[終端安全]-1 總體介紹

有朋友一直在和筆者研討智駕安全這個熱門話題，筆者十多年工作從不離終端安全這個核心話題（芯片安全、操作系統安全、應用安全），近來也一直在梳理終端安全體系；手機、汽車皆是我們生活中應用最普遍的智能終端，如何系統考量終端安全架構，從芯片-OS-應用-數據分層設計安全防護方案，全方位保護終端安全？

接下來，筆者將從移動端、汽車安全介紹延伸到智駕安全。

1 終端安全架構

構建終端設備的安全架構需要考慮從硬件到數據的多層次防護措施，包括硬件芯片、操作系統、應用程序和數據，每一層次都需要采用相應的安全技術和策略。

1）硬件芯片層

可信執行環境（TEE）：提供隔離的安全區域，運行敏感代碼和處理敏感數據。

安全元件（SE）：如SIM卡、eSIM、TPM等，提供加密密鑰的存儲和管理。

關鍵技術：

- 硬件加密：支持硬件級加密和解密操作，提高性能和安全性。

- 防篡改設計：確保物理防護，防止設備被拆解和篡改。

- 安全啟動：從根部信任開始，每一層加載和執行前都要驗證前一層的簽名。

- OTP（One-Time Programmable）存儲：存儲設備唯一的信任根公鑰。

2）操作系統層

2.1）安全內核

- 訪問控制：

SELinux（Security-Enhanced Linux）：Android 使用 SELinux 作為強制訪問控制的基礎，提供細粒度的權限管理和系統資源訪問。

沙箱機制：IOS主要通過獨特的沙盒和權限管理機制提供訪問控制，每個應用在獨立的沙箱中運行，限制對系統資源的訪問。

- 內核模塊簽名：確保內核模塊在加載前必須經過簽名驗證。

2.2）權限管理

- 應用權限模型：應用程序在安裝時必須聲明所需權限，用戶決定是否授予。

- 動態權限管理：應用在運行時請求特定權限，用戶可實時決定是否授予。

2.3）更新機制

- 安全更新：定期發布安全補丁，修復漏洞和安全缺陷。

- 原子更新：確保系統更新過程中的一致性和完整性，防止中途失敗導致系統不可用。

3）應用程序層

3.1）應用隔離

- 獨立進程和虛擬內存空間：每個應用在獨立的進程中運行，使用獨立的虛擬內存空間。

- 應用簽名：每個應用在發布前必須經過開發者簽名，操作系統在安裝和更新時驗證簽名。

3.2）應用防護

- 代碼混淆和加殼：增加應用代碼的復雜性，防止逆向工程和破解。

- 防篡改檢測：應用在運行時檢測自身是否被篡改，防止惡意修改。

- 數據加密：應用處理和存儲敏感數據時使用加密技術。

3.3）應用審核

- 應用商店審核：發布前進行安全審核，檢測潛在的惡意行為和漏洞。

- 動態分析：運行時監控應用行為，檢測和阻止異常和惡意行為。

4）數據層

4.1）數據加密

- 靜態數據加密：存儲在設備上的數據使用加密技術進行保護，如AES加密。

- 動態數據加密：在數據傳輸過程中使用加密技術，如TLS/SSL。

4.2）數據隔離

- 用戶數據隔離：不同用戶的數據隔離存儲，防止越權訪問。

- 敏感數據保護：敏感數據（如支付信息、個人隱私數據）存儲在受保護的區域，如TEE或SE中。

4.3）訪問控制

- 多因素認證（MFA）：增加訪問安全性，如使用密碼、指紋、人臉識別等多種驗證方式。

- 細粒度訪問控制：基于用戶角色和權限，控制對數據的訪問。

5）綜合安全策略

- 入侵檢測和防御系統（IDS/IPS）：實時監控系統和網絡活動，檢測和防御潛在的攻擊。

- 日志記錄和分析：記錄系統和應用的安全事件，定期分析以發現潛在的安全威脅。

- 用戶教育和意識提升：通過培訓和教育，提高用戶的安全意識和防護能力。

2 攻擊技術

移動端設備因其普及性和大量存儲敏感信息的特點，成為各種攻擊的主要目標。

1）惡意軟件

病毒

- 工作原理：通過感染合法應用或利用漏洞傳播，可能竊取數據、破壞系統或執行惡意操作。

- 防護措施：安裝防病毒軟件、保持系統和應用更新、從官方應用商店下載應用。

間諜軟件（Spyware）

- 工作原理：隱秘地監視用戶活動，竊取敏感信息如位置、通話記錄、短信等。

- 防護措施：權限管理、定期掃描設備、避免下載可疑應用。

勒索軟件（Ransomware）

- 工作原理：加密用戶數據，要求支付贖金才能解鎖。

- 防護措施：定期備份數據、安裝防惡意軟件、保持系統更新。

2）網絡攻擊

中間人攻擊（MITM）

- 工作原理：攻擊者攔截和修改設備與服務器之間的通信，竊取或篡改數據。

- 防護措施：使用 HTTPS、VPN，雙向鑒權。

網絡釣魚（Phishing）

- 工作原理：通過偽造的電子郵件、短信或網站誘騙用戶泄露敏感信息。

- 防護措施：提高用戶安全意識、使用反釣魚軟件、雙因素認證。

3）應用漏洞攻擊

代碼注入

- 工作原理：通過漏洞注入惡意代碼，執行未授權的操作，如 SQL 注入、腳本注入等。

- 防護措施：安全編碼實踐、輸入驗證、使用最新的開發庫和框架。

緩沖區溢出

- 工作原理：通過超出預期長度的數據覆蓋內存區域，執行惡意代碼。

- 防護措施：使用安全編程技術、防止使用不安全的函數、進行代碼審計。

4）系統級攻擊

越獄和 Rooting

- 工作原理：利用系統漏洞獲取設備的根權限，繞過安全限制，安裝未授權軟件。

- 防護措施：定期更新系統、防止安裝不明來源的應用、監控設備狀態。

提權攻擊（Privilege Escalation）

- 工作原理：通過系統漏洞獲取更高的權限，進行未授權的操作。

- 防護措施：及時打補丁、使用 SELinux 等強制訪問控制技術。

5）硬件攻擊

硬件篡改

- 工作原理：物理訪問設備，通過硬件手段篡改或竊取數據。

- 防護措施：物理防護措施、設備防篡改設計、安全引導機制。

側信道攻擊

- 工作原理：通過分析設備的物理泄露信息（如電磁輻射、功耗變化）獲取敏感數據。

- 防護措施：物理隔離、隨機化操作、使用抗側信道攻擊的硬件設計。

3 前沿安全技術

1）后量子密碼

后量子密碼學（Post-Quantum Cryptography, PQC）是指能夠抵抗量子計算機攻擊的密碼學算法。隨著量子計算技術的進步，傳統的公鑰密碼算法如RSA和ECC可能被量子計算機輕松破解，因此研究和開發后量子密碼算法成為密碼學領域的重點。美國國家標準與技術研究院（NIST）自2016年啟動了后量子密碼標準化項目，經過三輪嚴格評選后公布了首批4種后量子密碼算法：一般加密，CRYSTALS-Kyber算法；數字簽名用于身份驗證，CRYSTALS-Dilithium、Falcon、SPHINCS+，這四種算法將于2024年即今年開始投入應用。以下是幾種主流的后量子密碼算法介紹：

1.1）基于格的密碼學（Lattice-based Cryptography）

- Kyber：用于公鑰加密。

- Dilithium：用于數字簽名。

- 優點：高效、簡單且具有良好的安全性，適用于多種應用場景。

1.2）基于代碼的密碼學

- Classic McEliece：基于錯誤糾正碼的公鑰加密算法。

- 優點：經過多年的研究和分析，被認為具有極高的安全性。

1.3）基于多變量多項式的密碼學

- Rainbow：用于數字簽名。

- 優點：提供多樣的安全性選擇，適用于資源受限設備。

1.4）基于散列的密碼學

- SPHINCS+：無狀態的數字簽名算法。