一種移動網際網路安全服務系統的製作方法
2023-06-10 23:06:21 1
一種移動網際網路安全服務系統的製作方法
【專利摘要】本發明涉及一種移動網際網路安全服務系統,包括:安全運營管理裝置,包含密鑰管理平臺、設備管控平臺和木馬查殺平臺;安全應用服務裝置,包含簡訊加密伺服器、語音加密伺服器、郵件加密伺服器和移動辦公伺服器,提供加密簡訊、加密語音、加密郵件和移動辦公的安全服務;虛擬安全通信裝置,包括安全網關和策略管理伺服器,提供虛擬安全通道和安全防護功能;安全電子市場伺服器,存儲安全運營管理裝置審核發布的安全應用程式集合,供用戶終端進行應用軟體下載。本發明能夠提供行動裝置管理、安全保密通信和惡意代碼查殺功能,為用戶提供防竊密、防洩密和保通信服務,保證了通信的安全可靠,提升了移動網際網路監控和管理能力。
【專利說明】—種移動網際網路安全服務系統
【技術領域】
[0001]本發明屬於計算機網絡【技術領域】,涉及一種移動網際網路安全服務系統,提供行動裝置管理,安全保密通信和惡意代碼查殺功能,實現為用戶提供防竊密、防洩密和保通信服務。
【背景技術】
[0002]隨著智能終端的迅速普及和移動網際網路的快速發展,目前移動網際網路的安全環境正面臨巨大挑戰,惡意扣費、流量消耗、遠程控制、隱私竊取、惡意傳播等行為層出不窮。蘋果公司的iOS和Google公司的Android作為兩個主流的智能終端作業系統,其建立的移動網際網路生態系統存在著安全隱患。
[0003]蘋果公司的iOS作為一個封閉的作業系統,存在由蘋果公司嵌入惡意代碼到作業系統內部的可能。同時,蘋果商店作為用戶下載應用程式的唯一渠道,由蘋果公司進行審核和管理,也存在蘋果為其利益而沒有予以禁止惡意應用程式的可能。iPhone和iPad上的應用程式通知消息都是由蘋果推送伺服器傳遞的,因此蘋果推送伺服器可以收集到客戶大量的交互信息。此外,iCloud平臺可以將個人信息存儲到蘋果伺服器,蘋果公司會掌握大量的用戶資料。蘋果公司建立並運營其生態系統,用戶的隱私信息完全暴露給蘋果公司,對於用戶尤其是中國用戶存在重大的安全隱患。
[0004]同iOS系統生態系統相比,Android生態系統同樣存在著安全隱患問題。首先,Android系統應用程式籤名機制缺乏權威機構的認證,監督和管控能力不足,任何軟體開發者以自籤名的形式自由發布應用程式,而沒有經過權威機構檢測認證。其次,如果攻擊者非法獲取系統root權限,便能夠得到文件系統中和SD卡中的數據,進而洩露系統中的所有內容。應用程式安裝過程中請求所需權限,如果不滿足其所聲明的權限用戶將無法使用該應用程式,由此惡意的應用程式能夠非法獲取簡訊、通訊錄、攝像頭、麥克風等權限,竊取用戶的隱私信息。最後,受限於Android應用市場的盈利機制,第三方應用開發者可能加載了大量的廣告和後門,私自收集用戶的個人信息。
[0005]由此可見,蘋果和Google建立的移動網際網路生態系統存在著安全隱患,如何對第三方應用開發者、應用軟體和應用商店等環節進行約束,提升移動網際網路監管能力,全力打造良性的移動網際網路安全服務體系,構建安全的移動網際網路生態系統迫在眉睫。
【發明內容】
[0006]本發明的目的在於提供一種移動網際網路安全服務系統,提供行動裝置管理,安全保密通信和惡意代碼查殺功能,實現為用戶提供防竊密、防洩密和保通信服務。
[0007]為實現上述目的,本發明採用如下技術方案:
[0008]一種移動網際網路安全服務系統,其包括:
[0009]安全運營管理裝置,包含密鑰管理平臺、設備管控平臺和木馬查殺平臺,分別提供密鑰管理和分發、行動裝置管控、木馬查殺和軟體測試評估功能,作為整個安全服務系統的核心運營設備;
[0010]安全應用服務裝置,連接所述安全運營管理裝置,包括簡訊加密伺服器、語音加密伺服器、郵件加密伺服器和移動辦公伺服器,根據安全運營管理裝置中的密鑰管理平臺提供的安全接口,為用戶終端提供加密簡訊、加密語音、加密郵件和移動辦公的安全服務;
[0011]虛擬安全通信裝置,連接所述安全運營管理裝置,包括安全網關和策略管理伺服器,提供虛擬安全通道和安全防護功能;
[0012]安全電子市場伺服器,存儲安全運營管理裝置審核發布的安全應用程式集合,供用戶終端進行應用軟體下載。
[0013]進一步地,所述安全運營管理裝置中,密鑰管理平臺管理和分發用戶終端(如智能終端)所需的密鑰,並在用戶登錄過程中進行身份鑑別。所述密鑰包括智能終端用戶註冊過程中的公私鑰對、數據傳輸過程中的加密密鑰和數據在終端存儲時的存儲密鑰。密鑰管理平臺對密鑰在整個生命周期中進行管理,包括密鑰的生成、存儲、分發、備份、更新、撤銷、掛起和恢復等全過程的管理。
[0014]進一步地,所述安全運營管理裝置中,設備管控平臺與用戶終端作業系統相互協同,實現用戶終端上的應用程式、數據內容、設備資源的管控,包括權限控制、應用管理、遠程擦除、安全桌面、實時定位、數據隔離與加密存儲等功能。
[0015]進一步地,所述安全運營管理裝置中,木馬查殺平臺提供惡意代碼查殺、木馬仿真分析、應用程式安全評估功能,並構建惡意代碼雲特徵庫,為用戶終端提供實時的檢測。木馬查殺平臺通過靜態特徵分析和動態行為分析兩種技術實現木馬查殺。木馬靜態特徵分析通過反編譯等逆向工程的方法,實現對待測應用程式的權限、類別、函數調用的分析和威脅評估。木馬動態行為分析將待測應用程式釋放到封閉的沙箱中運行和監控,通過對待測應用程式的本地行為和網絡行為等進行分析,實現對惡意行為的定位和評估。
[0016]進一步地,所述安全運營管理裝置為第三方應用開發者提供軟體開發工具包,包括安全傳輸接口和加密存儲接口,以供第三方應用開發者進行應用程式的開發,開發完成後提交給安全運營管理裝置進行審核。
[0017]進一步地,所述虛擬安全通信裝置中,安全網關提供安全接入通道、地址過濾機制,流量檢測和控制等功能,當識別到網絡攻擊將警告信息發送給策略管理伺服器作處理;策略管理伺服器提供管理平臺,制定訪問控制策略下發到安全網關,並處理告警信息。
[0018]進一步地,所述虛擬安全通信裝置在電信運營商提供的網絡基礎設施上搭建安全網關等設備,建立虛擬的安全通道,保證數據的加密傳輸和數據流的安全可控。
[0019]進一步地,所述安全電子市場伺服器為用戶終端提供的安全應用軟體包括加密簡訊、加密語音、加密郵件、移動辦公、新聞、社交等,所有應用軟體需要經過安全運營管理裝置審核評估。
[0020]與現有技術相比,本發明的優點和積極效果如下:
[0021]本發明提供一種移動網際網路安全服務系統,包括安全運營管理裝置、安全應用服務裝置、虛擬安全應用裝置、安全電子市場伺服器等功能群組。該系統提供行動裝置管理功能,能夠在會議、工作的模式下禁用錄音、攝像、WiF1、藍牙、行動網路等功能,防止用戶信息的竊取和通過無線網絡外洩,同時還支持數據加密存儲和遠程數據銷毀。該系統提供安全保密通信功能,提供虛擬的安全通道,支持語音、簡訊、郵件、即時通信的加密傳輸,保證了通信的安全可靠。此外,該系統提供惡意代碼查殺功能,通過木馬查殺平臺檢測應用程式,構建安全的電子市場提升了移動網際網路監控和管理能力。
【專利附圖】
【附圖說明】
[0022]圖1為本發明的移動網際網路安全服務系統的關係描述示意圖。
[0023]圖2為本發明的移動網際網路安全服務系統的功能組成圖。
[0024]圖3為本發明具體實施例的第三方應用程式惡意代碼檢測分析流程圖。
[0025]圖4為本發明具體實施例的設備管控平臺進行用戶管理的接口示意圖。
【具體實施方式】
[0026]下面通過具體實施例和附圖,對本發明做詳細的說明。
[0027]圖1為本發明的移動網際網路安全服務系統的裝置間的關係描述圖。如圖1所示,安全運營管理裝置101提供密鑰分發和管理、行動裝置管控、惡意代碼查殺和軟體測試評估功能,包括密鑰管理平臺、設備管控平臺、木馬查殺平臺,是整個安全服務系統的核心管理者。密鑰管理平臺分發智能終端註冊過程中的密鑰,並管理終端密鑰的全生命周期,同時在用戶登錄過程中進行身份鑑別。設備管控平臺與智能終端作業系統相互協同,實現智能終端上的應用程式、數據內容、設備資源的管控。木馬查殺平臺為用戶終端提供實時的檢測,查殺手機中的惡意代碼。安全應用服務裝置102提供加密簡訊、加密語音、加密郵件和移動辦公等安全服務。虛擬安全通信裝置103提供虛擬安全通道和安全防護功能。安全電子市場伺服器104中存儲安全運營管理裝置101發布的安全應用程式集合,提供用戶終端下載應用軟體的需求。第三方應用開發者105進行應用軟體的開發。電信運營商106提供網絡基礎設施。智能終端107具有智能作業系統,可以安裝第三方應用程式。手機軟硬體廠商108提供用戶智能終端設備和作業系統。
[0028]下面進一步說明圖1所示各實體裝置和各參與者之間的關係。
[0029]安全運營管理裝置101和安全應用服務裝置102的關係:安全運營管理裝置101為安全應用服務裝置102提供密鑰管理基礎設施,安全應用服務裝置102根據安全運營管理裝置101的安全接口實現加密簡訊、加密語音、加密郵件和移動辦公等功能。
[0030]安全運營管理裝置101和智能終端107的關係:安全運營管理裝置101為智能終端107提供密鑰分發、設備管控和木馬查殺功能。木馬查殺平臺通過靜態特徵分析和動態行為分析兩種方式為智能終端107提供雲查殺服務,達到淨化智能終端107的目的。設備管控平臺通過簡訊通道和數據通道管控智能終端107上的應用程式和設備資源,遠程制定安全策略推送安全應用程式,控制終端的權限,並能夠擦除智能終端107上數據。
[0031]安全應用服務裝置102和智能終端107的關係:安全應用服務裝置102為用戶智能終端107提供加密簡訊、加密語音、加密郵件和移動辦公等安全服務。
[0032]安全運營管理裝置101和第三方應用開發者105的關係:第三方應用開發者105按照安全運營管理裝置101提供的安全傳輸接口和加密存儲接口進行應用程式的開發,開發完成後提交給安全運營管理裝置101審核。
[0033]安全運營管理裝置101和安全電子市場伺服器104的關係:安全運營管理裝置101對第三方應用進行惡意代碼查殺和安全評估,確認安全後發布到安全電子市場裝置104 上。
[0034]安全電子市場伺服器104和智能終端107的關係:智能終端107從安全電子市場裝置104下載應用程式,安全應用軟體包括加密簡訊、加密語音、加密郵件、移動辦公、工具、新聞、社交等。
[0035]智能終端107和手機軟硬體廠商108的關係:手機軟硬體廠商108提供用戶各種類型的智能終端設備。
[0036]虛擬安全通信裝置103和電信運營商106的關係:虛擬安全通信裝置103在電信運營商106提供的網絡基礎設施上搭建安全網關等設備,建立虛擬的安全通道。
[0037]安全運營管理裝置101和虛擬安全通信裝置103的關係:虛擬安全通信裝置101為安全運營管理裝置103提供虛擬專網。
[0038]本發明的移動網際網路安全服務系統,其原理主要是在現有的移動網際網路通信系統基礎上增加了設備管控、保密通信和木馬查殺功能。
[0039]圖2為移動網際網路安全服務系統的功能組成圖,通過該圖可以進一步地理解圖1中各裝置所具有的功能。如該圖所示,包括設備管控子系統201,保密通信子系統202和木馬查殺子系統203,提供行動裝置管理,安全保密通信和惡意代碼查殺功能。設備管控子系統201提供智能終端的權限控制、應用管理、遠程擦除、安全桌面、實時定位、數據隔離與加密存儲功能。保密通信子系統202提供加密簡訊、加密語音、加密郵件、加密即時通信、遠程移動辦公和身份認證功能。木馬查殺子系統203提供惡意代碼查殺、木馬仿真分析、應用程式安全評估功能,並構建安全可信的終端運行環境和惡意代碼雲特徵庫。
[0040]下面通過具體實例,結合附圖詳細說明本發明的實現過程。
[0041]如圖3所示,為第三方應用程式惡意代碼的檢測分析過程。第三方應用開發者根據安全運營管理裝置提供的安全傳輸接口和加密存儲接口調用相應的安全軟體開發包進行應用程式的開發,開發完成後提交給安全運營管理裝置進行檢測分析(步驟S301)。安全運營管理裝置建立木馬特徵庫,檢測判斷第三方應用程式是否存在惡意代碼(步驟S302)。如果應用程式中存在惡意代碼,安全運營管理裝置通告第三方應用開發者(步驟S303)。如果應用程式中不存在惡意代碼,安全運營管理裝置根據建立的雲仿真平臺進行動態木馬檢測,並對應用程式進行安全評估(步驟S304)。如果應用程式中存在木馬,安全運營管理裝置通告第三方應用開發者(步驟S305),並更新木馬特徵庫。如果應用程式中不存在惡意代碼,安全運營管理裝置發布第三方應用程式到安全電子市場伺服器(步驟S306)。
[0042]如圖4所示,為設備管控平臺進行用戶管理的接口圖。安全運營管理裝置中通過設備管控平臺管控智能終端上的功能,如攝像頭、藍牙、WiF1、NFC、麥克風等,通過權限管理接口 401開啟或禁用這些功能。在具體實施時,可以根據時間、地點自動禁用或開啟某些功能。如果智能終端丟失,可以通過遠程擦除接口 402擦除設備上的應用程式和數據。定位接口 403實現實時定位終端所在位置,對用戶行動裝置進行管控。通過應用管理接口 404推送安全的應用程式,並且對智能終端上的應用程式進行管控,卸載或靜默安裝某些應用程式。通過鎖屏接口 405給用戶智能終端推送設置鎖屏密碼的提示,並規定用戶鎖屏密碼的複雜度,要求用戶進行密碼的設定,保護智能終端。如果用戶忘記設備密碼,可以解鎖設備,比如通過管理員來解鎖設備。當終端處於未知狀態,防止數據丟失,可以給終端發送一個鎖屏命令。登陸註冊接口 406實現用戶在設備管控平臺上的註冊過程和登陸過程。[0043]上述僅為本發明的較佳實施例而已,並非用來限定本發明的保護範圍。即凡依本發明的思想和精神所做的等同變化與修改,皆為本發明的保護範圍所涵蓋。
【權利要求】
1.一種移動網際網路安全服務系統,其特徵在於,包括: 安全運營管理裝置,包含密鑰管理平臺、設備管控平臺和木馬查殺平臺,分別提供密鑰管理和分發、行動裝置管控、木馬查殺和軟體測試評估功能,作為整個安全服務系統的核心運營設備; 安全應用服務裝置,連接所述安全運營管理裝置,包含簡訊加密伺服器、語音加密伺服器、郵件加密伺服器和移動辦公伺服器,根據安全運營管理裝置中的密鑰管理平臺提供的安全接口,為用戶終端提供加密簡訊、加密語音、加密郵件和移動辦公的安全服務; 虛擬安全通信裝置,連接所述安全運營管理裝置,包括安全網關和策略管理伺服器,提供虛擬安全通道和安全防護功能; 安全電子市場伺服器,存儲安全運營管理裝置審核發布的安全應用程式集合,供用戶終端進行應用軟體下載。
2.如權利要求1所述的系統,其特徵在於:所述安全運營管理裝置中的密鑰管理平臺管理和分發智能終端所需的密鑰,並在用戶登錄過程中進行身份鑑別;所述密鑰包括智能終端用戶註冊過程中的公私鑰對、數據傳輸過程中的加密密鑰和數據在終端存儲時的存儲密鑰。
3.如權利要求1所述的系統,其特徵在於:所述密鑰管理平臺對密鑰在整個生命周期中進行管理,包括密鑰的生成、存儲、分發、備份、更新、撤銷、掛起和恢復過程的管理。
4.如權利要求1所述的系統,其特徵在於:所述安全運營管理裝置中的設備管控平臺與智能終端作業系統相互協同,實現智能終端上的應用程式、數據內容和設備資源的管控,包括下列中的一種或多種:權限控制、應用管理、遠程擦除、安全桌面、實時定位、數據隔離、加密存儲。
5.如權利要求1所述的·系統,其特徵在於:所述安全運營管理裝置中的木馬查殺平臺提供惡意代碼查殺、木馬仿真分析、應用程式安全評估功能,並構建惡意代碼雲特徵庫,為用戶終端提供實時的檢測。
6.如權利要求5所述的系統,其特徵在於:所述木馬查殺平臺通過靜態特徵分析和動態行為分析兩種技術實現木馬查殺,所述靜態特徵分析通過逆向工程的方法實現對待測應用程式的權限、類別、函數調用的分析和威脅評估,所述動態行為分析將待測應用程式釋放到封閉的沙箱中運行和監控,通過對待測應用程式的本地行為和網絡行為進行分析,實現對惡意行為的定位和評估。
7.如權利要求1所述的系統,其特徵在於:所述安全運營管理裝置為第三方應用開發者提供軟體開發工具包,包括安全傳輸接口和加密存儲接口,以供第三方應用開發者進行應用程式的開發,開發完成後提交給安全運營管理裝置進行審核。
8.如權利要求1所述的系統,其特徵在於:所述虛擬安全通信裝置中的安全網關提供安全接入通道、地址過濾機制、流量檢測和控制功能,當識別到網絡攻擊將警告信息發送給策略管理伺服器作處理;策略管理伺服器提供管理的平臺,制定訪問控制策略下發到安全網關,並處理告警信息。
9.如權利要求1所述的系統,其特徵在於:所述虛擬安全通信裝置在電信運營商提供的網絡基礎設施上搭建安全網關設備,建立虛擬的安全通道,保證數據的加密傳輸和數據流的安全可控。
10.如權利要求1所述的系統,其特徵在於:所述安全電子市場伺服器為智能終端提供的安全應用軟體包括下列中的一種或多種:加密簡訊、加密語音、加密郵件、移動辦公、新聞、社交,所有應用軟體經過 安全運營管理裝置審核評估。
【文檔編號】H04W12/00GK103716785SQ201310738033
【公開日】2014年4月9日 申請日期:2013年12月26日 優先權日:2013年12月26日
【發明者】朱大立, 邱峰, 馮維淼, 張豔芳, 荊鵬飛, 馬璐萍 申請人:中國科學院信息工程研究所