[发明专利]一种基于云加密服务的商用移动操作系统信息保护方法

说明书

本发明公开了一种基于云加密服务的商用移动操作系统信息保护方法，包括以下步骤：一、移动系统端证书服务与云端加密服务器初始化；二、APP通过系统的证书服务和后台云加密服务器交互。为解决android移动操作系统应用(app)“云(APP后台)、管(网络)、端(APP运行环境)”同时面临的威胁，本发明的创新在于系统引入了证书服务，只有证书服务正常运行，APP才处于可信状态，APP所有的信息交互都通过系统证书服务的进行加密，每个APP应用都有独立的加密证书；每个终端都有与硬件关联的证书；除了证书服务动态防篡改指纹，应用APP的后台还可以定义复合防篡改指纹，从而形成多因子加密和防篡改系统。

技术领域

本发明涉及移动操作系统云加密通讯领域，特别涉及一种基于云加密服务的商用移动操作系统信息保护方法。

背景技术

当前我国移动互联网高度发达，智能手机与终端普及率已经大大超过了PC，移动终端的便捷性为用户的工作生活娱乐带来更高的效率，更丰富的体验与更多的乐趣。目前智能手机主流的操作系统包括安卓和IOS，安卓由于其开放性具有更多的市场渗透率。无论安卓和IOS系统，最初的设计都是生活消费级产品，并没有针对企业、机构关心的信息安全方面的设计，所以在信息安全处于完全放任的状态。另外，由于系统设计等原因，包括IOS和安卓的发行版本都存在大量的无修复的安全BUG。安卓是消费级别的移动操作系统，在设计之初就没有考虑商业用户对安全稳定与定制开发方面的需求，同时由于安卓原码的开放性让其它完全暴露在恶意使用者的威胁之下。下面通过移动操作系统设计层面问题和具体安全问题对于移动操作系统面临的主要安全威胁进行介绍。

(1)应用获取ROOT权限：由于安卓开源使用得恶意使用者可以对其代码进行全面的安全漏洞研究，因此安卓曝出大量的ROOT方案，可以无刷机获取系统权限，当恶意使用者获取了系统最高权限，可以通过注入、欺诈、篡改和窃取等方式威胁系统。

(2)XPOSED框架和APP容器：Xposed框架(Xposed Framework)是一套开源的、在Android高权限模式下运行的框架服务，可以在不修改APK文件的情况下影响程序运行(修改系统)的框架服务，基于它可以制作出许多功能强大的模块，且在功能不冲突的情况下同时运作。利用XPOSED的HOOK组件，可以轻松获取与篡改任意函数的参数返回值。

Virtual APP是APP容器比较知名的框架，利用Virtual APP框架，恶意使用者可以轻松让任意应用运行在Virtual APP的内存里，从而实现对任意应用无限制的操控和对信息的截取与篡改。

(3)应用克隆漏洞：应用克隆即在他人的手机上克隆一份APP，克隆者可以轻松获取账户权限，盗取用户账号及资金等，这听上去很可怕，但这样的“应用克隆”攻击模型已经存在，此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP，基本是以主流APP为代表的应用，像订餐类，出行类等主流APP，在用户眼里这些APP可能比较成熟不会担心存在安全隐患，可往往事与愿违。

某实验室以某APP为例展示了“应用克隆”攻击的效果：在升级到最新安卓8.1.0的手机上，利用其自身的漏洞，“攻击者”向用户发送一条包含恶意链接的手机短信，用户一旦点击，其账户一秒钟就被“克隆”到“攻击者”的手机中，然后“攻击者”就可以任意查看用户信息，并可直接操作该应用，窃取隐私信息，盗取账号及资金等。不过该实验室负责人表示，本次发现的“应用克隆”漏洞只针对安卓系统。

据了解，基于该攻击模型，实验室以某个常被厂商忽略的安全问题进行检查，在200个移动应用中发现27个存在漏洞，比例超过10％。

(4)应用信息欺诈：通过在客户或网络管道篡改信息的方式造成安全事件，如

下两种二维码支付篡改窃取资金:

a.篡改二维码方式，如图1；

b.篡改交易数据方式，如图2；