移动终端软件更新安全的探究.pdfVIP

移动终端软件更新安全研究 孙勇杨义先 (北京邮电大学信息安全中心北京100876) 摘要针对目前移动终端软件更新身份认证存在的安全问题，提出基于可信平台的解决方案。方案中 利用TPM的封存，环境信息签名等安全功能实现平台安全存储和身份认证机制。会话密钥的建立可以 采用DH协议或者IBE协议，采用IBE协议时提出将IMEI作为用户公钥的思路。 关键词IBE；IMEI；TCG 一—1Z^—j一 1．刖 青 随着移动通信技术的发展，移动终端应用在各种不同场合，它的软件系统变得越来越复杂。在移动 终端出厂后，厂商可能要修正软件的错误，用户可能需要在移动终端上增加新的功能，这就要求移动终 端具有软件更新的功能。移动终端软件更新的功能，不仅为移动终端厂商进行软件维护提供了很大的便 利，而且也为用户提供了更好的服务。但是这也带来了许多安全方面的问题，例如保护用户隐私信息、 终端身份验证和升级软件的完整性和机密性等问题。 移动终端软件的更新方式主要有有线连接和空中下载方式。有线连接是通过终端预留的数据线接口 实现与服务器相连，实现软件更新。空中下载是指移动终端通过无线接口实现软件的更新，目前移动终 端更新方式较多采用有线连接的方式，但这种方式需要用户购买专用的连接线，还需要到专业的营业点 更新。空中下载方式通过无线接口更新，无需额外的硬件连接，具有方便、便捷和成本较低的特点，是 移动终端软件更新的发展趋势。 司推出的实现移动终端的软件和固件更新的方案。两者的区别是BREW在操作系统之上进行操作，不 能更新低级的软件。DeltaUpgrade能够替换移动终端上的任何软件组件，包括操作系统、协议堆栈、驱 动程序、核心程序以及应用软件。 这两种方案虽然能够保证通信内容的机密性和软件完整性，但更新时只是针对移动终端软件的版本 的认证，没有对移动终端平台的身份进行认证，无法确保移动终端平台运行环境的正确性，也无法确保 移动终端是可信的。针对软件更新中的安全问题，提出了一种移动终端软件更新方案，移动终端采用信 任区和可信计算技术的终端架构。 2．移动终端软件更新的安全需求 2．1典型场景 客户端软件：在移动终端中运行，与服务器交换信息，下载软件包和实施更新的移动终端软件配 置数据库：存储移动终端软件或组件各个版本的数据库。软件服务器：是由厂商建立，管理和控制移动 终端实施更新的服务器。软件服务器定时到数据库获取最新的版本软件，它可以与配置数据库是一个实 体，也可以位于不同实体。 1)配置数据库中添加新的更新。 2)软件服务器获得新的更新，通知用户有更新，并且询问用户是否更新。该步骤是可选的，基于 push策略的软件分发需要执行该步骤再进入步骤3)，即先由服务器询I口-1用户是否需要更新；基于pull 策略的分发直接进入步骤3)，由用户发起更新请求。 3)用户向服务器请求更新．更新请求中包含了用户的身份信息和本机配置信息。 4)服务器根据用户的请求收集更新需要的软件组件，并打包准备分簏打包的软件中包含了软件组 件及其描述文件。 5)向用户分发打包的更新。 6)移动终端实现软件更新。 7)移动终端根据配置结果维护更新日志。 6，7 图1更新系统的操作流程 2．2安全需求 ·鉴权：在下载软件之前，不仅服务提供商鉴权终端，而且终端也要鉴权服务提供商。终端更新 时应当使用附加数字签名的软件。 ·完整性：交互的数据和信息必须被保护防止伪造，特别是下载软件的完整性必须保证。 ·机密性：在重要数据传输时，数据必须加密。 ·身份验证：需要建立消息和数据的验证机制来保证消息来自正确的源，即对消息的发起者进行 身份验证。验证软件供应商：检验软件的来源，用户需要验证软件供应商的身份。验证移动终 端用户：终端能够向软件供应商证明平台是可信的，下载的应用程序在其上存储和执行是安全， 只有终端证明自身是合法的，才允许更新软件。 ·安装策略：必须以一种安全的方式支持软件的全部更新或部分更新。安全过程必须考虑用户的 意愿，由于安装过程消耗终端时间和能量，可能中断用户的正常操作，因此用户可以选择决定