專利名稱:一種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子信息技術(shù)領(lǐng)域���,特別涉及一種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng)����。
背景技術(shù):
驗證計算環(huán)境安全可信是可信計算的一個重要目標(biāo)。隨著技術(shù)發(fā)展��,移動終端上的安全威脅也在不斷加大��。研究表明�,僅在Android平臺上,2011年每月就有80萬人感染惡意軟件�����。傳統(tǒng)的防病毒���、入侵檢測等安全機(jī)制也都依賴底層操作系統(tǒng)的安全支持��?�?尚庞嬎慵夹g(shù)通過對計算機(jī)從可信根到可信硬件��,到可信操作系統(tǒng)����,到可信應(yīng)用的整個計算系統(tǒng)的整體安全增強(qiáng)�����,達(dá)到確保計算 機(jī)安全可靠的目的??尚庞嬎阒械摹翱尚拧卑税踩涂煽浚翱尚抛C明”就是要確保系統(tǒng)“行為始終符合預(yù)期”����。遠(yuǎn)程證明(Remote Attestation)是可信計算技術(shù)提供的主要功能之一,其主要是利用可信平臺來保護(hù)和實現(xiàn)服務(wù)器對客戶端計算環(huán)境的可信驗證����。控制流模型CFMAP(control flow model based on action policy)是一種基于用戶行為安全策略的���,能夠?qū)χ鳌⒖腕w屬性�����、權(quán)能�、環(huán)境、約束等動態(tài)條件進(jìn)行綜合判定的��,在某段任務(wù)執(zhí)行期間實施連續(xù)控制����、條件多變控制和行為關(guān)聯(lián)控制的新型訪問控制模型��?�;谀P托袨榈倪h(yuǎn)程證明方法是指通過控制流模型CFMAP實施權(quán)能條件���、環(huán)境條件、約束條件綜合判定和連續(xù)控制的��,能在由于條件改變而引起的控制變化時進(jìn)行度量和遠(yuǎn)程證明的動態(tài)證明方法���?����;诙啻味攘康倪h(yuǎn)程證明方法是指通過控制流模型CFMAP實施主體屬性��、客體屬性和環(huán)境條件綜合判定和連續(xù)控制的��,能在控制多個點和約束條件發(fā)生時進(jìn)行多次度量和遠(yuǎn)程證明的靜態(tài)屬性證明方法�。然而現(xiàn)有技術(shù)中沒有能夠把基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法同時應(yīng)用到移動終端系統(tǒng)中�,因此帶來了沒有進(jìn)一步提高移動終端系統(tǒng)的可信性和安全性的問題。
發(fā)明內(nèi)容
本發(fā)明提供一種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng)���,用于解決現(xiàn)有技術(shù)中沒有能夠把基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法同時應(yīng)用到移動終端系統(tǒng)中�,因此帶來的沒有進(jìn)一步提高移動終端系統(tǒng)的可信性和安全性的問題。本發(fā)明提供的一種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng)����,包括:控制流控制內(nèi)核模塊,在移動終端的操作系統(tǒng)上實現(xiàn)控制流模型�,并且基于控制流模型和安全策略對移動終端系統(tǒng)中的主體屬性、客體屬性�����、權(quán)能條件���、約束條件和環(huán)境條件進(jìn)行控制���;混合遠(yuǎn)程證明模塊,同時支持基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法���,對系統(tǒng)中的主體屬性、客體屬性�、權(quán)能條件、約束條件和環(huán)境條件進(jìn)行遠(yuǎn)程驗證�;證明交互模塊,將混合遠(yuǎn)程證明模塊采集的證明信息發(fā)送到服務(wù)器進(jìn)行驗證并且接收服務(wù)器的驗證結(jié)果信息。
進(jìn)一步���,本發(fā)明所述的移動終端系統(tǒng)��,所述證明交互模塊通過在移動終端系統(tǒng)上實現(xiàn)應(yīng)用代理Agent�����,來實現(xiàn)遠(yuǎn)程驗證�����。進(jìn)一步�,本發(fā)明所述的移動終端系統(tǒng)��,所述混合遠(yuǎn)程證明模塊進(jìn)行遠(yuǎn)程驗證的判斷順序從先到后分別是:主體屬性���、權(quán)能條件�����、客體屬性���、環(huán)境條件、約束條件。進(jìn)一步�����,本發(fā)明所述的移動終端系統(tǒng)���,還包括:移動可信模塊�,通過預(yù)先設(shè)置的算法對用于遠(yuǎn)程驗證的證明信息實施封裝保護(hù)���。進(jìn)一步�,本發(fā)明所述的移動終端系統(tǒng)���,所述移動可信模塊的封裝保護(hù)方式包括以下任意一項:加密�、雜湊和簽名�����。進(jìn)一步��,本發(fā)明所述的移動終端系統(tǒng)����,所述移動可信模塊的封裝保護(hù)方式是按照雜湊、加密��、雜湊�����、簽名的順序逐層進(jìn)行�����。 進(jìn)一步����,本發(fā)明所述的移動終端系統(tǒng),還包括:多干系人證明協(xié)議模塊����,用于控制多干系人證明協(xié)議。進(jìn)一步����,本發(fā)明所述的移動終端系統(tǒng),所述多干系人證明協(xié)議支持如下證明方法:多個服務(wù)提供商服務(wù)器發(fā)起請求���,移動終端直接響應(yīng)��;或者由移動終端主動發(fā)起�,服務(wù)器提供商服務(wù)器響應(yīng)后,再由服務(wù)器向移動終端發(fā)起證明請求�,移動終端再響應(yīng)并遠(yuǎn)程證明。進(jìn)一步�����,本發(fā)明所述的移動終端系統(tǒng)�,還包括:硬件隔離架構(gòu)模塊,將移動終端系統(tǒng)上分成安全域子系統(tǒng)和普通域子系統(tǒng)�����;安全域子系統(tǒng)定義為高安全等級�����,普通域子系統(tǒng)定義為低安全等級����;安全域子系統(tǒng)部署證明交互模塊、移動可信模塊�����、多干系人證明協(xié)議模塊�、混合遠(yuǎn)程證明模塊;普通域子系統(tǒng)部署移動終端的操作系統(tǒng)���。進(jìn)一步����,本發(fā)明所述的移動終端系統(tǒng)��,所述硬件隔離架構(gòu)模塊的安全域子系統(tǒng)單向訪問普通域子系統(tǒng)��。進(jìn)一步����,本發(fā)明所述的移動終端系統(tǒng),安全域子系統(tǒng)和普通域子系統(tǒng)采用分時機(jī)制運行�����,不能同時運行��。進(jìn)一步���,本發(fā)明所述的移動終端系統(tǒng)���,安全域子系統(tǒng)和普通域子系統(tǒng)之間共用存儲地址控制��。本發(fā)明提供的一種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng)能夠把基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法同時應(yīng)用到移動終端系統(tǒng)中��,通過支持動����、靜屬性混合的遠(yuǎn)程證明方法實現(xiàn)對移動終端計算環(huán)境更加準(zhǔn)確�����、豐富的可信驗證���,加強(qiáng)了移動終端系統(tǒng)的可信性����,基于移動CPU的隔離架構(gòu)則解決了可信機(jī)制自身的安全防護(hù)問題�。
圖1為本發(fā)明實施例的移動終端系統(tǒng)的系統(tǒng)框圖;圖2為本發(fā)明實施例的移動終端系統(tǒng)以控制時間為橫軸時的控制示意圖����;圖3為本發(fā)明實施例的移動終端系統(tǒng)以主、客體間信息流向為橫軸時的控制示意圖4為本發(fā)明實施例的移動終端系統(tǒng)制訂�、分發(fā)����、實施控制和證明模型安全策略證書的流程示意圖����;圖5為本發(fā)明實施例的移動終端系統(tǒng)當(dāng)控制流模型中由于條件改變而引起的控制變化時進(jìn)行遠(yuǎn)程證明的流程示意圖����;圖6為本發(fā)明實施例的移動終端系統(tǒng)的控制流模型多次度量和遠(yuǎn)程證明的流程示意圖;圖7為本發(fā)明實施例的移動終端系統(tǒng)的多干系人遠(yuǎn)程證明協(xié)議架構(gòu)的示意圖�����;圖8為本發(fā)明實施例的移動終端系統(tǒng)的隔離架構(gòu)的示意圖���。
具體實施例方式為了更好地理解本發(fā)明�,下面結(jié)合附圖與具體實施方式
對本發(fā)明作進(jìn)一步描述����。本發(fā)明實施例提供的一種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng),包括:控制流控 制內(nèi)核模塊��,在移動終端的操作系統(tǒng)上實現(xiàn)控制流模型�����,并且基于控制流模型和安全策略對移動終端系統(tǒng)中的主體屬性、客體屬性��、權(quán)能條件��、約束條件和環(huán)境條件進(jìn)行控制���。圖2為本發(fā)明實施例的移動終端系統(tǒng)以控制時間為橫軸時的控制示意圖�����,體現(xiàn)了系統(tǒng)控制過程中連續(xù)��、多變和相互約束的特點��。如圖1所示����,所述控制流控制內(nèi)核模塊是指在移動終端的操作系統(tǒng)上實現(xiàn)控制流模型CFMAP�����,并基于控制流模型和安全策略能夠?qū)ο到y(tǒng)進(jìn)行綜合判定和連續(xù)控制的操作系統(tǒng)內(nèi)核模塊?��?刂屏靼踩到y(tǒng)內(nèi)核改變了傳統(tǒng)的訪問控制的基于主��、客體間的權(quán)限關(guān)系矩陣的限制���,在主、客之間的“信息流”的緯度中增加了操作系統(tǒng)主體��,通過增加環(huán)境條件作為操作系統(tǒng)主體時的屬性�����,通過增加操作系統(tǒng)服務(wù)能力來擴(kuò)展權(quán)能條件����,通過對任務(wù)執(zhí)行的控制流過程不同主體間的約束條件來支持更加復(fù)雜的用戶行為安全策略的控制���。在控制流安全系統(tǒng)內(nèi)核中�,系統(tǒng)通過對控制流模型的主體屬性�����、客體屬性、權(quán)能條件�、環(huán)境條件、約束條件的綜合判定和連續(xù)控制���,實現(xiàn)更豐富和準(zhǔn)確的策略控制�。通過這種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng)�����,可以使系統(tǒng)在保持傳統(tǒng)訪問控制模型對主體和客體靜態(tài)屬性的控制��,例如對用戶主體角色�����,文件客體數(shù)據(jù)完整性等之外�����,增加對主�����、客體和操作系統(tǒng)的更加豐富的動���、靜態(tài)屬性的動態(tài)控制��,例如進(jìn)程主體的執(zhí)行次數(shù)���,某文件的有效時間等��,使控制能夠滿足系統(tǒng)連續(xù)�、多變的特點���。通過這種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng)�,可以使系統(tǒng)增加對主體行為之間關(guān)聯(lián)約束的控制����,例如執(zhí)行“只有在聯(lián)結(jié)安全網(wǎng)絡(luò)時才能進(jìn)行某關(guān)鍵業(yè)務(wù)的辦理”等策略����,使控制能夠滿足系統(tǒng)相互約束的特點。移動終端的操作系統(tǒng)采用移動終端中主流操作系統(tǒng)�����,在系統(tǒng)內(nèi)核中實現(xiàn)控制流控制����,能夠在系統(tǒng)服務(wù)實施的多點進(jìn)行控制�����,通過策略設(shè)定����,能夠支持包括阻斷某關(guān)鍵文件打印�����、不允許某信息發(fā)送到網(wǎng)絡(luò)�����、不允許某高等級文件刻錄等控制�����?��?刂屏髂P瓦€能實現(xiàn)系統(tǒng)中“主體到操作系統(tǒng)”����,然后再由“操作系統(tǒng)到客體”的異步訪問控制。在實際的系統(tǒng)中��,尤其是Windows等操作系統(tǒng)中���,其是基于事件驅(qū)動��,是基于時間片輪轉(zhuǎn)方式工作�����,很多進(jìn)程發(fā)出的消息��,并不是立即得到系統(tǒng)響應(yīng)���。在實際系統(tǒng)還存在“操作系統(tǒng)到客體”的重復(fù)發(fā)起,多次執(zhí)行的問題�。在實際系統(tǒng)中,有的主體訪問請求發(fā)出后�,當(dāng)其對客體的“執(zhí)行”發(fā)生時��,主體都可能已經(jīng)“消失”�����。在控制流安全系統(tǒng)中,通過將操作系統(tǒng)作為系統(tǒng)的“缺失”主體來進(jìn)行控制���,并通過細(xì)化以操作系統(tǒng)作為主體的對客體的控制策略�,可以實現(xiàn)實際主����、客體之間異步訪問的安全控制??刂屏髂P瓦€能實現(xiàn)系統(tǒng)中權(quán)能信息變化情況下的訪問控制。在實際的系統(tǒng)中���,主���、客體之間的權(quán)能不會經(jīng)常變化,但是會發(fā)生撤銷的情況�����。在控制流安全系統(tǒng)中�,通過對擴(kuò)展權(quán)能條件進(jìn)行連續(xù)控制,實現(xiàn)由權(quán)能變化引起的控制變化��?���?刂屏髂P瓦€能實現(xiàn)系統(tǒng)中由于環(huán)境條件改變而引起的訪問控制�����。在實際的系統(tǒng)中����,操作系統(tǒng)的主體屬性�����,即環(huán)境條件會發(fā)生變化���。在控制流安全系統(tǒng)中��,通過對環(huán)境條件的連續(xù)控制�,實現(xiàn)由環(huán)境變化弓I起的控制變化����。圖3為本發(fā)明實施例的移動終端系統(tǒng)以主、客體間信息流向為橫軸時的控制示意圖���,體現(xiàn)了每一次主�����、客體的訪問控制��,都是系統(tǒng)對主體屬性�、客體屬性�、環(huán)境條件、權(quán)能條件和約束條件的綜合判定��。這些判定因素都包含靜態(tài)屬性和動態(tài)屬性��,尤其是環(huán)境條件��、約束條件和主�、客體屬性。如圖3所示�,通過在橫軸上的兩個控制三角形,分別實現(xiàn)對主體屬性判斷和對其他所有屬性的綜合判定�。在實際的控制流程中,首先按照策略對主體屬性是否符合進(jìn)行判斷�����,在通過判斷后���,再按照權(quán)能����、客體屬性、環(huán)境條件�、約束條件這個順序進(jìn)行判斷,最后形成綜合判定���。如圖3所示���,通過在引入時間軸,實現(xiàn)對控制流的連續(xù)控制��。在實際的控制流程中���,判定結(jié)果 隨著主體屬性�、客體屬性����、環(huán)境條件、權(quán)能條件和約束條件的變化而變化��,使最后的控制符合用戶對系統(tǒng)行為的安全要求?;旌线h(yuǎn)程證明模塊,同時支持基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法����,對系統(tǒng)中的主體屬性�、客體屬性、權(quán)能條件����、約束條件和環(huán)境條件進(jìn)行遠(yuǎn)程驗證。所述基于模型行為的遠(yuǎn)程證明方法是指通過控制流模型CFMAP實施權(quán)能條件�����、環(huán)境條件�����、約束條件綜合判定和連續(xù)控制的���,能在由于條件改變而引起的控制變化時進(jìn)行度量和遠(yuǎn)程證明的動態(tài)證明方法��。所述的模型行為是指在系統(tǒng)中實現(xiàn)的控制流模型按照安全策略的規(guī)則進(jìn)行的系統(tǒng)控制�����,其包括在策略和條件都滿足時允許主體對客體的訪問�����、策略滿足但條件不滿足時禁止主體對客體的訪問���、策略不滿足時禁止主體對客體的訪問等控制方法�����。所述的遠(yuǎn)程證明方法主要通過對控制流安全系統(tǒng)中的控制策略的遠(yuǎn)程證明來驗證移動終端系統(tǒng)的控制行為是否符合預(yù)期�。所述基于多次度量的遠(yuǎn)程證明方法是指通過控制流模型CFMAP實施主體屬性��、客體屬性和環(huán)境條件綜合判定和連續(xù)控制的�,能在控制多個點和約束條件發(fā)生時進(jìn)行多次度量和遠(yuǎn)程證明的靜態(tài)屬性證明方法。所述的多次度量是移動終端系統(tǒng)針對特定運行進(jìn)程��,在控制流安全系統(tǒng)的多個控制點對相關(guān)的靜態(tài)屬性多次進(jìn)行度量和遠(yuǎn)程證明�����。這些度量點與安全策略中要求的控制點一致����,實際度量點可以包括進(jìn)程啟動�����、加載��、休眠和停止等。所述混合的證明方法是指在相同控制流安全系統(tǒng)中��,同時支持基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法�。混合的證明方法中的兩種不同的遠(yuǎn)程證明方法在操作系統(tǒng)內(nèi)核的相同位置實現(xiàn)��,采用統(tǒng)一架構(gòu)實施控制和保護(hù)�����,即采用相同的可信保護(hù)方法��、控制流控制內(nèi)核�����、應(yīng)用代理Agent�、移動可信模塊和遠(yuǎn)程證明協(xié)議等����?��;旌系淖C明方法在滿足兩種方法各自證明要求的基礎(chǔ)上�����,需要對兩種方法進(jìn)行整合��,包括策略整合�、策略判斷整合�、協(xié)議整合、統(tǒng)一證明發(fā)起時機(jī)等�����?����;旌系淖C明方法在控制實施時能夠按照不同的證明需要制定靈活證明策略�,實現(xiàn)能對控制流安全系統(tǒng)中的主體屬性、客體屬性��、權(quán)能條件、約束條件和環(huán)境條件等動�����、靜態(tài)屬性進(jìn)行有選擇的遠(yuǎn)程驗證�。混合證明在策略控制時按照新的判斷順序來進(jìn)行判定�����,判斷順序從先到后分別為:主體屬性��、權(quán)能條件��、客體屬性�、環(huán)境條件��、約束條件�����?�;旌献C明的準(zhǔn)確性要高于單一證明方法����,其證明的發(fā)起時機(jī)是兩種遠(yuǎn)程證明方法的調(diào)度時機(jī)的結(jié)合�,即當(dāng)兩種方法的某種證明觸發(fā)時�����,同時對另一種方法也進(jìn)行遠(yuǎn)程證明�,例如:當(dāng)由于環(huán)境條件變化而觸發(fā)的對基于模型行為的遠(yuǎn)程證明時,同時進(jìn)行靜態(tài)屬性的多次度量和遠(yuǎn)程證明����。混合證明的證明內(nèi)容的粒度比單一證明方法要細(xì)�,其證明內(nèi)容在包含基于模型行為和基于多次度量這兩種方法所要求的內(nèi)容之外,還要求將兩者的內(nèi)容進(jìn)行整合和變化��,例如:在混合證明模塊的度量時��,不但會采集基于模型行為的遠(yuǎn)程證明方法需要的操作系統(tǒng)的動態(tài)環(huán)境屬性���,也會采集基于多次度量的遠(yuǎn)程證明方法要求的操作系統(tǒng)的靜態(tài)環(huán)境屬性�,而且還要將動�、靜態(tài)屬性結(jié)合為操作系統(tǒng)環(huán)境條件。證明交互模塊����,將混合遠(yuǎn)程證明模塊采集的證明信息發(fā)送到服務(wù)器進(jìn)行驗證并且接收服務(wù)器的驗證結(jié)果信息���。進(jìn)一步,本發(fā)明實施例所述的移動終端系統(tǒng)�,所述證明交互模塊通過在移動終端系統(tǒng)上實現(xiàn)應(yīng)用代理Agent,來實現(xiàn)遠(yuǎn)程驗證�。所述證明交互是指將混合遠(yuǎn)程證明模塊采集的證明信息發(fā)送到服務(wù)器,由服務(wù)器將驗證結(jié)果返回移動終端�。所述證明交互模塊通過在移動終端系統(tǒng)上實現(xiàn)應(yīng)用代理Agent,來實現(xiàn)遠(yuǎn)程驗證���。移動終端系統(tǒng)的應(yīng)用代理Agent負(fù)責(zé)響應(yīng)服務(wù)器發(fā)起的證明請求�����,其也負(fù)責(zé)響應(yīng)由系統(tǒng)主動發(fā)起的證明請求。服務(wù)器工具通過對比客戶端提交的策略證書和服務(wù)提供商制訂的策略證書來確認(rèn)移動終端的控制狀態(tài)是否符合安全預(yù)期�����。進(jìn)一步����,本發(fā)明實施例所述的移動終端系統(tǒng)���,所述混合遠(yuǎn)程證明模塊進(jìn)行遠(yuǎn)程驗證的判斷順序從先到后分別是:主體屬性、權(quán)能條件���、客體屬性����、環(huán)境條件�、約束條件。進(jìn)一步��,本發(fā)明實施例所述的移動終端系統(tǒng)�,還包括:移動可信模塊 ,通過預(yù)先設(shè)置的算法對用于遠(yuǎn)程驗證的證明信息實施封裝保護(hù)�。進(jìn)一步,本發(fā)明實施例所述的移動終端系統(tǒng)���,所述移動可信模塊的封裝保護(hù)方式包括以下任意一項:加密�、雜湊和簽名�。進(jìn)一步,本發(fā)明實施例所述的移動終端系統(tǒng)����,所述移動可信模塊的封裝保護(hù)方式是按照雜湊�、加密��、雜湊���、簽名的順序逐層進(jìn)行��。所述封裝保護(hù)是指由應(yīng)用代理Agent調(diào)用移動可信模塊MTM (Mobile TrustedModulesXMTM通過模塊上預(yù)先設(shè)置的多種算法對需要進(jìn)行驗證的證明信息實施封裝保護(hù)���,包括加密、雜湊和簽名等�����。封裝保護(hù)按照雜湊��、加密���、雜湊�����、簽名這個順序逐層進(jìn)行。經(jīng)過保護(hù)后的證明信息在證明過程中不會泄露系統(tǒng)隱私信息�����。移動可信模塊可通過軟件模擬的方式在系統(tǒng)的安全核中實現(xiàn)。移動可信模塊支持多個存儲寄存器來存放證明信息的雜湊值����,每個寄存器中支持多組值的追加存儲。圖4為本發(fā)明實施例的移動終端系統(tǒng)制訂��、分發(fā)�、實施控制和證明模型安全策略證書的流程示意圖,如圖4所示�����,包括以下步驟:步驟1�、制訂安全策略證書,由服務(wù)提供商按照應(yīng)用服務(wù)的安全需求�,制訂安全策略,并使用移動可信模塊對證書進(jìn)行加密���、簽名保護(hù)�;步驟2�����、發(fā)布和更新策略證書,由服務(wù)提供商在應(yīng)用發(fā)布后�,發(fā)布或更新安全策略證書。移動終端獲取安全策略證書�����;
步驟3�����、實施策略控制��,移動終端在操作系統(tǒng)中按照安全策略證書中的安全策略要求進(jìn)行系統(tǒng)控制�����;步驟4���、安全策略證書遠(yuǎn)程證明��,移動終端系統(tǒng)向服務(wù)提供商發(fā)起服務(wù)請求時���,需要提供自己的安全策略證書,并通過移動可信模塊保護(hù)后進(jìn)行遠(yuǎn)程證明�����。服務(wù)器通過驗證安全策略證書來確認(rèn)移動終端的控制是否符合安全需要����,如果符合,則通過驗證并提供服務(wù)���;否則�,不予通過驗證�。此外如圖4所示,本發(fā)明實施例的移動終端系統(tǒng)還可以與服務(wù)第三方代理進(jìn)行制訂�����、分發(fā)����、實施控制和證明模型安全策略證書的控制,其包括步驟5和步驟6:步驟5��、第三方遠(yuǎn)程證明���,移動終端向服務(wù)第三方代理發(fā)起服務(wù)請求�����,提供自己的安全策略證書�����,并通過移動可信模塊保護(hù)后進(jìn)行遠(yuǎn)程證明����;步驟6、查詢策略證書�,服務(wù)第三方代理向服務(wù)提供商申請相應(yīng)的安全策略證書,在得到策略證書后�,通過與移動終端提交證明信息比較,驗證移動終端的控制是否符合安全需要��,如果符合�����,則通過驗證并提供服務(wù)���;否則�,不予通過驗證。圖5為本發(fā)明實施例的移動終端系統(tǒng)當(dāng)控制流模型中由于條件改變而引起的控制變化時進(jìn)行遠(yuǎn)程證明的流程示意圖�����,如圖5所示�����,控制流模型CFMAP在移動終端的操作系統(tǒng)的內(nèi)核中實現(xiàn)���。在應(yīng)用層實現(xiàn)證明代理Agent,并通過代理發(fā)起遠(yuǎn)程證明���。在服務(wù)器上實現(xiàn)驗證工具��。如圖5所示����,通過監(jiān)測變化并證明���,驗證了客戶端行為是否始終符合預(yù)期�����。本方法主要是在控制點監(jiān)測控制變化��,當(dāng)發(fā)現(xiàn)由于控制因素中的權(quán)能條件���、環(huán)境條件和約束條件的改變而引起的控制變化時�����,系統(tǒng)搜集當(dāng)前狀態(tài)���,按照證明要求生成證明信息,由移動可信模塊MTM保護(hù)后通過應(yīng)用代理Agent主動發(fā)起���,進(jìn)行遠(yuǎn)程證明����。圖6為本發(fā)明實施例的移動終端系統(tǒng)的控制流模型多次度量和遠(yuǎn)程證明的流程示意圖�,在操作系統(tǒng)內(nèi)核中實現(xiàn)控制流模型CFMAP,實現(xiàn)基于安全策略的連續(xù)控制�。在操作系統(tǒng)內(nèi)核中實現(xiàn)移動 可信模塊MTM,實現(xiàn)保存度量算法和保存度量結(jié)果的PCR寄存器��。在應(yīng)用層實現(xiàn)證明代理Agent�����,并通過代理發(fā)起遠(yuǎn)程證明。在服務(wù)器上實現(xiàn)驗證工具�。如圖6所示,體現(xiàn)了在控制流模型的多個控制點對相關(guān)的靜態(tài)屬性進(jìn)行度量和遠(yuǎn)程證明��,這些度量點與安全策略中要求的控制點一致��,實際度量點可以包括進(jìn)程啟動�����、加載�、休眠和停止等�����。如圖6所示�,體現(xiàn)了在控制流模型的約束條件發(fā)生時進(jìn)行度量和遠(yuǎn)程證明。這些約束關(guān)系包括:觸發(fā)���、依賴����、限制、合并等����。如圖6所示,體現(xiàn)對密碼服務(wù)部件的靜態(tài)屬性的度量和證明�,度量內(nèi)容包括驅(qū)動軟件完整性,軟件配置�,密碼服務(wù)能力等。進(jìn)一步�����,本發(fā)明實施例所述的移動終端系統(tǒng)���,還包括:多干系人證明協(xié)議模塊�����,用于控制多干系人證明協(xié)議�����。進(jìn)一步����,本發(fā)明實施例所述的移動終端系統(tǒng),所述多干系人證明協(xié)議支持如下證明方法:多個服務(wù)提供商服務(wù)器發(fā)起請求�,移動終端直接響應(yīng);或者由移動終端主動發(fā)起��,服務(wù)器提供商服務(wù)器響應(yīng)后���,再由服務(wù)器向移動終端發(fā)起證明請求����,移動終端再響應(yīng)并遠(yuǎn)程證明�����。所述多干系人證明協(xié)議是指該協(xié)議能夠支持多個服務(wù)提供商服務(wù)器發(fā)起�、移動終端響應(yīng)����;或者由移動終端主動發(fā)起、單獨服務(wù)器提供商服務(wù)器響應(yīng)后�����,再由服務(wù)器向移動終端發(fā)起證明請求,移動終端再響應(yīng)并遠(yuǎn)程證明���。在移動終端上���,要保存不同服務(wù)提供商的配置和IP地址等信息。在移動終端建立協(xié)議消息隊列���,保持與不同服務(wù)提供商之間的協(xié)議連接��。移動終端能支持同時對多個干系人發(fā)起請求��,也能支持同時響應(yīng)多個干系人發(fā)起的證明請求�。圖7為本發(fā)明實施例的移動終端系統(tǒng)的多干系人遠(yuǎn)程證明協(xié)議架構(gòu)的示意圖�,體現(xiàn)能夠支持多個服務(wù)提供商服務(wù)器發(fā)起、移動終端響應(yīng)��,也能由移動終端主動發(fā)起���、單獨服務(wù)器提供商服務(wù)器響應(yīng)的多干系人遠(yuǎn)程證明協(xié)議的連接架構(gòu)����。為了適應(yīng)移動終端計算資源有限���,網(wǎng)絡(luò)帶寬價格較高的特點���,該協(xié)議在協(xié)議交互上采用輕量級的“挑戰(zhàn)一應(yīng)答”的方式����。該協(xié)議通過“條件查詢”的證明方式�,減少遠(yuǎn)程證明的計算量和通信量。協(xié)議支持不同的服務(wù)提供商按照各自的證明需要發(fā)起遠(yuǎn)程證明要求��,移動終端能夠識別服務(wù)提供商的證明要求���,按照要求進(jìn)行相應(yīng)內(nèi)容的采集和度量��,并由混合證明模塊生成相應(yīng)的證明信息����,通過相應(yīng)協(xié)議返回服務(wù)提供商�����。通過這種條件查詢式的����,由遠(yuǎn)程提出證明要求、由終端響應(yīng)的方式可以減少遠(yuǎn)程證明的度量計算量和證明信息通信量�����,符合移動終端計算資源有限的特點�����。進(jìn)一步����,本發(fā)明實施例所述的移動終端系統(tǒng),還包括:硬件隔離架構(gòu)模塊����,將移動終端系統(tǒng)上分成安全域子系統(tǒng)和普通域子系統(tǒng);安全域子系統(tǒng)定義為高安全等級��,普通域子系統(tǒng)定義為低安全等級��;安全域子系統(tǒng)部署證明交互模塊���、移動可信模塊���、多干系人證明協(xié)議模塊�����、混合遠(yuǎn)程證明模塊����;普通域子系統(tǒng)部署移動終端的操作系統(tǒng)��;進(jìn)一步���,本發(fā)明實施例所述 的移動終端系統(tǒng)�,所述硬件隔離架構(gòu)模塊的安全域子系統(tǒng)單向訪問普通域子系統(tǒng)����。進(jìn)一步,本發(fā)明實施例所述的移動終端系統(tǒng)�,安全域子系統(tǒng)和普通域子系統(tǒng)采用分時機(jī)制運行,不能同時運行�����。進(jìn)一步����,本發(fā)明實施例所述的移動終端系統(tǒng),安全域子系統(tǒng)和普通域子系統(tǒng)之間共用存儲地址控制����。所述的隔離架構(gòu)是指通過硬件改進(jìn)使移動終端系統(tǒng)中的計算資源在計算時間、存儲空間等方面實現(xiàn)邏輯隔離�,將移動終端系統(tǒng)分成安全域子系統(tǒng)和普通域子系統(tǒng)。安全域子系統(tǒng)定義為高安全等級��,普通域子系統(tǒng)定義為低安全等級�。兩個子系統(tǒng)采用分時機(jī)制運行,不能同時運行�。兩個子系統(tǒng)間可以共用存儲地址控制,安全域子系統(tǒng)可以通過特殊的控制單元和方法單向訪問普通域子系統(tǒng)的存儲空間���。在移動終端系統(tǒng)的安全域中運行安全域子系統(tǒng)�����,在安全域的安全核內(nèi)實現(xiàn)遠(yuǎn)程證明機(jī)制的主要功能��,包括證明交互模塊����、移動可信模塊MTM�、應(yīng)用代理Agent����、混合遠(yuǎn)程證明模塊和遠(yuǎn)程證明協(xié)議等��,實現(xiàn)了對可信機(jī)制的安全防護(hù)���。普通域子系統(tǒng)為開放系統(tǒng)����,是遠(yuǎn)程證明的主要證明對象����。圖8為本發(fā)明實施例的移動終端系統(tǒng)的隔離架構(gòu)的示意圖,體現(xiàn)系統(tǒng)采用類似雙核系統(tǒng)的架構(gòu)����,通過類似ARM TrustZone技術(shù)的CPU的特權(quán)等級將系統(tǒng)分隔成安全域和普通域,分別運行安全域子系統(tǒng)和普通域子系統(tǒng)�。移動終端的操作系統(tǒng)運行在普通域子系統(tǒng)中,在其內(nèi)核中實現(xiàn)基于控制流模型CFMAP的控制流控制���。安全域子系統(tǒng)運行在安全域中��,采用閉源的安全系統(tǒng)�,并在其中實現(xiàn)遠(yuǎn)程證明機(jī)制的主要功能��,包括移動可信模塊MTM�、遠(yuǎn)程證明代理Agent和遠(yuǎn)程證明協(xié)議等,實現(xiàn)了對可信機(jī)制的安全防護(hù)���。安全域子系統(tǒng)上的程序能夠通過專門接口實現(xiàn)對普通域子系統(tǒng)的單向訪問����,實現(xiàn)證明信息的采集和度量�。安全域子系統(tǒng)上的應(yīng)用代理Agent進(jìn)行證明信息的搜集和封裝保護(hù),并發(fā)起與遠(yuǎn)端服務(wù)器的遠(yuǎn)程證明�����。通過本發(fā)明實施例所述的移動終端系統(tǒng)對移動終端實施控制流控制和混合方式的遠(yuǎn)程證明�,可以進(jìn)一步有效提高系統(tǒng)安全性和可信性。以上僅為本發(fā)明的優(yōu)選實施例�����,當(dāng)然��,本發(fā)明還可以有其他多種實施例���,在不背離本發(fā)明精神及其實質(zhì)的情況下����,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形,但這些·相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�����。
權(quán)利要求
1.一種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng)����,包括: 控制流控制內(nèi)核模塊,在移動終端的操作系統(tǒng)上實現(xiàn)控制流模型��,并且基于控制流模型和安全策略對移動終端系統(tǒng)中的主體屬性��、客體屬性�、權(quán)能條件、約束條件和環(huán)境條件進(jìn)行控制�; 混合遠(yuǎn)程證明模塊,同時支持基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法��,對系統(tǒng)中的主體屬性�����、客體屬性、權(quán)能條件���、約束條件和環(huán)境條件進(jìn)行遠(yuǎn)程驗證��; 證明交互模塊,將混合遠(yuǎn)程證明模塊采集的證明信息發(fā)送到服務(wù)器進(jìn)行驗證并且接收服務(wù)器的驗證結(jié)果信息����。
2.根據(jù)權(quán)利要求1所述的移動終端系統(tǒng),其特征在于�����,所述證明交互模塊通過在移動終端系統(tǒng)上實現(xiàn)應(yīng)用代理Agent���,來實現(xiàn)遠(yuǎn)程驗證�����。
3.根據(jù)權(quán)利要求1所述的移動終端系統(tǒng)�����,其特征在于���,所述混合遠(yuǎn)程證明模塊進(jìn)行遠(yuǎn)程驗證的判斷順序從先到后分別是:主體屬性���、權(quán)能條件、客體屬性�、環(huán)境條件、約束條件�。
4.根據(jù)權(quán)利要求1至3任意一項所述的移動終端系統(tǒng),其特征在于����,還包括: 移動可信模塊,通過預(yù)先設(shè)置的算法對用于遠(yuǎn)程驗證的證明信息實施封裝保護(hù)�。
5.根據(jù)權(quán)利要求4所述的移動終端系統(tǒng),其特征在于�,所述移動可信模塊的封裝保護(hù)方式包括以下任意一項:加密、雜湊和簽名��。
6.根據(jù)權(quán)利要求5所述的移動終端系統(tǒng)�,其特征在于,所述移動可信模塊的封裝保護(hù)方式是按照雜湊�����、加密、雜湊����、簽 名的順序逐層進(jìn)行。
7.根據(jù)權(quán)利要求4所述的移動終端系統(tǒng)��,其特征在于���,還包括: 多干系人證明協(xié)議模塊����,用于控制多干系人證明協(xié)議�����。
8.根據(jù)權(quán)利要求7所述的移動終端系統(tǒng)���,其特征在于,所述多干系人證明協(xié)議支持如下證明方法: 多個服務(wù)提供商服務(wù)器發(fā)起請求��,移動終端直接響應(yīng)���; 或者由移動終端主動發(fā)起�,服務(wù)器提供商服務(wù)器響應(yīng)后,再由服務(wù)器向移動終端發(fā)起證明請求��,移動終端再響應(yīng)并遠(yuǎn)程證明���。
9.根據(jù)權(quán)利要求7所述的移動終端系統(tǒng)��,其特征在于��,還包括: 硬件隔離架構(gòu)模塊����,將移動終端系統(tǒng)上分成安全域子系統(tǒng)和普通域子系統(tǒng)�����; 安全域子系統(tǒng)定義為高安全等級��,普通域子系統(tǒng)定義為低安全等級�����; 安全域子系統(tǒng)部署證明交互模塊�、移動可信模塊、多干系人證明協(xié)議模塊��、混合遠(yuǎn)程證明模塊; 普通域子系統(tǒng)部署移動終端的操作系統(tǒng)��。
10.根據(jù)權(quán)利要求9所述的移動終端系統(tǒng)�����,其特征在于����,所述硬件隔離架構(gòu)模塊的安全域子系統(tǒng)單向訪問普通域子系統(tǒng)。
11.根據(jù)權(quán)利要求10所述的移動終端系統(tǒng)�,其特征在于,安全域子系統(tǒng)和普通域子系統(tǒng)采用分時機(jī)制運行��,不能同時運行�。
12.根據(jù)權(quán)利要求11所述的移動終端系統(tǒng)�����,其特征在于�����,安全域子系統(tǒng)和普通域子系統(tǒng)之間共用存儲地址控制�����。
全文摘要
一種支持動態(tài)遠(yuǎn)程證明的移動終端系統(tǒng),包括控制流控制內(nèi)核模塊���,在移動終端的操作系統(tǒng)上實現(xiàn)控制流模型��,并且基于控制流模型和安全策略對移動終端系統(tǒng)中的主體屬性�����、客體屬性��、權(quán)能條件��、約束條件和環(huán)境條件進(jìn)行控制���;混合遠(yuǎn)程證明模塊,同時支持基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法�,對系統(tǒng)中的主體屬性、客體屬性���、權(quán)能條件�����、約束條件和環(huán)境條件進(jìn)行遠(yuǎn)程驗證����;證明交互模塊,將混合遠(yuǎn)程證明模塊采集的證明信息發(fā)送到服務(wù)器進(jìn)行驗證并且接收服務(wù)器的驗證結(jié)果信息�。本發(fā)明所述的移動終端系統(tǒng)能夠把基于模型行為的遠(yuǎn)程證明方法和基于多次度量的遠(yuǎn)程證明方法同時應(yīng)用到移動終端系統(tǒng)中,加強(qiáng)了移動終端系統(tǒng)的可信性和安全性���。
文檔編號H04L29/06GK103220300SQ20131015372
公開日2013年7月24日 申請日期2013年4月27日 優(yōu)先權(quán)日2012年12月5日
發(fā)明者胡事民, 江凌波, 湯茂杰, 馬超 申請人:清華大學(xué)