物理安全測評技術研究

時間:2022-07-18 09:16:06

導語:物理安全測評技術研究一文來源于網友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

物理安全測評技術研究

摘要:智能終端的安全測評的內容通常有:物理安全、操作系統(tǒng)安全、通信接口安全、應用軟件安全、用戶數(shù)據(jù)安全。本文主要從物理安全的角度來研究并完成新興的特殊的人臉識別智能終端的安全測評。通過對人臉識別智能終端工作原理和智能終端安全測評技術的研究,本文提出了結合旁路攻擊和網絡抓包的物理安全測評方法,在人臉數(shù)據(jù)的傳輸過程中,嘗試獲取人臉數(shù)據(jù),完成人臉識別智能終端的物理安全的測評。從而完善了智能終端的測評體系。

關鍵詞:物理安全;人臉識別;網絡抓包;安全協(xié)議

1引言

2021年11月1日起執(zhí)行的《中華人民共和國個人信息保護法》界定個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。個人信息處理者應當采取相應的加密等技術措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失。其中,人臉數(shù)據(jù)就是一項很重要的個人信息。人臉識別是基于人的臉部特征信息進行身份識別的一種生物識別技術,用攝像機或攝像頭采集含有人臉的圖像或視頻流,并自動在圖像中檢測和跟蹤人臉,進而對檢測到的人臉進行臉部識別的一系列相關技術,通常也叫做人像識別、面部識別。伴隨計算機技術的高速發(fā)展,人臉識別也成為了人工智能領域相對成熟的技術之一,成為除語音識別之外較早實現(xiàn)應用落地的人工智能技術,特別是在中國當前環(huán)境下,海量數(shù)據(jù)的支撐、市場背后應用場景的豐富以及尖端技術的累積更是加速了人臉識別的落地。隨著人臉識別技術的規(guī)?;逃茫八⒛樳M站”、“刷臉支付”、“刷臉取款”開始涌入人們的生活。這一技術帶來的便捷無感體驗的同時,也帶來了極大的個人隱私泄露的風險。比如,人臉識別采集到的個人信息是否會被泄露?傳輸過程中,人臉數(shù)據(jù)的加密密鑰和人臉數(shù)據(jù)的明文或者密文等關鍵信息,是否可能被截獲?其中人臉采集、傳輸、存儲、銷毀所依賴的終端環(huán)境是保證個人信息安全的關鍵環(huán)節(jié)。人臉識別智能終端的安全測評,將為更多開發(fā)者提供安全參考,為消費者提供個人信息、隱私數(shù)據(jù)及財產安全保障。

2安全測評現(xiàn)狀

智能終端系統(tǒng)安全測評體系,通常包括:操作系統(tǒng)安全、通信接口安全、應用軟件安全、用戶數(shù)據(jù)安全和物理安全。針對操作系統(tǒng)安全、通信接口安全、應用軟件安全和用戶數(shù)據(jù)安全,目前均有了較成熟的測評方法,具體介紹如下:(1)操作系統(tǒng)安全測評方法通過開發(fā)終端應用程序并在終端上運行,通過應用程序調用智能終端相關的功能,檢測終端對于各類功能的調用是否是在用戶授權的前提下進行。通過開發(fā)木馬程序,主動攻擊操作系統(tǒng),檢測操作系統(tǒng)的安全防護能力。(2)外圍接口安全測評方法在預設條件下,對智能終端有線外圍接口及無線外圍接口的開關、配對、數(shù)據(jù)傳輸、傳輸中斷等功能進行檢查,檢測終端用戶是否能有效控制外圍接口的開關、配對、數(shù)據(jù)傳輸、傳輸中斷等操作;外圍接口是否在操作界面給出了清晰的狀態(tài)標識,從而保障用戶的知情權和控制權。通過開發(fā)應用程序主動訪問終端的無線外圍接口,檢測無線外圍接口是否具備一定安全防護能力,以及應用程序是否能在用戶未授權的情況下觸發(fā)無線外圍接口的開關、配對和數(shù)據(jù)傳輸?shù)裙δ堋#?)應用軟件安全測評方法基于靜態(tài)源代碼分析方法,對應用軟件的源代碼和配置信息進行掃描、分析,對應用軟件源代碼的規(guī)范性和可靠性進行檢測?;趧討B(tài)行為監(jiān)控的方法,對應用軟件權限明示和權限調用的行為進行檢測,檢測應用軟件的權限調用行為是否在用戶可知、可控的前提下進行。(4)用戶數(shù)據(jù)存儲安全測評方法基于功能核查的方法,驗證終端在未輸入正確密碼的情況下,是否能提供密碼保護功能,如,屏保狀態(tài)下是否可以通過通話功能直接進入操作界面。使用數(shù)據(jù)讀取工具對執(zhí)行刪除操作后的數(shù)據(jù)進行恢復,檢測終端是否提供用戶數(shù)據(jù)的徹底刪除功能。人臉識別智能終端的安全測評,除了包含常規(guī)智能終端測評中的操作系統(tǒng)安全、通信接口安全、應用軟件安全和常規(guī)的用戶數(shù)據(jù)安全外,在交易過程中,還包括了特殊的用戶個人信息即人臉數(shù)據(jù),為了確保人臉數(shù)據(jù)在采集、使用、傳輸過程中的安全,我們從物理安全的角度對終端進行安全測評,從而確保產品對于個人信息的安全性的保障是合法的、完備的。

3實驗終端及工作原理介紹

本實驗使用的人臉識別智能終端是具有人臉識別、身份證識讀、二維碼識讀、聯(lián)網、刷臉支付等功能。人臉識別智能終端包含底座、轉軸、平板三部分。平板負責觸摸顯示、人臉信息采集和傳輸、無線通信、數(shù)據(jù)加解密等功能,是整個終端設備的核心。硬件上包含觸摸顯示屏、人臉采集攝像頭模組、4G通信模塊、WiFi通信模塊、主控CPU、內存、加密卡、SE芯片等等。本次測評主要針對人臉數(shù)據(jù)的安全防護。因此,本次實驗主要在負責人臉數(shù)據(jù)的采集、傳輸功能的由平板上完成。實驗終端的刷臉支付應用對數(shù)據(jù)的加密采取兩重SM4算法加密的方式,具體步驟如下:(1)終端操作系統(tǒng)隨機生成16字節(jié)的SM4密鑰K1,即人臉數(shù)據(jù)加密密鑰,使用K1對人臉數(shù)據(jù)進行SM4加密,得到加密態(tài)的人臉數(shù)據(jù),同時將K1送入SE加密模塊中;(2)在SE加密模塊中,使用人臉數(shù)據(jù)加密密鑰的保護密鑰將人臉數(shù)據(jù)加密密鑰K1進行SM4加密,得到加密態(tài)的SM4密鑰EN_K1;(3)業(yè)務交互過程中,使用預制在刷臉支付應用中的根證書,將加密態(tài)的人臉圖片數(shù)據(jù)和加密態(tài)的SM4密鑰一起打包,通過TLS傳輸協(xié)議上報到云端,在云端完成遠程比對。人臉識別智能終端在刷臉支付流程中所用到的密鑰如表1:

4物理安全測評方法

根據(jù)上一章中介紹的人臉數(shù)據(jù)加密機制,我們得知,如果在刷臉支付的過程中,獲取到當次交易的人臉數(shù)據(jù)加密密鑰的明文,同時在人臉數(shù)據(jù)的傳輸過程中獲取到對應的密文,則可以直接解密,獲取到人臉數(shù)據(jù)明文。因此,本次測評的目標即為獲取人臉數(shù)據(jù)加密密鑰的明文和人臉數(shù)據(jù)的密文。(1)安裝BUG,用來監(jiān)聽人臉數(shù)據(jù)保護密鑰的明文。本實驗中選用的是具有WiFi模塊的BUG。(2)配置網絡抓包環(huán)境。使用測試電腦創(chuàng)建WiFi熱點,使用終端的WLAN連接至測試電腦創(chuàng)建的熱點,并在測試電腦端配置Wireshark環(huán)境。(3)發(fā)起交易,獲取數(shù)據(jù)。在人臉識別智能終端側發(fā)起交易,使用Wireshark工具進行抓包,如圖2。同時,使用BUG監(jiān)聽到的數(shù)據(jù)如下圖3所示。進行多次交易,根據(jù)監(jiān)聽到的數(shù)據(jù),分析出人臉數(shù)據(jù)保護密鑰的明文。如果測評過程中,遇到終端與人臉數(shù)據(jù)后臺是通過TLS1.2等安全協(xié)議進行連接的情況,可以嘗試使用Fiddler工具建立代理進行中間人攻擊。代理建立完成后,執(zhí)行刷臉交易,然后對交易過程中的數(shù)據(jù)進行分析。圖4fiddler工具數(shù)據(jù)分析(4)綜合判定。最后根據(jù)以上幾個步驟的分析結果,綜合判定人臉數(shù)據(jù)的安全性。

5結束語

人臉識別智能終端在越來越多的領域中應用,比如,金融、司法、軍隊、公安、邊檢、政府、航天、電力、工廠、教育、醫(yī)療等領域。因此人臉識別智能終端的安全性已經與人們的生活息息相關。本文提出的物理安全測評方法,通過軟、硬件結合的方式完成加裝BUG、旁路攻擊獲取敏感數(shù)據(jù),并通過抓包的方式獲取和分析人臉識別智能終端和云端之間的通訊數(shù)據(jù)的方法,然后根據(jù)測評過程中的參與因素和相關規(guī)范要求,計算終端防攻擊強度分值,從而完成人臉識別智能終端的安全測評。本文在已有的智能終端安全測評方法的基礎上,提出了物理安全的測評方法,完善了智能終端安全測評體系,更強有力地保障了終端安全測評的有效性,促進了信息化安全保障能力的提高,從而確保了人臉識別智能終端的發(fā)展符合《中華人民共和國個人信息保護法》的要求。

參考文獻:

[1]肖征榮,安崗,張延練.終端安全測評方法研究[J].互聯(lián)網天地,2016(12):10-12.

[2]鄒意華,賀冠鵬,曾天宇.移動智能終端的信息安全風險及測評方法研究[J].網絡安全,2020(6):137-138.

[3]范紅,林大海,王冠.移動互聯(lián)網安全測評關鍵技術研究[J].中興通訊技術,2015(6):38-40.

[4]趙旺飛.移動智能終端APP發(fā)展趨勢及面臨的安全挑戰(zhàn)[J].移動通信,2015(5):26-30.

[5]陳哲謙.移動智能終端安全問題分析與應對[J].中國科技縱橫,2013,000(020):45-45.

[6]付皓,戴國華,劉兆元,等.移動終端安全問題分析與解決方案研究[J].移動通信,2012,36(009):68-72.

作者:唐培麗 黃貴玲 單位:中國電子科技集團公司第十五研究所國家電子計算機質量檢驗檢測中心