! 移动互联网安全终端的设计与实现术 涂静,田增山,周非 (重庆邮电大学无线定位与空间测量研究所,重庆400065) 摘要:在行业部门、金融等特殊应用中,针对移动互联网通信过程中存在的数据窃取、数据篡改 和移动互联网终端面临的网络攻击、隐私数据泄密等问题,设计了一套移动互联网安全通信终端设 备,旨在保障敏感信息的传输安全,终端系统安全和数据存储安全。 关键词:移动互联网终端;IPsec;防火墙;入侵检测 中图分类号:TN918.91 文献标识码:A 文章编号:0258—7998(2013)10—0062—03 Design and implementation of seellre terminal in mobile Internet Tu Jing,Tian Zengshan,Zhou Fei (Institute of Wireless Location and Space Measurement,Chongqing University of Posts and Telecommunications, Chongqing 400065,China) Abstract:In the confidential application like government and finance,a mobile internet terminal used for secure communica— tion was designed to deal with the problem of data theft,data tampering in communication,network attacks and privacy data leak, aiming to protect transmission security,network security,as well as storage security of a termina1. Key words:mobile Internet terminal;IPsec;firewall;IDS 近几年,移动互联网以不可阻挡的趋势迅速占领市 场。据工信部的统计数据显示,截至2012年6月,移动 互联网的用户数已达到3.8亿,其中83%的用户主要使 证数据传输的安全性。参考文献【6】指出,腾讯、奇虎等 公司针对智能终端开发了安全软件,主要包括杀毒、防 火墙以及权限管理等功能。 目前终端安全的研究大多基于智能终端,并开发了 用即时通信…。移动互联网以实时性、移动性等优势吸 引着军用、商用、民用各方目光。 许多安全软件,这些软件集成了杀毒、防火墙等功能,一 定程度上提高了终端安全性。但丰富的第三方应用软件 的权限滥用和后门程序造成了更大的安全隐患[71。参考 然而,移动互联网给人们提供便利时带来的安全隐 患也不容忽视,尤其是移动互联网终端的安全隐患更是 受到国内外专家学者的重视[21。在美国,众多传统互联 文献【5】提出的方案在增加保密性的同时增加了终端的 体积和功耗。此外,现有的安全方案鲜少关注信息传输 及存储安全。本文针对行业部门、保密商用等领域的安 全通信需求,设计了一种移动互联网安全防护终端。 网安全公司将工作重心转移到移动终端安全[31。此外, 部门也给予高度重视,如由于智能终端泄密, 美国国防先进研究项目局指定Invincea公司提升搭载安 卓系统的终端的隐私数据保护能力等。在国内,面对移 动互联网终端安全日益突出的问题,工信部颁布《智能 1安全终端系统设计 安全终端的设计目标在于实现特殊行业应用、商用 终端管理办法》、《关于加强移动智能终端进网管理的通 知》[41等法规并建设智能终端安全监测实验室保障终端 安全。关于移动互联网通信安全和终端安全技术的研究 也层出不穷。参考文献【5】中提出的终端安全防护设计 等保密环境下,将敏感信息通过移动互联网安全及时地 传递到对端并保证终端的系统安全及数据存储安全。此 外,在保证安全的同时简化用户操作的复杂性。为实现 上述目标,安全终端需具备以下功能: 方案使用集成SM2加密的硬件,采用SSL VPN技术保 基金项目:国家科技重大专项(201IZX03006—003(7));重庆市基础与前沿 研究计划项目(cstc2013jcyjA40034) (1)传输安全模块:实现移动互联网的端到端的安全 通信。安全终端采用IPsec技术实现。 (2)网络安全模块:防止移动互联网环境中存在的网 62 欢迎网上投稿WWW.chinaaet.com 《电子技术应用》2013年第39巷第10期 络攻击及系统破坏。安全终端采用入侵检测、防火墙、流 量查看及访问控制实现。 USB HOST E删)(上位机)PPPO (3)存储安全模块:实现存储数据加密以及防止删除 数据恢复。安全终端采用磁盘加密和文件粉碎删除技术 实现。 B B m 一一眭 USB/ 一 LH-U广B_  ̄E th0 终端 I搴 LAN …I usB --{叵园困 (4)用户交互模块:为用户提供可视化操作界面,实 现会话、文件传输、安全模块参数配置、安全日志查看等 }_J 功能。安全终端采用QT环境的C/C++编程实现。 (5)上位机监控模块:实现用户对PC的有效利用。 用户可选择使用终端通信,或是在终端的监控下,使用 图2安全终端与上位机接口设计 移动互联网通信的网口,内核与USB网口通信作 为内网通信。上位机的数据经安全终端加密认证并和对 PC通信。安全终端通过特殊的硬件设计,配合相应软 件,使用户所有操作都在终端的监控下进行,以保证PC 的启动安全和操作安全。在连接上位机时,安全终端除 作为监控模块外,还用作PC的VPN网关。上位机发出 和接收的数据,都需要经过安全终端的检测,并通过终 端进行端到端的加密传输。 2终端的硬件设计 安全终端的硬件架构如图1所示。 l㈢I启动模块: MCIMX515DJ : 关 M8CM77XC7H ——— — —— 二_二 sc [ 亟 [ 丽 I鱼遇 l图I安全终端硬件架构 (I)处理器:核心处理器在保证终端的网络通信功能 和各安全软件的正常运行外,作为便携设备,还应考虑 芯片功耗。为满足需求,安全终端选用飞思卡尔I.MX515 处理器,该芯片采用高效的ARM Cortex—A8内核,主频 高达800 MHz,拥有256 KB的二级缓存,且功耗较低。 (2)TD模块:TD模块作为网络接入模块,需长时间 处于工作状态,应选择性能稳定且功耗较低的模块。此 外,TD模块还应支持AT指令,用于控制其上网、信号 强度读取等功能。安全终端选用重邮信科公司的 TDM330模块,该模块下行最大支持HSDPA2.8 Mb/s,上 行最大支持HSUPA2.2 Mb/s,足以满足安全终端对数据 速率的要求。同时,TDM330模块采用通用的AT命令接 口,支持短消息业务及移动数据业务,满足安全终端对 模块的功能需求。 (3)USB HUB:安全终端内的USB HUB芯片分出两 路接口,用于监视上位机和与上位机交互数据。如图2 所示,USB HUB的一路接口连接USB/LAN转换。连接安 全终端时,PC通过LAN接口工作于安全终端的监视环 节。此时仅使用了上位机的硬件,操作系统和操作软件 全部由安全终端监管。USB HUB的另一路接口连接 USB网口,用于PC系统的参数配置、日志检索等。 此时,安全终端作为上位机的VPN网关,PPP0作为 《电子技术应用》2013年第39卷第10期 端进行安全通信。 安全终端还配有启动模块、触摸屏、电源模块、调试 口等硬件,以保障终端正常使用。 3终端的软件设计 安全终端的软件架构如图3所示。 图3安全终端软件架构 出于对系统稳定性需求以及安全软件开发的考虑, 安全终端选用Linux操作系统。在内核层,安全终端根 据应用需求裁剪内核并增加相应驱动。在安全软件层, 安全终端根据安全需求实现了传输安全模块、网络安全 模块以及存储安全模块。在应用层,安全终端根据通信 及应用需求,用QT实现用户交互模块,该模块使用C/ C++编程实现,具体内容本文将不作赘述。 3.1传输安全模块 在数据传输方面,终端需要保证数据在传输过程中 不被非法窃取、篡改。因此,安全终端使用IPsec对数据 进行端到端的加密、认证,保证数据传输的安全性和完 整性。安全终端的IPsec模块用openswan实现,关键步骤 如图4所示。 }交叉编译内核时勾选ipsee相关选项f ■ l宿主机上交叉编译gmpl ■ l将gmp与交叉编译工具链接l ■ l修改openswan中的CROSSCOMPILE.sh文件l l Make programs&make install&make programs install I ■ I将生成的二进制执行文件以及依赖的库拷至嵌入式平台l 入—— 安 KL KJ掀K- ̄2 .6.97 图4 openswan移植 63 盛 从以上的仿真实验可以看出,应用本文的所提出 的算法后,嵌入隐藏信息的混合视频信号与原始视频 儿乎没有什么差别,达到了隐藏信息透明的要求。从 表2的实验数据中可以看出,在相同压缩比的情况 video based on their associated prediction error[J].IEEE Trans.Inform.Forensics Security,2011,6(1):14—18. [3]YANG M,BOURBAKIS N.High bitrate multimedia informa— tion hiding for digital image/video under lossy corn pression 下,本文的算法较之于参考文献[3]的算法缩短了嵌入 所需的时间,且误码率平均减少了76.6%,具有更好的 抗压缩性能。而当综合采用编码和隐藏算法后,本文 【J].SPIE Journal of Electircal Imaging,2007(16):1—12. 【4]HU Y,ZHANG C,SU Y.Information hiding based on intra prediction modes H.264/AVC【J].In Proc.IEEE Int.Conf. Multimedia and Expo,ICME.2007:1231—1234. 算法的优越性进一步凸显,从图4、图5的实验仿真效 果图中可以看到,在相同压缩比的情况,隐藏帧数提 高了5~11倍,并且接收端提取秘密信息的质量也获 得了明显改善。 本文提出了一种视频压缩码流在视频中嵌入的方 【5]Ma Xiaojing,Li Zhitang,Tu Hao,et a1.A data hiding algo- rithm for H.264/AVC video streams without intra—frame distortion drift[J].IEEE Trans.Circuits Syst.Video Techno1., 2010,20(10):1320-1330. [6]SWANSON M D,ZHU B,AHMED T H.Date hiding for video—in—video[C】.Proceed—ings of the 1997 International Conference on hnage Processing.Sanata Barbara CA,IEEE 案,为了避免视频压缩码流对误码敏感的缺点,在隐藏 算法上采用了高比特率的鲁棒算法,通过修改视频的亮 度分量Y在变换域中的直流系数来嵌入秘密信息;同 Comput Soc,1997f2):676—679. 时秘密信息在嵌入前采用预处理的策略,即先对秘密视 频进行压缩编码、纠错和交织编码等预处理。通过实验 [7]肖柏创,王首道,司薇.高比特率信息隐藏技术的视频嵌 入视频方案【J】.北京工业大学学报,2011,37(8):1249— 1254. 数据可以看出本方案所提出的视频嵌入视频的方法提 高了隐藏的帧数及接收端提取秘密信息的质量,实现了 (收稿日期:2013—03—15) 隐秘视频的高效传输,为视频嵌入视频提供了一种新的 思路。 参考文献 [1]LI Y,CHEN H.一X,ZHAO Y.A new method of data hiding based on H.264 encoded video sequences[J].IEEE Int.Conf.Signal Processing,2010:1833—1836. 作者简介: 朱厉洪,男,1981年生,博士研究生,主要研究方向:信 息隐藏、图像处理。 周诠,男,1965年生,博士,研究员,博士生导师,主要 研究方向:数据传输与图像处理。 【2】ALY H A.Data hiding in motion vectors of compressed (上接第64页) 究【J].移动通信,2012(5):48-51. [4]工业和信息化部电信研究院.关于加强移动智能终端进 网管理的通知[R].2012. [5】黄益彬,吕洋,杨维永.智能终端安全防护设计[J】.计算机 与现代化,2012(12):106—109. 从以上的测试结果可以看出,安全终端中的安全软 件均能正常工作并保障数据传输安全、网络安全以及存 储安全。 安全终端根据移动互联网终端面临的危险,从3个 层次设计软件保证数据传输、存储的安全。同时,终端通 过特殊的架构设计使用户既可利用终端进行安全通信, 又可以通过终端保证上位机间的安全通信。但是,提高 终端内防火墙与入侵检测的准确率等问题仍需进一步 研究与实践。 参考文献 【6]彭,邵玉如,郑秫.移动智能终端安全威胁分析与防 护研究[J】.信息网络安全,2010(1):58—64. [7]LI Q,CLARK G.Mobile security:a look ahead[J】.IEEE Security&Privacy,2013,l1(1):78—81. (收稿日期:2013—05—09) [1]中国互联网络信息中心.第30次中国互联网络发展状况 调查统计报告[R】.2012. 【2】TUPAKULA U,VARADHARAJAN V,VUPPALA S K.Secu- rity techniques for beyond 3G wireless mobile networks[C]. 201 1 IFIP 9th International Conferenee on Embedded and 作者简介: 涂静,女,1989年生,硕士研究生。主要研究方向:移动 通信,网络安全。 田增山,男,1968年生,教授,主要研究方向:个人通 信、卫星导航、无线定位、语音视频处理。 周非,男,1977年生,副教授,主要研究方向:无线定位 Ubiquitous C0mputing(EUC),Melbourne,20t 1:136—143. [3】潘娟,史德年,马鑫.移动互联网形势下智能终端安全研 系统,信号检测与估计、信号处理。 68 欢迎网上投稿www.chinaaet.corn 《电子技术应用》2013年第39卷第10期