面向移动应用服务数据的信息安全保障技术研究及应用示范-可行性报告.docx

面向移动应用服务数据的信息安全保障技术

研究及应用示范可行性研究报告

一、项目的实施方案（限3000字）

（一）总体方案、研发内容

随着移动互联网行业整体向规范化发展，各类移动应用（如即时通信、搜索引擎、网络新闻、网上支付等应用）不断创新，极大的丰富了应用场景和方式。据中国互联网络信息中心（CNNIC）发布的《中国互联网发展状况统计报告》显示，截至2016年12月，我国网民规模达7.31亿，手机网民规模达到6.95亿，网民中使用手机上网的人群占比由2015年的90.1%提升到95.1%，移动终端作为主要上网终端的趋势进一步明显。移动应用的快速发展驱使公众的使用习惯逐渐向移动端迁移和渗透，典型移动应用服务行业产生的数据规模呈现爆炸式的增长，根据计世资讯（CCW Research）研究数据显示，2016年中国移动金融行业大数据市场规模达到21.65亿元，且此后将保持每年超过100%的增长率。在移动数据大规模产生的同时，移动应用服务数据的信息安全问题显得尤为重要。目前，移动应用数据的信息安全问题始终未得到有效的解决，有可能损害用户的切身利益。移动应用服务数据面临的风险主要来自敏感信息窃取与篡改、数据非法访问控制、恶意软件入侵等方面，存在于数据产生、传输、存储和应用等各个环节。

本项目将面向移动应用服务数据的信息安全保障技术，主要研究内容是

1

广东省科技计划项目申报书（技术开发类）

面向移动应用服务数据的敏感信息识别与管理、轻量级安全加密传输及数据分层/分级交换、数据安全存储及恢复、风险量化及可视化技术。

本项目将开展8个方面的关键技术攻关工作：

1. 研究移动数据智能识别与管理技术，重点研究移动终端敏感信息的智能识别感知、细粒度的敏感数据标签控制、云端敏感数据安全策略等关键技术，确保数据生成阶段的环境安全；

2. 研究移动数据安全传输技术，重点开展轻量级安全传输管道与数据分层/分级安全交换链的关键技术攻关，确保数据传输阶段的管道安全；

3. 研究移动数据安全存储保护及恢复技术，针对终端及云端敏感信息的访问控制、加密保护、密文搜索、数据销毁、敏感数据去隐私化等技术开展研究，确保数据存储阶段的安全；

4. 研究终端和云端的风险量化及安全可视化技术，建设应用展示原型系统，为用户展示敏感信息安全风险量化及评估服务的效果。

5. 编制移动应用服务数据的信息安全评测指标体系； 6. 制定移动应用服务数据的信息安全防护技术规范； 7. 建立面向移动应用服务数据的信息安全风险资源库1套；

8. 开展面向移动应用服务数据的信息安全保障应用示范，实现一定规模推广。 （二）技术路线

项目将围绕移动应用服务数据的特点及安全保障需求，重点针对基于云+端模式的分级安全保障技术进行攻关，并研究基于移动服务数据的生成、

2

广东省科技计划项目申报书（技术开发类）

传输、存储及应用的安全保障支撑能力集成技术，实现移动数据信息安全保障的技术框架，为保障移动数据的完整性与一致性，提高其可信性和可溯性，保障大数据应用环境下移动终端产业的健康发展提供示范应用技术手段。

1. 移动数据敏感信息的智能识别与管理技术研究

移动数据敏感信息的智能识别与管理包括移动终端敏感信息的智能识别感知、细粒度的敏感数据标签控制、敏感数据安全管理。

移动数据敏感信息的智能识别与管理技术研究技术组成敏感数据智能识别感知细粒度的敏感数据标签控制敏感数据安全管理技术研究思路采用多特征融合识别技术标签生成技术敏感数据安全策略多任务深度神经网络识别技术标签存储技术标签传输控制技术 研究移动终端敏感数据智能识别感知技术，包括基于多特征融合识别技术及多任务深度神经网络识别技术。研究上下文特征与物体特征的融合技术，建立包含上下文特征及物体特征的识别模型，分别提取特征后进行融合。采用Deep CNNs（深度卷积神经网络），通过充分利用Deep CNNs模型的可并行特点，结合SGD（随机梯度下降）训练的数据并行特性，加速模型训练过

3

广东省科技计划项目申报书（技术开发类）

程，实现移动终端轻量级的敏感信息智能识别。

研究细粒度的敏感数据标签控制技术，包括标签生成、标签存储及标签传输控制技术，对数据标签和应用标签进行管理，有效记录数据的保密级别和应用操作的权限，通过在端侧和网关/服务器处对移动数据进行标记，实现对移动数据单独、细粒度的保护。

研究敏感数据安全管理策略，负责管理全网终端的安全策略，对全网终端进行统一配置和策略下发，进行统一的管理能够减少管理配置的负担。

2. 面向移动应用服务数据的轻量级安全加密传输技术研究

移动应用服务数据安全传输通过轻量级安全传输管道与数据分层/分级安全交换链实现。

敏感数据安全传输技术技术组成基于国密算法的轻量级安全传输管道数据分层/分级安全交换链技术研究思路信令传输通道加密技术基于进程可信的数据分级交换安全行为分析技术数据传输通道加密技术基于结构特征的交换数据源异常检测技术基于代理重签名的交换数据源签名保护 研究轻量级安全传输技术，包括数据传输通道的加密保护和信令传输通

4

广东省科技计划项目申报书（技术开发类）

道的加密保护。采用OpenSSL密码引擎实现国密SM2、SM3、SM4算法库，搭建用户颁发与管理数字证书的轻量级CA，采用基于国密SM4的分组密码算法实现数据传输通道加密，采用基于国密SM2的公钥密码算法实现信令传输通道加密。

研究移动数据分层/分级交换技术，采用基于进程可信分析策略对数据分级交换安全行为进行分析，通过基于结构特征的交换数据源异常检测技术以及基于代理重签名的交换数据源签名保护技术，实现对交换数据源的提取、传输、存储的分级安全保护。

基于进程可信的数据分级交换安全行为分析技术针对数据源可信、进程静态可信、进程动态可信等内容进行研究，确保数据安全交换链运行环境的可信性。基于结构特征的交换数据源异常检测技术是根据交换数据源载体文档结构分析数据源特征，利用决策树算法对给定数据生成训练模型，实现对目标文档中恶意代码的检测。基于代理重签名的交换数据源签名保护技术采用无证书代理重签名方案，实现对自适应选择消息攻击的存在性不可伪造。

3. 终端和云端数据安全存储及恢复技术研究

移动应用服务数据的安全存储包括终端和云端的数据安全。

5

广东省科技计划项目申报书（技术开发类）

终端和云端数据安全存储及恢复技术技术组成终端数据安全存储及恢复技术云端数据安全存储及恢复技术技术研究思路Android系统多层级的敏感数据访问控制技术 云端数据加密存储技术基于外置SD卡的数据全盘加密技术敏感信息去隐私化技术敏感数据粉碎销毁和远程删除技术 研究终端的移动应用数据安全，建立多层级的隐私访问控制系统进行监控，从应用层、框架层和内核层三个层面保护敏感数据的安全；在终端存储加密方面，通过外置SD卡的全盘加密保证终端敏感数据的安全；在终端存储数据安全销毁方面，通过抹除加密密钥、数据重写和远程删除等方法保证数据安全销毁。

研究云端的移动应用服务数据的安全，云端数据通过对称密钥全盘加密存储，对称密钥通过账号信息动态生成，实现数据分账号分块的加密存储；研究大数据的去隐私化处理技术，从隐私数据中提取索引字段，调用映射关系表，完成去隐私化处理。

4. 终端和云端风险量化及安全可视化技术研究

移动应用服务数据的应用展示层包括终端敏感信息风险识别与等级保

6

广东省科技计划项目申报书（技术开发类）

护模型与云端风险量化及可视化技术。

对包含敏感信息的海量数据安全可视化，主要通过基于多源日志安全可视化技术实现。采用信息融合技术对多源日志网络安全数据进行统一格式的时间元组和统计元组的提取，将其标准化、过滤、归并及关联，最终以对比堆叠流图和雷达图的形式展示设备遭遇安全事件的整体情况、发生某一类安全事件的设备以及某一特定设备遭受所有安全事件的情形，为风险量化提供基础数据，实现安全事件的分析和响应。

通过基于大数据聚类分析的方法，建立一套云端数据访问异常监控及旁路审计的风险量化技术方案。对用户账号、设备、网关、操作行为等数据进行聚类分析、模型训练及迭代调优，实现异常行为实时监控。对所有操作行为进行旁路日志输出和分类审计对账，实现账号实时告警。

移动终端敏感信息风险识别与等级保护测评模型主要基于等级保护体系的敏感信息风险量化评估技术，计算移动终端敏感信息的风险值，完成敏感信息的风险量化与评估。

7

广东省科技计划项目申报书（技术开发类）

敏感数据风险量化及安全可视化技术组成移动终端敏感信息风险识别与等级保护测评模型云端风险量化及安全可视化技术研究思路基于等级保护体系的敏感信息风险量化评估技术基于多源日志安全可视化技术双重实时监控风险量化 （三）创新点

1. 面向移动应用敏感信息的敏捷深度学习技术

采用上下文特征与物体特征的融合技术，建立包含上下文特征及物体特征的识别模型，分别提取特征后进行融合。采用Deep CNNs（深度卷积神经网络），通过充分利用Deep CNNs模型的可并行特点，结合SGD（随机梯度下降）训练的数据并行特性，加速模型训练过程，实现移动终端轻量级的敏感信息智能识别。

2. 基于映射编码的敏感信息去隐私化处理技术

采用映射编码机制，从数据源中获取隐私数据，提取索引字段，调用去隐私化映射关系表；根据去隐私化映射关系表中的映射规则，将索引字段映射为去隐私化映射关系表中的映射编码，完成对隐私数据的去隐私化处理。

3. 基于大数据聚类分析双重实时监控的风险量化技术

8

广东省科技计划项目申报书（技术开发类）

深入剖析用户的行为特征，以账号、设备和网关等维度的数据建立用户数据模型，以接入层、业务层和数据层等维度的数据建立用户操作行为模型，形成具有风险发现、安全防护和持续监控等功能的风险量化系统。风险量化系统通过大量的模型训练和迭代调优，能够发现用户的异常行为并实时拒绝，规避存在潜在的安全风险。

4. 大数据应用环境下的移动终端敏感信息安全风险评估与等级保护测

评模型

采用基于等级保护体系的敏感信息安全风险评估方法，依据敏感信息的典型特征建立新的分级保护要求，利用层次分析法建立基于等级保护要求的风险评估量化模型，并给出具体的风险计算与关联分析方法，在降低人为主观因素的前提下计算移动终端敏感信息的风险值，完成敏感信息的风险量化与评估。 （四）组织方式

本项目基于申报单位的技术和服务基础，结合参与单位的技术支持，通过签订项目合作协议的形式，共同组成技术研发团队完成项目实施。项目任务分工方案见表1-1。

表 1-1 项目任务分工方案 单位 (1) 负责XXXX； 申报单位 研究实施内容 (2) 负责XXXX的研究； (3) 负责XXXX； 9

广东省科技计划项目申报书（技术开发类）

单位 研究实施内容 (4) 负责完成技术成果的应用试点； (5) 负责编制相关标准和规范。 (1) 参与相关技术研究； 参与单位 (2) 协助完成技术成果的应用试点； (3) 参与编制相关标准和规范。 （五）研究团队构成

由申报单位和参与单位共同组成的项目组，共有成员80人，其中60人为技术人员，具有高级职称的10人，博士8人，硕士47人，安全技术专家8人，质量控制技术专家5人，10人负责项目管理，10人负责应用试点。项目组成员融合了本行业相关的技术、管理等领域的专业人才，为项目的顺利完成提供了强有力的保证。 （六）计划进度安排

本项目的建设时间为2017年7月至2019年6月，具体的工作进度详见表1-2。

表 1-2项目实施进度计划 时间进度 10

工作内容 广东省科技计划项目申报书（技术开发类）

时间进度 （七）经费预算合理性评估

1. 采购设备清单

工作内容 表 1-3 采购设备清单（金额单位：万元） 数量 序仪器设备名称 号 套） 合计 2. 人员费用预算评估

在研究过程中，需要支付项目团队人员工资。项目预计投入100人月，每人月均8000元；外聘工作人员投入20人月，每月5000元，合计90万元。

3. 调研计划支出预算

11

单（台价 负责管理金额 单位 广东省科技计划项目申报书（技术开发类）

在研究过程中，需要进行业务调研、项目协调、学术交流、专家咨询等。技术和业务骨干7人，每人进行15次业务调研、项目协调和学术交流，每次产生差旅费和会议费4000元；技术骨干4人，每人进行2次国际交流，每次产生差旅费和会议费2.5万元；组织25人规模的专家咨询会议4次，每次产生费用2.2万元，所有调研计划支出合计70.8万元。 （八）项目实施绩效 1. 技术成果指标

本项目在两年的项目实施期内预期完成以下技术研究工作：

➢ 完成移动数据敏感信息智能识别与管理、终端和云端的安全存储保护及恢复、移动应用服务数据高效安全传输、数据分层/分级交换安全保护等技术研究报告4份；

➢ 建立面向移动应用服务数据的信息安全风险资源库1套； ➢ 研发面向移动应用服务数据的信息安全示范应用原型系统1套； ➢ 编制面向移动应用服务数据的信息安全保障技术相关标准（草案）1项以上；

➢ 编制面向移动应用服务数据的信息安全评测指标体系和评测规范1项以上；

➢ 申请核心技术发明专利5项和软件著作权2项； ➢ 发表高水平论文2篇。

12

广东省科技计划项目申报书（技术开发类）

2. 预计的经济效益

面向不低于XX家企业用户进行技术服务试点，预计项目结束时共新增产值XXX万元，累计新增利税XX万元。 3. 预计的社会效益

➢ 通过本项目的研究，将能够为广大个人用户提供多层次的移动数据信息安全保障服务，有效抑制移动数据全生命周期的安全风险，增强用户信心；预计项目实施期结束，终端用户数量达到100万以上，能够实现一定规模推广。

➢ 通过本项目的研究，将形成移动数据敏感信息识别与管理、轻量级数据安全传输交换、安全存储及恢复、风险量化及安全可视化应用等安全防护能力，为企业提供服务，保护开发者、移动运营商和用户的权益；

➢ 本项目的研究成果将能够为移动应用服务数据建立较全面的安全防护体系，为相关行业标准规范的制定提供支撑，推动行业产品质量提升，促进行业健康、快速、稳定发展；

➢ 基于本项目的研究成果，将按月度、季度、年度公开发布移动数据安全报告，为政府监管机构提供依据，有助于保障大数据信息安全。

二、项目风险评估（限1000字）

（一） 政策风险

《国务院关于印发促进大数据发展行动纲要的通知》明确指出，大数据

13

广东省科技计划项目申报书（技术开发类）

是国家基础性战略资源，是经济社会发展的重要基础。《广东省促进大数据发展行动计划（2016—2020年）》也提出需要大力推进大数据的发展与应用，把大数据信息安全作为重点发展方向。本项目通过研究面向移动应用服务数据的敏感信息识别与管理、轻量级安全加密传输、数据分层/分级安全交换、安全存储保护及恢复、风险量化及安全可视化应用技术，并将其规范化和标准化，为移动数据的信息安全提供保障。

本项目发展方向符合国家的产业政策，产业政策的支持为本项目的稳定发展提供了良好的外部环境，不存在政策风险。

（二） 技术风险

本项目申报单位和参与单位在大数据质量测评与验证、移动应用软件安全测评、安全加固等方面已经具备一定的技术积累，在手段方面拥有自主知识产权的核心技术和工具，在人才方面拥有一批博士、硕士等高素质研发人员，在管理方面有成熟的实验室管理和研发体系。

在本项目的技术研发方面，将内外结合、综合多种意见慎重决策，先做好可行性分析，提出风险防范措施。实行科学的技术开发和服务模式，通过申请专利保护相关知识产权，确保在行业中的技术领先优势。综合上述因素，本项目不存在技术风险。

（三） 市场风险

随着移动互联网应用的功能日益强大，移动智能终端逐渐成为个人信息中心，面向移动应用服务数据的安全性越来越得到行业的关注，保障移动数据的质量已成为相关行业市场需求的热点。

面向移动应用服务数据的信息安全保障技术研究是目前国内国际学术

14

广东省科技计划项目申报书（技术开发类）

界和工业界在移动终端和信息安全方面研究的热门领域，具有重要的学术价值和应用价值。从目前相关研究进展来看，该技术正日益得到政府、各大研究机构和运营商的重视，将成为行业主管部门、企业开发商用来保证移动应用软件安全的重要技术手段，具有良好的市场价值和广阔的应用前景。因此，本项目在市场方面不存在重大风险。

（四） 资金风险

在项目的资金保障方面，项目申报单位和参与单位近年来经营情况较好，产值年年攀升，都已承诺为本项目配套足额的自筹资金，专款专用，且制定了比较完善的资金筹措措施，确保本项目资金准时、准额到位。因此，本项目实施资金风险较小。

三、前期工作基础（限1000字）

（一）现有研发条件 1. 申报单位现有研发条件

申报单位是工业和信息化部直属事业单位，经过60多年的努力，已发展成为国家重点工程质量与可靠性技术研究和保障专业机构，是权威的国家级的国际认可的认证检测机构，业务能力从元器件到设备到大系统、从硬件到软件的产品检测评价、试验分析、认证、计量、环境试验、信息服务、技术培训、设备和专用软件研发等，具有全国唯一的国家嵌入式软件产品质量监督检验中心。

申报单位总部占地面积20万平方米，拥有各类试验设备、分析测试和

15

广东省科技计划项目申报书（技术开发类）

计量仪器 7228台(套)，固定资产达到12.43亿元。现有职工2800余人，其中双聘院士5名，研究员30名，高工200多人，工程师400多人，总装备部专家2人，工信部专家6人，质量认证审核员主考官2名，历年来享受政府津贴专家26人，广东省信息安全等级保护专家2人，广东省保密技术专家2人。获国家级和部级成果奖50多项。 2. 参与单位现有研发条件

参与单位多年来在大数据、云计算等信息安全方面做了大量研究，拥有该领域内151项软件著作权，149项专利申请，授权21项，同时拥有生产、研发场地25703平方米，成立了广东省网络安全应急工程技术研究中心、省级企业技术中心和蓝盾信息安全企业研究院等研发机构，已研发出蓝盾防火墙、多功能安全网关（UTM）、账号集中管理、安全审计、入侵检测、漏洞扫描等8大系列100多种型号的产品，具有强大的生产、研发能力。公司的生产、研发设备总值41188万元，资产总额达到225666万元。这为本项目的顺利开展提供了坚实的研发基础。

（二）已有的研究基础和成果 1. 申报单位取得的阶段性研究成果

申报单位近年来承担了国家发改委信息安全专项、新一代国家科技重大专项、工信部电子发展基金等课题的研究工作。通过自主创新，形成了具有自主知识产权、技术先进、功能完备的移动互联网质量公共服务平台，在海量移动应用智能爬网和云化安全检测、IPv6协议及应用安全测试、无线通信

16

广东省科技计划项目申报书（技术开发类）

协议安全分析、手机游戏软件测评认证等领域形成独具特色的技术创新，在HTML5安全性测试、移动应用安全取证、4G通信协议安全测评等前沿领域开展预研工作，取得了丰硕的技术成果。

以上述成果为依托，申报单位形成了雄厚的移动应用测评服务能力，取得了良好的社会效益和经济效益，已完成的典型测试案例包括：

1） 作为四家检测机构之一，参加2014 年国家工信部、公安部和工商总局三部局发起的“打击治理移动互联网恶意程序专项行动”，开展“移动应用程序集中抽测工作”，完成了境内四分之一的应用商城抽测；

2）2014 年央视3.15 晚会曝光的“大唐神器”恶意App 测试； 3）“新一代宽带无线通信网”国家科技重大专项系列课题验收测试； 4）“中国移动MM 商城应用测试”等移动应用质量测评服务项目。； 2. 参与单位取得的阶段性研究成果

参与单位的无线安全产品覆盖三大主流手机操作系统，用户数超过4亿，获得西海岸实验室Checkmark移动安全认证，并通过了国家计算机反病毒应急处理中心的检测。

参与单位提出的终端安全架构计划（MTAA）能够提供多平台系统层面的高权限解决方案、云到端的解决方案，具有杀病毒、防骚扰、保隐私、网络防御的四大防御体系和产业化优势。

（三）与项目相关的知识产权情况（所有单位）

申报单位和参与单位与项目相关的专利获取、论文发表、软件著作权登

17

广东省科技计划项目申报书（技术开发类）

记情况如表 3-1、表 3-2、表 3-3 所示。

表3-1. 申报单位和参与单位取得的与项目相关的知识产权情况 序号 1 2 3 4 专利名称 智能移动终端恶意软件的检测方法与装置 面向移动智能终端IPv6协议及其应用的安全测试系统 数据处理和系统 数据转发方法和系统 申请/专利号 进度 类型 201410462352.9 受理 发明 201310754158.3 受理 201610952262.7 受理 201410621032.3 受理 发明 发明 发明

表3-2. 申报单位和参与单位与项目相关的论文发表情况 序号 1 论文名称 The Research of Security Reinforcement of Android Applications A Key Management Scheme based on Cluster Grouping Structure for Mobile Networks Application and Design for Security Middleware in Mobile Internet 发表期刊/会议 2015第四届机器人与机电工程国际会议 International Forum on Management, Education and Information Technology Application (IFMEITA 2016) 2014 2nd International Conference on Computer Applications and Information Sciences 发表时间 2015.12 2 2016.1 3 2014.8 4 An Identity Authentication Scheme based on Dynamic Password Applied Mechanics and Materials Technology 一种用于移动互联网通信安全的无线VPN改进模型研究 智能移动终端软件的 质量测评技术现状分析 The Research on Mobile IPv6 Security Features Security Analysis for IPv6 Neighbor Discovery Protocol 电子产品可靠性与环境试验 电子产品可靠性与环境试验 2013 IEEE Symposium on Wireless Technology & Applications (ISWTA 2013) IMSNA 2013 2013.9 5 6 2011.9 2011.9 7 2013.9 8 9 2013.12 2014.9 Research on the Key Technology of 2014 2nd International Conference Security Detection of Computer BIOS on Computer Applications and 18

广东省科技计划项目申报书（技术开发类）

Information Sciences Design and Implementation of Flow Mobility based on D-PMIPv6 2014 The 13th International Symposium on Pervasive System, Algorithms, and Networks 10 2014.12 表3-3. 申报单位和参与单位与项目相关的软件著作权登记情况 序号 1 2 3 4 5 6 7 软件名称 支持加壳应用的安全检测软件V1.0 iSure Checkit移动互联网应用检测软件V1.0.0 智能移动终端恶意软件检测系统V1.0 移动智能终端IPv4/IPv6安全协议评测工具软件V1.0 嵌入式软件安全性检测平台软件V1.0 智能移动终端性能测试工具V1.0 智能移动终端游戏软件测试工具软件V1.3 登记号 2017SR042071 2014SR216455 2014SR088048 2013SR128683 2010SR033181 2013SR163060 2013SR128681 （四）近三年直接获得国家、省、市科技部门资助的相关项目情况

表3-2. 申报单位和参与单位获得国家、省、市科技计划等支持情况 项目编号 发改办高技[2012]1424号 2012ZX03002012-004 2011ZX03005-001 粤科规财字[2015]82号 工信部财函[2011]506号 工信部财[2012]407号 / 年度 2012 2012 2011 2015 2012 2012 2009 项目名称 移动智能终端安全检测与咨询服务 移动智能终端安全评估技术研究 信息汇聚传感器网络综合测试与验证评估环境 移动互联网应用程序安全检测与加固技术研究 智能移动终端软件公共服务平台 面向移动互联网的IPv6综合测试仪表 软件即服务（SaaS）质量测评系统 起止时间 2012.1- 2014.12 2012.1- 2014.6 2012.1- 2013.12 2015.9- 2017.8 2012.1- 2014.6 2012.9- 2014.9 2009.6- 2010.12 级别 国家级 国家级 国家级 省级 部级 部级 部级 支持金额（万元） 800 609 4118 300 500 200 200 进展 完成 完成 完成 实施 阶段 完成 完成 完成

19