基于安全服務(wù)的移動(dòng)網(wǎng)絡(luò)統(tǒng)一防護(hù)體系——可信移動(dòng)終端的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著移動(dòng)網(wǎng)絡(luò)的飛速發(fā)展、無(wú)線(xiàn)業(yè)務(wù)的不斷豐富以及移動(dòng)終端計(jì)算和存儲(chǔ)能力的連續(xù)提高，移動(dòng)網(wǎng)絡(luò)和移動(dòng)終端面臨的安全問(wèn)題也日益嚴(yán)峻。其中最人的危害就是手機(jī)病毒的泛濫，傳統(tǒng)的病毒查殺機(jī)制并不能從本質(zhì)上防止手機(jī)病毒的危害。本文首先對(duì)可信計(jì)算組織(TCG)提出的可信計(jì)算相關(guān)文檔進(jìn)行詳細(xì)解讀，著重介紹了可信移動(dòng)平臺(tái)TMP和可信網(wǎng)絡(luò)連接TNC規(guī)范。TCG提出的可信計(jì)算概念主要側(cè)重于利用移動(dòng)可信模塊來(lái)加強(qiáng)整個(gè)網(wǎng)絡(luò)的安全性，而對(duì)于終端自身的安全性，并沒(méi)有提出

2、具體的設(shè)計(jì)方案。本文基于對(duì)移動(dòng)通信網(wǎng)絡(luò)和移動(dòng)終端的詳細(xì)了解，提出了基于安全服務(wù)的整體安全防護(hù)體系HSSS(Holistic Security ServiceSystem)，通過(guò)研究和控制安全問(wèn)題發(fā)生的源頭——移動(dòng)終端的可信性米為移動(dòng)終端乃至整個(gè)移動(dòng)網(wǎng)絡(luò)提供安全保護(hù)。
　　 針對(duì)目前幾乎空白的移動(dòng)網(wǎng)絡(luò)的整體安全防護(hù)技術(shù)及體系，本文提出的HSSS體系通過(guò)在現(xiàn)有無(wú)線(xiàn)網(wǎng)絡(luò)添加安全服務(wù)提供者SSP為整個(gè)移動(dòng)通信網(wǎng)絡(luò)提供統(tǒng)一的安全服務(wù)，達(dá)釗

3、保護(hù)移動(dòng)終端和整體網(wǎng)絡(luò)安全的目的。
　　 本文根據(jù)移動(dòng)終端的自身特性，考察了當(dāng)前移動(dòng)終端的主流軟硬件架構(gòu)，提出了兩種移動(dòng)終端擴(kuò)展可信計(jì)算模塊的方法：一般嵌入式系統(tǒng)的擴(kuò)展和基于USB的擴(kuò)展。一方面，它通過(guò)可信計(jì)算模塊提供的安全功能（數(shù)字摘要、簽名和認(rèn)證、密鑰及隨機(jī)數(shù)生成、存儲(chǔ)保護(hù)和安全審計(jì)等）實(shí)現(xiàn)移動(dòng)平臺(tái)的完整性、機(jī)密性和可信性。同時(shí)，通過(guò)修改嵌入式移動(dòng)設(shè)備的啟動(dòng)流程和加入可信驗(yàn)證代碼，完成移動(dòng)終端系統(tǒng)的可信啟動(dòng)。
　　

4、為了保障移動(dòng)設(shè)備系統(tǒng)運(yùn)行時(shí)的安全性，文章重點(diǎn)研究了移動(dòng)終端可信操作系統(tǒng)，并基于SELinux提出了一種移動(dòng)可信環(huán)境控制機(jī)制?？尚怒h(huán)境控制機(jī)制根據(jù)不同安全要求等級(jí)的應(yīng)用程序?qū)⒁苿?dòng)終端系統(tǒng)劃分為幾個(gè)信任域，并通過(guò)域隔離和訪(fǎng)問(wèn)控制等關(guān)鍵技術(shù)對(duì)信任域進(jìn)行不同級(jí)別的可信控制，從而達(dá)劊高效保護(hù)移動(dòng)終端可信性的目的。為了進(jìn)一步提高移動(dòng)終端操作系統(tǒng)的可信性，本文對(duì)移動(dòng)終端上的應(yīng)用程序進(jìn)行了可信控制設(shè)計(jì)，使應(yīng)用程序在載入、啟動(dòng)和運(yùn)行時(shí)都受到嚴(yán)格地控制，防