一種面向融合媒體的PGC移動終端安全防護方法

陳衛(wèi)平

摘 要：PGC（Professional Generated Content）需要借助專業(yè)攝像機或智能手機等移動終端設(shè)備制作媒體內(nèi)容，面臨終端應用可被冒用、媒體內(nèi)容被篡改等安全風險。文章提出一種面向融合媒體的PGC移動終端安全防護方法，該方法通過融合可信度量和阻斷進程Hook 技術(shù)，保證PGC移動終端運行環(huán)境的可信，通過簽名驗簽技術(shù)確保PGC APP的接入可信。在真實設(shè)備的實驗結(jié)果表明，論文提出方法在實現(xiàn)對PGC移動終端安全防護的同時，不會給PGC移動終端帶來太大的性能開銷。

關(guān)鍵詞：融合媒體；PGC；移動終端；可信計算；簽名驗簽

中圖分類號：TN948 文獻標識碼：B

1 引言

全媒體融合是當前廣電行業(yè)的重要發(fā)展趨勢，PGC是全媒體融合中一種主流的內(nèi)容制作方式，具有內(nèi)容由專業(yè)機構(gòu)提供、可控性強、可多層篩選、更具權(quán)威性等優(yōu)點。目前通過PGC模式生成的媒體內(nèi)容數(shù)量在迅猛增長。然而，由于PGC需要借助專業(yè)攝像機或智能手機等移動終端設(shè)備制作媒體內(nèi)容，而當前PGC移動終端面臨多種安全風險：PGC制播APP自身存在漏洞或缺陷、PGC制播APP運行環(huán)境的不安全帶來的間接風險或傷害、PGC制播APP與后端服務器間缺乏安全認證致使私自或非注冊登記的PGC制播APP可接入等，這些安全風險易導致PGC制作的媒體內(nèi)容被篡改或破壞，給整個全媒體融合制播系統(tǒng)帶來安全隱患，因此，如何對PGC移動終端進行安全防護已成為全媒體融合下制播安全的關(guān)鍵問題，具有重要的現(xiàn)實意義。

為應對上述安全風險，對PGC移動終端進行安全防護需要解決兩個重要問題。一是在PGC移動終端啟動和運行媒體內(nèi)容制播APP時，需要確保PGC移動終端的當前執(zhí)行環(huán)境安全可信。以安卓平臺上的PGC制播APP啟動為例，雖然安卓平臺是基于Linux內(nèi)核的，Linux自帶的沙箱機制可保證不同應用程序運行在各自獨立的Dalvik虛擬機實例中，但是傳統(tǒng)的沙箱機制無法阻止惡意應用程序通過挾持操作系統(tǒng)來監(jiān)控系統(tǒng)的數(shù)據(jù)傳輸[1]，一旦操作系統(tǒng)被劫持，PGC制播APP制作的媒體內(nèi)容便容易被篡改和破壞。二是在PGC制播APP完成對媒體內(nèi)容制作后、向后臺服務器上傳媒體內(nèi)容時，需要確保PGC制播APP的接入可信。如果在PGC制播APP接入全媒體融合制播系統(tǒng)后臺服務器時缺少安全認證，一旦有惡意應用程序仿冒了該APP，盜用其身份就容易對后臺服務器發(fā)起外部惡意攻擊，帶來重要媒體資料被篡改、正常全媒體內(nèi)容分發(fā)播出被干擾等安全問題。

針對上述問題，本文提出一種面向融合媒體的PGC移動終端安全防護方法。該方法借鑒可信計算思想，通過融合PGC應用環(huán)境可信度量、阻斷進程Hook技術(shù)來保證全媒體融合內(nèi)容制作過程中PGC移動終端運行環(huán)境的可信，通過簽名驗簽技術(shù)確保PGC制播APP的接入可信。最后，在真實移動終端設(shè)備上對提出進行了實驗檢驗，實驗結(jié)果表明，本文提出方法在實現(xiàn)對PGC移動終端安全防護的同時，不會給PGC移動終端帶來太大的性能開銷。

2 相關(guān)工作

當前的移動終端安全工作多側(cè)重在對移動終端上的惡意程序檢測方面[2]，包括靜態(tài)分析和動態(tài)檢測兩類。靜態(tài)分析[3，4]主要通過逆向工程分析應用程序的源碼來獲取移動終端應用程序的權(quán)限、簽名信息等。動態(tài)檢測[5，6]主要通過實際運行應用程序，通過觸發(fā)其惡意行為來實現(xiàn)對惡意程序的檢測。

另外，在移動終端的安全防護方面，Mingshen等[7]以安卓智能終端為例設(shè)計并實現(xiàn)了一個基于主機的入侵防護系統(tǒng)Patronus，實驗表明Patronus能有效防止侵入行為并且準確地檢測惡意軟件，具有非常低的性能開銷和功率消耗。Wen-Chieh等[8]利用GUI測試技術(shù)、大數(shù)據(jù)分析和機器學習技術(shù)，提出了一個動態(tài)惡意程序分析框架DroidDolphin，實驗表明該框架的惡意程序檢出率為86%，并且隨著數(shù)據(jù)集的增大，檢測的準確率能顯著提高?；谏鲜鰴z測結(jié)果進一步進行安全防護能在一定程度上實現(xiàn)移動終端的可信執(zhí)行環(huán)境，但這種被動防御模式無法應對全媒體融合系統(tǒng)面臨的未知安全威脅。

本文借鑒可信計算的主動防御思想[9，10]，針對廣電行業(yè)全媒體融合系統(tǒng)和PGC應用的特點[11]，研究PGC移動終端的安全保護措施，力圖從構(gòu)建PGC移動終端可信執(zhí)行環(huán)境和實現(xiàn)PGC制播APP可信接入兩個方面去保證PGC相關(guān)媒體內(nèi)容不被篡改和破壞等安全問題。

3 應用場景

典型的PGC系統(tǒng)由PGC移動終端、PGC PC客戶端、回傳緩存模塊、直播連線模塊等構(gòu)成，主要業(yè)務流程如圖1所示：（1）素材回傳模式——利用PGC終端采集/錄制節(jié)目素材，通過互聯(lián)網(wǎng)回傳到PGC服務端的回傳緩存模塊，經(jīng)過安全傳輸后進入節(jié)目制作流程；（2）直播連線模式——利用PGC終端攝制節(jié)目，并通過互聯(lián)網(wǎng)實時傳輸?shù)絇GC服務端的直播連線模塊，再通過IP或SDI等信號模式傳輸?shù)窖莶ナ疫M入直播/錄播流程，或通過直播流分發(fā)模塊進入新媒體發(fā)布流程。

上述業(yè)務過程需解決兩個安全問題。一是在移動終端啟動和運行PGC APP時，需要確保終端當前執(zhí)行環(huán)境的安全可信。以安卓為例，安卓平臺上Linux自帶的沙箱機制無法阻止惡意應用挾持操作系統(tǒng)：一旦操作系統(tǒng)被劫持，PGC APP制作的媒體內(nèi)容便容易被篡改破壞；二是在PGC APP向服務端上傳媒體內(nèi)容時，除傳統(tǒng)對用戶和設(shè)備的認證以外還需確保PGC APP的接入可信，一旦其被惡意應用仿冒，就容易對服務端發(fā)起攻擊，帶來重要數(shù)據(jù)被篡改、正常分發(fā)播出被干擾等問題。因此，本文從確保PGC終端應用環(huán)境可信和PGC APP接入可信兩方面對PGC移動終端進行安全防護。

4 方法設(shè)計

如圖2所示，本文提出方法主要包含三個模塊，各模塊核心功能有三種。

4.1可信度量模塊

可信度模塊包括動態(tài)度量和靜態(tài)度量。動態(tài)度量是對PGC APP執(zhí)行后的狀態(tài)等進行度量，旨在保護操作系統(tǒng)狀態(tài)、進程行為以及自身安全機制等。靜態(tài)度量是對PGC終端系統(tǒng)中的可執(zhí)行程序及系統(tǒng)重要腳本與軟件、配置進行完整性驗證。

4.2 阻斷進程Hook模塊

通過強制PGC APP調(diào)用自定義的本地安全類庫，在其運行時啟動定制的保護程序?qū)Ρ镜匚募斎胼敵隽鬟M行加密，避免其他程序通過進程間Hook篡改PGC APP制作的媒體數(shù)據(jù)。

4.3 PGC APP簽名驗簽模塊

在PGC用戶和設(shè)備認證的基礎(chǔ)上，通過事先將合法PGC APP的簽名信息存儲在簽名服務器上，在PGC APP接入安全交換域時，實時獲取其簽名并進行比對。拒絕簽名不一致的接入請求，保護后臺服務端的媒體內(nèi)容安全。

5 關(guān)鍵技術(shù)

5.1 PGC移動應用執(zhí)行環(huán)境可信度量技術(shù)

對PGC移動終端應用執(zhí)行環(huán)境的可信度量分為靜態(tài)度量和動態(tài)度量。靜態(tài)度量具體流程如圖3所示。

首先，通過掃描PGC終端中已有文件生成可信策略白名單；其次，在PGC APP啟動前，對其進行完整性校驗，若校驗失敗，則拒絕其執(zhí)行PGC APP；另外，對于PGC APP的安裝，只有使用廣電行業(yè)指定密卡簽名的應用才允許安裝，否則拒絕安裝。

動態(tài)度量需要可信計算密碼平臺的支撐，其核心思想是由TSB啟動內(nèi)核線程，通過使用可信計算密碼平臺提供的Hash函數(shù)接口計算度量對象（包括系統(tǒng)內(nèi)核、系統(tǒng)調(diào)用表、系統(tǒng)重要數(shù)據(jù)結(jié)構(gòu)等）的完整性校驗值，并與基準值進行比較?；鶞手禐閱与A段采集的數(shù)據(jù)。

5.2 阻斷進程Hook技術(shù)

PGC移動終端的主流平臺包括IOS和安卓，本文以安卓平臺為例介紹阻斷進程Hook技術(shù)。安卓系統(tǒng)的底層由Linux內(nèi)核實現(xiàn)，上層的應用由Java語言編寫，通過JNI技術(shù)可以實現(xiàn)Java和Linux內(nèi)核的相互調(diào)用，其實質(zhì)是通過Java虛擬機（JVM）產(chǎn)生交互，安卓的Linux內(nèi)核系統(tǒng)通過將各個進程運行在獨立的Dalvik虛擬機上來保證應用的安全，然而因為惡意程序仍可通過進程Hook來獲取其他進程的消息，這給PGC制播應用帶來安全威脅。

安卓平臺的進程Hook原理如圖4所示，即惡意程序可通過將SO文件注入到目標進程，進而獲取到JNIEnv對象，JNIEnv對象是Java和Linux相互調(diào)用的橋梁，通過該對象可以實現(xiàn)調(diào)用目標進程中的Java方法，并實現(xiàn)目標函數(shù)的Hook。接著，當應用程序執(zhí)行時，會加載libtest_nonPIC.so文件，該文件會替換原始的printf（）函數(shù)的調(diào)用，改為先調(diào)用Hooked_printf（）方法，在該方法中執(zhí)行Hook操作。這樣一來，惡意程序就可通過進程Hook獲取到特定APP的數(shù)據(jù)并進行篡改。

本文提出的阻斷進程Hook技術(shù)以插件方式幫助PGC APP開發(fā)者提升它的安全性，插件中包含了安卓內(nèi)核保護代碼、防止內(nèi)核函數(shù)被Hook調(diào)用。該插件以安卓本地類庫的方式被添加到工程項目中，當PGC APP啟動時會自動載入，這些類庫文件會向PGC APP中注入保護代碼，如圖5所示，通過注入protect_prinf（）方法，使惡意程序Hook假的prinf（）函數(shù)，繞過android_log_print（）函數(shù)的執(zhí)行，避免惡意程序開發(fā)者通過輸出Logcat信息獲取PGC APP處理的媒體內(nèi)容，并返回正常的printf（）函數(shù)調(diào)用，保證媒體數(shù)據(jù)安全。

5.3 PGC APP的簽名校驗技術(shù)

當合法PGC制播APP上傳應用商店前，需要該APP開發(fā)者通過自己的私鑰對APP進行簽名。當PGC用戶安裝PGC制播APP時，PGC移動終端系統(tǒng)會驗證該APP的簽名密鑰，該密鑰會作為APP的唯一標志。后續(xù)APP進行升級或者覆蓋安裝時，PGC移動終端系統(tǒng)會檢驗APP的簽名信息，新版本APP和之前的簽名信息一致，APP才能正常升級和使用。

如果惡意程序開發(fā)者對合法PGC APP進行反編譯解析源碼、嵌入惡意代碼后用自己的密鑰對APP進行打包，然后通過短信鏈接的方式誘導用戶進行安裝，一旦用戶安裝并用其進行錄播、制作，媒體內(nèi)容可能會被篡改、損壞。本方法提出將合法PGC APP的簽名私鑰信息存儲在PGC系統(tǒng)的服務器端，在PGC APP運行過程中實時獲取其簽名信息，并與服務端存儲的簽名信息進行對比，以判斷該APP是否已被惡意篡改。APP簽名校驗的具體流程如圖6所示。

6 實驗評估

我們在真實移動終端設(shè)備（安卓版本4.4、內(nèi)存2G）上實驗檢驗提出方法的效果。

我們對安卓設(shè)備的內(nèi)核段代碼、系統(tǒng)調(diào)用表、內(nèi)核文件系統(tǒng)等進行監(jiān)控。如圖7所示，實驗中向內(nèi)核中動態(tài)插入HelloTest.ko測試模塊，此時部署在PGC終端的可信度量模塊會檢測到相應內(nèi)核文件的變化，并提示用戶當前的執(zhí)行環(huán)境存在安全風險。另外，利用APK Tool工具對合法PGC APP進行重打包并用其錄制媒體內(nèi)容上傳服務端，此時簽名校驗模塊會進行簽名信息的比對，如圖8所示，若簽名不一致，系統(tǒng)會提示用戶該APP存在安全風險。

最后，我們測試提出方法對PGC安卓移動設(shè)備的資源消耗情況。實驗中阻斷進程Hook模塊借助在內(nèi)核中插入Hook模塊實現(xiàn)，度量模塊的進程ID為“com.example.testjni”，如圖9所示， CPU的消耗峰值穩(wěn)定在4%，大部分時間幾乎為0，系統(tǒng)內(nèi)存基本穩(wěn)定在23MB。當前主流安卓機器的內(nèi)存大都為4GB，因此本文提出方法對于安卓系統(tǒng)的內(nèi)存消耗極低。

7 結(jié)束語

本文提出了一種面向融合媒體的PGC移動終端安全防護方法，該方法通過融合可信度量、阻斷進程Hook和簽名驗簽技術(shù)實現(xiàn)PGC移動終端運行環(huán)境的可信和PGC APP的可信接入。本文當前實驗是在安卓平臺上完成，實驗結(jié)果表明提出方法在對PGC移動終端安全防護的同時不會給帶來太大的性能開銷。下一步將在IOS等其他移動平臺上進行提出方法的實驗測試，進一步優(yōu)化方法設(shè)計。

基金項目：

國家新聞出版廣電總局科研項目“電視臺網(wǎng)絡化制播信息安全技術(shù)研究”（項目編號：2015-21）。

參考文獻

[1] 白浩，王朝清. Android系統(tǒng)惡意應用程序的研究[J].網(wǎng)絡空間安全，2017 （4-5）： 28-31.

[2] 宋麗珠，林柏鋼，倪一濤，等. Android軟件漏洞檢測方法與技術(shù)研究[J].網(wǎng)絡空間安全，2016 （9-10）： 54-62.

[3] Alazab M， Monsamy V， Batten L， et al. Analysis of Malicious and Benign Android Applications[C]. International Conference on Distributed Computing Systems Workshops. IEEE Computer Society， 2012：608-616.

[4] Feldman S， Stadther D， Wang B. Manilyzer： Automated Android Malware Detection through Manifest Analysis[C]. IEEE， International Conference on Mobile Ad Hoc and Sensor Systems. IEEE， 2015：767-772.

[5] Chan P P K， Song W K. Static detection of Android malware by using permissions and API calls[C]. International Conference on Machine Learning and Cybernetics. IEEE， 2015：82-87.

[6] Quan D， Zhai L， Yang F， et al. Detection of Android Malicious Apps Based on the Sensitive Behaviors[C]. IEEE International Conference on Trust， Security and Privacy in Computing and Communications. IEEE， 2015：877-883.

[7] Sun M， Zheng M， Lui J C S， et al. Design and implementation of an Android host-based intrusion prevention system[C]. Computer Security Applications Conference. 2014：226-235.

[8] Wu W C， Hung S H. DroidDolphin： a dynamic Android malware detection framework using big data and machine learning [C]. Conference on Research in Adaptive and Convergent Systems. ACM， 2014：247-252.

[9] 沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展[J].中國科學： F輯 信息科學， 2010， 40（2）：139-166.

[10] 沈昌祥，陳興蜀.基于可信計算構(gòu)建縱深防御的信息安全保障體系[J].四川大學學報（工程科學版）， 2014， 46 （1）： 1-7.

[11] 徐妍.移動外場融媒體——大型體育賽事前場網(wǎng)絡制播系統(tǒng)融媒體應用[J].現(xiàn)代電視技術(shù)， 2017（02）：70-75.