移動Web操作系統(tǒng)安全綜述

楊 瑩李 威吳 荻

1(中國科學(xué)院信息工程研究所 北京 100093)2(公安部第三研究所 上海 200031)(yangying@iie.ac.cn)

移動互聯(lián)網(wǎng)的發(fā)展、移動終端普及率的提高，推動了移動辦公、移動政務(wù)、電子商務(wù)、電子支付等新興領(lǐng)域的發(fā)展.在這些領(lǐng)域，由于涉及到手機用戶的個人信息或公司的內(nèi)部信息，安全問題成為人們普遍關(guān)心的問題.目前智能終端操作系統(tǒng)中Android，iOS，WP (Windows phone)占據(jù)了大部分市場份額，iOS和WP的安全依賴于其閉源和應(yīng)用溯源等安全機制.而Android由于開源，使惡意軟件和黑客非常容易進(jìn)行權(quán)限獲取和系統(tǒng)修改，面臨更多的內(nèi)核層危害.在移動政務(wù)領(lǐng)域，要求系統(tǒng)能夠為用戶提供機密性和完整性的保護(hù)，而這些安全需求在當(dāng)前的主流操作系統(tǒng)中并未體現(xiàn).

隨著網(wǎng)絡(luò)帶寬的增加和網(wǎng)絡(luò)傳輸速度的提升，越來越多的廠商推出了新的移動操作系統(tǒng)，比如Mozilla的Firefox OS、Intel和三星共同開發(fā)的Tizen、Google的Chrome OS、Ubuntu的Touch等.這些操作系統(tǒng)都是采用HTML5，CSS，JavaScript等Web語言開發(fā)的基于網(wǎng)絡(luò)的操作系統(tǒng)(Web-based operating system, Web OS)，而對于用戶來說這些Web OS更像一個瀏覽器或者服務(wù)平臺.對于政府和企業(yè)用戶，利用基于Web OS的移動終端可以使用戶通過Web OS在不同的終端的瀏覽器框架運行云端存儲的辦公軟件，而數(shù)據(jù)的存儲和管理交給可信云，既解決了移動辦公問題，又可通過數(shù)據(jù)和應(yīng)用的集中管理保證信息的安全性.因此，基于Web OS實現(xiàn)的移動終端成為一種新的移動政務(wù)解決方案.

1 研究現(xiàn)狀

由于Android和iOS超過95%的市場占有率，對于新發(fā)展起來的Web OS等新型智能終端操作系統(tǒng)的研究相對較少.目前開源的Web OS主要有：Firefox OS[1-2]，Chrome OS[3]，Tizen[4]，Ubuntu Touch[5]等，對Web OS安全的研究主要從Web應(yīng)用的安全性[6-9]、權(quán)限機制[10-11]和應(yīng)用審核發(fā)布[12-15]等方面進(jìn)行.還有一些研究是基于移動網(wǎng)絡(luò)的攻擊[16-17]和內(nèi)置廣告的威脅[18-19]來進(jìn)行.

隨著Web OS系統(tǒng)的發(fā)展，文獻(xiàn)[20]提出一個基于P2P網(wǎng)格架構(gòu)和語義技術(shù)的PGSW-OS(P2P網(wǎng)格語義Web OS)模型來改善Web操作系統(tǒng)中的資源管理，降低了在Web操作系統(tǒng)環(huán)境中搜索的計算復(fù)雜度.文獻(xiàn)[21]對存在缺陷傾向的應(yīng)用程序與平臺依賴性之間的關(guān)系進(jìn)行研究，指出具有缺陷傾向的應(yīng)用源代碼比無缺陷的對平臺的依賴性更高，并且增加平臺依賴性會增加源代碼文件中存在缺陷的可能性.而基于Web OS能夠提供更好的跨平臺性，Web應(yīng)用也具有較少的平臺依賴性.在當(dāng)前工作[22-23]中將Web OS用于對遠(yuǎn)程應(yīng)用程序管理，并且這些方案能夠減少時間、成本和資源的使用，提高了信息集成的效率，這也為移動政務(wù)提供了一種新的解決方案.還有一些面向高安全等級移動辦公的解決方案[24]，通過引入改進(jìn)的BLP模型來提高基于Web OS辦公系統(tǒng)的機密性.

利用Web OS實現(xiàn)移動瘦終端是使用Web OS提供的瀏覽器框架來運行安裝在服務(wù)器上的應(yīng)用(稱為Web應(yīng)用)，而本地只存儲這個應(yīng)用的Manifest文件(權(quán)限列表文件)，用來對Web應(yīng)用調(diào)用終端系統(tǒng)資源進(jìn)行權(quán)限管理.這種方式的優(yōu)點是跨平臺性，且不必考慮終端運算能力、存儲條件便可以直接使用服務(wù)器上的資源.但是由于Web OS是新技術(shù)，在設(shè)計時側(cè)重移動性和跨平臺性，對安全性折中考慮.在此背景下，本文針對幾個開源Web OS分析其安全問題和應(yīng)對方案.

2 安全性分析

Firefox OS，Tizen，Chrome OS，Ubuntu Touch均基于Linux內(nèi)核采用層級的系統(tǒng)架構(gòu)，但具有不同的安全機制，本節(jié)從這些平臺的體系結(jié)構(gòu)、應(yīng)用類型和安全機制入手，進(jìn)一步分析其各自的安全性.

圖1 Firefox OS系統(tǒng)架構(gòu)

2.1 體系結(jié)構(gòu)

2012年Mozilla將Boot to Gecko項目正式更名為Firefox OS.其系統(tǒng)架構(gòu)[1]如圖1所示，在硬件上方依次是Gonk，Gecko，Gaia層.Gonk層將底層手機硬件的功能抽象提供給Gecko層，并提供系統(tǒng)庫、設(shè)備驅(qū)動程序和Linux內(nèi)核.Gecko層是應(yīng)用程序運行時，通過Web API強制執(zhí)行安全策略，而訪問設(shè)備硬件功能的唯一方法是使用Web API調(diào)用.Gaia層由基于HTML5，CSS，JavaScript編寫的應(yīng)用程序組成.

Tizen系統(tǒng)整合了BADA和MeeGo操作系統(tǒng)，于2012年2月正式公布，目前已經(jīng)應(yīng)用到手機、平板、智能手表、TV等設(shè)備.其架構(gòu)[4]如圖2所示，由系統(tǒng)層、各類本地子系統(tǒng)、框架層和應(yīng)用層組成.它為開發(fā)人員提供Web API和本地API.Web框架可以開發(fā)和運行具有HTML5功能的應(yīng)用程序，并為開發(fā)人員提供2組API：W3CHTML5 API和設(shè)備API.應(yīng)用程序通過與其類型相對應(yīng)的API實現(xiàn)對設(shè)備功能的訪問.

圖2 Tizen系統(tǒng)架構(gòu)

Chrome OS自2013年起可以在x86或ARM微處理器上運行.其系統(tǒng)架構(gòu)[3]如圖3所示，具有3層：固件、系統(tǒng)級軟件和服務(wù)、瀏覽器和窗口管理器.固件有助于快速啟動、驗證引導(dǎo)過程中的每個步驟并協(xié)助系統(tǒng)恢復(fù);系統(tǒng)級軟件包括Linux內(nèi)核、設(shè)備驅(qū)動等;瀏覽器為應(yīng)用提供運行環(huán)境，窗口管理器處理用戶交互.

圖3 Chrome OS系統(tǒng)架構(gòu)

圖4 Ubuntu Touch系統(tǒng)架構(gòu)

Ubuntu Touch項目開始于2011年，于2013年1月2日發(fā)布了該系統(tǒng).目前該系統(tǒng)定位于能夠在手機、平板、IoT設(shè)備、TV上廣泛使用并兼容的系統(tǒng).Ubuntu Touch[25]系統(tǒng)架構(gòu)如圖4所示，分為內(nèi)核、Ubuntu平臺、應(yīng)用和應(yīng)用框架層.Ubuntu為應(yīng)用程序提供3種API：Ubuntu平臺API(Unity)、W3C API和Cordova API.Unity API提供對OS服務(wù)的訪問，例如通知、消息傳遞、媒體播放器、啟動器等.W3C API遵循W3C規(guī)范，提供有限的1組設(shè)備資源訪問.Cordova API提供對各種系統(tǒng)資源的訪問，如攝像頭、聯(lián)系人、文件、地理定位和存儲，且任何來源Web代碼都可以訪問Cordova API.

在體系結(jié)構(gòu)方面，由于這些平臺所采取的商業(yè)發(fā)展策略不同，其體系結(jié)構(gòu)也有所區(qū)別.比如Tizen出于對Android應(yīng)用的兼容，采用混合的框架層，同時支持Web應(yīng)用和Android應(yīng)用，而Chrome和Ubuntu僅支持遠(yuǎn)程安裝的Web應(yīng)用.總的來說，這些平臺都采用了層級的結(jié)構(gòu)：硬件依次為Linux內(nèi)核、系統(tǒng)層、框架層和應(yīng)用層.

Linux內(nèi)核和系統(tǒng)層為用戶提供最基本的功能，包括內(nèi)存管理、進(jìn)程調(diào)度、設(shè)備驅(qū)動和文件系統(tǒng).Firefox的內(nèi)核是基于ASOP項目，并作了相應(yīng)的修改，相比Android內(nèi)核的Binder進(jìn)程間通信，F(xiàn)irefox OS不支持進(jìn)程間的直接通信，也就間接減少了進(jìn)程間的共謀攻擊.其他3個平臺均基于不同版本的原生Linux內(nèi)核，因此具有Linux內(nèi)核的一些特點，如采用了Linux的訪問控制列表(ACL)強制實施文件系統(tǒng)權(quán)限.

框架層作為上層應(yīng)用與底層硬件之間的中間層，提供底層程序的接口庫以及用以訪問核心功能的API框架.框架層還提供了各種服務(wù)和管理工具，包括應(yīng)用開發(fā)所需的界面管理、數(shù)據(jù)訪問、應(yīng)用層的消息傳遞、應(yīng)用包的管理、電話管理、定位管理等功能.這些開源的Web OS均是在該層實現(xiàn)應(yīng)用程序?qū)ο到y(tǒng)軟硬件資源的訪問控制，但多是基于應(yīng)用類型和應(yīng)用安裝時申請到的權(quán)限列表，這種訪問控制仍屬于自主訪問控制.

應(yīng)用層包括一些內(nèi)置的基本應(yīng)用，如桌面、瀏覽器等，以及用戶安裝的采用HTML5，CCS，JS等編寫的各類Web應(yīng)用.這幾個平臺都支持各類遠(yuǎn)程安裝的Web應(yīng)用，但是Tizen，F(xiàn)irefox也支持本地安裝(packaged app)的應(yīng)用，并且本地安裝的這類應(yīng)用給予更高的系統(tǒng)權(quán)限.

2.2 Web應(yīng)用

Firefox OS系統(tǒng)將Web應(yīng)用程序分為3類：特權(quán)(certified)、認(rèn)證(privileged)和Web.特權(quán)應(yīng)用和認(rèn)證應(yīng)用與Android應(yīng)用類似，需要在本地打包存儲.安裝在服務(wù)器上的Web應(yīng)用，通過HTTP加載，僅在手機上存儲其清單(manifest)文件.Web應(yīng)用的工作方式類似于普通網(wǎng)站，在默認(rèn)情況下具有與普通網(wǎng)頁相同的權(quán)限，但允許它們通過訪問Web API與設(shè)備硬件功能交互.

Tizen提供3類應(yīng)用：本地的、Web和混合的，具體取決于其底層框架的類型(Native，Web或兩者的組合).同時Web應(yīng)用分為3類：移動網(wǎng)站、托管應(yīng)用和打包應(yīng)用.移動網(wǎng)站應(yīng)用在瀏覽器中打開，具有與普通網(wǎng)頁相同的資源.類似Firefox OS，托管應(yīng)用存儲在遠(yuǎn)程服務(wù)器，具有非常有限的本地資源訪問權(quán)限，本地打包應(yīng)用具有較高權(quán)限.

Chrome OS自2016年起開始兼容Android應(yīng)用程序，目前主要支持3種類型的Web應(yīng)用程序：Web、網(wǎng)頁和擴展的.Web應(yīng)用安裝在遠(yuǎn)程服務(wù)器上，只在設(shè)備上安裝了manifest文件和圖標(biāo).網(wǎng)頁應(yīng)用在瀏覽器實例中運行，但沒有瀏覽器UI.擴展應(yīng)用在常規(guī)瀏覽器實例中運行，但可以更加緊密地與瀏覽器集成，并繞過同源策略.

Ubuntu Touch支持2類應(yīng)用程序：HTML5應(yīng)用和Web應(yīng)用.HTML5應(yīng)用在沒有瀏覽器UI元素的Web容器內(nèi)執(zhí)行，后者在Web瀏覽器中執(zhí)行.Ubuntu提供了應(yīng)用程序的本地代碼和遠(yuǎn)程代碼之間的隔離，將遠(yuǎn)程代碼看作是不同的來源，并強制實施同源策略.

這些Web OS根據(jù)其商業(yè)發(fā)展策略采用了Web應(yīng)用或多種應(yīng)用類型組合的模式.廣義的Web應(yīng)用包括HTML5應(yīng)用和Web應(yīng)用，前者可以看作是普通網(wǎng)頁，后者則是具有和Android應(yīng)用類似功能(計算能力、數(shù)據(jù)處理能力、辦公能力等)的應(yīng)用.在較為通用的系統(tǒng)架構(gòu)下(見2.1節(jié))，本文將平臺中的應(yīng)用程序分為3類：1)本地應(yīng)用，一般是系統(tǒng)應(yīng)用，本地安裝和存儲，為用戶提供各種基本的系統(tǒng)功能和服務(wù)，并且這類應(yīng)用具有較高的權(quán)限；2)HTML5應(yīng)用，類似于網(wǎng)頁，具有最少的系統(tǒng)資源訪問權(quán)限；3)Web應(yīng)用，安裝在服務(wù)器端，但是需要將應(yīng)用的manifest文件存儲在終端，在該文件中應(yīng)用需要列出其所需的權(quán)限列表、來源等信息.

在面向高安全級移動辦公的瘦終端應(yīng)用背景下，Web應(yīng)用具有云端安裝、云存儲以及集中管理的優(yōu)點，因此本文以Firefox為例對Web應(yīng)用的安全性進(jìn)行進(jìn)一步的分析.

在應(yīng)用的審核和發(fā)布方面，由于Firefox OS中所有的應(yīng)用都是用HTML5，JavaScript，CSS，media和其他開源網(wǎng)絡(luò)技術(shù)編寫，因此在代碼審核階段，采用自動化工具分析和人工檢查(主要是針對使用Web API調(diào)用是否合理)相結(jié)合.應(yīng)用審核發(fā)布階段，所有的文檔和應(yīng)用指南審查過程公開，任何開發(fā)人員都可以訪問它們.這些措施在一定程度上減少了惡意應(yīng)用的來源.

在應(yīng)用對系統(tǒng)的訪問方面，必須通過Web API，甚至對文件系統(tǒng)的訪問也通過Web API和1個后端SQLite數(shù)據(jù)庫.本地安裝存儲的打包應(yīng)用包括1個ZIP文件和manifest文件提供顯式的文件列表以及相應(yīng)的哈希值，來保證打包應(yīng)用的完整性，也因此給與這類應(yīng)用更多的信任和權(quán)限.此外，系統(tǒng)還提供了類似于Android和iOS的沙箱機制，實現(xiàn)應(yīng)用之間的隔離.基于manifest文件中的權(quán)限列表，在應(yīng)用安裝時和運行時進(jìn)行訪問控制來確保應(yīng)用整個生命周期的安全性.

由于Web應(yīng)用都像是瀏覽器選項卡，是作為b2g(類似于Android的zygote進(jìn)程)的子進(jìn)程運行，b2g來判定它能否獲得某個特權(quán)調(diào)用(即獲取Web API訪問).此外還對Web應(yīng)用實施同源策略，即同源(指向同一個iframe tag)的Web應(yīng)用是在不同的沙箱運行，具有不同的cookie和數(shù)據(jù)存儲.

圖5 Firefox OS應(yīng)用沙箱模型

綜上，Web OS采取的Web應(yīng)用的嚴(yán)格審核和發(fā)布、訪問控制和同源策略等安全措施，在一定程度上保證了應(yīng)用程序在系統(tǒng)中的安全運行.

2.3 安全機制

在安全機制方面，這幾個平臺具有Linux內(nèi)核、Web語言開發(fā)等共同特性，但是又由于各個平臺的差異性，具有各自的一些具體實現(xiàn)細(xì)節(jié).總的來說，這些平臺主要采用的安全機制有如下幾個方面.

2.3.1Linux安全機制

文件訪問控制繼承了Linux的權(quán)限機制，每個文件都綁定UID、GID和rwx權(quán)限，用于進(jìn)行自主訪問控制(也稱為Linux DAC)，這點與Android是一樣的.為了增強安全性，所有用戶數(shù)據(jù)都存儲在數(shù)據(jù)分區(qū)，與系統(tǒng)分區(qū)隔離.但是根據(jù)DAC的特點，自主決定寫、刪除或讀取屬于其他用戶的文件，可能導(dǎo)致信息泄露或超出預(yù)期的行為如特權(quán)提升.

POSIX權(quán)能機制是Linux內(nèi)核對POSIX.1e權(quán)能(capabilities)的一個子集提供支持，是將傳統(tǒng)上與超級用戶關(guān)聯(lián)的特權(quán)分為幾個單元，稱為權(quán)能，它們可以被獨立地啟用或禁用.

2.3.2沙箱機制

應(yīng)用沙箱是當(dāng)前智能終端操作系統(tǒng)普遍采用的一種安全機制，通過隔離每個應(yīng)用，使得應(yīng)用不能與區(qū)域外的其他工作區(qū)交互.該機制實質(zhì)是一種在App運行時設(shè)置邊界和限制的方式來實現(xiàn)應(yīng)用和其數(shù)據(jù)與其他應(yīng)用之間的隔離保護(hù).在Web OS系統(tǒng)中，每個App運行于自己的工作空間，只能訪問被允許的Web APIs、數(shù)據(jù)以及與工作區(qū)相關(guān)的資源(如IndexedDB databases，cookies，offline storage等).Tizen，Chrome OS，Ubuntu采用類似于Android的沙箱機制，并允許進(jìn)程間的直接通信，這就存在通過共享內(nèi)存的通信方式導(dǎo)致應(yīng)用被惡意代碼感染.

Firefox OS的沙箱機制與上述幾個平臺的有所區(qū)別.在Firefox OS系統(tǒng)中b2g進(jìn)程是運行在高特權(quán)的系統(tǒng)進(jìn)程，能夠訪問手機硬件參數(shù).在運行時，每個App的運行環(huán)境都是b2g的子進(jìn)程，具有受限的系統(tǒng)權(quán)限.如圖5所示，應(yīng)用A，B，C只能通過Web API讀取自己沙箱內(nèi)的數(shù)據(jù)，不能直接讀或?qū)懳募到y(tǒng)的其他文件，這些請求都由b2g父進(jìn)程判斷并通過Web API提供.唯一的應(yīng)用之間的“溝通”方式是：A創(chuàng)建一個自己的事件發(fā)送給b2g進(jìn)程，B通過監(jiān)聽并截獲它.然后，當(dāng)B(Web App)想打開A時，如果A是Web App，即打開A指向的一個網(wǎng)站，并以A的另一個實例的方式打開A；如果A不是Web應(yīng)用，在一個iframe中打開A將報錯，并且無論是否存在應(yīng)用A均提示同一信息，以避免出現(xiàn)隱蔽通道攻擊.

2.3.3同源策略

同源的Web應(yīng)用程序是指不同的應(yīng)用程序的manifest文件中指向同一個iframe tag的應(yīng)用.因此，根據(jù)Web應(yīng)用的特殊性，這些Web OS均采用了同源策略，即2個同源應(yīng)用在不同的沙箱運行，具有不同的cookie和數(shù)據(jù)存儲.在系統(tǒng)資源的保護(hù)方面，當(dāng)Web AppA或它的一個實例A1獲取訪問某一本地資源的權(quán)限，但A的另一個實例A2或與A同源的Web AppB不具有這一權(quán)限.特別地，Chrome OS和Ubuntu平臺進(jìn)一步加強同源策略，將同一應(yīng)用的本地代碼和遠(yuǎn)程代碼之間也實施同源策略.這樣更有效地避免了遠(yuǎn)程的不可信代碼對系統(tǒng)的危害.

2.3.4權(quán)限機制

權(quán)限管理是系統(tǒng)中最重要的安全措施之一，這些Web OS平臺對于權(quán)限的設(shè)計和考慮以達(dá)到方便、易用和簡單、快速為主要目標(biāo)，在安全性方面作出了折中，采用了較粗粒度的權(quán)限管理機制.

目前Web OS的權(quán)限管理都遵循最小權(quán)限原則，即最初只給予最小的權(quán)限.如果應(yīng)用需要額外的權(quán)限，必須在manifest文件中聲明，然后用戶可以選擇性地在安裝時授予所申請的額外權(quán)限.否則，如果缺少必要的權(quán)限，由于沙箱的保護(hù)，這些應(yīng)用程序?qū)⒉荒苷Ｌ峁┧谕墓δ芘c服務(wù).

由于基于Linux內(nèi)核，系統(tǒng)中的權(quán)限分為3類：所有者權(quán)限、ROOT權(quán)限、應(yīng)用權(quán)限，前兩者類似于Android.ROOT權(quán)限也是系統(tǒng)中的最高權(quán)限，如果擁有該權(quán)限就可以對系統(tǒng)中的任何文件、數(shù)據(jù)、資源進(jìn)行任意操作.因此就存在惡意應(yīng)用采用類似iOS越獄、Android的ROOT提權(quán)等攻擊方法，獲得系統(tǒng)最高權(quán)限，進(jìn)而危害系統(tǒng)乃至設(shè)備的安全.應(yīng)用權(quán)限默認(rèn)的是根據(jù)應(yīng)用的類型，給與所需的最小的權(quán)限種類，如果應(yīng)用需要類型所屬的額外權(quán)限，必須在manifest文件中聲明，在程序安裝時由用戶授權(quán).

特別的是，Tizen提供了一種簡化的強制訪問控制內(nèi)核(simplified mandatory access control kernel, SMACK)[26]作為其強制訪問控制機制，它是在安裝時給每個進(jìn)程(主體)和資源(客體)一個10個字符的SMACK標(biāo)簽，作為擴展屬性.一旦應(yīng)用程序在安裝期間被授予某些權(quán)限，則這些權(quán)限將成為相應(yīng)的SMACK規(guī)則.

Web OS的系統(tǒng)權(quán)限機制一般是在框架層實現(xiàn)的，采用了引用監(jiān)控器思想，由訪問監(jiān)控器(reference monitor)判斷是否授予對Web API訪問.首先是根據(jù)該Web App的類型判斷是否具有足夠資格訪問，然后查詢應(yīng)用的manifest文件中是否聲明了該權(quán)限.Android也具有類似的權(quán)限申請機制[27]，在Android的AndroidManifest.xml文件中，通過〈permission〉，〈permission-group〉，〈permission-tree〉等標(biāo)簽指定.但是Web OS還要求提供特定的mime類型清單[28](applicationjson x-web-app-manifest+)和Web應(yīng)用對應(yīng)的完整主機名(用來確定Web應(yīng)用的來源)這一機制用來確保Web應(yīng)用的可靠性.

雖然這些系統(tǒng)提供了不少安全機制，但仍不同程度地存在安全缺陷.Firefox OS應(yīng)用通過Web API訪問系統(tǒng)資源，由系統(tǒng)框架層根據(jù)調(diào)用應(yīng)用程序的類型和訪問控制列表來檢查訪問請求.這種訪問控制不足以控制特權(quán)提升，如通過寫入、刪除或讀取屬于相同類型的另一用戶的文件，進(jìn)而將導(dǎo)致信息泄露或意外行為.Tizen出于其商業(yè)策略，采取混合的框架以支持更多的應(yīng)用類型，如支持Android應(yīng)用，但是缺點是會導(dǎo)致未經(jīng)授權(quán)的訪問和管理混淆.Chrome OS同樣根據(jù)manifest文件中聲明的權(quán)限實現(xiàn)訪問控制，但開發(fā)人員可以添加更嚴(yán)格的運行時檢查.默認(rèn)情況下單個Web API必須由應(yīng)用程序顯式請求才能激活，其安全性取決于開發(fā)人員對每個資源請求的源檢查[29].此外，即使正確執(zhí)行的檢查也可能被繞過.Ubuntu提供3種API[30]：Ubuntu平臺API、W3C API和Cordova API，分別對應(yīng)不同類型的系統(tǒng)資源.但是對這3類API的管控不夠嚴(yán)格，如將Cordova API公開給所有Web源代碼，也就是允許不可信的遠(yuǎn)程Web代碼訪問攝像頭、麥克風(fēng)等敏感資源.

3 安全拓展

這些Web OS平臺與其他移動操作系統(tǒng)一樣，面臨的攻擊不僅來自互聯(lián)網(wǎng)，還可能來自系統(tǒng)內(nèi)部，如內(nèi)核漏洞、訪問控制粒度較粗帶來的安全問題.此外，一些平臺還缺乏加密接口，依賴第三方實現(xiàn)；對于一些新技術(shù)，如ASLR和NX，目前仍不支持.

對于體系結(jié)構(gòu)、應(yīng)用安全、現(xiàn)有安全機制尚存的缺陷，并借鑒Android的安全機制改進(jìn)方案，本文從不同角度提出了一些安全拓展方案，分別針對的是體系結(jié)構(gòu)中的不同層級或者它們的組合.

3.1 內(nèi)核安全

迄今為止，大部分對于安全性的研究是針對中間件層的訪問控制，并未針對Linux DAC機制的改進(jìn).但是中間件實現(xiàn)的訪問控制模型都依賴于內(nèi)核層的控制，因此內(nèi)核層面的訪問控制相對中間件層能夠更好地保證安全策略的實現(xiàn)不可旁路.隨著安全需求的不斷提升，Android在2013年引入SELinux[31]來實現(xiàn)內(nèi)核層的強制訪問控制，并在Android系統(tǒng)的更新迭代中逐步實施.同時Linux也不斷推出了一些新的內(nèi)核安全技術(shù)，如cgroups，grsecurity等.因此，本文討論的這類基于Linux內(nèi)核的Web OS在未來必須逐步采用這類安全技術(shù)來提高內(nèi)核的安全性.

3.2 體系結(jié)構(gòu)改進(jìn)

權(quán)能體系是較早用于實現(xiàn)安全內(nèi)核的結(jié)構(gòu)體系，作為實現(xiàn)訪問控制的一種通用的、可塑性良好的方法，目前移動終端操作系統(tǒng)多采用POSIX.1e的權(quán)能機制，但是基于權(quán)能的系統(tǒng)缺乏策略可變通性.SEAndroid[32]是將Flask[33]體系應(yīng)用在Android系統(tǒng)中.該體系結(jié)構(gòu)的實現(xiàn)是借助了Linux安全模塊(LSM)實現(xiàn)，作為Linux內(nèi)核模塊的1個子系統(tǒng)，并借助LSM提供的多類鉤子函數(shù)來實現(xiàn)安全策略的判斷.目前Web OS還未引入Flask體系結(jié)構(gòu)，但對Web API的訪問控制已經(jīng)采用了引用監(jiān)控器思想，但是訪問判斷基于權(quán)限列表或manifest文件，而非安全服務(wù)器.因此基于Flask體系對Web OS體系結(jié)構(gòu)進(jìn)行改進(jìn)，能夠提高系統(tǒng)對多個安全策略的兼容和安全策略的靈活性.

3.3 隔離措施

基于ARM的TrustZone構(gòu)建可信移動平臺(trusted mobile platform, TMP)[34]是在資源受限的移動平臺為敏感應(yīng)用提供一個安全可信的環(huán)境.該技術(shù)主要是通過在微處理器中加入域隔離功能，將移動可信模塊(MTM)功能軟件代碼置于TrustZone的安全區(qū)，由安全區(qū)內(nèi)核保證MTM的運行可信.Web OS在未來發(fā)展中利用該技術(shù)，可以實現(xiàn)類似于Android的基于硬件保護(hù)的安全隔離(如雙系統(tǒng)、安全容器方案)，或?qū)oot loader和加密模塊存儲于TrustZone的安全區(qū)，實現(xiàn)基于硬件保護(hù)的可信引導(dǎo)、可信加密等安全機制.也可以利用該硬件保護(hù)機制，實現(xiàn)對服務(wù)器端數(shù)據(jù)的安全驗證和通信.

3.4 強制訪問控制

在訪問控制策略方面，這些平臺都基于Linux內(nèi)核，因此在文件系統(tǒng)以及系統(tǒng)敏感資源的訪問控制都基于Linux DAC模型.Tizen的簡化的強制訪問控制內(nèi)核是一種輕量級的強制訪問控制(MAC)機制，為移動Web OS實施MAC提供一個很好的開端.它是通過在安裝時給每個進(jìn)程(主體)和資源(客體)1個10個字符的SMACK標(biāo)簽，作為擴展屬性，實現(xiàn)基于標(biāo)簽的訪問控制.一旦應(yīng)用程序在安裝期間被授予某些權(quán)限，則這些權(quán)限將成為相應(yīng)的SMACK規(guī)則，那么此后系統(tǒng)的訪問控制就是基于該安全標(biāo)記進(jìn)行的，也就是強制訪問控制.因此，采用強制訪問控制模型增強系統(tǒng)的訪問控制機制能夠解決自主訪問控制帶來的非授權(quán)訪問等問題，是提高Web OS安全的有效途徑.

3.5 ROOT權(quán)限分解

基于Linux內(nèi)核的操作系統(tǒng)都存在著ROOT權(quán)限，而且，通過系統(tǒng)漏洞或應(yīng)用的漏洞，這一權(quán)限很容易被惡意應(yīng)用獲取，可想而知對系統(tǒng)的破壞也是巨大的.因此，一些安全操作系統(tǒng)已經(jīng)開始研究將系統(tǒng)權(quán)限分解為幾個權(quán)限組，而原來的ROOT所能完成的功能，由幾個特權(quán)系統(tǒng)應(yīng)用共同實現(xiàn).因此，對于某個特權(quán)系統(tǒng)應(yīng)用只能獲得某一組或幾組和自己需要完成的功能相關(guān)的權(quán)限，而不能獲得所有權(quán)限.這種將ROOT分解的方式，在一定程度上減少了系統(tǒng)特權(quán)應(yīng)用被利用后對系統(tǒng)造成的危害，是保護(hù)系統(tǒng)安全的重要措施.

4 總 結(jié)

Web操作系統(tǒng)由于具有良好的遷移性，符合未來移動辦公的需求，本文通過對幾個開源Web OS平臺的分析，認(rèn)為目前通用的Web OS架構(gòu)基于Linux內(nèi)核，采用DAC模型，由底向上依次為系統(tǒng)層、框架層和應(yīng)用層.系統(tǒng)的安全框架遵循最小特權(quán)的原則，在框架層的Web API使用基于權(quán)限列表的強制訪問控制，但文件系統(tǒng)和其他子系統(tǒng)仍使用DAC模型.一般地，將應(yīng)用程序分為本地應(yīng)用和Web應(yīng)用，本地應(yīng)用僅指系統(tǒng)應(yīng)用或系統(tǒng)服務(wù)相關(guān)的應(yīng)用，這些應(yīng)用可以認(rèn)為是可信的，而各種Web應(yīng)用程序安裝在遠(yuǎn)程服務(wù)器中，對于Web應(yīng)用進(jìn)一步劃分其可信級別，將遠(yuǎn)程代碼和本地代碼加以區(qū)分.

在安全保護(hù)方面，這些Web OS都采用了應(yīng)用沙箱、同源策略、權(quán)限管理等安全機制.但是這些安全措施仍存在不同程度的缺陷和不足，因此將Web OS應(yīng)用到高安全級移動辦公中，還須引入訪問控制模型防止未經(jīng)授權(quán)的訪問和修改.目前的Web OS缺乏完整性驗證，Web APIs作為應(yīng)用訪問系統(tǒng)資源的唯一接口和進(jìn)程通信的通道，應(yīng)實施更有效的強制訪問控制來保護(hù)系統(tǒng)資源和確保進(jìn)程間的有效隔離.最后本文提出一些安全拓展方案，對提高Web OS的安全性提供一些建議.