用户的信任,减少数据泄露、设备篡改和恶意攻击的风险。在全球范围内,越来越多的智能终端依据MDFPP进行CC认证来提升安全性。以下是通过MDFPP的CC认证的部分智能手机产品。
OPPO Find X5 Pro:2022年4月,OPPO Find X5 Pro通过了2021年4月发布的MDFPP v3.3的CC认证,成为全球首款通过 MDFPP v3.3认证的设备。
三星Galaxy系列设备:三星Galaxy设备2013年首次通过了MDFPP的CC认证,之后的 Galaxy S系列和Galaxy Note系列都通过了该认证。
索尼Xperia系列设备:索尼Xperia Z4和Xperia Z5系列在2015年至2016年获得了CC认证,符合 MDFPP v2.0的要求。
谷歌Pixel系列设备:谷歌第一代Pixel智能手机2017年通过了MDFPP的CC认证,之后谷歌发布的Pixel系列设备(如Pixel 2、Pixel 3等)也相继通过了更新版本的认证,表明其在移动设备安全性上的持续改进。
[1] 徐震,李宏佳,汪丹.移动终端安全架构及关键技术[M].北京:机械工业出版社,2023.
[2] 李毅,任革林.鸿蒙操作系统设计原理与架构[M].北京:人民邮电出版社,2024.
[3] 石竤松.信息技术安全评估准则:源流、方法与实践[M].北京:清华大学出版社,2020.
[4] 李兴新,侯玉华,周晓龙,等.移动互联网时代的智能终端安全[M].北京:人民邮电出版社,2016.
[5] 中国国家标准化管理委员会.网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型:GB/T 18336.1—2024[S].北京:中国标准出版社,2024.
[6] 中国国家标准化管理委员会.网络安全技术 信息技术安全评估准则 第2部分:安全功能组件:GB/T 18336.2—2024[S].北京:中国标准出版社,2024.
[7] 中国国家标准化管理委员会.网络安全技术 信息技术安全评估准则 第3部分:安全保障组件:GB/T 18336.3—2024[S].北京:中国标准出版社,2024.
[8] 中国国家标准化管理委员会.智能终端软件平台技术要求 第1部分:操作系统:GB/T 34980.1—2017[S].北京:中国标准出版社,2017.
[9] 中国国家标准化管理委员会.网络安全技术 移动终端安全技术规范:GB/T 35278—2017[S]. 北京:中国标准出版社,2025.
