3G智能时代的到来推进的手机移动产业的蓬勃发展,据最新资料显示,我国手机用户已经达到了7亿之众,而通过手机平台进行上网的人士也已经超过了1.5亿。随之衍生的,短信骚扰,恶意软件,还有举不胜举的移动终端网络诈骗等也步入用户的视野。针对种种智能终端的安全缺口问题日趋严重化,以“创新与发展”为主题,由中国通信学会主办的“2009中国手机安全产业论坛”将于9月25日在北京新世纪日航饭店隆重举行,来自业界各个层面的关注者们齐聚一堂,就手机安全问题现状与未来发展展开深入讨论。
在下午的手机安全解决方案论坛上,Symbian基金会中国区经理杨硕登台并发表演说,以下为演讲实录:
杨硕:非常感谢中国通信学会给我这样一个机会,在座的很多同仁了解我们,可能很多人也不了解我们。说到手机,大家都知道有很多操作系统,如果在这个行业做的久点的就会知道Symbian,知道Symbian公司,下面给大家介绍一下Symbian协会、Symbian公司之间是什么样的关系,随后会给大家演示基于Symbian OS的手机解决方案及机制。
Symbian Foundation前身是Symbian公司,Symbian公司是98年成立的,去年诺基亚把它收购之后成为了行业内的一个非营利性组织,叫Symbian协会,之后把它Symbian OS变成了完全开源的项目。我们对外有4个理事会,还有UI的部分、框架的部分。这是现在OS的分层,开源以后有这样三层的开放软件平台,涉及到130多个软件模块,包含了OS的底层,以及中间件层和上层的应用层。
这次会主要谈安全,所以想介绍一下我们Symbian OS的安全机制,这是我要谈的重点。Symbian本身就已经有很强的安全设置,06年推出的第9版开始已经增加了手机安全的机制,这几个机制大家可能也比较熟悉,有些API不能被随意的访问了,另外是数据保护机制,有些数据不能任意的被复制和读取,也需要一个授权。我们对API进行了一个分级,分出了20个级别,每个级别有不同的要求,有些可以直接调用,有些必须经过授权,有些必须得到更高级的授权。
这就是我们的数据保护,大家知道在PC上也一样,有些数据存在系统目录下面,这些系统目录不能被随意访问,需要得到授权,如果熟悉Symbian的人,需要得到TCB等授权才能读取信息,这样对用户而言相当于保护了手机当中的一些关键数据。这就是我们整个的保护机制,我们把这20个API的分级围绕着PCD展开不同的级别。
我们现在的机制是通过一个认证的机制,这个认证机制就是Symbian Signed,我们从04年就已经做这个网站了,到现在已经有5年了,我们签过一两万个应用程序。Symbian Signed就是为安全所产生的一个流程。这是Symbian Signed是一个公开的机制,有很多人熟悉,有很多人不熟悉,但它是以以下几样方式获取签名(PPT)。我们应用的是一种可追溯的机制,同时我们有一套注销机制,使得你的应用程序,即使通过授权,我们后来发现你是恶意程序以后,也可以阻止安装和允许。刚才我说到,我们的手机引入了安全机制,形成了我们的Symbian Signed,Symbian Signed有一套流程,那么如何对待那些漏网之鱼呢?我们就是通过注销的机制。注销机制我们以前在公开场合并没有过多的介绍它,注销机制在9版手机上都是work的,你的手机上会有一个在线应用检查,打开之后就可以为你所有以安装的程序在线进行一次检查,看是否被列入黑名单。
(PPT)这是一个具体的协议,它符合相应工业的标准。这是当前在手机上实现的一个基本框架,也是基于API基本的授权和认证的。这套机制已经在手机上完全的实现,用户如果进行检查,我们的服务器就会收到在线的检查信息然后进行工作。现在Symbian Signed用的那套机制,其实ST系统也可以独立于第三方的系统,但需要进行一个授权。
针对Symbian OS手机,对于防止病毒和恶意程序提供了五种途径:我们的数据是保护的,API是需要授权的,有一个在线的病毒扫描,同时我们有一个完整的测试,有一个注销的机制,可以防止安装病毒和恶意软件。
从04年开始到09年6月份,我们所掌握的,基于Symbian独立的恶意的病毒的基本状况,因为病毒还有很多变种,大家看06年3月份引入Symbian Signed以后,基于Symbian平台的,病毒新增就几乎没有出现过,这是我们的一个基本统计,在引入之前病毒的增长趋势是上涨的,但是引入Symbian Signed以后,下降的非常快。
这是我们有用的一些链接,大家如果有兴趣的话,可以上去看一看。我们也欢迎在座的同仁们,如果大家发现,不管你们是在论坛上,孩子在其它的情况下发现恶意的程序,我们也欢迎你们把它递交给我们,通过我们的审核会进行注销,这样就会保证用户的使用安全。
