2023年移动终端安全防护设计

目录

前言3

1移动终端的安全分析4

1.1未来移动终端的安全要求4

1.2未来移动终端面临的安全威胁4

2移动终端安全防护的背景和意义5

2.1移动终端的安全威胁与策略5

2.1.1移动终端的安全威胁与隐患5

2.1.2移动终端的安全策略7

2.1.3研究现状和发展趋势9

2.1.4研究工作12

2.2移动终端的发展13

3可信计算理论研究14

3.1可信计算14

3.1.1可信计算发展历程14

3.1.2可信计算工作原理15

3.2可信移动平台体系结构17

3.2.1可信移动平台硬件结构17

3.2.2可信平台模块TPM18

3.2.3可信软件栈TSS22

3.3可信移动平台的安全特性24

3.3.1完整性检验24

3.3.2安全存储28

3.3.3域隔离与访问控制30

3.4小结31

4完整信任链模型的研究与设计31

4.1信任链结构研究31

4.1.1信任根32

4.1.2信任链传递机制34

4.2信任链传递基本模型36

4.2.1TCG方案36

4.2.2其它方案37

4.2.3信任链模型存在的问题39

4.3移动终端完整信任链设计40

4.3.1安全移动终端系统架构40

4.3.2静态的信任传递过程42

4.3.3动态的信任机制44

4.4小结46

结论46

附录1：攻读学位期间发表的论文49

附录2：攻读学位期间参与的科研项目50

参考文献：51

移动终端安全防护设计

刖百

移动终端是用户接入移动网络的接入点设备，伴随着移动终端的通信速率和功能

不断发展，移动终端也成为用户信息处理和存储的节点，各种重要数据将在移动终端

上存储和处理。因此，移动终端上的各种数据信息必将成为攻击者的新目标，其目的

是获得非法的利益或非授权的服务，而移动终端的信息安全将涉及到用户隐私，数宇

内容安全，支付安全等方面。

移动终端的安全问题涉及到移动网络，移动终端和用户等方面的安全：首先，移

动网络安全对移动终端安全的影响。体现在两个方面：一方面是移动网络自身提供的

安全机制存在漏洞，就会给其上的实体安全带来威胁。例如在GSM网络中由于缺乏双向

认证机制，存在假冒基站攻击；另一方面是未来网络是以IP技术为基础，网络的开放

性。高带宽性使得在计算机网络上出现的各种安全威胁在移动终端上都可能再现。第

二，移动终端自身的安全问题。移动终端存和计算能力越来越强，其硬件平台和软件

平台正向几个主要的芯片厂商操作系统集中，对移动终端的开发技术要求越来越低，

更为重要的是移动终端在设计时对安全的考虑也十分有限。这些因素给移动终端的安

全都带来了潜在的安全威胁。第三，用户对移动终端的安全影响体现在移动终端的丢

失、简单的用户口令保护等方面。终上所述，全面解决移动终端安全需要在系统的架

构安全体系上，全国采用多种安全机制实现各种安全目标。

目前针对移动终端的病毒已经出现，国内外的杀毒厂商已经提供了相应的杀毒软件

产品。但这些病毒仅是对移动终端攻击的开始，在智能终端上将会出现更多的攻击。因

此，安全性已经成为移动终端的重要特性。刚刚发布的iPhone非常关注安全问题，采用

了MacOS操作系统，不向第三方提供开发工具等，但还是很快就出现了针对iPhone的攻

击，使得iPhone只能播放音乐。总结目前移动终端的安全问题，最主要的是移动终端缺

乏安全开放的系统架构。同时，对安全问题、安全机制的研究和应用还十分匮乏。因

此，本文在全面分析安全问题的基础上，从系统的角度出发，采用基于分割控制，可

信认证，专用处理的设计思想，提供了一种开放的可信移动终端的设计方案，并采用

多种安全防护机制增强终端系统安全性。

1移动终端的安全分析

1.1未来移动终端的安全要求

融合性、开放性、高带宽性、多媒体性、服务应用性成为未来移动终端设备发展

的趋势，这对移动终端的安全性也提出了更高的要求。

•融合性是移动终端可以在不同的网络上接入服务，移动终端将面对不同的网络安全

问题。如GSM的伪基站、Wi-Fi的接入问题、Bluetooth（蓝牙）的安全漏洞等。

•开放性体现在移动终端的硬件平台和软件平台上，硬件芯片的提供趋向于几个主要

的厂商:Symbian>Linux、Palm、WindowsMobil成为主流的移动终端操作系统，

Java也成为移动终端应用的重要环境。

•高带宽性体现在未来移动网络的数据传输能力不断增强，用户可以获得100Mb/s的

下行传输建率。因特网上的Web浏览，FTP,Email等将可以在移动终端上流畅的使

用。因特网上的安全问题也将在移动终端上再现。

•多媒体性是移动终端支持多种数字媒体格式和媒体应用，数字内容产品的版权保护

问题日益突出，同时各种媒体格式和媒体应用软件存在的潜在漏洞也威胁到移动终

端的安全。

•服务应用性是移动终端提供了更多便利用户的服务应用，如位置应用，移动商务应

用，Email,即时聊天等。移动商务应用包括了目前最新发展的移动支付（手机钱

包），手机银行，手机股市等应用。这些应用涉及用户的隐私和重要利益。

综上所述，我们对未来移动终端提出的安全要求包括：

令认证一一用户与终端的互认证，终端的接入互认证，终端与应用服务器的互认证，

硬件平台与软件平台的互认证，授权许可的认证等。

令完整检测对系统软件和应用软件的完整性检测。

令机智性一一通信或存储数据的机密性。

令内容与行为检测一一对各种数据、程序的数据内容和执行中的状态等进行检测。

。可信的开放系统框架一一建立一个安全的可信的开放系统框架。

1.2未来移动终端面临的安全威胁

在未来移动终端上存在多种潜在的安全威胁，具体如下：

（1）病毒。病毒在现有的手机中表现为键盘锁住，删除信息，显示信息，自动拨打

电话等。主要通过手机自身的漏洞，程序下载，操作系统漏洞，MMS,

Bluetooth等途径传播。而未来移动终端也面临来自因特网上的各种恶意病毒的

攻击，正如现在的因特网上计算机病毒的危害，终端上的信息和设备资源的安

全性受到严重的威胁。

（2）蠕虫、木马。各种蠕虫、木马会在未来移动终端间利用各种数据服务，进行自

身的复制、传播，并可能控制，窃取终端上的信息资源。

（3）窃听。在开放的空间中，在无线信道传输的数据被各种监听设备捕获。伴随病

毒、蠕虫、木马等恶意程序的泛滥，通过在终端上执行恶意程序，对通信内容

进行窃听的可能性越来越大。在未来网络中通过数据信道传输监听信息的隐蔽

性将提高。

（4）拒绝服务攻击。未来的移动终端同服务器，路由器，无线接入点等一样面临拒

绝服务攻击，终端资源被大量占用，无法正常服务。

（5）漏洞。开放的操作系统，各种应用服务和各种媒体编码器在设计和实现都可能

存在潜在的安全漏洞，使攻击和传播恶意代码成为可能。

（6）重要数据的泄漏。终端设备的丢失，终端中的重要信息存在泄漏的可能，数据

恢复技术使得设备上存储的数据，甚至已经删除的数据都可能被恢复。各种硬

件攻击可以获得认证密钥等重要数据。

（7）信息内容威胁。未来移动网络终端的性能比现有的移动终端增强很多，信息内

容不断丰富，其非法信息传播的泛滥会给移动网络，移动终端的性能带来影响,

并对社会造成危害。

（8）数字内容版权。数字内容产品易于复制和传播的特点，给数字内容产业带来了

巨大的威胁，如果不能很好的解决数字内容产品的版权保护问题，将严重影响

多媒体应用的发展。

2移动终端安全防护的背景和意义

2.1移动终端的安全威胁与策略

2.1.1移动终端的安全威胁与隐患

移动通信系统经历了第一代（1G）、第二代（2G）和第三代（3G）的发展，目前，除第

一代模拟通信系统停止使用之外，还存在着2G、2.5G、2.75G、3G多系统共存的局面。

过去，由于各种不同规格、封闭的网络环境常常使恶意软件无从下手，因此安全问题

较少。随着移动终端功能的同益强大以及无线因特网的引入，各种移动终端特别是智

能终端已经成为移动终端市场发展最快的领域，一部智能终端相当于一台移动计算机,

因此，计算机所面临的信息安全威胁对于智能终端同样存在。

图1.1手机病毒主要分类图

智能终端流行的同时也给病毒的滋生和肆虐创造了便利条件。2001年，世界上第

一个手机病毒“VBS.Timofonica"在西班牙出现，手机病毒便潜入移动通信领域。

2011年2月，从网秦布的手机安全市场报告来看，截止今年2月份，网秦“云安全”数

据分析中心截获手机病毒主要分类如图1.1所示，累计截获手机病毒数量已达2857个

⑺。

功能强大的移动终端已具备了与计算机几乎同样的功能，红外、蓝牙、Wi-Fi、

GPRS等无线技术为病毒传播提供了快捷方式；短信、彩信、E.mail、WAP等各类应用

都可能成为病毒的载体；移动终端操作系统越来越复杂、存储卡的应用及容量的不断

增大为病毒提供了生存空间。移动终端病毒以前大多通过蓝牙方式传播，但是现在短信

服务(SMS)、多媒体信息服务(MMS)以及WWW/WAP下载也成为传播的新方式，各种传播途

径如图1.2所示［7］。

80%

7

60%

0%

5族

40%

30%

20%

10%6%

0%

SMS/MMSWWI〃ap下载蓝牙方式存储卡方式其它方式

图1.2手机病毒传播途径

总之，在目前多种制式、多种系统共存的局面下，移动终端存在的安全威胁和隐患

主要表现为［8T5］：

X移动终端一旦被盗或丢失，别人容易窃取用户重要信息，享用网络资源或传播违禁

资料等。

，移动操作系统本身存在着漏洞，加上病毒的肆虐，信息内容被窃取、篡改、插入和

删除，视频业务被监视或篡改图像内容等，甚至通过滥发垃圾短信、移动邮件等，

导致终端无法J下常使用。

▲多媒体应用的增加，各种无线业务并不能提供安全可信的下载服务，一旦遭到木马

的感染，用户的信息以及财产安全将受到威胁。

1移动终端逐渐成为黑客们攻击的新目标，被黑客入侵，窃听用户信息，盗取用户密

码、口令等敏感数据，使用户遭受经济损失。

X移动终端不仅危害到用户自身的安全也可以作为新的工具，发起经由核心网进入业

务系统的攻击，增加移动带宽的消耗甚至可能导致整个通信系统瘫痪。

2.1.2移动终端的安全策略

随着移动终端计算能力和复杂性的日益提高，未来几年移动终端病毒威胁将会成

为一个严重的问题。传统的网络安全威胁已有成熟的安全策略如表1.1所示。保证移

动终端的安全可信需要有安全、开放的可信系统架构，从基本框架开始对安全目标进

行全面的支持，从系统的角度出发，综合采用多种安全机制，在设计上，将安全作为

系统的一个基本组成部分，构建一个安全、可靠的可信移动终端系统。其设计要求在

不影响移动终端性能的前提下，对认证、完整性、机密性和可检测等安全目标进行综

合考虑。

表1.1安全威胁与安全策略［17］

安全策略

安全威胁实体数据访问加密完全性新鲜性不可

认证源控制校验校验否认

认证

无线/窃听、截V

有线获

链路篡改、删VV

威胁插

重放V

络

网伪装VV

体

实

胁

威非授权使VVV

用

网络阻塞VVVV

用户抵赖VVV

运营商欺VVV

诈

终端窃取终端VVV

威胁

滥用终端VV

病毒、木VVV

马

针对移动终端面临的安全威胁和隐患，从安全、可靠的角度出发，对移动终端的

安全保护应提供的主要安全机制如下［16,17］：

（1）身份认证与权限鉴别

用户身份认证不再依赖操作系统，并且用户身份信息的假冒更加困难，不仅包括

用户与平台间的相互认证，而且平台内部各部件之间也存在严密的相互认证。平台还

能够对用户身份进行很好的鉴别，能够准确区分终端的普通使用者和终端的主人，然

后根据用户不同的权限分别提供不同的操作以及对资源的访问。

（2）平台的完整性

移动平台上的重要组件具有抵抗攻击或篡改的能力，以提升移动平台自身的安全

防护的能力，不仅对终端关键器件的完整性、可靠性进行检测，而且对操作系统、系

统软件、应用程序等终端关键组件进行一致性检验，确保系统参数以及重要数据的完

整性。

（3）存储的机密性

移动终端存储区中的数据能够进行加密处理，数据存储的安全性取决于加密算法

所使用密钥的安全性。能够对移动平台上的各类密钥，证书提供着实有效的安全管理,

确保存储资料的安全性，密钥应当存储在非法用户无法访问，并难以获取的安全载体

上，应提供措施保证系统参数、用户数据和证书的完整性、机密性。

(4)10控制与安全审计

移动终端首先具有鉴别和认证能力，确保数据来自合法的IP地址和端口，保证安

全地接入各类网络。在实现通信通道安全的基础上，保证无线业务的安全和传递数据

的机密性和完整性，防治业务的非法使用，防止信令窃取和仿冒。对用户的活动和涉

及移动终端安全的操作做完整性记录及审核，提供可集中处理审计日志的数据形式，

对用户的各种活动进行审计跟踪。

移动终端智能化越高，面对的威胁就越大，高智能化的移动终端越来越成为病毒

攻击的对象，保障移动终端的安全可信需要综合采用一系列安全策略。根据国外调研

公司的资料，预计2011年，全球移动终端安全市场产业链价值将达到50亿美元，因此,

研究与设计保障移动终端的安全有着广阔的前景。

2.1.3研究现状和发展趋势

2.1.3.1传统安全技术

当前信息安全领域为了抵御各种安全威胁通常采用杀毒技术，防病毒技术以及入

侵检测技术等，被人们称之为传统的老三样，即“砌高墙、堵漏洞、防外攻”，它们

都属于被动的防御技术。针对移动终端日益增多的安全问题，目前，很多PC杀毒软件

商纷纷转入移动终端领域，提供了类似PC的保护措施，普遍采用杀毒软件、防火墙等。

目前主要的解决方案有:：AVGMobileSecurity,ESETMobileSecurity,BullGuard

MobileSecurity,McAfeeMobileSecurity,Lookout一MobileSecurity,F.Secure

MobileSecurity,NortonSmartphoneSecurity等，以及国内的网秦，360手机卫士，

江民，瑞星，金山等。

之所以被称为被动防御，因为它们只能防范已知病毒的攻击，对未知攻击无能为

力。以防病毒技术为例，防病毒技术主要依赖特征码的识别技术，采集已知病毒样本,

抽取特征代码，将特征码纳入病毒数据库，检测文件中是否含有病毒数据库中的病毒

特征代码，作为是否感染病毒的依据。虽然能够快速准确检测，识别率高，但无法有

效遏制新病毒的蔓延，永远滞后新病毒的产生，而且病毒库的体积也会越来越大。类

似的原因也会导致防火墙越砌越高，入侵检测越来越复杂。针对移动终端平台，资源、

功耗受限的情况下，这些安全保护措施已经难以从根本上解决问题。历史证明，一种

新技术的诞生，旧的技术不会马上退出历史舞台，新技术往往需要通过时间与实践的

检验才能被人们广泛的认可并接受。

2.1.3.2可信计算技术

可信计算技术是近年来出现的一种新的信息系统安全技术，经历了从提出到发展

壮大和日趋完善的过程。由于计算机体系结构漏洞的存在，而采用传统的安全技术导

致系统更加复杂化，并且难以从根本上解决日益增多的安全问题，因此，从计算机的

底层出发，成为寻求解决计算机安全问题的一条重要技术路线。可信计算技术为解决

信息安全问题提供了新思路，通过与传统安全技术的比较，本论文采用可信计算这一

新的方案来解决移动终端面临的安全问题，与传统技术相比可信计算技术的主要特点

如表1.2所示。

表1.2两种技术的比较

特点缺点防御方式安全性体系结构

传统安全安全取决滞后性，更被动较高纯软件

技术于软件，新病毒库越

病毒库的来越大

更新

可信计算安全取决添加安全芯主动高硬件+软件

技术于硬件及片带来的功

软件的安耗增加和体

全性能积增大

1995年提出了可信计算(DependableComputing)的概念，主要通过从PC的底层出发

来增强计算机系统的安全性［17］。

1999年，IBM,HP,Intel和微软等著名IT企业成立了TCPA(TrustedComputing

PlatformAlliance),发起了采用可信计算技术来实现计算终端的安全，不仅包括终端

平台的可信，而且还可以将信任延伸至服务器和网络中［17］。

2000年，全球第一个可信计算安全芯片TPM(TrustedPlatformModule)研制成功，

IBM于2002年底成功研制出具有可信功能的便携式计算机，用户只有通过严格的身份认

证才可以解密文件，从而能够实现对数据的安全存储等可信功能。

2003年TCPA更名为TCG(TrustedComputingGroup),TCG修订并扩充了可信计算的

相关技术标准，并在移动终端等平台上进行推广，主要目的是增强终端可信的功能，

并为用户提供更加安全的计算环境［20］。

可信计算发展至今，世界范围内许多大学、研究机构和相关企业从事这方面的研

究，已经取得了一系列的成果。我国虽然在可信计算的研究方面起步稍晚，但是发展

比较迅速，也取得了许多可喜的成绩。

2005年1月，中国的可信计算组织，即国家安全标准委员会WG1工作组正式成立，

开始致力于中国可信计算的研究［19］。

2005年4月，联想公司自主研发的安全芯片‘‘恒智”已经公布。此外，同方、方正、

浪潮等公司也纷纷加入中国可信计算阵营，并开始推出自己的安全芯片和可信计算机

［22］o

2007年我国制定了具有自主知识产权的TCM(TrustedCryptographyModule)相关标

准一一《可信计算密码支撑平台技术规范》，以TCG规范为技术基础，在算法、协议、

密钥体系方面采用了自主创新机制，为实现计算平台安全、可控的目标，奠定了基础

［18］o

2008年4月，联想、方正、同方、长城都推出了自主研发的可信计算机，产品包括

台式计算机、笔记本、服务器。2008年成为自主可信计算产品推广元年，现已经成功

应用于金融、政府、公共事业、邮电、教育、制造等部门，特别在航天信息系统安全、

银联电子支付等应用领域，嵌入TCM的PC产品起到了重大作用1191。截止目前，中国可

信计算涉及芯片、PC系统等众多领域，己形成了初具规模的产业链。

2.1.3.3可信移动平台的发展趋势

可信计算从首次提出到现在，已有数十年的历史，经历了不同的发展阶段，研究

的内容和重点也在不断地演变。

2004年，为实现安全的移动计算环境，TCG制定了可信移动平台TMP(Trusted

MobilePlatform)的硬件体系、软件体系和协议三个技术标准草案［2-4］。

2005年，TCG成立移动事业部MPWG(MobilePhoneWorkingGroup),正式展开针对

移动设备安全问题的研究［20］。

2006年1月，在欧洲启动了名为“开放式可信计算”的研究计划，涉及移动终端等

众多领域，已有23个科研机构和工业组织参与，到2007年，全世界有了105个成员，包

括了几乎所有IT业的巨头［22］。

2007年6月TCG颁布了可信移动平台TMP的规范，主要目的是为适应移动设备的特点,

在移动平台(手机，PDA等)上构建可信技术构架，为高端的移动设备提供安全保证

［33］<,

虚拟化平台移动电话

打印机身份验证

硬拷贝设得

安全硬件

存储

台式机

便携式计

算机,

应用程序

服务器

图1.3TCG远景框架

TCG提供了开放的可信计算标准，使得不同平台和地域的计算环境更加安全。基于

可信计算的基础架构，为关键业务的数据和系统，安全认证以及建立严格的机器身份和

网络身份提供强有力的保护。从TCG的远景框架图1.3来看[20],它的目标应用更加广

泛，包括PC、服务器、手持设备等硬件平台；存储设备、输入设备、认证设备等外设；

操作系统、WEB服务、应用程序等软件层次。

尽管TCG是一个由成员所驱动的工作组，已经推广到移动设备、外设、存储和嵌入

式设备等相关领域。目前已经公布了一系列基于TCG技术的应用程序开发的软件接口规

范，主要涵盖保护网络不受未授权用户攻击的端点完整性保护，移动终端相关安全和

存储安全等。可信计算从硬件到软件，从PC到服务器，从应用系统到基础软件，从移

动设备到网络，可信计算已经成为了全球计算机安全技术的发展趋势。

2.1.4研究工作

本论文的主要研究内容有：

⑴分析目前移动通信系统2G/2.5G、以及3G系统中移动终端所面临的安全威胁和隐

患，针对现有的移动终端安全保护方案不能满足下一代无线网络(4G)需求的问题，制

定适用于4G的安全保护策略，解决传统的保护方案中存在的诸多缺陷。

⑵深入研究可信计算理论，重点探究如何将可信计算技术引入移动终端，利用可信计

算的思想来保障移动终端在用户域的安全，解决移动终端面临的安全威胁和隐患，并

且能够较好地适用于下一代无线网络。

⑶根据TCG制定的可信移动平台的技术标准，结合当前主流智能终端的硬件架构，针

对移动终端特有韵属性与应用需求，设计以智能终端处理器为基础的可信移动平台构

建方案。

(4)分析现有的信任传递模型，针对现有方案中存在的不足进行改进，提出适用于移动

平台的信任传递方案，最终采用实验对本文方案进行验证分析。

2.2移动终端的发展

伴随着无线通信业务和计算机技术的快速发展，在移动终端上实现各种无线应用

已经成为下一代移动通信网络(NextGenerationMobileNetwork,NGMN)发展的主要趋

势。据统计，截止2009年12月，全球移动用户数量已突破50亿，移动网络的数据流量

已超过语音呼叫的数据流量，在国内移动用户已达7.38亿，其中3G用户已经突破5000

万。然而，随着移动用户数量的激增，移动终端业务的飞速发展，其面临的安全问题

也同益凸显，由此造成的经济损失不可估量，因此保护移动终端的安全性具有非常重

要的现实意义。

无线通信业务快速发展的需求促使移动终端的计算能力和存储资源不断增强，推

动了移动终端平台向更小、更轻，而且更加智能化的方向发展。现有的移动终端本质

上已经成为一个“微型计算机”[1],其提供的服务功能和承载的业务种类也越来越多。

随着移动终端的PC化和互联网的移动化，移动终端正逐步取代PC成为人机接口的主要

设备，在移动终端上的各类应用也越来越涉及到商业或个人等重要、敏感信息。

移动平台的开放性和灵活性以及各种无线应用的问世是手机等移动设备得以普及

的重要因素，但同时也带来了极大的安全隐患。现有移动终端的操作系统并不安全，

存在着许多漏洞并且容易被病毒入侵，攻击者骗取合法用户以截获用户的个人信息和

敏感数据，移动终端的丢失或被窃也容易造成机密信息泄漏，特别是移动电子商务、

电子政务、无线视频会议等重要业务的出现，一旦用户信息泄漏会造成不可估量的损

失。这些安全问题已经广泛存在于目前的2G/2.5G系统中，虽然3Gpp提出了很多措施

来保障3G系统，但是用户身份的认证仍存在一定缺陷，容易造成攻击者对用户的追踪

和伪基站的欺骗，所以现有的3G系统还没有达到期望的安全目标。从移动终端面临的

威胁及安全需求分析，现有的用户安全防护措施，不能满足下一代移动网络(4G)的安

全需求。

以数字化、网络化和信息化为主要特征的信息时代，信息安全问题已备受人们的

关注。可信计算是目前信息安全领域研究的热点，以安全硬件和安全操作系统实现一

个可信的平台，用以保护计算终端的安全。移动终端作为接入移动网络和执行各类应

用的重要设备其安全问题不容忽视。为解决移动终端的安全问题，2004年，可信计算

组织制定了可信移动平台的相关技术标准草案［2-6］。目前，可信计算在PC上的实施带

来诸多不便，在PC平台上可信计算技术推广受阻的情况下，可信移动平台很可能是可

信计算实际应用方面的突破点，典型的使用案例包括设备认证、数字版权保护

DRM(DigitalRightsManagement)>SIMLock及设备个人化、安全软件下载、移动票据、

移动支付等。

在4G无线网络安全体系下，将可信计算的思想引入，设计适用于下一代无线网络

的移动终端，来强化用户域的安全，具有极大的前瞻性。因此，利用可信计算技术保

护移动终端安全，构建可信移动平台具有重大的意义，可信移动平台也将会在下一代

无线网络中发挥重要作用。

3可信计算理论研究

3.1可信计算

3.1.1可信计算发展历程

在可信计算的形成过程中，经历了早期的容错计算、故障检测、冗余备份技术到

今天日臻完善的TCG可信计算技术，已有数十年的历史［21］。

20世纪30年代Babbage的论文“计算机器''中，最早提出可信计算一词。由于20世

纪中期出现的第一代电子计算机其中由不可靠的部件构建而成，为保证系统的可靠性,

切实可行的大量可靠性保障计算被用于工程实践中。此后，香农等提出了基于不可靠

部件来构建可靠系统逻辑结构的冗余理论。

1967年，Avizienis与Schneider等将屏蔽冗余理论以及故障诊断、错误检测、错

误恢复等技术逐渐融入到容错系统的概念框架中。

20世纪70年代初，可信系统(TrustedSystem)的概念由AndersonJP第一次提出，

开始主要针对硬件环境和操作系统等安全机制展开研究。

1983年美国国防部首次推出“可信计算机系统评价准则(TrustedComputing

SystemEvaluationCriteria,TCSEC)”,第一次提出了可信计算基(TrustedComputing

System,TCB)的概念，为了实现系统可信，通过保持最可信组件集合和对数据的访问

权限进行控制来实现的，至今对计算机系统安全有重要的指导意义［22］。

直到1995年，可信计算的概念由TCG提出，通过从PC的底层出发来增强计算机系统

的安全性。

之所以称为可信计算，TCG认为：一个实体的行为总能以期望的方式发展变化，并

最终在预期范围之内，我们都说它是可信的，从行为学的角度强调行为的结果是可预

测和可控制的。然而其它的标准也有类似的定义，例如，IS0/IEC15408标准认为：如

果某一组件是可信的，则有关该组件的任何操作或行为都是可预测的，并且能够抵御

一定的干扰或攻击。可信计算发展至今，涉及到众多的领域，已经取得了丰硕的成果

［23］o

3.1.2可信计算工作原理

采用可信计算技术可以实现计算终端的安全可信。可信计算的基本思路是：首先

在计算平台上建立一个信任根，信任根通常被认为是无条件信任的，由国家特定机构

生产并有一系列法律法规保护以及自身的安全特性决定的。其次建立一条信任链，信

任链主要用于将信任根的信任传递到整个终端平台甚至网络中。在信任链的建立过程

中，把计算终端划分为不同级别的运行层次，按照从底层到高层依次建立信任的传递

过程。平台的启动过程从底层开始，对启动要加载的各类组件依次度量、验证，各个

组件只要在可信的状态下，才可以对下一个要加载的组件进行验证，这样将信任一级

一级的传递，直到操作系统，应用程序的运行，最终实现整个平台的可信，具体如图

2.1所示［24］。

TCG规范中定义的可信计算平台，通过可信计算技术保护计算终端安全的同时，也

可以实现整个网络的安全。平台的安全可信，一方面需要硬件安全模块，也即平台的

可信根作为信任的基础，也是信任链的起点：另一方面依据信任链的信任传递，实现

计算平台的可信。为计算平台加入了信任根，是可信计算技术最显著的特点之一。平

台的可信也主要体现在以下四个方面：

(1)平台软件及硬件配置的合法性，这是使用者对平台运行环境的信任；

(2)用户的身份认证，这是对使用者的信任；

(3)各平台间的可验证性，这是不同平台的相互信任；

(4)应用程序的完整性，这是对各类应用的信任。

通过在计算机系统中嵌入一个具有抵抗防攻击能力的硬件安全模块，即系统的可信

根，使得非授权使用者无法对其内部的数据更改或访问，从而达到了系统安全性增强的

目的。可信计算平台以TPM模块为可信根，安全操作系统为核心，密码技术为支持，来

实现一个能够进行系统完整性度量、存储和验证的可信终端系统。每个可信的终端具

有对病毒的免疫能力并具有合法的身份，任何终端出现问题都能保证合理取证，方便

监控和管理。

可信计算的具体实现可通过添加核心度量根(CoreRootTrustedMeasurement,

CRTM),可信平台模块TPM以及可信接El(TrustedI/0)等重要组件来构建可信的平台。

可信计算平台提供一系列的安全功能包括：用户和平台的身份认证、平台和数据的完

整性及存储的机密性、10控制与安全接入等方面的功能。这些安全功能保证了用户、

平台、应用之间的相互信任，从而构建出可信的计算终端，为进一步建立可信网络环

境提供了基础。

3.2可信移动平台体系结构

3.2.1可信移动平台硬件结构

可信移动平台TMP主要由IBM、Intel和NNTDoCoMo联合发布的，旨在将可信计算思

想引入移动平台。可信移动平台规范定义了可以运行不同安全级别的移动计算环境，

以硬件安全芯片及其上的支撑软件外加一些功能组件构建而成的，它是一个在硬件和

操作系统之上可被本地使用者和远程实体信任的平台。图2.2描述了双处理器的可信

移动平台的参考硬件体系结构，这也是未来智能终端的主流发展方向。

图2.2可信移动平台的硬件参考体系

与安全相关的部件主要有可信平台模块、应用处理器、内存控制器、DMA(Direct

MemoryAccess)控制器和USIM(UniversalSubscribeIdentityModule)等关键器件组

成，它们是构成平台安全的主要核心硬件。在移动平台参考体系中，CRTM是在移动平

台启动时必须被首先执行的代码，以保证平台的完整性和有效性。由于CRTM的安全性

决定了整个平台的可信性，因此，在保证系统启动时作为首先被执行的组件外，它还

不能被其它程序访问或篡改，一般保存在一次性的ROM中。在平台上电初始化的过程中,

CRTM和TPM一起完成对平台其它部分的完整性校验［2,17］。

可信根是TMP中重要的组成部件，包括三个可信根：可信度量根(RootofTrustfor

Measurement,RTM),可信存储根(RootofTrustforStorage,RTS),可信报告根

(RootofTrustforReporting.RTR)。这三个信任根分别用于完整性度量、存储保护、

完整性报告。可信计算平台对请求访问自身的实体进行可信度量，并将度量结果进行

存储，实体询问时再由平台提供报告，具体如图2.3所示［23］。

■①访问请求

平②可信测鼠实

台体

③度垃存储

4

④允许/拒绝访问

►

图2.3可度量、存储、报告机制

正如TCG规范要求的那样，在可信引导时，可信根要完成对各个系统部件的完整性

度量、报告和日志功能，通过完整性度量与报告机制建立一条信任链，以建立系统的

可信环境，从而对运行在平台上的应用程序提供保护。

3.2.2可信平台模块TPM

3.2.2.1TPM结构

可信计算的核心是被称为可信平台模块(TPM)的安全芯片，它主要完成密码计算及

数据、密钥的安全存储和使用，实现对环境度量信息的签名和报告，是数据存储和信

息报告信任的初始点。TPM作为可以抵制防攻击的硬件安全模块，既保证了内部信息的

高安全性，又可以完成身份认证和实现外部数据的加密。TPM实质上是一个可提供密码

操作、完整性管理、密钥管理、安全存储、远程证明等安全功能的小型片上系统

SOC(SystemonChip),而且它应当是物理可信的［25］。

图2.4TPM结构示意图

可信平台模块TPM是一个可信硬件模块，内部结构如图2.4所示，主要由密码处理

器CryptographicCo.Processor、密钥产生器KeyGeneration、哈希引擎SHATEngine、

散列消息认证码HMACEngine等组件构成。可信平台模块TPM可以完成多种加密算法，其

中基本的算法有：哈希、散列消息认证码、RSA三种，但是不同的标准或器件也可以包

含其它算法，如ECC等(中国的TCM标准中使用ECC算法)。不同的加密算法分别由TPM中

不同的加密引擎完成，例如，哈希算法用来生成报文的摘要，其中SHAT引擎负责完成

对哈希的一系列运算，HMAC引擎主要用于散列消息认证码的相关操作，它们都属于哈

希算法的范畴。RSA运算由RSA引擎执行，在传输会话中加密授权信息保证会话的机密

性，它还能提供对内外的数字签名等功能。这些功能对外只提供了10接口，并且任何

外部组件不能干预内部密码的运算。在图2.4中所示的TPM模块架构中，各重要组件的

功能介绍如下［26,29］：

(1)10部件，输入输出控制部件，管理总线上的信息流，负责外部与内部传输信道上的

信息编译码工作，并将信息传送到适当的组件上。

⑵密码协处理器，负责实施TPM内部的密码运算，包括RSA的非对称密钥发生器，RSA

非对称加解密等。RSA运算由该部件内RSA引擎执行，它还包含一个对称加密引擎，能

在传输会话中加密授权信息保证会话的机密性，它还能提供对内外的数字签名、安全

存储和使用密钥等功能。

⑶密钥生成器，用于产生数字签名密钥与数据存储密钥等密钥，以RSA算法的密钥生

成过程为例，KeyGeneration通过RNG随机产生随机数，并自行完成对该随机数的大素

数测试。

(4)HMAC,HMAC引擎用于确认与TPM交互的报文数据是否正确，为了保证数据和命令消

息的完整性，HMAC提供消息认证码和数据认证码两部分信息，并且能够发现数据或命

令发生的错误。另外该引擎仅提供运算功能，没有提供传输数据的命令和机制。

⑸随机数发生器，是TPM内部的随机源，负责产生各种密钥生成和签名中所需要的随

机数，它将一个不可预测的输入，如嗓音、时钟、温度等，通过一个内部的状态机和

单向数列变成32字节长度的随机数，该数据源对外不可见，以保证外部无法重现该部

件随机数的产生过程。

(6)SHA.1哈希引擎，主要负责消息报文摘要的产生，在可信度量中采用此算法完成对

平台组件的度量任务。

⑺电源监测模块，在关联平台电源状态的同时管理TPM电源状态，一旦平台的电源发

生变动，TPM根据应对机制马上做出响应，及时采取措施并保存数据等，保证TPM的安

全特性和平台的重要信息不会被破坏。

(8)分支选择器，是一组选项开关，根据TCG的策略可以开启或关闭TPM内部的某些功能,

具体通过改变一些标志位来控制TPM的内部功能，但是必须经过TPM所有者的授权才能

实现，它不允许被远程设置。

⑼执行引擎，主要运行传送给TPM的一系列命令，包括TPM的初始化和检测操作等，由

于该组件至关重要，因此当命令执行时，必须确保执行环境的安全，同时受保护的区

域已得到保护。

(10)易失性存储器，用来存储平台配置信息PCR(PlatformConfigurationRegister)

和身份证实密钥AIK(AttestationIdentityKey)等，存储在VolatileMemory中的数据

具有掉电易失性。PCR保存了平台的配置信息，AIK用于在进行远程认证时确保通信的

对方是一个支持TPM的平台。

(11)非易失性存储器，主要保存了认可密钥EK(EndorsementKey)和存储根密钥

SRK(StorageRootKey),存储在N—VolatileMemory中的数据可以被永久保存且掉电

或平台重启均不受影响。

3.2.2.2TPM工作流程

TPM通常有三种工作状态：初始化状态、操作状态和自检状态，详细如图2.5所示。

首先，TPM上电后进入初始化状态，对TPM内部的某些功能进行初始化，并完成由用户

设定的某些功能。其次，TPM对自身的状态进行完整性检测，确保TPM模块能够正确地

执行与安全相关的所有可信操作。最后进入操作状态，但是必须在对初始过程和自检过

程正常完成的前提条件下，TPM才可以执行相关的操作，操作状态有两种模式，分别是

管理员模式和完全操作模式，可以通过TPM的不同操作来分别执行不同的功能。

图2.5TPM工作状态转换图

3.2.2.3平台配置寄存器PCR

平台配置寄存器是TPM模块的重要组成部分，由于TPM的高安全性，因此它可以存

储重要的信息并保证其安全，一般情况下存储了平台的完整性度量值，它代表了当前

平台的配置状态。TPM内部至少包含一组不可篡改的平台配置寄存器(PCR),可在易失

性存储器或非易失性存储器中实现。PCR作为可以存储在度量过程中生成摘要的寄存器,

可分为静态和动态两种，其中0〜15为静态寄存器，在TPM重新启动时是不会改变的，

不同的寄存器保存着不同的信息，而保留的寄存器可以扩展；其它PCR寄存器为动态寄

存器，TPM重新启动时则发生改变。每一个PCR有160比特，与一般的寄存器不同的是

PCR寄存器不能被任意擦写，只能被扩展，新获取的度量值不能直接存储在PCR中，必

须通过与旧的哈希值相级联，然后再进行一次哈希运算，将新的哈希值扩展到PCR中，

具体运算公式如(2.1)所示：

NewPCRk+i=SHAl(OldPCRk||newmeasurement)(2.1)

采用以上公式运算后的散列值，就分别对应了不同的组件，为了在PCR中容易定位

不可信的组件，TCG针对平台的不同组件做了以下分配，具体如表2.1所示，PCR采用

了如式2.1所示杂凑值扩展的方法来保障平台的完整性［30］。

表2.1TPM的物理PCR分配表

PCRIndexPCRUsage

0保存CRTM、BIOS的度量值及平台扩展

1保存平台的配置信息

2保存ROM中代码的度量值

3保存ROM配置信息和数据的度量值

4保存IPL(InitialProgramLoader)代码

的度量值

5保存IPL配置信息和数据的度量值

6保存与状态转换和唤醒事件相关的事件

的度量值

7暂时保留，以后使用

8-15系统和应用程序自定义使用

16-23动态接入的外部设备使用

3.2.3可信软件栈TSS

可信平台支持服务(TrustedPlatformSupportService,TSS)是对可信计算平台

提供支撑作用的模块，为应用程序使用TPM提供接口的软件组件，TSS简化了使用TPM的

复杂性，开发组只需要了解TPM的基本概念和TSS向上层提供的接口，就可以在可信终

端平台上开发基于TPM的安全应用程序。它的设计目标是对使用TPM功能的应用层软件

提供一个方便的统一使用标准，提供对TPM的同步访问，管理TPM的资源等。TSS为操作

系统与TPM间的通信进程提供标准的安全接口API,并通过这些API接口处理操作系统和

应用程序的安全交互。TSS作为使用TPM的切入点，开发者只需了解TSS的使用规范，通

过与TSS的交互就可以开发各类应用。在TCG规范中，TSS的结构分三个层面：内核、系

统服务、用户程序，各层次关系如图2.6所示［29］。

各个层次的功能描述如下:

1.TDD：TPM驱动程序层

TDD位于操作系统的核心层，是核模式组件，它和TPM在物理层进行通信，通过把

TDDL传送的字节流进行解析来操作TPM或根据TPM的响应与上层进行交互。

2.TDDL：TPM驱动程序库

TDDL提供了一个由TPM制造商提供的用户态接口，位于TCS和TDD之间，以确保TSS

的不同应用与任何种类TPM都能进行通信。它是起媒介作用的标准接口模块，很容易实

现TCS在不同平台上移植。

3.TCS：TPM核心服务层

在一个平台操作系统上具有唯一的TCS,TPM不支持多线程操作，TCS接口被用来控

制和请求TPM服务，以协调多个应用程序对TPM的同步访问。

4.TSP：TPM服务提供层

该模块位于TSS的最上层，提供高级的TCG函数。TSP为应用程序提供TPM服务，并

且与应用程序在同一进程空间，因此为两者之间的数据传递提供了安全保障。

用应用程序

户

进

程

TCG服务提供者(TSP)

用户态

系

TCG核心服务(TCS)

统

进

程

TCG设备驱动库(TDDL)

4

TCG设备驱动(TDD)

板

态

心

TPM

图2.6TSS结构体系图

3.3可信移动平台的安全特性

可信计算提供一系列的安全特性，这些安全特性是基于硬件对用户和移动平台实

现保护的，为移动终端的安全可信提供了强有力的支持。根据可信移动平台的结构，

可信机制的构建以及整个平台的功能，可将可信移动平台的主要安全性能归纳如下。

3.3.1完整性检验

完整性检验可以实现移动设备的可信启动，还可以检测出受病毒或恶意程序攻击

的部分，基于硬件TPM和CRTM实现的。可信移动设备(TrustedMobileDevice,TMD)在

启动时必须检验TCB的完整性和有效性，检验与信任或安全相关的硬件的完整性。完整

性校验将计算终端的结构进行层次划分，从而引入不同层次间的完整性验证机制来实

现系统的完整性。完整性校验具体包含的内容非常广，可以分为三大方面：用户方面,

用户数据完整性以及身份的合法性；平台方面，平台软硬件配置的完整性以及平台之

间的可验证性；应用程序方面，应用程序的完整性和合法性。可信移动设备通过完整

性检验可实现平台的安全可信并提供以下重要的安全特性［31］。

3.3.1.1可信启动

TMD的可信启动基于TCG定义的信任传递机制。TMD上都内建了核心可信度量根CRTM,

保证CRTM作为平台的第一个启动程序，并与存储和加密的模块(TPM)一同作为平台的核

心根，从而度量平台的完整性，负责在初始化时对平台的可信性进行验证。任何将要

获得控制权的实体，都需要先对该实体进行度量，从平台加电，直到运行环境的建立,

这个过程就一直在进行。平台上电后，CRTM首先会被立即调用，开始依次执行可信的

启动过程。首先CRTM借助TPM计算TCB中其它元件软件代码的完整性度量值，并将度量

结果存放在TPM的PCR中，可信度量主要采用哈希运算，最终获得160比特的哈希值。然

后由验证实体(ValidationEntity,VE)提供的认证基准值(ReferenceIntegrity

Metrics,RIM)进行比较，如果是处于可信的状态，则该组件将控制权转移到下一组件,

依次类推，直到操作系统、应用程序成功校验。其实现过程是依照顺序链式进行的，

具体模型如图2.7示。

图2.7TMD的可信启动过程

3.3.1.2实时完整性度量

移动设备毕竟不同于PC,作为一种通信工具，经常处于开机的状态，因此由可信

启动所带来的安全环境不能长久保持。在长时间处于开机状态的过程中，移动设备进

行很多不同的操作，包括可信和不可信的，因此，要进行实时完整性校验才能确保平

台长久的安全可信。TMD启动过程中，存储日志将按照式(2.1)的方式依次记录发生的

事件并进行安全的存储，TMD将会记录很多事件及其完整性度量值，TCG规范中定义了

两种进行完整性操作的方法［2］：

一是当平台需要验证自身可信性时，只需对一些特殊软件或完成一项操作必须使

用的软件进行度量。使用该策略之前应对平台进行复位，通过复位终止平台上的一切

进程并重新激活可信启动，在度量其完整性并与VE提供的参考值进行比较，来判断该

应用程序是否可信。

二是当平台向远程证实自身状态时，允许VE提供平台完整性度量结果。通常有两

种模型:PushMode和PullMode,具体如图2.8和2.9所示。

图2.8Push模式

Push模式中用于TMP和VE之间，即平台主动从VE获取完整性矩阵当前值的合法数据

证书，获得该证书之后，通过完整性报告协议的方式最终发送给业务发起方。而在

Pull模式下服务器要求VE验证平台状态。

3.3.1.3远程校验

平台的远程校验可在平台相互传递信息之前确认彼此状态的合法性。本应用通过

客户端对可信移动平台的挑战与应答来确认平台未被病毒攻击和感染。可信计算的远

程校验特性是一种向远端机器证实本地环境的机制，可通过私有CA协议、验证数据协

议和完整性报告三个协议来实现。私有CA协议用于生成一个TPM身份证书，验证数据协

议用来验证平台配置是否合法，完整性报告通过使用平台身份认证密钥对PCR值进行签

名，以此作为平台当前状态是否可信的依据。TMP远程证实功能的实现需要完整性报告

协议和验证数据协议协同完成，具体流程如图2.10所示［29］。

⑴首先挑战者(Challenger)向］可信移动平台请求平台的完整性向量，可以同时

请求一个或更多的PCR值。

(2)平台代理收集TMP的存储度量同志。

(3)平台代理请求可信平台模块TPM并对相应PCR值进行数字签名。

(4)TPM利用证实标识密钥AIK对相应的PCR和随机数一起进行签名。

(5)TPM将产生的签名、AIK证书以及同志文件一起发给Challenger。

(6)Challenger首先检验AIK证书的合法性，在按照式(2.1)的方式重新计算哈希

值，并比较产生的签各，验证两者是否匹配，以此来判断平台当前的状态是否可信。

3.3.2安全存储

安全存储可确保平台重要数据的安全以及用户敏感信息的机密性，保证各类密钥、

证书和重要数据不被攻击者读取、篡改或拷贝。在整个平台可信的构建过程中，不仅

要对关系平台完整性的信息进行计算收集，而且还要实现对这些数据信息的安全存储。

由于TPM具有防篡改功能，且自身具有很高的安全性，通常实现该特性最简单的方法就

是将敏感信息存放在TPM模块的内部。该存储方式对数据的保护提供了最高的安全等级,

但是，TPM内部的存储空间是有限的，不能存储过多的信息。为了获得更大甚至无限的

存储空间，可信移动平台提出了利用“密钥等级”的思想来扩展安全存储容量的方

法。

3.3.2.1TPM中的密钥

在TPM模块中包括3种主要的密钥：EK、AIK和SRK。其中EK是认可密钥，由生产厂

商为TPM签发，是TPM的唯一身份标识，用于TPM获得所有权和生成AIK,AIK是证实标识

密钥，实质上是EK的别名，为保护EK的私密性而生成的替代品。在一个TPM中存在多个

AIK,AIK的作用是让其它实体相信用AIK签名的信息确实来自一个可信平台，而且实现

了对私密性的保护。SRK是存储根密钥，在改变所有者时才会发生改变［32］。

TPM中的密钥如图2.11所示，安全存储通过这些密钥实现数据的加密和安全管理。

主要的密钥有：存储根密钥SPK、迁移存储密钥和不可迁移存储密钥等，SPK被称为根

密钥，不能脱离TPM模块，通过根密钥可以实现对下一级存储密钥的加密保护。加密数

据或签名密钥通常由叶子存储密钥完成。此外，还可以根据不同的方式对密钥进行划

分，按照能否脱离TPM模块来说，可分为可迁移密钥和不可迁移密钥，依照密钥是否对

称可分为，对称密钥和非对称密钥等。

利用密钥树机制，TMP能够对存储的数据提供不同级别的安全保护能力，一般可分

两种方式：普通保护存储和密封存储，普通保护可以实现正常情况下对数据或信息的保

护能力，密封存储使得加密数据的密钥依赖于一个不可迁移的非对称密钥和一个或多个

PCR寄存器值，这样想要解密就必须使指定的平台处于指定的运行情况下。

图2.11TMP中的密钥管理方法

3.3.2.2平台证书

平台证书(PlatformCredential)是用来证明一个集成有TPM和RTM的计算平台符合

TCG规范。可信计算平台使用平台证书，一个平台证书只能属于一个特定的平台。平台

证书下载到可信平台模块(TPM)的安全存储器中，平台公私钥由TPM的拥有者生成，这

样证书就与可信计算平台绑定在一起。在网络认证中，通过对平台证书的认证就能确

定网络终端平台的身份。TCG为可信计算平台定义了5种证书，它们相互之间的关系如

下所示[17,30]o

认可证书(EndorsementCredential)：一般由TPM制造商生成，为证明一个TPM模块

正确地实现了TCG的TPM规范所规定的各种功能。该证书是一个可表明TPM身份的X.509

身份证书。对应的密钥是EK,该证书包含的信息有TPM厂商名、TPM模型号、TPM版本和

EK的公钥。

平台证书(PlatformCredential)：该证书用来证实一个具体的可信平台符合了TCG

制定的一系列规范，是计算机平台制造商签发的X.509属性证书。验证证书

(ValidationCredential)：主要用来证实某些组件的合法性，由确认机构签发的

X.509属性证书。只有那些容易造成安全威胁的组件才需要，例如：视频适配器、内

存控制器和磁盘存储适配器等。

一致性证书(ConformanceCredential)：主要用于证实某一类计算机平台的实现过

程完全按照TCG的具体规范生产制作的。由制造商或其它机构签发的X.509属性证书，

通常包含评测者名字、平台厂商名字、平台模型号等。

身份证实证书(AttestationIdentityCredential)：该证书由CA(PrivacyCA)签

发的X.509身份证书。为了防止EndorsementCredential泄漏平台的身份以及保障用户

的私隐性而定义的。可信平台在每次向其它实体证实自身状态时都需要利用

EndorsementCredential来申请一个AttestationIdentityCredential,然后再