移动互联网：原理、技术与应用 第3版 课件 CH8 移动互联网安全

移动互联网安全11课程大纲移动互联网安全概述移动终端安全无线接入安全网络传输安全移动云计算安全22课程大纲移动互联网安全概述移动终端安全无线接入安全网络传输安全移动云计算安全33移动互联网安全概述网络安全基本概念机密性完整性可确认性可用性44移动互联网安全概述网络安全体系安全目标：机密、完整、可确认、可用安全服务认证服务保密服务数据完整性保护安全机制55移动互联网安全概述移动互联网安全移动终端安全无线接入安全网络传输安全云计算安全66课程大纲移动互联网安全概述移动终端安全无线接入安全网络传输安全移动云计算安全77移动终端安全移动终端系统安全机制移动终端安全威胁移动终端安全防护88Android系统安全机制AndroidLinux内核层系统库层应用框架层应用层第三方类库99Android系统安全机制Linux安全机制POSIX用户文件访问控制Android本地库及运行环境安全内存管理单元强制类型安全移动设备安全1010Android系统安全机制Android特有的安全机制最小特权原则访问前必须声明粗粒度授权、粗粒度权限、不充分的权限文档和溢权组件封装签名机制Dalvik虚拟机1111iOS系统安全机制iOS系统核心操作系统层（CoreOSLayer）核心服务层（CoreServicesLayer）媒体层（MediaLayer）可触摸层（CocoaTouchLayer）1212iOS系统安全机制地址空间配置随机加载（ALSR）对堆、栈、共享库映射等线性区实现随机化布局代码签名所有本地代码由受信任的证书签名AppStore是唯一的App下载来源开发者必须注册AppStore才能提交App沙箱机制数据加密1313移动终端安全威胁移动终端特点移动性强个性化强强连接性4G/5G时代，时刻使用网络服务功能汇聚除了电话，社交、金融、GPS定位设备性能不足PC端成熟的防护机制无法直接移植1414移动终端安全威胁安全攻击目标隐私窃取（Privacy）嗅探（Sniffing）拒绝服务（DenialofService）恶意账单（Overbilling）1515移动终端安全威胁恶意软件木马（Trojan）Rootkit坚实网络（Botnet）后门（Backdoor）病毒（Virus）蠕虫（Worm）间谍软件（Spyware）恶意广告（Adware）勒索软件（Ransomware）1616移动终端安全威胁Root权限非法获取用户受限方面只能从官方规定渠道下载App无法对系统实现完全备份无法卸载终端出厂时安装App无法对操作系统进行更换或升级从越狱工具到恶意软件越狱工具：Zimperlich、Evasi0n等恶意软件：DroidDream、Zhash等1717移动终端安全防护硬件层级TrustZone系统层级Saint：一种细粒度的访问控制框架Quire：一种轻量级的解决方案SELinuxTrustedComputing1818移动终端安全防护入侵检测系统（应用层级）事件发生器事件分析器实践数据库相应单元1919移动终端安全防护入侵检测系统分类基于部署架构本地部署v.s.分布式部署基于反应类型主动型v.s.被动型基于搜集数据种类操作系统事件、设备性能指标、键盘输入、传输数据等基于检测模式异常（Anomaly）检测v.s.特征（Signature-based）检测2020移动终端安全防护异常检测方法机器学习Andromaly、PGBC等电量监测B-BID特征数据库维护方法自动维护手动维护2121课程大纲移动互联网安全概述移动终端安全无线接入安全网络传输安全移动云计算安全2222无线接入安全无线接入安全威胁无线接入安全发展IEEE802.11i安全标准IEEE802.11i安全接入过程2323无线接入安全无线接入安全威胁意外连接恶意链接MAC欺骗中间人攻击注入攻击无线接入安全发展IEEE802.11i标准WEP、WPA、WPA22424IEEE802.11i安全标准强健安全网络（RobustSecurityNetwork，RSN）用户身份认证密钥管理数据机密性数据源认证和完整性重放保护2525IEEE802.11i安全标准基于端口的网络访问控制用户身份认证场景组成请求者、认证者和认证系统端口类型受控端口、非受控端口可扩展认证协议（EAP）方法EAP-TLS、EAP-TTLS、EAP-GPSK、EAP-MD5等EAPOL（EAPoverLAN），封装EAP报文2626IEEE802.1X认证过程2727IEEE802.11i安全接入过程发现阶段身份确认安全策略协商保证单播流量机密性和完整性的协议加密套件：WEP、TKIP、CCMP建立连接认证阶段透传模式生成会话主密钥（MSK）2828IEEE802.11i安全接入过程密钥管理密钥分类成对密钥：确保单播数据安全群组密钥：确保组播和广播数据安全四次握手（成对密钥发布）访问接入点→站点（1）站点→访问接入点（2）访问接入点→站点（3）站点→访问接入点（4）群组密钥发布访问接入点→站点（5）站点→访问接入点（6）2929IEEE802.11i安全接入过程四次握手与群组密钥发布过程3030IEEE802.11i安全接入过程数据传输临时密钥完整性协议（TKIP）完整性：增加信息完整性字段（MIC）实现完整性保护机密性：基于RC4的加密算法计数器模式密码块链消息完整码协议（CCMP）完整性：使用CBC-MAC保证数据的完整性机密性：基于计数器模式（CTR）的高级加密标准（AES）算法3131课程大纲移动互联网安全概述移动终端安全无线接入安全网络传输安全移动云计算安全3232网络传输安全-传输层安全TLS组成TLS记录协议（TLSRecordProtocol）TLS握手协议（TLSHandshakeProtocol）TLS修改密码规格协议（TLSChangeCipherSpecsProtocol）TLS警报协议（TLSAlertProtocol）3333网络传输安全-传输层安全TLS安全目标加密安全协同性可扩展性相对高效TLS记录协议机密性保障：对传输数据进行加密完整性保障：消息认证码（MAC）3434网络传输安全-传输层安全TLS握手协议特点可使用不对称、公钥算法协商内容是安全的协商是可靠的握手过程全握手过程：双方第一次握手简短握手过程：双方恢复或复制之前的会话3535网络传输安全-传输层安全TLS握手过程1.客户端-ClientHelloTLS版本号、随机数、会话ID、密码套件、压缩方法、扩展信息2.服务器端-ServerHello服务器选定密码套件3.服务器端-CertificateCA证书自证身份3636网络传输安全-传输层安全TLS握手过程4.服务器端-ServerKeyExchange不是必须发送5.服务器端-CertificateRequest必须在ServerKeyExchange消息之后立刻发出6.服务器端-ServerHelloDoneCA证书自证身份3737网络传输安全-传输层安全TLS握手过程7.客户端-Certificate内容规格与服务器端发送的Certificate消息一致8.客户端-ClientKeyExchangeRSA暂态Diffie-Hellman固定Diffie-Hellman9.客户端-CertificateVerify3838网络传输安全-传输层安全TLS握手过程10.客户端-ChangeCipherSpec11.客户端-Finished12.服务器端-ChangeCipherSpec13.服务器端-Finished简短握手过程仅执行1、2、10、11、12、133939网络传输安全-传输层安全TLS警报协议告警（Warning）警报致命（Fatal）警报：一旦出现，立刻终止会话密码计算预备主密钥RSA。客户端生成48B预备主密钥并发给服务器端Diffie-Hellman。双方各自产生Diffie-Hellman参数，交换后生成预备主密钥主密钥由预备主密钥、客户端随机数、服务器端随机数生成4040网络传输安全-HTTPSHTTPS通信加密元素URL、data、表单、Cookie、报文头部HTTPS连接建立先执行TLS握手HTTPS连接关闭构造关闭通知警报（Close_NotifyAlert）“不完全关闭”HTTPS安全威胁问题证书、重协商漏洞、侧信道劫持、Cookie窃取等4141课程大纲移动互联网安全概述移动终端安全无线接入安全网络传输安全移动云计算安全4242移动云计算面临巨大安全威胁网络连接环境十分复杂，漏洞多云端为多租户提供服务，可能存在恶意租户云端不可信，数据可能被泄漏和破坏……43显然，用户在云端的数据是不安全的。课程大纲概述移动终端安全无线接入安全网络传输安全移动云计算安全云计算数据安全云数据机密性保护云数据访问控制云数据完整性保证云数据可信删除4444云计算数据安全威胁数据泄露非法访问数据破坏或丢失45云计算数据安全需求数据机密性访问可控性数据完整性数据可信删除46云计算数据安全方案47安全威胁安全需求安全技术方案数据泄露网络窃听、非授权访问、云端内部攻击、虚拟机侧信道攻击等数据机密性代理重加密查询加密同态加密非法访问数据访问控制基于选择加密的访问控制基于属性加密的访问控制数据破坏或丢失恶意篡改、有意丢弃、操作配置错误、存储硬件失效、电力故障、自然灾害等数据完整性数据持有性证明数据可恢复证明数据泄露（数据残留）数据仅逻辑上删除、数据备份未删除、数据迁移留下数据“印迹”数据可信删除集中式密钥管理的可信删除分散式密钥管理的可信删除层次化密钥管理的可信删除属性策略密钥管理的可信删除课程大纲概述移动终端安全无线接入安全网络传输安全移动云计算安全云计算数据安全云数据机密性保护云数据访问控制云数据完整性保证云数据可信删除4848如何实现云数据机密性保护？传统加密技术？云端的数据无法有效地在云端进行查询、计算和共享等操作与服务解决方案：新型加密技术代理重加密：支持数据共享查询加密：支持数据查询同态加密：支持数据算49代理重加密基本概念代理重加密（ProxyRe-Encryption，PRE）是密文间的一种密钥转换机制，代理者（Proxy)在获得由授权人产生的针对被授权人的转换密文（代理重加密密钥）后，能够将原本加密给授权人的密文转换为针对被授权人的密文，然后被授权人只需利用自己的私钥就可以解密该转换后的密文。代理重加密类型根据代理转换密钥的性质：双向代理重加密、单向代理重加密根据密文能否被多次转换：多跳代理重加密、单跳代理重加密50代理重加密主要算法8个算法（Setup,KeyGen,RekeyGen,Enc1,Enc2,ReEnc,Dec1,Dec2）Setup：系统建立算法KeyGen：密钥生成算法RekeyGen：重加密密钥生成算法Enc1：第一层加密算法Enc2：第二层加密算法ReEnc：重加密算法Dec1：第一层解密算法Dec2：第二层解密算法51几种代理重加密方案基于身份的代理重加密将代理重加密引入到基于身份的环境中，以用户身份作为公钥进行数据加密，而用户私钥则根据用户身份来产生。无证书代理重加密方案利用身份作为公钥的一部分，具有基于身份和无证书公钥密码体制的优点。基于时间的代理重加密方案将时间概念引入到PRE中，当用户访问权限在访问时间内有效时，可以解密相应数据。52基于代理重加密的云数据共享53查询加密查询加密（SearchableEncryption，SE）基本思想是通过构造安全索引、利用查询陷门来高效地支持密文搜索。54查询加密主要算法6个多项式时间算法密钥产生算法Keygen加密算法Enc索引生成算法BuildIndex查询陷门生成算法Trapdoor查询算法Search解密算法Dec55两种安全查询索引以关键字组织的索引（倒排索引）每个关键字对应一个由包含该关键字的所有文件构成的文件列表。基于文档构造的索引为每个文档构造一个由该文档中的所有关键字构成的关键字列表。56安全查询功能单关键字查询和多关键字查询模糊查询范围查询动态数据查询查询结果排序57同态加密同态加密（HomomorphicEncryption，HE）是一种支持直接在密文上进行计算的特殊加密体系，它使得对密文进行代数运算得到的结果与对明文进行等价运算后再加密所得结果一致，而且整个过程中无需对数据进行解密，即对于函数f

及明文m，有f

(Enc(m))=Enc(f(m))58部分同态加密（SomewhatHomomorphicEncryption，SwHE）：若函数f是某种特定的类型计算（如加法、税法运算）或有限次特定类型计算的复合。全同态加密（FullyHomomorphicEncryption，FHE）：如果函数f可以是任意有效函数且支持无限次运算。同态加密主要算法4个主要算法密钥生成算法KeyGen加密算法Enc解密算法Dec密文计算Evaluate（核心）59全同态加密构造基于理想格的方案和基于整数的方案遵循Gentry提出的构造框架，其构造思想是非常“规则”的。首先构造一个部分同态加密方案，然后“压缩”解密电路，进行同态解密，最后在循环安全的假设下，通过递归来实现FHE方案。基于LWE（LearningWithErrors）的方案以LWE或R-LWE为安全假设条件。首先构造一个SwHE方案，然后采用密钥交换技术和模交换技术，来分别控制密文计算后新密文向量维数的膨胀和噪声的增长，然后通过迭代获得FHE方案。60课程大纲概述移动终端安全无线接入安全网络传输安全移动云计算安全云计算数据安全云数据机密性保护云数据访问控制云数据完整性保证云数据可信删除6161如何实现云数据访问控制？传统的访问控制方法？依赖一个可信的服务器大量密钥，生成、分发和保管这些密钥比较困难实施细粒度的访问控制，会成倍的增加密钥数量访问权限更新或撤销时，需要重新生成新的密钥，引入巨大的计算量解决方案：基于加密的访问控制技术基于选择加密(SelectiveEncryption)的访问控制基于属性加密(Attribute-basedEncryption，ABE)的访问控制62基于选择加密的访问控制基于选择加密的访问控制思想是将加密机制与访问控制策略相结合，通过密钥的分发管理来控制数据的授权访问，其核心是如何有效地将访问控制策略转换为等效的加密策略，以及如何安全高效地产生和分发密钥。63基于选择加密的访问控制密钥派生原理一个密钥可通过另一个密钥和一些公开的信息来计算产生64密钥派生可通过密钥派生图来定义实现基于选择加密的访问控制访问策略更新与管理访问策略更新带来的问题？解决方案：代理给云服务器来执行65基于两层加密的授权策略更新方案：基本加密层（BaseEncryptionLayer，BEL）执行初始访问控制策略，而表面加密层（SurfaceEncryptionLayer，SEL）执行访问控制策略更新。基于两层加密的访问控制方法：基本思想是将访问控制策略（AccessControlPolicies，ACP）进行分解，一部分用于数据拥有者实施粗粒度加密，以保证数据的机密性，另一部分用于云服务器实施细粒度加密，以实施细粒度的数据访问控制。基于属性加密的访问控制属性加密(Attribute-BasedEncryption，ABE)以用户属性为公钥，通过引入访问结构将密文或用户私钥与属性关联，能够灵活地表示访问控制策略，对数据进行细粒度访问授权。基于ABE的访问控制系统组成：可信机构、数据发布者（加密者）、多个数据使用者（解密者）原理：系统在生成密钥或者产生密文时可以根据一个访问结构来产生，使得只有满足指定属性条件的用户才可以解密密文，从而实现数据的授权访问。66密钥策略ABE（KP-ABE）67密文策略ABE（CP-ABE）68ABE访问策略表达访问结构描述访问控制策略的逻辑结构，其中定义了授权访问集合和非授权访问集合。门限访问结构基于树的访问结构基于LSSS（LinearSecretSharingScheme）矩阵的访问结构69访问权限撤销与访问控制效率访问权限撤销用户撤销、用户部分属性撤销和系统属性撤销。权限撤销问题及方案当某一属性被撤销时，如何更新与该属性相关的密文数据和如何高效地分发属性更新密钥现有方案一般利用双重加密、代理重加密技术提高访问控制效率采用外包计算的思想：充分利用云服务器的计算能力，将涉及大量计算的加密、解密、密钥产生以及属性撤销带来的密文更新等操作都外包给云服务器。70课程大纲概述移动终端安全无线接入安全网络传输安全移动云计算安全云计算数据安全云数据机密性保护云数据访问控制云数据完整性保证云数据可信删除7171如何保证云数据完整性？传统数据完整性验证方案？消息认证码和数字签名相结合的技术由用户直接对数据进行验证云环境下不可行解决方案：远程无块验证技术数据持有性证明（ProvableDataPossession，PDP）数据可恢复证明（ProofofRetrievability，POR）72数据持有性证明PDP基于挑战-应答协议的概率性远程完整性验证基本思想用户在上传存储到云服务器前为数据块生成验证标签，用户通过一个挑战-应答协议，根据云服务器生成的验证证据和存储于本地的验证标签来检验数据是否被修改。73PDP协议74初始化阶段(密钥生成算法KeyGen)验证信息生成与数据存储阶段(验证标签生成算法TagBlock)数据验证阶段(验证证据生成算法GenProof、证据验证算法CheckProof)支持动态数据操作的PDP挑战数据动态变化时，需要全部重新计算数据标签，引入大量的计算两种动态数据PDP方案一种使用基于等级的认证跳跃表，另一种基于RSA树结构，实现了数据的插入操作。两种多文件远程验证方案MF-RDC采用带虚拟块索引的同态认证符和纠错编码技术，支持用户对由不断添加的文件构成的一组动态文件组的完整性验证；利用聚合验证技术，有效减少了一组文件的验证开销75支持公开可验证的PDP问题当需要确保大量外包存储于云端数据的完整性时，由用户自己来验证，则会引入巨大的存储和计算开销，对资源受限的用户来说是不可行的。解决方案引入拥有更多资源和专业验证能力的第三方审计者（ThirdPartyAuditor，TPA）进行验证挑战引入TPA后会面临数据隐私保护问题，即被验证数据的内容可能会泄露给TPA76支持多用户修改和用户撤销的PDP多用户数据修改的场景采用散列索引表来组织数据块，每个数据块由一个虚拟索引和一个随机产生的抗碰撞散列值来标识，以保证数据块的正确顺序和标识的唯一性，避免某一块数据动态操作后其它数据块的重签名支持用户的动态撤销采用代理重签名技术采用基于多项式的认证标签和标签更新代理技术77数据可恢复证明POR基于挑战-应答协议的概率性远程完整性验证一种在部分数据丢失或破坏的情况下仍然有可能恢复原始数据的一种远程数据完整性验证协议。基本思想采用了纠错编码技术，从而保证了被丢失或被破坏数据的可恢复性。78POR协议79密钥生成算法KeyGen编码算法encode挑战算法challenge响应算法respond验证算法verify文件提取算法extract支持数据动态操作的POR支持数据动态操作问题：POR采用冗余纠错编码，使得少量数据变化将导致大量数据块的修改，数据更新操作变得非常困难方案1：基于BLS签名技术和Merkle散列树结构，并在生成签名时移除了文件块索引信息，避免了数据更新时其它数据块的重签名计算方案2：采用基于距离的2-3树和一种新的增量散列压缩签名技术方案3：采用两层认证设计，下层基于消息认证码和版本号，上层采用平衡Merkle树认证结构，同时采用一种新的稀疏随机纠删编码技术，并采用缓存机制80课程大纲概述移动终端安全无线接入安全网络传输安全移动云计算安全云计算数据安全云数据机密性保护云数据访问控制云数据完整性保证云数据可信删除8181如何实现云数据的可信删除？传统数据删除技术？采用覆盖技术，即使用无用或没有价值的数据来覆盖需要删除的数据来达到删除的效果，这种方法要求用户知道自己数据的存储形式和具体物理地址。在云环境下，数据所有者失去了对数据存储位置的物理控制，无法获悉数据存储在何处。云服务提供商CSP可能不会老老实实地删除用户发送命令要删除的数据解决方案：基于密码技术的可信删除方法基本思想：用某种措施“破坏”原有数据，使得数据不能被恢复从而达到删除的效果。核心问题：如何有效地删除数据加密密钥？82集中式密钥管理的可信删除基本思想采用一台可信的服务器来集中管理密钥。基于有效期的文件可信删除方案文件用数据密钥DK加密后设置一个到期时间，DK经过可信服务器的公钥加密后外包给可信服务器。如果预设到期时间已过，可信服务器将自动删除相应的私钥，从而无法恢复出DK，最终用户无法解密文件以实现对文件的确定性删除。83集中式密钥管理的可信删除基本思想采用一台可信的服务器来集中管理密钥。基于策略的文件确定性删除方案一个文件与一个访问策略或者多个访问策略的布尔组合相关联，每个访问策略与一个控制密钥CK相关联；需要保护的文件由DK加密，DK进一步依据访问策略由相应的CK加密。如果某个文件需要确定性删除时，只需要撤销相应的文件访问策略，则与之关联的CK将被密钥管理者删除，从而无法恢复出DK，进而不能恢复原文件以实现对文件的确定性删除。84分布式密钥管理的可信删除基本思想将数据加密密钥经过秘密分享计算后变成多个密钥分量，然后将这些密钥分量进行分布式管理。基于DHT网络的可信删除方案采用Shamir的(k,n)门限秘密分享方案计算出n个密钥分量，然后将密钥分量发布到大规模分散的DHT网络中，并删除该密钥的本地备份。DHT网络中，每个节点将存储的密钥分量保存一定的时间，当期限到达后自动清除所存储的密钥分量。随着节点的不断自更新，更多的密钥分量将被消除，当清除达到n−k+1个时，原始密钥将无法重构，从而使密文不可恢复，实现数据的可信删除。85分布式密钥管理的可信删除基本思