摘要：在分析移動(dòng)終端應(yīng)用、安全威脅及開放的終端內(nèi)部數(shù)據(jù)資源的基礎(chǔ)上，從保護(hù)移動(dòng)終端信息安全的角度出發(fā)，首次提出了移動(dòng)終端安全模塊的概念，并給出了安全模塊與基帶芯片和上位機(jī)的相對(duì)關(guān)系圖。就安全模塊的文件邏輯模型、軟件模塊及硬件模型進(jìn)行了概要設(shè)計(jì)和研究。
關(guān)鍵詞：移動(dòng)終端 安全模塊 基帶芯片 會(huì)話密鑰
隨著移動(dòng)通信業(yè)務(wù)的發(fā)展、普及，尤其是3G時(shí)代的到來(lái)，移動(dòng)終端逐漸演變成集通話、身份代表、信息獲取、電子支付等為一體的手持終端工具。伴隨著移動(dòng)終端用戶規(guī)模的迅速擴(kuò)大和諸多人員對(duì)移動(dòng)終端技術(shù)的了解，移動(dòng)終端正面臨著越來(lái)越多的安全威脅。下面列舉幾種典型的安全威脅。
（1）移動(dòng)終端身份序列號(hào)（例如GSM中的IMEI）的刪除和篡改等
由于IMEI號(hào)可用來(lái)統(tǒng)計(jì)用戶的終端類型、限制被盜終端在移動(dòng)網(wǎng)內(nèi)的重新使用等用途，所以IMEI號(hào)應(yīng)該具有一定的保護(hù)措施。
（2）終端操作系統(tǒng)非法修改和刷新等

由于非法操作系統(tǒng)可能會(huì)影響用戶使用并干擾正常網(wǎng)絡(luò)運(yùn)行，因此操作系統(tǒng)應(yīng)當(dāng)阻止一切非法的修改和刷新等。
（3）個(gè)人隱私數(shù)據(jù)（例如銀行賬號(hào)、密碼口令等）的非法讀取訪問(wèn)等
移動(dòng)終端內(nèi)部可能會(huì)存有用戶的電話簿、短信、銀行賬號(hào)、口令等用戶隱私信息，如果這些信息被他人非法獲得，很可能給用戶造成直接的經(jīng)濟(jì)損失。
（4）病毒和惡意代碼的破壞
病毒和惡意代碼很可能會(huì)破壞移動(dòng)終端的正常使用，還可能會(huì)將用戶的隱私信息不知不覺地傳給他人。
（5）移動(dòng)終端被盜等
目前移動(dòng)終端被盜現(xiàn)象極其嚴(yán)重，終端被盜給用戶帶來(lái)直接經(jīng)濟(jì)損失，更嚴(yán)重的是用戶隱私數(shù)據(jù)的泄漏等。
總之，移動(dòng)終端存在的安全隱患可能會(huì)威脅到個(gè)人隱私、私有財(cái)產(chǎn)甚于國(guó)家安全。盡管移動(dòng)終端面臨著許多的安全威脅，但目前其安全問(wèn)題仍是整個(gè)移動(dòng)運(yùn)營(yíng)網(wǎng)絡(luò)中的一個(gè)安全盲點(diǎn)。
1 開放的移動(dòng)終端內(nèi)部數(shù)據(jù)資源

圖1是移動(dòng)終端內(nèi)部結(jié)構(gòu)的典型模型。

一般，目前所有的敏感信息包括開關(guān)機(jī)口令、敏感電話簿、機(jī)密短信、證書、用戶私鑰等信息都存放在片外存儲(chǔ)器中，另外用于調(diào)試訪問(wèn)片內(nèi)資源的JTAG口等是開放的（目前沒有有效的方式封閉JTAG口）。所以攻擊者很容易通過(guò)JTAG口等調(diào)試端口獲得DBB內(nèi)部或者Flash中的存儲(chǔ)信息。甚于很多終端的JTAG口直接連在終端外邊，攻擊者連機(jī)殼等都不必打開，就可以獲得內(nèi)部資源。攻擊者當(dāng)然也可以將Flash芯片取下并采用專門的設(shè)備將內(nèi)部數(shù)據(jù)讀出。
基于以上介紹，出于為移動(dòng)終端內(nèi)部敏感數(shù)據(jù)資源提供集中的安全保護(hù)措施角度考慮，提出了安全模塊的概念。
2 安全模塊及與其他相關(guān)部分的關(guān)系
2.1安全模塊定義
為移動(dòng)終端所有或大部分敏感信息提供集中存放和運(yùn)算的芯片模塊，這里稱作安全模塊。
下面列舉一些安全模塊的典型作用：
·操作系統(tǒng)、身份序列號(hào)及其他信息的完整性保護(hù)等；
·敏感信息的安全存儲(chǔ)包括銀行賬號(hào)信息、銀行密碼信息、CA證書、密鑰等；

圖3

·關(guān)鍵數(shù)據(jù)的冗災(zāi)備份，如系統(tǒng)的各種配置信息等；
·機(jī)卡互鎖等手機(jī)防盜技術(shù)的實(shí)施等；
·密碼算法的存儲(chǔ)和運(yùn)算等。
2.2安全模塊與基帶芯片及上位機(jī)的關(guān)系
圖2是安全模塊與其他部分的關(guān)系圖。安全模塊與其他部分信息交互的端口，一個(gè)是安全模塊與上位機(jī)的接口——工作端口，一個(gè)是安全模塊與上位機(jī)的接口——調(diào)試端口，其中工作端口用于移動(dòng)終端正常工作時(shí)，安全模塊與基帶芯片進(jìn)行敏感信息的傳送。調(diào)試端口用于移動(dòng)終端生產(chǎn)甚至維修時(shí)安全模塊預(yù)設(shè)數(shù)據(jù)和個(gè)性化數(shù)據(jù)的裝入等。
為了防止安全模塊與基帶芯片之間敏感數(shù)據(jù)傳送過(guò)程中的被竊取或者搭線竊聽。安全模塊與基帶芯片之間的數(shù)據(jù)應(yīng)該密文傳送。傳輸中的會(huì)話密鑰，可以采用現(xiàn)有的密鑰協(xié)商協(xié)議臨時(shí)生成，例如Diff-Hellman等。

圖4

另外，安全模塊對(duì)上位機(jī)應(yīng)當(dāng)具有認(rèn)證功能，以防止非法主機(jī)對(duì)安全模塊的非法邏輯操作。
2.3基帶芯片部分說(shuō)明
基帶芯片中有一部分核心代碼，本部分代碼是安全的。這部分代碼的作用是與安全模塊會(huì)話密鑰的協(xié)商并及向移動(dòng)終端上層應(yīng)用安全模塊進(jìn)行數(shù)據(jù)交互的應(yīng)用程序端口。
3 安全模塊的文件邏輯模型和軟件邏輯模塊
3.1文件邏輯模型
根據(jù)安全模塊的功能，提出一種典型的安全模塊文件邏輯模型，如圖3所示。
從圖3可以看出，文件按分層結(jié)構(gòu)組織，共有三種類型。操作系統(tǒng)可以處理和訪問(wèn)不同文件中的數(shù)據(jù)。
·主文件（MF—Master File）
主文件代表一個(gè)功能大類，只有文件頭，沒有文件體。其下可以存放針對(duì)某一應(yīng)用領(lǐng)域的各種安全相關(guān)參數(shù)和數(shù)據(jù)。