（计算机应用技术专业论文）智能移动终端安全问题研究.pdfVIP

摘要 3 g 网络的发展让移动网络的性能有了质的飞跃，这让移动网络中的终端设 备可享受各类丰富多彩的服务。然而服务往往伴随着风险。这样移动网络中的 终端设备将暴露出来，可能遭受各种恶意程序的袭击。本文针对移动网络中的 威胁，对网络中的终端提出了一种安全解决方案。 现在网络威胁种类繁多以至单纯的软件已不能完全解决安全问题，因此本文 采用一种软硬件结合的终端安全解决方案。具体方案如下： 本文将可信计算技术与思想引入移动平台中。可信计算思想是通过保证网络 中的接入设备可信从而组建一个可信网络。因此移动网络中首先要加强终端设 备安全性，将可信平台中的核心可信模块( t p m ) 和核心信任源( c r t m ) 引入 终端设备中，并以此唯一为核心根通过传递机制建立可信平台。建立的终端可 信平台的安全功能包括：执行环境保护，数据完整性校验，数据加密存储，重 要信息的硬件保护等。 为了保证网络终端的免疫性，软件解决方案主要研究检测终端病毒方面。通 过分析终端病毒特性及传播方式，采用基于“行为检测”的机制来检测终端病 毒。通过分析归纳恶意程序的行为，来建立一套完整的行为规则库，从而完全 适应处理能力低，资源有限的终端平台。 这套软硬件结合的方案可保证移动终端的安全性，从而去建立更大的可信网 络。 关键词：终端安全可信平台核心信任源行为检测规则库 a b s t r a c t 3 gn e t w o r kd e v e l o p m e n tf o rm o b i l en e t w o r k sh a sb e e naq u a l i t a t i v el e a pi n p e r f o r m a n c e ，a l l o w i n gm o b i l en e t w o r kd e v i c e sc a ne n j o y av a r i e t yo fs e r v i c e t y p e s h o w e v e r , s e r v i c ei so f t e na c c o m p a n i e db yr i s k t h em o b i l en e t w o r kd e v i c e w i l lb ee x p o s e da n dm a yb es u b j e c tt oav a r i e t yo fm a l i c i o u sc o d ea t t a c k s t h i sa r t i c l e p r o p o s e sas o l u t i o nb a s e do nt h em o b i l et e r m i n a l sf o rt h en e t w o r kt h r e a t n o wt h e r ei ss u c haw i d er a n g eo ft h r e a ta n ds ot h em e r es o f t w a r es o l u t i o nc a l l n o tf u l l ys o l v et h es e c u r i t yp r o b l e m s t h i sa r t i c l ep r o p o s e sa ni n t e g r a t es o l u t i o n c o m b i n i n ge n d p o i n ts e c u r i t ys o t h a r ea n dh a r d w a r es o l u t i o n s s p e c i f i cp r o g r a m sa l e a sf o l l o w s ： t h i sa r t i c l ei n t r o d u c e st h ei d e ao ft r u s t e dc o m p u t i n gt e c h n o l o g yi n t om o b i l e p l a t f o r m t r u s t e dc o m p u t i n gi d e ai st oe n s u r et h ec r e d i b i l i t yo ft h en e t w o r ka c c e s s d e v i c et of o r mat r u s t e dn e t w o r k t h e r e f o r e ，t h em o b i l en e t w o r ki s f i r s t l yt o s t r e n g t h e nt h es e c u r i t yo ft e r m i n a le q u i p m e n t t h et p ma n dt h ec r t mw i l lb e i n t r o d u c e di n t ot h et e r m i n a ld e v i c e ，a n dw h i c hw i l lb et h ec o r eo ft h ec r e d i b i l i t yo f t r u s t e dp l a t f o r mt h r o u g ht h et r a n s m i s s i o nm e c h a n i s m t h es e c u r i t yf e a t u r e so f t e r m i n a lt r u s t e dp l a t f o r mi n c l u d i n g ：t h ei m p l e m e n t a t i o no fe n v i r o n m e n t a lp r o t e c t i o n , d a t ai n t e g r i t yv e r i f i c a t i o n , d a t ae n c r y p t i o ns t o r a g e ，i m p o r t a n ti n f o r m a t i o no ft h e h a r d w a r ep r o t e c t i o n i no r d e rt og n s u r ei m m u n i t yt on e t w o r kt e r m i n a l ，t h er e s e a r c ho fs o f t w a r e s o l u t i o n si sa b o u tt h ed e t e c t i o no ft h et e r m i n a lv i r u s b ya n a l y z i n gt h ec h a r a c t e r i s t i c s a n dm o d eo ft r a n s m i s s i o no ft h ev i r u st e r m i n a l ，w ec h o o s et h e b e h a v i o rd e t e c t i o n m e c h a n i s mt od e t e c tt h et e r m i n a lv i r u s i tw i l lb u i l da l lc o m p r e h e n s i v el i b r a r yr u l e so f b ya n a l y z i n ga n ds u m m a r i z i n gt h eb e h a v i o ro fm a l i c i o u sp r o g r a m s ，w h i c hf u l l ym e e t t h et e r m i n a lp l a t f o r mw i t hl o wp r o c e s s i n gc a p a b i l i t ya n dl i m i t e dr e s o u r c e s t h ei n t e g r a t i o no fh a r d w a r ea n ds o f t w a r es o l u t i o nc a ng u a r a n t e et h es e c u r i t yo f m o b i l ed e v i c e s ，a n ds oi tc a ne s t a b l i s ht h eg r e a t e rt r u s tn e t w o r k k e yw o r d s ：t e r m i n a ls e c u r i t y , t p m ，c r t m ，b e h a v i o rd e t e c t i o n , r u l e sl i b r a r y 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得 武汉理工大学或其他教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示了谢意。 签名：泰拿盘 日期：2f ! ：堇：墨 学位论文使用授权书 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权武汉理工大学可以将本学位论文的 全部内容编入有关数据库进行检索，可以采用影印、缩印或其他复制 手段保存或汇编本学位论文。同时授权经武汉理工大学认可的国家有 关机构或论文数据库使用或收录本学位论文，并向社会公众提供信息 服务。 ( 保密的论文在解密后应遵守此规定户 研究生( 签名) ：京健导师( 签名) 三生囊洒：刀户s 筋 武汉理工大学硕士学位论文 1 1 选题背景和意义 第1 章引言 随着移动网络迅速发展，人们不再满足使用定点计算机访问因特网，随着 智能手机、个人数字处理设备( p d a ) 等移动终端迅速普及，使移动业务的发 展具备了良好的硬件支持，移动终端访问互联网的方式和服务也得到了快速盼 增长。因此现在人们的需求也变为“在任何时间，任何地点，使用任何设备通过 移动连接访问任何服务”，而涌现的3 g 网络也使网络传送率呈现显著性跳跃， 也为移动终端在e m a i l ，图像传输方面提供了网络的保证。新业务的成长带来了 新的问题，移动终端如何能保证数据的安全性，如何安全地接入业务系统已成 为了一个热点问题。 根据知名调查公司i n s i g h te x p r e s s 为s y m a n t e c 公司所做的一项调查显示【l 】， 大多数智能终端使用者不仅为了娱乐，还用来收发带有重要信息的电子邮件， 甚至存储机密的私人或者商业数据，智能终端逐渐的被当作移动的电脑所使用。 然而和电脑类似，智能终端同样暴露在众多的网络攻击和安全威胁 2 1 q ，。各种智 能移动设备体系结构的实现和它们所使用的网络协议是非常复杂的，这些复杂 性使得手机系统在实现和使用上会存在一些弱点，容易受到不同类型的攻击。 移动网络这个特殊的平台主要由用户，网络，内容服务提供商三部分组成， 同样智能终端在使用服务时同样也主要受到来自这三个方面的安全威胁。这些 安全威胁【3 】主要包括用户数据及隐私泄露，窃听，欺骗，伪装等等，所以移动终 端迫切需要一套安全解决方案来保护其免受各方侵害。首先我们想到的是将p c 上的安全解决方案移植到终端平台。但如果直接将现有p c 机安全保护手段缩小 或将硬性嫁接在功能有限的小型操作系统上会产生许多无法解决的问题。因此 对于终端系统我们应该考虑如下因素：处理器能力有限，体积小适用于移动环 境，电源续航时间短，移动网络和网络的不同等。 武汉理工大学硕士学位论文 1 2 国内外研究情况 针对终端设备的各类攻击是在从0 4 年之后才开始出现的，因此对于智能终 端安全领域的研究是一个比较新的方向和课题，并且随着移动设备用户的不断 增加这也将成为网络安全领域的热点。目前国内外在这方面的研究不多，主要 分为两部分：一部分是从硬件方面来寻求安全的解决方案，单纯的软件解决方 案已不能满足来自复杂移动网络的各类威胁，现在国内外都期望从硬件方面来 寻求解决方案。而可信计算的出现为终端安全提供了一种新的思路。在软件方 面，各网络安全商，如赛门铁克，卡巴斯基，趋势等都开始致力于智能移动终 端的安全解决方案，而国内的瑞星等也开始有一些相关产品的研究，但是技术 尚处于不完善阶段。 1 2 1 移动可信平台 近几年国内外很多科研机构、高校和公司等都对可信计算这个热门技术进行 了大量的研究。 2 0 世纪7 0 年代j pa n d e r s o n 首次提出可信系统【4 】的概念，由此开始了人们 对可信系统的研究。1 9 9 1 年欧洲一些国家联合提出了一种称为i t s e c 的信息技 术安全评价准则，准则中首次提出了信息安全的保密性、完整性和可用性。 1 9 9 9 年美国的一些大学带头，m 、m i c r o s o f t 、h p 等著名联合成立了可信 计算联盟t c p a 【5 】( t r u s t e dc o m p u t i n gp l a t f o r ma l l i a n c e ) ，后0 3 年其更名为可信计 算集团t c g 。该组织的目标是研究新一代安全和可信任的硬件平并形成一种工 业规范，并在此平台上建立统一和标准的可信机制。 而国内也在“可信计算”这个领域进行了充分研究。国内第一款由企业自主研 发成功的安全芯片“恒智”于2 0 0 5 年发布【6 】。这标志着我国企业拥有了在可信计 算领域里的核心技术能力。”而0 5 年同样为了研究可信计算的中国标准，国家成 立了国家安全标准委员会w g l 可信计算工作小组。可信计算工作小组主要的工 作就是规划可信计算平台的有关标准，建立可信计算的通用平台。 2 武汉理工大学硕士学位论文 可信计算的思想为计算机网络体系的安全解决方案提供了新的思路，而现今 终端设备硬件性能的不断提高也为移动可信平台的建立提供了保障。 表l l 性能对比 智能终端2 0 0 3 年电脑 c p u 频率 6 6 7 m h zp e n t i u m 内存 2 5 6 m b2 5 6 m b 外存 1 6 g4 0 g 如上表所示，智能终端的硬件水平已经具备建立可信平台的能力，因此国内 外特别是国外也有一些从事移动可信平台的研究。0 4 年底可信计算组织 t c g ( t r u s t e dc o m p m i n gg r o u p ) 专门成立移动电话事业部m p w g ( m o b i l ep h o n e w o r kg r o u p ) t7 1 ，这个小组将正式开展移动设备安全领域的研究，主要目的是要 制定适用于移动设备的可信标准。之后国内外很多公司都致力于移动可信平台 的开发，但是仍有很多问题没有解决。 1 2 2 智能终端软件解决方案 和传统的电脑遇到的安全问题一样，智能终端也遇到了同样的问题，病毒， 恶意程序，木马等的侵害也开始出现在了终端上，给终端用户带来了许多侵害。 比如设备运行速度变慢甚至死机，费用不明增加等。而且，当手持终端设备成 为人们信息的中心时，存储在设备上的信息越来越多且重要性越来越大，如果 设备丢失或被他人利用，后果将不堪设想。因此终端安全不容忽视，根据现在 来自各方的多种威胁，软件方案涉及技术众多。 在智能移动终端安全的领域中，软件方案涉及到的关键技术包括关键数据 保密，文件访问控制、智能防盗、恶意程序的检测、软件的更新优化等。 目前针对手持智能终端设备的安全国内外的主要解决方案有：s y m a n t e c m o b i l es e c u r i t yf o rs y m b i a n t8 1 、卡巴斯基手机版7 o 【9 1 、f s e c u r em o b i l e s e c u r i 1 们、 趋势科技移动安全精灵【l l 】、m c a f e em o b i l es c c u d t y t l 2 1 、瑞星杀 武汉理工大学硕士学位论文 毒软件手机版【”1 等相关产品。 在这些产品中国外的相关产品技术相对成熟一些，但功能不完善，且功能 实现效率等有待改善；通过这些相关产品介绍可知，这些产品均可提供包括病 毒，木马等恶意程序的检测等，同时能提供对文件，邮件消息等的防护。然而 这些产品使用的查杀恶意程序的原理是检测病毒特征码的过程，这是通过检测 文件等各类属性来确定恶意程序的方法。这种检测方法是电脑上查杀病毒所使 用的方案，它的缺点是并不能检测未知的病毒，并且需要病毒库的更新，这对 于处理速度较慢，资源有限的终端设备来说是一个巨大的挑战，因此还需要深 入的研究。而国内的相关产品尚处于免费下载使用阶段，很多关键技术尚未成 熟。 1 3 本文的主要工作 本文针对移动智能终端的特点及运行环境分析了来自移动网络中可能的各 种威胁，并从这些威胁入手，讨论出移动智能终端，服务商以及网络的安全需 求，从而建立一套完整可行的安全解决方案。 在硬件方面，本文将t p m 模块嵌入智能终端设备中，并根据终端的各类特 性，将信任基嵌入安全启动机制中，并以此信任基为唯一信任根建立终端的可 信平台，同时在软件方面建立“行为检查 的检测恶意程序的方法，根据恶意 程序行为的分类建立行为规则库，建立一套完善的恶意程序机制。本文的主要 工作和创新成果为： 1 ) 采用软硬件结合的方式来解决终端安全问题。使用终端平台的硬件解决方案 来保终端平台安全，同时运用软件的恶意软件的检测程序使终端本身具有防疫 能力，最大程度保证终端设备的安全。 2 ) 建立终端可信平台，保证接入平台的每个终端都是可信的。将可信核心模块 t p m 和核心信任源c r t m 作为平台唯一信任根，通过传递机制保证整个终端安全。 3 ) 可信平台中采用计算序列检查器和安全检测器等在终端运行时，时刻检测程 4 武汉理工大学硕士学位论文 序的哈希值以保证程序运行环境。 4 ) 可信平台中采取硬件加密引擎对数据进行特定设备密钥的加密，防止各类对 关键数据的安全侵袭，同时采用硬件加速器来加速这一过程。 5 ) 在软件解决方案中，提出基于“行为检测”的适用于终端的病毒检测方案， 并通过实验证明方案可行。并通过此方案建立模型，归纳总结出恶意程序的行 为特性建立行为规则库，最终建立一套完善的恶意程序检测机制。 1 4 本文的组织结构 5 武汉理工大学硕士学位论文 武汉理工大学硕士学位论文 第2 章移动环境威胁及安全需求 各种无线网络( 如蓝牙，w l f i ，超宽带) 接入技术的发展，以及越来越多移 动设备计算和通信的能力的提高，无处不在的移动接入服务正迅速成为现实。 除了网络技术和移动应用，良好和健全安全解决方案的创新也非常重要，并成 为这类服务广泛采用的关键。 同时终端系统自身的一些发展特性，也促使它更容易受到移动网络的威胁。 基于s y m b i a n 、w i n d o w sm o b i l e 的操作系统的终端不断扩大，同时终端使用的芯 片等硬件也不断固定下来，使手机有了比较标准的操作系统，而且很多手机操 作系统厂商对用户开放一些芯片应用程序接口( a p i ) 而这在方便用户的同时也 方便了病毒编写者。 手机容量的不断扩大也使得病毒有了藏身之地。现在的很多终端不仅自身容 量巨大同时能外接扩展卡，这样病毒就有了很好的隐藏环境。同时手机直接传 输的内容也复杂了很多，从以前只有文本的s m s 发展到现在支持e m s 和m m s ， 因此病毒就可以附加在这些文件中进行传播。 在移动的无处不在的服务项目中，预计用户( 通过移动设备和一些网络接入 技术) 能够无缝地发现并通过广泛的服务选择来访问内容提供商的服务和内容 丰富的产品。 根据移动服务提供的形式和途径，有三个主要方面组成了无处不在的移动 环境，即：用户，网络和服务内容提供商。下面从这三个方面来分析移动环境 面临的威胁，从而得出各方面的基本安全需求，为移动环境寻求一种健全的安 全解决方案。 2 1 移动环境面临威胁 2 1 1 用户角度 7 武汉理工大学硕士学位论文 下面针对服务过程中的各个过程来分析用户说面临的威胁： 欺骗恶意实体可以伪装成合法的服务内容提供商引诱用户进行一个 虚假的服务交互。 信息泄露用户个人身份信息( 如身份证，信用卡信息，物理地点等) 在与服务内容提供商进行交互时，可能被透露给服务提供商或者被动的监听者。 此类威胁将导致用户隐私权的丧失等。 分析用户在使用服务时必然要与提供商进行交互，服务内容提供商便 可了解用户的有价值的信息( 如年龄，性别，收入，生活习惯，消费模式等) 及 建立一个用户配置文件。这些信息可被用于未来的促销( 如目标定价或目标市 场营销) 。 资料链接1 l 服务内容供应商可能会相互共享用户有价值的信息，进行 相互链接，如用户的交易活动以建立一个更为完整的用户配置文件。同样，信 息随后可能用于推断一个用户的未来行为，同样用户的隐私可能受到损害。 恶意软件一不同类型的恶意软件( 例如间谍软件，按键记录器，木马等) ， 侵入终端系统来获取用户个人信息( 如密码，p i n ，信用卡信息) 。 信息超载一用户可能与一个巨大的涌入服务量信息( 在服务广告的形式) 准服务供应商或垃圾邮件。这可能导致两个分的威胁： 拒绝服务用户的设备可能被服务商的广告淹没( 包括合法的和非法) ， 这可反过来阻止用户与服务供应商进行合理有效的服务交互。 服务选择的困境一许多家服务提供商可能会提供同一种服务。面对众 多选择，用户若没有与任意提供商进行过交互，就不能选择最适合的服 务来适应自己的需求。 配置的复杂性 设备和应用程序设置用户可以拥有许多不同类型的设备，不同的设备 可能都会访问服务，这样需要在服务之前用户需正确配置各类终端。对 于非专业用户来说，这可能是一个非常困难和艰巨的任务，一个错误配 置的机器可能给用户和服务提供者同时带来安全威胁风险。 安全参数用户很多时候将选择容易记住的密码，而这些密码会通常非 常薄弱。此外用户可能对不同的服务和应用程序选择相同的用户名的和 密码，这也会形成一个比较大的安全隐患。， 8 武汉理工大学硕士学位论文 2 1 2 网络角度 网络安全威胁通常分为被动和主动威胁两大类，然后分成其他类型的威胁。 其定义如下： 被动威胁一未获得批准情况下获得各类有价值信息，但不改变其内容( 即 监听) 。被动的威胁可以是窃听或流量分析( 有时也称为流量分析) 。这两个被 动威胁介绍如下。 窃听对手可能在网络层监控传输消息内容( 如无线手持设备和一个 基站的传输间) 。 流量分析对手通过非常细微的方式，可能获得情报监测模式的传输 通讯。在交互中，消息流承载大量的信息。 主动威胁对手对消息，数据流或文件进行修改。主动威胁包括：伪装， 回放，信息修改和拒绝服务( d o s ) 。这些威胁说明如下： 伪装对手可能冒充合法用户获得一些未经授权的特权。 重放对手可能监视传输情况( 被动威胁) 并作为合法用户转发邮件。 如果一个恶意实体在网络中捕获用户账户密码信息并重发到另一个最 终用户，这个用户就可访问合法用户的授权服务。 消息修改改变我们的对手可能是通过删去，增加，更改或重新安排 合法消息来改变它。 拒绝服务一对手可能阻止或禁止通信设施的正常使用。例如，用户可 能会尝试向外部实体验证自己( 例如，银行应用服务器) 。网络中的恶 意实体可能会如洪水般尝试向服务器请求数量庞大的任务，该服务器将 无法应付甚至暂停在队列中用户正常的请求。在服务器问题没有解决前 所请求的服务都不能被满足。 这些威胁的后果包括专有信息的损失，合法恢复损失的成本，形象受损， 以及网络服务的损失。 2 1 3 服务内容提供商 欺骗恶意实体也可以伪装成合法用户和服务内容提供商进行交互。例 如，黑客可以利用合法用户的帐户( 例如用户名和密码) 购买一些数字内容。 拒绝服务( 或其他商业上的原因) ，它不应该有可能的服务内容用户 9 武汉理工大学硕士学位论文 稍后否认使用或消费服务一些内容。 非支付服务内容供应商最关心是合法的服务而得到的付款收据里面的 内容。 非法内容分发非法传播有版权内容( 如音乐，电影等) 对数字内容产 业构成主要挑战。这直接转化为内容供应商的收入损失。普遍环境中的移动和 动态性的特征其实更容易分发共享非法内容。 无赖行为当用户与服务内容提供商进行交互时，用户使用加强的保密 技术保护自己的隐私或身份。如果这些用户行为不当( 如散布版权内容) ，服务 供应商希望能够跟踪用户或将他们列入黑名单，然后再决定以后的处理措施( 如 起诉他们) 。 2 1 4 总结 在整个网络环境中，组成其的三方面要素因为各自的需求或提供服务都会 受到来自各方的安全威胁。用户角度最根本的要求是确保用户设置简单和服务 访问的一致性。互联网的多种异构网络和各类不同的能力( 带宽，接口速度， 边对边延迟和连接类型) ，再加上多操作系统的各类终端，这些多样性与丰富资 源服务构成整个网络难以想象的复杂性。在这个新的环境中，用户更容易被暴 露在各种形式的安全威胁和攻击，因此当务之急是要保护用户的隐私和安全不 会受到损害：从网络的角度来看，安全，服务质量( q o s ) 和移动性是决定网 络性能可否接受的关键因素。”安全的合作，服务质量，移动性管理这三种不同 的特性使网络问题变成了一个复杂的问题。一个共同的网络框架，因此需要整 合安全，服务质量和移动功能效率；从内容和服务提供商的角度来看，在多合 作的网络保证了新的无所不在的服务的可能性，包括上下文感知服务等。特别 是，内容和服务供应商需要通过网络技术为多媒体应用提供支持，因此也会受 到来自恶意用户和其他对手的威胁。 从前几小节可看出，虽然受到的威胁形式多样，但许多上述威胁是相互关 联的。例如，一种威胁的实现可能导致一个或多个其他威胁的实现，无论是在 相同的角度或跨越几个不同的角度。例如，欺骗伪装威胁在所有三个方面都是 普遍存在的。通过分析威胁及其之伺的关系，我们可以确认各方面安全需求， 从而探讨移动终端的安全解决方案。 1 0 武汉理工大学硕士学位论文 2 2 安全需求 根据上一节的分析，移动普遍环境中的各类威胁及之间的关系已经产生，接 下来就可以根据相关威胁得出对应需求。我们首先根据各类共同威胁得出移动 环境的一般安全要求。其次根据服务过程及特点分析三方要素产生的特殊安全 需求，例如在用户与服务供应商交互之间产生特定安全要求，或从网络角度产 生的需求等。 2 2 1 主要安全需求 从以上各类威胁可以看出网络中的主要安全需求如下： 信任信任性指信息财产对未经授权的个人，实体或程序不可用和不暴 露。 完整完整性是数据在未授权或意外行为中不会改变，破坏或者丢失。 它涉及到数据的一致性和对数据值的信任，即数据值不会随着其代表信息的改 变而改变。 验证验证是检验一个系统实体中声明的一致性的过程。身份验证过程 包括两个步骤：为安全系统表明身份的识别步骤和在实体和鉴别体之间产生连 接信息的确认步骤。 授权授权是被授予一个系统的实体访问系统资源一项权利或许可。 不可抵赖性不可抵赖性是一种安全服务，对在一个行为中虚假否认提供 保护。不可抵赖性，并没有也无法阻止实体否定一个动作。相反，这项服务提 供可以储存的证据来提交第三方以便解决争端。 2 2 2 特定安全需求 用户和服务供应商的互动发生在应用程序层，因此用户和服务供应商有一些 共同的安全需求如下： 安全服务的选择建议当多个供应商提供一种服务时，用户可采用一种 选择推荐( 如声誉，排名) 代理机制以协助决策的过程。这种选择代理可能需 要输入用户的偏好，习惯和背景资料。这一过程应得到保证，因为它可能受到 武汉理工大学硕士学位论文 恶意实体( 可能是一个竞争的服务提供商) 的侵害，伪造或操纵排名。 安全零配置设备或网络设置( 例如口地址，d n s ) 可能会通过一个称 作“零配置 的过程代替用户进行配置，这一过程需要保护。 安全服务发现在一种服务被用户利用之前，它需要通过服务发现的过程 进行定位。重要的是，这个服务发现的过程需要被保护( 在用户和服务提供 商) ，否则，安全性和用户隐私性以及服务提供商可能受到影响( 例如窃听者可 能能够确定用户正在寻找的服务) 。 安全服务提供给终端用户传递服务的过程被称为用户提供服务。至关重 要的是，这一过程能安全保证正确的( 未篡改) 服务确实传递到预期的收件 人( 用户) 。 隐私保护( 相互) 身份验证- 在上述安全需求通常需要用户和服务供应商 的互动。这两个实体将需要相互验证，以防止可能欺骗的威胁( 或者方式) 。但 是，如果用户希望保护隐私，则可能需要隐私保护( 或匿名) 认证机制。一个 服务供应商仍然可以用传统方式验证用户( 如服务提供者通常不要求隐私匿 名，因为他们其实想要获得尽可能多的用户知道) 。 内容分发保护( c d p ) 服务供应商可能采用内容分发的保护机制( 如水 印，指纹或其他数字版权管理解决方案) ，防止或阻止用户非法传播版权内容( 这 可能早些时候是合法购买) 给其他人。为了防止内容买方被告非法内容分发， 使用买卖交易水印计划。 匿名支付计划用户可能希望匿名支付他们的服务。 隐私和匿名用户越来越关心他们( 网络) 在线交易或数字交易的隐私。 一般来说，所有上述安全要求应保证用户的隐私不被破坏。隐私往往通过匿 名实现，例如当一个人其他实体交互时使用假名。这同时提出新的要求，即不 可链接，用户不希望其交易的服务提供商将其链接。 而网络作为传播媒介，也需要有其该特定安全要求 网络访问控制访问控制可确保未经授权的用户不能访问网络，而合法用 户则被授权使用网络。 可用性可用性确保网络资源，如带宽服务可用且不受到如拒绝服务 ( d o s ) 等的侵害。 网络基础设施保护网络基础设施( 路由器和服务器) 应受到保护，免 受潜在攻击( 例如，非法设备伪装开关元件，对信息进行插入，删除，修改或 1 2 武汉理工大学硕士学位论文 控制回放等操作，以及引进重大延误运输) 。 位置隐私对于某些服务，了解用户所在位置的隐私是至关重要的。 路由匿名为防止通信端点( 发送者和接收者) 链接在一起，匿名路由可 用于在网络层。 2 3 总结 这一章主要分析了移动网络中主要的三方，他们包括终端用户，网络，内容 服务提供商，而这三者之间的互动构成了庞大的无处不在的移动网络环境。而 如今终端硬件设备性能的不断提高，以及3 g 甚至4 g 网络的发展都给用户带来 更多丰富的服务。这些服务背后也隐藏着巨大的风险。 本章从网络三方各自的角度分析了来自移动网络的各类威胁，主要包括欺 骗，资料泄露，链接，恶意程序侵袭等等，这些都有可能带给终端用户和服务 运营商大量的经济损失。因此针对这些威胁，我们提出了移动网络各方具体的 安全需求，包括可信性，完整性，认证授权等等。同时对于用户，运营商，网 络等在网络中说担当的具体位置也有他们各自特定的安全需求。 只有了解了威胁的种类和来源，我们才能对安全需求有更深入的了解。而通 过这些主要和特定的安全需求，我们才能设计出一套是适合移动特殊网络环境 的终端安全解决方案。 1 3 武汉理工大学硕士学位论文 第3 章智能终端安全可行解决方案 从上一章中分析来自移动环境的威胁和安全需求可以得出，现有的保护手 段不能完全满足现阶段智能终端的安全需求，。智能移动终端安全研究的重点为 保护用户数据，信息的完整性，机密性以及用户服务的准确性，使其具有可信 性，完整性，认证授权的功能，这就需要从硬件和软件体系结构两方面入手来 讨论终端的安全解决方案。根据终端及移动网络的特殊性，我们的解决方案必 须满足以下几点安全策略： ( 1 ) 由于终端的特殊性，在出现故障时对系统产生威胁时即在遭遇安全威胁时也 必须继续工作。 ( 2 ) 除了采取传统的软件保护措施外，还必须采取安全物理封装等保护措施来应 对嵌入式设备面临的安全威胁。 ( 3 ) 嵌入式系统体系结构的多样性同样也为其自身带来更多的威胁而且不利于 设计一套通用的安全标准。因此，有必要设计一种能解决大部分嵌入式系统安 全问题的解决方案。 ( 4 ) 为了加快系统速率，应该使用专门的用来实现安全认证机制的专用硬件来处 理安全认证和加密。 ( 5 ) 在软件设计方案方面，需要考虑终端设备处理器能力低，资源有限等特性而 设计适当的解决方案。 3 1 硬件方案 在硬件解决方案方面，根据终端设备及移动网络提出的特定的安全需求，本 文采用可信计算技术与思想运用到终端平台中，可以满足可信，完整，授权认 证等多类需求。 可信计算技术是近年来提出很多国内外相关部分都密切关注的一种新技术， 1 4 武汉理工大学硕士学位论文 目的是提高计算环境平台的安全。其主要思路是在电脑的硬件平台上加入具有 加密和隔离存储功能的可信平台模块t p m ( t r u s t e dp l a t f o r mm o d u l e ) ，其提供的 安全加密机制使非法用户无法访问其内部数据，从而提高了身份访问认证和数 据加密的安全性，提高终端系统的安全。在智能终端安全解决方案中解决安全 问题可以借鉴可信计算的思想，在整个网络环境中保证接入的每个智能终端都 是安全的，从而建立起整个可信任的移动环境。因此，首要关键是设计并实现 可信赖的高安全智能终端平台。 在一些安全需求较高的应用方面，为了保证客户端的安全，通常采用封闭平台， 如自动取款机( a t m ) 等。然而这类系统相对单一、具备专用性，但封闭平台 并不能满足具备多样性功能的智能终端的需求，因此开放性平台成了首选，许 多原来基于封闭性平台的应用目前也逐渐转向开放式平台。开放平台可以提供 通用的平台环境，这样可以运行各类应用程序来满足不同需求，因此使用十分广 泛。但正是这样的灵活性，对恶意程序也敞开了门户，使系统的安全性大大降低。 在如今智能终端的使用状况中，人们对它的安全性和可靠性期望值比一般系 统高得多。在台式电脑中引起小错误的程序或病毒也许给智能终端用户带来的 是成本或者隐私泄露等重大损失。如今各类恶意程序的发展已不能单纯依靠软 件来保证系统的安全性，可信计算正是以此为目的而诞生的，它提供一种软硬 件相结合的技术，通过在平台内部引入可信硬件设备作为唯一的可信源，为建立 安全可靠的终端环境提供有效途径。 解决终端的安全问题为网络安全的发展提供了新思路。同样本文以此思路为 启发建立一个智能终端的可信平台，它可以兼顾封闭平台和开放平台的优点，既 提供应用的多样性。又保证系统的高安全性。以此平台为信任基，为建立一系列 安全功能套件打下基础，这样移动可信平台用户的安全可得到最大限度的保证。 3 2 软件方案 从软件设计的角度来看，现代智能终端的性能和作用已相当于微型电脑【1 5 】。 1 5 武汉理工大学硕士学位论文 同时手机面临着同p c 机一样的危险，它也会成为各类恶意程序的攻击目标。 在前面一节我们讨论从硬件方面来解决安全问题，而更细粒度的安全控制同样 需要一些软件的配合作用。 在建立智能终端可信平台的基础上，针对智能终端存在的各种潜在威胁，特 别是各类终端病毒的出现，需要一些软件方案的支持来为各类威胁提供各种方 案。将这些软件方案与可信平台结合即可建立针对智能终端的安全功能套件， 为终端用户提供全面防护。 在移动设备中存在许许多多的潜在安全威胁，例如数据在交互传输时可能会 丢失或被恶意实体窃取。红外，蓝牙，w i f i 等无线技术的发展在终端的网络范 围内为设备的网络连接带来极大便利，而使用网络连接时会增加手机的安全风 险。智能移动终端的潜在威胁【1 6 1 可以归纳为以下几方面： 1 ) 设备丢失：便携性使如今手持设备向更轻更薄的方向发展，这样使易失性也 更加突出，而设备丢失则会带来诸如信息，数据等隐私泄露的严重后果。 2 ) 非法访问：非法用户可能通过窃取密码、签名，导致手机上的信息被修改或 者窃取。 3 ) 窃听盗用：恶意者试图通过截听传输电话信号的线路网络来窃听或者更改传 输信号。 4 ) 恶意程序：终端设备可能受到来自网络，数据存储媒体或其他终端设备等媒 介传输的恶意程序的侵害。 5 ) 数据丢失：设备使用者可能无意损坏或者删除设备上重要的数据信息。 针对上述出现的安全威胁，移动环境要首先保证数据的私密性，即数据在通 信中不被窃听窃取；同时保证通讯数据的安全性，保证收到的数据一定是对方 发送的非恶意程序。针对终端的使用者，需要身份认证机制，同时终端对不同 用户开放不同资源来防止越权操作。 因此通过威胁及需求分析，在智能移动终端安全的领域中涉及到的关键技 术包括恶意程序检测，数据保密存储，文件访问控制、软件优化更新，防盗 等。现在国内外现今针对终端安全关键技术的研究都不甚完善，需要在长期 1 6 武汉理工大学硕士学位论文 的研究实践中不断改进更新。 鉴于可信平台的设计，防盗，关键数据保密，文件访问控制等问题都能得 到一定程度的改善，而对恶意程序的检测仍是一个难题。因此本文在软件检 测方面着重研究恶意程序检测问题，以提高终端平台自身对病毒的免疫性， 这样最大限度的保证终端设备的可信安全性。 3 3 总结 本章根据前一章分析的来自移动终端本身和移动环境中的威胁，以及移动网 络中各方的安全需求，探讨了智能终端安全的一些解决方案。根据如今终端设 备及网络环境的发展，单纯依靠软件来解决安全问题已不能满足需求，因此采 用一种软硬件结合的解决方案。硬件方案中电脑平台中可信计算思想的诞生为 智能终端安全提供了参考解决方案，期望通过可信中的一些思想和技术在智能 终端建立可信平台。而结合终端平台，在软件解决方案中侧重研究恶意程序的 检测技术，通过两者的结合为终端设备提供一个完整可靠的安全解决方案。 1 7 武汉理工大学硕士学位论文 第4 章智能移动终端安全硬件解决方案 目前，很多运营商正在启用一种空中下载软件( o t a ) 1 7 1 来管理移动网络下 载的软件。它能为各地的终端用户提供在线软件下载补丁安装等服务，包括应 用软件、操作系统、各类应用程序等，这些软件也可以进行升级、修复等操作。 但是，软件可能出现的缺陷可能导致增加终端用户的成本开支，并且终端相对 于p c 机来说存储空间相对有限，不能安装很多杀毒软件和应用程序，单纯的软 件保护手段不能完全满足终端的安全保护需求。 因此，现有的保护手段不能完全满足现阶段终端设备安全保护的需求，如何 保护设备存储数据和应用程序的安全性，防止其被非法使用和篡改成为终端安 全的研究重点，迫切需要一种基于硬件的技术与软件一起承担起保护手机安全 的重任。 本章根据前一章提出的智能终端的解决方案将详细讨论硬件方面的解决方 案。为了将可信计算的思想有效的运用到智能终端平台，先要了解可信计算原 理及其特征，这样才能将可信技术与终端平台相结合。然而并非所有这些可信 技术都适用于有资源限制的智能终端平台，因此需要建立一个符合移动终端特 性的可信安全平台。 4 1 可信计算 可信计算【l8 】体现的是整体安全的思想，此概念最早是在1 9 9 9 年由微软、i n t e l 、 h p 、m 等著名电子公司成立的可信计算联盟提出的。它利用可信技术提出一 个包括硬件、软件和可信服务的综合安全体系。可信计算技术主要面向终端， 它的思想是建立一个可信通用的终端硬件平台。可信终端需要保证信息系统中 每一个使用者都经过认证授权具有合法身份，且使用者的每项操作都可预料， 这样就不会产生违法和攻击行为，从而保证整个信息系统的安全。可信计算的 1 8 武汉理丁大学硕士学位论文 基本特性【1 9 】包括如下几个特征： 保护功能保护能力是拥有独家访问权限屏蔽位置的一系列命令。屏蔽位 置是指能安全操作敏感数据的区域( 内存，缓存等) 。在t p m 内部，一系列被 称为平台配置寄存器( p c r s ) 的寄存器就是屏蔽区域的例子之一。平台配置寄存 器用于存储完整性测量。指令用来访问平台配置寄存器来加强保护能力。除了 平台配置寄存器，t p m 的保护功能还包括密钥管理，随机数生成，对特定的平 台状态绑定或密封数据。 认证这是保证信息准确性的过程。例如，一个平台，可以向外部实体证 明( 或验证) 其平台特性。这些平台的特点表达了平台的完整性( 可信赖的平 台) 信息。 完整性测量，存储和报告( 刀m s r ) i m s r 包括三个步骤：首先，在完整 性测量的过程中，平台特性( 或状态) 会被测量。测量值也被称为作为完整性 度量值。然后，在完整性存储过程中，这些完整性度量值存储到日志，并在同 一时间，一份度量值的文件将会存入( 如加密哈希的指标) 平台配置寄存器。 最后，包含p c r 值的完整性报告将会传给外部实体。根据完整性度量值的报告， 外部实体可以因此确定该平台的可信性并获得保证这个平台将进行预期内的行 为。 这些可信计算的基本特性为可信计算提供了一种比较合理的评估机制，也保 证了整个可信链的安全性，进而建立一个可信平台。 虽然“可信计算 这一概念一开始提出是基于台式电脑机，但它完全适用于 嵌入式系统，通过可信思想可以为嵌入式系统构建更加安全可信的体系结构。 “可信计算 的核心是t p m 的安全芯片，它实际上是个具有加密算法和具有 安全存储功能的系统芯片。同样我们可以考虑设计一种适用于智能终端嵌入式 平台的t p m 芯片，这样可以保证接入移动网络的每个终端都是可信赖的，而相 关一些专家小组也开始研究这个问题。 4 2 终端可信平台 1 9 武汉理工大学硕士学位论文 4 2 1 平台组成 “可信计算平台”口0 1 是采用“可信计算”技术的终端平台架构，它能够提供 可信终端软硬件实体，能够提高系统的可靠性和安全性。 根据嵌入式系统结构的特性，要保证可信平台结构的安全性，应将可信平台 核心模块作为固件固化到系统中。而原先的非安全系统的功能还是由本来系统 的部件( 如处理器等完成) ，系统加密部分由新增的t p m 模块来加强系统的安 全性，这样不用对原系统的结构设计进行太大改变。这种分离设计简化了设计 流程也提高了系统性能。设计出的设备可信平台结构如下( 图4 - 1 ) ： 图4 1 终端可信平台结构 而设备中增