信安張慶勇:移動認證與監測安全體系的研究
責編:rhliu |2016-06-29 16:50:48張慶勇:各位嘉賓、各位領導下午好!我是來自北京信安世紀科技有限公司張慶勇,接下來我給大家做匯報主要內容有幾個:移動互聯網安全威脅與風險,安全接入的技術、安全風險監測相關研究、我們在安全領域所做的應對。
一、移動互聯網安全威脅與風險
其實關于移動互聯網安全之前演講者也做了很多情況的說明,我們認為移動互聯網這些年快速發展有幾個方面促成的,一個是基礎網絡建設快速的布局發展,這個大家也都清楚,包括中國移動、中國電信、聯通基礎建設這方面做了很大的布局,另外尤其是智能移動終端產品迅速普及,這個大家能夠看到,我想在座各位也都能拿到智能移動終端設備,特別是iPhone,這個把我們智能移動終端產品線快速帶動起來,隨著移動設備發展,另外一項移動終端APP得到爆發式的增長。除了上述三個原因之外,還有一個重要的原因是電商的發展,尤其近十年發展,隨著阿里、淘寶、京東等電子商城發展,給移動互聯網做快速的知識普及。
上個星期京東剛做完6.18活動總結,雖然最終6.18銷售額并沒有給出最后的結論,他們認為是商業機密,但是我從他發布數據里邊可以看出端倪,其中有一條我看的很仔細,京東商城今年6.18全天下單1500萬單,有60%多訂單是通過移動終端發起的,這個比例非常大,將近1000萬訂單是移動終端發起的。我之前也看過愛立信對未來移動發展的報告,上面明確指出未來五年內,移動終端網絡流量占到整個全世界所有流量90%,這是非常大的比例。這也就說明我們移動互聯網發展非常快速的。
那么伴隨著移動互聯網快速發展,其實我認為在移動互聯網安全這一塊沒有跟上的,從原來大家剛開始對移動互聯網在PC終端防護體系沒有完全做到位情況下,在移動終端這一塊開始快速發展。我們綜合這些年移動終端受到安全威脅,我覺得應該三個方面重點看一下移動互聯網安全威脅:
1、業務應用本身、自身的安全,這個可能在傳統PC行業成為遇到這個問題,比如一般業務系統都是兩類,BS、CS應用,后臺業務系統做的好壞,直接影響你安全性,舉一個簡單的例子COS注入,沒有做好從PC端到移動端面臨一樣的問題。
2、客戶端和服務器端中間網絡通信安全風險和威脅,這一塊大家也做過很多的描述,包括去年3.15晚會說過wifi風險,特別是免費wifi風險,另外整個網絡里邊有各種各樣抓包工具,即使安全通道也通過中間人攻擊獲得中間獲取。網絡通信和安全風險,也是很大一個方面。
3、最主要終端設備本身環境安全風險,原來PC端面臨一大堆的問題,PC中毒需要殺毒,同樣把這些風險轉嫁終端上。
二、移動互聯網安全接入技術
剛才說這些風險,很大一塊內容我們移動端接入的時候,風險都會轉嫁惡果。簡單向大家介紹移動互聯網安全接入技術。我總結一下大概有四個方面:1、PKI技術作為移動安全接入的基礎安全技術保障;2、數字簽名技術;3、VPN技術;4、虛擬化安全沙箱技術
1、PKI技術
PKI基礎設施本身能夠完成對身份認證訪問控制、機密性、完整性、以及抗抵賴不可復制性等等最全面的防護機制,應該說目前來看99%安全防護體系都是跟PKI相關的,因為PKI涉及算法更多,PKI技術有很多構成,其實以數字證書作為基礎,由C產生的通用電子標簽,和生活中使用的用戶身份證類似,每個人在網絡有身份ID,身份ID就是數字證書,目前有三家頒發機構,除了CN之外,還有RN注冊中心等,數字證書里邊含有公鑰,有證書發布的地方,還有證書的有效性。這是整個PKI技術的組成。
2、數字簽名技術。
數字簽名技術簡單說就是通過密碼技術對電子文件進行電子形式的簽名,電子文件經過電子簽名識別簽名人身份、以及數字簽名是否被實際人認可。在電商領域整個移動互聯網領域,電子簽名有一個法律支撐,也是唯一作為法律支撐的技術就是《電子簽名法》,2004年修訂,2005年正式發布,經過十多年發展,在電商逐漸慢慢利用起來。去年也經過電子簽名法修訂,可以通過下面圖簡單看一下實現,利用PKI非對稱算法,利用私鑰對原文加密,形成密文是簽名值,不能說做簽名不認可,這是不可以的。法律上也不認可,當然簽名實現方式很多,我下邊只列IC算法,這個跟其他簽名算法不一樣的。
3、VPN技術
利用公共網絡建設,建設專用、私有網絡技術,里邊包括L2TP第三二層隧道協議、IPSec隧道模式,SSL? VPN這幾種技術方式,PC端通過類似的方式實現。
4、虛擬化技術和沙箱技術
它們兩個完全不在一個層面上,安全沙箱限制不可信代碼訪問的權限,移動虛擬化是移動設備實現外部隔離的基礎技術。我簡單舉一個例子,大家用沙箱技術,它的底層操作系統還是原生操作系統,沙箱都是使用原始操作系統一部分數據進行隔離,而虛擬化技術依賴于硬件、依賴于操作系統、甚至下方硬件,虛擬化另外一個操作系統,這個是虛擬化技術,虛擬化不限于操作系統虛擬化、桌面虛擬化,主要技術內容差不多的。
但是這兩個緊密貼合我們在移動端環境安全,老說環境中了木馬、中了病毒,最好的解決方案不是裝殺毒軟件,最好的方式給你相對安全的執行環境,這是最終好的解決方案。
大家看了之上四種技術,我估計很多人覺得這個并不是先進的技術,其實這四種技術應該有很多年歷史,但是它發生很大的變化,就是我們載體從原來PC遷移移動設備,遷移過程技術發生很多轉變。例如PKI技術,在社會應用非常廣泛了,我舉最簡單的例子,網銀大家都上過,合乎銀行網銀都上過,那這個網銀技術,在網銀技術怎么利用PKI相關交易和查詢權限保障,我知道U盾。大家辦網銀發U盾,U盾儲存三樣東西:公鑰、私鑰、個人數字證書,有的人登錄之后用到、有的時候查詢轉帳用到。用到數字簽名,每個發給SDK,這個SDK和用戶身份綁定,你在進行轉帳交易通過私鑰簽名,通過銀行端審核就可以。這是我們在PC端做的。
移動端使用非常弱,有的銀行發了音頻K,使用音頻通訊,音頻通訊口不一樣,甚至蘋果下一代版本音頻K可能取消。這種情況下怎么辦?需要新的數字證書的保護機制,比如音頻K繼續使用外設,另外藍牙K方式完成數字簽名技術、包括認證證書。甚至我安全性可以降低一些,把數字證書直接頒發移動端本地,這都是PKI轉身的方式,它的技術發生一些變化。另外VPN,VPN原始方式差不太多,從PC端轉到移動端一樣,在手機平臺也需要做客戶端,基本使用方式沒有太多的變化。但是沙箱技術和虛擬化技術發生比較大的變化,沙箱依托硬件實現虛擬化標準,移動端主要R平臺,支持硬件化可以做虛擬化,現在來看使用幾乎沒有。
但是我們在移動端做虛擬化研究,主要基于容器虛擬化,在硬件基礎上有一個容器的,可以基于容器做虛擬化技術,這些都是虛擬化在移動端不同的技術特點。
另外在移動接入其他技術特點,包括移動數字證書、IPSECVPN、虛擬化沙箱技術,包括彩信短信語音安全防護,剛才演講嘉賓也講短信,短信危險性很大的。其實現在更好的短信方式,大家知道發短信的時候,很多APP直接讀取短信庫的短信內容,抓短信甚至抓驗證碼,包括短信、彩信、語音需要安全防護,我們跟一些客戶做安全短信的加密方式,就是從短信網關發出數據被我們做加密。客戶端通過你手機取得短信驗證碼加密的東西,只有通過APP解密,才能把加密的短信重新解密原始驗證碼,這都是移動接入的防護。另外Arm、TrustZone構建安全防護。
三、移動互聯網安全風險監測
我們在互聯網安全風險監測做一些,它不同于之前安全風險和防護,之前我們說木馬、病毒、網絡都是被動的防御,有了木馬使用相關殺毒軟件進行殺毒,有了病毒也殺毒,安全防護使用安全的防護wifi,這些都是被動的防護,隨著現在移動快速發展,被動防護機制遠遠跟不上我們移動發展速度,更多需要主動去防御,主動防御就需要我們進行對相關風險監測有一個了解。
我簡單說一下風險監測必要性不用說了,之前我們都說了被動防御并不是主動防御,我們曾經說最好的防守就是進攻。在風險監測主要涉及幾個方面:
1、數據采集,客戶端大量采集,形成大量數據發到后臺,對這些數據進行挖掘,通過數據挖掘建立好自己風險模型,完成提前預警對應基本數據整理。終端快速搜集能內容包括網絡情況,使用wifi還是網線,設備情況本身是蘋果還是Android,行為習慣,明天打開網銀上午晚上中午,這都是使用行為習慣。另外配合應用獲取異常信息,這是最簡單的收集,比如一些APP出現崩潰、不兼容,尤其Android平臺,操作系統版本一直在升級,由原生操作系統隱身出很多其他廠商的操作系統,包括華為、三星、小米操作系統等。金融形使我們系統不同平臺出現問題,這些問題主動搜集。另外還有性能實時參數,包括網速快慢、手機硬盤、還有終端環境快速監測包括你病毒木馬預警查殺,使用APP主動察看一下本地的防御情況,進行風險提示,還有行為預警等。這是前端數據的搜集。
2、后臺有安全風險體系,這里邊涉及幾個知識點:包括統計方法、推理建模、機器自我學習、列舉分析、大數據并行計算,大家了解最多是大數據計算,這一塊包括大數據并行計算涉及很多。
形成最主要的內容,本身客戶端收集數據,包括日志數據、事件、行為數據等進行提升,提升后臺進行收集和數據關聯性分析,運用智能數據分析包括威脅防護的分析,根據我們自己內置模型、計算方式、相關策略、動作等完成持續監控的分析,并將分析內容及時提供給業務系統,來整個完成一整套風險監測機制。
四、信安世紀移動安全領域應對
我們應對之前說的安全風險和產品技術。簡單介紹一下我們信安全世紀,我們是1998年成立,是中科院衍生出來做信息安全的公司,涉及六大機構,分別上海、成都、西安、武漢、北京,我們也是數據工作組成員,包括涉及保密局成員單位,這是我們公司主持制定國家標準、行業標準。這是簡單的獲獎證書。
信安世紀從剛才說的幾個風險點衍生兩個產品和一個解決方案,兩個產品分別移動統一認證平臺,主要功能移動設備的安全接入和認證,它包括認證平臺的后臺系統,還有前端的APP,另外有自己安全監測平臺,主要移動采集和后臺監控,表現形式也是監測平臺系統是后臺,前端提供SDK。另外給金融機構或者銀行、證券提供移動安全解決服務方案。
我們信安世紀移動統一認證平臺包括幾個類:一個安全類,我們支持兩種數字證書管理,一個本地軟證書管理,還有對外部硬件設備管理,數字證書既安全放在手機上,可以使用安全外設。另外相關的動態口令管理、文件安全管理方面;第二應用管理類,可以管理到之前所說設備管理、應用市場、地理圍欄,另外后臺有策略管理和策略管理
從PC到移動端有策略的變化,尤其移動端對移動外設支持不是特別好,我們也經過這么多年技術研究,我們做出新的技術嘗試,就是無私鑰安全防護,在一個SDK有安全證書的,私鑰安全性最高的,我們在移動端第一次產生密鑰產生即放棄,產生用它幫助用戶下載證書,下載之后私鑰就內存中消失了,私鑰根據用戶輸入口令、硬件信息、自有算法算出,每次需要的時候重新計算出來,不需要會從內存清空。即使我手機丟失也無法獲得私鑰,使用的時候每次生成,生成也會消失。這是底層技術的實現。這也是我們這么多年移動安全研究上做的工作。
移動統一認證平臺主要包括內容一個APP安全接入、還有PC端認證,它主要包括內容有包括統一用戶認證、授權、審計、賬戶管理都在后臺里邊,另外所有信息加密傳輸,通過我APP業務系統連到APP上,所有傳輸都可以做到內容加密。另外統一用戶管理,如果企業有很多業務系統,每個業務系統都有自己的用戶管理,可以統一納入統一認證管理里邊去。
另外PC端認證可以像微信一樣,就像大家掃一掃登錄外部的微信,另外支持第三方應用。最后我們本身APP首先是雙因素認證、包括數字證書包括動態口令認證等。另外VPN安全接入,和以前類似只不過切換移動端,安全防護機制沒有變化。
最后安全檢測平臺,已經給大家做了匯報,通過根據相關理也有自己安全檢測平臺機制,做大數據分析等。這是我們檢測平臺后臺可以做掃描、模擬器監測、包括惡意注冊的風險、垃圾消息風險、賬戶被盜風險,業務系統根據風險值控制自身的業務。
最后我們還有一個解決方案,主要給一些大企業用戶做一個安全服務平臺,包括一些實現用戶平臺的安全密鑰、加減密鑰等等功能。包括數字簽名加解密,我們公司圍繞剛才說的功能,也在做移動外設,移動外設也有可能繼續發展,雖然目前來看,大家使用的習慣包括技術實現問題,現在移動外設發展并不是很好,反而包括手環移動外設用的更好一些,真實對安全性這一塊并沒有好的發展,所以現在做了一些包括移動終端適用二維碼KEY,藍牙KEY,也是我們公司針對移動領域所做的研究,謝謝大家!