移動(dòng)終端安全防護(hù)畢業(yè)設(shè)計(jì)

四川師范大學(xué)成都學(xué)院本科畢業(yè)設(shè)計(jì)四川師范大學(xué)成都學(xué)院本科畢業(yè)設(shè)計(jì)構(gòu)成、可信平臺(tái)模塊TP防口可信軟件棧TSS勺結(jié)構(gòu)與功能等。最后分析了可信平臺(tái)具有的可信機(jī)制以及如何對(duì)實(shí)現(xiàn)平臺(tái)可信進(jìn)行了研究。4完整信任鏈模型的研究與設(shè)計(jì)信任鏈結(jié)構(gòu)研究可信計(jì)算提出實(shí)施主動(dòng)防御的策略，從計(jì)算終端源頭出發(fā)來(lái)保護(hù)終端平臺(tái)的安全性。通過(guò)對(duì)可信計(jì)算理論的深入研究，可以得出信任根和信任鏈?zhǔn)侵萍s平臺(tái)可信的關(guān)鍵因素。信任根是平臺(tái)可信的起點(diǎn)，信任鏈實(shí)現(xiàn)信任的傳遞，信任根和信任鏈?zhǔn)强尚庞?jì)算平臺(tái)最主要的關(guān)鍵技術(shù)之一。信任根可信平臺(tái)的信任根作為信任傳遞的起始點(diǎn)，對(duì)整個(gè)平臺(tái)的可信至關(guān)重要，因此必須保證信任根的安全可信性，信任根的可信性主要表現(xiàn)為三個(gè)方面：首先安全性方面，它應(yīng)基于硬件設(shè)計(jì)的物理上的安全性；其次技術(shù)方面，其設(shè)計(jì)思路和技術(shù)實(shí)現(xiàn)應(yīng)得到公眾的廣泛認(rèn)可；最后法律方面，該組件應(yīng)得到相關(guān)法律法規(guī)的承認(rèn)及保護(hù)，并且只允許權(quán)威的機(jī)構(gòu)生產(chǎn)和管理。TCG1為信任根是系統(tǒng)可信的基礎(chǔ)，可信平臺(tái)必須包含三個(gè)可信根：可信度量根RTM可信存儲(chǔ)根RTS可信報(bào)告根RTR這些可信根一方面度量平臺(tái)啟動(dòng)要加載的組件以及其它操作并進(jìn)行安全存儲(chǔ)，另一方面報(bào)告平臺(tái)當(dāng)前的狀態(tài)，作為平臺(tái)是否可信的依據(jù)。可信度量根RTM為了使平臺(tái)在安全的狀態(tài)下啟動(dòng)，就要對(duì)啟動(dòng)操作的完整性進(jìn)行度量和檢測(cè)。由平臺(tái)的可信根出發(fā)，任何要獲得控制權(quán)的實(shí)體，都需要先對(duì)該實(shí)體進(jìn)行度量，生成完整性度量值。而完整性度量機(jī)制也是信任擴(kuò)展機(jī)制實(shí)現(xiàn)的基礎(chǔ)，要將信任擴(kuò)展到可信平臺(tái)的各個(gè)硬件、軟件部件需要通過(guò)信任擴(kuò)展機(jī)制，從而實(shí)現(xiàn)可信性的延伸，最終形成信任鏈，從而保證平臺(tái)的可信性?？尚哦攘渴强尚庞?jì)算的基礎(chǔ)，由于可信性目前尚不易直接度量，所以TCGE信任鏈中采用的是度量數(shù)據(jù)完整性，而且通過(guò)校驗(yàn)數(shù)據(jù)哈希值的方法來(lái)度量數(shù)據(jù)的完整性?？尚庞?jì)算組織制定了一種鏈?zhǔn)降男湃螠y(cè)量模型，測(cè)量代理測(cè)量文件的Hashfi,并收集組成測(cè)量列表，它代表證實(shí)系統(tǒng)的完整性歷史。采用迭代計(jì)算哈希值如2.1式所示的

方式，即將現(xiàn)值與新值級(jí)聯(lián)，再計(jì)算哈希作為新的完整性度量值存儲(chǔ)起來(lái)，有效維護(hù)了測(cè)量列表的完整性?？尚糯鎯?chǔ)根RT守口可信報(bào)告根RTRfi物理模塊TPM；現(xiàn)。平臺(tái)是否具有CRTMPTPMk區(qū)分普通平臺(tái)與可信計(jì)算平臺(tái)的顯著特征，CRTIWTPMb平臺(tái)上在任何情況下都是可信的組件。它們合起來(lái)組成了可信構(gòu)建模塊(TrustedBuildingBlocks,TBB),或者稱(chēng)為可信子系統(tǒng)(TrustedSubsystem)。證明實(shí)體可信的度量值將被TPMR存，作為向其它訪問(wèn)實(shí)體報(bào)告平臺(tái)可信度的依據(jù)。需要知道平臺(tái)可信狀態(tài)的某個(gè)實(shí)體，可以得到當(dāng)前TPM中所保存的度量值和其它信息，該過(guò)程需要詢(xún)問(wèn)實(shí)體和平臺(tái)之間相互的認(rèn)證，平臺(tái)身份密鑰對(duì)完整性度量值進(jìn)行數(shù)字簽名，接收方通過(guò)驗(yàn)證簽名的有效性以及完整性來(lái)判斷該平臺(tái)當(dāng)前的可信性。信任根的可信性由物理安全和管理安全確保。對(duì)請(qǐng)求訪問(wèn)可信計(jì)算平臺(tái)的任何實(shí)體都要進(jìn)行可信度量，并存儲(chǔ)度量結(jié)果，實(shí)體詢(xún)問(wèn)時(shí)平臺(tái)提供報(bào)告，以此來(lái)判斷平臺(tái)當(dāng)前狀態(tài)是否可信[23],三者之間的關(guān)系及度量、驗(yàn)證和存儲(chǔ)的具體流程如圖3.1所示。CompentRTM⑹

extend⑺storeevent圖3.1CompentRTM⑹

extend⑺storeevent圖3.1信任根關(guān)系圖(1)首先可信度量根RTMt要度量組件的代碼和配置信息進(jìn)行度量;(2)創(chuàng)建并生成TIM,即對(duì)應(yīng)該組件度量后的事件結(jié)構(gòu)；(3)將TIM傳送給馬^證根RTV(4)驗(yàn)證根RTa得該組件的參考完整性度量值RIM;(5)驗(yàn)證根RTW度量的組件進(jìn)行驗(yàn)證，判斷是否可信；(6)通過(guò)級(jí)聯(lián)的方式將度量值存儲(chǔ)在TPMK塊中的可信存儲(chǔ)根RTSh(7)存儲(chǔ)相關(guān)的測(cè)量日志；(8)被度量組件是可信的狀態(tài)下，允許該組件執(zhí)行。信任鏈傳遞機(jī)制可信技術(shù)的根本體現(xiàn)是信任鏈的傳遞。可信計(jì)算平臺(tái)的核心是可信平臺(tái)模塊，它是整個(gè)平臺(tái)的信任基礎(chǔ)。信任鏈的傳遞是體現(xiàn)平臺(tái)可信的重要手段，只有信任根還不能保證平臺(tái)的可信，為了將信任擴(kuò)展到整個(gè)平臺(tái)，實(shí)現(xiàn)平臺(tái)甚至網(wǎng)絡(luò)的可信，還必須有信任鏈技術(shù)。在可信移動(dòng)平臺(tái)中建立可信，有一個(gè)重要的前提，即系統(tǒng)中存在可信根，系統(tǒng)從可信根開(kāi)始，然后建立一條信任鏈，再將信任傳遞到系統(tǒng)的各個(gè)組件。通過(guò)信任鏈技術(shù)的信任傳遞，才能保證移動(dòng)平臺(tái)系統(tǒng)從源頭開(kāi)始至系統(tǒng)啟動(dòng)整個(gè)過(guò)程的安全可信。所謂信任傳遞，就是信任鏈從構(gòu)建一個(gè)信任根開(kāi)始，在平臺(tái)環(huán)境的任何一次轉(zhuǎn)變，能夠通過(guò)傳遞的方式實(shí)現(xiàn)信任的延伸，使得信任根的信任傳遞到整個(gè)平臺(tái)，則平臺(tái)上的計(jì)算環(huán)境始終是可信的，平臺(tái)的完整性也將得到保證，終端安全自然也有了保證。具體通過(guò)CRT隧級(jí)度量驗(yàn)證，在被度量組件是可信的狀態(tài)下，將進(jìn)行控制權(quán)的轉(zhuǎn)移，接著新獲得控制權(quán)的組件將對(duì)下一組件度量并驗(yàn)證，一級(jí)傳遞一級(jí)，最終將可信根的信任擴(kuò)展到整個(gè)平臺(tái)甚至網(wǎng)絡(luò)中。通過(guò)信任鏈傳遞，可以實(shí)現(xiàn)系統(tǒng)可信范圍的延伸，不僅保證整個(gè)平臺(tái)的可信而且還可以將信任傳遞到網(wǎng)絡(luò)中。信任鏈的建立依賴(lài)于可信的度量、度量值的存儲(chǔ)和度量的報(bào)告。根據(jù)TC覦范，可信根被無(wú)條件信任是由一系列證書(shū)保證的，一個(gè)系統(tǒng)的啟動(dòng)過(guò)程也就是一條可信鏈的傳遞過(guò)程，TCG&出了移動(dòng)平臺(tái)上的可信鏈傳遞的框架和實(shí)施機(jī)制如圖3.2所示［29］。信任鏈?zhǔn)且苿?dòng)終端系統(tǒng)可信的一個(gè)關(guān)鍵組成部分，要實(shí)現(xiàn)一個(gè)完整的信任鏈，必須滿(mǎn)足兩個(gè)條件：(1)平臺(tái)上有一個(gè)可信根，這個(gè)信任根是通過(guò)硬件封裝和保護(hù)能力實(shí)現(xiàn)的。(2)系統(tǒng)從可信根開(kāi)始引導(dǎo)，每一級(jí)系統(tǒng)運(yùn)行控制組件只有在確認(rèn)其下一級(jí)系統(tǒng)運(yùn)行控制組件是可信的狀態(tài)下，才將系統(tǒng)運(yùn)行控制權(quán)轉(zhuǎn)移給它。

在可信移動(dòng)平臺(tái)信任鏈的傳遞方面，同樣，信任傳遞首先從平臺(tái)的信任根（節(jié)點(diǎn)0）出發(fā)，對(duì)平臺(tái)啟動(dòng)第一個(gè)要加載的組件（節(jié)點(diǎn)1）進(jìn)行完整性度量并驗(yàn)證，若節(jié)點(diǎn)1可信，則由節(jié)點(diǎn)1驗(yàn)證下一個(gè)要加載的組件（節(jié)點(diǎn)2）,依照這樣的方式將信任傳遞至節(jié)點(diǎn)N,因此移動(dòng)平臺(tái)可信的集合由最初的｛節(jié)點(diǎn)O）逐步擴(kuò)展為｛節(jié)點(diǎn)O,…，節(jié)點(diǎn)N）,可信節(jié)點(diǎn)i（i=0,1,…，N-1）用來(lái)驗(yàn)證節(jié)點(diǎn)i+1,最終使得原來(lái)不在信任集合中的節(jié)點(diǎn)也成為可信任的節(jié)點(diǎn)。假設(shè)：布爾變量T表示節(jié)點(diǎn)i處于可信的狀態(tài)，S表示節(jié)點(diǎn)i當(dāng)前的狀態(tài)，V+1表示節(jié)點(diǎn)i對(duì)節(jié)點(diǎn)i+1驗(yàn)證后的結(jié)果，則信任傳遞過(guò)程可以描述為：首先T0=TrueSi=T0AVi若驗(yàn)證結(jié)果Vi是可信的，則Ti=S即節(jié)點(diǎn)l是可信的。S2=T1AV2若V2是可信的，則T2=S即節(jié)點(diǎn)2是可信的。Ti+i=TAVi+i（i>0）若V+i可信，則Ti+i=S+i即節(jié)點(diǎn)i+l是可信的。這樣可信域從節(jié)點(diǎn)0一直擴(kuò)展到節(jié)點(diǎn)N,從而實(shí)現(xiàn)信任的安全傳遞ApplicationCodeOSCode14110=rlu&*iUJOSLoadercodeApplicationCodeOSCode14110=rlu&*iUJOSLoadercodeCRTMCodeTBB+RootsofTrust圖3.2信任鏈傳遞模型可信基TBB!可信平臺(tái)的基礎(chǔ)構(gòu)建模塊，主要包括CRTMTPM以及這些部件和主板間的連接設(shè)備、總線等，TBE^夠提供密封存儲(chǔ)和存儲(chǔ)保護(hù)能力。目前，系統(tǒng)的可信性暫不能直接度量，TC京用系統(tǒng)代碼或數(shù)據(jù)的完整性度量值作為判斷可信的依據(jù)。在建立信任鏈的過(guò)程中，首先獲得可信認(rèn)證中各個(gè)階段的認(rèn)證基準(zhǔn)值RIM,并把這些基準(zhǔn)值存儲(chǔ)到信任根的安全存儲(chǔ)區(qū)域中。如果以后用戶(hù)或者系統(tǒng)通過(guò)授權(quán)更改了某些關(guān)鍵文件或軟件信息，需要對(duì)這些改動(dòng)了的組件通過(guò)調(diào)用信任根提供的密碼功能重新計(jì)算其完整性基準(zhǔn)值，有了完整性基準(zhǔn)值之后，系統(tǒng)就可以實(shí)施完整性認(rèn)證[30]。信任鏈傳遞基本模型TCG方案依據(jù)TCG1任傳遞理論，可以得知信任鏈?zhǔn)强尚庞?jì)算平臺(tái)中保障系統(tǒng)安全可信的重要技術(shù)手段，同時(shí)也是可信計(jì)算平臺(tái)整個(gè)系統(tǒng)安全的中心問(wèn)題。TCG^TPMK塊是嵌入在PCS備上的安全芯片，針對(duì)嵌入式與移動(dòng)平臺(tái)的特性，2007年6月，TCG勺移動(dòng)電話(huà)工作組MPWWG布了移動(dòng)可信模塊(MobileTrustedModule,MTM參考架構(gòu)[33],對(duì)移動(dòng)平臺(tái)的模型結(jié)構(gòu)進(jìn)行了詳細(xì)的概述。200孫,MPWWG布了移動(dòng)可信模塊MT喳考規(guī)范[34],結(jié)合TCGT信計(jì)算理念，提出了一種如圖3.3所示的一種鏈?zhǔn)叫湃蝹鬟f機(jī)制。MTM:計(jì)模型將TMPi象為一系列可信引擎(TrustedEngine,TE)結(jié)構(gòu)的組合，它們不僅能夠處理數(shù)據(jù)，而且還能夠提供當(dāng)前引擎的狀態(tài)并證明其可信。這種結(jié)構(gòu)可以應(yīng)用于各類(lèi)移動(dòng)平臺(tái)，每種平臺(tái)有一個(gè)或多個(gè)處理器，每個(gè)處理器有一個(gè)或多個(gè)引擎，每一個(gè)引擎對(duì)不同的利益相關(guān)者(Stakeholder)起作用。MTMK設(shè)計(jì)為支持多個(gè)Stakeholder的通信環(huán)境，而Stakeholder是一個(gè)被授權(quán)的有能力控制和保護(hù)其個(gè)體利益的實(shí)體，、包括設(shè)備制造商，網(wǎng)絡(luò)服務(wù)提供商，用戶(hù)和第三方?？尚乓苿?dòng)平臺(tái)的每個(gè)引擎能夠通過(guò)度量驗(yàn)證來(lái)表明它報(bào)告的當(dāng)前狀態(tài)以及由當(dāng)前狀態(tài)提供的數(shù)據(jù)是否可信?？尚乓苿?dòng)平臺(tái)的引擎可分為：設(shè)備引擎、通信引擎、應(yīng)用引擎和用戶(hù)引擎。其中，除了用戶(hù)引擎有“移動(dòng)本地所有者可信模塊"(MobileLocal-ownerTrustedModule,MLTM)^外，其它引擎都有“移動(dòng)遠(yuǎn)程所有者可信模塊”(MobileRemote-ownerTrustedModule,MRTM)因?yàn)镾takeholders與移動(dòng)設(shè)備沒(méi)有物理上的接觸并需要安全啟動(dòng)過(guò)程來(lái)保證它們的引擎提供可信的服務(wù)，而用戶(hù)可以接觸移動(dòng)設(shè)備，并可以加載所需的軟件。實(shí)際上，MRTML一個(gè)特殊的TPMMTMJ命令由TPMv1.2中的一部分及額外增加的命令組成。MLTMF同于MRTM處在于MRTM供額外的保護(hù)功能支持安全啟動(dòng)。這兩個(gè)MT匪可信的，因此被用來(lái)報(bào)告當(dāng)前引擎的狀態(tài)并且提供證據(jù)。測(cè)量流RTM+RTVRTM代理RTV代理圖3.3移動(dòng)終端的可信傳遞MTMfi范定義了參考完整性度量值RIM來(lái)比較度量結(jié)果。RIMW相應(yīng)軟彳鏡像的SHA1值。RIM證書(shū)(RIMCert)是經(jīng)過(guò)認(rèn)證和有完整性保護(hù)的結(jié)構(gòu)，包括SHA值和預(yù)置狀態(tài)的定義。圖3.3說(shuō)明了基于MRTM移動(dòng)平臺(tái)信任傳遞過(guò)程，整個(gè)系統(tǒng)可劃分為3種行為流：首先為執(zhí)行流3、6,按照平臺(tái)上電的啟動(dòng)過(guò)程順序執(zhí)行。其次為度量流2、4,由度量根或度量代理對(duì)后繼組件進(jìn)行完整性度量。最后為驗(yàn)證流1、5,驗(yàn)證實(shí)體VEt度量的哈希值進(jìn)行驗(yàn)證來(lái)判斷平臺(tái)是否可信。由圖3.3可知，RTV+RTM塊首先對(duì)硬件和自身的執(zhí)行狀況進(jìn)行診斷，并記錄到MRTM;再對(duì)度量和驗(yàn)證代理進(jìn)行完整性度量得到實(shí)際的度量值TIM(TargetIntegrityMetric),并與RIM證書(shū)中的參考值RIM進(jìn)行比較，驗(yàn)證無(wú)誤后，并將執(zhí)行控制權(quán)轉(zhuǎn)交給度量和驗(yàn)證代理；接著再對(duì)操作系統(tǒng)進(jìn)行上述的完整性度量、驗(yàn)證和存儲(chǔ)，依據(jù)這3種流，將建立起可信移動(dòng)平臺(tái)的信任鏈，確保所啟動(dòng)平臺(tái)的可信賴(lài)性，使平臺(tái)處于可信狀態(tài)。其它方案以TCG勺信任鏈模型為基礎(chǔ)，國(guó)內(nèi)外眾多的研究機(jī)構(gòu)、學(xué)者已經(jīng)對(duì)可信計(jì)算的信任傳遞方面展開(kāi)研究并取得了一定的成果:文獻(xiàn)［35］提出了一種逐層驗(yàn)證的可信計(jì)算平臺(tái)體系結(jié)構(gòu)。將平臺(tái)的代碼劃分為不同信任級(jí)別的層，各個(gè)層面有不同特權(quán)要求的代碼塊，利用棘齒鎖(RatchetLock)的思想來(lái)控制程序控制權(quán)，由于棘齒鎖具有單向性，安全級(jí)別低的不能對(duì)高安全級(jí)別進(jìn)行訪問(wèn)，用這種方法保證了完整性級(jí)別的用戶(hù)層不能篡改完整性級(jí)別的系統(tǒng)操作。文獻(xiàn)［36］針對(duì)可信計(jì)算中可信鏈的理論模型問(wèn)題，通過(guò)引入無(wú)干擾理論，從動(dòng)態(tài)的角度建立了基于無(wú)干擾理論的可信鏈模型，作者采用形式化的方法對(duì)該模型進(jìn)行了合理性驗(yàn)證，最后設(shè)計(jì)并實(shí)現(xiàn)了基于Linux內(nèi)核的可信啟動(dòng)過(guò)程，其實(shí)現(xiàn)思路對(duì)可信計(jì)算信任鏈理論的發(fā)展和應(yīng)用具有很好的參考價(jià)值。文獻(xiàn)［37］提出了一種基于可信服務(wù)器的可信引導(dǎo)方案。以TCGT信引導(dǎo)為基礎(chǔ)，作者對(duì)服務(wù)器的可信引導(dǎo)進(jìn)行了有益的探索，在信任傳遞之前，先要驗(yàn)證下一層組件是否可信，這樣系統(tǒng)引導(dǎo)過(guò)程按照信任鏈傳遞的方式進(jìn)行，經(jīng)過(guò)信任的傳遞，最終實(shí)現(xiàn)系統(tǒng)安全功能的增強(qiáng)。文獻(xiàn)［38］提出一種動(dòng)態(tài)可信應(yīng)用傳遞模型(DATTM)作者通過(guò)分析終端平臺(tái)上各類(lèi)應(yīng)用的特性，得出單一鏈?zhǔn)降男湃我龑?dǎo)機(jī)制已經(jīng)不能滿(mǎn)足操作系統(tǒng)與應(yīng)用間信任傳遞的需求，可信的應(yīng)用既要保持應(yīng)用裝載的靈活性，又要考慮應(yīng)用之間的權(quán)限隔離問(wèn)題，因此，本中設(shè)計(jì)了動(dòng)態(tài)的可信應(yīng)用傳遞模型，在實(shí)現(xiàn)最小特權(quán)和按需即知等原則的基礎(chǔ)上，安全性和效率也得到了提高。文獻(xiàn)［39］針對(duì)嵌入式終端的信任鏈傳遞不完整等問(wèn)題，結(jié)合可信計(jì)算的思想，提出了自底向上的和自頂向下的嵌入式可信終端信任鏈傳遞模型，并以Linux嵌入式系統(tǒng)平臺(tái)為原型，設(shè)計(jì)了啟動(dòng)可信，操作系統(tǒng)加載可信以及應(yīng)用程序的加載可信。文獻(xiàn)［40］中提出了PRIMAT案，在減少度量對(duì)象的基礎(chǔ)上，實(shí)現(xiàn)動(dòng)態(tài)運(yùn)行時(shí)的可信。由于“裝載前度量”完整性檢測(cè)模式存在的局限，裝載時(shí)的可信并不等于運(yùn)行時(shí)的可信，因?yàn)檫\(yùn)行后可能會(huì)被惡意代碼篡改或破壞其運(yùn)行方式，結(jié)合提出的C府Lite安全策略模型，來(lái)限制實(shí)體之間的信息流動(dòng)。該方案說(shuō)明可信平臺(tái)的信任鏈應(yīng)建立在某一安全策略之上，否則很難做到動(dòng)態(tài)運(yùn)行時(shí)的可信，如果系統(tǒng)不加限制，不滿(mǎn)足安全策略，信任鏈的傳遞也會(huì)失效。文獻(xiàn)［41］對(duì)應(yīng)用程序的度量和信任傳遞采用DRMJ方式。應(yīng)用軟件首先要得到廠商的簽名，可信終端必須對(duì)該簽名進(jìn)行測(cè)量驗(yàn)證在判斷是否可以運(yùn)行，軟件的更新也采用這種方式，在整個(gè)過(guò)程中PKI的支持是實(shí)現(xiàn)的關(guān)鍵，但是該方案容易出現(xiàn)軟件制作商與內(nèi)容提供商之間的利益糾紛等問(wèn)題，因此給方案的實(shí)施帶來(lái)困難。文獻(xiàn)［1］設(shè)計(jì)了針對(duì)移動(dòng)電話(huà)系統(tǒng)的度量完整性模型，目的是在移動(dòng)平臺(tái)上的所有應(yīng)用中，能夠?qū)崿F(xiàn)與安全相關(guān)重要應(yīng)用的保護(hù)。由于強(qiáng)制訪問(wèn)控制機(jī)制的復(fù)雜性，作者采用PRIMAL案，采用SELinux的安全機(jī)制，在代碼縮減90%的情況下，結(jié)果表明不僅能確保系統(tǒng)的安全，而且實(shí)現(xiàn)期望功能的可信，為移動(dòng)終端提供高安全性能的應(yīng)用提供了有利的依據(jù)。文獻(xiàn)［42］提出了基于可信計(jì)算的動(dòng)態(tài)完整性度量模型，當(dāng)系統(tǒng)調(diào)用或進(jìn)程調(diào)度時(shí)，此模型能夠測(cè)量操作系統(tǒng)和用戶(hù)進(jìn)程的指令代碼，來(lái)構(gòu)建存儲(chǔ)測(cè)量日志。此模型在Linux系統(tǒng)下對(duì)有效性和性能進(jìn)行了分析，與其它模型相比，能以較低的性能損耗動(dòng)態(tài)地測(cè)量組件的完整性，并能檢測(cè)出可信平臺(tái)運(yùn)行中受到的攻擊。此外，鄭宇等將平臺(tái)的信任傳遞與用戶(hù)認(rèn)證相結(jié)合，提出了一種用戶(hù)、USIMF口TPM相互認(rèn)證的方案，強(qiáng)化了用戶(hù)域的安全［17］o針對(duì)移動(dòng)等嵌入式平臺(tái)系統(tǒng)引導(dǎo)存在的缺陷，陳書(shū)義等提出了新的基于可信計(jì)算的移動(dòng)平臺(tái)設(shè)計(jì)方案并改進(jìn)了系統(tǒng)的引導(dǎo)過(guò)程［43］。AndreasU.Schmidt等針對(duì)移動(dòng)平臺(tái)可信啟動(dòng)之后的若干信任傳遞，尤其對(duì)可信子系統(tǒng)的轉(zhuǎn)移問(wèn)題進(jìn)行了研究［44］oJohannGroBschadl等在信任鏈傳遞過(guò)程中提出了采用ECCT法的設(shè)想［45］。他們對(duì)信任鏈理論的發(fā)展，對(duì)設(shè)計(jì)適應(yīng)于可信移動(dòng)平臺(tái)的信任傳遞模型值得借鑒。信任鏈模型存在的問(wèn)題盡管TCG勺這種信任鏈傳遞模型能保證一定的可信性，直接應(yīng)用于移動(dòng)終端，仍存在一些不足：(1)可信根的安全問(wèn)題，由于RT守口RTFS些可信根是存儲(chǔ)在可信平臺(tái)模塊TPW,其安全性和可信性受到TPM5片的硬件保護(hù)，而TPM勺安全性是由專(zhuān)門(mén)的機(jī)構(gòu)以及一系列的證書(shū)決定的，因此這些可信根的安全問(wèn)題較小。在可信PCh,RT咻為BIO0前執(zhí)行的程序，不容易被外界訪問(wèn)，安全性較高，但是嵌入式系統(tǒng)的Bootloader卻能被輕易修改，這就加重了RTMfc嵌入式系統(tǒng)中自身安全性的隱患。信任根本身一旦受到攻擊或篡改，以信任根為起點(diǎn)的信任傳遞，必定會(huì)導(dǎo)致整個(gè)平臺(tái)的可信度降低。(2)信任值的損失，信任鏈?zhǔn)且粋€(gè)單向傳遞的鏈?zhǔn)揭龑?dǎo)過(guò)程，其間任意一個(gè)節(jié)點(diǎn)出現(xiàn)問(wèn)題，尤其是信任根出現(xiàn)問(wèn)題，會(huì)導(dǎo)致整個(gè)可信環(huán)境建立失敗。根據(jù)Dempster-Shafer信任傳遞理論［46］,在傳遞過(guò)程中，信任值并不是維持不變的，相反，信任值會(huì)有一定的降低，降低的程度跟路徑存在很大的關(guān)系，路徑越遠(yuǎn)，則信任值的損失就越大。其次，TCG鏈?zhǔn)降男湃蝹鬟f結(jié)構(gòu)維護(hù)困難，靈活性差，在整個(gè)信任結(jié)構(gòu)中增刪或更新某個(gè)組件，必須從頭重新計(jì)算所有組件的完整性度量值，造成計(jì)算量增加，在一定程度上也會(huì)降低平臺(tái)的性能。(3)按照TCG勺度量模型，可信度量只針對(duì)平臺(tái)上電系統(tǒng)啟動(dòng)過(guò)程中要加載組件的靜態(tài)完整性度量，因此，從終端加電到操作系統(tǒng)以及應(yīng)用程序的加載，該模型可以實(shí)現(xiàn)此過(guò)程中平臺(tái)的安全可信。在各類(lèi)應(yīng)用運(yùn)行的過(guò)程中，特別是需要與網(wǎng)絡(luò)交互數(shù)據(jù)的應(yīng)用，只依靠對(duì)軟件代碼的靜態(tài)完整性來(lái)保障應(yīng)用動(dòng)態(tài)運(yùn)行的可信性是有一定缺陷的，而移動(dòng)終端也主要通過(guò)接入網(wǎng)絡(luò)后感染病毒、木馬，不破壞軟件代碼靜態(tài)完整性的情況下，黑客還可以使軟件處于非可信的狀態(tài)，因此，要實(shí)現(xiàn)移動(dòng)終端運(yùn)行中的安全，單純依靠靜態(tài)完整性度量驗(yàn)證是不夠的，還需要有動(dòng)態(tài)的監(jiān)控機(jī)制進(jìn)一步保障系統(tǒng)運(yùn)行中的安全。移動(dòng)終端完整信任鏈設(shè)計(jì)安全移動(dòng)終端系統(tǒng)架構(gòu)移動(dòng)通信與固定網(wǎng)絡(luò)融合是未來(lái)網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，設(shè)計(jì)和實(shí)現(xiàn)安全、可靠的移動(dòng)平臺(tái)是促進(jìn)融合網(wǎng)絡(luò)發(fā)展的基礎(chǔ)。通過(guò)與傳統(tǒng)技術(shù)的比較，選用可信計(jì)算這一新的信息安全技術(shù)來(lái)解決移動(dòng)終端的安全問(wèn)題。將可信計(jì)算思想引入移動(dòng)平臺(tái)，必須通過(guò)移動(dòng)可信模塊MTItt一平臺(tái)信任根為移動(dòng)無(wú)線設(shè)備構(gòu)造一個(gè)全面的端到端的安全架構(gòu)，為高端的移動(dòng)設(shè)備或應(yīng)用提供安全保障，使其能夠抵御病毒和其它安全威脅的侵害，使網(wǎng)絡(luò)運(yùn)行中所有的設(shè)備能夠共享某一設(shè)備的安全狀態(tài)，使得設(shè)備的可信性擴(kuò)展到整個(gè)網(wǎng)絡(luò)?？尚乓苿?dòng)平臺(tái)的處理器包括基帶處理器和應(yīng)用處理器，兩個(gè)CPL起控制整個(gè)移動(dòng)平臺(tái)。應(yīng)用處理器主要負(fù)責(zé)操作系統(tǒng)和軟件的運(yùn)行，管理各類(lèi)接口；基帶處理器負(fù)責(zé)管理通信信道和空中接口，這種結(jié)構(gòu)便于隔離應(yīng)用程序和通信進(jìn)程，提高系統(tǒng)的安全性?；鶐幚砥饕?yàn)楣ぷ髟诎踩暂^高的網(wǎng)絡(luò)中，遭受極少的安全威脅，而應(yīng)用處理器安全問(wèn)題比較嚴(yán)重，而且沒(méi)有有效的安全機(jī)制。隨著移動(dòng)增值服務(wù)將成為下一代網(wǎng)絡(luò)的主要業(yè)務(wù)，以傳統(tǒng)基帶處理器為核心的移動(dòng)終端架構(gòu)已經(jīng)難以滿(mǎn)足日益復(fù)雜的移動(dòng)計(jì)算，采用基帶處理器和應(yīng)用處理器相分離的雙處理器架構(gòu)已成為下一代智能終端的主流發(fā)展方向，而應(yīng)用處理器也將逐步取代基帶處理器成為移動(dòng)終端的核心。根據(jù)移動(dòng)終端的平臺(tái)特性和安全需求，結(jié)合目前智能終端主流的雙處理器架構(gòu)，參照TMPK目的體系結(jié)構(gòu)，本文提出了基于移動(dòng)可信模塊MTMJ可信移動(dòng)終端體系結(jié)構(gòu)，具體如圖3.4所示。在整個(gè)體系結(jié)構(gòu)中，MT睡平臺(tái)的核心可信根，也是平臺(tái)上電第一個(gè)運(yùn)行的組件，加電之后，MTMT先對(duì)存儲(chǔ)區(qū)系統(tǒng)啟動(dòng)要加載的組件逐一度量并驗(yàn)證，最終實(shí)現(xiàn)平臺(tái)的可信啟動(dòng)。此外，MTI?可以通過(guò)(GeneralPurposeI/O,GPIO)通用I/O口驗(yàn)證用戶(hù)口令，以及局部I/OS、線與BR(BiometricReader)生物特征讀耿設(shè)備相互通信，驗(yàn)證用戶(hù)身份，并通過(guò)LCD1示相關(guān)信息。利用ISO7816標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)USIW與基帶處理器之間的通信。圖3.4可信移動(dòng)平臺(tái)的硬件體系結(jié)構(gòu)通過(guò)引入可信計(jì)算思想和可信移動(dòng)平臺(tái)架構(gòu)來(lái)提高移動(dòng)終端的安全性，具體通過(guò)添加高安全性的硬件模塊MTM如圖3.4)實(shí)現(xiàn)移動(dòng)終端體系結(jié)構(gòu)安全性的增強(qiáng)。止匕外，還根據(jù)可信=可靠+安全的學(xué)術(shù)思想[23,47],設(shè)計(jì)了具有備份數(shù)據(jù)恢復(fù)功能的信任根直接度量驗(yàn)證模型，結(jié)合1.2小節(jié)分析的結(jié)論，使移動(dòng)平臺(tái)具有以下安全特性：a.具有數(shù)據(jù)恢復(fù)功能的信任傳遞結(jié)構(gòu)通過(guò)分析目前信任傳遞存在的缺陷，本文設(shè)計(jì)了一種完整信任鏈傳遞模型。在啟動(dòng)過(guò)程中不但能發(fā)現(xiàn)平臺(tái)硬件或軟件的不完整，而且一旦發(fā)現(xiàn)軟件部分受到篡改，能夠自行啟動(dòng)恢復(fù)機(jī)制，將備份數(shù)據(jù)覆蓋受損部分，確保平臺(tái)啟動(dòng)過(guò)程不受干擾。在程序運(yùn)行過(guò)程中，通過(guò)動(dòng)態(tài)的檢測(cè)機(jī)制能夠保證程序運(yùn)行中的安全可信。b.身份認(rèn)證認(rèn)證是訪問(wèn)控制的前提，可信移動(dòng)平臺(tái)的認(rèn)證不僅包括對(duì)用戶(hù)的認(rèn)證，而且還有平臺(tái)內(nèi)部之間的各重要組件的認(rèn)證。傳統(tǒng)的基于PIN的用戶(hù)身份認(rèn)證，密鑰長(zhǎng)度短，容易遭到字典攻擊或窮搜索攻擊。而單純依靠指紋的方法，也易遭到重放攻擊，為此，通過(guò)添加BR真塊，設(shè)計(jì)口令、指紋和USIMf目互融合[17],增加防攻擊能力，來(lái)強(qiáng)化用戶(hù)域的安全。c.存儲(chǔ)的機(jī)密性保證存儲(chǔ)數(shù)據(jù)安全的重要手段即采用加密技術(shù)，對(duì)存儲(chǔ)中的數(shù)據(jù)進(jìn)行加密處理之后，數(shù)據(jù)存儲(chǔ)的安全性取決于加密算法所使用密鑰的安全性。在移動(dòng)可信平臺(tái)模塊中的內(nèi)部存儲(chǔ)了各類(lèi)密鑰并進(jìn)行了有效的安全管理，移動(dòng)可信平臺(tái)模塊作為平臺(tái)的可信根，本身的安全性決定了密鑰的安全性，因此，對(duì)存儲(chǔ)區(qū)的數(shù)據(jù)采用MT師的密鑰進(jìn)行加密處理，可保證存儲(chǔ)的機(jī)密性。d.可信網(wǎng)絡(luò)連接在實(shí)現(xiàn)移動(dòng)終端安全可信的基礎(chǔ)上，還需要將信任擴(kuò)展到網(wǎng)絡(luò)中，實(shí)現(xiàn)網(wǎng)絡(luò)的可信，設(shè)計(jì)了基于遠(yuǎn)程證明的網(wǎng)絡(luò)接入[48,49]。以TCGT信網(wǎng)絡(luò)連接（（TrustedNetworkConnect,TNC訥基礎(chǔ)，在可信移動(dòng)平臺(tái)與網(wǎng)絡(luò)建立連接之前，首先要認(rèn)證移動(dòng)終端的用戶(hù)身份，如果身份認(rèn)證通過(guò)，在對(duì)終端平臺(tái)的當(dāng)前狀態(tài)進(jìn)行度量驗(yàn)證，若校驗(yàn)結(jié)果符合TNC勺安全策略，則平臺(tái)與網(wǎng)絡(luò)成功建立連接，從而有效避免安全威脅的擴(kuò)散[50]。靜態(tài)的信任傳遞過(guò)程目前，基于TCGE范的可信PU品已經(jīng)成功研制，并且已開(kāi)始在金融，安防等部門(mén)得到應(yīng)用，其中鏈?zhǔn)降男湃蝹鬟f結(jié)構(gòu)及實(shí)現(xiàn)經(jīng)驗(yàn)值得TMP1鑒。在深入研究移動(dòng)終端平臺(tái)特點(diǎn)的基礎(chǔ)上，針對(duì)移動(dòng)終端可信傳遞存在的不足，結(jié)合其它信任鏈模型，從安全和可靠的角度出發(fā)，設(shè)計(jì)一條完整的信任鏈模型，能夠?qū)崿F(xiàn)信任傳遞從啟動(dòng)到應(yīng)用程序運(yùn)行整個(gè)過(guò)程中平臺(tái)的安全可信。完整信任鏈模型包括靜態(tài)的信任傳遞過(guò)程以及平臺(tái)啟動(dòng)后的動(dòng)態(tài)信任機(jī)制。靜態(tài)的信任傳遞過(guò)程涵蓋平臺(tái)加電后，從系統(tǒng)啟動(dòng)到操作系統(tǒng)以及應(yīng)用程序的成功加載完畢為止。正如TCGE范中鏈?zhǔn)降男湃蝹鬟f過(guò)程，一級(jí)傳遞一級(jí)，最終將可信根的信任傳遞到平臺(tái)的每個(gè)組件，保證了終端平臺(tái)安全可信的計(jì)算環(huán)境。然而，根據(jù)信任傳遞原理，隨著傳遞路徑的延長(zhǎng)，信任值也會(huì)有損失，導(dǎo)致平臺(tái)的可信度降低，這是影響平臺(tái)可信的重要因素。著重考慮提高移動(dòng)終端安全性的同時(shí)，也應(yīng)該增強(qiáng)平臺(tái)的可靠性。作為便攜式的手持設(shè)備，不僅能為用戶(hù)提供高安全級(jí)別的保障，而且還能保證即便在出現(xiàn)安全問(wèn)題的情況下終端具有良好的應(yīng)對(duì)機(jī)制，因此本文提出了適合于移動(dòng)終端的帶數(shù)據(jù)恢復(fù)功能的直接度量驗(yàn)證模型，具體如圖3.5所示。首先針對(duì)可信1g的安全問(wèn)題，將RTMI口I訂V放入受MT睇護(hù)的區(qū)域中，利用MTMJ硬件保護(hù)功能最大限度地保護(hù)可信根的安全。其次將平臺(tái)上的關(guān)鍵組件如Bootloader、。算進(jìn)行備份，而MTMft責(zé)對(duì)備份存儲(chǔ)器的保護(hù)。在平臺(tái)啟動(dòng)過(guò)程，如果檢測(cè)到這些組件受到攻擊或被篡改，一方面通知LC色顯示設(shè)備顯示目前的狀況信息及時(shí)通知用戶(hù)；另一方面則自行啟動(dòng)備份數(shù)據(jù)恢復(fù)機(jī)制，保證平臺(tái)的正常啟動(dòng)過(guò)程不受干擾?？尚乓苿?dòng)終端帶恢復(fù)功能的信任結(jié)構(gòu)以MT岫可信根，作為整個(gè)移動(dòng)平臺(tái)的可信度量和控制器，移動(dòng)平臺(tái)作為從設(shè)備受MTMJ控制和管理，MT晡動(dòng)之后，只有當(dāng)身份信息和存儲(chǔ)器內(nèi)容的完整性通過(guò)檢驗(yàn)之后，可信的程序才能在移動(dòng)平臺(tái)上執(zhí)行。在啟動(dòng)過(guò)程中一旦發(fā)現(xiàn)不完整的組件將從備份存儲(chǔ)器(Recover)中恢復(fù)相應(yīng)的組件代碼，再次進(jìn)行完整性度量驗(yàn)證，直至實(shí)現(xiàn)平臺(tái)的可信啟動(dòng)。結(jié)合TM的構(gòu)，平臺(tái)上電后系統(tǒng)啟動(dòng)的具體過(guò)程如下：(1)平臺(tái)加電后，作為移動(dòng)平臺(tái)的可信根MTMT先被激活，對(duì)平臺(tái)啟動(dòng)要加載的各

個(gè)組件進(jìn)行完整性度量、驗(yàn)證和存儲(chǔ)，并通過(guò)控制DMAE制器占用系統(tǒng)總線，此時(shí)MTM處于主控地位，在平臺(tái)組件未檢驗(yàn)完之前不允許系統(tǒng)啟動(dòng)。(2)移動(dòng)平臺(tái)可信根MTME對(duì)平臺(tái)組件度量驗(yàn)證的過(guò)程中，如果檢測(cè)到平臺(tái)的某些關(guān)鍵組件的不完整，即表明該組件受到了攻擊，不但阻止平臺(tái)的進(jìn)一步運(yùn)行，而且將啟動(dòng)備份數(shù)據(jù)恢復(fù)機(jī)制，從Recover中恢復(fù)相應(yīng)的數(shù)據(jù)或代碼，重新寫(xiě)入指定存儲(chǔ)器，再次度量驗(yàn)證，直到系統(tǒng)恢復(fù)成功。(3)在認(rèn)證用戶(hù)身份的過(guò)程中，通過(guò)MT腑制局部IO總線和生物特征讀寫(xiě)設(shè)備B獻(xiàn)得用戶(hù)的口令和生物特征信息，進(jìn)行驗(yàn)證匹配，準(zhǔn)確地區(qū)分出終端主人或者普通使用者，在根據(jù)不同的用戶(hù)分配不同的權(quán)限。在平臺(tái)可信啟動(dòng)之后，各類(lèi)應(yīng)用的運(yùn)行中，通過(guò)調(diào)用行為監(jiān)測(cè)機(jī)制，確保系統(tǒng)在運(yùn)行中的安全。(4)當(dāng)可信移動(dòng)平臺(tái)與網(wǎng)絡(luò)建立連接時(shí)，先對(duì)終端的身份進(jìn)行認(rèn)證，在身份認(rèn)證通過(guò)之后，終端一方面從完整性參考服務(wù)器獲取標(biāo)準(zhǔn)值來(lái)驗(yàn)證自身的狀態(tài)，另一方面并將自身的狀態(tài)信息發(fā)送給服務(wù)器，服務(wù)器依次來(lái)判斷終端的當(dāng)前狀態(tài)是否可信，如果驗(yàn)證可信，則允許建立連接。動(dòng)態(tài)的信任機(jī)制在實(shí)現(xiàn)移動(dòng)平臺(tái)的可信啟動(dòng)后，表明了平臺(tái)的各個(gè)組件通過(guò)了可信根的完整性度量驗(yàn)證，以及用戶(hù)的身份識(shí)別通過(guò)檢驗(yàn)，此時(shí)的平臺(tái)提供了安全的移動(dòng)計(jì)算環(huán)境，但是只是系統(tǒng)資源的靜態(tài)可信性，并不能保障系統(tǒng)在運(yùn)行中的安全可信。在以后各類(lèi)應(yīng)用的運(yùn)行中，還有可能遭受病毒或惡意軟件的攻擊，導(dǎo)致平臺(tái)可信度降低，給用戶(hù)造成損失，因此，只有靜態(tài)的信任傳遞過(guò)程是不完整的。經(jīng)過(guò)分析，在實(shí)現(xiàn)平臺(tái)的可信啟動(dòng)之后，特別是需要與網(wǎng)絡(luò)交互數(shù)據(jù)的各類(lèi)應(yīng)用，如果沒(méi)有有效的安全機(jī)制，通過(guò)此類(lèi)應(yīng)用是平臺(tái)在運(yùn)行中感染病毒的主要途徑，需要有動(dòng)態(tài)的信任機(jī)制來(lái)保障系統(tǒng)在運(yùn)行中的可信性，因此采用動(dòng)態(tài)的檢測(cè)機(jī)制也是對(duì)靜態(tài)信任機(jī)制的有效擴(kuò)展。在防病毒領(lǐng)域，行為監(jiān)測(cè)是最常用的方法之一，通過(guò)病毒的特有行為特征來(lái)監(jiān)測(cè)，當(dāng)各類(lèi)應(yīng)用運(yùn)行時(shí)監(jiān)視應(yīng)用的行為，一旦與病毒特征相匹配，馬上啟動(dòng)預(yù)警、隔離或刪除等機(jī)制。TCGI出的“可信計(jì)算”的概念，從行為學(xué)的角度出發(fā)，強(qiáng)調(diào)行為的可預(yù)測(cè)性和可控性，因此，如果移動(dòng)終端是可信的，同樣要求在任何條件下，在平臺(tái)上的組件以及發(fā)生的行為或操作同樣可信。目前病毒檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防火墻和入侵防御系統(tǒng)等安全軟件大都基于鉤子機(jī)制監(jiān)控涉及系統(tǒng)安全的重要系統(tǒng)調(diào)用，從而達(dá)到保證系統(tǒng)安全的目的。軟件行為監(jiān)控也可以采取鉤子機(jī)制加以實(shí)現(xiàn)。鉤子(Hook)是一種特別的消息處理機(jī)制，它可以監(jiān)視進(jìn)程或系統(tǒng)中的各類(lèi)事件消息，能夠處理或截獲發(fā)往目標(biāo)進(jìn)程的各種消息。通過(guò)在系統(tǒng)中

安裝自定義的鉤子，監(jiān)視系統(tǒng)中系統(tǒng)調(diào)用事件的發(fā)生，就可以實(shí)現(xiàn)對(duì)系統(tǒng)調(diào)用序列的監(jiān)控和記錄［51］。DataDataDeviceManufactureServiceProviderUserApplicationMTM KR移動(dòng)平臺(tái)DataDataDeviceManufactureServiceProviderUserApplicationMTM KR移動(dòng)平臺(tái)圖3.6安全應(yīng)用模型對(duì)移動(dòng)終端操作系統(tǒng)的標(biāo)準(zhǔn)內(nèi)核進(jìn)行修改，通過(guò)添加鉤子函數(shù)以及相關(guān)的安全策略，來(lái)增強(qiáng)其安全性。當(dāng)要對(duì)內(nèi)核進(jìn)行訪問(wèn)時(shí)，首先檢測(cè)是否與制定的安全策略相匹配，若本次訪問(wèn)在安全策略允許范圍之內(nèi)，則可以執(zhí)行，否則拒絕［52］。因此可以將這些安全策略，定義為一個(gè)集合，集合中即包含了平臺(tái)上各類(lèi)應(yīng)用所允許的功能列表(FunctionList,FL)。系統(tǒng)要執(zhí)行的每次操作通過(guò)調(diào)用功能列表的方式來(lái)檢測(cè)是否在FL允許的范圍之內(nèi)，只有在FL允許的條件下才可以執(zhí)行，其它都視為不可信的并阻止其運(yùn)行，具體的可信應(yīng)用模型如圖3.6所示。FL的內(nèi)容涵蓋了各類(lèi)應(yīng)用所允許的行為或操作，主要包括：進(jìn)程對(duì)系統(tǒng)API的調(diào)用，存儲(chǔ)區(qū)的讀寫(xiě)，數(shù)據(jù)傳輸，訪問(wèn)權(quán)限信息等。在平臺(tái)啟動(dòng)后，系統(tǒng)自行初始化FL,FL的安全性由MTM6責(zé)管理和保護(hù)，不允許被任意更改。這樣便可以實(shí)現(xiàn)對(duì)不同應(yīng)用的行為實(shí)時(shí)監(jiān)控，限制不在FL中的操作，最終保證系統(tǒng)在運(yùn)行中的動(dòng)態(tài)可信性。從軟件代碼的成功加載到運(yùn)行其流程如圖3.7所示，由于該方案對(duì)病毒代碼的特征值不

予考慮，不僅可以避免大量數(shù)值計(jì)算分析，而且還可以減小特征庫(kù)的存儲(chǔ)空間，適用于平臺(tái)資源有限的移動(dòng)終端設(shè)備。4.4小結(jié)本章介紹可信計(jì)算平臺(tái)中信任鏈傳遞的相關(guān)研究，依據(jù)信任鏈的傳遞理論，對(duì)TCG方案以及現(xiàn)有的信任鏈模型進(jìn)行了研究分析，同時(shí)指出了目前信任鏈傳遞存在的問(wèn)題，最后提出了高安全性能的移動(dòng)終端系統(tǒng)架構(gòu)，針對(duì)信任傳遞的缺陷，設(shè)計(jì)了具有備份數(shù)據(jù)恢復(fù)功能的完整信任結(jié)構(gòu)，能夠增強(qiáng)移動(dòng)終端的安全性和可靠性。結(jié)論通信技術(shù)的發(fā)展，移動(dòng)終端幾乎成為人們社會(huì)生活中必備的重要工具。隨著移動(dòng)終端計(jì)算能力和存儲(chǔ)資源的不斷增強(qiáng)，其功能相當(dāng)于一部微型電腦，以PC?主要攻擊對(duì)象的病毒、木馬、惡意軟件等，J下悄然聲息地轉(zhuǎn)入移動(dòng)通信領(lǐng)域。而3G寸代的到來(lái)，意味著互聯(lián)網(wǎng)和移動(dòng)網(wǎng)融合的加速，所提供的服務(wù)功能和承載的業(yè)務(wù)種類(lèi)也越來(lái)越多，移動(dòng)終端也越來(lái)越成為病毒、黑客的攻擊對(duì)象。信息的時(shí)代，人們對(duì)信息的安全問(wèn)題格外關(guān)注。隨著電子銀行，電子支付，電子政務(wù)等重要敏感信息的出現(xiàn)，人們對(duì)移動(dòng)終端的安全提出了更高的要求。本論文以解決移動(dòng)終端的安全問(wèn)題出發(fā)，以可信計(jì)算技術(shù)為基礎(chǔ)理論，對(duì)實(shí)現(xiàn)移動(dòng)終端平臺(tái)的安全可信進(jìn)行探索和研究，主要研究工作總結(jié)如下：(1)分析了移動(dòng)終端在目前移動(dòng)通信系統(tǒng)中存在的安全威脅和隱患，針對(duì)現(xiàn)有的移動(dòng)終端安全保護(hù)方案不能滿(mǎn)足下一代移動(dòng)通信網(wǎng)絡(luò)(4G)安全需求的問(wèn)題，制定了適用于移動(dòng)終端的安全保護(hù)策略，用以解決移動(dòng)終端面臨的安全問(wèn)題，并進(jìn)一步適用于下一代網(wǎng)絡(luò)。(2)通過(guò)對(duì)目前移動(dòng)終端安全保護(hù)方案的綜合比較，本論文采用可信計(jì)算技術(shù)這一新的方案來(lái)解決移動(dòng)終端面臨的安全問(wèn)題，結(jié)合當(dāng)前智能終端主流的雙處理器架構(gòu)和可信移動(dòng)平臺(tái)思想，設(shè)計(jì)了基于可信計(jì)算的安全移動(dòng)終端系統(tǒng)架構(gòu)以及具體的實(shí)踐過(guò)程。(3)在深入研究可信計(jì)算基本理論的基礎(chǔ)上，信任根和信任鏈?zhǔn)潜ＷC平臺(tái)可信的關(guān)鍵組件和重要手段，通過(guò)分析現(xiàn)有的信任鏈傳遞模型，改進(jìn)了鏈?zhǔn)降男湃蝹鬟f過(guò)程，設(shè)計(jì)了能夠適用于移動(dòng)終端的完整信任鏈模型，不僅保證移動(dòng)平臺(tái)在啟動(dòng)過(guò)程中的可信，而且能將可信延續(xù)到以后應(yīng)用程序的運(yùn)行甚至網(wǎng)絡(luò)中。(4)為了驗(yàn)證本論文方案的正確性和可行性，采用信任傳遞理論用形式化的方法進(jìn)行了正確性驗(yàn)證，最后采用ARMt處理器來(lái)模擬了平臺(tái)的安全芯片，對(duì)平臺(tái)啟動(dòng)過(guò)程中的重要組件進(jìn)行了度量并驗(yàn)證，通過(guò)實(shí)驗(yàn)結(jié)果對(duì)安全性、效率進(jìn)行了分析。本文在現(xiàn)有通信體制下對(duì)移動(dòng)終端存在的安全問(wèn)題進(jìn)行研究，進(jìn)行了有益的探索，并得出一定的結(jié)論，為移動(dòng)終端實(shí)現(xiàn)安全可靠提供了有利的參考，由于時(shí)間有限，但仍然存在很多以待解決的問(wèn)題，還需要進(jìn)一步完善。在本文的基礎(chǔ)上，認(rèn)為還有以下問(wèn)題有待進(jìn)一步研究：(1)目前，可信計(jì)算組織TC型是制定了移動(dòng)可信模塊MTMJ標(biāo)準(zhǔn)和移動(dòng)平臺(tái)的參考架構(gòu)，現(xiàn)如今，由于多方面因素的考慮，如功耗、尺寸等，暫時(shí)還沒(méi)有真正適用于移動(dòng)終端的安全芯片，進(jìn)一步設(shè)計(jì)并生產(chǎn)mtMk準(zhǔn)的安全芯片，是解決移動(dòng)終端安全問(wèn)題的有效途徑。(2)本文是用微處理器來(lái)模擬安全芯片的功能得出的實(shí)驗(yàn)結(jié)果，采用了SHA算法進(jìn)行完整性度量，能夠?qū)崿F(xiàn)平臺(tái)的可信啟動(dòng)，但是還可以選擇其它加密算法，例HEC堂法，不同的算法選擇有益于效率的提高，以獲得更好的性能。(3)本文提出了高安全性能的移動(dòng)終端系統(tǒng)架構(gòu)以及完整信任鏈模型，主要對(duì)靜態(tài)的啟動(dòng)過(guò)程進(jìn)行了實(shí)驗(yàn)分析，關(guān)于平臺(tái)的動(dòng)態(tài)信任部分，通過(guò)在運(yùn)行過(guò)程來(lái)檢測(cè)應(yīng)用程序行為，通過(guò)調(diào)用功能列表的方式實(shí)現(xiàn)，關(guān)于性能方面有待進(jìn)一步實(shí)驗(yàn)驗(yàn)證。附錄1:攻讀學(xué)位期間發(fā)表的論文[1]曹基宏，李謝華，許名松.可信移動(dòng)終端完整信任鏈模型的研究與設(shè)計(jì).計(jì)算機(jī)工程與設(shè)計(jì)，已錄用，待發(fā)表，文章編號(hào)：9904697[2]XiehuaLI,JihongCAO,MingsongXU,WenmingLUHighSecurityTrustChainModelforMobileTerminal.2011The3rdInternationalConferenceonInformationTechnologyandComputerScience(ITCS2011),Huangshi,July,2011-23-24(Accepted),ID:l070(EI收錄)[3]許名松，李謝華，曹基宏.一種安全增強(qiáng)型無(wú)線認(rèn)證與密鑰協(xié)商協(xié)議.計(jì)算機(jī)工程，已錄用待發(fā)表，文章編號(hào)：EC0011100[4]XiehuaLI,MingsongXU,JihongCAO,HaiyangZHANGAnSecurity-EnhancedAuthenticationandKeyAgreementProtocolforNextGenerationMobileCommunicationSystem.2011The3rdInternationalConferenceonInformationTechnologyandComputerScience(ITCS2011),Huangshi,July,2011-23-24(Accepted),ID:1063(EI收錄)附錄2:攻讀學(xué)位期間參與的科研項(xiàng)目[1]基于GPS勺移動(dòng)設(shè)備管理系統(tǒng)，2009.10—2009.12[2]下一代移動(dòng)通信系統(tǒng)終端安全問(wèn)題研究，中央高?；究蒲袠I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)項(xiàng)目,2010.1-2010.10[3]智能插排電路系統(tǒng)技術(shù)研究與系統(tǒng)牙發(fā)（專(zhuān)利申請(qǐng)中），2010.11-2011.2[4]地源空調(diào)計(jì)費(fèi)系統(tǒng),2011.2-2011.6參考文獻(xiàn):DivyaM,AnujS,JoshuaS.MeasuringIntegrityonMobilePhoneSyste-ms.In:ProcofIntConfonAccesscontrolmontrolmodelsandtechnologies.NewYork,2008,155-164TMETrustedMobilePlatformHardwareArchitectureDescription./TMP-HWAD-revl-00pdf,2004-10-27TMETrustedMobilePlatformSoftwareArchitectureDescription./TMP-SWAD-revl-00.pdf,2004-10-27TMETrustedMobilePlatformHardwareArchitectureDescription./TMP-Protocol-revl-00.pdf,2004-10-27OMTP.Openmobileterminalplatformgroup.http///wgs-tee-ommendations.htm1#trusted,2005-3-4MPWGMobilePhoneWorkGroupSelectedUseCaseAnalyses-V1.0.http://WWW./resources/mobile_phone_work_group_selected_use_case_analysis—specification—version一10,2009[7]網(wǎng)秦.2011年2月份手機(jī)安全報(bào)告./upLoad/File/baogao/201102.pdf,2011-2[8]高尚成，獸勇.淺談移動(dòng)終端的發(fā)展方向.信息安全與通信保密，2008,12:61.62GhoshAK,SwaminathaTM.Softwaresecurityandprivacyrisksinmobilee-ecommerce.CommunicationoftheACM,2001,44(2):51-57BenoitO,DabbousNGauteronL,eta1.MobileTerminalSecurity./2004/158.pdf,2005—2GuoCX,WangHJ.ZhuWWSmartphoneattacksanddefenses./en-us/um/people/helenw/papers/smartphone.pdf,2005-5-20Johnv,BretM.MobileDeviceSecurity.Security&Privacy,IEEE,2010,8(2):11.12TobiasM,HeikoR.Howsecurearecurrentmobileoperatingsystems,http://sec.CSkent.ac.uk/cms2004/Program/CMS2004final/p2a2.pdf,2005-4[14]StephenP,ReinhanrdtB.AnInvestigationintoAccessControlforMobileDevices.http:Hwwwinfosecsa.COza/proceedings2004/035.pdf,2005-4RaviS,RaghunathanA,ChakradharS,eta1.Embeddingsecurityinwirelessembeddedsystems.In：ProcofIntConfonVLSIDesign.NewDelhi,2003,269.270[16]菅驍翔，高宏，劉文煌.基于便攜式TPM勺可信計(jì)算機(jī)研究.計(jì)算機(jī)工程與應(yīng)用，2006,42(36):70.72[17]鄭字.4前線網(wǎng)絡(luò)安全若干關(guān)鍵技術(shù)研究：[西南交通大學(xué)博士學(xué)位論文].成都：西南交通大學(xué)，2006-3-5[18]國(guó)家秘密管理局.可信計(jì)算秘密支撐平臺(tái)功能與接口規(guī)范./Doc/6/News_1132.htm,2008-12[19]TCM./introduction/course/index.html[20]TCG./cn[21]熊光澤，常政威，桑楠.可信計(jì)算發(fā)展綜述.計(jì)算機(jī)應(yīng)用，2009,29(4):915-919[22]沈昌祥，張煥國(guó)，馮登國(guó).信息安全綜述.中國(guó)科學(xué)，2007,37(2):129-150[23]張煥國(guó)，羅捷，金剛.可信計(jì)算研究進(jìn)展.武漢大學(xué)學(xué)報(bào)(理學(xué)版)，2006,52(5):513-518[24]張煥國(guó)，覃中平，劉毅.一種新的可信平臺(tái)模塊.武漢大學(xué)學(xué)報(bào)(信息科學(xué)版)，2008,33(10):991-993[25]韋榮.可信計(jì)算平臺(tái)可信度量機(jī)制的應(yīng)用與研究：[西安電子科技大學(xué)碩士學(xué)位論文].西安：西安電子科技大學(xué)，2008-4-10[26]TCG.TPMMainPart1DesignPrinciplesversion1.2.http://www.trustedeompu-T/resources/tpm—main—specification,200-7-9[27]TCG.TPMMainPart2TPMStructuresversion1.2.http://www.trustedcomput-I/resources/tpm—main—specification,2007-7-9

[28]TCGTPMMainPartCommandsversion[28]TCGTPMMainPartCommandsversion1.2./resources/tpm—main_specification,2007-7-9[29]TCG.TCGSpecificationArchitectureOverview.http://www.trustedcomputing-G/resources/tcg-architecture-overview-version-14,2007-8-2［30］葉波.基于可信計(jì)算的Linux完整性度量系統(tǒng)的研究與實(shí)現(xiàn)：［上海交通大學(xué)碩士學(xué)位論文］.上海：上海交通大學(xué)，2006-7-8［31］