企業級系統移動智能終端訪問控制技術研究

黃 健，黃建文，黃志新，梁 棟，李俊磊

(廣州電信研究院，廣東 廣州510630)

隨著現代信息科技的不斷進步，移動智能領域獲得了前所未有的發展，移動智能終端逐漸成為人們生活中不可缺少的日常工具，如移動智能手機、商務掌中寶、個人數字助理等。由于在便攜性與智能計算能力等方面得到了廣泛提高，移動智能終端已開始應用于各大行業領域。與此同時，移動智能終端的安全問題也愈來愈突出，如病毒感染、惡意代碼攻擊、數據信息泄露、系統資源浪費、應用進程無法響應以至于死機等。企業級系統是一個國家賴以生存的支柱型行業領域，對移動智能計算的需求也逐漸提升。因此，如何保證企業級系統移動智能終端的安全性，已成為備受關注的焦點。

機密性、數據完整性以及可用性是用戶對移動智能終端的基本安全需求。傳統的訪問控制技術只能有效地保證數據信息的機密性與完整性，對可用性并沒有進行充分的考慮與完善。傳統訪問控制技術的應用場合一般針對于個人PC。盡管移動智能終端的軟硬件配置都在不斷提高，但與個人PC相比還是顯得不足。不良攻擊型的代碼應用程序更容易導致系統資源的浪費，致使企業級系統中的重要應用進程得不到及時響應，從而形成分布式拒絕服務（DDos）攻擊，所以若將傳統訪問控制技術直接應用于移動智能終端中，移動智能終端的安全性將得不到保障。相比于個人PC、工作服務器等平臺，企業級系統移動智能終端主要包括以下幾個特點：(1)移動智能計算能力與系統資源有限；(2)通信交互依賴于無線網絡等公共媒介；(3)單一型用戶系統；(4)易丟失、盜竊等。

企業級系統移動智能終端的各個特點對訪問控制技術提出了更高標準，如可用性、實時性等。可用性是指移動智能終端[1]必須對重要的、關鍵的企業級系統應用進程進行及時響應；實時性是指移動智能終端應該與企業級系統進行實時交互，實現一體化操作等。

1 相關研究

迄今為止，已有一些研究學者與單位鉆研于如何提高移動智能終端的安全性，也提出了眾多相對應的安全解決方案與安全結構。例如可信計算組織(Trusted Computing Group)設計出一種統一的TCG移動智能終端安全系統結構[2]，且應用平臺不限于移動智能終端，也可以是個人PC與工作服務器。在TCG安全系統結構中，主要包括以下幾種特點：(1)系統安全保護能力；(2)移動智能終端數據信息完整性比較；(3)一份通過完整性比較之后得到的系統安全完整性報告。在系統安全保護能力這個特點中，可信計算組織定義了一個移動智能終端訪問控制機制，主要是保護那些涉及敏感數據訪問的應用進程。可信移動平臺（Trusted Mobile Platform）是針對移動無線平臺提出的一種TMP移動智能終端安全系統結構，這個安全系統結構主要包括硬軟件安全結構[3]以及相關規范。TMP安全系統結構中的軟件結構通過硬件特點來提升整個移動智能平臺的安全性能。一般基于可信條件下的移動智能終端支持兩種不同的訪問控制模型，分別為自主動態模型與強制命令模型。這兩個訪問控制模型都建立在硬件的域分欄機制之上，以確保對數據信息與系統資源的訪問都是通過合法授權的。

通過上述歸納分析，雖然已有多種移動智能終端安全解決方案與安全結構，但始終未從移動終端的硬件條件與水平以及企業級系統的角度出發，致使在基于有限的系統資源的條件下無法確保企業級系統重要的應用進程及時得到響應與交互。本文設計的基于企業級系統移動智能終端的訪問控制框架，不僅能夠保證數據信息的機密性與完整性，同時也滿足了可用性要求。

2 系統訪問控制框架

企業級系統的移動智能終端是單一型用戶系統，系統中主動操作訪問控制的主體是應用進程。受到保護的客體主要分為以下幾種：(1)動態系統資源：移動智能系統中動態調度與管理的資源，如物理內存頁面、時間消耗量以及CPU處理時間等。(2)靜態系統資源：移動智能系統中靜態或固定存在的資源，如敏感數據信息、軟硬件接口等。

關于靜態系統資源的訪問控制機制已有較為成熟的訪問控制框架模型，其中DTE安全機制[4]由于各種優于其他訪問控制機制的特點而受到關注，如簡單靈活多變、結構功能強大等，且多用于Linux、Unix等操作系統中。因此選擇DTE安全機制作為企業級系統的移動智能終端訪問控制框架的雛形模型，用于控制對靜態系統資源的訪問與應用，且依據企業級系統的不同安全需求對DTE安全機制進行配置與完善。在企業級系統數據信息的機密性與完整性得到保證的條件下，彈性地對DTE安全機制進行拓展，提高其移動智能終端的可用性。此外，提出一種系統資源預留的相關概念，在其訪問控制框架中引入了動態系統資源控制功能，為企業級系統實時交互的重要應用進程預留系統資源，防止與其他應用進程產生資源競爭與沖突，從而確保系統及時響應關鍵應用進程。

圖1 企業級系統的移動智能終端訪問控制框架

如圖1所示，在企業級系統的移動智能終端訪問控制框架中，在基于可信[5]的整體系統環境下，主體（主動進程）向安全服務器提交對客體（被保護）的訪問請求，訪問代理機制在安全服務器中截取到相關訪問請求，以安全標準策略庫為依據，從中獲取對應的安全標準策略信息，按照被保護客體的類型將訪問請求與對應的安全標準策略一同提交到預留控制器（動態預留系統資源）以及訪問控制器（靜態訪問系統資源）中，然后通過它們得到相關的訪問決策信息，最后將一系列的最終結果回饋給訪問代理機制，且將訪問決策信息通知主體。

3 功能實現與詳細設計

3.1 訪問代理機制

主動進程向安全服務器發出相關的訪問請求，然后由訪問代理機制獲取其訪問請求信息，且從安全標準策略庫中取得相對應的安全標準策略信息。依據不同類型的訪問請求信息，訪問代理機制將其訪問請求以及其對應的安全標準策略一同發給預留控制器與訪問控制器，通過它們的結果回饋給訪問代理機制，最終由其訪問代理機制將結果回復給主動進程。具體操作流程信息如下：(1)訪問代理機制，獲取相關的訪問請求信息；(2)從移動智能終端系統中得到相對應的安全標準策略信息；(3)安全標準策略信息可以區別為預留策略信息與訪問策略信息；(4)依據訪問請求的不同類型，將其各個策略信息相對應地交付給預留控制器與訪問控制器；(5)從預留控制器與訪問控制器中讀取相關裁定信息；(6)訪問代理機制，對裁定信息進行處理，并將相關結果通知主動進程。

3.2 訪問控制器

在企業級系統的移動智能終端中，訪問協調控制不僅需要考慮安全性，而且也需要顧及到易用性，從而便于用戶進行相關管理與配置。訪問控制器采取了一些策略機制(如DTE安全策略)，如圖2所示。主要包括如下一些關聯對信息：

(1)客體/型關聯對

圖2 訪問控制器安全策略機制

企業級系統移動智能終端中的客體依據不同需求信息可以分為4種不同級別的型，分別是與硬件接口相同級別的X_Interface型、與企業級系統敏感信息相關的X_Sensitive型、與企業級系統中的文件與操作數據相關聯的X_System型和與其他客體信息對應的X_Other型。

(2)主動進程/域關聯對

企業級系統移動智能終端中的主體(主動進程)一般分為 Y_Trusted、Y_UnTrusted、Y_Certified 3個域。出廠就內嵌在移動智能終端中的固定應用進程與基本功能，一般屬于Y_Trusted域，此域中的主動進程權限最大，可以訪問移動智能終端中所有客體信息與系統資源。經過第三方驗證才能使用的應用進程與功能程序屬于Y_Certified域，此域中的主動進程權限中等，可以訪問X_Interface、X_Sensitive、X_Other等型中的客體信息。未經過第三方驗證的應用進程與功能程序都屬于Y_UnTrusted域，此域中的主動進程權限最低，僅能夠訪問X_Other型中的客體信息。

3.3 預留控制器

(1)預留分類

①電池使用量預留：依據不同的應用進程與功能程序，采用不同的電池使用量模式，如省電模式[6]、標準模式等。

②CPU處理器時間預留：CPU處理器時間預留指的是主動進程所花費在移動智能處理器中的固定預留時間。移動智能終端為每一個主動進程在某個階段都預留有一定數量的CPU時間段。對于預留請求信息主要包括計算時間量與周期數量。計算時間量表明預留階段內的持續時間是多少；周期數量則表明某一次預留理論上能夠持續多少個階段。

③網絡通信帶寬預留：網絡通信帶寬預留表明在某些應用設備與網絡程序上所預留的執行時間，單位為固定網絡發送接收包傳送個數。

④物理內存預留：此類型代表了一些物理內存頁面，主要是一些閑散系統資源，因此需要預留控制器滿足一些閑散資源的預留功能。

⑤資源預留庫：預留資源庫指的是幾種管理與調度主動進程中的某些類型的系統資源，可以包括至少一種已定義的不同類型預留。如資源預留庫SETi可以表示為：SETi={Power_Li，CPU_Time_Li}。

(2)預留管理

預留管理機制主要包括準入裁定、預留調度、預留執行3個不同的環節。準入裁定環節是對預留請求信息是否被允許進行裁定；預留調度是基于不同的預留調度模式對移動智能終端的系統資源進行最大限度的使用；預留執行是指確保主動進程可以使用其預留的系統資源。這3個環節都是互相關聯的，如使用不同的準入裁定，都會對預留調度的安全策略與預留執行流程產生影響。

①準入裁定環節：對于企業級系統移動智能終端的每個不同類型的主動進程域中，只有屬于Y_Trusted域的主動進程才能預留系統資源，其余主體域提交的預留請求信息將會被作廢或者拒絕。

②預留執行環節：預留控制器必須保證主動進程可以使用移動智能終端為其預留的系統資源，然而主動進程則可能耗盡其預留系統資源之后繼續執行下去。依據不同預留系統資源的不同類型分析，預留執行環節主要是把主動進程正在使用的預留系統資源的相關情況告知預留調度器，然后通過預留調度器中的安全策略對主動進程是否繼續執行做出指示。下面以一個預留執行示例(CPU處理器時間預留)進行詳細分析。如圖3所示。

圖3 CPU處理器時間預留執行

在CPU處理器時間預留的一個周期過程中，主動進程使用本身預留的系統資源階段稱之為強預留。在強預留階段中，某個主動進程僅僅允許優先級比自身高的主動進程搶奪一定的預留系統資源，計時器A告知預留調度與處理階段結束。若移動智能終端的預留系統資源已經耗盡，通過使用其他主動進程預留的系統資源，某個主動進程繼續執行下去，這個階段稱之為弱預留，此時某個主動進程可以被預留系統資源的主動進程或優先級比自身高的主動進程搶奪其預留系統資源，計時器B告知預留調度與處理階段結束，若無法使用預留系統資源，將會同一般的主動進程一樣加入調度庫中進行處理。

③預留調度環節：在一般的系統資源預留模型中，主動進程與預留系統資源進行綁定，確保某個主動進程需要預留的系統資源時不會因為有其他主動進程相互競爭其系統資源而發生沖突。然而由于移動智能終端的現實情況，即系統資源限制性等原因，使用主動進程與預留系統資源綁定的形式將會致使過于剩余的預留系統資源，從而影響其終端系統的整體性能。企業級系統的移動智能終端是一個單一型用戶系統，在固定的時間節點只能有一個主動進程與用戶進行數據信息交互。由于預留的系統資源可以由多個主動進程進行共享獲取，所以可能存在并發訪問。系統需要對不同的主動進程進行不同類型安全策略地調度與處理。預留控制器一般是使用基于優先級的安全調度策略，高優先級的主動進程具有搶奪預留系統資源的高權限，低優先權的主動進程只能排列在等待隊列之中，等待高優先級的主動進程使用完成為止。

3.4 安全標準策略語言

DTE安全策略機制主要是由描述性的策略語言進行定制使用，用戶可以很靈活、便攜地管理和配置其策略。在企業級系統的移動智能終端中，安全策略文件與數據信息一般將其編譯成二進制類型，然后在終端系統開啟時加載到其安全標準策略庫中，從而確保安全服務器使用正常。

安全標準策略語言示例描述如下：

本文提出了一種基于企業級系統的移動智能終端訪問控制框架，通過拓展DTE安全機制，彈性動態地為重要應用進程預留系統資源且對其進行統一分配與管理，有效預防系統資源競爭而發生沖突的問題。相比傳統的訪問控制框架而言，基于企業級系統的移動智能終端訪問控制框架不僅保證了企業級系統敏感數據信息的機密性、完整性，同時也滿足了其可用性要求。

[1]辛陽，楊義先.移動終端安全模塊技術研究[J].通訊與電視，2005，31（11）：23-27.

[2]LAMPSON B W.Protection[J].Operating System Rev，1974，8(1)：18-24.

[3]SANDHU R，COYNE E J，FEINSTEIN H L，et al.Rolebased access control madels[J].IEEE Computer，1996，29(2)：38-47.

[4]Badger L，STERNE D F,SHERMAN D L，et al.Practical domain and type enforcement for UNIX[C].In：IEEE Symposium on Security and Privacy，OakIand，1995.

[5]李濤，胡愛群.可信模塊與強制訪問控制結合的安全防護方案[J].東南大學學報（自然科學版），2011，41（3）：234-238.

[6]SCORDINO C，LIPARI G.Using resource reservation techniques for power-aware scheduling[C].In：Proc.of the 4th ACM Intl.Conf.on Embedded Software，Pisa，2004.

[7]劉偉，梁洪亮.移動終端系統的訪問控制框架[J].計算機科學，2006，33（6）：299-304.