面向安卓的移動終端操作系統防護技術

謝毅

（國網福建省電力有限公司寧德供電公司，福建寧德 352100）

安卓移動終端的智能性體現在可以在各自的平臺上自由地安裝和卸載應用軟件，應用系統中不可避免地會出現惡意程序，這類惡意軟件對智能手機用戶的安全構成嚴重威脅[1]。因此，需要研究相應的防護技術對其進行保護。

傳統修補安卓漏洞防護技術對安卓漏洞預先打補丁，增強系統的安全性，從根本上防止惡意程序的攻擊[2]。然而，一旦安卓系統內核發生變化，獨立于安卓平臺的強制訪問過程將大大增加，強制訪問的安全性將無法控制。代碼分離技術建立了遠程安全服務器，實現軟件私有數據與核心代碼的分離與開放[3]。然而，一旦黑客通過軟件操作獲取了程序的核心代碼和隱私數據，服務器和客戶機之間的安全通信就得不到保障[4]。針對上述問題，提出了移動終端操作系統安卓防護技術。對安卓系統安全機制和現有安全漏洞的研究，有助于對安卓終端進行安全保障。通過在安卓終端上采取各種措施防止和消除這些安全威脅，使終端處于相對安全的應用環境，從而增強安卓系統的安全性。

1 系統及安全漏洞分析

1.1 安卓移動終端操作系統

安卓手機終端操作系統是目前應用最為廣泛的手機終端系統，該操作系統以Linux 為核心，由操作系統、中間件、應用程序操作環境和核心應用程序組成[5]。圖1 中顯示了具體的結構。

圖1 安卓移動終端操作系統

由圖1 可知，每一個安卓軟件包(.apk)都會分配一個唯一的用戶ID，安卓為每個程序創建了一個沙盒，使得每個程序都只在同一個進程中運行，并且只有固定的權限[6]。

1.2 安全漏洞分析

因為系統的開放性給攻擊者提供了多方面的攻擊機會，所以在安全保障方面也存在許多風險。以下是安卓移動終端面臨的一些主要安全威脅：

1）安卓移動終端在開發應用程序時以開放源碼為基礎，其是安卓移動終端安全性問題的主要根源。應用開發和發布方面缺乏監管，使得用戶下載和安裝惡意軟件，使用戶個人信息遭到泄露，資料出現嚴重丟失情況[7]。

2）由于安卓移動終端應用程序采用最簡潔的Java 編程，所以開發人員更容易編寫攻擊系統的惡意程序。由于安卓移動終端面向大量用戶，因此偽裝病毒程序容易得到用戶授權，并被廣泛傳播[8]。

2 移動終端操作系統防護技術

2.1 可信引導保護方案

可信性計算的目的是通過對移動終端體系結構的深入分析，在相應層次上采取安全增強措施，使每個移動終端上的用戶統一起來，構建一個能夠保證整個移動互聯網安全的完整系統[9]。建立移動網絡安全體系，必須從防范終端攻擊入手。進入網絡后，每個終端都擁有合法的網絡身份，并且不受惡意程序的影響。其核心思想是在終端硬件平臺上引入軟硬件安全模塊，充分利用密碼技術，構建可信根、終端操作系統和應用軟件[10-11]。在可信鏈的每一個環節上，采用一種完整性度量機制，即一級信任、一級認證，將這種信任傳遞到整個移動終端操作系統。

可信基礎是計算平臺中一個可信的第三方，通常在平臺啟動時以一種受保護的方式存在[12]。所有執行程序和系統配置信息在系統啟動時都需要進行完整性度量，在第一級度量的傳輸期間建立信任鏈[13]。重要數據存儲意味著某些敏感數據（如安全模塊可信檢查值操作系統）需要在建立信任根和可信鏈之前進行保存，必須由安全加密模塊進行保護，且應配置符合要求的平臺。

可靠導引技術的實現主要包括兩個方面：

1）數據讀取

了解了Flash中操作系統和文件系統的具體存儲位置和文件大小之后，需要從終端的Flash 中讀取操作系統和文件系統，并將其壓縮到終端的內存中[14]。

2）OTCC 算法

為實現動態、安全的控制指令，采用一次性指令生成方法，即OTCC 算法，引入一種隨機數生成指令集，利用隨機數發生器生成隨機序列，提取隨機數[15]。數值作為參數，對原始控制命令進行加密。根據設計的控制指令生成機制，OTCC 算法的輸入為初始指令集的控制命令序列{1,2,3,…,n}，通過算法加密后生成密文序列{E1,E2,E3,…,En} 。OTCC 算法的實現過程是使用所設計的隨機數生成器產生隨機數序列，并由此產生一組加密密鑰，所選加密函數將密鑰和明文輸入加密函數計算密文[16]。該算法由密鑰生成過程和明文加密過程兩部分組成：

①密鑰生成

在加密后的密文集合中，為避免出現相同值，采用了串行加密方法，即加密密鑰的比特數與明文的比特數相同。根據控制命令對應表中命令數量x，將每次加密時所產生的隨機數列{ε0,ε1,ε2,…,εx} 作為密鑰序列。

②加密過程

加密過程需要選擇單調非周期函數，使用復合方式展開加密計算，并定義一個非周期函數集

結合上述步驟，可知該算法的具體實現步驟為：step1：讀取控制指令，獲取控制指令序號集

step2：從控制指令序號集中生成隨機數組[ε0,ε1,ε2,εi] ；

step3：設定隨機種子x0，利用安卓的移動終端操作系統隨機函數產生一個數據j，0 ≤j≤i；

2.2 雙層代碼自修改保護方案

解釋器通過重新打包代碼，對程序執行過程進行修改和中斷，從而向程序簽名和類.dex 文件完整性添加驗證，以確保軟件認證的安全性和代碼完整性。因為安卓的移動終端采用Java 代碼編寫，安全性不高，所以該系統提出創新兩層代碼自修改技術，以保證軟件簽名驗證和代碼完整性驗證兩個核心模塊的安全。把代碼放到so 文件中，避免兩個關鍵模塊都被忽略。

針對先前實現的基于安卓的移動終端的可靠導引技術，在程序有效地抵抗靜態分析的基礎上，實現了代碼自修改保護兩個關鍵模塊：簽名驗證和完整性驗證。

用于加密的密鑰存儲在so 文件中，以確保程序安全性。根據這一保護思想，利用安卓的移動終端實現代碼自修改技術，提出了代碼自修改兩層保護流程，如圖2 所示。

圖2 雙層代碼自修改保護的實現過程

具體實現方案如下：

1）如果需要執行代碼自修改(SMC)保護代碼，則從so 文件中獲取密鑰，解密存儲在so 庫中的機器碼；

2）為了進行代碼自修改，首先保存目標函數原始操作代碼，解密后的機器碼被寫到目標函數體中；

3）呼叫解密目標碼，目標函數體中的機器碼已被保存關鍵函數所取代；

4）該方法執行后，目標函數原始操作代碼被寫到目標函數中，以確保解密關鍵函數代碼執行后不會被破解程序看到。

3 實驗

任何電子系統都會遭到黑客攻擊，因此，從操作指令方面對研究的面向安卓的移動終端操作系統防護技術進行實驗驗證分析具有一定的必要性。

3.1 測試環境部署

安卓移動終端操作系統版本型號部署測試環境如圖3 所示。

圖3 測試環境部署

由圖3 可知，使用一臺普通主機和部分安卓手機，在Windows 主流PC 操作系統下檢測防護系統。

3.2 操作指令測試

安卓移動終端操作系統連續運行6 次生成6 組加密后的操作指令集，如表1 所示。

表1 安卓移動終端操作系統操作指令集合

分別使用修補安卓漏洞防護技術、代碼分離技術和面向安卓防護技術，從表1 中隨機選取兩個指令作為一組指令集，選取每組第一個指令集各個元素值作為橫坐標，第二個指令集各個元素值作為縱坐標，在二維坐標系中繪制出6 個動態操作指令集所對應的像素點，如圖4 所示。

圖4 不同方法二維坐標系圖

由圖4 分析對比可知：

1）使用修補安卓漏洞防護技術有2 組橫坐標一致、4 組縱坐標一致的數據，這說明數據集內有重復數據；

2）使用代碼分離技術有2 組橫坐標一致、3 組縱坐標一致的數據，這說明數據集內有重復數據；

3）使用面向安卓防護技術每組數據坐標點都不 同，即x1≠x2≠x3≠x4≠x5≠x6，y1≠y2≠y3≠y4≠y5≠y6，這說明數據集內沒有重復數據，能夠滿足安卓移動終端動態操作的加密需求。

4 結論

針對安卓手機終端操作系統的安全現狀，以安卓手機終端下的軟件安全保護為研究方向，對安卓手機終端及其運行機制進行了深入研究，并分析安卓移動終端的安全威脅。在此基礎上，對當前流行密碼保護技術進行了研究和改進，提出了一種可靠密碼自修改技術。

通過對安卓移動終端保護技術的研究，分析總結了實驗過程中遇到的問題，提出了需要改進的地方：在關鍵代碼保護模塊、關鍵代碼運行之前，需要寫入已解密的指令集，并在關鍵代碼執行之后，需要恢復指令集的目標函數，但這樣做可以確保cookie得到正確的程序指令，然而，因為它們都屬于內存上的操作，所以關鍵代碼的執行時間會延長。如何既保證關鍵代碼的保密性，又減少關鍵代碼的執行時間，是下一步工作研究的重點。