面向移動終端的跨平臺可信中間件

□ 文/夏紅星　 朱紅

面向移動終端的跨平臺可信中間件

□ 文/夏紅星 朱紅

引言

隨著移動終端在硬件、軟件及帶寬等方面取得突破，用戶數爆發增長，國內僅2015年底就有12.8億。人們在移動終端上處理的涉密信息及私有信息不斷增多，因而面臨的威脅也越來越多。移動終端的安全問題直接關系到終端用戶的切身利益和移動互聯網產業的健康發展。因此，研究移動智能終端安全防護技術，以防范基于移動互聯網的惡意吸費、信息竊取、金融詐騙和盜竊等行為變得十分迫切。

計算機信息安全技術包括密碼應用技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等。計算機信息安全技術可以保證數據的完整性、可用性、保密性以及合法使用性，其中，可信計算技術是一種通過硬件手段保證平臺安全性的技術，可信的基礎和核心都是基于硬件可信密碼模塊，整個可信計算平臺將可信密碼模塊作為平臺的信任根，以提高終端系統整體安全性。

研究開發一款介于操作系統和應用軟件間的跨平臺中間件軟件，構筑于軟、硬件系統平臺之上，同時對上層的應用軟件提供支持的中間層軟件系統，實現可信應用系統的跨平臺開發、集成、升級和維護?？尚胖虚g件的研發有利于提高國家信息安全性、發展民族產業。

設計目標

（1）跨平臺可信中間件提供對可信計算模塊的管理及調用。

（2）跨平臺可信中間件給用戶和應用程序提供足夠的透明性和可擴展性，為上層應用提供一套統一的執行和開發接口，從而提高了可信系統的質量及可維護性。

（3）跨平臺可信中間件在異構軟、硬件平臺和應用系統之間提供可靠和高效的數據傳遞或轉換，使系統的協同性得以保證，系統的可移植性得以實現。

（4）通過跨平臺可信中間件，調用應用支撐云服務，保證移動終端身份的真實性、數據可信性和安全性。

研究內容

將研發一個支持部署在Android、Windows Phone等多種系統、兼容TCM與TPM模塊，為上層提供統一標準的接口的可信中間件軟件，并且該軟件能通過云服務模塊獲取到相關的應用支持云服務。

總體設計

總體架構

▲ 圖1 總體架構圖

本項目的總體架構如圖1所示，包括跨平臺可信中間件和應用支撐云服務。跨平臺可信中間件是在可信計算模塊平臺上的支撐軟件，其作用主要是為其他軟件提供方便和統一使用可信計算模塊的接口，為異構分布環境中的可信應用提供通用的開發和協同平臺，促進可信應用的融合，應用可通過中間件云服務模塊，調用云服務相關功能。中間件兼容TCM與TPM模塊，支持部署在Android、Windows Phone系統等多種移動設備終端，并符合國密GM/T 0011-2012《可信計算 可信密碼支撐平臺功能與接口規范》標準。

云服務對客戶端提供的應用支撐包括，虛擬TCM（TPM）服務、安全傳輸服務、身份認證服務、可信軟件服務等，并可以保證數據在客戶端與服務器傳輸過程中的保密性和完整性，保存在服務器中的數據的保密性與完整性，客戶端身份的驗證等功能。其中虛擬TCM（TPM）服務提供給不具備可信計算模塊的終端使用，即終端是否具備可信計算模塊都能體驗可信功能。

跨平臺可信中間件

可信中間件的作用是將可信計算的服務提供給應用程序。應用程序通過它來使用可信平臺模塊提供的可信運算功能?？尚胖虚g件提供基本資源以支持可信芯片，為應用提供進入可信芯片功能的入口點，提供對可信芯片的同步訪問，將命令構建為字節流訪問可信芯片，并管理可信芯片資源。因此，可以通過對可信中間件中的部分模塊進行重構，并在其中添加支持不同密碼算法的可信中間件模塊，來實現對異構可信平臺在應用上的兼容性。同時為可信中間件添加云服務模塊，使其能接入云服務中，如圖2所示。

▲圖2　異構分布式中間件

應用支撐云服務

應用支撐云服務擬采用云計算虛擬化技術。虛擬化系統的管理和監督服務可以很好的幫助我們檢測、監督和管理所有的虛擬資源和物理資源。并且，虛擬化技術提供了完整的跨企業服務管理同時也減少了大量用于維護不同類型服務器的工具?？蛻舳送ㄟ^中間件云服務模塊接入為對客戶端提供的如下服務。云服務的軟件層次如圖3所示。

提供的應用支撐包括：

（1）虛擬TCM（TPM）服務∶云服務為不具有可信芯片的終端提供虛擬TCM（TPM）芯片服務；

（2）身份認證∶對服務器以及訪問服務器數據的客戶端的身份認證；

▲圖3　云服務分層圖

（3）數據加密存儲與傳輸∶對存儲在服務器中的數據與和客戶端數據通信的數據的安全性保證；

（4）可信軟件∶鑒別偽造軟件，惡意軟件。

項目創新點

（1）跨平臺跨模塊中間件

市場上還沒有出現可信中間件具備跨平臺與跨模塊屬性，它提供基本資源以支持可信模塊，為應用提供進入可信芯片功能的入口點，利用異構分布式技術對可信中間件中的部分模塊進行重構，使其既支持國外的TPM，也支持國產TCM，并可部署到不同的系統中。屏蔽安全技術的復雜性，使設計開發人員無須具備專業的安全知識背景就能夠構造出高安全性的應用，這對于拓廣信息移動終端、信息家電、汽車電子平臺以及行業信息終端的市場是非常有意義的。

（2）整體安全架構

可信中間件是和TCM（TPM）、BIOS和安全增強型操作系統三者軟硬件相結合的計算機安全支撐平臺，從硬件底層上采取措施，系統地解決終端設備安全問題的計算平臺，采用一套獨立的安全控制系統來實現對計算機主系統的安全控制，這樣既可保證主機系統的開放性、兼容性，又可以大大加強系統的安全性。并且中間件創新的引入安全云服務，采用可靠的網絡傳輸機制技術，為移動設備提供了安全訪問策略、實現安全服務的統一架構。

結論

面向移動終端的跨平臺可信中間件是介于操作系統和應用軟件間的跨平臺中間件軟件，構筑于軟、硬件系統平臺之上，同時對上層的應用軟件提供支持的中間層軟件系統，實現可信應用系統的跨平臺開發、集成、升級和維護。

本項目擁有自主知識產權的、國產化的可信計算支撐軟件，系統提升移動終端的安全防護水平：

（1）可信中間件的研發提高國家信息安全性?；诳尚庞嬎慵夹g的跨平臺可信中間件相對殺毒軟件、防火墻等有與生俱來的優勢，它建立在硬件安全之上。

（2）可信中間件的研發及產業化是發展民族產業的需要。國外安全產品本身可能存在安全后門，而且中國用戶使用國外軟硬件產品須支付大量知識產權費用，因此必須大力扶持信息安全技術的國產化，發展民族產業。

（3）可信計算支撐軟件的研發可大力推進相關產業的發展?？尚胖虚g件不僅可用于移動終端，還可以用于嵌入式計算設備。嵌入式設備在制造工業、過程控制、通訊、儀器、儀表、汽車、船舶、航空、航天、消費類產品等方面均有廣泛的應用，它們同樣面臨安全威脅?？缙脚_可信中間件的研發，解決移動終端和嵌入式設備的信息安全問題，從而保證設備良好運行。

作者單位：深圳市華威世紀科技股份有限公司