辽宁快乐12

欢迎访问西安艾创物联科技有限公司官网!

陕西移动数据终端敏感数据安全运行环境浅析

作者:admin 发布日期:2018/5/17 关注次数: 二维码分享

辽宁快乐12 我们的手机上存储了各种各样的数据,既有照片、视频等娱乐数据,也有如证书、用户密钥、密码算法、指纹等敏感信息。为敏感信息提供的安全的运算环境至关重要。那么,如何解决移动终端上运行敏感数据安全运算的问题呢?今天,让陕西移动数据终端厂家来分享较热门的四类解决方案。


陕西移动数据终端


移动智能终端都内置好了操作系统(比如iOS和Android),操作系统提供为用户提供了一个开放的环境。在这个开放的环境里,用户可以根据自己的需求添加各种应用。然而,便捷的应用添加体验,也使得所有操作的完全暴露在开放的运行环境中,操作过程和敏感数据很容易被恶意软件窃取、破译、伪造、篡改,因此,智能终端上运行的敏感数据面临着很大的安全威胁。

当前,产业链各个层面都在试图从自己的角度去解决这个问题。宏观来分析可以将解决方案分为四类,一是纯软件方案,二是外置独立硬件方案,三是系统硬件层安全增强技术方案,四是虚拟化解决方案。

1、基于纯软件实现的安全方案

原理

不依靠特别的硬件,仅使用软件实现对数据的加密

优点

实现简单、灵活,实施成本低,应用范围广,用户体验好

缺点

密码运算效率较低,安全性较差

场景

移动支付,邮件加密,文件加密

软加密依靠性能强大的手机AP芯片和定制的软件算法,对数据进行加密运算或加密存储,如微信的安全支付和支付宝的安全支付以及较为常见的邮件加密功能。该方案的安全功能完全在AP处理器上采用软件的方式实现,整个操作过程暴露在开放的运行环境中,操作过程和敏感数据容易被恶意软件窃取、破译、伪造、篡改。

2、系统硬件层安全增强技术方案

原理

通过对现有硬件进行改造,扩充一系列的安全机制,设计出可信的硬件设备,从系统较底层监测和控制系统的运行,从而增强整个系统的安全性

优点

安全性较高,用户体验较好

缺点

只能满足小数据量业务,实施成本较高,应用范围受限

场景

金融支付、指纹识别等低数据量业务

当前应用较为广泛的是遵循Global Platform的可信执行环境(Trusted Execution Environment,简写为TEE)规范的相关技术。

TEE是存在于智能手机、平板电脑中的一个安全区域,为“可信应用”(TA)提供安全的执行环境,通过实施保密性、完整性和数据访问权限确保端到端的安全。以ARM TrustZone技术为例,支持TrustZone技术的ARM芯片在每个物理处理器核上提供两个虚拟核,一个是非安全核(Non-secure, NS),另一个是安全核(secure),安全核确保了各种敏感数据在一个可信环境中被存储、处理并受到保护。

TEE解决方案虽然能够提供较好的安全防护,但是其安全性能只能满足低数据量业务的安全应用,在个人隐私保护(视频、照片等)、内容保护、企业数据防护、连接保护等方面的应用较为受限。



陕西移动数据终端代理


3、虚拟化解决方案

原理

运用虚拟化技术实现安全数据隔离,为数据提供安全运算环境。分为硬件与虚拟化和操作系统虚拟化两种方案

优点

安全性较高,用户体验较好,应用范围广

缺点

虚拟化增加了移动终端系统负担,用户体验较差

典型场景

辽宁快乐12 移动办公,移动支付


① 硬件虚拟化解决方案

硬件虚拟化技术也就是虚拟机技术,将一台物理机以多台虚拟计算机的方式实现复用,隐藏特定计算平台的实际物理特性,为用户提供抽象的、统一的、模拟的计算环境。这种方案可以实现把操作系统和物理硬件隔离的目的,并通过控制程序VMM(或Hypervisor),在各个虚拟机之间施加防护。这样的模式使得入侵者难以利用设备驱动程序和应用程序间的依赖性实现整个操作系统与应用程序的病毒感染,因此被广泛认为可以用来解决智能移动终端系统的可靠性和安全性的问题。Symantec、H3C、Cisco等公司均提供这种虚拟化安全解决方案。

辽宁快乐12 但是硬件虚拟化技术会增加系统的工作负担,显著增加功耗,影响用户体验。另一方面,硬件虚拟化技术仍然主要依靠操作系统和软件来实现安全隔离,一旦VMM被入侵,便会打破这种安全保护,存在数据泄漏和被攻击风险。这些都严重限制了硬件虚拟化方案在移动智能终端安全领域的应用。‍


② 操作系统虚拟化解决方案

操作系统虚拟化解决方案以双域、双操作系统安全为代表,在TEE可信执行环境的基础上,结合硬件虚拟化技术提出的新的安全解决方案,旨在解决TEE应用受限方面的不足。展讯、鼎桥、华为、360等公司均针对政府及企业的安全移动办公需求,推出了各自的基于双域、双操作系统安全解决方案的移动终端,大规模应用在公安、司法、政府、金融等诸多行业。

双域、双操作系统解决方案将移动终端系统分为安全区和非安全区,两个区域各自独立运行一个操作系统。安全区和非安全区被严格隔离,只能通过一个硬件级的Monitor进行交互,防止数据泄漏和对安全区的恶意攻击。

双域、双操作系统解决方案提供了强大的安全防护性能,可以将更多的应用置于安全的环境中。但是其和虚拟机技术一样,两个独立运行的操作系统大大增加了系统的负担,使系统的功耗显著增加,造成系统发热、使用时间缩短等问题,影响用户的使用体验。

4、外置独立硬件解决方案

原理

通过专用芯片或独立芯片密码运算

优点

安全性较高,应用范围广

缺点

辽宁快乐12 实施成本高、难度大,增加移动终端功耗开销

场景

加密语音通信,视频通信

在该项技术中,加密密钥等敏感数据存储于加密芯片,整套加密流程完全在专用加密芯片中实现,屏蔽了外部系统对加密过程的影响。同时,专用加密芯片能够提供高速加解密计算、数据安全存储、基于PKI的数据签名/验签、数据完整性校验等功能,配合中间件软件使移动终端具备敏感信息加密存储、数据加密运算、身份合法性验证等能力,防止移动终端数据被盗取、篡改、破坏,从多方面保证移动终端系统的安全性。

基于外置独立硬件的安全方案能够提供相对强大的安全防护手段以及适应需求的安全处理性能,同时具备应用范围广等优势。但它的劣势也是显而易见的,集成外置独立硬件不仅增加了实施成本,也提高了实施难度,独立硬件的运行还会使系统的功耗显著增加,这对移动终端的用户使用体验尤其不利。

上述分析的几种安全实现方案是移动安全产业链不同环节的厂商或者组织提出的解决方案。都是想从本领域解决移动安全环境下敏感数据运行的问题。这些方案各具特点,能够解决的问题各不相同,应用的场景也不一样,优势与劣势各不相同。截至目前业界还没有一种既能够满足安全性,同时成本低、不影响用户体验的解决方案。这将是移动安全发展的又一个新方向。以上就是陕西移动数据终端厂家的分享。

解决方案

CASE SHOW

快速通道 Express Lane

咨询热线

1568628226015686282260

邮箱:xuan.zhou@dbccb.com

QQ:1913979619

辽宁快乐12 四川11选5 四川11选5 四川11选5走势图 四川11选5 辽宁快乐12 辽宁快乐12 四川11选5 四川11选5 四川11选5官方网站