张庆勇:各位嘉宾、各位领导下午好!我是来自北京信安世纪科技有限公司张庆勇,接下来我给大家做汇报主要内容有几个:移动互联网安全威胁与风险,安全接入的技术、安全风险监测相关研究、我们在安全领域所做的应对。
一、移动互联网安全威胁与风险
其实关于移动互联网安全之前演讲者也做了很多情况的说明,我们认为移动互联网这些年快速发展有几个方面促成的,一个是基础网络建设快速的布局发展,这个大家也都清楚,包括中国移动、中国电信、联通基础建设这方面做了很大的布局,另外尤其是智能移动终端产品迅速普及,这个大家能够看到,我想在座各位也都能拿到智能移动终端设备,特别是iPhone,这个把我们智能移动终端产品线快速带动起来,随着移动设备发展,另外一项移动终端APP得到爆发式的增长。除了上述三个原因之外,还有一个重要的原因是电商的发展,尤其近十年发展,随着阿里、淘宝、京东等电子商城发展,给移动互联网做快速的知识普及。
上个星期京东刚做完6.18活动总结,虽然最终6.18销售额并没有给出最后的结论,他们认为是商业机密,但是我从他发布数据里边可以看出端倪,其中有一条我看的很仔细,京东商城今年6.18全天下单1500万单,有60%多订单是通过移动终端发起的,这个比例非常大,将近1000万订单是移动终端发起的。我之前也看过爱立信对未来移动发展的报告,上面明确指出未来五年内,移动终端网络流量占到整个全世界所有流量90%,这是非常大的比例。这也就说明我们移动互联网发展非常快速的。
那么伴随着移动互联网快速发展,其实我认为在移动互联网安全这一块没有跟上的,从原来大家刚开始对移动互联网在PC终端防护体系没有完全做到位情况下,在移动终端这一块开始快速发展。我们综合这些年移动终端受到安全威胁,我觉得应该三个方面重点看一下移动互联网安全威胁:
1、业务应用本身、自身的安全,这个可能在传统PC行业成为遇到这个问题,比如一般业务系统都是两类,BS、CS应用,后台业务系统做的好坏,直接影响你安全性,举一个简单的例子COS注入,没有做好从PC端到移动端面临一样的问题。
2、客户端和服务器端中间网络通信安全风险和威胁,这一块大家也做过很多的描述,包括去年3.15晚会说过wifi风险,特别是免费wifi风险,另外整个网络里边有各种各样抓包工具,即使安全通道也通过中间人攻击获得中间获取。网络通信和安全风险,也是很大一个方面。
3、最主要终端设备本身环境安全风险,原来PC端面临一大堆的问题,PC中毒需要杀毒,同样把这些风险转嫁终端上。
二、移动互联网安全接入技术
刚才说这些风险,很大一块内容我们移动端接入的时候,风险都会转嫁恶果。简单向大家介绍移动互联网安全接入技术。我总结一下大概有四个方面:1、PKI技术作为移动安全接入的基础安全技术保障;2、数字签名技术;3、VPN技术;4、虚拟化安全沙箱技术
1、PKI技术
PKI基础设施本身能够完成对身份认证访问控制、机密性、完整性、以及抗抵赖不可复制性等等最全面的防护机制,应该说目前来看99%安全防护体系都是跟PKI相关的,因为PKI涉及算法更多,PKI技术有很多构成,其实以数字证书作为基础,由C产生的通用电子标签,和生活中使用的用户身份证类似,每个人在网络有身份ID,身份ID就是数字证书,目前有三家颁发机构,除了CN之外,还有RN注册中心等,数字证书里边含有公钥,有证书发布的地方,还有证书的有效性。这是整个PKI技术的组成。
2、数字签名技术。
数字签名技术简单说就是通过密码技术对电子文件进行电子形式的签名,电子文件经过电子签名识别签名人身份、以及数字签名是否被实际人认可。在电商领域整个移动互联网领域,电子签名有一个法律支撑,也是唯一作为法律支撑的技术就是《电子签名法》,2004年修订,2005年正式发布,经过十多年发展,在电商逐渐慢慢利用起来。去年也经过电子签名法修订,可以通过下面图简单看一下实现,利用PKI非对称算法,利用私钥对原文加密,形成密文是签名值,不能说做签名不认可,这是不可以的。法律上也不认可,当然签名实现方式很多,我下边只列IC算法,这个跟其他签名算法不一样的。
3、VPN技术
利用公共网络建设,建设专用、私有网络技术,里边包括L2TP第三二层隧道协议、IPSec隧道模式,SSL VPN这几种技术方式,PC端通过类似的方式实现。
4、虚拟化技术和沙箱技术
它们两个完全不在一个层面上,安全沙箱限制不可信代码访问的权限,移动虚拟化是移动设备实现外部隔离的基础技术。我简单举一个例子,大家用沙箱技术,它的底层操作系统还是原生操作系统,沙箱都是使用原始操作系统一部分数据进行隔离,而虚拟化技术依赖于硬件、依赖于操作系统、甚至下方硬件,虚拟化另外一个操作系统,这个是虚拟化技术,虚拟化不限于操作系统虚拟化、桌面虚拟化,主要技术内容差不多的。
但是这两个紧密贴合我们在移动端环境安全,老说环境中了木马、中了病毒,最好的解决方案不是装杀毒软件,最好的方式给你相对安全的执行环境,这是最终好的解决方案。
大家看了之上四种技术,我估计很多人觉得这个并不是先进的技术,其实这四种技术应该有很多年历史,但是它发生很大的变化,就是我们载体从原来PC迁移移动设备,迁移过程技术发生很多转变。例如PKI技术,在社会应用非常广泛了,我举最简单的例子,网银大家都上过,合乎银行网银都上过,那这个网银技术,在网银技术怎么利用PKI相关交易和查询权限保障,我知道U盾。大家办网银发U盾,U盾储存三样东西:公钥、私钥、个人数字证书,有的人登录之后用到、有的时候查询转帐用到。用到数字签名,每个发给SDK,这个SDK和用户身份绑定,你在进行转帐交易通过私钥签名,通过银行端审核就可以。这是我们在PC端做的。
移动端使用非常弱,有的银行发了音频K,使用音频通讯,音频通讯口不一样,甚至苹果下一代版本音频K可能取消。这种情况下怎么办?需要新的数字证书的保护机制,比如音频K继续使用外设,另外蓝牙K方式完成数字签名技术、包括认证证书。甚至我安全性可以降低一些,把数字证书直接颁发移动端本地,这都是PKI转身的方式,它的技术发生一些变化。另外VPN,VPN原始方式差不太多,从PC端转到移动端一样,在手机平台也需要做客户端,基本使用方式没有太多的变化。但是沙箱技术和虚拟化技术发生比较大的变化,沙箱依托硬件实现虚拟化标准,移动端主要R平台,支持硬件化可以做虚拟化,现在来看使用几乎没有。
但是我们在移动端做虚拟化研究,主要基于容器虚拟化,在硬件基础上有一个容器的,可以基于容器做虚拟化技术,这些都是虚拟化在移动端不同的技术特点。
另外在移动接入其他技术特点,包括移动数字证书、IPSECVPN、虚拟化沙箱技术,包括彩信短信语音安全防护,刚才演讲嘉宾也讲短信,短信危险性很大的。其实现在更好的短信方式,大家知道发短信的时候,很多APP直接读取短信库的短信内容,抓短信甚至抓验证码,包括短信、彩信、语音需要安全防护,我们跟一些客户做安全短信的加密方式,就是从短信网关发出数据被我们做加密。客户端通过你手机取得短信验证码加密的东西,只有通过APP解密,才能把加密的短信重新解密原始验证码,这都是移动接入的防护。另外Arm、TrustZone构建安全防护。
三、移动互联网安全风险监测
我们在互联网安全风险监测做一些,它不同于之前安全风险和防护,之前我们说木马、病毒、网络都是被动的防御,有了木马使用相关杀毒软件进行杀毒,有了病毒也杀毒,安全防护使用安全的防护wifi,这些都是被动的防护,随着现在移动快速发展,被动防护机制远远跟不上我们移动发展速度,更多需要主动去防御,主动防御就需要我们进行对相关风险监测有一个了解。
我简单说一下风险监测必要性不用说了,之前我们都说了被动防御并不是主动防御,我们曾经说最好的防守就是进攻。在风险监测主要涉及几个方面:
1、数据采集,客户端大量采集,形成大量数据发到后台,对这些数据进行挖掘,通过数据挖掘建立好自己风险模型,完成提前预警对应基本数据整理。终端快速搜集能内容包括网络情况,使用wifi还是网线,设备情况本身是苹果还是Android,行为习惯,明天打开网银上午晚上中午,这都是使用行为习惯。另外配合应用获取异常信息,这是最简单的收集,比如一些APP出现崩溃、不兼容,尤其Android平台,操作系统版本一直在升级,由原生操作系统隐身出很多其他厂商的操作系统,包括华为、三星、小米操作系统等。金融形使我们系统不同平台出现问题,这些问题主动搜集。另外还有性能实时参数,包括网速快慢、手机硬盘、还有终端环境快速监测包括你病毒木马预警查杀,使用APP主动察看一下本地的防御情况,进行风险提示,还有行为预警等。这是前端数据的搜集。
2、后台有安全风险体系,这里边涉及几个知识点:包括统计方法、推理建模、机器自我学习、列举分析、大数据并行计算,大家了解最多是大数据计算,这一块包括大数据并行计算涉及很多。
形成最主要的内容,本身客户端收集数据,包括日志数据、事件、行为数据等进行提升,提升后台进行收集和数据关联性分析,运用智能数据分析包括威胁防护的分析,根据我们自己内置模型、计算方式、相关策略、动作等完成持续监控的分析,并将分析内容及时提供给业务系统,来整个完成一整套风险监测机制。
四、信安世纪移动安全领域应对
我们应对之前说的安全风险和产品技术。简单介绍一下我们信安全世纪,我们是1998年成立,是中科院衍生出来做信息安全的公司,涉及六大机构,分别上海、成都、西安、武汉、北京,我们也是数据工作组成员,包括涉及保密局成员单位,这是我们公司主持制定国家标准、行业标准。这是简单的获奖证书。
信安世纪从刚才说的几个风险点衍生两个产品和一个解决方案,两个产品分别移动统一认证平台,主要功能移动设备的安全接入和认证,它包括认证平台的后台系统,还有前端的APP,另外有自己安全监测平台,主要移动采集和后台监控,表现形式也是监测平台系统是后台,前端提供SDK。另外给金融机构或者银行、证券提供移动安全解决服务方案。
我们信安世纪移动统一认证平台包括几个类:一个安全类,我们支持两种数字证书管理,一个本地软证书管理,还有对外部硬件设备管理,数字证书既安全放在手机上,可以使用安全外设。另外相关的动态口令管理、文件安全管理方面;第二应用管理类,可以管理到之前所说设备管理、应用市场、地理围栏,另外后台有策略管理和策略管理
从PC到移动端有策略的变化,尤其移动端对移动外设支持不是特别好,我们也经过这么多年技术研究,我们做出新的技术尝试,就是无私钥安全防护,在一个SDK有安全证书的,私钥安全性最高的,我们在移动端第一次产生密钥产生即放弃,产生用它帮助用户下载证书,下载之后私钥就内存中消失了,私钥根据用户输入口令、硬件信息、自有算法算出,每次需要的时候重新计算出来,不需要会从内存清空。即使我手机丢失也无法获得私钥,使用的时候每次生成,生成也会消失。这是底层技术的实现。这也是我们这么多年移动安全研究上做的工作。
移动统一认证平台主要包括内容一个APP安全接入、还有PC端认证,它主要包括内容有包括统一用户认证、授权、审计、账户管理都在后台里边,另外所有信息加密传输,通过我APP业务系统连到APP上,所有传输都可以做到内容加密。另外统一用户管理,如果企业有很多业务系统,每个业务系统都有自己的用户管理,可以统一纳入统一认证管理里边去。
另外PC端认证可以像微信一样,就像大家扫一扫登录外部的微信,另外支持第三方应用。最后我们本身APP首先是双因素认证、包括数字证书包括动态口令认证等。另外VPN安全接入,和以前类似只不过切换移动端,安全防护机制没有变化。
最后安全检测平台,已经给大家做了汇报,通过根据相关理也有自己安全检测平台机制,做大数据分析等。这是我们检测平台后台可以做扫描、模拟器监测、包括恶意注册的风险、垃圾消息风险、账户被盗风险,业务系统根据风险值控制自身的业务。
最后我们还有一个解决方案,主要给一些大企业用户做一个安全服务平台,包括一些实现用户平台的安全密钥、加减密钥等等功能。包括数字签名加解密,我们公司围绕刚才说的功能,也在做移动外设,移动外设也有可能继续发展,虽然目前来看,大家使用的习惯包括技术实现问题,现在移动外设发展并不是很好,反而包括手环移动外设用的更好一些,真实对安全性这一块并没有好的发展,所以现在做了一些包括移动终端适用二维码KEY,蓝牙KEY,也是我们公司针对移动领域所做的研究,谢谢大家!