歡迎訪問西安艾創(chuàng)物聯(lián)科技有限公司官網(wǎng)!

當(dāng)前位置 當(dāng)前位置:首頁 > 新聞資訊 > 公司新聞

陜西移動數(shù)據(jù)終端敏感數(shù)據(jù)安全運(yùn)行環(huán)境淺析

發(fā)布時間: 2018-05-17 來源:

我們的手機(jī)上存儲了各種各樣的數(shù)據(jù),既有照片、視頻等娛樂數(shù)據(jù),也有如證書、用戶密鑰、密碼算法、指紋等敏感信息。為敏感信息提供的安全的運(yùn)算環(huán)境至關(guān)重要。那么,如何解決移動終端上運(yùn)行敏感數(shù)據(jù)安全運(yùn)算的問題呢?今天,讓陜西移動數(shù)據(jù)終端廠家來分享較熱門的四類解決方案。


陜西移動數(shù)據(jù)終端


移動智能終端都內(nèi)置好了操作系統(tǒng)(比如iOS和Android),操作系統(tǒng)提供為用戶提供了一個開放的環(huán)境。在這個開放的環(huán)境里,用戶可以根據(jù)自己的需求添加各種應(yīng)用。然而,便捷的應(yīng)用添加體驗,也使得所有操作的完全暴露在開放的運(yùn)行環(huán)境中,操作過程和敏感數(shù)據(jù)很容易被惡意軟件竊取、破譯、偽造、篡改,因此,智能終端上運(yùn)行的敏感數(shù)據(jù)面臨著很大的安全威脅。

當(dāng)前,產(chǎn)業(yè)鏈各個層面都在試圖從自己的角度去解決這個問題。宏觀來分析可以將解決方案分為四類,一是純軟件方案,二是外置獨(dú)立硬件方案,三是系統(tǒng)硬件層安全增強(qiáng)技術(shù)方案,四是虛擬化解決方案。

1、基于純軟件實現(xiàn)的安全方案

原理

不依靠特別的硬件,僅使用軟件實現(xiàn)對數(shù)據(jù)的加密

優(yōu)點

實現(xiàn)簡單、靈活,實施成本低,應(yīng)用范圍廣,用戶體驗好

缺點

密碼運(yùn)算效率較低,安全性較差

場景

移動支付,郵件加密,文件加密

軟加密依靠性能強(qiáng)大的手機(jī)AP芯片和定制的軟件算法,對數(shù)據(jù)進(jìn)行加密運(yùn)算或加密存儲,如微信的安全支付和支付寶的安全支付以及較為常見的郵件加密功能。該方案的安全功能完全在AP處理器上采用軟件的方式實現(xiàn),整個操作過程暴露在開放的運(yùn)行環(huán)境中,操作過程和敏感數(shù)據(jù)容易被惡意軟件竊取、破譯、偽造、篡改。

2、系統(tǒng)硬件層安全增強(qiáng)技術(shù)方案

原理

通過對現(xiàn)有硬件進(jìn)行改造,擴(kuò)充一系列的安全機(jī)制,設(shè)計出可信的硬件設(shè)備,從系統(tǒng)較底層監(jiān)測和控制系統(tǒng)的運(yùn)行,從而增強(qiáng)整個系統(tǒng)的安全性

優(yōu)點

安全性較高,用戶體驗較好

缺點

只能滿足小數(shù)據(jù)量業(yè)務(wù),實施成本較高,應(yīng)用范圍受限

場景

金融支付、指紋識別等低數(shù)據(jù)量業(yè)務(wù)

當(dāng)前應(yīng)用較為廣泛的是遵循Global Platform的可信執(zhí)行環(huán)境(Trusted Execution Environment,簡寫為TEE)規(guī)范的相關(guān)技術(shù)。

TEE是存在于智能手機(jī)、平板電腦中的一個安全區(qū)域,為“可信應(yīng)用”(TA)提供安全的執(zhí)行環(huán)境,通過實施保密性、完整性和數(shù)據(jù)訪問權(quán)限確保端到端的安全。以ARM TrustZone技術(shù)為例,支持TrustZone技術(shù)的ARM芯片在每個物理處理器核上提供兩個虛擬核,一個是非安全核(Non-secure, NS),另一個是安全核(secure),安全核確保了各種敏感數(shù)據(jù)在一個可信環(huán)境中被存儲、處理并受到保護(hù)。

TEE解決方案雖然能夠提供較好的安全防護(hù),但是其安全性能只能滿足低數(shù)據(jù)量業(yè)務(wù)的安全應(yīng)用,在個人隱私保護(hù)(視頻、照片等)、內(nèi)容保護(hù)、企業(yè)數(shù)據(jù)防護(hù)、連接保護(hù)等方面的應(yīng)用較為受限。



陜西移動數(shù)據(jù)終端代理


3、虛擬化解決方案

原理

運(yùn)用虛擬化技術(shù)實現(xiàn)安全數(shù)據(jù)隔離,為數(shù)據(jù)提供安全運(yùn)算環(huán)境。分為硬件與虛擬化和操作系統(tǒng)虛擬化兩種方案

優(yōu)點

安全性較高,用戶體驗較好,應(yīng)用范圍廣

缺點

虛擬化增加了移動終端系統(tǒng)負(fù)擔(dān),用戶體驗較差

典型場景

移動辦公,移動支付


① 硬件虛擬化解決方案

硬件虛擬化技術(shù)也就是虛擬機(jī)技術(shù),將一臺物理機(jī)以多臺虛擬計算機(jī)的方式實現(xiàn)復(fù)用,隱藏特定計算平臺的實際物理特性,為用戶提供抽象的、統(tǒng)一的、模擬的計算環(huán)境。這種方案可以實現(xiàn)把操作系統(tǒng)和物理硬件隔離的目的,并通過控制程序VMM(或Hypervisor),在各個虛擬機(jī)之間施加防護(hù)。這樣的模式使得入侵者難以利用設(shè)備驅(qū)動程序和應(yīng)用程序間的依賴性實現(xiàn)整個操作系統(tǒng)與應(yīng)用程序的病毒感染,因此被廣泛認(rèn)為可以用來解決智能移動終端系統(tǒng)的可靠性和安全性的問題。Symantec、H3C、Cisco等公司均提供這種虛擬化安全解決方案。

但是硬件虛擬化技術(shù)會增加系統(tǒng)的工作負(fù)擔(dān),顯著增加功耗,影響用戶體驗。另一方面,硬件虛擬化技術(shù)仍然主要依靠操作系統(tǒng)和軟件來實現(xiàn)安全隔離,一旦VMM被入侵,便會打破這種安全保護(hù),存在數(shù)據(jù)泄漏和被攻擊風(fēng)險。這些都嚴(yán)重限制了硬件虛擬化方案在移動智能終端安全領(lǐng)域的應(yīng)用。?


② 操作系統(tǒng)虛擬化解決方案

操作系統(tǒng)虛擬化解決方案以雙域、雙操作系統(tǒng)安全為代表,在TEE可信執(zhí)行環(huán)境的基礎(chǔ)上,結(jié)合硬件虛擬化技術(shù)提出的新的安全解決方案,旨在解決TEE應(yīng)用受限方面的不足。展訊、鼎橋、華為、360等公司均針對政府及企業(yè)的安全移動辦公需求,推出了各自的基于雙域、雙操作系統(tǒng)安全解決方案的移動終端,大規(guī)模應(yīng)用在公安、司法、政府、金融等諸多行業(yè)。

雙域、雙操作系統(tǒng)解決方案將移動終端系統(tǒng)分為安全區(qū)和非安全區(qū),兩個區(qū)域各自獨(dú)立運(yùn)行一個操作系統(tǒng)。安全區(qū)和非安全區(qū)被嚴(yán)格隔離,只能通過一個硬件級的Monitor進(jìn)行交互,防止數(shù)據(jù)泄漏和對安全區(qū)的惡意攻擊。

雙域、雙操作系統(tǒng)解決方案提供了強(qiáng)大的安全防護(hù)性能,可以將更多的應(yīng)用置于安全的環(huán)境中。但是其和虛擬機(jī)技術(shù)一樣,兩個獨(dú)立運(yùn)行的操作系統(tǒng)大大增加了系統(tǒng)的負(fù)擔(dān),使系統(tǒng)的功耗顯著增加,造成系統(tǒng)發(fā)熱、使用時間縮短等問題,影響用戶的使用體驗。

4、外置獨(dú)立硬件解決方案

原理

通過專用芯片或獨(dú)立芯片密碼運(yùn)算

優(yōu)點

安全性較高,應(yīng)用范圍廣

缺點

實施成本高、難度大,增加移動終端功耗開銷

場景

加密語音通信,視頻通信

在該項技術(shù)中,加密密鑰等敏感數(shù)據(jù)存儲于加密芯片,整套加密流程完全在專用加密芯片中實現(xiàn),屏蔽了外部系統(tǒng)對加密過程的影響。同時,專用加密芯片能夠提供高速加解密計算、數(shù)據(jù)安全存儲、基于PKI的數(shù)據(jù)簽名/驗簽、數(shù)據(jù)完整性校驗等功能,配合中間件軟件使移動終端具備敏感信息加密存儲、數(shù)據(jù)加密運(yùn)算、身份合法性驗證等能力,防止移動終端數(shù)據(jù)被盜取、篡改、破壞,從多方面保證移動終端系統(tǒng)的安全性。

基于外置獨(dú)立硬件的安全方案能夠提供相對強(qiáng)大的安全防護(hù)手段以及適應(yīng)需求的安全處理性能,同時具備應(yīng)用范圍廣等優(yōu)勢。但它的劣勢也是顯而易見的,集成外置獨(dú)立硬件不僅增加了實施成本,也提高了實施難度,獨(dú)立硬件的運(yùn)行還會使系統(tǒng)的功耗顯著增加,這對移動終端的用戶使用體驗尤其不利。

上述分析的幾種安全實現(xiàn)方案是移動安全產(chǎn)業(yè)鏈不同環(huán)節(jié)的廠商或者組織提出的解決方案。都是想從本領(lǐng)域解決移動安全環(huán)境下敏感數(shù)據(jù)運(yùn)行的問題。這些方案各具特點,能夠解決的問題各不相同,應(yīng)用的場景也不一樣,優(yōu)勢與劣勢各不相同。截至目前業(yè)界還沒有一種既能夠滿足安全性,同時成本低、不影響用戶體驗的解決方案。這將是移動安全發(fā)展的又一個新方向。以上就是陜西移動數(shù)據(jù)終端廠家的分享。

【全文完】

標(biāo)簽: