移動終端安全防護畢業(yè)設計

四川師范大學成都學院本科畢業(yè)設計四川師范大學成都學院本科畢業(yè)設計構(gòu)成、可信平臺模塊TP防口可信軟件棧TSS勺結(jié)構(gòu)與功能等。最后分析了可信平臺具有的可信機制以及如何對實現(xiàn)平臺可信進行了研究。4完整信任鏈模型的研究與設計信任鏈結(jié)構(gòu)研究可信計算提出實施主動防御的策略，從計算終端源頭出發(fā)來保護終端平臺的安全性。通過對可信計算理論的深入研究，可以得出信任根和信任鏈是制約平臺可信的關鍵因素。信任根是平臺可信的起點，信任鏈實現(xiàn)信任的傳遞，信任根和信任鏈是可信計算平臺最主要的關鍵技術(shù)之一。信任根可信平臺的信任根作為信任傳遞的起始點，對整個平臺的可信至關重要，因此必須保證信任根的安全可信性，信任根的可信性主要表現(xiàn)為三個方面：首先安全性方面，它應基于硬件設計的物理上的安全性；其次技術(shù)方面，其設計思路和技術(shù)實現(xiàn)應得到公眾的廣泛認可；最后法律方面，該組件應得到相關法律法規(guī)的承認及保護，并且只允許權(quán)威的機構(gòu)生產(chǎn)和管理。TCG1為信任根是系統(tǒng)可信的基礎，可信平臺必須包含三個可信根：可信度量根RTM可信存儲根RTS可信報告根RTR這些可信根一方面度量平臺啟動要加載的組件以及其它操作并進行安全存儲，另一方面報告平臺當前的狀態(tài)，作為平臺是否可信的依據(jù)?？尚哦攘扛鵕TM為了使平臺在安全的狀態(tài)下啟動，就要對啟動操作的完整性進行度量和檢測。由平臺的可信根出發(fā)，任何要獲得控制權(quán)的實體，都需要先對該實體進行度量，生成完整性度量值。而完整性度量機制也是信任擴展機制實現(xiàn)的基礎，要將信任擴展到可信平臺的各個硬件、軟件部件需要通過信任擴展機制，從而實現(xiàn)可信性的延伸，最終形成信任鏈，從而保證平臺的可信性。可信度量是可信計算的基礎，由于可信性目前尚不易直接度量，所以TCGE信任鏈中采用的是度量數(shù)據(jù)完整性，而且通過校驗數(shù)據(jù)哈希值的方法來度量數(shù)據(jù)的完整性?？尚庞嬎憬M織制定了一種鏈式的信任測量模型，測量代理測量文件的Hashfi,并收集組成測量列表，它代表證實系統(tǒng)的完整性歷史。采用迭代計算哈希值如2.1式所示的

方式，即將現(xiàn)值與新值級聯(lián)，再計算哈希作為新的完整性度量值存儲起來，有效維護了測量列表的完整性。可信存儲根RT守口可信報告根RTRfi物理模塊TPM；現(xiàn)。平臺是否具有CRTMPTPMk區(qū)分普通平臺與可信計算平臺的顯著特征，CRTIWTPMb平臺上在任何情況下都是可信的組件。它們合起來組成了可信構(gòu)建模塊(TrustedBuildingBlocks,TBB),或者稱為可信子系統(tǒng)(TrustedSubsystem)。證明實體可信的度量值將被TPMR存，作為向其它訪問實體報告平臺可信度的依據(jù)。需要知道平臺可信狀態(tài)的某個實體，可以得到當前TPM中所保存的度量值和其它信息，該過程需要詢問實體和平臺之間相互的認證，平臺身份密鑰對完整性度量值進行數(shù)字簽名，接收方通過驗證簽名的有效性以及完整性來判斷該平臺當前的可信性。信任根的可信性由物理安全和管理安全確保。對請求訪問可信計算平臺的任何實體都要進行可信度量，并存儲度量結(jié)果，實體詢問時平臺提供報告，以此來判斷平臺當前狀態(tài)是否可信[23],三者之間的關系及度量、驗證和存儲的具體流程如圖3.1所示。CompentRTM⑹

extend⑺storeevent圖3.1CompentRTM⑹

extend⑺storeevent圖3.1信任根關系圖(1)首先可信度量根RTMt要度量組件的代碼和配置信息進行度量;(2)創(chuàng)建并生成TIM,即對應該組件度量后的事件結(jié)構(gòu)；(3)將TIM傳送給馬^證根RTV(4)驗證根RTa得該組件的參考完整性度量值RIM;(5)驗證根RTW度量的組件進行驗證，判斷是否可信；(6)通過級聯(lián)的方式將度量值存儲在TPMK塊中的可信存儲根RTSh(7)存儲相關的測量日志；(8)被度量組件是可信的狀態(tài)下，允許該組件執(zhí)行。信任鏈傳遞機制可信技術(shù)的根本體現(xiàn)是信任鏈的傳遞。可信計算平臺的核心是可信平臺模塊，它是整個平臺的信任基礎。信任鏈的傳遞是體現(xiàn)平臺可信的重要手段，只有信任根還不能保證平臺的可信，為了將信任擴展到整個平臺，實現(xiàn)平臺甚至網(wǎng)絡的可信，還必須有信任鏈技術(shù)。在可信移動平臺中建立可信，有一個重要的前提，即系統(tǒng)中存在可信根，系統(tǒng)從可信根開始，然后建立一條信任鏈，再將信任傳遞到系統(tǒng)的各個組件。通過信任鏈技術(shù)的信任傳遞，才能保證移動平臺系統(tǒng)從源頭開始至系統(tǒng)啟動整個過程的安全可信。所謂信任傳遞，就是信任鏈從構(gòu)建一個信任根開始，在平臺環(huán)境的任何一次轉(zhuǎn)變，能夠通過傳遞的方式實現(xiàn)信任的延伸，使得信任根的信任傳遞到整個平臺，則平臺上的計算環(huán)境始終是可信的，平臺的完整性也將得到保證，終端安全自然也有了保證。具體通過CRT隧級度量驗證，在被度量組件是可信的狀態(tài)下，將進行控制權(quán)的轉(zhuǎn)移，接著新獲得控制權(quán)的組件將對下一組件度量并驗證，一級傳遞一級，最終將可信根的信任擴展到整個平臺甚至網(wǎng)絡中。通過信任鏈傳遞，可以實現(xiàn)系統(tǒng)可信范圍的延伸，不僅保證整個平臺的可信而且還可以將信任傳遞到網(wǎng)絡中。信任鏈的建立依賴于可信的度量、度量值的存儲和度量的報告。根據(jù)TC覦范，可信根被無條件信任是由一系列證書保證的，一個系統(tǒng)的啟動過程也就是一條可信鏈的傳遞過程，TCG&出了移動平臺上的可信鏈傳遞的框架和實施機制如圖3.2所示［29］。信任鏈是移動終端系統(tǒng)可信的一個關鍵組成部分，要實現(xiàn)一個完整的信任鏈，必須滿足兩個條件：(1)平臺上有一個可信根，這個信任根是通過硬件封裝和保護能力實現(xiàn)的。(2)系統(tǒng)從可信根開始引導，每一級系統(tǒng)運行控制組件只有在確認其下一級系統(tǒng)運行控制組件是可信的狀態(tài)下，才將系統(tǒng)運行控制權(quán)轉(zhuǎn)移給它。

在可信移動平臺信任鏈的傳遞方面，同樣，信任傳遞首先從平臺的信任根（節(jié)點0）出發(fā)，對平臺啟動第一個要加載的組件（節(jié)點1）進行完整性度量并驗證，若節(jié)點1可信，則由節(jié)點1驗證下一個要加載的組件（節(jié)點2）,依照這樣的方式將信任傳遞至節(jié)點N,因此移動平臺可信的集合由最初的｛節(jié)點O）逐步擴展為｛節(jié)點O,…，節(jié)點N）,可信節(jié)點i（i=0,1,…，N-1）用來驗證節(jié)點i+1,最終使得原來不在信任集合中的節(jié)點也成為可信任的節(jié)點。假設：布爾變量T表示節(jié)點i處于可信的狀態(tài)，S表示節(jié)點i當前的狀態(tài)，V+1表示節(jié)點i對節(jié)點i+1驗證后的結(jié)果，則信任傳遞過程可以描述為：首先T0=TrueSi=T0AVi若驗證結(jié)果Vi是可信的，則Ti=S即節(jié)點l是可信的。S2=T1AV2若V2是可信的，則T2=S即節(jié)點2是可信的。Ti+i=TAVi+i（i>0）若V+i可信，則Ti+i=S+i即節(jié)點i+l是可信的。這樣可信域從節(jié)點0一直擴展到節(jié)點N,從而實現(xiàn)信任的安全傳遞ApplicationCodeOSCode14110=rlu&*iUJOSLoadercodeApplicationCodeOSCode14110=rlu&*iUJOSLoadercodeCRTMCodeTBB+RootsofTrust圖3.2信任鏈傳遞模型可信基TBB!可信平臺的基礎構(gòu)建模塊，主要包括CRTMTPM以及這些部件和主板間的連接設備、總線等，TBE^夠提供密封存儲和存儲保護能力。目前，系統(tǒng)的可信性暫不能直接度量，TC京用系統(tǒng)代碼或數(shù)據(jù)的完整性度量值作為判斷可信的依據(jù)。在建立信任鏈的過程中，首先獲得可信認證中各個階段的認證基準值RIM,并把這些基準值存儲到信任根的安全存儲區(qū)域中。如果以后用戶或者系統(tǒng)通過授權(quán)更改了某些關鍵文件或軟件信息，需要對這些改動了的組件通過調(diào)用信任根提供的密碼功能重新計算其完整性基準值，有了完整性基準值之后，系統(tǒng)就可以實施完整性認證[30]。信任鏈傳遞基本模型TCG方案依據(jù)TCG1任傳遞理論，可以得知信任鏈是可信計算平臺中保障系統(tǒng)安全可信的重要技術(shù)手段，同時也是可信計算平臺整個系統(tǒng)安全的中心問題。TCG^TPMK塊是嵌入在PCS備上的安全芯片，針對嵌入式與移動平臺的特性，2007年6月，TCG勺移動電話工作組MPWWG布了移動可信模塊(MobileTrustedModule,MTM參考架構(gòu)[33],對移動平臺的模型結(jié)構(gòu)進行了詳細的概述。200孫,MPWWG布了移動可信模塊MT喳考規(guī)范[34],結(jié)合TCGT信計算理念，提出了一種如圖3.3所示的一種鏈式信任傳遞機制。MTM:計模型將TMPi象為一系列可信引擎(TrustedEngine,TE)結(jié)構(gòu)的組合，它們不僅能夠處理數(shù)據(jù)，而且還能夠提供當前引擎的狀態(tài)并證明其可信。這種結(jié)構(gòu)可以應用于各類移動平臺，每種平臺有一個或多個處理器，每個處理器有一個或多個引擎，每一個引擎對不同的利益相關者(Stakeholder)起作用。MTMK設計為支持多個Stakeholder的通信環(huán)境，而Stakeholder是一個被授權(quán)的有能力控制和保護其個體利益的實體，、包括設備制造商，網(wǎng)絡服務提供商，用戶和第三方。可信移動平臺的每個引擎能夠通過度量驗證來表明它報告的當前狀態(tài)以及由當前狀態(tài)提供的數(shù)據(jù)是否可信?？尚乓苿悠脚_的引擎可分為：設備引擎、通信引擎、應用引擎和用戶引擎。其中，除了用戶引擎有“移動本地所有者可信模塊"(MobileLocal-ownerTrustedModule,MLTM)^外，其它引擎都有“移動遠程所有者可信模塊”(MobileRemote-ownerTrustedModule,MRTM)因為Stakeholders與移動設備沒有物理上的接觸并需要安全啟動過程來保證它們的引擎提供可信的服務，而用戶可以接觸移動設備，并可以加載所需的軟件。實際上，MRTML一個特殊的TPMMTMJ命令由TPMv1.2中的一部分及額外增加的命令組成。MLTMF同于MRTM處在于MRTM供額外的保護功能支持安全啟動。這兩個MT匪可信的，因此被用來報告當前引擎的狀態(tài)并且提供證據(jù)。測量流RTM+RTVRTM代理RTV代理圖3.3移動終端的可信傳遞MTMfi范定義了參考完整性度量值RIM來比較度量結(jié)果。RIMW相應軟彳鏡像的SHA1值。RIM證書(RIMCert)是經(jīng)過認證和有完整性保護的結(jié)構(gòu)，包括SHA值和預置狀態(tài)的定義。圖3.3說明了基于MRTM移動平臺信任傳遞過程，整個系統(tǒng)可劃分為3種行為流：首先為執(zhí)行流3、6,按照平臺上電的啟動過程順序執(zhí)行。其次為度量流2、4,由度量根或度量代理對后繼組件進行完整性度量。最后為驗證流1、5,驗證實體VEt度量的哈希值進行驗證來判斷平臺是否可信。由圖3.3可知，RTV+RTM塊首先對硬件和自身的執(zhí)行狀況進行診斷，并記錄到MRTM;再對度量和驗證代理進行完整性度量得到實際的度量值TIM(TargetIntegrityMetric),并與RIM證書中的參考值RIM進行比較，驗證無誤后，并將執(zhí)行控制權(quán)轉(zhuǎn)交給度量和驗證代理；接著再對操作系統(tǒng)進行上述的完整性度量、驗證和存儲，依據(jù)這3種流，將建立起可信移動平臺的信任鏈，確保所啟動平臺的可信賴性，使平臺處于可信狀態(tài)。其它方案以TCG勺信任鏈模型為基礎，國內(nèi)外眾多的研究機構(gòu)、學者已經(jīng)對可信計算的信任傳遞方面展開研究并取得了一定的成果:文獻［35］提出了一種逐層驗證的可信計算平臺體系結(jié)構(gòu)。將平臺的代碼劃分為不同信任級別的層，各個層面有不同特權(quán)要求的代碼塊，利用棘齒鎖(RatchetLock)的思想來控制程序控制權(quán)，由于棘齒鎖具有單向性，安全級別低的不能對高安全級別進行訪問，用這種方法保證了完整性級別的用戶層不能篡改完整性級別的系統(tǒng)操作。文獻［36］針對可信計算中可信鏈的理論模型問題，通過引入無干擾理論，從動態(tài)的角度建立了基于無干擾理論的可信鏈模型，作者采用形式化的方法對該模型進行了合理性驗證，最后設計并實現(xiàn)了基于Linux內(nèi)核的可信啟動過程，其實現(xiàn)思路對可信計算信任鏈理論的發(fā)展和應用具有很好的參考價值。文獻［37］提出了一種基于可信服務器的可信引導方案。以TCGT信引導為基礎，作者對服務器的可信引導進行了有益的探索，在信任傳遞之前，先要驗證下一層組件是否可信，這樣系統(tǒng)引導過程按照信任鏈傳遞的方式進行，經(jīng)過信任的傳遞，最終實現(xiàn)系統(tǒng)安全功能的增強。文獻［38］提出一種動態(tài)可信應用傳遞模型(DATTM)作者通過分析終端平臺上各類應用的特性，得出單一鏈式的信任引導機制已經(jīng)不能滿足操作系統(tǒng)與應用間信任傳遞的需求，可信的應用既要保持應用裝載的靈活性，又要考慮應用之間的權(quán)限隔離問題，因此，本中設計了動態(tài)的可信應用傳遞模型，在實現(xiàn)最小特權(quán)和按需即知等原則的基礎上，安全性和效率也得到了提高。文獻［39］針對嵌入式終端的信任鏈傳遞不完整等問題，結(jié)合可信計算的思想，提出了自底向上的和自頂向下的嵌入式可信終端信任鏈傳遞模型，并以Linux嵌入式系統(tǒng)平臺為原型，設計了啟動可信，操作系統(tǒng)加載可信以及應用程序的加載可信。文獻［40］中提出了PRIMAT案，在減少度量對象的基礎上，實現(xiàn)動態(tài)運行時的可信。由于“裝載前度量”完整性檢測模式存在的局限，裝載時的可信并不等于運行時的可信，因為運行后可能會被惡意代碼篡改或破壞其運行方式，結(jié)合提出的C府Lite安全策略模型，來限制實體之間的信息流動。該方案說明可信平臺的信任鏈應建立在某一安全策略之上，否則很難做到動態(tài)運行時的可信，如果系統(tǒng)不加限制，不滿足安全策略，信任鏈的傳遞也會失效。文獻［41］對應用程序的度量和信任傳遞采用DRMJ方式。應用軟件首先要得到廠商的簽名，可信終端必須對該簽名進行測量驗證在判斷是否可以運行，軟件的更新也采用這種方式，在整個過程中PKI的支持是實現(xiàn)的關鍵，但是該方案容易出現(xiàn)軟件制作商與內(nèi)容提供商之間的利益糾紛等問題，因此給方案的實施帶來困難。文獻［1］設計了針對移動電話系統(tǒng)的度量完整性模型，目的是在移動平臺上的所有應用中，能夠?qū)崿F(xiàn)與安全相關重要應用的保護。由于強制訪問控制機制的復雜性，作者采用PRIMAL案，采用SELinux的安全機制，在代碼縮減90%的情況下，結(jié)果表明不僅能確保系統(tǒng)的安全，而且實現(xiàn)期望功能的可信，為移動終端提供高安全性能的應用提供了有利的依據(jù)。文獻［42］提出了基于可信計算的動態(tài)完整性度量模型，當系統(tǒng)調(diào)用或進程調(diào)度時，此模型能夠測量操作系統(tǒng)和用戶進程的指令代碼，來構(gòu)建存儲測量日志。此模型在Linux系統(tǒng)下對有效性和性能進行了分析，與其它模型相比，能以較低的性能損耗動態(tài)地測量組件的完整性，并能檢測出可信平臺運行中受到的攻擊。此外，鄭宇等將平臺的信任傳遞與用戶認證相結(jié)合，提出了一種用戶、USIMF口TPM相互認證的方案，強化了用戶域的安全［17］o針對移動等嵌入式平臺系統(tǒng)引導存在的缺陷，陳書義等提出了新的基于可信計算的移動平臺設計方案并改進了系統(tǒng)的引導過程［43］。AndreasU.Schmidt等針對移動平臺可信啟動之后的若干信任傳遞，尤其對可信子系統(tǒng)的轉(zhuǎn)移問題進行了研究［44］oJohannGroBschadl等在信任鏈傳遞過程中提出了采用ECCT法的設想［45］。他們對信任鏈理論的發(fā)展，對設計適應于可信移動平臺的信任傳遞模型值得借鑒。信任鏈模型存在的問題盡管TCG勺這種信任鏈傳遞模型能保證一定的可信性，直接應用于移動終端，仍存在一些不足：(1)可信根的安全問題，由于RT守口RTFS些可信根是存儲在可信平臺模塊TPW,其安全性和可信性受到TPM5片的硬件保護，而TPM勺安全性是由專門的機構(gòu)以及一系列的證書決定的，因此這些可信根的安全問題較小。在可信PCh,RT咻為BIO0前執(zhí)行的程序，不容易被外界訪問，安全性較高，但是嵌入式系統(tǒng)的Bootloader卻能被輕易修改，這就加重了RTMfc嵌入式系統(tǒng)中自身安全性的隱患。信任根本身一旦受到攻擊或篡改，以信任根為起點的信任傳遞，必定會導致整個平臺的可信度降低。(2)信任值的損失，信任鏈是一個單向傳遞的鏈式引導過程，其間任意一個節(jié)點出現(xiàn)問題，尤其是信任根出現(xiàn)問題，會導致整個可信環(huán)境建立失敗。根據(jù)Dempster-Shafer信任傳遞理論［46］,在傳遞過程中，信任值并不是維持不變的，相反，信任值會有一定的降低，降低的程度跟路徑存在很大的關系，路徑越遠，則信任值的損失就越大。其次，TCG鏈式的信任傳遞結(jié)構(gòu)維護困難，靈活性差，在整個信任結(jié)構(gòu)中增刪或更新某個組件，必須從頭重新計算所有組件的完整性度量值，造成計算量增加，在一定程度上也會降低平臺的性能。(3)按照TCG勺度量模型，可信度量只針對平臺上電系統(tǒng)啟動過程中要加載組件的靜態(tài)完整性度量，因此，從終端加電到操作系統(tǒng)以及應用程序的加載，該模型可以實現(xiàn)此過程中平臺的安全可信。在各類應用運行的過程中，特別是需要與網(wǎng)絡交互數(shù)據(jù)的應用，只依靠對軟件代碼的靜態(tài)完整性來保障應用動態(tài)運行的可信性是有一定缺陷的，而移動終端也主要通過接入網(wǎng)絡后感染病毒、木馬，不破壞軟件代碼靜態(tài)完整性的情況下，黑客還可以使軟件處于非可信的狀態(tài)，因此，要實現(xiàn)移動終端運行中的安全，單純依靠靜態(tài)完整性度量驗證是不夠的，還需要有動態(tài)的監(jiān)控機制進一步保障系統(tǒng)運行中的安全。移動終端完整信任鏈設計安全移動終端系統(tǒng)架構(gòu)移動通信與固定網(wǎng)絡融合是未來網(wǎng)絡發(fā)展的必然趨勢，設計和實現(xiàn)安全、可靠的移動平臺是促進融合網(wǎng)絡發(fā)展的基礎。通過與傳統(tǒng)技術(shù)的比較，選用可信計算這一新的信息安全技術(shù)來解決移動終端的安全問題。將可信計算思想引入移動平臺，必須通過移動可信模塊MTItt一平臺信任根為移動無線設備構(gòu)造一個全面的端到端的安全架構(gòu)，為高端的移動設備或應用提供安全保障，使其能夠抵御病毒和其它安全威脅的侵害，使網(wǎng)絡運行中所有的設備能夠共享某一設備的安全狀態(tài)，使得設備的可信性擴展到整個網(wǎng)絡?？尚乓苿悠脚_的處理器包括基帶處理器和應用處理器，兩個CPL起控制整個移動平臺。應用處理器主要負責操作系統(tǒng)和軟件的運行，管理各類接口；基帶處理器負責管理通信信道和空中接口，這種結(jié)構(gòu)便于隔離應用程序和通信進程，提高系統(tǒng)的安全性?；鶐幚砥饕驗楣ぷ髟诎踩暂^高的網(wǎng)絡中，遭受極少的安全威脅，而應用處理器安全問題比較嚴重，而且沒有有效的安全機制。隨著移動增值服務將成為下一代網(wǎng)絡的主要業(yè)務，以傳統(tǒng)基帶處理器為核心的移動終端架構(gòu)已經(jīng)難以滿足日益復雜的移動計算，采用基帶處理器和應用處理器相分離的雙處理器架構(gòu)已成為下一代智能終端的主流發(fā)展方向，而應用處理器也將逐步取代基帶處理器成為移動終端的核心。根據(jù)移動終端的平臺特性和安全需求，結(jié)合目前智能終端主流的雙處理器架構(gòu)，參照TMPK目的體系結(jié)構(gòu)，本文提出了基于移動可信模塊MTMJ可信移動終端體系結(jié)構(gòu)，具體如圖3.4所示。在整個體系結(jié)構(gòu)中，MT睡平臺的核心可信根，也是平臺上電第一個運行的組件，加電之后，MTMT先對存儲區(qū)系統(tǒng)啟動要加載的組件逐一度量并驗證，最終實現(xiàn)平臺的可信啟動。此外，MTI?可以通過(GeneralPurposeI/O,GPIO)通用I/O口驗證用戶口令，以及局部I/OS、線與BR(BiometricReader)生物特征讀耿設備相互通信，驗證用戶身份，并通過LCD1示相關信息。利用ISO7816標準協(xié)議實現(xiàn)USIW與基帶處理器之間的通信。圖3.4可信移動平臺的硬件體系結(jié)構(gòu)通過引入可信計算思想和可信移動平臺架構(gòu)來提高移動終端的安全性，具體通過添加高安全性的硬件模塊MTM如圖3.4)實現(xiàn)移動終端體系結(jié)構(gòu)安全性的增強。止匕外，還根據(jù)可信=可靠+安全的學術(shù)思想[23,47],設計了具有備份數(shù)據(jù)恢復功能的信任根直接度量驗證模型，結(jié)合1.2小節(jié)分析的結(jié)論，使移動平臺具有以下安全特性：a.具有數(shù)據(jù)恢復功能的信任傳遞結(jié)構(gòu)通過分析目前信任傳遞存在的缺陷，本文設計了一種完整信任鏈傳遞模型。在啟動過程中不但能發(fā)現(xiàn)平臺硬件或軟件的不完整，而且一旦發(fā)現(xiàn)軟件部分受到篡改，能夠自行啟動恢復機制，將備份數(shù)據(jù)覆蓋受損部分，確保平臺啟動過程不受干擾。在程序運行過程中，通過動態(tài)的檢測機制能夠保證程序運行中的安全可信。b.身份認證認證是訪問控制的前提，可信移動平臺的認證不僅包括對用戶的認證，而且還有平臺內(nèi)部之間的各重要組件的認證。傳統(tǒng)的基于PIN的用戶身份認證，密鑰長度短，容易遭到字典攻擊或窮搜索攻擊。而單純依靠指紋的方法，也易遭到重放攻擊，為此，通過添加BR真塊，設計口令、指紋和USIMf目互融合[17],增加防攻擊能力，來強化用戶域的安全。c.存儲的機密性保證存儲數(shù)據(jù)安全的重要手段即采用加密技術(shù)，對存儲中的數(shù)據(jù)進行加密處理之后，數(shù)據(jù)存儲的安全性取決于加密算法所使用密鑰的安全性。在移動可信平臺模塊中的內(nèi)部存儲了各類密鑰并進行了有效的安全管理，移動可信平臺模塊作為平臺的可信根，本身的安全性決定了密鑰的安全性，因此，對存儲區(qū)的數(shù)據(jù)采用MT師的密鑰進行加密處理，可保證存儲的機密性。d.可信網(wǎng)絡連接在實現(xiàn)移動終端安全可信的基礎上，還需要將信任擴展到網(wǎng)絡中，實現(xiàn)網(wǎng)絡的可信，設計了基于遠程證明的網(wǎng)絡接入[48,49]。以TCGT信網(wǎng)絡連接（（TrustedNetworkConnect,TNC訥基礎，在可信移動平臺與網(wǎng)絡建立連接之前，首先要認證移動終端的用戶身份，如果身份認證通過，在對終端平臺的當前狀態(tài)進行度量驗證，若校驗結(jié)果符合TNC勺安全策略，則平臺與網(wǎng)絡成功建立連接，從而有效避免安全威脅的擴散[50]。靜態(tài)的信任傳遞過程目前，基于TCGE范的可信PU品已經(jīng)成功研制，并且已開始在金融，安防等部門得到應用，其中鏈式的信任傳遞結(jié)構(gòu)及實現(xiàn)經(jīng)驗值得TMP1鑒。在深入研究移動終端平臺特點的基礎上，針對移動終端可信傳遞存在的不足，結(jié)合其它信任鏈模型，從安全和可靠的角度出發(fā)，設計一條完整的信任鏈模型，能夠?qū)崿F(xiàn)信任傳遞從啟動到應用程序運行整個過程中平臺的安全可信。完整信任鏈模型包括靜態(tài)的信任傳遞過程以及平臺啟動后的動態(tài)信任機制。靜態(tài)的信任傳遞過程涵蓋平臺加電后，從系統(tǒng)啟動到操作系統(tǒng)以及應用程序的成功加載完畢為止。正如TCGE范中鏈式的信任傳遞過程，一級傳遞一級，最終將可信根的信任傳遞到平臺的每個組件，保證了終端平臺安全可信的計算環(huán)境。然而，根據(jù)信任傳遞原理，隨著傳遞路徑的延長，信任值也會有損失，導致平臺的可信度降低，這是影響平臺可信的重要因素。著重考慮提高移動終端安全性的同時，也應該增強平臺的可靠性。作為便攜式的手持設備，不僅能為用戶提供高安全級別的保障，而且還能保證即便在出現(xiàn)安全問題的情況下終端具有良好的應對機制，因此本文提出了適合于移動終端的帶數(shù)據(jù)恢復功能的直接度量驗證模型，具體如圖3.5所示。首先針對可信1g的安全問題，將RTMI口I訂V放入受MT睇護的區(qū)域中，利用MTMJ硬件保護功能最大限度地保護可信根的安全。其次將平臺上的關鍵組件如Bootloader、。算進行備份，而MTMft責對備份存儲器的保護。在平臺啟動過程，如果檢測到這些組件受到攻擊或被篡改，一方面通知LC色顯示設備顯示目前的狀況信息及時通知用戶；另一方面則自行啟動備份數(shù)據(jù)恢復機制，保證平臺的正常啟動過程不受干擾?？尚乓苿咏K端帶恢復功能的信任結(jié)構(gòu)以MT岫可信根，作為整個移動平臺的可信度量和控制器，移動平臺作為從設備受MTMJ控制和管理，MT晡動之后，只有當身份信息和存儲器內(nèi)容的完整性通過檢驗之后，可信的程序才能在移動平臺上執(zhí)行。在啟動過程中一旦發(fā)現(xiàn)不完整的組件將從備份存儲器(Recover)中恢復相應的組件代碼，再次進行完整性度量驗證，直至實現(xiàn)平臺的可信啟動。結(jié)合TM的構(gòu)，平臺上電后系統(tǒng)啟動的具體過程如下：(1)平臺加電后，作為移動平臺的可信根MTMT先被激活，對平臺啟動要加載的各

個組件進行完整性度量、驗證和存儲，并通過控制DMAE制器占用系統(tǒng)總線，此時MTM處于主控地位，在平臺組件未檢驗完之前不允許系統(tǒng)啟動。(2)移動平臺可信根MTME對平臺組件度量驗證的過程中，如果檢測到平臺的某些關鍵組件的不完整，即表明該組件受到了攻擊，不但阻止平臺的進一步運行，而且將啟動備份數(shù)據(jù)恢復機制，從Recover中恢復相應的數(shù)據(jù)或代碼，重新寫入指定存儲器，再次度量驗證，直到系統(tǒng)恢復成功。(3)在認證用戶身份的過程中，通過MT腑制局部IO總線和生物特征讀寫設備B獻得用戶的口令和生物特征信息，進行驗證匹配，準確地區(qū)分出終端主人或者普通使用者，在根據(jù)不同的用戶分配不同的權(quán)限。在平臺可信啟動之后，各類應用的運行中，通過調(diào)用行為監(jiān)測機制，確保系統(tǒng)在運行中的安全。(4)當可信移動平臺與網(wǎng)絡建立連接時，先對終端的身份進行認證，在身份認證通過之后，終端一方面從完整性參考服務器獲取標準值來驗證自身的狀態(tài)，另一方面并將自身的狀態(tài)信息發(fā)送給服務器，服務器依次來判斷終端的當前狀態(tài)是否可信，如果驗證可信，則允許建立連接。動態(tài)的信任機制在實現(xiàn)移動平臺的可信啟動后，表明了平臺的各個組件通過了可信根的完整性度量驗證，以及用戶的身份識別通過檢驗，此時的平臺提供了安全的移動計算環(huán)境，但是只是系統(tǒng)資源的靜態(tài)可信性，并不能保障系統(tǒng)在運行中的安全可信。在以后各類應用的運行中，還有可能遭受病毒或惡意軟件的攻擊，導致平臺可信度降低，給用戶造成損失，因此，只有靜態(tài)的信任傳遞過程是不完整的。經(jīng)過分析，在實現(xiàn)平臺的可信啟動之后，特別是需要與網(wǎng)絡交互數(shù)據(jù)的各類應用，如果沒有有效的安全機制，通過此類應用是平臺在運行中感染病毒的主要途徑，需要有動態(tài)的信任機制來保障系統(tǒng)在運行中的可信性，因此采用動態(tài)的檢測機制也是對靜態(tài)信任機制的有效擴展。在防病毒領域，行為監(jiān)測是最常用的方法之一，通過病毒的特有行為特征來監(jiān)測，當各類應用運行時監(jiān)視應用的行為，一旦與病毒特征相匹配，馬上啟動預警、隔離或刪除等機制。TCGI出的“可信計算”的概念，從行為學的角度出發(fā)，強調(diào)行為的可預測性和可控性，因此，如果移動終端是可信的，同樣要求在任何條件下，在平臺上的組件以及發(fā)生的行為或操作同樣可信。目前病毒檢測系統(tǒng)、網(wǎng)絡防火墻和入侵防御系統(tǒng)等安全軟件大都基于鉤子機制監(jiān)控涉及系統(tǒng)安全的重要系統(tǒng)調(diào)用，從而達到保證系統(tǒng)安全的目的。軟件行為監(jiān)控也可以采取鉤子機制加以實現(xiàn)。鉤子(Hook)是一種特別的消息處理機制，它可以監(jiān)視進程或系統(tǒng)中的各類事件消息，能夠處理或截獲發(fā)往目標進程的各種消息。通過在系統(tǒng)中

安裝自定義的鉤子，監(jiān)視系統(tǒng)中系統(tǒng)調(diào)用事件的發(fā)生，就可以實現(xiàn)對系統(tǒng)調(diào)用序列的監(jiān)控和記錄［51］。DataDataDeviceManufactureServiceProviderUserApplicationMTM KR移動平臺DataDataDeviceManufactureServiceProviderUserApplicationMTM KR移動平臺圖3.6安全應用模型對移動終端操作系統(tǒng)的標準內(nèi)核進行修改，通過添加鉤子函數(shù)以及相關的安全策略，來增強其安全性。當要對內(nèi)核進行訪問時，首先檢測是否與制定的安全策略相匹配，若本次訪問在安全策略允許范圍之內(nèi)，則可以執(zhí)行，否則拒絕［52］。因此可以將這些安全策略，定義為一個集合，集合中即包含了平臺上各類應用所允許的功能列表(FunctionList,FL)。系統(tǒng)要執(zhí)行的每次操作通過調(diào)用功能列表的方式來檢測是否在FL允許的范圍之內(nèi)，只有在FL允許的條件下才可以執(zhí)行，其它都視為不可信的并阻止其運行，具體的可信應用模型如圖3.6所示。FL的內(nèi)容涵蓋了各類應用所允許的行為或操作，主要包括：進程對系統(tǒng)API的調(diào)用，存儲區(qū)的讀寫，數(shù)據(jù)傳輸，訪問權(quán)限信息等。在平臺啟動后，系統(tǒng)自行初始化FL,FL的安全性由MTM6責管理和保護，不允許被任意更改。這樣便可以實現(xiàn)對不同應用的行為實時監(jiān)控，限制不在FL中的操作，最終保證系統(tǒng)在運行中的動態(tài)可信性。從軟件代碼的成功加載到運行其流程如圖3.7所示，由于該方案對病毒代碼的特征值不

予考慮，不僅可以避免大量數(shù)值計算分析，而且還可以減小特征庫的存儲空間，適用于平臺資源有限的移動終端設備。4.4小結(jié)本章介紹可信計算平臺中信任鏈傳遞的相關研究，依據(jù)信任鏈的傳遞理論，對TCG方案以及現(xiàn)有的信任鏈模型進行了研究分析，同時指出了目前信任鏈傳遞存在的問題，最后提出了高安全性能的移動終端系統(tǒng)架構(gòu)，針對信任傳遞的缺陷，設計了具有備份數(shù)據(jù)恢復功能的完整信任結(jié)構(gòu)，能夠增強移動終端的安全性和可靠性。結(jié)論通信技術(shù)的發(fā)展，移動終端幾乎成為人們社會生活中必備的重要工具。隨著移動終端計算能力和存儲資源的不斷增強，其功能相當于一部微型電腦，以PC?主要攻擊對象的病毒、木馬、惡意軟件等，J下悄然聲息地轉(zhuǎn)入移動通信領域。而3G寸代的到來，意味著互聯(lián)網(wǎng)和移動網(wǎng)融合的加速，所提供的服務功能和承載的業(yè)務種類也越來越多，移動終端也越來越成為病毒、黑客的攻擊對象。信息的時代，人們對信息的安全問題格外關注。隨著電子銀行，電子支付，電子政務等重要敏感信息的出現(xiàn)，人們對移動終端的安全提出了更高的要求。本論文以解決移動終端的安全問題出發(fā)，以可信計算技術(shù)為基礎理論，對實現(xiàn)移動終端平臺的安全可信進行探索和研究，主要研究工作總結(jié)如下：(1)分析了移動終端在目前移動通信系統(tǒng)中存在的安全威脅和隱患，針對現(xiàn)有的移動終端安全保護方案不能滿足下一代移動通信網(wǎng)絡(4G)安全需求的問題，制定了適用于移動終端的安全保護策略，用以解決移動終端面臨的安全問題，并進一步適用于下一代網(wǎng)絡。(2)通過對目前移動終端安全保護方案的綜合比較，本論文采用可信計算技術(shù)這一新的方案來解決移動終端面臨的安全問題，結(jié)合當前智能終端主流的雙處理器架構(gòu)和可信移動平臺思想，設計了基于可信計算的安全移動終端系統(tǒng)架構(gòu)以及具體的實踐過程。(3)在深入研究可信計算基本理論的基礎上，信任根和信任鏈是保證平臺可信的關鍵組件和重要手段，通過分析現(xiàn)有的信任鏈傳遞模型，改進了鏈式的信任傳遞過程，設計了能夠適用于移動終端的完整信任鏈模型，不僅保證移動平臺在啟動過程中的可信，而且能將可信延續(xù)到以后應用程序的運行甚至網(wǎng)絡中。(4)為了驗證本論文方案的正確性和可行性，采用信任傳遞理論用形式化的方法進行了正確性驗證，最后采用ARMt處理器來模擬了平臺的安全芯片，對平臺啟動過程中的重要組件進行了度量并驗證，通過實驗結(jié)果對安全性、效率進行了分析。本文在現(xiàn)有通信體制下對移動終端存在的安全問題進行研究，進行了有益的探索，并得出一定的結(jié)論，為移動終端實現(xiàn)安全可靠提供了有利的參考，由于時間有限，但仍然存在很多以待解決的問題，還需要進一步完善。在本文的基礎上，認為還有以下問題有待進一步研究：(1)目前，可信計算組織TC型是制定了移動可信模塊MTMJ標準和移動平臺的參考架構(gòu)，現(xiàn)如今，由于多方面因素的考慮，如功耗、尺寸等，暫時還沒有真正適用于移動終端的安全芯片，進一步設計并生產(chǎn)mtMk準的安全芯片，是解決移動終端安全問題的有效途徑。(2)本文是用微處理器來模擬安全芯片的功能得出的實驗結(jié)果，采用了SHA算法進行完整性度量，能夠?qū)崿F(xiàn)平臺的可信啟動，但是還可以選擇其它加密算法，例HEC堂法，不同的算法選擇有益于效率的提高，以獲得更好的性能。(3)本文提出了高安全性能的移動終端系統(tǒng)架構(gòu)以及完整信任鏈模型，主要對靜態(tài)的啟動過程進行了實驗分析，關于平臺的動態(tài)信任部分，通過在運行過程來檢測應用程序行為，通過調(diào)用功能列表的方式實現(xiàn)，關于性能方面有待進一步實驗驗證。附錄1:攻讀學位期間發(fā)表的論文[1]曹基宏，李謝華，許名松.可信移動終端完整信任鏈模型的研究與設計.計算機工程與設計，已錄用，待發(fā)表，文章編號：9904697[2]XiehuaLI,JihongCAO,MingsongXU,WenmingLUHighSecurityTrustChainModelforMobileTerminal.2011The3rdInternationalConferenceonInformationTechnologyandComputerScience(ITCS2011),Huangshi,July,2011-23-24(Accepted),ID:l070(EI收錄)[3]許名松，李謝華，曹基宏.一種安全增強型無線認證與密鑰協(xié)商協(xié)議.計算機工程，已錄用待發(fā)表，文章編號：EC0011100[4]XiehuaLI,MingsongXU,JihongCAO,HaiyangZHANGAnSecurity-EnhancedAuthenticationandKeyAgreementProtocolforNextGenerationMobileCommunicationSystem.2011The3rdInternationalConferenceonInformationTechnologyandComputerScience(ITCS2011),Huangshi,July,2011-23-24(Accepted),ID:1063(EI收錄)附錄2:攻讀學位期間參與的科研項目[1]基于GPS勺移動設備管理系統(tǒng)，2009.10—2009.12[2]下一代移動通信系統(tǒng)終端安全問題研究，中央高校基本科研業(yè)務費專項項目,2010.1-2010.10[3]智能插排電路系統(tǒng)技術(shù)研究與系統(tǒng)牙發(fā)（專利申請中），2010.11-2011.2[4]地源空調(diào)計費系統(tǒng),2011.2-2011.6參考文獻:DivyaM,AnujS,JoshuaS.MeasuringIntegrityonMobilePhoneSyste-ms.In:ProcofIntConfonAccesscontrolmontrolmodelsandtechnologies.NewYork,2008,155-164TMETrustedMobilePlatformHardwareArchitectureDescription./TMP-HWAD-revl-00pdf,2004-10-27TMETrustedMobilePlatformSoftwareArchitectureDescription./TMP-SWAD-revl-00.pdf,2004-10-27TMETrustedMobilePlatformHardwareArchitectureDescription./TMP-Protocol-revl-00.pdf,2004-10-27OMTP.Openmobileterminalplatformgroup.http///wgs-tee-ommendations.htm1#trusted,2005-3-4MPWGMobilePhoneWorkGroupSelectedUseCaseAnalyses-V1.0.http://WWW./resources/mobile_phone_work_group_selected_use_case_analysis—specification—version一10,2009[7]網(wǎng)秦.2011年2月份手機安全報告./upLoad/File/baogao/201102.pdf,2011-2[8]高尚成，獸勇.淺談移動終端的發(fā)展方向.信息安全與通信保密，2008,12:61.62GhoshAK,SwaminathaTM.Softwaresecurityandprivacyrisksinmobilee-ecommerce.CommunicationoftheACM,2001,44(2):51-57BenoitO,DabbousNGauteronL,eta1.MobileTerminalSecurity./2004/158.pdf,2005—2GuoCX,WangHJ.ZhuWWSmartphoneattacksanddefenses./en-us/um/people/helenw/papers/smartphone.pdf,2005-5-20Johnv,BretM.MobileDeviceSecurity.Security&Privacy,IEEE,2010,8(2):11.12TobiasM,HeikoR.Howsecurearecurrentmobileoperatingsystems,http://sec.CSkent.ac.uk/cms2004/Program/CMS2004final/p2a2.pdf,2005-4[14]StephenP,ReinhanrdtB.AnInvestigationintoAccessControlforMobileDevices.http:Hwwwinfosecsa.COza/proceedings2004/035.pdf,2005-4RaviS,RaghunathanA,ChakradharS,eta1.Embeddingsecurityinwirelessembeddedsystems.In：ProcofIntConfonVLSIDesign.NewDelhi,2003,269.270[16]菅驍翔，高宏，劉文煌.基于便攜式TPM勺可信計算機研究.計算機工程與應用，2006,42(36):70.72[17]鄭字.4前線網(wǎng)絡安全若干關鍵技術(shù)研究：[西南交通大學博士學位論文].成都：西南交通大學，2006-3-5[18]國家秘密管理局.可信計算秘密支撐平臺功能與接口規(guī)范./Doc/6/News_1132.htm,2008-12[19]TCM./introduction/course/index.html[20]TCG./cn[21]熊光澤，常政威，桑楠.可信計算發(fā)展綜述.計算機應用，2009,29(4):915-919[22]沈昌祥，張煥國，馮登國.信息安全綜述.中國科學，2007,37(2):129-150[23]張煥國，羅捷，金剛.可信計算研究進展.武漢大學學報(理學版)，2006,52(5):513-518[24]張煥國，覃中平，劉毅.一種新的可信平臺模塊.武漢大學學報(信息科學版)，2008,33(10):991-993[25]韋榮.可信計算平臺可信度量機制的應用與研究：[西安電子科技大學碩士學位論文].西安：西安電子科技大學，2008-4-10[26]TCG.TPMMainPart1DesignPrinciplesversion1.2.http://www.trustedeompu-T/resources/tpm—main—specification,200-7-9[27]TCG.TPMMainPart2TPMStructuresversion1.2.http://www.trustedcomput-I/resources/tpm—main—specification,2007-7-9

[28]TCGTPMMainPartCommandsversion[28]TCGTPMMainPartCommandsversion1.2./resources/tpm—main_specification,2007-7-9[29]TCG.TCGSpecificationArchitectureOverview.http://www.trustedcomputing-G/resources/tcg-architecture-overview-version-14,2007-8-2［30］葉波.基于可信計算的Linux完整性度量系統(tǒng)的研究與實現(xiàn)：［上海交通大學碩士學位論文］.上海：上海交通大學，2006-7-8［31］