基于加密SD卡的內網移動終端可信接入方案

李濟洋，趙鵬遠,3，劉喆

基于加密SD卡的內網移動終端可信接入方案

李濟洋1,2，趙鵬遠1,2,3，劉喆1,2

（1. 武漢大學國家網絡安全學院，湖北 武漢 430072；2. 武漢大學空天信息安全與可信計算教育部重點實驗室，湖北 武漢 430072；3. 河北大學網絡空間安全與計算機學院，河北 保定 071002）

為了解決因不可信移動終端非法接入內網導致的信息安全問題，設計了一種基于加密SD卡的內網移動終端可信接入方案。通過可信計算技術，以加密SD卡作為可信硬件設備實現了移動終端設備的可信啟動、完整性驗證與內網可信接入，并對接入后移動終端與內網的數據交互過程提供了一種加密通信安全存儲機制。實驗結果表明，該方案在不改變移動終端基本架構的前提下，較為高效地對移動終端進行安全性認證，并在一定程度上保護內網環境的安全。

移動終端；可信計算；加密SD卡；完整性度量

1 引言

隨著信息技術的不斷進步，智能終端產品不斷更新換代，整個信息產業領域早已邁入移動互聯網時代。近十年來，移動終端硬件性能配置與操作系統效率不斷提升，智能移動終端的計算能力相較于傳統終端已毫不遜色，應該領域也變得更加廣泛，經濟、文化、教育、能源甚至政治、軍事等領域智能移動終端的普及率已不亞于PC終端。但在智能移動終端帶給人們便攜和高效的同時，許多安全問題隨之而來。移動終端硬件架構與操作系統的日趨統一，在為移動終端應用開發提供優質環境的同時，為不法分子攻擊提供了方便之門，這使移動終端中存在的安全問題越來越尖銳。

2017年，中國互聯網協會、國家互聯網應急中心在京聯合發布《中國移動互聯網發展狀況及其安全報告（2017）》[1]，該報告基于CNCERT抽樣監測以及統計，2016年僅智能手機一項中國大陸活躍設備數已達到23.3億部，這一數據相較于2015年接近翻一番。而智能手機作為智能移動終端只是其中具有代表性的一部分，隨著移動互聯網產業的不斷升級，智能移動終端早已不局限于智能手機，各種智能穿戴設備、智能家居設備、智能車載設備等層出不窮。在個人移動終端的應用之外，移動終端在政務、教育、交通、電力等國家重要組織機構中也得到了廣泛使用。因其便攜性與日益強大的數據處理能力，大量的業務數據通過移動終端進行采集和處理，與此同時，移動終端管理上的難度與數據泄露的風險也逐漸攀升。

從內部網絡的整體系統來看，移動終端的可信只能保證內部網絡中一個組成部分的可信，雖然引入可信計算平臺對移動終端可以起到一定的防護作用[2]，然而要想不改變移動終端主板的原生架構，并完成基于可信計算平臺實現從用戶到終端再到網絡的整體安全可信，必須引入新的外置安全模塊。在充分考慮用戶不安因素的基礎上，不僅要分別考慮用戶、終端和網絡的安全，還要將三者聯動考慮，將用戶、移動終端的安全狀態延伸到整個網絡，讓整個網絡變得安全可信，從而從根源上解決內部網絡終端存在的安全威脅。基于上述安全問題，本文提出了一種內網移動終端可信接入方案，以解決內網環境中用于辦公的移動終端接入認證方面的安全問題。

2 相關研究工作

目前，移動終端普及各個行業與領域，網絡技術也發展迅速，內聯網的安全性受到越來越多的關注，并出現了許多內網移動終端安全解決方案。可信計算基于硬件安全模塊構建可信計算平臺，使用可信平臺模塊（TPM）芯片，通過完整性度量、完整性驗證、隔離修復等技術從系統底層開始通過層層度量認證設備安全性狀態，并構建一條完整的信任鏈，從而構成一個安全可信的終端系統[3-4]。可信計算組織曾成立了移動電話事業部（MPWG，mobile phone working group），試圖在移動電話領域拓展可信計算業務，發布移動可信模塊（MTM，mobile trusted module）相關使用規范，在移動電話中部署類似可信平臺模塊芯片解決移動電話的安全問題[5]。由于早期移動電話智能化程度不高，從硬件配置到操作系統和PC平臺均有較大區別，在移動終端上實現可信計算技術的具體方案最終未能落地。近年來，隨著移動互聯網的發展，移動終端的硬件架構、操作系統與業務能力逐步逼近PC終端，其安全需求也越來越高。學術界與工業界對移動終端設備安全問題不斷重視，移動終端可信狀態的研究與開發重新成為熱點內容[6]。鄭宇等[7]基于可信移動平臺技術（TMP，trusted mobile platform）對終端內部的相關認證信息安全傳遞問題進行了深入研究，該研究成果以OMAP730 處理器搭建硬件平臺基礎，設計了3種可信終端方案，分別是內置軟件形式TPM、內置硬件形態TPM和外置的獨立TPM。陳書義等[8]通過對終端安全邊界組件的可信設計，實現了一種基于移動可信模塊的可信平臺體系。王晉等[9]基于智能電網中移動終端應用場景，提出了一種基于內置可信硬件的智能移動終端遠程證明方案。趙波等[10]也提出了一種基于可信計算技術、面向嵌入式系統的安全啟動機制，在嵌入式平臺現有的硬件架構下，通過設計外置TPM模塊，信任鏈從嵌入式終端Bootloader階段開始，一直傳遞至上層應用程序，對嵌入式設備安全起到了一定保護作用。

上述工作多以TPM為終端設備的信任根，對于移動終端的使用環境及便攜性要求沒有進行進一步的研究與分析，無法直接應用于內網環境中使用的移動終端的可信性驗證；而且對于接入服務器端的移動終端設備僅提供基礎的完整性認證服務，針對終端與服務器的數據交互過程未能提供一套完整的解決方案。

3 基于可信計算的內網移動接入方案設計

3.1 內網移動終端可信接入架構

移動終端的可信接入過程主要分為2個階段：第一階段是移動終端內部完整性證明，通過引入可信硬件構建信任根，在移動終端內部實現TPM的相應功能，以構建信任鏈的方式將信任的狀態一層一層傳遞到整個移動終端，完成移動終端內部可信環境的建立；第二階段是移動終端可信接入，通過移動終端設備向內網服務端證明自身硬件以及軟件配置信息等完整性狀態符合相應的安全策略，從而允許移動終端設備的接入訪問，實現移動終端設備的遠程證明。在遠程證明的完整性度量模型中，可信計算平臺依靠TPM部件和平臺完整性度量存儲報告機制，向認證服務端報告平臺或平臺關鍵部件的完整性度量值[10]。

圖1 整體結構

在通過完整性校驗、實現網絡接入后，為了進一步保護移動終端設備接入過程中由內網服務端下載的業務數據，需要進行基于密碼算法的加解密處理，使重要數據以密文的形式存儲在終端設備上，且僅能通過安全應用訪問讀取，從而保證整個接入流程不會存在惡意入侵以及隱私泄露等安全問題[11]。

本文所提接入方案采用加密SD卡作為移動終端可信接入的硬件基礎，加密SD卡適用于標準SD卡槽（也可以通過讀卡器接入OTG接口或者Type-C接口），在不改變移動終端硬件架構的前提下，適用于目前市面上大多數移動終端設備。加密SD卡提供讀寫、隨機數生成、摘要算法、密鑰生成、數據加解密、電子證書管理、安全存儲空間等功能[12]。本文方案利用加密SD卡的合規真隨機數發生器生成密鑰對AIK（Pub，Prvt），并將其存入安全存儲空間中。在加密SD卡完成注冊后，除非進行格式化，否則無法修改或者覆蓋安全存儲空間內的數據，從而確保密鑰對AIK（Pub，Prvt）的唯一性和不可替代性[13]，并以之為信任根，通過層層度量的信任傳遞方式構建信任鏈。對加密SD卡提供的各類密碼算法進行統一整合封裝為可信中間件，為遠程證明、數據加密等安全功能提供技術支持。

3.2 內網移動終端可信接入模型

3.2.1 移動終端內部完整性證明模型

基于安全SD卡，將其作為外置可信平臺模塊，結合用戶手動輸入的PIN碼實現信任基的構建，并設計一種適用于移動終端的信任鏈模型，從Bootloader 到上層應用程序啟動過程中，各個組件的度量標準值由安全TF卡中的密鑰簽名存放，并進行度量對比，保證整個系統啟動過程的可信，如圖2所示。

整個移動終端可信啟動流程如下。

步驟1 引入第三方可信硬件設備安全SD卡，將具備度量功能的相關執行代碼存放于安全SD卡的安全存儲區域中，該區域受到硬件安全技術保護，設定其在任何情況下均不會受到非法入侵及篡改。則具備度量功能的Boot loader代碼可以成為整個移動終端啟動過程中的信任起點，提供最初始的信任狀態。

步驟2 移動終端設備通過電源加電啟動后，首先從處理器片內ROM鏡像的啟動引導代碼，引導移動終端系統開始執行Boot loader代碼，并將其加載到設備內存中。Boot ROM通過硬件方式固化在對應移動終端硬件設備中，用戶不具備Boot ROM相關更改權限。

步驟3 系統在Boot loader啟動后，先完成硬件的初始化，然后對內核Kernel進行尋址，通過其中的度量功能，對內核Kernel進行可信度量，將度量值與預先存儲在加密SD卡中的標準值進行比對，如果比對結果一致，證明內核Kernel運行狀態安全可信，則將控制權限賦予Kernel。

步驟4 移動終端內核Kernel裝載完成，進一步完成各種軟硬件環境的初始化，加載移動終端設備功能相關的各類驅動程序，掛載根文件系統，同時執行Init進程，完成軟硬件環境初始化，啟動移動終端設備操作系統。

步驟5 移動終端操作系統啟動完畢，準備執行各項身份認證、業務數據讀寫等工作。

圖2 信任鏈構建

3.2.2 移動終端可信接入模型

移動終端接入網絡進行身份驗證的流程中，有移動終端、內網服務端和認證服務器3個實體參與。加密SD卡在初始化過程中，生成了公私密鑰對AIK（Pub，Pvt）且存入安全存儲空間中。在加密SD卡完成注冊后，除非進行格式化，否則無法修改或者覆蓋安全存儲空間內的數據，從而確保密鑰對AIK（Pub，Prvt）的唯一性和不可替代性。將裝載加密SD卡的移動終端視為一個整體，通過隨機數結合密鑰對AIK（Pub，Prvt）的方式完成其身份認證，在利用移動終端可信中間件中認證服務模塊模擬TPM對移動終端進行完整性度量[14]，將度量值存儲在加密SD卡的私有存儲區。

圖3 接入認證模型

具體步驟如下。

步驟1 移動終端通過安全應用向內網服務端發起網絡接入請求，請求接入內網服務器：Req_Access（Client）。

步驟2 內網服務端接受請求后，向認證服務器發送移動終端身份挑戰請求，請求認證服務器發起移動終端的身份認證挑戰：Rsp_Challenge(Server)。

步驟3 認證服務器接受內網服務端的挑戰請求后，向申請接入內網的移動終端發起身份認證挑戰Rsp_Challenge(Server)。

步驟4 移動終端接收到認證服務器發送的挑戰信息后，通過安全應用調用可信中間件（認證服務），調用存儲在SD卡安全空間中的公私密鑰對AIK（Pub，Prvt），通過公私密鑰對配合隨機數生成功能，完成可防制重放攻擊的身份認證，將認證信息返回給認證服務器。

步驟5 身份認證通過后，認證服務器向內網服務端反饋請求接入內網服務端的移動終端的身份信息，并且請求完整性策略：Req_ Strategy(Client)。

步驟6 內網服務端向認證服務器發送對移動終端要求的完整性策略：Rsp_Strategy (Server)。

步驟7 認證服務器向移動終端發起完整性校驗請求：Req_state (Server)。

步驟8 移動終端度量完整性狀態，并返回度量值至認證服務器，提供度量數據與完整性策略進行對比：Rsp_state (Client)。

步驟9 認證服務器將完整性度量值與安全策略對比：Comp_Strategy (Client, Server)。

步驟10 對比通過接入內網服務端，不通過則返回隔離修復，再次度量對比：Rsp_Pass (Client)，Rsp_Reject (Server)。

步驟11 通過接入，移動終端與內網服務器實現信息交互。

圖4 數據加密

3.2.3 內網移動終端業務數據加密模型

移動終端接入內網服務器后，必然會與服務器之間進行各種數據的交互工作，如圖4所示，本文方案提出了一套數據安全交互加密方法，從移動終端收發消息，均通過安全應用調用可信中間件基于加密SD卡提供的加解密服務接口，存儲在移動終端的數據均以密文形式放置在加密SD卡的安全存儲空間中，有效防護了由于移動終端的使用不當導致內網重要數據泄露風險。

具體工作流程如下。

步驟1 移動終端通過安全應用請求從服務端下載數據：Req_Data(Download)。

步驟2 外網服務端接收數據下載請求，進行傳輸數據：Rsp_Data(Server)。

步驟3 通過可信中間件（加解密服務）在接入數據流寫入存儲空間前進行加密處理，寫入存儲空間的數據流，即密文：Encrypt（Storage）。

步驟4 通過可信中間件（加解密服務）實現對數據的讀寫等操作：Decrypt（Read），Encrypt（Write）。

步驟5 移動終端通過安全應用向服務端請求上傳數據Req_Data(Upload)。

步驟6 內網服務端接受上傳請求：Rsp_Data(Accept)。

步驟7 安全應用通過可信中間件（加解密服務）對上傳數據流進行解密操作：Decrypt（Upload）。

步驟8 移動終端通過安全應用上傳數據至服務端：Rsp_Data(Upload)。

4 實驗方案

4.1 實驗環境搭建

為了驗證本文提出的基于加密SD卡的內網移動終端可信接入方案，搭建了對應的演示系統，并對其安全性功能與運行性能進行了測試，具體的硬件配置環境如下。

加密SD卡：三未信安公司生產的安全microSD卡，該安全SD卡采用國產安全芯片，內置自主版權的SOC操作系統；內置合規電子硬件隨機數發生器（合規真隨機數發生器滿足國家隨機數檢驗標準及FIPS-140-2安全標準）；提供安全存儲空間，為數據與密鑰提供硬件層面的安全保護，支持多密鑰多證書安全加密存儲；基于硬件的密碼算法實現，支持國密算法及通用算法（公鑰私鑰加解密處理、數據摘要、簽名驗簽等密碼功能）。

移動終端環境：迅為iTOP-4412核心板，四核核心板，處理器方面搭載一塊三星Exynos4412四核處理器、主頻為1.4 GHz；存儲設備方面配置1 GB DDR3主存，8 GB eMMC只讀存儲空間；電源方面配置三星電源管理芯片，同時適用5 V電源；擴展接口方面支持SD/MMC/SDIO接口存儲卡擴展，最高支持32 GB存儲擴展；同時支持JPEG硬件編解碼；操作系統方面移植Android 4.2.2操作系統，對應內核版本為Linux 3.0。符合本文方案對于移動終端平臺的所有需求。

內網服務器模擬環境：Intel NUC，Core i5 5250U 處理器，1.6 GHz主頻，8.00 GB內存，SUSE Linux Enterprise 11操作系統。

4.2 實驗系統方案設計

4.2.1 移動終端內部完整性證明

使用模擬類似TPM可信根的部分功能，本文對功能接口進行封裝，設計實現類似TSS的模擬可信根中間件。在安卓下對安全SD卡的訪問接口進行封裝，得到可供上層直接調用的接口包，實現了模擬可信根設備管理、國密算法調用、通用算法調用、遠程證明等功能，包括實例創建、銷毀，用戶驗證，密鑰生成，密鑰管理，安全散列，安全存儲，隨機數生成等。1) 連接、斷開設備：連接加密SD卡后，創建設備實例，獲取句柄，才能進行其他操作。斷開與設備的連接后不能調用設備的任何功能。2) 訪問控制：每個加密SD卡只設置一個用戶，以PIN碼認證。

未進行認證之前，可以使用安全SD卡的以下功能：生成隨機數、對稱密碼算法、摘要算法、讀寫公有區文件等。用戶認證通過后，除了上述功能，還可以進行以下操作：在安全SD卡內部生成非對稱密鑰并存儲，非對稱密鑰的簽名驗簽、加解密，證書的導入導出，私有區文件讀寫等。

由于安全SD卡的硬件特性，為了防御可能的攻擊，在系統啟動后，針對可信中間件的實時特性，設計了針對Boot loader、Kernel和安全App的完整性校驗，終端用戶可以實時對上述內容進行完整性校驗，系統會給出相應反饋。該設計實現了應用場景交互過程中的按需度量，增加了攻擊者對移動終端進行攻擊的復雜度，有效增強了移動終端的安全性。在移動終端初次使用系統加電后，Boot loader的程序對Kernel進行度量，調用SHA1Input(&sha,(const unsigned char *) buf_ kernel, 0x50000)，采用 SHA-1 算法得到Hash值作為各組件的摘要，初始生成的需要驗證的模塊度量值作為校驗的標準值，調用write_refvalue_ emmc(CFG_KERNEL_OFFSET, Message_Digest)，密封保存在安全SD卡的安全非易失存儲空間中作為標準值。在移動終端后續工作過程中，每次啟動過程均會調用完整性度量函數與完整性標準值，通過read_refvalue_ emmc(CFG_KERNEL_ OFFSET, PCR)讀取度量值，調用cmp_pcr（Message_Digest，PCR）進行度量值驗證：如果完整性驗證通過，則繼續啟動內核；如果驗證不通過，則認為其完整性被破壞，可能代碼被篡改，需要提示用戶并中斷Kernel的啟動過程。Kernel啟動后，系統調用安全SD卡中的sansec. SWSDDemo. sym，并加載Android根文件系統。調用SWJAPI()和ShowMeasure()對android根文件系統中的關鍵應用程序進行安全度量。如果有不安全程序，則提示給用戶；如果所有組件都通過安全度量，則Android系統完成安全啟動全部過程。實現流程如圖5所示。

圖5 可信中間件的完整性度量流程

4.2.2 移動終端可信接入內網

移動終端安全接入原型系統網絡架構的實現如圖6所示，其中，移動終端作為網絡訪問者，通過建立數據傳輸通道，向內部網絡發起訪問，通信服務器作為策略執行點，將訪問請求發送給作為策略決策點的認證服務器，由認證服務器的訪問控制策略決定移動終端能否訪問內網服務端。

圖6 訪問控制實驗模型

移動終端接收內網認證端的質詢消息后，向對方報告身份信息和自身平臺完整性信息，該過程分為2個階段，即身份認證階段和平臺完整性認證階段。移動終端身份認證在身份證明協議的規范下，調用SDKey實例生成隨機數、執行密碼運算等，向內網認證端發送相關證明信息，方法如下。

public Nar() {

//移動終端作為訪問請求者

……

this.sdkey = sdkey;

StartConnect(); //啟動連接

tncClient=new TNCClient(sdkey,this);

SendAttestationMessage(); //發送證明信息

……

}

平臺完整性認證中，移動終端接收到來自內網認證端的質詢信息后，根據完整性證明協議，調用SDKey，獲取移動終端的平臺完整性度量值，然后將相應度量值信息發送給內網認證端，接受認證，方法如下。

public class Attestation {

public static final int TNC_PLATFORM_ ATTESTATION=1; //平臺身份證明標識

public static final int TNC_INTEGRITY_ ATTESTATION=2;//平臺完整性證明標識

int type=Utility.ByteArrayToInt ( Arrays. copyOfRange(message,0,4));

if (type == TNC_PLATFORM_ ATTESTATION) //平臺身份證明

{

SendAttestationMessage(); //發送身份證明信息

}

else if(type==TNC_INTEGRITY_ATTESTATION) //完整性證明

{

SendIntegrityMessage(); //發送平臺完整性信息

}

}

本文利用可信網絡的開源架構TNC@FHH對內部網絡的結構進行了改造，TNC@FHH是遵循TNC的相關規范和架構設計。移動終端安全接入網絡架構主要基于IEEE的802.1X協議實現，基于端口的接入控制（port-based access control）策略。在移動終端安全接入網絡架構中，移動終端以端口認證實體（PAE，port authentication entity）的形式向內部網絡設備發起訪問請求，對建立通信線路的通信端口而言，如果認證成功，則為客戶端（或應用程序）“打開”這個端口，允許所有的通信報文通過；否則將該端口保持“關閉”狀態，此時只允許符合802.1X協議要求的認證報文EAPoL（extensible authentication protocol over LAN）通過。

移動終端接入內部網絡的認證過程如下。

步驟1 移動終端按照協議向客戶端PAE發送EAPoL報文，這時，受控端口對客戶端是斷開狀態，客戶端PAE只能通過非受控端口與設備端PAE通信。

步驟2 設備端PAE通過非受控端口接收來自移動終端的認證請求后，將該請求轉發至認證服務器。

步驟3 認證服務器根據相關協議和訪問控制策略對移動終端的身份狀態和完整性狀態進行審核，認證通過后開放受控端口，否則拒絕移動終端的連接請求。

步驟4 移動終端通過安全認證后，可以安全接入內部網絡。

4.2.3 移動終端業務數據加密存儲

系統設計采用 SM4 加密算法。SM4是一種分組加密算法，通過將原始數據劃分為固定長度的多個數據塊依次進行加密，最終得到整個文件的加密結果。SM4算法的分組長度為128 bit，密鑰長度為128 bit。加密算法與密鑰擴展算法都采用32輪非線性迭代結構。解密算法與加密算法的結構相同，只是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序。當密鑰長度為128 bit時，足以應對各方面的安全性需求，同時算法的加密過程是基于置換和替代的，適用于軟件實現，具有安全高效的特點。因此，系統采用密鑰長度為 128 bit的SM4算法作為數據加密的算法。通過加密SD卡的加密功能，在移動終端收發數據時經可信中間件對數據進行加解密處理，用于加解密的密鑰存儲在安全SD卡內部受硬件保護，從而確保存儲在加密SD卡中的業務數據安全。

4.3 實驗系統測試

(1) 篡改移動終端安全運行環境攻擊測試

攻擊者通過篡改移動終端運行環境中有關完整性狀態的重要組件，使移動終端運行時完整性度量值與標準值不一致，從而導致移動終端完整性認證失敗，無法正常運行移動終端中的安全應用實現業務流程。恢復組件完整性狀態后，即可再次通過完整性狀態認證，正常運行安全應用。

(2) 數據盜用非法復制攻擊測試

攻擊者不經過安全應用直接讀取或復制經安全處理過的密文數據，僅能獲取數據經對稱加密處理后的無效亂碼，無法獲取有效數據。

(3) 性能測試

為了測試原型系統的性能，本文綜合統計裝載加密SD卡后移動終端設備完成整個可信接入過程耗時，并引入取消可信認證完整性度量相關功能后的正常接入過程做對比實驗。全過程為移動終端可信啟動、可信網絡接入服務器成功的總耗時；對照組實驗則注釋掉完整性度量、可信認證等功能，如圖7和表1所示。

圖7 可信接入開銷

表1 可信接入時間延遲

測試中，移動終端系統運行均未出現異常狀況，因可信環境建立造成的額外時間開銷在5.3~7.9 s之間，平均開銷對系統啟動的影響在8%左右，對系統啟動過程造成的影響在可接受的范圍內。

5 方案分析

在企業機構信息化建設過程中，內網覆蓋的工作人員完成業務工作時會大量使用移動終端。一種適用于移動終端的安全接入方案，需要具備如下2個條件：1) 移動終端身份以及平臺完整性驗證；2) 移動終端使用過程中產生的業務數據安全存儲。

本文方案通過引入加密SD卡的形式，構建整個移動終端接入流程的可信。目前投入使用的絕大多數移動終端具備標準SD卡槽，相較于USBKey等外接安全模塊，加密SD卡因其小巧便攜更適用于移動終端，且不需要改變移動終端的硬件架構。目前一體化較高的為提供加密SD卡的智能手機，也可以通過讀卡器等工具接入OTG接口或者Type-C接口作為外置可信硬件提供各類可信服務。針對第一個要求，本文方案以加密SD卡為可信硬件，在移動終端中創造一個可信根，并以之為起點通過層層度量的方式構建一條信任鏈，將信任狀態傳遞到整個移動終端。本文方案同時為移動終端的身份證明設計了身份認證與完整性度量工作，通過引入可信網絡連接的思想，保證移動終端接入內網服務器時的狀態可信，有效地防制重放攻擊等常見的安全接入問題。針對第二個要求，本文方案采用的加密SD卡具備數據加密存儲功能，通過調用內置加密算法，提供基于安全存儲設備的數據加密存儲，實現重要數據的安全存儲。

本文方案實現了內網移動終端可信接入的相關需求，有效地增強了移動終端平臺的安全性能。

6 結束語

本文基于可信計算的思想，通過引入加密SD卡的方式，設計并實現了一種移動終端遠程可信接入方案。該方案從移動終端內部完整性證明、移動終端可信接入和重要數據存儲安全加密3個方面實現了內網環境下移動終端安全校驗及可信接入。并且通過加密SD卡的方式充分利用大多數移動終端具備的標準SD卡槽接口，無須改變移動終端硬件結構，具備較高的實用性與可行性。但本文方案僅在部分Android系統版本的移動終端進行實驗驗證，在模擬客戶端中測試了原型系統工作效率，并未能在具體業務環境中進行試點，有關OTG接口或者Type-C接口接入方式僅驗證了可行性，未進一步驗證其數據傳輸效率。后續工作將會引入具體工作流程中進行測試更為復雜的安全需求。

[1] 中國互聯網協會.中國移動互聯網發展狀況及其安全報告 (2017) [R].北京：中國互聯網協會.2017.5.

Internet Society of China. China mobile Internet development and security report (2017) [R]. Beijing: Internet Society of China. 2017.5.

[2] 趙波, 張煥國, 李晶, 等. 可信PDA計算平臺系統結構與安全機制[J]. 計算機學報, 2010, 33(1): 82-92.

ZHAO B, ZHANG H G, LI J, et al. The system architecture and security structure of trusted PDA[J]. Chinese Journal of Computers, 2010, 33(1): 82-92.

[3] 沈昌祥, 張煥國, 馮登國, 等. 信息安全綜述[J]. 中國科學:技術科學, 2007, 37(2):129-150.

SHEN C X, ZHANG H G, FENG D G, et al. Summary of information security[J]. Scientia Sinica Informations, 2007, 37(2): 129-150.

[4] 張立強, 張煥國, 張帆. 可信計算中的可信度量機制[J]. 北京工業大學學報, 2010, 36(5):586-591.

ZHANG L Q, ZAHNG H G, ZHANG F. The trust measurement scheme in trusted computing[J]. Journal of Beijing University of Technology, 2010, 36(5):586-591.

[5] 段新東,馬建峰.可證明安全的可信網絡存儲協議[J].通信學報,2011，32(5):169-174.

DUAN X D , MA J F. Provable secure trusted protocol for network storage[J].Journal on Communications,2011，32(5): 169-174.

[6] ZHANG H G, WANG F. A behavior based remote trust attestation model[J]. Wuhan University Journal of Nature Sciences, 2006, 11(6):1819-1822.

[7] 鄭宇, 何大可, 何明星. 基于可信計算的移動終端用戶認證方案[J]. 計算機學報, 2006, 29(8):1255-1264.

ZHENG Y, HE D K, HE M X. Trusted computing based user authentication for mobile equipment[J]. Chinese Journal of Computers, 2006, 29(8):1255-1264.

[8] 陳書義, 聞英友, 趙宏. 基于可信計算的移動平臺設計方案[J]. 東北大學學報(自然科學版), 2008, 29(8):1096-1099.

CHEN S Y, WEN Y Y, ZHAO H, et al. Conceptual design of trusted mobile platform[J]. Journal of Northeastern University (Natural Science), 2008, 29(8):1096-1099.

[9] 王晉, 喻瀟, 劉暢, 等. 智能電網環境下一種基于SDKey的智能移動終端遠程證明方案[J]. 信息網絡安全, 2018, 7(1): 1-6.

WANG J, YU X, LIU C, et al. A remote attestation scheme for intelligent mobile terminal based on SD key in smart grid environment [J]. Netinfo Security, 2018, 7(1): 1-6.

[10] 趙波, 費永康, 向騻,等. 嵌入式系統的安全啟動機制研究與實現[J]. 計算機工程與應用, 2014, 50(10):72-77.

ZHAO B, FEI Y K, XIANG S, et al. Research and implementation of secure boot mechanism for embeddedsystems[J]. Computer Engineering and Applications, 2014, 50(10): 72-77.

[11] 趙世軍, 馮登國. 基于屬性證明的可信網絡接入方案[J]. 武漢大學學報(理學版), 2012, 58(6):519-525.

ZHAO S J, FENG D G. A TNC Trusted network connection schema based on property attestation[J]. Journal of Wuhan University(Natural Science Edition), 2012, 58(6): 519-525.

[12] 彭國軍 ,邵玉如，鄭祎 .移動智能終端安全威脅分析與防護研究 [J]. 信息網絡安全，2012,12(1): 58-63.

PENG G J, SHAO Y R, ZHENG Y. Mobile intelligent terminal security threat analysis and protection research[J]. Netinfo Security, 2012,12(1): 58-63.

[13] JAEGER T, SAILER R, SHANKAR U. PRIMA: policy-reduced integrity measurement architecture[C]//The 11th ACM Symposium on Access Control Models and Technologies. 2006: 19–28.

[14] 李春雅. 基于802.1X的可信網絡連接認證模型研究和實現[D]. 西安: 西安電子科技大學, 2010, 10(7): 85-92.

LI C Y. Research and implementation of the trusted network connection authentication model based on 802.1X[D]. Xi’an: Xidian University, 2010, 10(7): 85-92.

Trusted access scheme for intranet mobile terminal based on encrypted SD card

LI Jiyang1,2, ZHAO Pengyuan1,2,3, LIU Zhe1,2

1. School of Cyber Science and Engineering, Wuhan University, Wuhan 430072, China 2. Key Laboratory of Aerospace Information Security & Trusted Computing, Ministry of Education, Wuhan University, Wuhan 430072, China 3. School of Cyber Science and Engineering, Hebei University, Baoding 071002, China

In order to solve the problem of information security caused by illegal access of untrusted mobile terminals to intranet, a trusted access scheme for intranet mobile terminals based on encrypted SD card is designed. By using encrypted SD card as trusted hardware equipment, trusted start-up, integrity verification and Intranet trusted access of mobile terminal devices are realized. A secure storage and encrypted communication mechanism for data interaction between mobile terminal and Intranet is also created. The experimental results show that the scheme can effectively authenticate the security of mobile terminals without changing the basic architecture of mobile terminals, and to some extent protect the security of the Intranet environment.

mobile terminal, trusted computing, encrypted SD card, integrity measurement

The National High Technology Research and Development Program of China (863 Program) (No.2015AA016002)

TP309

A

10.11959/j.issn.2096?109x.2019042

李濟洋（1994?），男，湖北武漢人，武漢大學碩士生，主要研究方向為信息系統安全、網絡安全。

趙鵬遠（1979?），男，河北保定人，武漢大學博士生，主要研究方向為信息系統安全?網絡安全、可信計算。

劉喆（1989?），男，山東青島人，武漢大學博士生，主要研究方向為信息安全。

2019?04?02；

2019?06?06

李濟洋，ninjalee@whu.edu.cn

國家高技術研究發展計劃（“863”計劃）基金資助項目（No.2015AA016002）

李濟洋, 趙鵬遠, 劉喆. 基于加密SD卡的內網移動終端可信接入方案[J]. 網絡與信息安全學報, 2019, 5(4): 108-118.

LI J Y, ZHAO P Y, LIU Z. Trusted access scheme for intranet mobile terminal based on encrypted SD card [J]. Chinese Journal of Network and Information Security, 2019, 5(4): 108-118.