移动终端可信安全防护技术与模型研究

摘要

当前，随着移动终端应用日益广泛，移动终端面临的木马攻击、用户数据丢失、系统破坏等安全问题日益突出，常规安全防护手段显得力不从心。本文基于信息安全服务的思想，研究了构建移动终端可信体系的若干关键技术。基本出发点是:在核心网中部署安全服务器，为用户提供安全服务，进而在该安全服务体系的支撑下，为移动终端构建可信计算环境。本文的创新性工作包括:提出一种基于安全服务的移动终端安全防护架构，该架构通过在移动终端设计可信环境，透过安全服务器提供的安全服务，实现对移动终端的安全防护;提出在安全服务器—客户端的架构下，实现终端程序的可信加载方法，进而提出一种层次化的移动终端可信计算模型;提出了基于强制访问控制的移动终端域隔离技术，相应地，设计了一种基于可信验证的完整性保护策略模型;构造了一种基于可信图灵机理论的信任链传递模型，使用该模型设计了一种高效的信任链传递机制;设计了包含实时监控机制的安全增强移动终端可信模块(MTM)，为终端可信环境地构建提供了基础支撑。
　　 本论文的主要研究成果如下:
　　 （一）提出一种基于安全服务的移动网络安全体系(HSSS)。该体系在移动核心网中加入安全服务提供者(SSP)，移动终端中加入移动可信模块(MTM)。在MTM和SSP之间构建安全通道，从而保证SSP作为可信第三方能够为移动终端安全地提供相关的可信服务。详细描述了平台的可信运行机制，构建了系统启动、应用软件载入、应用软件启动和运行过程的可信。为检查可信运行机制对文件读写及网络访问速度的影响，进行了相关实验，实验结果表明，本文提出的可信机制引起的系统性能下降为6％-16％，可应用性较强。
　　 （二）提出一种层次化的移动终端可信计算模型。移动终端资源有限的特点决定了其特殊的安全需求，安全服务器—客户端架构具有将安全问题集中到安全服务器统一解决的特性。同时可信计算具有事前防护的特点，是未来移动终端安全防护的趋势。将本文提出的基于安全服务的移动终端安全防护架构进行抽象，形式化地分析并证明了通过该架构提供的可信验证服务，可以实现移动终端模块的可信加载。进一步提出了层次化的移动终端可信计算模型(MTHM)。为了将此模型应用到实际系统，分析了现实安全假设条件，为具体实现提供参考。
　　 （三）提出一种移动终端域隔离技术及其完整性保护策略模型。将移动平台划分为支持不同功能需求的隔离域是移动终端安全防护的基本思路之一。将不同类别的应用和资源划分到不同的隔离域中，提高了系统的效率，增加了用户的灵活性。同时资源之间的相互隔离也增加了安全性，即使某个域的安全性被破坏，其影响范围也局限在所在的隔离域之中。然而现有的虚拟隔离方式并不适用于资源有限的移动终端。根据移动通信设备的特殊性，利用安全内核研究领域成熟的机制—安全增强型Linux(SELinux)来实现基于强制访问控制的信任域之间的隔离。在隔离域间的访问策略上，本文提出一种基于可信验证的完整性保护模型(TVIPM)，该模型将可信验证引入到传统的多级安全模型中，在保持策略灵活性、实用性的同时有效的对关键资源实施完整性保护。最后在SELinux系统上提出了实现架构，并就其安全性和性能进行了分析。该完整性保护模型可以有效的防止恶意软件对高安全级别资源的篡改，同时基于访问控制策略的域隔离技术在性能上具有一定优势。
　　 （四）提出一种基于可信图灵机的高效信任链传递模型。可信计算的基础是无法进行篡改的信任根和基于此信任根构建的信任链传递过程。本文基于图灵机模型构造了一类特殊的
　　 图灵机—可信计算图灵机，以证明上述信任传递的机器实现在理论上不会遭到破坏，并且扩展了信任传递的“粒度”和适用范围，使其不仅可以用于可信系统加载时，也可用于可信系统运行时的信任链传递。基于该可信图灵机模型，构造了高效的信任链传递机制。对于系统启动过程的静态信任链，将引导代码和操作系统镜像放置到RTS(Root of Trusted Storage)内部，相比于TCG的信任链结构，这种方式更加安全、可靠和高效。针对系统启动后的动态信任链构建过程，对应用程序访问资源过程进行细粒度访问控制，只有被授信的进程才能访问特定的资源。最后开发了原型系统并进行了性能测试，测试结果表明该机制缩短了可信系统启动的时间，在系统运行时实施的动态可信机制对系统性能影响较小。
　　 （五）设计了包含实时监控机制的移动终端可信模块。移动可信模块(MTM)位于整个安全防护架构的最底层，为可信体系的正常运行提供了各种安全高效的可信计算服务和安全控制服务。然而现有的安全机制缺乏对系统关键位置的实时防护。本文设计并实现了一种包含实时监控机制的MTM模块，该方案最大的特点是包含有对系统运行时关键位置的实时监控功能。测试结果表明，该MTM能高效地实现可信计算模块的基本算法和核心功能，并能有效的进行系统关键位置访问的实时检测。

目录

声明

摘要

表格

插图

第1章 绪论

§1．1 研究背景

§1．2 研究现状

§1．2．1 基于安全体系和机制改进的安全防护

§1．2．2 移动可信计算技术研究

§1．3 本文研究内容和主要创新点

§1．4 论文结构

第2章 基于安全服务和可信终端的移动网络安全架构

§2．1 引言

§2．2 相关工作

§2．3 基于可信服务的移动网络安全架构

§2．4 静态可信环境的构建

§2．5 动态可信环境的构建

§2．5．1 应用程序安装机制

§2．5．2 应用程序启动机制

§2．5．3 应用程序访问控制机制

§2．5．4 应用程序运行中完整性检查机制

§2．6 原型系统构建与测试

§2．6．1 系统可信启动测试

§2．6．2 程序可信启动测试

§2．6．3 程序运行中访问控制测试

§2．6．4 程序运行中完整性检查机制测试

§2．7 本章小结

第3章 层次化的移动终端可信模型及其应用研究

§3．1 引言

§3．2 相关工作

§3．2．1 可信计算模型

§3．2．2 模型的形式化分析

§3．3 移动网络安全体系抽象架构

§3．4 移动终端可信模型

§3．4．1 终端加载模型

§3．4．2 层次化的可信计算模型

§3．5 模型应用的现实安全假设

§3．6 本章小结

第4章 移动终端域隔离技术及其完整性保护策略模型

§4．1 引言

§4．2 相关工作

§4．2．1 域隔离技术研究

§4．2．2 安全策略模型研究

§4．3 移动终端的域隔离

§4．4 基于可信验证的完整性保护模型

§4．4．1 基本元素定义

§4．4．2 模型访问规则

§4．4．3 模型应用举例和安全性分析

§4．5 系统实现与分析

§4．5．1 SELinux中的实施框架

§4．5．2 安全性分析

§4．5．3 性能分析

§4．6 本章小结

第5章 基于可信图灵机的高效信任链传递模型

§5．1 引言

§5．2 相关工作

§5．2．1 动态信任链相关研究

§5．2．2 信任链模型相关研究

§5．3 可信计算图灵机

§5．4 通过可信图灵机实现传统可信度量和信任链管理

§5．5 通过可信图灵机实现动态可信完整性保护

§5．6 高效信任链传递机制

§5．6．1 系统启动时安全结构

§5．6．2 系统运行时动态安全防护结构

§5．6．3 高效信任链的构建

§5．7 原型系统构建方案和性能测试

§5．7．1 系统构建方案

§5．7．2 性能测试

§5．8 本章小结

第6章 包含实时监控机制的安全增强MTM

§6．1 引言

§6．2 相关工作

§6．3 增强MTM设计

§6．4 基于安全增强MTM的系统启动

§6．5 实时监控机制

§6．6 性能与功能测试

§6．6．1 原型系统概述

§6．6．2 MTM密码单元及通信接口性能测试

§6．6．3 实时监控功能测试

§6．7 本章小结

第7章 总结和展望

§7．1 总结

§7．2 展望

参考文献

致谢

在学期间的研究成果