[终端安全]-1 总体介绍

有朋友一直在和笔者研讨智驾安全这个热门话题，笔者十多年工作从不离终端安全这个核心话题（芯片安全、操作系统安全、应用安全），近来也一直在梳理终端安全体系；手机、汽车皆是我们生活中应用最普遍的智能终端，如何系统考量终端安全架构，从芯片-OS-应用-数据分层设计安全防护方案，全方位保护终端安全？

接下来，笔者将从移动端、汽车安全介绍延伸到智驾安全。

1 终端安全架构

构建终端设备的安全架构需要考虑从硬件到数据的多层次防护措施，包括硬件芯片、操作系统、应用程序和数据，每一层次都需要采用相应的安全技术和策略。

1）硬件芯片层

可信执行环境（TEE）：提供隔离的安全区域，运行敏感代码和处理敏感数据。

安全元件（SE）：如SIM卡、eSIM、TPM等，提供加密密钥的存储和管理。

关键技术：

- 硬件加密：支持硬件级加密和解密操作，提高性能和安全性。

- 防篡改设计：确保物理防护，防止设备被拆解和篡改。

- 安全启动：从根部信任开始，每一层加载和执行前都要验证前一层的签名。

- OTP（One-Time Programmable）存储：存储设备唯一的信任根公钥。

2）操作系统层

2.1）安全内核

- 访问控制：

SELinux（Security-Enhanced Linux）：Android 使用 SELinux 作为强制访问控制的基础，提供细粒度的权限管理和系统资源访问。

沙箱机制：IOS主要通过独特的沙盒和权限管理机制提供访问控制，每个应用在独立的沙箱中运行，限制对系统资源的访问。

- 内核模块签名：确保内核模块在加载前必须经过签名验证。

2.2）权限管理

- 应用权限模型：应用程序在安装时必须声明所需权限，用户决定是否授予。

- 动态权限管理：应用在运行时请求特定权限，用户可实时决定是否授予。

2.3）更新机制

- 安全更新：定期发布安全补丁，修复漏洞和安全缺陷。

- 原子更新：确保系统更新过程中的一致性和完整性，防止中途失败导致系统不可用。

3）应用程序层

3.1）应用隔离

- 独立进程和虚拟内存空间：每个应用在独立的进程中运行，使用独立的虚拟内存空间。

- 应用签名：每个应用在发布前必须经过开发者签名，操作系统在安装和更新时验证签名。

3.2）应用防护

- 代码混淆和加壳：增加应用代码的复杂性，防止逆向工程和破解。

- 防篡改检测：应用在运行时检测自身是否被篡改，防止恶意修改。

- 数据加密：应用处理和存储敏感数据时使用加密技术。

3.3）应用审核

- 应用商店审核：发布前进行安全审核，检测潜在的恶意行为和漏洞。

- 动态分析：运行时监控应用行为，检测和阻止异常和恶意行为。

4）数据层

4.1）数据加密

- 静态数据加密：存储在设备上的数据使用加密技术进行保护，如AES加密。

- 动态数据加密：在数据传输过程中使用加密技术，如TLS/SSL。

4.2）数据隔离

- 用户数据隔离：不同用户的数据隔离存储，防止越权访问。

- 敏感数据保护：敏感数据（如支付信息、个人隐私数据）存储在受保护的区域，如TEE或SE中。

4.3）访问控制

- 多因素认证（MFA）：增加访问安全性，如使用密码、指纹、人脸识别等多种验证方式。

- 细粒度访问控制：基于用户角色和权限，控制对数据的访问。

5）综合安全策略

- 入侵检测和防御系统（IDS/IPS）：实时监控系统和网络活动，检测和防御潜在的攻击。

- 日志记录和分析：记录系统和应用的安全事件，定期分析以发现潜在的安全威胁。

- 用户教育和意识提升：通过培训和教育，提高用户的安全意识和防护能力。

2 攻击技术

移动端设备因其普及性和大量存储敏感信息的特点，成为各种攻击的主要目标。

1）恶意软件

病毒

- 工作原理：通过感染合法应用或利用漏洞传播，可能窃取数据、破坏系统或执行恶意操作。

- 防护措施：安装防病毒软件、保持系统和应用更新、从官方应用商店下载应用。

间谍软件（Spyware）

- 工作原理：隐秘地监视用户活动，窃取敏感信息如位置、通话记录、短信等。

- 防护措施：权限管理、定期扫描设备、避免下载可疑应用。

勒索软件（Ransomware）

- 工作原理：加密用户数据，要求支付赎金才能解锁。

- 防护措施：定期备份数据、安装防恶意软件、保持系统更新。

2）网络攻击

中间人攻击（MITM）

- 工作原理：攻击者拦截和修改设备与服务器之间的通信，窃取或篡改数据。

- 防护措施：使用 HTTPS、VPN，双向鉴权。

网络钓鱼（Phishing）

- 工作原理：通过伪造的电子邮件、短信或网站诱骗用户泄露敏感信息。

- 防护措施：提高用户安全意识、使用反钓鱼软件、双因素认证。

3）应用漏洞攻击

代码注入

- 工作原理：通过漏洞注入恶意代码，执行未授权的操作，如 SQL 注入、脚本注入等。

- 防护措施：安全编码实践、输入验证、使用最新的开发库和框架。

缓冲区溢出

- 工作原理：通过超出预期长度的数据覆盖内存区域，执行恶意代码。

- 防护措施：使用安全编程技术、防止使用不安全的函数、进行代码审计。

4）系统级攻击

越狱和 Rooting

- 工作原理：利用系统漏洞获取设备的根权限，绕过安全限制，安装未授权软件。

- 防护措施：定期更新系统、防止安装不明来源的应用、监控设备状态。

提权攻击（Privilege Escalation）

- 工作原理：通过系统漏洞获取更高的权限，进行未授权的操作。

- 防护措施：及时打补丁、使用 SELinux 等强制访问控制技术。

5）硬件攻击

硬件篡改

- 工作原理：物理访问设备，通过硬件手段篡改或窃取数据。

- 防护措施：物理防护措施、设备防篡改设计、安全引导机制。

侧信道攻击

- 工作原理：通过分析设备的物理泄露信息（如电磁辐射、功耗变化）获取敏感数据。

- 防护措施：物理隔离、随机化操作、使用抗侧信道攻击的硬件设计。

3 前沿安全技术

1）后量子密码

后量子密码学（Post-Quantum Cryptography, PQC）是指能够抵抗量子计算机攻击的密码学算法。随着量子计算技术的进步，传统的公钥密码算法如RSA和ECC可能被量子计算机轻松破解，因此研究和开发后量子密码算法成为密码学领域的重点。美国国家标准与技术研究院（NIST）自2016年启动了后量子密码标准化项目，经过三轮严格评选后公布了首批4种后量子密码算法：一般加密，CRYSTALS-Kyber算法；数字签名用于身份验证，CRYSTALS-Dilithium、Falcon、SPHINCS+，这四种算法将于2024年即今年开始投入应用。以下是几种主流的后量子密码算法介绍：

1.1）基于格的密码学（Lattice-based Cryptography）

- Kyber：用于公钥加密。

- Dilithium：用于数字签名。

- 优点：高效、简单且具有良好的安全性，适用于多种应用场景。

1.2）基于代码的密码学

- Classic McEliece：基于错误纠正码的公钥加密算法。

- 优点：经过多年的研究和分析，被认为具有极高的安全性。

1.3）基于多变量多项式的密码学

- Rainbow：用于数字签名。

- 优点：提供多样的安全性选择，适用于资源受限设备。

1.4）基于散列的密码学

- SPHINCS+：无状态的数字签名算法。