移動終端安全防護設計

1、四川師范大學成都學院本科畢業(yè)設計目 錄前言31 移動終端的安全分析41.1 未來移動終端的安全要求41.2 未來移動終端面臨的安全威脅42 移動終端安全防護的背景和意義52.1 移動終端的安全威脅與策略52.1.1移動終端的安全威脅與隱患52.1.2 移動終端的安全策略72.1.3 研究現(xiàn)狀和發(fā)展趨勢92.1.4 研究工作122.2 移動終端的發(fā)展133 可信計算理論研究143.1 可信計算143.1.1 可信計算發(fā)展歷程143.1.2 可信計算工作原理153.2 可信移動平臺體系結構163.2.1 可信移動平臺硬件結構163.2.2 可信平臺模塊TPM183.2.3 可信軟件棧TSS223.

2、3 可信移動平臺的安全特性233.3.1 完整性檢驗243.3.2 安全存儲273.3.3 域隔離與訪問控制293.4 小結304 完整信任鏈模型的研究與設計314.1 信任鏈結構研究314.1.1 信任根314.1.2 信任鏈傳遞機制334.2 信任鏈傳遞基本模型354.2.1 TCG方案354.2.2 其它方案364.2.3 信任鏈模型存在的問題384.3 移動終端完整信任鏈設計394.3.1 安全移動終端系統(tǒng)架構394.3.2 靜態(tài)的信任傳遞過程414.3.3 動態(tài)的信任機制434.4 小結45結論45附錄1：攻讀學位期間發(fā)表的論文48附錄2：攻讀學位期間參與的科研項目49參考文獻：50

3、移動終端安全防護設計前言 移動終端是用戶接入移動網(wǎng)絡的接入點設備，伴隨著移動終端的通信速率和功能不斷發(fā)展，移動終端也成為用戶信息處理和存儲的節(jié)點，各種重要數(shù)據(jù)將在移動終端上存儲和處理。因此，移動終端上的各種數(shù)據(jù)信息必將成為攻擊者的新目標，其目的是獲得非法的利益或非授權的服務，而移動終端的信息安全將涉及到用戶隱私，數(shù)宇內(nèi)容安全，支付安全等方面。移動終端的安全問題涉及到移動網(wǎng)絡，移動終端和用戶等方面的安全：首先，移動網(wǎng)絡安全對移動終端安全的影響。體現(xiàn)在兩個方面：一方面是移動網(wǎng)絡自身提供的安全機制存在漏洞，就會給其上的實體安全帶來威脅。例如在GSM網(wǎng)絡中由于缺乏雙向認證機制，存在假冒基站攻擊；另一方

4、面是未來網(wǎng)絡是以IP技術為基礎，網(wǎng)絡的開放性。高帶寬性使得在計算機網(wǎng)絡上出現(xiàn)的各種安全威脅在移動終端上都可能再現(xiàn)。第二，移動終端自身的安全問題。移動終端存和計算能力越來越強，其硬件平臺和軟件平臺正向幾個主要的芯片廠商操作系統(tǒng)集中，對移動終端的開發(fā)技術要求越來越低，更為重要的是移動終端在設計時對安全的考慮也十分有限。這些因素給移動終端的安全都帶來了潛在的安全威脅。第三，用戶對移動終端的安全影響體現(xiàn)在移動終端的丟失、簡單的用戶口令保護等方面。終上所述，全面解決移動終端安全需要在系統(tǒng)的架構安全體系上，全國采用多種安全機制實現(xiàn)各種安全目標。目前針對移動終端的病毒已經(jīng)出現(xiàn)，國內(nèi)外的殺毒廠商已經(jīng)提供了相應

5、的殺毒軟件產(chǎn)品。但這些病毒僅是對移動終端攻擊的開始，在智能終端上將會出現(xiàn)更多的攻擊。因此，安全性已經(jīng)成為移動終端的重要特性。剛剛發(fā)布的iPhone非常關注安全問題，采用了Mac OS操作系統(tǒng)，不向第三方提供開發(fā)工具等，但還是很快就出現(xiàn)了針對iPhone的攻擊，使得iPhone只能播放音樂?？偨Y目前移動終端的安全問題，最主要的是移動終端缺乏安全開放的系統(tǒng)架構。同時，對安全問題、安全機制的研究和應用還十分匱乏。因此，本文在全面分析安全問題的基礎上，從系統(tǒng)的角度出發(fā)，采用基于分割控制，可信認證，專用處理的設計思想，提供了一種開放的可信移動終端的設計方案，并采用多種安全防護機制增強終端系統(tǒng)安全性。1

6、移動終端的安全分析1.1 未來移動終端的安全要求 融合性、開放性、高帶寬性、多媒體性、服務應用性成為未來移動終端設備發(fā)展的趨勢，這對移動終端的安全性也提出了更高的要求。l 融合性是移動終端可以在不同的網(wǎng)絡上接入服務，移動終端將面對不同的網(wǎng)絡安全問題。如GSM的偽基站、Wi-Fi的接入問題、Bluetooth(藍牙)的安全漏洞等。l 開放性體現(xiàn)在移動終端的硬件平臺和軟件平臺上，硬件芯片的提供趨向于幾個主要的廠商：Symbian、Linux、Palm、Windows Mobil成為主流的移動終端操作系統(tǒng)，Java也成為移動終端應用的重要環(huán)境。l 高帶寬性體現(xiàn)在未來移動網(wǎng)絡的數(shù)據(jù)傳輸能力不斷增強，用

7、戶可以獲得100Mbs的下行傳輸建率。因特網(wǎng)上的Web瀏覽，F(xiàn)TP，Email等將可以在移動終端上流暢的使用。因特網(wǎng)上的安全問題也將在移動終端上再現(xiàn)。l 多媒體性是移動終端支持多種數(shù)字媒體格式和媒體應用，數(shù)字內(nèi)容產(chǎn)品的版權保護問題日益突出，同時各種媒體格式和媒體應用軟件存在的潛在漏洞也威脅到移動終端的安全。l 服務應用性是移動終端提供了更多便利用戶的服務應用，如位置應用，移動商務應用，Email，即時聊天等。移動商務應用包括了目前最新發(fā)展的移動支付（手機錢包），手機銀行，手機股市等應用。這些應用涉及用戶的隱私和重要利益。綜上所述，我們對未來移動終端提出的安全要求包括：² 認證用戶與終

8、端的互認證，終端的接入互認證，終端與應用服務器的互認證，硬件平臺與軟件平臺的互認證，授權許可的認證等。² 完整檢測對系統(tǒng)軟件和應用軟件的完整性檢測。² 機智性通信或存儲數(shù)據(jù)的機密性。² 內(nèi)容與行為檢測對各種數(shù)據(jù)、程序的數(shù)據(jù)內(nèi)容和執(zhí)行中的狀態(tài)等進行檢測。² 可信的開放系統(tǒng)框架建立一個安全的可信的開放系統(tǒng)框架。1.2 未來移動終端面臨的安全威脅在未來移動終端上存在多種潛在的安全威脅，具體如下：（1） 病毒。病毒在現(xiàn)有的手機中表現(xiàn)為鍵盤鎖住，刪除信息，顯示信息，自動撥打電話等。主要通過手機自身的漏洞，程序下載，操作系統(tǒng)漏洞，MMS，Bluetooth等途徑傳播

9、。而未來移動終端也面臨來自因特網(wǎng)上的各種惡意病毒的攻擊，正如現(xiàn)在的因特網(wǎng)上計算機病毒的危害，終端上的信息和設備資源的安全性受到嚴重的威脅。（2） 蠕蟲、木馬。各種蠕蟲、木馬會在未來移動終端間利用各種數(shù)據(jù)服務，進行自身的復制、傳播，并可能控制，竊取終端上的信息資源。（3） 竊聽。在開放的空間中，在無線信道傳輸?shù)臄?shù)據(jù)被各種監(jiān)聽設備捕獲。伴隨病毒、蠕蟲、木馬等惡意程序的泛濫，通過在終端上執(zhí)行惡意程序，對通信內(nèi)容進行竊聽的可能性越來越大。在未來網(wǎng)絡中通過數(shù)據(jù)信道傳輸監(jiān)聽信息的隱蔽性將提高。（4） 拒絕服務攻擊。未來的移動終端同服務器，路由器，無線接入點等一樣面臨拒絕服務攻擊，終端資源被大量占用，無法正

10、常服務。（5） 漏洞。開放的操作系統(tǒng)，各種應用服務和各種媒體編碼器在設計和實現(xiàn)都可能存在潛在的安全漏洞，使攻擊和傳播惡意代碼成為可能。（6） 重要數(shù)據(jù)的泄漏。終端設備的丟失，終端中的重要信息存在泄漏的可能，數(shù)據(jù)恢復技術使得設備上存儲的數(shù)據(jù)，甚至已經(jīng)刪除的數(shù)據(jù)都可能被恢復。各種硬件攻擊可以獲得認證密鑰等重要數(shù)據(jù)。（7） 信息內(nèi)容威脅。未來移動網(wǎng)絡終端的性能比現(xiàn)有的移動終端增強很多，信息內(nèi)容不斷豐富，其非法信息傳播的泛濫會給移動網(wǎng)絡，移動終端的性能帶來影響，并對社會造成危害。（8） 數(shù)字內(nèi)容版權。數(shù)字內(nèi)容產(chǎn)品易于復制和傳播的特點，給數(shù)字內(nèi)容產(chǎn)業(yè)帶來了巨大的威脅，如果不能很好的解決數(shù)字內(nèi)容產(chǎn)品的版權

11、保護問題，將嚴重影響多媒體應用的發(fā)展。2 移動終端安全防護的背景和意義2.1 移動終端的安全威脅與策略2.1.1移動終端的安全威脅與隱患移動通信系統(tǒng)經(jīng)歷了第一代(1G)、第二代(2G)和第三代(3G)的發(fā)展，目前，除第一代模擬通信系統(tǒng)停止使用之外，還存在著2G、25G、275G、3G多系統(tǒng)共存的局面。過去，由于各種不同規(guī)格、封閉的網(wǎng)絡環(huán)境常常使惡意軟件無從下手，因此安全問題較少。隨著移動終端功能的同益強大以及無線因特網(wǎng)的引入，各種移動終端特別是智能終端已經(jīng)成為移動終端市場發(fā)展最快的領域，一部智能終端相當于一臺移動計算機，因此，計算機所面臨的信息安全威脅對于智能終端同樣存在。圖1.1 手機病毒主

12、要分類圖智能終端流行的同時也給病毒的滋生和肆虐創(chuàng)造了便利條件。2001年，世界上第一個手機病毒“VBSTimofonica”在西班牙出現(xiàn)，手機病毒便潛入移動通信領域。2011年2月，從網(wǎng)秦布的手機安全市場報告來看，截止今年2月份，網(wǎng)秦“云安全”數(shù)據(jù)分析中心截獲手機病毒主要分類如圖11所示，累計截獲手機病毒數(shù)量已達2857個7。功能強大的移動終端已具備了與計算機幾乎同樣的功能，紅外、藍牙、Wi-Fi、GPRS等無線技術為病毒傳播提供了快捷方式；短信、彩信、Email、WAP等各類應用都可能成為病毒的載體；移動終端操作系統(tǒng)越來越復雜、存儲卡的應用及容量的不斷增大為病毒提供了生存空間。移動終端病毒以

13、前大多通過藍牙方式傳播，但是現(xiàn)在短信服務(SMS)、多媒體信息服務(MMS)以及WWWWAP下載也成為傳播的新方式，各種傳播途徑如圖12所示7。圖1.2 手機病毒傳播途徑總之，在目前多種制式、多種系統(tǒng)共存的局面下，移動終端存在的安全威脅和隱患主要表現(xiàn)為8-15：l 移動終端一旦被盜或丟失，別人容易竊取用戶重要信息，享用網(wǎng)絡資源或傳播違禁資料等。l 移動操作系統(tǒng)本身存在著漏洞，加上病毒的肆虐，信息內(nèi)容被竊取、篡改、插入和刪除，視頻業(yè)務被監(jiān)視或篡改圖像內(nèi)容等，甚至通過濫發(fā)垃圾短信、移動郵件等，導致終端無法J下常使用。l 多媒體應用的增加，各種無線業(yè)務并不能提供安全可信的下載服務，一旦遭到木馬的感染

14、，用戶的信息以及財產(chǎn)安全將受到威脅。l 移動終端逐漸成為黑客們攻擊的新目標，被黑客入侵，竊聽用戶信息，盜取用戶密碼、口令等敏感數(shù)據(jù)，使用戶遭受經(jīng)濟損失。l 移動終端不僅危害到用戶自身的安全也可以作為新的工具，發(fā)起經(jīng)由核心網(wǎng)進入業(yè)務系統(tǒng)的攻擊，增加移動帶寬的消耗甚至可能導致整個通信系統(tǒng)癱瘓。2.1.2 移動終端的安全策略隨著移動終端計算能力和復雜性的日益提高，未來幾年移動終端病毒威脅將會成為一個嚴重的問題。傳統(tǒng)的網(wǎng)絡安全威脅已有成熟的安全策略如表11所示。保證移動終端的安全可信需要有安全、開放的可信系統(tǒng)架構，從基本框架開始對安全目標進行全面的支持，從系統(tǒng)的角度出發(fā)，綜合采用多種安全機制，在設計上

15、，將安全作為系統(tǒng)的一個基本組成部分，構建一個安全、可靠的可信移動終端系統(tǒng)。其設計要求在不影響移動終端性能的前提下，對認證、完整性、機密性和可檢測等安全目標進行綜合考慮。表1.1 安全威脅與安全策略17安全威脅安全策略實體認證數(shù)據(jù)源認證訪問控制加密完全性校驗新鮮性校驗不可否認無線/有線鏈路威脅竊聽、截獲篡改、刪插重放網(wǎng)絡實體威脅偽裝非授權使用網(wǎng)絡阻塞用戶抵賴運營商欺詐終端威脅竊取終端濫用終端病毒、木馬針對移動終端面臨的安全威脅和隱患，從安全、可靠的角度出發(fā)，對移動終端的安全保護應提供的主要安全機制如下16，17：（1）身份認證與權限鑒別用戶身份認證不再依賴操作系統(tǒng)，并且用戶身份信息的假冒更加困難

16、，不僅包括用戶與平臺間的相互認證，而且平臺內(nèi)部各部件之間也存在嚴密的相互認證。平臺還能夠對用戶身份進行很好的鑒別，能夠準確區(qū)分終端的普通使用者和終端的主人，然后根據(jù)用戶不同的權限分別提供不同的操作以及對資源的訪問。（2）平臺的完整性移動平臺上的重要組件具有抵抗攻擊或篡改的能力，以提升移動平臺自身的安全防護的能力，不僅對終端關鍵器件的完整性、可靠性進行檢測，而且對操作系統(tǒng)、系統(tǒng)軟件、應用程序等終端關鍵組件進行一致性檢驗，確保系統(tǒng)參數(shù)以及重要數(shù)據(jù)的完整性。（3）存儲的機密性移動終端存儲區(qū)中的數(shù)據(jù)能夠進行加密處理，數(shù)據(jù)存儲的安全性取決于加密算法所使用密鑰的安全性。能夠對移動平臺上的各類密鑰，證書提供

17、著實有效的安全管理，確保存儲資料的安全性，密鑰應當存儲在非法用戶無法訪問，并難以獲取的安全載體上，應提供措施保證系統(tǒng)參數(shù)、用戶數(shù)據(jù)和證書的完整性、機密性。(4) IO控制與安全審計移動終端首先具有鑒別和認證能力，確保數(shù)據(jù)來自合法的IP地址和端口，保證安全地接入各類網(wǎng)絡。在實現(xiàn)通信通道安全的基礎上，保證無線業(yè)務的安全和傳遞數(shù)據(jù)的機密性和完整性，防治業(yè)務的非法使用，防止信令竊取和仿冒。對用戶的活動和涉及移動終端安全的操作做完整性記錄及審核，提供可集中處理審計日志的數(shù)據(jù)形式，對用戶的各種活動進行審計跟蹤。移動終端智能化越高，面對的威脅就越大，高智能化的移動終端越來越成為病毒攻擊的對象，保障移動終端的

18、安全可信需要綜合采用一系列安全策略。根據(jù)國外調(diào)研公司的資料，預計2011年，全球移動終端安全市場產(chǎn)業(yè)鏈價值將達到50億美元，因此，研究與設計保障移動終端的安全有著廣闊的前景。2.1.3 研究現(xiàn)狀和發(fā)展趨勢 傳統(tǒng)安全技術當前信息安全領域為了抵御各種安全威脅通常采用殺毒技術，防病毒技術以及入侵檢測技術等，被人們稱之為傳統(tǒng)的老三樣，即“砌高墻、堵漏洞、防外攻”，它們都屬于被動的防御技術。針對移動終端日益增多的安全問題，目前，很多PC殺毒軟件商紛紛轉入移動終端領域，提供了類似PC的保護措施，普遍采用殺毒軟件、防火墻等。目前主要的解決方案有：AVG Mobile Security，ESET

19、 Mobile Security，Bull Guard Mobile Security, McAfee Mobile Security, LookoutMobile Security，F(xiàn)Secure Mobile Security，Norton Smart phone Security等，以及國內(nèi)的網(wǎng)秦，360手機衛(wèi)士，江民，瑞星，金山等。之所以被稱為被動防御，因為它們只能防范已知病毒的攻擊，對未知攻擊無能為力。以防病毒技術為例，防病毒技術主要依賴特征碼的識別技術，采集已知病毒樣本，抽取特征代碼，將特征碼納入病毒數(shù)據(jù)庫，檢測文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼，作為是否感染病毒的依據(jù)。雖然

20、能夠快速準確檢測，識別率高，但無法有效遏制新病毒的蔓延，永遠滯后新病毒的產(chǎn)生，而且病毒庫的體積也會越來越大。類似的原因也會導致防火墻越砌越高，入侵檢測越來越復雜。針對移動終端平臺，資源、功耗受限的情況下，這些安全保護措施已經(jīng)難以從根本上解決問題。歷史證明，一種新技術的誕生，舊的技術不會馬上退出歷史舞臺，新技術往往需要通過時間與實踐的檢驗才能被人們廣泛的認可并接受。 可信計算技術可信計算技術是近年來出現(xiàn)的一種新的信息系統(tǒng)安全技術，經(jīng)歷了從提出到發(fā)展壯大和日趨完善的過程。由于計算機體系結構漏洞的存在，而采用傳統(tǒng)的安全技術導致系統(tǒng)更加復雜化，并且難以從根本上解決日益增多的安全問題，因此

21、，從計算機的底層出發(fā)，成為尋求解決計算機安全問題的一條重要技術路線?？尚庞嬎慵夹g為解決信息安全問題提供了新思路，通過與傳統(tǒng)安全技術的比較，本論文采用可信計算這一新的方案來解決移動終端面臨的安全問題，與傳統(tǒng)技術相比可信計算技術的主要特點如表12所示。表1.2 兩種技術的比較特點缺點防御方式安全性體系結構傳統(tǒng)安全技術安全取決于軟件，病毒庫的更新滯后性，更新病毒庫越來越大被動較高純軟件可信計算技術安全取決于硬件及軟件的安全性能添加安全芯片帶來的功耗增加和體積增大主動高硬件+軟件1995年提出了可信計算(Dependable Computing)的概念，主要通過從PC的底層出發(fā)來增強計算機系統(tǒng)的安全性

22、17。1999年，IBM，HP,Intel和微軟等著名IT企業(yè)成立了TCPA(Trusted Computing Platform Alliance)，發(fā)起了采用可信計算技術來實現(xiàn)計算終端的安全，不僅包括終端平臺的可信，而且還可以將信任延伸至服務器和網(wǎng)絡中17。2000年，全球第一個可信計算安全芯片TPM(Trusted Platform Module)研制成功，IBM于2002年底成功研制出具有可信功能的便攜式計算機，用戶只有通過嚴格的身份認證才可以解密文件，從而能夠實現(xiàn)對數(shù)據(jù)的安全存儲等可信功能。2003年TCPA更名為TCG(Trusted Computing Group)，TCG修訂并

23、擴充了可信計算的相關技術標準，并在移動終端等平臺上進行推廣，主要目的是增強終端可信的功能，并為用戶提供更加安全的計算環(huán)境20。可信計算發(fā)展至今，世界范圍內(nèi)許多大學、研究機構和相關企業(yè)從事這方面的研究，已經(jīng)取得了一系列的成果。我國雖然在可信計算的研究方面起步稍晚，但是發(fā)展比較迅速，也取得了許多可喜的成績。2005年1月，中國的可信計算組織，即國家安全標準委員會WGl工作組正式成立，開始致力于中國可信計算的研究19。2005年4月，聯(lián)想公司自主研發(fā)的安全芯片“恒智"已經(jīng)公布。此外，同方、方正、浪潮等公司也紛紛加入中國可信計算陣營，并開始推出自己的安全芯片和可信計算機22。2007年我國制

24、定了具有自主知識產(chǎn)權的TCM(Trusted Cryptography Module)相關標準一一可信計算密碼支撐平臺技術規(guī)范，以TCG規(guī)范為技術基礎，在算法、協(xié)議、密鑰體系方面采用了自主創(chuàng)新機制，為實現(xiàn)計算平臺安全、可控的目標，奠定了基礎18。2008年4月，聯(lián)想、方正、同方、長城都推出了自主研發(fā)的可信計算機，產(chǎn)品包括臺式計算機、筆記本、服務器。2008年成為自主可信計算產(chǎn)品推廣元年，現(xiàn)已經(jīng)成功應用于金融、政府、公共事業(yè)、郵電、教育、制造等部門，特別在航天信息系統(tǒng)安全、銀聯(lián)電子支付等應用領域，嵌入TCM的PC產(chǎn)品起到了重大作用1191。截止目前，中國可信計算涉及芯片、PC系統(tǒng)等眾多領域，己形

25、成了初具規(guī)模的產(chǎn)業(yè)鏈。 可信移動平臺的發(fā)展趨勢可信計算從首次提出到現(xiàn)在，已有數(shù)十年的歷史，經(jīng)歷了不同的發(fā)展階段，研究的內(nèi)容和重點也在不斷地演變。2004年，為實現(xiàn)安全的移動計算環(huán)境，TCG制定了可信移動平臺TMP(Trusted Mobile Platform)的硬件體系、軟件體系和協(xié)議三個技術標準草案2-4。2005年，TCG成立移動事業(yè)部MPWG(Mobile Phone Working Group)，正式展開針對移動設備安全問題的研究20。2006年1月，在歐洲啟動了名為“開放式可信計算”的研究計劃，涉及移動終端等眾多領域，已有23個科研機構和工業(yè)組織參與，到2007年，全

26、世界有了105個成員，包括了幾乎所有IT業(yè)的巨頭22。2007年6月TCG頒布了可信移動平臺TMP的規(guī)范，主要目的是為適應移動設備的特點，在移動平臺(手機，PDA等)上構建可信技術構架，為高端的移動設備提供安全保證33。圖1.3 TCG遠景框架TCG提供了開放的可信計算標準，使得不同平臺和地域的計算環(huán)境更加安全?；诳尚庞嬎愕幕A架構，為關鍵業(yè)務的數(shù)據(jù)和系統(tǒng)，安全認證以及建立嚴格的機器身份和網(wǎng)絡身份提供強有力的保護。從TCG的遠景框架圖13來看20，它的目標應用更加廣泛，包括PC、服務器、手持設備等硬件平臺；存儲設備、輸入設備、認證設備等外設；操作系統(tǒng)、WEB服務、應用程序等軟件層次。盡管TC

27、G是一個由成員所驅動的工作組，已經(jīng)推廣到移動設備、外設、存儲和嵌入式設備等相關領域。目前已經(jīng)公布了一系列基于TCG技術的應用程序開發(fā)的軟件接口規(guī)范，主要涵蓋保護網(wǎng)絡不受未授權用戶攻擊的端點完整性保護，移動終端相關安全和存儲安全等。可信計算從硬件到軟件，從PC到服務器，從應用系統(tǒng)到基礎軟件，從移動設備到網(wǎng)絡，可信計算已經(jīng)成為了全球計算機安全技術的發(fā)展趨勢。2.1.4 研究工作本論文的主要研究內(nèi)容有：(1)分析目前移動通信系統(tǒng)2G25G、以及3G系統(tǒng)中移動終端所面臨的安全威脅和隱患，針對現(xiàn)有的移動終端安全保護方案不能滿足下一代無線網(wǎng)絡(4G)需求的問題，制定適用于4G的安全保護策略，解決傳統(tǒng)的保護

28、方案中存在的諸多缺陷。(2)深入研究可信計算理論，重點探究如何將可信計算技術引入移動終端，利用可信計算的思想來保障移動終端在用戶域的安全，解決移動終端面臨的安全威脅和隱患，并且能夠較好地適用于下一代無線網(wǎng)絡。(3)根據(jù)TCG制定的可信移動平臺的技術標準，結合當前主流智能終端的硬件架構，針對移動終端特有韻屬性與應用需求，設計以智能終端處理器為基礎的可信移動平臺構建方案。(4)分析現(xiàn)有的信任傳遞模型，針對現(xiàn)有方案中存在的不足進行改進，提出適用于移動平臺的信任傳遞方案，最終采用實驗對本文方案進行驗證分析。2.2 移動終端的發(fā)展伴隨著無線通信業(yè)務和計算機技術的快速發(fā)展，在移動終端上實現(xiàn)各種無線應用已經(jīng)

29、成為下一代移動通信網(wǎng)絡(Next Generation Mobile Network，NGMN)發(fā)展的主要趨勢。據(jù)統(tǒng)計，截止2009年12月，全球移動用戶數(shù)量已突破50億，移動網(wǎng)絡的數(shù)據(jù)流量已超過語音呼叫的數(shù)據(jù)流量，在國內(nèi)移動用戶已達738億，其中3G用戶已經(jīng)突破5000萬。然而，隨著移動用戶數(shù)量的激增，移動終端業(yè)務的飛速發(fā)展，其面臨的安全問題也同益凸顯，由此造成的經(jīng)濟損失不可估量，因此保護移動終端的安全性具有非常重要的現(xiàn)實意義。無線通信業(yè)務快速發(fā)展的需求促使移動終端的計算能力和存儲資源不斷增強，推動了移動終端平臺向更小、更輕，而且更加智能化的方向發(fā)展?，F(xiàn)有的移動終端本質(zhì)上已經(jīng)成為一個“微型計

30、算機”1，其提供的服務功能和承載的業(yè)務種類也越來越多。隨著移動終端的PC化和互聯(lián)網(wǎng)的移動化，移動終端正逐步取代PC成為人機接口的主要設備，在移動終端上的各類應用也越來越涉及到商業(yè)或個人等重要、敏感信息。移動平臺的開放性和靈活性以及各種無線應用的問世是手機等移動設備得以普及的重要因素，但同時也帶來了極大的安全隱患?，F(xiàn)有移動終端的操作系統(tǒng)并不安全，存在著許多漏洞并且容易被病毒入侵，攻擊者騙取合法用戶以截獲用戶的個人信息和敏感數(shù)據(jù)，移動終端的丟失或被竊也容易造成機密信息泄漏，特別是移動電子商務、電子政務、無線視頻會議等重要業(yè)務的出現(xiàn)，一旦用戶信息泄漏會造成不可估量的損失。這些安全問題已經(jīng)廣泛存在于目

31、前的2G25G系統(tǒng)中，雖然3GPP提出了很多措施來保障3G系統(tǒng)，但是用戶身份的認證仍存在一定缺陷，容易造成攻擊者對用戶的追蹤和偽基站的欺騙，所以現(xiàn)有的3G系統(tǒng)還沒有達到期望的安全目標。從移動終端面臨的威脅及安全需求分析，現(xiàn)有的用戶安全防護措施，不能滿足下一代移動網(wǎng)絡(4G)的安全需求。以數(shù)字化、網(wǎng)絡化和信息化為主要特征的信息時代，信息安全問題已備受人們的關注?？尚庞嬎闶悄壳靶畔踩I域研究的熱點，以安全硬件和安全操作系統(tǒng)實現(xiàn)一個可信的平臺，用以保護計算終端的安全。移動終端作為接入移動網(wǎng)絡和執(zhí)行各類應用的重要設備其安全問題不容忽視。為解決移動終端的安全問題，2004年，可信計算組織制定了可信移動

32、平臺的相關技術標準草案2-6。目前，可信計算在PC上的實施帶來諸多不便，在PC平臺上可信計算技術推廣受阻的情況下，可信移動平臺很可能是可信計算實際應用方面的突破點，典型的使用案例包括設備認證、數(shù)字版權保護DRM(Digital Rights Management)、SIMLock及設備個人化、安全軟件下載、移動票據(jù)、移動支付等。在4G無線網(wǎng)絡安全體系下，將可信計算的思想引入，設計適用于下一代無線網(wǎng)絡的移動終端，來強化用戶域的安全，具有極大的前瞻性。因此，利用可信計算技術保護移動終端安全，構建可信移動平臺具有重大的意義，可信移動平臺也將會在下一代無線網(wǎng)絡中發(fā)揮重要作用。3 可信計算理論研究3.1

33、 可信計算3.1.1 可信計算發(fā)展歷程在可信計算的形成過程中，經(jīng)歷了早期的容錯計算、故障檢測、冗余備份技術到今天日臻完善的TCG可信計算技術，已有數(shù)十年的歷史21。20世紀30年代Babbage的論文“計算機器"中，最早提出可信計算一詞。由于20世紀中期出現(xiàn)的第一代電子計算機其中由不可靠的部件構建而成，為保證系統(tǒng)的可靠性，切實可行的大量可靠性保障計算被用于工程實踐中。此后，香農(nóng)等提出了基于不可靠部件來構建可靠系統(tǒng)邏輯結構的冗余理論。1967年，Avizienis與Schneider等將屏蔽冗余理論以及故障診斷、錯誤檢測、錯誤恢復等技術逐漸融入到容錯系統(tǒng)的概念框架中。20世紀70年代初

34、，可信系統(tǒng)(Trusted System)的概念由Anderson JP第一次提出，開始主要針對硬件環(huán)境和操作系統(tǒng)等安全機制展開研究。1983年美國國防部首次推出“可信計算機系統(tǒng)評價準則(Trusted Computing System Evaluation Criteria，TCSEC)"，第一次提出了可信計算基(Trusted Computing System，TCB)的概念，為了實現(xiàn)系統(tǒng)可信，通過保持最可信組件集合和對數(shù)據(jù)的訪問權限進行控制來實現(xiàn)的，至今對計算機系統(tǒng)安全有重要的指導意義22。直到1 995年，可信計算的概念由TCG提出，通過從PC的底層出發(fā)來增強計算機系統(tǒng)的安全

35、性。之所以稱為可信計算，TCG認為：一個實體的行為總能以期望的方式發(fā)展變化，并最終在預期范圍之內(nèi)，我們都說它是可信的，從行為學的角度強調(diào)行為的結果是可預測和可控制的。然而其它的標準也有類似的定義，例如，ISOIECl 5408標準認為：如果某一組件是可信的，則有關該組件的任何操作或行為都是可預測的，并且能夠抵御一定的干擾或攻擊。可信計算發(fā)展至今，涉及到眾多的領域，已經(jīng)取得了豐碩的成果23。3.1.2 可信計算工作原理采用可信計算技術可以實現(xiàn)計算終端的安全可信?？尚庞嬎愕幕舅悸肥牵菏紫仍谟嬎闫脚_上建立一個信任根，信任根通常被認為是無條件信任的，由國家特定機構生產(chǎn)并有一系列法律法規(guī)保護以及自身的

36、安全特性決定的。其次建立一條信任鏈，信任鏈主要用于將信任根的信任傳遞到整個終端平臺甚至網(wǎng)絡中。在信任鏈的建立過程中，把計算終端劃分為不同級別的運行層次，按照從底層到高層依次建立信任的傳遞過程。平臺的啟動過程從底層開始，對啟動要加載的各類組件依次度量、驗證，各個組件只要在可信的狀態(tài)下，才可以對下一個要加載的組件進行驗證，這樣將信任一級一級的傳遞，直到操作系統(tǒng)，應用程序的運行，最終實現(xiàn)整個平臺的可信，具體如圖21所示24。TCG規(guī)范中定義的可信計算平臺，通過可信計算技術保護計算終端安全的同時，也可以實現(xiàn)整個網(wǎng)絡的安全。平臺的安全可信，一方面需要硬件安全模塊，也即平臺的可信根作為信任的基礎，也是信任

37、鏈的起點：另一方面依據(jù)信任鏈的信任傳遞，實現(xiàn)計算平臺的可信。為計算平臺加入了信任根，是可信計算技術最顯著的特點之一。平臺的可信也主要體現(xiàn)在以下四個方面：(1)平臺軟件及硬件配置的合法性，這是使用者對平臺運行環(huán)境的信任；(2)用戶的身份認證，這是對使用者的信任；(3)各平臺間的可驗證性，這是不同平臺的相互信任；(4)應用程序的完整性，這是對各類應用的信任。圖2.1 可信計算機系統(tǒng)通過在計算機系統(tǒng)中嵌入一個具有抵抗防攻擊能力的硬件安全模塊，即系統(tǒng)的可信根，使得非授權使用者無法對其內(nèi)部的數(shù)據(jù)更改或訪問，從而達到了系統(tǒng)安全性增強的目的?？尚庞嬎闫脚_以TPM模塊為可信根，安全操作系統(tǒng)為核心，密碼技術為支

38、持，來實現(xiàn)一個能夠進行系統(tǒng)完整性度量、存儲和驗證的可信終端系統(tǒng)。每個可信的終端具有對病毒的免疫能力并具有合法的身份，任何終端出現(xiàn)問題都能保證合理取證，方便監(jiān)控和管理?？尚庞嬎愕木唧w實現(xiàn)可通過添加核心度量根(Core Root Trusted Measurement，CRTM)，可信平臺模塊TPM以及可信接El(Trusted IO)等重要組件來構建可信的平臺?？尚庞嬎闫脚_提供一系列的安全功能包括：用戶和平臺的身份認證、平臺和數(shù)據(jù)的完整性及存儲的機密性、IO控制與安全接入等方面的功能。這些安全功能保證了用戶、平臺、應用之間的相互信任，從而構建出可信的計算終端，為進一步建立可信網(wǎng)絡環(huán)境提供了基礎。

39、3.2 可信移動平臺體系結構3.2.1 可信移動平臺硬件結構可信移動平臺TMP主要由IBM、Intel和NNT DoCoMo聯(lián)合發(fā)布的，旨在將可信計算思想引入移動平臺?？尚乓苿悠脚_規(guī)范定義了可以運行不同安全級別的移動計算環(huán)境，以硬件安全芯片及其上的支撐軟件外加一些功能組件構建而成的，它是一個在硬件和操作系統(tǒng)之上可被本地使用者和遠程實體信任的平臺。圖22描述了雙處理器的可信移動平臺的參考硬件體系結構，這也是未來智能終端的主流發(fā)展方向。圖2.2 可信移動平臺的硬件參考體系與安全相關的部件主要有可信平臺模塊、應用處理器、內(nèi)存控制器、DMA(Direct Memory Access)控制器和USIM(

40、Universal Subscribe Identity Module)等關鍵器件組成，它們是構成平臺安全的主要核心硬件。在移動平臺參考體系中，CRTM是在移動平臺啟動時必須被首先執(zhí)行的代碼，以保證平臺的完整性和有效性。由于CRTM的安全性決定了整個平臺的可信性，因此，在保證系統(tǒng)啟動時作為首先被執(zhí)行的組件外，它還不能被其它程序訪問或篡改，一般保存在一次性的ROM中。在平臺上電初始化的過程中，CRTM和TPM一起完成對平臺其它部分的完整性校驗2，17。可信根是TMP中重要的組成部件，包括三個可信根：可信度量根(Root of Trust for Measurement，RTM)，可信存儲根(Ro

41、ot of Trust for Storage，RTS)，可信報告根(Root of Trust for ReportingRTR)。這三個信任根分別用于完整性度量、存儲保護、完整性報告。可信計算平臺對請求訪問自身的實體進行可信度量，并將度量結果進行存儲，實體詢問時再由平臺提供報告，具體如圖23所示23。圖2.3 可度量、存儲、報告機制正如TCG規(guī)范要求的那樣，在可信引導時，可信根要完成對各個系統(tǒng)部件的完整性度量、報告和日志功能，通過完整性度量與報告機制建立一條信任鏈，以建立系統(tǒng)的可信環(huán)境，從而對運行在平臺上的應用程序提供保護。3.2.2 可信平臺模塊TPM TPM結構可信計算的

42、核心是被稱為可信平臺模塊(TPM)的安全芯片，它主要完成密碼計算及數(shù)據(jù)、密鑰的安全存儲和使用，實現(xiàn)對環(huán)境度量信息的簽名和報告，是數(shù)據(jù)存儲和信息報告信任的初始點。TPM作為可以抵制防攻擊的硬件安全模塊，既保證了內(nèi)部信息的高安全性，又可以完成身份認證和實現(xiàn)外部數(shù)據(jù)的加密。TPM實質(zhì)上是一個可提供密碼操作、完整性管理、密鑰管理、安全存儲、遠程證明等安全功能的小型片上系統(tǒng)SOC(System on Chip)，而且它應當是物理可信的25。圖2.4 TPM結構示意圖可信平臺模塊TPM是一個可信硬件模塊，內(nèi)部結構如圖24所示，主要由密碼處理器Cryptographic CoProcessor、密鑰產(chǎn)生器K

43、ey Generation、哈希引擎SHA-1 Engine、散列消息認證碼HMAC Engine等組件構成。可信平臺模塊TPM可以完成多種加密算法，其中基本的算法有：哈希、散列消息認證碼、RSA三種，但是不同的標準或器件也可以包含其它算法，如ECC等(中國的TCM標準中使用ECC算法)。不同的加密算法分別由TPM中不同的加密引擎完成，例如，哈希算法用來生成報文的摘要，其中SHA-1引擎負責完成對哈希的一系列運算，HMAC引擎主要用于散列消息認證碼的相關操作，它們都屬于哈希算法的范疇。RSA運算由RSA引擎執(zhí)行，在傳輸會話中加密授權信息保證會話的機密性，它還能提供對內(nèi)外的數(shù)字簽名等功能。這些功

44、能對外只提供了IO接口，并且任何外部組件不能干預內(nèi)部密碼的運算。在圖24中所示的TPM模塊架構中，各重要組件的功能介紹如下26，29：(1)IO部件，輸入輸出控制部件，管理總線上的信息流，負責外部與內(nèi)部傳輸信道上的信息編譯碼工作，并將信息傳送到適當?shù)慕M件上。(2)密碼協(xié)處理器，負責實施TPM內(nèi)部的密碼運算，包括RSA的非對稱密鑰發(fā)生器，RSA非對稱加解密等。RSA運算由該部件內(nèi)RSA引擎執(zhí)行，它還包含一個對稱加密引擎，能在傳輸會話中加密授權信息保證會話的機密性，它還能提供對內(nèi)外的數(shù)字簽名、安全存儲和使用密鑰等功能。(3)密鑰生成器，用于產(chǎn)生數(shù)字簽名密鑰與數(shù)據(jù)存儲密鑰等密鑰，以RSA算法的密鑰生

45、成過程為例，Key Generation通過RNG隨機產(chǎn)生隨機數(shù)，并自行完成對該隨機數(shù)的大素數(shù)測試。(4)HMAC，HMAC引擎用于確認與TPM交互的報文數(shù)據(jù)是否正確，為了保證數(shù)據(jù)和命令消息的完整性，HMAC提供消息認證碼和數(shù)據(jù)認證碼兩部分信息，并且能夠發(fā)現(xiàn)數(shù)據(jù)或命令發(fā)生的錯誤。另外該引擎僅提供運算功能，沒有提供傳輸數(shù)據(jù)的命令和機制。(5)隨機數(shù)發(fā)生器，是TPM內(nèi)部的隨機源，負責產(chǎn)生各種密鑰生成和簽名中所需要的隨機數(shù)，它將一個不可預測的輸入，如嗓音、時鐘、溫度等，通過一個內(nèi)部的狀態(tài)機和單向數(shù)列變成32字節(jié)長度的隨機數(shù)，該數(shù)據(jù)源對外不可見，以保證外部無法重現(xiàn)該部件隨機數(shù)的產(chǎn)生過程。(6)SHA1

46、哈希引擎，主要負責消息報文摘要的產(chǎn)生，在可信度量中采用此算法完成對平臺組件的度量任務。(7)電源監(jiān)測模塊，在關聯(lián)平臺電源狀態(tài)的同時管理TPM電源狀態(tài)，一旦平臺的電源發(fā)生變動，TPM根據(jù)應對機制馬上做出響應，及時采取措施并保存數(shù)據(jù)等，保證TPM的安全特性和平臺的重要信息不會被破壞。(8)分支選擇器，是一組選項開關，根據(jù)TCG的策略可以開啟或關閉TPM內(nèi)部的某些功能，具體通過改變一些標志位來控制TPM的內(nèi)部功能，但是必須經(jīng)過TPM所有者的授權才能實現(xiàn)，它不允許被遠程設置。(9)執(zhí)行引擎，主要運行傳送給TPM的一系列命令，包括TPM的初始化和檢測操作等，由于該組件至關重要，因此當命令執(zhí)行時，必須確保

47、執(zhí)行環(huán)境的安全，同時受保護的區(qū)域已得到保護。(1 O)易失性存儲器，用來存儲平臺配置信息PCR(Platform Configuration Register)和身份證實密鑰AIK(Attestation Identity Key)等，存儲在Volatile Memory中的數(shù)據(jù)具有掉電易失性。PCR保存了平臺的配置信息，AIK用于在進行遠程認證時確保通信的對方是一個支持TPM的平臺。(11)非易失性存儲器，主要保存了認可密鑰EK(Endorsement Key)和存儲根密鑰SRK(Storage Root Key)，存儲在NVolatile Memory中的數(shù)據(jù)可以被永久保存且掉電或平臺重啟

48、均不受影響。 TPM工作流程TPM通常有三種工作狀態(tài)：初始化狀態(tài)、操作狀態(tài)和自檢狀態(tài)，詳細如圖25所示。首先，TPM上電后進入初始化狀態(tài)，對TPM內(nèi)部的某些功能進行初始化，并完成由用戶設定的某些功能。其次，TPM對自身的狀態(tài)進行完整性檢測，確保TPM模塊能夠正確地執(zhí)行與安全相關的所有可信操作。最后進入操作狀態(tài)，但是必須在對初始過程和自檢過程正常完成的前提條件下，TPM才可以執(zhí)行相關的操作，操作狀態(tài)有兩種模式，分別是管理員模式和完全操作模式，可以通過TPM的不同操作來分別執(zhí)行不同的功能。圖2.5 TPM工作狀態(tài)轉換圖 平臺配置寄存器PCR平臺配置寄存器是TPM模塊的重

49、要組成部分，由于TPM的高安全性，因此它可以存儲重要的信息并保證其安全，一般情況下存儲了平臺的完整性度量值，它代表了當前平臺的配置狀態(tài)。TPM內(nèi)部至少包含一組不可篡改的平臺配置寄存器(PCR)，可在易失性存儲器或非易失性存儲器中實現(xiàn)。PCR作為可以存儲在度量過程中生成摘要的寄存器，可分為靜態(tài)和動態(tài)兩種，其中01 5為靜態(tài)寄存器，在TPM重新啟動時是不會改變的，不同的寄存器保存著不同的信息，而保留的寄存器可以擴展；其它PCR寄存器為動態(tài)寄存器，TPM重新啟動時則發(fā)生改變。每一個PCR有1 60比特，與一般的寄存器不同的是PCR寄存器不能被任意擦寫，只能被擴展，新獲取的度量值不能直接存儲在PCR中

50、，必須通過與舊的哈希值相級聯(lián)，然后再進行一次哈希運算，將新的哈希值擴展到PCR中，具體運算公式如(21)所示：New PCRk+1=SHA1(Old PCRk| new measurement) (21)采用以上公式運算后的散列值，就分別對應了不同的組件，為了在PCR中容易定位不可信的組件，TCG針對平臺的不同組件做了以下分配，具體如表21所示，PCR采用了如式21所示雜湊值擴展的方法來保障平臺的完整性30。表2.1 TPM的物理PCR分配表PCR IndexPCR Usage0保存CRTM、BIOS的度量值及平臺擴展1保存平臺的配置信息2保存ROM中代碼的度量值3保存ROM配置信息和數(shù)據(jù)的度

51、量值4保存IPL(Initial Program Loader)代碼的度量值5保存IPL配置信息和數(shù)據(jù)的度量值6保存與狀態(tài)轉換和喚醒事件相關的事件的度量值7暫時保留，以后使用8-15系統(tǒng)和應用程序自定義使用16-23動態(tài)接入的外部設備使用3.2.3 可信軟件棧TSS可信平臺支持服務(Trusted Platform Support Service，TSS)是對可信計算平臺提供支撐作用的模塊，為應用程序使用TPM提供接口的軟件組件，TSS簡化了使用TPM的復雜性，開發(fā)組只需要了解TPM的基本概念和TSS向上層提供的接口，就可以在可信終端平臺上開發(fā)基于TPM的安全應用程序。它的設計目標是對使用TP

52、M功能的應用層軟件提供一個方便的統(tǒng)一使用標準，提供對TPM的同步訪問，管理TPM的資源等。TSS為操作系統(tǒng)與TPM間的通信進程提供標準的安全接口API，并通過這些API接口處理操作系統(tǒng)和應用程序的安全交互。TSS作為使用TPM的切入點，開發(fā)者只需了解TSS的使用規(guī)范，通過與TSS的交互就可以開發(fā)各類應用。在TCG規(guī)范中，TSS的結構分三個層面：內(nèi)核、系統(tǒng)服務、用戶程序，各層次關系如圖26所示29。各個層次的功能描述如下：1TDD：TPM驅動程序層TDD位于操作系統(tǒng)的核心層，是核模式組件，它和TPM在物理層進行通信，通過把TDDL傳送的字節(jié)流進行解析來操作TPM或根據(jù)TPM的響應與上層進行交互。

53、2TDDL：TPM驅動程序庫TDDL提供了一個由TPM制造商提供的用戶態(tài)接口，位于TCS和TDD之間，以確保TSS的不同應用與任何種類TPM都能進行通信。它是起媒介作用的標準接口模塊，很容易實現(xiàn)TCS在不同平臺上移植。3TCS：TPM核心服務層在一個平臺操作系統(tǒng)上具有唯一的TCS，TPM不支持多線程操作，TCS接口被用來控制和請求TPM服務，以協(xié)調(diào)多個應用程序對TPM的同步訪問。4TSP：TPM服務提供層該模塊位于TSS的最上層，提供高級的TCG函數(shù)。TSP為應用程序提供TPM服務，并且與應用程序在同一進程空間，因此為兩者之間的數(shù)據(jù)傳遞提供了安全保障。圖2.6 TSS結構體系圖3.3 可信移動

54、平臺的安全特性可信計算提供一系列的安全特性，這些安全特性是基于硬件對用戶和移動平臺實現(xiàn)保護的，為移動終端的安全可信提供了強有力的支持。根據(jù)可信移動平臺的結構，可信機制的構建以及整個平臺的功能，可將可信移動平臺的主要安全性能歸納如下。3.3.1 完整性檢驗完整性檢驗可以實現(xiàn)移動設備的可信啟動，還可以檢測出受病毒或惡意程序攻擊的部分，基于硬件TPM和CRTM實現(xiàn)的?？尚乓苿釉O備(Trusted Mobile Device，TMD)在啟動時必須檢驗TCB的完整性和有效性，檢驗與信任或安全相關的硬件的完整性。完整性校驗將計算終端的結構進行層次劃分，從而引入不同層次間的完整性驗證機制來實現(xiàn)系統(tǒng)的完整性。

55、完整性校驗具體包含的內(nèi)容非常廣，可以分為三大方面：用戶方面，用戶數(shù)據(jù)完整性以及身份的合法性；平臺方面，平臺軟硬件配置的完整性以及平臺之間的可驗證性；應用程序方面，應用程序的完整性和合法性?？尚乓苿釉O備通過完整性檢驗可實現(xiàn)平臺的安全可信并提供以下重要的安全特性31。 可信啟動TMD的可信啟動基于TCG定義的信任傳遞機制。TMD上都內(nèi)建了核心可信度量根CRTM，保證CRTM作為平臺的第一個啟動程序，并與存儲和加密的模塊(TPM)一同作為平臺的核心根，從而度量平臺的完整性，負責在初始化時對平臺的可信性進行驗證。任何將要獲得控制權的實體，都需要先對該實體進行度量，從平臺加電，直到運行環(huán)境

56、的建立，這個過程就一直在進行。平臺上電后，CRTM首先會被立即調(diào)用，開始依次執(zhí)行可信的啟動過程。首先CRTM借助TPM計算TCB中其它元件軟件代碼的完整性度量值，并將度量結果存放在TPM的PCR中，可信度量主要采用哈希運算，最終獲得160比特的哈希值。然后由驗證實體(Validation Entity，VE)提供的認證基準值(Reference Integrity Metrics，RIM)進行比較，如果是處于可信的狀態(tài)，則該組件將控制權轉移到下一組件，依次類推，直到操作系統(tǒng)、應用程序成功校驗。其實現(xiàn)過程是依照順序鏈式進行的，具體模型如圖27示。圖2.7 TMD的可信啟動過程 實時完整性度量移動設備畢竟不同于PC，作為一種通信工具，經(jīng)常處于開機的狀態(tài)，因此由可信啟動所帶來的安全環(huán)境不能長久保持。在長時間處于開機狀態(tài)的過程中，移動設備進行很多不同的操作，包括可信和不可信的，因此，要進行實時完整性校驗才能確保平臺長久的安全可信。TM