趙 宇，張科程

（浙江東信昆辰科技有限公司，浙江 杭州 310053）

0 引 言

通過網(wǎng)絡(luò)智能安全防御能力和流量實(shí)時(shí)監(jiān)控（DPI）能力，將運(yùn)營商通信網(wǎng)絡(luò)虛擬升級為移動互聯(lián)網(wǎng)用戶的信息安全衛(wèi)士，實(shí)現(xiàn)針對不良﹑惡意﹑釣魚網(wǎng)站的網(wǎng)絡(luò)側(cè)監(jiān)控與監(jiān)管﹑對手機(jī)病毒的預(yù)警與防御能力﹑對騷擾短信/偽基站進(jìn)行短信提示等通信安全服務(wù)，保障移動通信網(wǎng)絡(luò)環(huán)境的安全，提升用戶滿意度，樹立運(yùn)營商正面形象[1]。

通過恰當(dāng)?shù)慕换ツＪ胶洼p客戶端的輔助建立完整的服務(wù)體系，培養(yǎng)用戶使用習(xí)慣，成為移動互聯(lián)網(wǎng)安全入口級的應(yīng)用。

1 系統(tǒng)架構(gòu)

1.1 系統(tǒng)目標(biāo)

如圖1所示，通過建設(shè)云平臺整合現(xiàn)有安全能力，承擔(dān)核心功能，匯聚內(nèi)部能力，搭建一套全方位的安全檢測和認(rèn)證體系。

云平臺支持移動互聯(lián)網(wǎng)信息安全的云端能力，同時(shí)整合運(yùn)營商的現(xiàn)有安全能力。在支持本身業(yè)務(wù)的同時(shí)，支持多方安全應(yīng)用的統(tǒng)一管理﹑統(tǒng)一接入﹑統(tǒng)一調(diào)用，支持自身能力輸出，提供外部應(yīng)用的安全檢測和認(rèn)證。

形成一個(gè)面向安全服務(wù)的樞紐節(jié)點(diǎn)，分能通達(dá)最終用戶，合能梳理各類統(tǒng)計(jì)數(shù)據(jù)，強(qiáng)有力地支撐運(yùn)營商移動互聯(lián)網(wǎng)的安全網(wǎng)絡(luò)環(huán)境。

圖1 集中能力

1.2 技術(shù)方案

云平臺從下至上依次分為數(shù)據(jù)匯聚層﹑數(shù)據(jù)共享層﹑能力集成層和綜合控制層，總體架構(gòu)如圖2所示。

數(shù)據(jù)匯聚層集中接入DMP用戶數(shù)據(jù)﹑病毒庫數(shù)據(jù)以及其他安全合作商拓展接入等，包含了用戶數(shù)據(jù)和特征數(shù)據(jù)，為云平臺上層應(yīng)用的數(shù)據(jù)源。

數(shù)據(jù)共享層以ESB訪問總線控制的方式，管理安全類數(shù)據(jù)和業(yè)務(wù)類數(shù)據(jù)，對數(shù)據(jù)匯聚層的原始數(shù)據(jù)進(jìn)行初級加工整合和區(qū)分，形成以惡意代碼特征庫﹑數(shù)據(jù)流特征庫﹑域名特征庫，終端同步庫為核心的特征庫，形成以業(yè)務(wù)銷售數(shù)據(jù)﹑人物屬性數(shù)據(jù)﹑產(chǎn)品屬性數(shù)據(jù)為核心的業(yè)務(wù)數(shù)據(jù)積累。

能力集成層將云平臺功能進(jìn)行模塊化部署，分別提供本期所需的安全客戶端功能﹑安全數(shù)據(jù)云功能﹑SDK集成功能﹑安全管理功能等能力的輸出。各個(gè)模塊根據(jù)需要從數(shù)據(jù)共享層獲取相應(yīng)數(shù)據(jù)，經(jīng)過分析后將結(jié)果呈現(xiàn)給上層應(yīng)用——綜合控制層。

綜合控制層具備數(shù)據(jù)共享控制﹑APP管理控制﹑SDK管理控制﹑安全能力控制﹑報(bào)表數(shù)據(jù)輸出能力等，以web方式提供管理者界面。

對云平臺客戶端APP，云平臺提供云端支撐平臺，對接客戶端，實(shí)現(xiàn)云端互動，同時(shí)支持與第三方APP支撐平臺的對接。

云平臺能夠?qū)PI接口進(jìn)行總體控制，具備對API接口的統(tǒng)一管理功能。具備各個(gè)客戶端支撐平臺（包含自身客戶端的支撐平臺）的上報(bào)與下發(fā)的接口API，各個(gè)支撐平臺將客戶端舉報(bào)的垃圾短信﹑偽基站短信﹑詐騙電話﹑騷擾電話等數(shù)據(jù)匯總到云平臺。云平臺通過下發(fā)API接口實(shí)現(xiàn)策略的下發(fā)，包括標(biāo)記﹑阻斷﹑提醒等形式。

圖2 系統(tǒng)總體架構(gòu)

云平臺支持API接口的外放調(diào)用能力，可以支持上報(bào)的信息與各個(gè)平臺共享。云平臺還可以控制API調(diào)用權(quán)限，針對不同用戶進(jìn)行分類管理。

API接入方式由云平臺統(tǒng)一定義，包括接口管理功能﹑渠道管理功能﹑權(quán)限管理功能和調(diào)用管理功能等。第三方接入的API和SDK需按照云平臺定義的接入方式進(jìn)行對接。

2 系統(tǒng)功能

2.1 安全客戶端能力

在當(dāng)前的手機(jī)使用環(huán)境下，垃圾短信﹑騷擾電話泛濫，病毒APP難以辨識，隱私信息保護(hù)不易。安全客戶端旨在為手機(jī)用戶打造一個(gè)更安全﹑更干凈﹑更快速的使用環(huán)境，具備詐騙電話識別﹑垃圾短信/偽基站短信識別﹑上網(wǎng)安全提醒﹑流量提醒等能力。通過與云平臺和網(wǎng)絡(luò)側(cè)的互動，實(shí)現(xiàn)安全提醒功能，并為用戶提供更實(shí)用的手機(jī)終端優(yōu)化工具。圖3為安全客戶端軟件示意圖。

圖3 安全客戶端軟件

詐騙電話﹑騷擾電話﹑垃圾短信﹑偽基站﹑惡意程序等，基于云平臺的基礎(chǔ)能力，客戶端根據(jù)程序行為和特征進(jìn)行分析，判斷是否符合詐騙電話﹑騷擾電話﹑垃圾短信﹑偽基站﹑惡意程序，如果符合行為及特點(diǎn)，則通過客戶端相應(yīng)界面進(jìn)行標(biāo)記﹑提示和記錄[2]。

上網(wǎng)保護(hù)依托運(yùn)營商管道側(cè)能力，通過對實(shí)時(shí)流量的監(jiān)測和深度解析捕捉用戶行為，實(shí)時(shí)判斷是否為病毒﹑木馬﹑惡意程序，以及訪問的是否為不良﹑惡意網(wǎng)站等，以對用戶進(jìn)行實(shí)時(shí)提醒或阻斷。

流量提醒功能充分考慮用戶流量的使用需求，區(qū)分主動消耗和惡意程序消耗，幫助用戶了解流量的使用情況，盡量選擇適合的流量套餐，并提供便捷的套餐包訂購接口[3]。

同時(shí)，綜合智能手機(jī)用戶對手機(jī)終端的優(yōu)化需求，包括手機(jī)加速﹑手機(jī)瘦身﹑權(quán)限管理﹑文件管理等本地功能。

安全客戶端充分發(fā)揮運(yùn)營商網(wǎng)絡(luò)側(cè)能力，云﹑管﹑端結(jié)合聯(lián)動，把選擇權(quán)交還給用戶。“云”側(cè)進(jìn)行集中處理并下發(fā)管控策略，“管”側(cè)進(jìn)行統(tǒng)一攔截，“端”側(cè)進(jìn)行用戶個(gè)性化攔截，同時(shí)建立“云”“端”之間的數(shù)據(jù)和策略共享機(jī)制，實(shí)現(xiàn)聯(lián)動治理，提高治理效果。圖4為運(yùn)營商核心網(wǎng)絡(luò)處理邏輯圖。

圖4 運(yùn)營商核心網(wǎng)絡(luò)處理邏輯圖

2.2 安全云數(shù)據(jù)能力

在云平臺建立統(tǒng)一云數(shù)據(jù)中心，整合內(nèi)部安全數(shù)據(jù)和外部安全數(shù)據(jù)，集中管理和控制，做到充分利用，保證安全，嚴(yán)格隔離。同時(shí)，具備數(shù)據(jù)開放輸出能力，在符合安全數(shù)據(jù)管理的條件下，通過“總線控制”實(shí)現(xiàn)各平臺的數(shù)據(jù)共享，同時(shí)支持實(shí)時(shí)/非實(shí)時(shí)查詢。

數(shù)據(jù)管理的對象，包括特征數(shù)據(jù)和用戶數(shù)據(jù)。特征數(shù)據(jù)包括病毒﹑惡意程序﹑釣魚網(wǎng)站﹑各種Top排行數(shù)據(jù)等。用戶數(shù)據(jù)為使用流量的移動用戶。

對DPI原始數(shù)據(jù)可進(jìn)行標(biāo)記﹑讀取﹑識別。因此，平臺對用戶數(shù)據(jù)具備打標(biāo)簽﹑刻畫用戶屬性等能力。通過這些能力，縱向能夠更精準(zhǔn)﹑全面定位用戶的每一條特性，橫向能夠精準(zhǔn)篩選出符合某些特性的用戶群體。這為病毒的精準(zhǔn)打擊﹑趨勢的預(yù)判等提供了良好的數(shù)據(jù)基礎(chǔ)。

除自身安全數(shù)據(jù)外，平臺與其他安全機(jī)構(gòu)，包括國家反網(wǎng)絡(luò)病毒聯(lián)盟﹑國家信息安全漏洞共享平臺﹑移動互聯(lián)網(wǎng)惡意層序監(jiān)測與處置系統(tǒng)﹑IDC/ISP信息安全管理平臺﹑主流互聯(lián)網(wǎng)安全廠商等，建立了安全數(shù)據(jù)共享機(jī)制。

2.3 SDK集成能力

平臺支持安全客戶端APP以SDK方式輸出自身能力?？蛻舳烁鱾€(gè)功能模塊都可單獨(dú)或組合打包成SDK包，供其他APP集成使用。其他APP開發(fā)者也可上傳自身SDK功能模塊，供其他開發(fā)者集成使用。

云平臺作為一個(gè)共享平臺，提供SDK集成板塊，對開發(fā)者提供SDK上傳功能。開發(fā)者可以上傳SDK到云平臺，云平臺會針對該SDK是否含有敏感及不安全內(nèi)容﹑SDK信息是否真實(shí)等進(jìn)行安全審核。經(jīng)過審核的SDK會在平臺上顯示并提供下載。

使用者可以通過SDK集成管理頁面查詢到SDK的描述信息﹑訂購量等，并可進(jìn)行下載操作。開發(fā)者和使用者需分別進(jìn)行注冊﹑登陸才能使用；云平臺對于上傳的SDK進(jìn)行統(tǒng)一管理，主要包括用戶管理功能﹑上傳管理功能﹑調(diào)用權(quán)限管理功能﹑開放管理功能﹑下載管理功能，支持分類查詢和統(tǒng)計(jì)。

2.4 APK安全管理能力

云平臺具備針對客戶端的安全檢測體系，從客戶端程序本身﹑數(shù)據(jù)通信安全﹑業(yè)務(wù)流程安全﹑敏感信息泄露校驗(yàn)﹑防滲透檢驗(yàn)等方面，對上傳的APK文件進(jìn)行安全檢測。

客戶端自身程序檢測中，采用移動端脆弱性檢測﹑補(bǔ)充滲透測試﹑通訊數(shù)據(jù)脆弱性檢測﹑業(yè)務(wù)流程脆弱性檢測﹑客戶端木馬攻擊測試等多重手段，對客戶端自身程序﹑函數(shù)﹑代碼等進(jìn)行檢測，避免漏洞。檢測APP應(yīng)用權(quán)限調(diào)用，防止病毒惡意綁定。

數(shù)據(jù)通信安全檢測包含服務(wù)端證書校驗(yàn)﹑中間人攻擊防護(hù)﹑協(xié)議加密檢測，多模的碼流匹配﹑正則表達(dá)式算法﹑零拷貝﹑并行協(xié)議棧還原技術(shù)對客戶端與服務(wù)端數(shù)據(jù)通信環(huán)節(jié)進(jìn)行檢測，確保在通信過程中不被劫持﹑篡改﹑破解等[4]。

對業(yè)務(wù)流程進(jìn)行安全檢測，從注冊用戶邏輯﹑登陸邏輯﹑找回密碼邏輯﹑交易邏輯等幾大關(guān)鍵邏輯測試中，發(fā)現(xiàn)是否含有安全隱患。

服務(wù)端滲透安全檢測，通過SQL注入﹑文件上傳檢測﹑任意文件下載/遍歷檢測﹑敏感信息檢測﹑未授權(quán)訪問/權(quán)限繞過檢測﹑其他WEB漏洞檢測﹑服務(wù)端的其他漏洞檢測等方式，全面避免程序漏洞。

云平臺采用DEX文件類抽取技術(shù)和動態(tài)回填安全編譯器對APK文件進(jìn)行加固，包含市面上其他加固廠家采用的類加載﹑加花﹑高級混淆﹑高級加密﹑高級內(nèi)存保護(hù)﹑代碼膨脹﹑代碼亂序等獨(dú)立分散的加固技術(shù)。

加固后的應(yīng)用由一個(gè)個(gè)APP文件變化為多個(gè)so文件合成的一個(gè)so文件。內(nèi)部so文件之間沒有調(diào)用和跳轉(zhuǎn)，不會因?yàn)閟o文件之間調(diào)用太過清晰而被分析出各自關(guān)系而被破解，且破解這樣的so文件的難度極大[5]。

3 部署方案

云平臺的內(nèi)部接口與外部接口具備開放性﹑靈活性﹑可擴(kuò)展性﹑安全性﹑可靠性﹑準(zhǔn)確性﹑實(shí)時(shí)性﹑易用性與可管理性等特性。

云平臺通過公網(wǎng)提供安全客戶端云端能力，通過公網(wǎng)實(shí)現(xiàn)云端與客戶端的交互，是私有協(xié)議的內(nèi)部接口。它與大數(shù)據(jù)平臺存在數(shù)據(jù)接口，可實(shí)現(xiàn)大數(shù)據(jù)分析需求的下發(fā)﹑結(jié)果的提取等。

通過省分平臺調(diào)用DPI能力。省分平臺具備Gn原始數(shù)據(jù)的實(shí)時(shí)監(jiān)測﹑實(shí)時(shí)解析能力，具備通過Gi口向終端回注數(shù)據(jù)包能力。云平臺通過省分系統(tǒng)，統(tǒng)一下發(fā)實(shí)時(shí)解析數(shù)據(jù)的標(biāo)記內(nèi)容，由DPI進(jìn)行讀取﹑識別﹑標(biāo)記及上傳。

根據(jù)業(yè)務(wù)發(fā)展需求，支持與第三方系統(tǒng)進(jìn)行對接。在接口協(xié)議方面，支持但不限于SNMP﹑Syslog，文件﹑數(shù)據(jù)庫﹑OPSEC。異構(gòu)系統(tǒng)之間的通信和數(shù)據(jù)交互支持JMS﹑Web Service和文件方式。圖5為系統(tǒng)接口示意圖。

系統(tǒng)部署方案如圖6所示，云平臺架構(gòu)合理，部署靈活，服務(wù)器節(jié)點(diǎn)均采用冗余備份方式運(yùn)行，單次測試系統(tǒng)平均無故障時(shí)間（MTBF）大于1年，系統(tǒng)設(shè)計(jì)壽命大于10年。

圖5 系統(tǒng)接口

圖6 網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)設(shè)備預(yù)留有網(wǎng)絡(luò)端口，能夠在需要的時(shí)候擴(kuò)展網(wǎng)絡(luò)。應(yīng)用開發(fā)方案能夠通過擴(kuò)展開發(fā)的方式進(jìn)行管理和管理范圍擴(kuò)展。

4 結(jié) 語

移動互聯(lián)網(wǎng)時(shí)代信息安全保障任重而道遠(yuǎn)，誰能為用戶提供安全﹑便捷的網(wǎng)絡(luò)通道和安全服務(wù)，誰將占領(lǐng)用戶的通信消費(fèi)市場。隨著4G技術(shù)的大力普及，網(wǎng)絡(luò)的安全防護(hù)可以利用運(yùn)營商的現(xiàn)有網(wǎng)元結(jié)構(gòu)部署一整套整體解決方案，真正為用戶提供安全的上網(wǎng)通道，節(jié)約運(yùn)營商通道資源，保障國家互聯(lián)網(wǎng)+大戰(zhàn)略的執(zhí)行。

[1] 楊世杰.基于移動互聯(lián)網(wǎng)的安全機(jī)制探索[J].網(wǎng)友世界,2012(01):47-49.

YANG Shi-jie.Exploration of Security Mechanism Based On Mobile Internet[J].Net Friend World,2012(01):47-49.

[2] 孫澤鋒.移動互聯(lián)網(wǎng)發(fā)展技術(shù)與安全分析[J].電信科學(xué),2011(S1):98-101.

SUN Ze-feng.Development Technology and Security Analysis of Mobile Internet[J].Telecommunications Science,2011(S1):98-101.

[3] 韓鋼,李隨成,張建宏.移動互聯(lián)網(wǎng)浪潮下的智能手機(jī)消費(fèi)分析[J].消費(fèi)經(jīng)濟(jì),2011(04):98-101.

HAN Gang,LI Sui-Cheng,ZHANG Jian-hong.Under the Wave of the Mobile Internet Smartphone Consumption Analysis[J].Consumer Economics,2011(04):98-101.

[4] Mark Stamp.信息安全原理與實(shí)踐[M].2版.北京:清華大學(xué)出版社,2013.

Mark Stamp.Information Security Principles and Practice[M].2nd Edition.Beijing:Publishing House of Tsinghua University,2013.

[5] 楊喜中.3G核心網(wǎng)存在的安全隱患及其應(yīng)對策略[J].硅谷,2011(24):30.

YANG Xi-zhong.Security Hidden Danger of 3G Core Network and Its Countermeasures[J].Silicon Valley,2011(24):30.