一种基于状态机的手机安全模型及应用

卢怀农

(深圳市公安局福田分局， 深圳 518000)

0 引言

信息社会，手机安全性越发重要。因手机安全性缺陷，被盗案高发，如深圳2017年手机被盗1.9万余宗，全国每年100万宗以上，直接损失达10亿以上，被盗后因信息泄露造成间接损失难以计算。

缺乏安全机制是手机案件高发的原因，主要4个方面存在问题：一是手机被盗时不能自动报警，用户无法及时发现制止；二是手机遗失后无法精准报案，事主不记得手机识别号(IMEI/MEID)等特征，无法精准报案，难以找回；三是手机遗失后，机内信息无法及时删除，导致信息被非法读取、身份冒用，引起更大关联损失[1]；四是手机被盗后因无法提供被盗时间地点、嫌疑人等情况，案件难以侦破。

现代智能手机内部有大量感知模块，既能对本身运动、充电、网络等自身状态感知，也能感知手机位置、电磁环境、光线等外部环境。在全面分析手机在各种被盗场景下手机自身状态及事件变化情况，依托感知技术，建立一套手机安全状态机模型[2]，当发生疑似被盗事件时，及时提醒用户，实现手机的安全管理。

1 状态机定义

手机安全状态机模型SSMM(Security State Machine Model)，是指手机在不同状态下，根据手机外部所处环境条件及手机本身状态的变化，按照预先设定规则进行状态转移，同时执行特定安全操作的有限状态机模型。手机安全状态机模型是一种监控手机内外事件变化而进行状态改变，同时执行安全操作的有向图模型，由手机状态节点和转移条件组成[3]。

手机状态机模型，如图1状态机图所示，包括3类基本元素集合，一类手机状态集合S={state}，包含一个起始状态ss(start state)；一类状态条件集合C={condition}；一类操作集合A={action}。

图1 状态机图

手机状态机模型是由当前状态p(present state)、转移条件c(condition)、迁移新状态n(next state)、执行动作a(action)，4个元素组成的四元组集合，即：

t=(p|p∈S,c|c∈C,n|n∈S,a|a∈A)

四元组组成的T={t}集合模型。

2 手机状态集

手机状态集S为有限状态集，包含5种状态：日常状态、监控状态、报警状态、遗失状态和清除状态。

2.1 日常状态

日常状态是手机的默认状态，此时手机处于安全环境中，监控外部环境，判断是否还在安全环境。本状态技术特征是，手机位置信息处于安全区域内，或手机处于安全wifi等电磁环境中。

有3种进入方式：一是开机后自动启动日常状态；二是从监控状态退出返回日常状态；三是手机认证通过后返回日常状态。两种退出方式：一是手工退出，进入监控状态；二是根据外部环境监控集规则，在非安全环境时退出日常状态，进入监控状态。

该状态监控外部环境监控集，判断是否在安全环境。如规则一：手机位置监控规则，轮询当前位置，如在手机位置监控集合中非安全区域则进入监控状态，否则保持日常状态。如规则二：电磁环境监控规则，轮询电磁环境(如wifi、蓝牙路由)，如在电磁环境监控集合非安全区域则进入监控状态，否则保持日常状态。

2.2 监控状态

监控状态是手机在不安全环境，对手机状态监控集中手机状态进行监控，判断是否疑似被盗，进入报警状态。本状态的技术特征是，手机处于不安全的地理区域内，如手机位置信息在预设的不安全区域位置范围。

3种进入方式：一是手工启动；二是外部环境位于非安全环境进入；三是身份认证通过返回监控状态。3种退出方式：一是手工退回日常状态；二是外部环境监控集进入安全环境，退回安全状态；三是预警事件发生，进入报警状态。

该状态机监控手机状态监控集，该集合中预警事件发生后，进入报警状态。监控状态机包含运动、静置、临界子3个子状态。一段时间静止时，进入静置子状态；继续保持静止进入临界子状态，否则退回运动子状态。

2.3 报警状态

报警状态是手机被盗状态，发出警报提醒机主，同时记录现场信息，进行身份验证，如不通过，则将现场信息上传到安全中心，起到阻断、记录被盗过程。该状态技术特征是，手机在不安全的环境中，发生了疑似被盗窃的事件，如充电手机拔掉电源，或者放在桌上的静止手机被人拿起。

进入方式是，在监控状态，手机状态监控集特定事件发生后进入报警状态。退出方式是，用户登录验证，如认证通过，则返回监控状态，不通过进入遗失状态。

2.4 遗失状态

遗失状态是手机丢失后的状态，跟踪手机位置、状态，确认手机是否找回，响应用户请求指令，回传当前信息。在手机联网时自动向安全中心、关联系统发送当前手机、登录、环境等信息。

两种进入方式：一是报警时认证不通过进入；二是手工设置为遗失状态。两种退出方式：一是用户找到手机认证通过，改为日常状态；二是用户确认遗失，发布清除指令设置为清除状态。

2.5 清除状态

清除状态是遗失后为了保护手机信息、数据、APP中的信息，用户下达清除销毁数据的状态。进入方式，手机在开机联网后检测到用户向安全中心下达清除指令进入。

3 条件事件集

条件事件集C，包含对手机外部环境、手机本身事件、用户身份认证以及安全中心4类安全事件条件集的变化监控，在不同状态下通过监控条件事件集中的特定事件发生进行状态转移、执行相应安全操作。

条件事件集中的条件和手机状态机中的初始状态、下一状态相对应，组成了手机状态机安全模型四元组，t=(p|p∈S,c|c∈C,n|n∈S,a|a∈A)中的前面三元对照关系。表1展示了特定状态下，具体条件发生后下一状态跃迁的对应表。

条件事件集包含两类事件，一类是条件事件集预设自动事件监控，分别监控手机外部环境变化，如地理空间、电磁环境变化和手机本身事件变化，如断电、关机、静置后拿起等等疑似被盗行为。另一类是监控人工发起的操作，如在手机端的身份认证和用户向安全中心发布的指令。

手机状态机条件事件监控器，负责管理、维护、监控已注册事件监控集，并对事件监控，预设事件发生时，推送安全标识，触发状态转移。

3.1 外部环境集

通过外部环境集判断手机所处环境是否安全，该集合包含多条安全环境记录，包括手机位置和手机电磁环境两类。用户手工设置当前环境为安全环境或非安全环境。在日常状态或监控状态，状态机事件监控器周期性轮询环境参数，判断当前环境是安全还是非安全。

表1 条件事件状态转移表

(1)手机位置监控。手机位置集，指定某区域安全性质，该集合包含多条记录，包括序号、名称、位置类型及范围、安全标志位等，安全标志位标识安全和非安全。

由两类位置信息组成：一是地理位置，安全位置监控集中经纬度(如GPS)位置，该位置为一封闭区域；二是基站位置，基站小区监控集中基站信息。

(2)手机电磁环境。电磁环境集，存储电磁环境记录。该集合中记录包括序号、名称、电磁类型及地址(如wifi路由信息、蓝牙路由信息)、安全标志位等。

主要包括Wifi路由和蓝牙路由两类。状态机事件监控器，周期获取周边Wifi路由(调用WifiManager等)、蓝牙设备(调用bluetoothdevice等)，判断是否在电磁环境集，返回安全标识。

3.2 手机事件集

手机事件集监控手机本身变化，包括传感器静止运动、充电断电、网络链接断开和关机等疑似被盗情况。

(1)手机传感器监控。手机传感器监控是对自身运动状态监控(调用SensorManager等系统库)，监控加速度、陀螺仪、线性加速度、计步器等传感器消息，判断静止或运动[4]。为二次触发事件类型。手机在监控状态在一定时间内静止后，则进入临界子状态。在临界子状态，如有运动发生，进入报警状态。

(2)手机充电监控。手机充电监控是对充电线连接状态监控(调用BatteryManager等)，充电时断开充电电源则进入报警状态。

(3)手机关机监控。监控手机关机动作，关机则进入报警状态。

(4)手机网络监控。监控Wifi或蓝牙连接状态，断网时进入报警状态。

3.3 身份认证集

报警状态时，提醒用户进行身份认证，默认使用手机系统自带的身份认证方式，如密码、指纹或人像识别登录，根据登录结果，分别返回成功登陆或登陆失败。

3.4 安全中心集

安全中心集，监控用户向安全中心发布的指令。

(1)手机遗失监控。用户可以在手机遗失后，登陆安全中心设置手机为遗失状态。手机定时访问安全中心，如被设置为遗失状态，执行相关操作。

(2)手机清除监控。用户无法找回手机时，为保护数据安全，向安全中心发布清除指令。手机定时访问安全中心事件，一旦发现清除状态执行清除操作。

4 状态机流程图

4.1 启动注册

如图2状态机流程图所示，手机开机后先登陆安全中心。第一次登陆时进行初始设置，包括注册安全账号、设置用户名、注册当前手机，安全信息(包括密码、指纹、人像等)，关联系统(包括手机、邮件)以及其他安全设置。注册用户手机时，自动注册手机硬件标识信息，包括手机型号、设备识别码IMEI、MEID，Wifi、蓝牙mac地址等。

图2 状态机流程图

4.2 环境监控

手机默认进入日常状态机，对周边环境监控，安全环境下保持日常状态，非安全环境进入监控状态。

日常状态机通过对3类事件进行判断：一是手机位置，获取当前位置，与手机位置事件监控集合进行比较，在不安全区域进入监控状态；二是电磁环境，获取周边Wifi、蓝牙等电磁环境，和手机电磁环境监控集合比较，如不安全环境，进入监控状态；三是轮询安全中心，如报警或遗失，进入报警状态或遗失状态。

4.3 监控状态

手机监控自身状态、安全中心，如发现关机、断电等疑似被盗行为，进入报警状态，该状态监控4类消息：一是手机传感器，在设定时间周期静止，进入静置子状态；在预设时间继续静止，进入临界子状态，否则退回运动子状态。二是充电监控，当手机从充电器拔出，进入报警状态。三是关机监控，当关机事件发生，阻止关机并进入报警状态。四是网络监控，当手机Wifi或蓝牙断网时，进入报警状态。

4.4 被盗报警

手机被盗时向用户报警，提醒用户阻止被盗：一是阻断系统的关机；二是发出声、光、震动等方式报警引起事主注意，阻断被盗过程并通过网络、短信等方式向关联系统、安全中心远程报警；三是全面记录现场信息，启动前后摄像头，分别拍摄拿手机人照片、环境照片，读取指纹信息，读取当前位置(如GPS等)、运营商基站信息，读取现场电磁环境如周围Wifi路由、蓝牙路由等信息；四是启动身份认证，如不通过则将所有现场信息报安全中心，并送公安机关，进入遗失状态，认证通过则返回监控状态。

4.5 遗失处理

遗失状态继续响应用户指令事件，上报当前用户、环境及手机信息，用于找回及案件侦查，并执行：一是用户开机后，启动手机认证；二是读取安全中心指令事件，如报警指令，进入报警状态；如清除指令，则进入清除状态。

4.6 数据清除

用户确认无法找回，为保护手机信息，向安全中心发布清除指令。手机开机在安全中心收到该事件后，清除当前手机中除自身外所有的APP及数据，并清除系统的用户数据，如通讯录、短信、通话记录、照片、视频、文档等。确保信息不被盗用。

5 安全模型应用

安全系统应用架构实现了一种手机安全状态机模型应用实现。如图3系统架构图所示，由用户手机，暨安全组件，关联系统，安全中心，外部系统4部分组成。这4部分相互通讯、相互服务，承载手机的安全状态机，实现基于安全状态机的一种安全运行机制。

图3 系统架构图

5.1 用户手机

用户手机是安全状态机组件运行的载体。用户手机在部署安全状态机组件后，运行在安全状态机的日常、监控、报警、遗失、清除5个状态之一。在报警、遗失及清除状态，和关联系统、安全中心通讯，上报当前状态变动及触发事件。各个状态均会按照用户安全设置，响应安全中心的查询指令。手机在遗失状态，响应安全中心发布的清除指令。

用户手机在遗失、清除状态，会上传手机当前位置信息、电磁环境(含Wifi路由、运营商基站小区信息)、以及本机sim卡信息、本机当前电话号码。

5.2 关联系统

关联系统，包括用户登记其他手机、电子邮件、微信、qq等即时通讯工具。用户手机在报警、遗失及清除状态，以短信、邮件、即时通讯信息以及电话等方式通知关联系统(不需要通过安全中心)，包括当前状态变动以及触发事件。同时手机和手机之间可以通过二维码授权等方式建立关联，如A生成授权关联二维码，B对A扫码关联，关联后，A的状态变化会通知A，同时B可以获取A的位置等信息。

5.3 安全中心

安全中心包括安全中心主机、安全中心web服务以及中心服务器。安全中心维护用户注册信息，允许用户注册管理多部手机。每部手机注册手机硬件标识信息，包括手机型号、国际移动设备识别码IMEI、移动设备识别码MEID，手机网络Wifi、蓝牙的mac地址等信息。安全中心和手机双向通信，一是收集手机上报的状态机状态变动、预警等以及其他关联信息，二是安全中心根据用户发布指令，向手机上的安全组件查询状态、发布命令。用户通过Web服务登陆安全中心，按照预设关权限，查询手机状态、发布指令。

5.4 外部系统

(1)公安机关系统，安全中心对接公安机关手机被盗抢数据库、安全指挥系统等。安全中心收到用户手机报警、遗失及清除状态变动时，连接安全指挥系统，上报现场及预警信息。用户手机在确认遗失，并进入清除状态时，将手机硬件标识(IMEI/MEID)等上报公安数据库，比对确认查找事主。

(2)运营商系统，用户确认遗失，将手机识别码(IMEI/MEID)上报运营商手机被盗抢库，被盗手机登陆上线基站后，向公安机关进行预警。

5.5 应用模式

手机厂家可根据本方法，部署内置安全组件，建立厂家级别安全管理模式；手机安全软件商，根据本方法，完善手机安全管理模式。

公安机关可以借助手机被盗时采集的现场信息，作为线索开展侦查工作，并作为证据起诉嫌疑人，缴赃后可查找事主；另外可要求公共场所、大型展会等从业人员安装该系统，并和公安系统相连接，实现大型活动安保工作。手机运营商与公安机关合作，探索运营商层面的被盗抢手机入网阻断功能，在根源上解决手机被盗问题。

6 e守卫成效

2018年10月，作者根据本方法研发e守卫手机安全系统，如图4，e守卫在11月深圳第20届中国国际高新技术成果交易会300余家展商安装使用[5]，及时报警成功阻止6次疑似被盗行为，确保展商手机安全，实现了5天展会手机被盗零警情。

图4 e守卫高交会使用

2018年11月起在深圳华强北等商业区域、八卦岭工业区等部位使用，月手机被盗警情同比下降40%以上。

7 结语

针对手机容易被盗、难以侦破等安全问题，结合手机的内部传感器技术，在对手机被盗场景的状态及事件关联变化分析的基础上，构建了基于事件集的手机安全状态机模型，明确了5种手机状态下需监控预警事件以及事件发生后状态转变和具体安全操作。

依托状态机模型设计了一种安全系统架构，并开发了e守卫手机APP系统。该系统在大型国际科技展会中推广使用，实现了展会手机被盗零警情，说明基于状态机的手机安全模型建立了一种有效的手机安全机制。