移动终端高安需求自主可控环境实现方法与流程

1.本发明涉及一种移动终端高安需求自主可控环境实现方法，属于网络信息安全技术领域。


背景技术：

2.随着各种移动智能终端的大量使用，企业和高度敏感信息的政府军队等相关部门享受着智能设备便利的同时，对移动设备的安全需求得到不断提升，据有关权威部门统计，60％以上的企业信息泄露是由内部员工造成，而员工移动设备就是其中很大的一条途径和泄密通道，因此，需要提出一种构建安全可管控的移动办公空间的技术解决方案。


技术实现要素：

3.为了解决上述技术问题，本发明提供一种移动终端高安需求自主可控环境实现方法，可为员工终端提供安全工作空间，将企业办公环境与员工私人环境分开，既满足企业管理的需求，又保护了员工的个人隐私。其具体技术方案如下：
4.一种移动终端高安需求自主可控环境实现方法：包括以下步骤：
5.一、建立企业应用商城，所述企业应用商城下发用户需要的企业应用至企业终端，能帮助金融、建筑、通讯、电商、医疗等企业建立自己特有的应用平台，保证企业应用来源的安全性和易用性。所述企业应用商城支持从应用上线、应用分组、应用安装策略制定、应用下线、权限控制等全生命周期的管理。
6.二、管理企业应用，包括企业应用删除和企业数据删除；
7.将安全策略管控能力对应到每个独立的企业应用，例如，公共应用商店中的应用或企业自行开发使用的应用等，每个独立的应用都将通过应用商店下发给用户，并通过后台管理平台进行管理。
8.企业应用管理服务为确保只有受信任的设备和用户接入企业应用和企业数据信息，借助身份和接入管理(iam)能力，实现用户和设备认证、应用登录、验证等功能。另外企业应用管理服务还可以通过时间围栏、地理围栏等信息来增强接入管理能力。
9.企业应用管理服务提供可靠的终端安全检测与防御能力。通过移动终端设备的风险监控，并结合云查服务及时发现终端设备的安全问题，可以保障终端免受病毒、伪基站、钓鱼wi-fi等常见黑客手段的攻击。
10.三、企业终端安全扫描，提供全方位的终端安全检测能力，包括病毒木马检测、root/越狱检测、恶意流量检测、wi-fi风险检测、模拟器/虚拟机检测和系统漏洞检测，有效防御恶意风险攻击。
11.进一步的，所述企业应用商城包括上传模块、审核模块、发布模块、下载模块、管理模块和下线模块，
12.所述上传模块按照用户组、使用设备类型、应用分类等条件上传应用，指定应用程序是否强制安装；
13.所述审核模块审核员对上传应用程序审核，审核员有权限查看和下载未发布的应用程序；
14.所述发布模块指定发布时间；
15.所述下载模块包括断点续传和下载识别，保证应用下载正常和完整，下载过的应用不会重复下载；
16.所述管理模块包括应用程序版本管理、更新管理、使用授权管理和使用时间管理；
17.所述下线模块，下线的应用程序在客户端进行提示后，可选是否自动删除下线应用。
18.进一步的，所述企业终端安全扫描具体包括以下步骤：
19.31：对接企业终端已有的安全扫描软件，进行安全评估；
20.32：内置开源安全扫描软件，openvas开放式漏洞评估系统。
21.进一步的，所述企业终端建立安全沙箱，安全沙箱是一种按照安全策略限制程序行为的执行环境，是一个虚拟系统程序，允许在沙箱环境中独立运行浏览器或其他程序，因此运行所产生的变化可以随后删除。早期主要用于测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。经典的沙箱系统的实现途径一般是通过拦截系统调用，监视程序行为，然后依据用户定义的策略来控制和限制程序对计算机资源的使用，比如改写注册表，读写磁盘等。
22.我们此处使用沙箱创新了使用场景,利用他的独立隔离性质,运行重要敏感数据和企业应用,采用安全沙箱技术，重要敏感应用在沙箱中运行和保存。
23.企业应用管理服务应用安全沙箱技术，使设备商的企业应用和个人应用环境分开，为安全管理提供一个独立的企业空间，既满足企业的管理需求，也保护了员工的个人隐私。
24.采用重定向技术，即重新指定方向，也就是说沙箱能够做到让沙箱内软件操作的文件、接口、注册表等路径重定向到其他位置(沙箱指定位置)，这样可疑软件程序本来想访问或执行的系统资源就不会被访问或执行，保证资源的安全性。其实重定向也可以叫做“虚拟化”，或者称作"隔离"。把程序生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和一些系统的核心数据。
25.通过加载自身的驱动来保护底层数据，属于驱动级别的保护，
26.使用docker容器安全解决方案,docker容器是一个开源的应用容器，让开发者可以打包应用以及依赖包到一个可移植的镜像中，发布到任何流行的linux或windows操作系统的机器上，也可以实现虚拟化。docker容器是完全使用沙箱机制，宿主机(物理机器)与docker容器相互之间不会有任何直接物理调用。
27.进一步的，所述docker容器包括dockert客户端、dockerdaemon守护进程、dockerimage镜像和dockercontainer容器。所述docker客户端为用户提供一系列可执行命令，用户用这些命令实现跟dockerdaemon交互。所述dockerdaemon守护进程，一般在宿主主机后台运行，等待接收来自客户端的消息。构建docker容器的固态文件系统，所述dockerimage镜像是docker特定文件格式系统的unionfs联合文件系统。所述unionfs联合文件系统,可以将几层目录挂载到一起,形成一个虚拟文件系统)，对外展示形式就是一个tar文件集合。每一个tar文件就是一层unionfs联合文件系统。dockercontainer容器是
docker镜像的运行实例，类似于可执行文件与进程的关系，docker是容器引擎，相当于系统平台。
28.进一步的，还包括通过国密组件生成数字签名，
29.所述国密组件即国家密码局认定的国产密码算法，是我国自主研发创新的一套数据加密处理系列算法，包括sm1对称加密、sm2非对称加密、sm3消息摘要和sm4对称加密，密钥长度和分组长度均为128位。
30.sm1对称加密的加密强度与aes相当，该算法不公开，调用该算法时，需要通过加密芯片的接口进行调用。
31.sm2非对称加密基于ecc，该算法已公开。由于该算法基于ecc，故其签名速度与秘钥生成速度都快于rsa。ecc256位(sm2采用的就是ecc256位的一种)安全强度比rsa2048位高，但运算速度快于rsa。是国家密码管理局公布的公钥算法，其加密强度为256位
32.sm3消息摘要可以用md5作为对比理解，该算法已公开。校验结果为256位。
33.sm4对称加密，是无线局域网标准的分组数据算法，密钥长度和分组长度均为128位。
34.我们按国密基础技术要求实现了上述部门适配移动端安全要求的国密算法。
35.数字签名digitalsignature是公钥密码算法的一类典型应用，常见应用场景为：发送方使用其私钥对消息进行处理得到签名值，接收方使用发送方的公钥对消息和签名值进行验证，简称“私钥加签，公钥验签”，相对应的使用公钥密码算法进行加密的流程为：“公钥加密，私钥解密”。在此过程中可能使用到的主要密码算法有：非对称密码算法(又称公钥密码算法)、哈希算法(又称消息摘要算法、杂凑算法等)。
36.具体包括以下步骤：
37.首先，准备工作：通过签名算法得到的签名结果za值，使用椭圆曲线方程计算用户的za值，所述椭圆曲线方程的参数包括a、b、g的坐标xg和yg以及pa的坐标xa和ya，并将其数据类型转换为比特串，za＝h256(entla||ida||a||b||xg||yg||xa||ya)。其中，entla是由整数entlena转换而成的两个字节，a、b为fq中的元素，用来定义椭圆曲线，对于sm2算法而言一般来说是固定的，g为选定椭圆曲线上的基点，选取da为私钥，pa为公钥，pa＝da*g，xg、yg和xa、ya分别为g点和pa点的横、纵坐标，za经过杂凑函数运算后长度为256位的杂凑值。
38.其次，生成流程如下：
39.第1步:置m为待签名的消息；
40.第2步:计算
41.第3步:用随机数发生器产生随机数k∈[1,n-1]；
[0042]
第4步:计算椭圆曲线点(x1,y1)＝[k]g，将x1的数据类型转换为整数；
[0043]
第5步:计算r＝(e+x1)modn，若r＝0或r+k＝n则返回第3步；
[0044]
第6步:计算s＝((1+da)-1
·
(k-r
·
da))mod n，若s＝0则返回第3步；
[0045]
第7步:将r、s的数据类型转换为字节串，m的数字签名为(r,s)。
[0046]
最后，输出消息m及其数字签名为(r,s)。
[0047]
本发明的有益效果是：
[0048]
本发明可通过网页端的管理后台对员工身份、设备及办公应用进行统一的监控与
管理；提供移动风险检测能力，对终端、网络、应用、数据以及运行环境进行安全管控，保护企业的移动办公安全，包括：
[0049]
1.数据安全：工作数据通过工作目录空间和个人数据隔离出来，并且受到工作目录空间的保护,运维人员可以部署工作数据被保护的策略和方针；
[0050]
2.app安全：作目录空间里面的移动端应用是通过企业应用商城部署的。运维人员可以阻止安装未知来源的app，并且可以配置app应用的安全策略；
[0051]
3.设备安全：支持国密的设备受到磁盘国密加密，锁屏，远程设备丢失数据删除的保护。
[0052]
本发明通过独立逻辑存储运行空间，将移动设备上的工作应用与个人应用进行隔离；限制双方数据的互相随意通信和传输数据，避免信息泄密；加固工作应用程序的安全性，并且可对应用程序进行数据加密、权限控制、功能限制等相关功能。
[0053]
本发明通过独立企业安全应用商城，定制企业需要的安全软件；通过安全扫描功能，评估掌握移动终端和沙箱的整体安全态势。
附图说明
[0054]
图1是本发明的流程示意图；
[0055]
图2是本发明的数字签名生成流程示意图。
具体实施方式
[0056]
现在结合附图对本发明作进一步详细的说明。
[0057]
如图1所示，本实施例包括以下步骤：
[0058]
一、建立企业应用商城，所述企业应用商城下发用户需要的企业应用至企业终端，能帮助金融、建筑、通讯、电商、医疗等企业建立自己特有的应用平台，保证企业应用来源的安全性和易用性。所述企业应用商城支持从应用上线、应用分组、应用安装策略制定、应用下线、权限控制等全生命周期的管理。
[0059]
所述企业应用商城包括上传模块、审核模块、发布模块、下载模块、管理模块和下线模块：
[0060]
所述上传模块按照用户组、使用设备类型、应用分类等条件上传应用，指定应用程序是否强制安装；所述审核模块审核员对上传应用程序审核，审核员有权限查看和下载未发布的应用程序；所述发布模块指定发布时间；所述下载模块包括断点续传和下载识别，保证应用下载正常和完整，下载过的应用不会重复下载；所述管理模块包括应用程序版本管理、更新管理、使用授权管理和使用时间管理；所述下线模块，下线的应用程序在客户端进行提示后，可选是否自动删除下线应用。
[0061]
二、管理企业应用，包括企业应用删除和企业数据删除；
[0062]
将安全策略管控能力对应到每个独立的企业应用，例如，公共应用商店中的应用或企业自行开发使用的应用等，每个独立的应用都将通过应用商店下发给用户，并通过后台管理平台进行管理。
[0063]
企业应用管理服务为确保只有受信任的设备和用户接入企业应用和企业数据信息，借助身份和接入管理(iam)能力，实现用户和设备认证、应用登录、验证等功能。另外企
业应用管理服务还可以通过时间围栏、地理围栏等信息来增强接入管理能力。
[0064]
企业应用管理服务提供可靠的终端安全检测与防御能力。通过移动终端设备的风险监控，并结合云查服务及时发现终端设备的安全问题，可以保障终端免受病毒、伪基站、钓鱼wi-fi等常见黑客手段的攻击。
[0065]
三、企业终端安全扫描，提供全方位的终端安全检测能力，包括病毒木马检测、root/越狱检测、恶意流量检测、wi-fi风险检测、模拟器/虚拟机检测和系统漏洞检测，有效防御恶意风险攻击。具体包括以下步骤：
[0066]
31：对接企业终端已有的安全扫描软件，进行安全评估；
[0067]
32：内置开源安全扫描软件，openvas开放式漏洞评估系统。
[0068]
四、所述企业终端建立安全沙箱，安全沙箱是一种按照安全策略限制程序行为的执行环境，是一个虚拟系统程序，允许在沙箱环境中独立运行浏览器或其他程序，因此运行所产生的变化可以随后删除。早期主要用于测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。经典的沙箱系统的实现途径一般是通过拦截系统调用，监视程序行为，然后依据用户定义的策略来控制和限制程序对计算机资源的使用，比如改写注册表，读写磁盘等。
[0069]
我们此处使用沙箱创新了使用场景,利用他的独立隔离性质,运行重要敏感数据和企业应用,采用安全沙箱技术，重要敏感应用在沙箱中运行和保存。
[0070]
企业应用管理服务应用安全沙箱技术，使设备商的企业应用和个人应用环境分开，为安全管理提供一个独立的企业空间，既满足企业的管理需求，也保护了员工的个人隐私。
[0071]
采用重定向技术，即重新指定方向，也就是说沙箱能够做到让沙箱内软件操作的文件、接口、注册表等路径重定向到其他位置(沙箱指定位置)，这样可疑软件程序本来想访问或执行的系统资源就不会被访问或执行，保证资源的安全性。其实重定向也可以叫做“虚拟化”，或者称作"隔离"。把程序生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和一些系统的核心数据。
[0072]
通过加载自身的驱动来保护底层数据，属于驱动级别的保护，
[0073]
使用docker容器安全解决方案,docker容器是一个开源的应用容器，让开发者可以打包应用以及依赖包到一个可移植的镜像中，发布到任何流行的linux或windows操作系统的机器上，也可以实现虚拟化。docker容器是完全使用沙箱机制，宿主机(物理机器)与docker容器相互之间不会有任何直接物理调用。
[0074]
所述docker容器包括dockert客户端、dockerdaemon守护进程、dockerimage镜像和dockercontainer容器。所述docker客户端为用户提供一系列可执行命令，用户用这些命令实现跟dockerdaemon交互。所述dockerdaemon守护进程，一般在宿主主机后台运行，等待接收来自客户端的消息。构建docker容器的固态文件系统，所述dockerimage镜像是docker特定文件格式系统的unionfs联合文件系统。所述unionfs联合文件系统,可以将几层目录挂载到一起,形成一个虚拟文件系统)，对外展示形式就是一个tar文件集合。每一个tar文件就是一层unionfs联合文件系统。dockercontainer容器是docker镜像的运行实例，类似于可执行文件与进程的关系，docker是容器引擎，相当于系统平台。
[0075]
还包括通过国密组件生成数字签名，所述国密组件即国家密码局认定的国产密码
算法，是我国自主研发创新的一套数据加密处理系列算法，包括sm1对称加密、sm2非对称加密、sm3消息摘要和sm4对称加密，密钥长度和分组长度均为128位。
[0076]
sm1对称加密的加密强度与aes相当，该算法不公开，调用该算法时，需要通过加密芯片的接口进行调用。
[0077]
sm2非对称加密基于ecc，该算法已公开。由于该算法基于ecc，故其签名速度与秘钥生成速度都快于rsa。ecc256位(sm2采用的就是ecc256位的一种)安全强度比rsa2048位高，但运算速度快于rsa。是国家密码管理局公布的公钥算法，其加密强度为256位
[0078]
sm3消息摘要可以用md5作为对比理解，该算法已公开。校验结果为256位。
[0079]
sm4对称加密，是无线局域网标准的分组数据算法，密钥长度和分组长度均为128位。
[0080]
我们按国密基础技术要求实现了上述部门适配移动端安全要求的国密算法。
[0081]
数字签名digitalsignature是公钥密码算法的一类典型应用，常见应用场景为：发送方使用其私钥对消息进行处理得到签名值，接收方使用发送方的公钥对消息和签名值进行验证，简称“私钥加签，公钥验签”，相对应的使用公钥密码算法进行加密的流程为：“公钥加密，私钥解密”。在此过程中可能使用到的主要密码算法有：非对称密码算法(又称公钥密码算法)、哈希算法(又称消息摘要算法、杂凑算法等)。
[0082]
如图2所示，具体包括以下步骤：
[0083]
首先，准备工作：通过签名算法得到的签名结果za值，使用椭圆曲线方程计算用户的za值，所述椭圆曲线方程的参数包括a、b、g的坐标xg和yg以及pa的坐标xa和ya，并将其数据类型转换为比特串，za＝h256(entla||ida||a||b||xg||yg||xa||ya)。其中，entla是由整数entlena转换而成的两个字节，a、b为fq中的元素，用来定义椭圆曲线，对于sm2算法而言一般来说是固定的，g为选定椭圆曲线上的基点，选取da为私钥，pa为公钥，pa＝da*g，xg、yg和xa、ya分别为g点和pa点的横、纵坐标，za经过杂凑函数运算后长度为256位的杂凑值。
[0084]
sm2曲线方程,其中六个参量都是固定的。根据国密局给出的规范定义如下：
[0085]
方程为：y2＝x3+ax+by
[0086]
p＝fffffffeffffffffffffffffffffffffffffffff00000000ffffffffffffffff；
[0087]
a＝fffffffeffffffffffffffffffffffffffffffff00000000fffffffffffffffc；
[0088]
b＝28e9fa9e9d9f5e344d5a9e4bcf6509a7f39789f515ab8f92ddbcbd414d940e93；
[0089]
n＝fffffffeffffffffffffffffffffffff7203df6b21c6052b53bbf40939d54123；
[0090]
xg＝32c4ae2c1f1981195f9904466a39c9948fe30bbff2660be1715a4589334c74c7；
[0091]
yg＝bc3736a2f4f6779c59bdcee36b692153d0a9877cc62a474002df32e52139f0a0。
[0092]
其次，生成流程如下：
[0093]
第1步:置m为待签名的消息；
[0094]
第2步:计算
[0095]
第3步:用随机数发生器产生随机数k∈[1,n-1]；
[0096]
第4步:计算椭圆曲线点(x1,y1)＝[k]g，将x1的数据类型转换为整数；
[0097]
第5步:计算r＝(e+x1)modn，若r＝0或r+k＝n则返回第3步；
[0098]
第6步:计算s＝((1+da)-1
·
(k-r
·
da))mod n，若s＝0则返回第3步；
[0099]
第7步:将r、s的数据类型转换为字节串，m的数字签名为(r,s)。
[0100]
最后，输出消息m及其数字签名为(r,s)。
[0101]
本发明可通过网页端的管理后台对员工身份、设备及办公应用进行统一的监控与管理；提供移动风险检测能力，对终端、网络、应用、数据以及运行环境进行安全管控，保护企业的移动办公安全。
[0102]
以上述依据本发明的理想实施例为启示，通过上述的说明内容，相关工作人员完全可以在不偏离本项发明技术思想的范围内，进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容。

技术特征：
1.一种移动终端高安需求自主可控环境实现方法，其特征在于：包括以下步骤：一、建立企业应用商城，所述企业应用商城下发用户需要的企业应用至企业终端，保证企业应用来源的安全性和易用性；二、管理企业应用，包括企业应用删除和企业数据删除，将安全策略管控能力对应到每个独立的企业应用；三、企业终端安全扫描，包括病毒木马检测、root/越狱检测、恶意流量检测、wi-fi风险检测、模拟器/虚拟机检测和系统漏洞检测。2.根据权利要求1所述的移动终端高安需求自主可控环境实现方法，其特征在于：所述企业应用商城包括上传模块、审核模块、发布模块、下载模块、管理模块和下线模块：所述上传模块按照用户组、使用设备类型、应用分类等条件上传应用，指定应用程序是否强制安装；所述审核模块审核员对上传应用程序审核，审核员有权限查看和下载未发布的应用程序；所述发布模块指定发布时间；所述下载模块包括断点续传和下载识别，保证应用下载正常和完整，下载过的应用不会重复下载；所述管理模块包括应用程序版本管理、更新管理、使用授权管理和使用时间管理；所述下线模块，下线的应用程序在客户端进行提示后，可选是否自动删除下线应用。3.根据权利要求1所述的移动终端高安需求自主可控环境实现方法，其特征在于：所述企业终端安全扫描具体包括以下步骤：31：对接企业终端已有的安全扫描软件；32：内置开源安全扫描软件，openvas开放式漏洞评估系统。4.根据权利要求1所述的移动终端高安需求自主可控环境实现方法，其特征在于：所述企业终端建立安全沙箱，采用重定向技术，通过加载自身的驱动来保护底层数据，使用docker容器安全解决方案。5.根据权利要求4所述的移动终端高安需求自主可控环境实现方法，其特征在于：所述docker容器包括dockert客户端、dockerdaemon守护进程、dockerimage镜像和dockercontainer容器。6.根据权利要求1所述的移动终端高安需求自主可控环境实现方法，其特征在于：还包括通过国密组件生成数字签名，具体包括以下步骤：首先，准备工作：通过签名算法得到的签名结果z
a
值，使用椭圆曲线方程计算用户的z
a
值，所述椭圆曲线方程的参数包括a、b、g的坐标x
g
和y
g
以及pa的坐标x
a
和y
a
，并将其数据类型转换为比特串，z
a
＝h256(entla||ida||a||b||x
g
||y
g
||x
a
||y
a
)：其中，entla是由整数entlena转换而成的两个字节，a、b为fq中的元素，g为选定椭圆曲线上的基点，选取d
a
为私钥，p
a
为公钥，p
a
＝d
a
*g，x
g
、y
g
和x
a
、y
a
分别为g点和p
a
点的横、纵坐标，z
a
经过杂凑函数运算后长度为256位的杂凑值；其次，生成流程如下：
第1步:置m为待签名的消息；第2步:计算第3步:用随机数发生器产生随机数k∈[1,n-1]；第4步:计算椭圆曲线点(x1,y1)＝[k]g，将x1的数据类型转换为整数；第5步:计算r＝(e+x1)modn，若r＝0或r+k＝n则返回第3步；第6步:计算s＝((1+d
a
)-1
·
(k-r
·
d
a
))mod n，若s＝0则返回第3步；第7步:将r、s的数据类型转换为字节串，m的数字签名为(r,s)。最后，输出消息m及其数字签名为(r,s)。7.根据权利要求6所述的移动终端高安需求自主可控环境实现方法，其特征在于：所述国密组件包括sm1对称加密、sm2非对称加密、sm3消息摘要和sm4对称加密。

技术总结
本发明涉及一种移动终端高安需求自主可控环境实现方法，包括以下步骤：一、建立企业应用商城，所述企业应用商城下发用户需要的企业应用至企业终端，保证企业应用来源的安全性和易用性；二、管理企业应用，包括企业应用删除和企业数据删除，将安全策略管控能力对应到每个独立的企业应用；三、企业终端安全扫描。本发明通过独立逻辑存储运行空间，将移动设备上的工作应用与个人应用进行隔离；限制双方数据的互相随意通信和传输数据，避免信息泄密；加固工作应用程序的安全性，并且可对应用程序进行数据加密、权限控制、功能限制等相关功能。功能限制等相关功能。功能限制等相关功能。


技术研发人员：戴弘林 顾亮 张玉磊 梅雪明 张秦啸威
受保护的技术使用者：江苏量界数据科技有限公司
技术研发日：2023.01.04
技术公布日：2023/7/25