专利名称:一种基于安全服务的移动网络安全防护方法
技术领域:
本发明是一种在现有移动网络基础上构架的实现安全服务功能的体系及其实现 方法。该体系能有效的解决移动终端安全问题,为整个移动网络提供安全服务,可应用于移 动通信网,技术上属于移动网络安全的技术领域。
背景技术:
移动网络安全是技术含量高、关注度高的一个技术领域。它牵涉到移动终端的系 统运行、网络的构建、病毒的防范等多个环节。随着移动通信技术的发展,手机终端承载的 业务种类越来越多,移动网络安全也越来越受到人们的重视。迄今为止已有多种解决方法 被发明和投入使用。然而,目前的各种解决移动网络安全问题的方法主要是基于手机终端构建杀毒环 境,并没有从整个移动网络环境考虑。手机终端由于存储、运算、功耗等条件的限制,单一的 杀毒方式并不能很好的应用于移动网络,在应用中受到的很大的限制。本文中,移动终端(MT)是指用户手机终端;移动可信模块(MTM)是指基于可信计 算提供 安全功能的模块;安全服务提供者(SSP)是指构建在核心网中,提供安全服务功能 的部分;软件提供商(SWP)是指为用户提供操作系统和应用软件的公司。
发明内容
技术问题针对上述的现有解决移动网络安全问题方法的不足,本发明设计的目 标是从整个移动网络环境特点出发,设计一种基于安全服务的移动网络安全防护方法,该 方法适合移动网路的特点,在现有网路的基础上构建,实现方便,能有效的保护移动终端安 全,为用户提供高效的安全服务。技术方案本发明的一种基于安全服务的移动网络安全防护方法在现有移动网络 基础上增加了移动可信模块MTM、安全服务提供者SSP和软件提供商三个角色;移动可信模 块MTM与移动终端MT通过USB接口相连接,与移动终端一起构建安全可信环境;安全服务 提供者SSP通过控制移动终端网络的通断和校验终端完整性为终端安全提供支持;软件提 供商通过提供软件证书为软件运行时访问系统资源提供依据;该防护方法步骤具体如下整个体系在现有移动网络基础上构建。移动可信计算模块通过USB接口与移动终 端相连,通过可信启动与访问控制实现终端安全环境。移动网络安全服务器为整个网络提 供安全服务,通过网络安全协议控制移动终端的行为。安全软件提供商SWP为终端提供应 用软件,并对软件进行签名保证软件的安全。1)移动终端启动la.终端上电,从MTM中的可信启动代码开始启动,lb.可信启动代码校验系统初始化工作和操作系统装载程序,lc. MTM根据校验结果查找存储在MTM中的软件证书,如果正常,则跳转到下一步, 如果不正常,则提醒用户现有的系统存在安全隐患,并在接下来的使用中提供有限的功能,
Id.执行系统装载程序,并对操作系统内核进行完整性校验,Ie.寻找并校验软件证书,如果正常,则启动操作系统,如果不正常,提醒用户,并 在接下来的使用中提供有限的功能,If.操作系统校验系统启动后自动运行的进程,查找软件证书,如果正常,则允许执行,如果不正常,提醒用户并不允许此进程的执行;2)移动终端接入网络2a.移动终端启动后,生成一个完整性报告供接入认证调用,2b. MT向SSP提出接入请求,2c. SSP根据完整性报告验证终端完整性,如不完整,拒绝接入并发送反馈给终端, 如完整,则将接入请求转发给认证、授权、计费服务器AAA,2d. AAA认证MT,生成会话密钥,并将密钥包装成消息发送给SSP,2e. SSP发送包含密钥和认证信息的消息给MT,移动终端认证AAA,并核对会话密 钥,供下次会话时使用;3)移动终端下载软件3a. MT向SSP提出下载软件请求,3b. SSP判断MT是否有下载权限,如果没有,则发送拒绝下载消息给MT,3c.如果有下载权限,SSP转发MT的下载请求至相应的SWP,3d. SffP将下载的软件用自己的私钥签名,并将具有SWP签名的软件传送给SSP,并 附有与软件对应的软件证书,3e. SSP检查软件的SWP签名,校验软件数据,并用自己的私钥对软件进行签名,将 具有SSP签名的软件传送给MT,同时SSP更新这个终端的完整性报告,3f. SSP产生计费信息至AAA ;4)移动终端安装软件4a. MT运行安装程序,4b. MT检查安装程序的SSP签名,如签名不合法,不给予安装许可,如签名合法,则 允许安装, 4c. MT将软件对应的软件证书存储到MTM中;5)终端运行软件5a.执行应用程序,系统内核载入程序代码,5b.计算应用程序二进制代码的散列值,将其写入进程的描述符,5c.程序进程如果需要调用系统资源,先调用系统调用,再访问资源,5d.内核调用MTM的可信校验服务,5e. MTM对应存储的软件证书,决定其是否由访问资源的权限,并将结果返回给操 作系统,5f.操作系统根据结果控制软件进程访问资源;体系的基本工作过程是移动终端上电后从可信根启动,将可信链延伸至整个终 端系统,并生成一个完整性报告供接入网络时候调用;终端接入网络时候,SSP检查终端完 整性,进行接入认证;终端下载软件时候,SSP需要检查下载的资质;终端安装软件,需要检 查相关的SSP和SWP的签名证书;终端运行软件,需要对软件进行访问控制。
有益效果(1)安全防护体系从整个移动网络出发,由运营商提供统一的安全服务,将大部分安全问题交由运营商处理,一定程度上减轻了移动终端的负担,从整体上维 护系统安全;(2)基于可信计算构建终端系统平台,可信链的传递从根本上杜绝了病毒的 传播;(3)移动终端从可信模块中的可信根启动,将可信链传递给操作系统,保证了系统的 安全;(4)移动终端运行过程中,对线程实行基于角色的访问控制,有效保护系统安全的同 时,高效的实现了系统运行后的可信链传递;(5)USB接口的可信模块,方便的实现了与移 动终端的通信,同时可信模块的设计符合整个系统的需要;(6)在现有网络构架中添加安 全服务器这一角色,为终端用户提供安全服务,集中处理安全事宜;(7)安全协议的设计保 证各角色之间安全的传输消息。该体系在现有移动网络基础上构建,实现比较方便,只需在运营商网络中添加安 全服务提供者(SSP),在移动终端中添加移动可信模块(MTM)。体系从整体上为用户提供安 全服务,将访问控制与可信计算相结合,为终端构建了高效的可信环境,从根本上杜绝了病 毒的传播。该体系非常适合运营商应用运营商无需对现有网络设施进行大的改造,只需添 加安全服务器,提供可信模块,联合软件提供商为用户提供安全服务,既有利于控制病毒的 传播实现终端安全,也有利于维护软件提供商的利益,保护软件版权。
图1是移动网络安全防护体系结构抽象图;图2是可信启动代码的结构图;图3是移动终端可信启动过程图;图4是细粒度访问控制图;图5是角色的分层设计图;图6是移动终端软件实现结构图;图7是细粒度访问控制软件实现流程图;图8是终端完整性搜集模型图。
具体实施例方式移动网络安全防护体系结构移动网络安全防护体系的抽象结构如图1所示。与安全服务相关的主要包括四个 部分1)移动终端MT ;2)移动可信模块MTM ;3)安全服务提供者SSP ;4)安全软件提供商 SWP。移动终端MT 用户使用的手机,与无线接入点通过无线方式相连接,与移动可信 模块MTM通过USB接口相连接。有通话、数据接入、下载安装软件等能力。移动终端开机 后,通过可信模块可信启动检查系统的完整性,接入网络时验证完整性,通过与可信证书相 结合的访问控制来构建安全可信环境。移动可信模块MTM 实现可信计算功能的核心模块,通过USB接口与移动终端相连 接。内有随机数发生器、公钥算法RSA引擎、安全散列算法SHA-I引擎、可信启动代码段、存 储器这几个模块。为系统提供可信启动根,产生各种密钥生成和签名所需的随机数,生成相 关密钥,完成加解密操作,存储相关证书等功能。
安全服务提供者SSP 为网络中的用户提供安全服务,通过控制网络通断来监督 用户行为,防止病毒传播。保证用户下载软件的安全性,为移动终端安全环境的构建提供支 撑服务。软件提供商SWP 手机终端软件提供商,如Microsoft,Macfee等,是为移动终端提 供系统软件和应用软件者。安全软件提供商通过对软件的签名来证明软件的来源,通过提 供软件证书来帮助移动终端构建安全可信环境。首先需要定义用户完整性和软件的合法性用户完整性定义为移动终 端的硬件结构和操作系统没有被非法篡改,系统内安 装的软件都拥有SWP签名。不符合上述规定的都视为破坏了用户的完整性。终端软件的获 得有两个途径用户手机开户时由运营商提供的支持用户定制业务的软件以及用户通过合 法程序自行升级获得的软件。如果这些软件被破坏了,那么用户终端就不满足完整性要求。软件的合法性定义为终端下载的软件必须是经过SSP审核批准的,软件安装时 候必须有SWP和SSP的签名。一个合法的软件中应有身份和安全等属性。身份属性是SWP 给该软件签发的数字证书,安全属性则是该软件源码的摘要信息以及SWP对该摘要信息的 加密签名,还有软件访问资源权限的相关证书。在上述定义下,整个安全防护体系的运行过程如下(1)移动终端的MTM在手机启动时检查用户终端的完整性,在执行过程中检查进 程和线程的合法性,将不完整或不合法的安全事件形成报告发送给SSP ;(2) SSP通过预先设定的安全规则作出处理。如果出现软件不完整性问题,说明手 机软件遭受病毒攻击或人为删除,SSP将及时提醒终端恢复原来的安装;如果出现进程或 线程非法操作,也说明软件的进程或线程子程序被病毒修改,SSP及时通知移动终端,并恢 复原来的安装;(3)如果移动终端需要下载新的软件,将向SSP提出申请,SSP对其即将下载的软 件的合法性进行检验,检查SWP的资质后,通过控制网络通断达到控制移动终端下载行为 的目的;(4) SSP将所做的安全服务形成计费报告,通知运营商的认证、鉴权及计费(AAA) 中心,对移动终端进行计费。移动终端安全可信环境构建终端可信环境的构建主要分为系统启动和系统运行两个状态。系统上电后,首先从可信模块中的可信启动代码开始启动。可信启动代码的结构 如图2所示。系统初始化代码是平台相关的,不同的平台其初始化程序有所不同,而且一般 用特定平台的汇编语言实现。这部分的代码尽可能少,因为考虑到平台的移植性,尽可能短 的底层代码可以减少移植时的工作量。而后面的完整性校验代码一般具有通用性,一般使 用C语言实现。完整性校验代码将会对下面的代码段进行完整性校验,而这段代码实际上就是一 些高级的系统初始化工作和操作系统的装载程序,校验结果保存到MTM的平台配置寄存器 中,然后查找相关的证书,而如果系统正常,这个代码段的证书应该保存在MTM的存储器 中,接着进行证书的验证,并作相应的处理。同样,在这段代码以后还会有一个校验程序,负 责对操作系统的内核进行完整性校验,从而完成在系统启动过程中的可信链传递。移动终端的可信启动过程如图3所示。在前一个可信实体校验后一个实体的代码段时,它会将其散列值保存到特定的平 台配置寄存器中,然后寻找和校验相关的证书,如果证书不符,这时可以后两种处理方式。 (1)直接停止启动,提示用户现在的嵌入式系统可能已经被篡改或感染了病毒,等待用户联 系生产厂商解决问题;(2)继续启动,但是提示用户现在的系统有安全隐患,而在系统后续 的运行过程中,仅提供有限的功能。系统运行后,通过细粒度访问控制来实现可信链的高效传递。细粒度访问控制实 质上是一种基于角色的访问控制,这里的“角色”是操作系统和软件的“进程”。细粒度访问 控制原理如图4所示。在该设计中,每个进程都会有一个或多个证书,它们会在安装系统软 件时被保存在移动可信计算模块MTM的存储器中,而在某个进程的功能块需要验证成为某 个角色时,操作系统内核就会访问MTM,并提供应用软件二进制文件的散列值及角色信息, 由MTM在其内部验证功能块的可信性,进而给出验证的结果,返回给操作系统内核,然后内 核再进行相应的处理。这种验证方式的好处在于最大程度上保证了系统的灵活性,对于以 前的应用程序,开发商只需要申请相应的证书就可以在新的移动终端上运行;另一方面,整 个验证的过程都是在MTM内部完成的,这有利于将安全问题集中化,只要加强模块本身的 安全性就可以提高整个系统的安全性能。系统启动后,可信链传递到操作系统,操作系统是可以信任的对象,是安全的。系 统的安全问题实质上就是对资源的非法访问。把操作系统中的访问主体——进程分割成更 小的部分。这种分割是将进程按照其功能分成一个一个的功能块,比如进程需要访问网络, 那么这部分就可以被分割出来成为一个独立的功能块;如果进程要访问文件系统,那么这 部分也将会被独立对待。如果这些功能需要真正发生作用,那么必须要通过操作系统的访 问控制,也就是所谓的基于角色的访问控制。如果进程的功能块可以通过可信验证,那么它 就可以获得一个特定的“角色”,并获得访问特定系统资源的“权限”。同时,这种可信验证 是会话相关的,也就是说,如果下一次进程还要访问同样的系统资源,还要经过这样的可信 验证才行。对于角色则采用分层设计的方式,如图5所示。首先确定五类中层角色直接地址 访问者、文件系统访问者、进程间通信者、模块加载者、网络访问者。然后对这五类角色再进 行细分,比如文件系统访问者就可以细分成为超级块访问者、索引节点inode访问者和文 件访问者。同时,这五类角色还可以进行组合,成为更高一层的新的角色,而每一个角色都 具有读和写两个副本。对于角色的详细设计的目的就在于简化权限的分配,通过这样的分层设计,每底 层的角色都拥有对某个系统资源的访问权限(每一个角色都有读和写两个副本),而一个 高层的角色则拥有对一系列相关资源的访问权限。移动终端软件实现移动终端软件实现结构如图6所示。需要实现的部分主要是核心服务层和MTM驱 动程序。MTM驱动程序主要负责直接与移动可信模块进行通信,也就是通过终端的USB接 口与MTM的处理器进行交互,使用其提供的可信校验、加解密等功能。核心服务层实际上也是一个内核线程,所谓内核线程,实际上就是一直在内核态运行,常驻内存,完成指定工作的轻量级进程。由于不可能对MTM并行访问,所以核心服 务层主要负责对应用程序功能块或者其它内核线程发起的可信验证请求进行统一调度,同 时,它将MTM驱动程序所提供的许多底层操作进行封装再提供服务,也保证了系统的安全 性。软件流程如图7所示。首先,如果在系统中运行了一个应用程序,内核会首先为 引用程序分配内存空间并初始化,然后载入程序代码,这时,应该调用核心服务层的散列服 务计算应用程序二进制代码的散列值,而散列服务则会调用MTM驱动程序,调用芯片中的 SHA-I引擎,计算散列值,并将其返回,然后将该散列值写入进程的描述符里,并初始化进程 描述符的其他部分。然后进程正常执行,而如果进程需要调用系统资源,那么它首先会调用 系统调用,然后准备访问系统资源,这时内核就会将进程标示、应用程序二进制文件散列值 和需要访问的资源标示作为参数,调用核心服务层里的可信校验服务。可信校验服务访问 MTM驱动程序,MTM会根据进程标示,在自身存储器中查找相关证书,并与二进制文件的散 列值对照,然后比对是否具有访问特定系统资源的权限,并将结果返回。根据校验的结构, 内核会控制进程继续访问系统资源然后返回用户态,或者是直接返回用户态,并报错。移动终端完整性搜集方法终端开机后,对终端完整性进行搜集统计,终端完整性搜集工作由MTM完成。系统 上电后,随着可信链的传递,按照图8模型对完整性进行统计。在该模型中,硬件完整性是指开机后系统硬件的状态;操作系统完整性是指系统 内核的状态;应用软件完整性指系统内安装的软件状态;进程完整性指系统已运行进程的 状态。系统启动每一步的完整性状态都会报告到MTM中。系统启动完成后,生成一个完整性报告,并保存在MTM中供接入认证时候调用。SWP提供的软件证书结构移动终端下载软件时,SffP除了提供软件,还有一个与下载软件对应的软件证书。 终端安装软件时,软件证书也会存储到MTM中。软件在终端运行,需要访问系统资源,操作 系统就会查找MTM中的证书,决定改软件进程是否有访问资源的权限。软件证书的结构如下所示 软件证书■证书版本信息■证书序列号■证书使用的签名算法■证书发行者名称■证书有效期 在某某日期之前 在某某日期以后■证书对应软件的标示号■证书对应软件二进制代码的散列值■软件允许访问系统资源参数 网络设备访问 文件系统访问
内存访问 ......
■证书发行者SWP标识号■证书发行者SWP签名。该方法在现有移动网络基础上增加了移动可信模块MTM、安全服务提供者SSP和 软件提供商三个角色;移动可信模块MTM与移动终端MT通过USB接口相连接,与移动终端 一起构建安全可信环境;安全服务提供者SSP通过控制移动终端网络的通断和校验终端完 整性为终端安全提供支持;软件提供商通过提供软件证书为软件运行时访问系统资源提供 依据;该防护方法步骤具体如下移动终端可信启动流程为a.终端上电,从MTM中的可信启动代码开始启动;b.可信启动代码校验系统初始化工作和操作系统装载程序;c. MTM根据校验结果查找存储在MTM中的软件证书,如果正常,则跳转到下一步, 如果不正常,则提醒用户现有的系统存在安全隐患,并在接下来的使用中提供有限的功 能;d.执行系统装载程序,并对操作系统内核进行完整性校验;e.寻找并校验软件证书,如果正常,则启动操作系统,如果不正常,提醒用户,并在 接下来的使用中提供有限的功能;F操作系统校验系统启动后自动运行的进程,查找软件证书,如果正常,则允许执 行,如果不正常,提醒用户并不允许此进程的执行。移动终端接入网络流程为a.移动终端启动后,生成一个完整性报告供接入认证调用;b. MT向SSP提出接入请求;c. SSP根据完整性报告验证终端完整性,如不完整,拒绝接入并发送反馈给终端, 如完整,则将接入请求转发给认证、授权、计费服务器AAA ;d. AAA认证MT,生成会话密钥,并将密钥包装成消息发送给SSP ;e. SSP发送包含密钥和认证信息的消息给MT,移动终端认证AAA,并核对会话密 钥,供下次会话时使用。移动终端下载软件流程为a. MT向SSP提出下载软件请求;b. SSP判断MT是否有下载权限,如果没有,则发送拒绝下载消息给MT ;c.如果有下载权限,SSP转发MT的下载请求至相应的SWP ;d. SffP将下载的软件用自己的私钥签名,并将具有SWP签名的软件传送给SSP,并 附有与软件对应的软件证书;e. SSP检查软件的SWP签名,校验软件数据,并用自己的私钥对软件进行签名,将 具有SSP签名的软件传送给MT,同时SSP更新这个终端的完整性报告;f. SSP产生计费信息至AAA。移动终端安装软件流程为a. MT运行安装程序;
b. MT检查安装程序的SSP签名,如签名不合法,不给予安装许可,如签名合法,则 允许安装;C. MT将软件对应的软件证书存储到MTM中。移动终端 运行软件流程为a.执行应用程序,系统内核载入程序代码;b.计算应用程序二进制代码的散列值,将其写入进程的描述符;c.程序进程如果需要调用系统资源,先调用系统调用,再访问资源;d.内核调用MTM的可信校验服务;e. MTM对应存储的软件证书,决定其是否由访问资源的权限,并将结果返回给操作 系统;f.操作系统根据结果控制软件进程访问资源。
权利要求
一种基于安全服务的移动网络安全防护方法,其特征在于该方法在现有移动网络基础上增加了移动可信模块MTM、安全服务提供者SSP和软件提供商三个角色;移动可信模块MTM与移动终端MT通过USB接口相连接,与移动终端一起构建安全可信环境;安全服务提供者SSP通过控制移动终端网络的通断和校验终端完整性为终端安全提供支持;软件提供商通过提供软件证书为软件运行时访问系统资源提供依据;该防护方法步骤具体如下1)移动终端可信启动;2)移动终端接入网络;3)移动终端下载软件;4)移动终端安装软件;5)移动终端运行软件。
2.一种如权利要求1所述的一种基于安全服务的移动网络安全防护方法,其特征在于 所述的步骤1)移动终端可信启动流程为a)终端上电,从MTM中的可信启动代码开始启动;b)可信启动代码校验系统初始化工作和操作系统装载程序;c)MTM根据校验结果查找存储在MTM中的软件证书,如果正常,则跳转到下一步,如果 不正常,则提醒用户现有的系统存在安全隐患,并在接下来的使用中提供有限的功能;d)执行系统装载程序,并对操作系统内核进行完整性校验;e)寻找并校验软件证书,如果正常,则启动操作系统,如果不正常,提醒用户,并在接下 来的使用中提供有限的功能;f)操作系统校验系统启动后自动运行的进程,查找软件证书,如果正常,则允许执行, 如果不正常,提醒用户并不允许此进程的执行。
3.—种如权利要求1所述的一种基于安全服务的移动网络安全防护方法,其特征在于 所述的步骤2)移动终端接入网络流程为a)移动终端启动后,生成一个完整性报告供接入认证调用;b)MT向SSP提出接入请求;c)SSP根据完整性报告验证终端完整性,如不完整,拒绝接入并发送反馈给终端,如完 整,则将接入请求转发给认证、授权、计费服务器AAA ;d)AAA认证MT,生成会话密钥,并将密钥包装成消息发送给SSP ;e)SSP发送包含密钥和认证信息的消息给MT,移动终端认证AAA,并核对会话密钥,供 下次会话时使用。
4.一种如权利要求1所述的一种基于安全服务的移动网络安全防护方法,其特征在于 所述的步骤3)移动终端下载软件流程为a)MT向SSP提出下载软件请求;b)SSP判断MT是否有下载权限,如果没有,则发送拒绝下载消息给MT ;c)如果有下载权限,SSP转发MT的下载请求至相应的SWP;d)SffP将下载的软件用自己的私钥签名,并将具有SWP签名的软件传送给SSP,并附有 与软件对应的软件证书;e)SSP检查软件的SWP签名,校验软件数据,并用自己的私钥对软件进行签名,将具有 SSP签名的软件传送给MT,同时SSP更新这个终端的完整性报告;f) SSP产生计费信息至AAA。
5.一种如权利要求1所述的一种基于安全服务的移动网络安全防护方法,其特征在于 所述的步骤4)移动终端安装软件流程为a)MT运行安装程序;b)MT检查安装程序的SSP签名,如签名不合法,不给予安装许可,如签名合法,则允许 安装;c)MT将软件对应的软件证书存储到MTM中。
6.一种如权利要求1所述的一种基于安全服务的移动网络安全防护方法,其特征在于 所述的步骤5)移动终端运行软件流程为a)执行应用程序,系统内核载入程序代码;b)计算应用程序二进制代码的散列值,将其写入进程的描述符;c)程序进程如果需要调用系统资源,先调用系统调用,再访问资源;d)内核调用MTM的可信校验服务;e)MTM对应存储的软件证书,决定其是否由访问资源的权限,并将结果返回给操作系统;f)操作系统根据结果控制软件进程访问资源。
全文摘要
一种基于安全服务的移动网络安全防护体系包括移动终端MT,移动可信计算模块MTM,移动网络安全服务器SSP,安全软件提供商SWP。体系结构如图9所示。移动可信计算模块通过USB接口与移动终端相连,通过可信启动与访问控制实现终端安全环境。移动网络安全服务器为整个网络提供安全服务,通过网络安全协议控制移动终端的行为。安全软件提供商为终端提供应用软件,并对软件进行签名保证软件的安全。
文档编号G06F21/20GK101888623SQ20101017323
公开日2010年11月17日 申请日期2010年5月14日 优先权日2010年5月14日
发明者李涛, 胡爱群, 陈小兰, 骆伯萍 申请人:东南大学