信比安操作系统 中文课件Part12-PlatSec.pptVIP

平台安全（Platform Security） 第一部分 平台安全 本讲介绍 信任模型 能力模型 数据保护 安全标识符，商家标识符和唯一标识符 平台安全 平台安全 经常写作 “PlatSec” 由Symbian OS v9.0 引入 是保护手机数据安全和完整性的基础 运行在软件层面上的安全模型 检测和阻止应用程序对硬件、软件、系统或用户数据进行非授权的访问 这些操作可能 锁住电话 危机用户的机密文件 相反的影响其他软件或电话网络 平台安全 平台安全阻止运行在Symbian OS上的软件采取不可接受的动作 有意或者无意的 这是一个系统范围的概念 它对每个Symbian OS开发者都有影响 无论他是编写应用程序、中间件还是设备驱动 安全模型 理解“进程是信任单元”这一格言的含义，以及Symbian OS是如何执行这一格言的 理解可信计算基础（Trusted Computing Base ）的目标以及为什么重要的原因 了解许多OS APIs 在被使用之前不需要进行安全检查 知道不使用敏感的系统服务的自签名软件是“不可信的”，但可以安装手机上并进行运行，不过它是被有效得包在”沙箱“中（effectively “sandboxed”） 进程是信任的单元 平台安全中一个最进本的概念是 信任单元的定义 Symbian OS 定义进程作为最小的信任单元 进程 (绝大多数情况下即, 应用程序或服务器) 代表用户运行在手机上 进程可以 由生产商构建到手机中 也可以在手机离开工厂以后安装到手机上 进程是信任的单元 平台安全控制一个进程能做什么 将它的活动限制在适当的权限中 操作系统不会满足一个服务请求，如果进程不能提供需要的权限 没有合适的权利 进程被认为是不足以信任的 进程是信任的单元 进程被认为是最小的信任单元 因为它是Symbian OS中内存保护的单元 手机硬件引发一个处理器错误 如果对进程进行访问的地址没有在该进程的虚拟地址空间中 Symbian OS 相信 一个进程不能直接访问其他的虚拟地址空间 硬件会阻止这种事情发生! 进程是信任的单元 硬件辅助保护 提供了软件安全模型的基础 内核中转IPC 通过进程间安全的共享数据 进程是信任的单元 对运行在Symbina OS中的进程上，应用有四个对应的信任层 范围从安全的可信到安全不可信 它们是: 可信计算基础（The Trusted Computing Base ,TCB) 可信计算环境（The Trusted Computing Environment ，TCE) 其他信任（签名软件）（Other trusted (signed) software） 平台其他（未签名，因此也不可信） 可信计算基础 (TCB) TCB Symbian OS中最可信任的部分 它控制低级的安全机制 它有责任维护系统的完整性 TCB中的代码 以Symbian OS的最高优先级运行 可信计算基础(TCB) 为了能够进行TCB可信性的验证 TCB 被保持得尽可能的小和简单 Symbian OS TCB 已经被仔细的检查过 例如通过逐行的代码审查 以确保其中的代码能够正确运转, 能被认为是可信的 可信计算基础(TCB) TCB 包含了操作系统的内核，后者负责照看每个进程的细节 包括赋予进程的权限集合 文件服务器也是TCB的一部分 因为它被用于将程序代码加载到进程中 代码的权限信息在内核加载进程时建立 可信计算基础(TCB) 对于“封闭的（closed）”的Symbian OS 手机 它们是不支持本地扩展（add-on）软件安装的 TCB 包括 内核 内核一侧设备驱动器 文件服务器 可信计算基础(TCB) 绝大多数Symbian OS 手机是“开放的（open）” 因此软件安装器 (SWInstaller) 也构成了TCB的一部分 当安全SIS包中的文件时，安装器T运行 它从安装包中提取文件，包括程序二进制代码 SWInstall 具有重要的角色 将程序二进制要求的权限与安装包的数字签名进行确认 可信计算基础(TCB) 严格的说 内存管理单元（MMU）和其他安全相关硬件都是TCB的一部分 它们不会在这里讨论，因为Symbian不提供手机硬件 绝大多数用户库不包含在TCB中 只有需要被文件服务器或者软件安装器使用的极少数属于... ...例如，密码系统库在信任的最高等级 可信计算环境 (TCE) TCE 包括移动电话中的可信软件 由Symbian提供的 或者由其他供应商提供的 例如UI平台提供商以及手机生产商 TCE 代码被断定为可信的 但是它不是需要最高权限才能运行 并被赋予较少的特权 因此比运行在TCB中的代码可信度弱一些 可信计算环境(TCE) 在TCE中 每个组件