一種Android應(yīng)用安全審核認(rèn)證系統(tǒng)的設(shè)計(jì)方案

◎北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全中心 于成麗

北京信息科技大學(xué)理學(xué)院 吳秋新

北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全中心 郭燕慧

一種Android應(yīng)用安全審核認(rèn)證系統(tǒng)的設(shè)計(jì)方案

◎北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全中心 于成麗

北京信息科技大學(xué)理學(xué)院 吳秋新

北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全中心 郭燕慧

針對(duì)惡意APK文件泛濫問(wèn)題，綜合靜態(tài)、動(dòng)態(tài)安全檢測(cè)和APK重簽名技術(shù)，設(shè)計(jì)了一套安全的Android應(yīng)用審核認(rèn)證系統(tǒng)，它由基于Web應(yīng)用的安全審核平臺(tái)和智能終端APK安全認(rèn)證模塊構(gòu)成。安全審核平臺(tái)利用強(qiáng)健的調(diào)度子系統(tǒng)完成了批量APK應(yīng)用的提交、安全檢測(cè)、重簽名、發(fā)布及統(tǒng)計(jì)查詢功能，保證了發(fā)布到官方應(yīng)用商城中APK的安全性；智能終端APK安全認(rèn)證模塊引入了新型的重簽名技術(shù)，可有效判斷APK應(yīng)用是否由“官方”安全認(rèn)證。由此可見，該系統(tǒng)從“源”（應(yīng)用商城）到“端”（智能終端）保障了APK文件的安全。

安全審核平臺(tái)；APK安全認(rèn)證；靜態(tài)檢測(cè)；動(dòng)態(tài)檢測(cè)；APK重簽名

近年來(lái)，隨著操作系統(tǒng)、生態(tài)體系、無(wú)線互聯(lián)技術(shù)的日益完善，智能電視成為繼PC、手機(jī)和平板電腦之后互聯(lián)網(wǎng)企業(yè)競(jìng)逐的一塊全新領(lǐng)地，基于此，智能電視產(chǎn)業(yè)開始進(jìn)入快速發(fā)展階段?！?014年智能電視行業(yè)媒介數(shù)據(jù)報(bào)告》顯示，截至2014年3月，國(guó)內(nèi)智能電視銷售量已超過(guò)0.35億臺(tái)，智能電視應(yīng)用數(shù)量更超過(guò)3.2萬(wàn)款，其中，基于And?riod系統(tǒng)的智能終端操作系統(tǒng)已經(jīng)占據(jù)了大半江山。在Android電視應(yīng)用系統(tǒng)快速發(fā)展的同時(shí)，惡意APK應(yīng)用、惡意代碼、詐騙軟件等隨之涌現(xiàn)。由于Android平臺(tái)的開放性，部分被收買的開發(fā)者在定制ROM時(shí)肆意破解篡改發(fā)布的APK軟件安裝包，在APK編譯后，通過(guò)植入大量的木馬病毒來(lái)竊取用戶信息，給Android用戶帶來(lái)了嚴(yán)重的隱私安全和經(jīng)濟(jì)損失[1-3]。截至2014年7月底，惡意和高風(fēng)險(xiǎn)Android應(yīng)用程序數(shù)量已經(jīng)達(dá)到290萬(wàn)，Zhou等[4]在對(duì)第三方電子市場(chǎng)研究后發(fā)現(xiàn)，惡意代碼往往通過(guò)篡改并將自身注入到正常應(yīng)用程序（即重打包）的方法，達(dá)到偽裝并欺騙用戶下載的目的。鑒于以上原因，他們提出采用Fuzzy Hashing方法，以實(shí)現(xiàn)重打包檢測(cè)。實(shí)驗(yàn)結(jié)果顯示，第三方電子市場(chǎng)5%～13%的應(yīng)用程序被黑客進(jìn)行了重打包。更多研究表明[5-6]，現(xiàn)存眾多第三方電子市場(chǎng)由于普遍缺乏健全的Android應(yīng)用審核認(rèn)證機(jī)制，因此成為了惡意軟件的溫床。

智能電視和智能手機(jī)在應(yīng)用方面不存在本質(zhì)上的區(qū)別，在某種程度上，甚至可以認(rèn)為是將手機(jī)上的應(yīng)用照搬到電視上，因此，從飽受病毒侵?jǐn)_的智能手機(jī)的現(xiàn)狀可以預(yù)見，未來(lái)智能電視也將出現(xiàn)大量的安全問(wèn)題。為保障整個(gè)家庭的信息安全，減少用戶不必要的經(jīng)濟(jì)損失，搭建并維護(hù)一套安全的Android應(yīng)用審核認(rèn)證系統(tǒng)勢(shì)在必得。

然而，某些Android應(yīng)用審核系統(tǒng)單憑第三方安全檢測(cè)軟件對(duì)相關(guān)APK進(jìn)行審核估計(jì)便發(fā)布應(yīng)用商城，而當(dāng)用戶下載安裝APK時(shí)，終端并沒(méi)有認(rèn)證機(jī)制來(lái)保證其安全性。從某種意義上說(shuō)，這樣審核機(jī)制治標(biāo)不治本，它無(wú)法阻止不法分子先下載APK后對(duì)其篡改，然后再通過(guò)某些未被審核的應(yīng)用商城轉(zhuǎn)到Android用戶。

基于此，本文提出了一套可從“源”（應(yīng)用商城）到“端”（智能終端）保障APK文件安全的系統(tǒng)。

設(shè)計(jì)方案

為徹底防御惡意APK，北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全中心設(shè)計(jì)了一套安全的APK應(yīng)用審核認(rèn)證系統(tǒng)。本系統(tǒng)除了利用靜態(tài)、動(dòng)態(tài)、病毒檢測(cè)逐層加強(qiáng)APK安全性外，還可利用“官方”私鑰，在智能終端中引入新型的重簽名技術(shù)，通過(guò)對(duì)APK重簽，以保證其安全和可認(rèn)證性。同時(shí)，在智能終端嵌入APK安全認(rèn)證模塊，認(rèn)證模塊在應(yīng)用安裝過(guò)程中對(duì)APK進(jìn)行驗(yàn)簽，判斷它是否由“官方”安全認(rèn)證，從而判定它是否為已被破解、被篡改過(guò)的打包“盜版軟件”，以有效確保Android用戶安全使用APK軟件安裝包。該系統(tǒng)通過(guò)實(shí)施“三重保障”安全檢測(cè)技術(shù)和終端重簽名驗(yàn)簽安全認(rèn)證機(jī)制，可從“源”（應(yīng)用商城）到“端”（智能終端）保障APK文件的安全。

本系統(tǒng)為應(yīng)用開發(fā)者和Android用戶提供了APK應(yīng)用提交、安全測(cè)試、重簽名、發(fā)布、終端安全認(rèn)證服務(wù)。此外，系統(tǒng)還通過(guò)一個(gè)基于任務(wù)隊(duì)列的調(diào)度子系統(tǒng)完成相關(guān)任務(wù)調(diào)度功能，具備高可靠性、高容錯(cuò)性、高效、高擴(kuò)展性等特點(diǎn)，能夠應(yīng)對(duì)海量數(shù)據(jù)的并發(fā)處理和調(diào)度，同時(shí)可滿足負(fù)載均衡的要求，實(shí)現(xiàn)了平臺(tái)任務(wù)的高效處理和回收。具體設(shè)計(jì)框架及運(yùn)行流程如圖1所示。

系統(tǒng)功能結(jié)構(gòu)

本Android應(yīng)用審核認(rèn)證系統(tǒng)主要由基于Web應(yīng)用的安全審核平臺(tái)和智能終端APK安全認(rèn)證模塊構(gòu)成。以安全檢測(cè)技術(shù)為基礎(chǔ)，審核平臺(tái)能夠檢測(cè)發(fā)布到官方應(yīng)用商城中的APK安全，而智能終端APK安全認(rèn)證模塊可利用“官方”公私鑰證書對(duì)待安裝到終端的APK文件進(jìn)行簽名驗(yàn)證。

1.基于Web應(yīng)用的安全審核平臺(tái)

基于Web應(yīng)用的安全審核平臺(tái)主要由用戶層、應(yīng)用層、數(shù)據(jù)層和網(wǎng)絡(luò)層構(gòu)成，其架構(gòu)如圖2所示。用戶層泛指面向平臺(tái)的使用對(duì)象，主要包括管理員、智能電視等靜態(tài)用戶和智能手機(jī)、平板電腦等動(dòng)態(tài)用戶；應(yīng)用層主要職責(zé)是接收用戶層分發(fā)的各種任務(wù)、調(diào)度并匹配平臺(tái)資源、回收安全檢測(cè)和重簽名相關(guān)結(jié)果信息，最終將信息傳遞給數(shù)據(jù)層；數(shù)據(jù)層以數(shù)據(jù)庫(kù)集群和磁盤陣列等形式完成各層對(duì)相應(yīng)業(yè)務(wù)數(shù)據(jù)的快速存儲(chǔ)和安全訪問(wèn)；網(wǎng)絡(luò)層為系統(tǒng)平臺(tái)網(wǎng)絡(luò)連接、數(shù)據(jù)流量控制、網(wǎng)絡(luò)運(yùn)行狀態(tài)控制等最基本網(wǎng)絡(luò)數(shù)據(jù)傳送服務(wù)。顯然，應(yīng)用層是審核平臺(tái)的核心，本小節(jié)將主要圍繞Web前端、調(diào)度子系統(tǒng)和功能引擎等三方面介紹平臺(tái)核心應(yīng)用層的體系結(jié)構(gòu)。

Web前端：Web前端的主要功能是完成與用戶層的交互工作，通過(guò)端口監(jiān)聽、查詢MySQL和MongoDB數(shù)據(jù)庫(kù)完成檢測(cè)結(jié)果的查詢與分析、數(shù)據(jù)更新與整合、文件上傳與下載、APK應(yīng)用狀態(tài)查詢、系統(tǒng)管理等功能。

調(diào)度子系統(tǒng)：調(diào)度子系統(tǒng)的主要功能是實(shí)現(xiàn)批量任務(wù)接收、調(diào)度、結(jié)果回收、結(jié)果數(shù)據(jù)存儲(chǔ)等功能。基于任務(wù)隊(duì)列和心跳反射機(jī)制，調(diào)度子系統(tǒng)根據(jù)評(píng)估系統(tǒng)性能，調(diào)度并匹配系統(tǒng)資源進(jìn)而根據(jù)匹配結(jié)果分發(fā)任務(wù)，以保證系統(tǒng)資源池服務(wù)器集群的相對(duì)負(fù)載均衡。

圖1 Android應(yīng)用安全審核認(rèn)證系統(tǒng)

它主要包括3部分：

1）外節(jié)點(diǎn)，調(diào)度子系統(tǒng)的對(duì)外接口。具有接收上層下發(fā)任務(wù)及檢測(cè)結(jié)果、更新應(yīng)用狀態(tài)、同步安全檢測(cè)規(guī)則庫(kù)等基本數(shù)據(jù)庫(kù)操作功能。

2）中心節(jié)點(diǎn)，調(diào)度子系統(tǒng)任務(wù)調(diào)度、分發(fā)的核心部分。首先，任務(wù)隊(duì)列模塊根據(jù)提交的任務(wù)形成待分配的任務(wù)隊(duì)列并提交給任務(wù)調(diào)度模塊；其次，利用指定的調(diào)度算法，任務(wù)調(diào)度模塊根據(jù)子節(jié)點(diǎn)心跳信息匹配資源與分配任務(wù)，形成待下發(fā)任務(wù)隊(duì)列并向指定的資源節(jié)點(diǎn)下發(fā)任務(wù)；最后，當(dāng)任務(wù)完成后，結(jié)果回收模塊回收結(jié)果并存儲(chǔ)數(shù)據(jù)庫(kù)。

3）子節(jié)點(diǎn)，調(diào)度子系統(tǒng)的任務(wù)下發(fā)執(zhí)行及系統(tǒng)性能評(píng)估部分。依據(jù)中心節(jié)點(diǎn)的任務(wù)下發(fā)指示、執(zhí)行樣本檢測(cè)與驗(yàn)證業(yè)務(wù)、回傳檢測(cè)結(jié)果至上層節(jié)點(diǎn)、根據(jù)收集的系統(tǒng)相關(guān)軟件或硬件性能（如CPU使用率、內(nèi)存占用率等）信息持續(xù)向中心節(jié)點(diǎn)發(fā)送心跳。

功能引擎：功能引擎是具體功能執(zhí)行模塊，將具有特定安全策略的軟件部署在服務(wù)器中Linux虛擬機(jī)上，一般有靜態(tài)、動(dòng)態(tài)、病毒檢測(cè)引擎和APK重簽名服務(wù)。

2.智能終端APK安全認(rèn)證模塊

如圖3所示，智能終端APK安全認(rèn)證模塊主要由嵌入APK安裝器中驗(yàn)簽接口、安全代理（實(shí)現(xiàn)驗(yàn)簽核心工作的后臺(tái)應(yīng)用）和公鑰證書存儲(chǔ)區(qū)組成。

具體流程如下：

首先，APK安裝器接收待激活安裝的SignedApp.apk應(yīng)用后，調(diào)用驗(yàn)簽庫(kù)中對(duì)外驗(yàn)簽接口Verify（App路徑)啟動(dòng)安全代理。

其次，安全代理在公鑰證書存儲(chǔ)區(qū)獲取公鑰證書，調(diào)用內(nèi)部驗(yàn)簽接口Verify并結(jié)合公鑰證書對(duì)已簽名的SignedApp.apk進(jìn)行驗(yàn)簽。

最后，安全代理依次通過(guò)內(nèi)部驗(yàn)簽接口、外部驗(yàn)簽接口將驗(yàn)簽結(jié)果返回安裝器。

圖2 安全審核平臺(tái)體系結(jié)構(gòu)

圖3 APK安全認(rèn)證模塊結(jié)構(gòu)流程

由于該認(rèn)證模塊僅在APK安裝器中嵌入了輕量級(jí)的驗(yàn)簽接口，而驗(yàn)簽過(guò)程中的各種復(fù)雜計(jì)算、公鑰證書的提取等流程均由安全代理完成，因此可在有效地實(shí)現(xiàn)模塊分離的同時(shí)，保證APK安裝器安全穩(wěn)定地運(yùn)行。

系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)

1.安全檢測(cè)技術(shù)

安全審核平臺(tái)的安全性由靜態(tài)、動(dòng)態(tài)、病毒檢測(cè)技術(shù)逐層提供安全保障。首先，靜態(tài)檢測(cè)發(fā)現(xiàn)已知惡意代碼片段；其次，動(dòng)態(tài)檢測(cè)發(fā)現(xiàn)未知惡意行為；最后，病毒檢測(cè)把關(guān)審查文件是否被病毒、蠕蟲、木馬及各類惡意軟件感染。病毒檢測(cè)利用python編寫的自動(dòng)化檢測(cè)腳本，上傳APK到由42個(gè)第三方病毒檢測(cè)引擎組成病毒檢測(cè)服務(wù)器完成安全檢測(cè)，此處不再贅述。下面主要介紹靜態(tài)和動(dòng)態(tài)檢測(cè)原理。

1）靜態(tài)檢測(cè)

基于安全規(guī)則庫(kù)的設(shè)計(jì)，靜態(tài)檢測(cè)以APK反編譯和面向?qū)ο笳Z(yǔ)言的源代碼靜態(tài)分析技術(shù)為核心發(fā)現(xiàn)已知惡意代碼片段。其中，安全規(guī)則庫(kù)是從源代碼角度對(duì)Android應(yīng)用中常見的耗費(fèi)、隱私竊取等惡意行為的關(guān)鍵API（應(yīng)用程序編程接口）調(diào)用進(jìn)行總結(jié)和風(fēng)險(xiǎn)評(píng)級(jí)，來(lái)編寫相應(yīng)的檢測(cè)規(guī)則。靜態(tài)檢測(cè)原理如圖4所示。

首先，利用Dex-Class、Class-Java、Xml文件等反編譯器對(duì)Android應(yīng)用程序class.dex、AndroidManifest.xm l文件進(jìn)行反編譯。

其次，對(duì)反編譯后Java源代碼進(jìn)行詞法、語(yǔ)法解析，將分析結(jié)果轉(zhuǎn)換成抽象語(yǔ)法樹（AST），匹配靜態(tài)安全規(guī)則庫(kù)中API對(duì)AST進(jìn)行控制流、數(shù)據(jù)流分析。

然后查詢引起惡意行為的關(guān)鍵API調(diào)用，數(shù)據(jù)流追蹤被引入敏感數(shù)據(jù)的API，精確定位到程序至懷疑出現(xiàn)惡意行為的關(guān)鍵代碼段。

最后，安全風(fēng)險(xiǎn)報(bào)告器出靜態(tài)檢測(cè)結(jié)果。

2）動(dòng)態(tài)檢測(cè)

靜態(tài)檢測(cè)只能檢測(cè)出特征庫(kù)中已有的惡意代碼樣本，無(wú)法檢測(cè)未知的惡意代碼，同時(shí)它很難應(yīng)對(duì)代碼混淆、反射、加密等情況。針對(duì)靜態(tài)檢測(cè)的不足，需要進(jìn)一步實(shí)施動(dòng)態(tài)檢測(cè)。動(dòng)態(tài)檢測(cè)分析主要在受控環(huán)境（真機(jī)、模擬器）中運(yùn)行一個(gè)應(yīng)用程序并檢測(cè)其行為，可以在程序運(yùn)行期間對(duì)尚未添加入惡意代碼庫(kù)的新型程序進(jìn)行甄別。

動(dòng)態(tài)檢測(cè)技術(shù)，一方面包括利用Monkeyrunner等自動(dòng)化測(cè)試技術(shù)對(duì)應(yīng)用軟件的自動(dòng)安裝、啟動(dòng)、運(yùn)行測(cè)試、卸載應(yīng)用程序，并對(duì)整個(gè)測(cè)試過(guò)程的界面進(jìn)行截圖保存；另一方面從Linux內(nèi)核層安全監(jiān)控出發(fā)，利用系統(tǒng)調(diào)用攔截機(jī)制以實(shí)現(xiàn)內(nèi)核層的Hook功能。內(nèi)核層安全監(jiān)控模塊是用戶自定義編寫的，利用LKM技術(shù)動(dòng)態(tài)加載到系統(tǒng)內(nèi)核中，在動(dòng)態(tài)測(cè)試的過(guò)程中，監(jiān)控應(yīng)用程序運(yùn)行中的惡意行為，比如發(fā)送短信、竊取用戶隱私文件、后臺(tái)自動(dòng)聯(lián)網(wǎng)等。當(dāng)APK應(yīng)用有調(diào)用行為時(shí)，內(nèi)核層監(jiān)控模塊會(huì)記錄調(diào)用行為，通過(guò)通信Netlinksocket，將信息傳遞給用戶態(tài)的程序，并保存相應(yīng)的檢測(cè)報(bào)告，其具體步驟如圖5所示。

圖4 靜態(tài)檢測(cè)原理

圖5 動(dòng)態(tài)檢測(cè)原理

2.APK重簽名技術(shù)

智能終端APK安全認(rèn)證模塊由新型的APK重簽名技術(shù)保證，它利用“官方”公私鑰對(duì)待安裝的APK進(jìn)行重簽名驗(yàn)簽。

APK簽名是Android系統(tǒng)對(duì)APK包完整性和發(fā)布機(jī)構(gòu)唯一性的校驗(yàn)機(jī)制之一，其借助于SHA1、RSA等經(jīng)典數(shù)字簽名算法[7-8]，可保證APK的安全性、完整性和不可否認(rèn)性。簽名后的APK包中會(huì)增加一個(gè)目錄文件“/ META-INF”，含有3個(gè)開發(fā)者簽名的信息文件：MANI?FEST.MF、CERT. SF和CERT.RSA，基本流程如圖6的左半部分。然而，跟蹤Android系統(tǒng)驗(yàn)簽源碼發(fā)現(xiàn)，驗(yàn)證3個(gè)簽名信息文件雖然可以校驗(yàn)APK，但并沒(méi)有對(duì)META-INF作自校驗(yàn)處理。同時(shí)，如果在META-INF中添加其他文件并不會(huì)影響APK系統(tǒng)驗(yàn)簽、安裝、運(yùn)行和更新。

基于此，試圖在APK系統(tǒng)簽名之上，基于信任鏈傳遞機(jī)制設(shè)計(jì)一種新型的APK重簽名算法，以保證認(rèn)證模塊的高效安全性。以 Android系統(tǒng)原生簽名為信任根，將信任不斷向上傳遞到APK重簽名流程。重簽名時(shí)，僅對(duì)MANIFEST. MF、CERT.SF、CERT.RSA重簽，對(duì)其他文件不作任何處理，并將重簽名文件Sign.sig和公鑰鑰證信息文件Info.txt獨(dú)立存放到META-INF下，具體流程如圖6右半部分所示。驗(yàn)簽時(shí)，通過(guò)“官方”公鑰證書利用Sign.sig對(duì)MANIFEST. MF、CERT.SF、CERT.RSA進(jìn)行驗(yàn)簽，驗(yàn)簽結(jié)果對(duì)用戶進(jìn)行風(fēng)險(xiǎn)提示，用戶自行選擇是否繼續(xù)安裝。該過(guò)程不僅可保證開發(fā)者自身簽名文件的完整性，而且在APK繼續(xù)安裝時(shí)，可進(jìn)一步驗(yàn)證APK中所有文件的完整性，這是由于APK文件一旦被改動(dòng)將會(huì)導(dǎo)致驗(yàn)簽無(wú)法順利通過(guò)。

方案測(cè)試

本節(jié)分別針對(duì)該審核認(rèn)證系統(tǒng)中的安全審核平臺(tái)和終端認(rèn)證模塊進(jìn)行測(cè)試。

1.安全審核平臺(tái)

安全審核平臺(tái)對(duì)1000個(gè)APK應(yīng)用進(jìn)行安全審核測(cè)試，其中包含400個(gè)公認(rèn)的惡意應(yīng)用（如：近期超級(jí)手機(jī)病毒“XX神器”）分10個(gè)批次下發(fā)。

在測(cè)試原型系統(tǒng)及實(shí)驗(yàn)平臺(tái)配置中，包括服務(wù)器（3臺(tái)），采用雙路16核CPU，4Gbyte內(nèi)存，CentOs6.2，CPU為core（TM）i3-2120CPU，3.30GHz內(nèi)存大小4Gbyte，64位Windows7系統(tǒng)。其中，調(diào)度節(jié)點(diǎn)、安全檢測(cè)引擎、數(shù)據(jù)庫(kù)都以Linux虛擬機(jī)的形式部署在服務(wù)器上。

系統(tǒng)實(shí)驗(yàn)部署示意圖如圖7所示。

該系統(tǒng)的功能、性能等測(cè)試結(jié)果如下：

1）在安全審核結(jié)果方面，檢測(cè)出正常應(yīng)用數(shù)量為598，惡意引應(yīng)用數(shù)量為402，此結(jié)果初步顯示檢測(cè)應(yīng)用的誤判率僅為0.20%。

2）以100個(gè)應(yīng)用任務(wù)作為一批次下發(fā)到檢測(cè)引擎，檢測(cè)發(fā)現(xiàn)每次總耗費(fèi)時(shí)間不超過(guò)1.3min；而對(duì)于每單次任務(wù)，平臺(tái)從接收到調(diào)度平均不超過(guò)0.15min，從接收結(jié)果到回收完成不超過(guò)0.18min。

（3）靜態(tài)、動(dòng)態(tài)、病毒檢測(cè)平均時(shí)間分別為2～3min、5～15min、不超過(guò)1min（與網(wǎng)絡(luò)速度有關(guān))；平均大小為31.8MbyteAPK文件的重簽名時(shí)間為93ms左右。

圖6 APK重簽名流程

圖7 系統(tǒng)測(cè)試部署圖

由此可見，安全審核平臺(tái)在高準(zhǔn)確率的安全審核前提下，可高效地完成批量APK應(yīng)用的靜態(tài)、動(dòng)態(tài)、病毒檢測(cè)和重簽名調(diào)度處理工作。

2.終端APK安全認(rèn)證模塊

該次測(cè)試模擬真實(shí)電視用戶的裝機(jī)環(huán)境，選取了Android智能電視裝機(jī)必備的10款不同APK應(yīng)用（譬如安全工具、文件管理、購(gòu)物、影音、生活等）為例進(jìn)行測(cè)試，測(cè)試原型系統(tǒng)配置中，驗(yàn)簽移動(dòng)智能終端的配置為：CPU（1.45 Hz），RAM（2.00 Gbyte），OS（Android 4.2），測(cè)試結(jié)果如表1所示。

測(cè)試表明，Android用戶在安裝Android智能電視中如上10款A(yù)PK應(yīng)用時(shí)，利用本系統(tǒng)內(nèi)置的APK安全認(rèn)證模塊平均所需等待時(shí)間僅為0.3 s，對(duì)用戶安全體驗(yàn)滿意度影響微小。

表1 Android智能電視中的10款不同APK應(yīng)用驗(yàn)簽測(cè)試結(jié)果

小結(jié)

本文綜合靜態(tài)、動(dòng)態(tài)、病毒安全檢測(cè)和APK重簽名技術(shù)，設(shè)計(jì)了一套安全的Android應(yīng)用審核認(rèn)證系統(tǒng)，它由基于Web應(yīng)用的安全審核平臺(tái)和智能終端APK安全認(rèn)證模塊構(gòu)成。該系統(tǒng)通過(guò)采用“三重保障”安全檢測(cè)技術(shù)和終端重簽名驗(yàn)簽安全認(rèn)證機(jī)制，可從“源”到“端”保障了APK文件的安全使用。同時(shí)，該系統(tǒng)能夠應(yīng)對(duì)海量數(shù)據(jù)的并發(fā)處理和調(diào)度，滿足負(fù)載均衡的要求，實(shí)現(xiàn)平臺(tái)任務(wù)的高效處理和回收，具備高效、高可靠性、高容錯(cuò)性、高擴(kuò)展性等特點(diǎn)。通過(guò)對(duì)第三方應(yīng)用市場(chǎng)Android應(yīng)用的分析檢測(cè)以及對(duì)系統(tǒng)誤報(bào)和漏報(bào)測(cè)試表明，本系統(tǒng)審核認(rèn)證效果良好，具備高實(shí)用性、靈活性和可擴(kuò)展性等優(yōu)點(diǎn)，也具有較高的應(yīng)用價(jià)值和推廣價(jià)值。而如何聯(lián)合官方安全機(jī)構(gòu)、應(yīng)用商城及各大智能電視終端廠商建立并維護(hù)一套可監(jiān)管的、健全的、標(biāo)準(zhǔn)化的APK應(yīng)用安全審核認(rèn)證系統(tǒng)還需要集體的力量。

[1]閆梅，彭新光.基于Android安全機(jī)制的權(quán)限檢測(cè)系統(tǒng)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2013，（3）:85-88.

[2] 李靜華，慕德俊，楊鳴坤.Android惡意程序行為分析系統(tǒng)設(shè)計(jì)[J].北京郵電大學(xué)學(xué)報(bào)，2014（S1）:104-107.

[3]史立原，譚金蓉.安卓電視機(jī)芯智能升級(jí)的應(yīng)用研究[J].電視技術(shù)，2014，38（6）：58-61.

[4]ZHOU W，ZHOU Y，JIANG X，et al. Detecting repackaged smartphone appli?cations in third-party Android market places[C]//Proc.the second ACM Confer?ence on Data And Application Security and Privacy.[s.l.]：IEEE Press，2012：317-326.

[5]BORJA S，IGOR S，CARLOS L，et al. Permission usage to detect malware in Android[C]//ProC.International Joint Conference CISIS’12-ICEUTE’12-SO?CO’12 special sessions，[s.l.]：IEEE Press，2012：289-298.

[6]BURGUERA I，ZRUTUZA U，NADJM S. Behavior-basedmalware detection system for Android[C]//Proc.the 15THACM Workshop on Security and Privacy in Smartphones and Mobile Devices.[s.l.]：IEEE Press，2011：15-26.

[7]DANGRAD I.A design principle for hash functions[C]//Prol.In:Crypto LNCS.[s.l.]： IEEE Press，1989：416-427.

[8]RIVEST R L，SHAMIR A，ADLEMAN L M.A method for obtaining digital sig?natures and public-key crypto-systems [J].Communications of the ACM，1978（21）:120-126.

于成麗（1989—），碩士生，主要從事智能終端安全保障、移動(dòng)互聯(lián)網(wǎng)安全檢測(cè)、安全加密、密碼學(xué)、數(shù)字水印等研究；

吳秋新（1967—），副教授，碩士生導(dǎo)師，主要從事密碼學(xué)、信息安全、可信計(jì)算等研究；

郭燕慧（1974—），副教授，碩士生導(dǎo)師，主要從事內(nèi)容安全、軟件安全、機(jī)器學(xué)習(xí)、知識(shí)發(fā)現(xiàn)等研究。

TP393.08

A

【本文獻(xiàn)信息】于成麗，吳秋新，郭燕慧.一種Android應(yīng)用安全審核認(rèn)證系統(tǒng)的設(shè)計(jì)方案[J].電視技術(shù)，2014，38（20）.