摘  要： 設計了一種專門應用于企業(yè)級系統(tǒng)移動智能終端訪問控制框架，拓展DTE安全機制，彈性動態(tài)地對重要應用進程進行預留系統(tǒng)資源且對其進行統(tǒng)一分配與管理，能夠有效預防系統(tǒng)資源競爭而發(fā)生的沖突問題。相比傳統(tǒng)的訪問控制框架而言，該移動智能終端訪問控制框架不僅保證了企業(yè)級系統(tǒng)敏感數(shù)據信息的機密性和完整性，同時也滿足了可用性要求。
關鍵詞： 移動智能終端；訪問控制框架；預留系統(tǒng)資源；可用性

    隨著現(xiàn)代信息科技的不斷進步，移動智能領域獲得了前所未有的發(fā)展，移動智能終端逐漸成為人們生活中不可缺少的日常工具，如移動智能手機、商務掌中寶、個人數(shù)字助理等。由于在便攜性與智能計算能力等方面得到了廣泛提高，移動智能終端已開始應用于各大行業(yè)領域。與此同時，移動智能終端的安全問題也愈來愈突出，如病毒感染、惡意代碼攻擊、數(shù)據信息泄露、系統(tǒng)資源浪費、應用進程無法響應以至于死機等。企業(yè)級系統(tǒng)是一個國家賴以生存的支柱型行業(yè)領域，對移動智能計算的需求也逐漸提升。因此，如何保證企業(yè)級系統(tǒng)移動智能終端的安全性，已成為備受關注的焦點。
    機密性、數(shù)據完整性以及可用性是用戶對移動智能終端的基本安全需求。傳統(tǒng)的訪問控制技術只能有效地保證數(shù)據信息的機密性與完整性，對可用性并沒有進行充分的考慮與完善。傳統(tǒng)訪問控制技術的應用場合一般針對于個人PC。盡管移動智能終端的軟硬件配置都在不斷提高，但與個人PC相比還是顯得不足。不良攻擊型的代碼應用程序更容易導致系統(tǒng)資源的浪費，致使企業(yè)級系統(tǒng)中的重要應用進程得不到及時響應，從而形成分布式拒絕服務（DDos）攻擊，所以若將傳統(tǒng)訪問控制技術直接應用于移動智能終端中，移動智能終端的安全性將得不到保障。相比于個人PC、工作服務器等平臺，企業(yè)級系統(tǒng)移動智能終端主要包括以下幾個特點：(1)移動智能計算能力與系統(tǒng)資源有限；(2)通信交互依賴于無線網絡等公共媒介；(3)單一型用戶系統(tǒng)；(4)易丟失、盜竊等。
    企業(yè)級系統(tǒng)移動智能終端的各個特點對訪問控制技術提出了更高標準，如可用性、實時性等?？捎眯允侵敢苿又悄芙K端[1]必須對重要的、關鍵的企業(yè)級系統(tǒng)應用進程進行及時響應；實時性是指移動智能終端應該與企業(yè)級系統(tǒng)進行實時交互，實現(xiàn)一體化操作等。
1 相關研究
    迄今為止，已有一些研究學者與單位鉆研于如何提高移動智能終端的安全性，也提出了眾多相對應的安全解決方案與安全結構。例如可信計算組織(Trusted Computing Group)設計出一種統(tǒng)一的TCG移動智能終端安全系統(tǒng)結構[2]，且應用平臺不限于移動智能終端，也可以是個人PC與工作服務器。在TCG安全系統(tǒng)結構中，主要包括以下幾種特點：(1)系統(tǒng)安全保護能力；(2)移動智能終端數(shù)據信息完整性比較；(3)一份通過完整性比較之后得到的系統(tǒng)安全完整性報告。在系統(tǒng)安全保護能力這個特點中，可信計算組織定義了一個移動智能終端訪問控制機制，主要是保護那些涉及敏感數(shù)據訪問的應用進程?？尚乓苿悠脚_（Trusted Mobile Platform）是針對移動無線平臺提出的一種TMP移動智能終端安全系統(tǒng)結構，這個安全系統(tǒng)結構主要包括硬軟件安全結構[3]以及相關規(guī)范。TMP安全系統(tǒng)結構中的軟件結構通過硬件特點來提升整個移動智能平臺的安全性能。一般基于可信條件下的移動智能終端支持兩種不同的訪問控制模型，分別為自主動態(tài)模型與強制命令模型。這兩個訪問控制模型都建立在硬件的域分欄機制之上，以確保對數(shù)據信息與系統(tǒng)資源的訪問都是通過合法授權的。
    通過上述歸納分析，雖然已有多種移動智能終端安全解決方案與安全結構，但始終未從移動終端的硬件條件與水平以及企業(yè)級系統(tǒng)的角度出發(fā)，致使在基于有限的系統(tǒng)資源的條件下無法確保企業(yè)級系統(tǒng)重要的應用進程及時得到響應與交互。本文設計的基于企業(yè)級系統(tǒng)移動智能終端的訪問控制框架，不僅能夠保證數(shù)據信息的機密性與完整性，同時也滿足了可用性要求。
2 系統(tǒng)訪問控制框架
    企業(yè)級系統(tǒng)的移動智能終端是單一型用戶系統(tǒng)，系統(tǒng)中主動操作訪問控制的主體是應用進程。受到保護的客體主要分為以下幾種：(1)動態(tài)系統(tǒng)資源：移動智能系統(tǒng)中動態(tài)調度與管理的資源，如物理內存頁面、時間消耗量以及CPU處理時間等。(2)靜態(tài)系統(tǒng)資源：移動智能系統(tǒng)中靜態(tài)或固定存在的資源，如敏感數(shù)據信息、軟硬件接口等。
    關于靜態(tài)系統(tǒng)資源的訪問控制機制已有較為成熟的訪問控制框架模型，其中DTE安全機制[4]由于各種優(yōu)于其他訪問控制機制的特點而受到關注，如簡單靈活多變、結構功能強大等，且多用于Linux、Unix等操作系統(tǒng)中。因此選擇DTE安全機制作為企業(yè)級系統(tǒng)的移動智能終端訪問控制框架的雛形模型，用于控制對靜態(tài)系統(tǒng)資源的訪問與應用，且依據企業(yè)級系統(tǒng)的不同安全需求對DTE安全機制進行配置與完善。在企業(yè)級系統(tǒng)數(shù)據信息的機密性與完整性得到保證的條件下，彈性地對DTE安全機制進行拓展，提高其移動智能終端的可用性。此外，提出一種系統(tǒng)資源預留的相關概念，在其訪問控制框架中引入了動態(tài)系統(tǒng)資源控制功能，為企業(yè)級系統(tǒng)實時交互的重要應用進程預留系統(tǒng)資源，防止與其他應用進程產生資源競爭與沖突，從而確保系統(tǒng)及時響應關鍵應用進程。
    如圖1所示，在企業(yè)級系統(tǒng)的移動智能終端訪問控制框架中，在基于可信[5]的整體系統(tǒng)環(huán)境下，主體（主動進程）向安全服務器提交對客體（被保護）的訪問請求，訪問代理機制在安全服務器中截取到相關訪問請求，以安全標準策略庫為依據，從中獲取對應的安全標準策略信息，按照被保護客體的類型將訪問請求與對應的安全標準策略一同提交到預留控制器（動態(tài)預留系統(tǒng)資源）以及訪問控制器（靜態(tài)訪問系統(tǒng)資源）中，然后通過它們得到相關的訪問決策信息，最后將一系列的最終結果回饋給訪問代理機制，且將訪問決策信息通知主體。

3 功能實現(xiàn)與詳細設計
3.1 訪問代理機制
    主動進程向安全服務器發(fā)出相關的訪問請求，然后由訪問代理機制獲取其訪問請求信息，且從安全標準策略庫中取得相對應的安全標準策略信息。依據不同類型的訪問請求信息，訪問代理機制將其訪問請求以及其對應的安全標準策略一同發(fā)給預留控制器與訪問控制器，通過它們的結果回饋給訪問代理機制，最終由其訪問代理機制將結果回復給主動進程。具體操作流程信息如下：(1)訪問代理機制，獲取相關的訪問請求信息；(2)從移動智能終端系統(tǒng)中得到相對應的安全標準策略信息；(3)安全標準策略信息可以區(qū)別為預留策略信息與訪問策略信息；(4)依據訪問請求的不同類型，將其各個策略信息相對應地交付給預留控制器與訪問控制器；(5)從預留控制器與訪問控制器中讀取相關裁定信息；(6)訪問代理機制，對裁定信息進行處理，并將相關結果通知主動進程。
3.2 訪問控制器
    在企業(yè)級系統(tǒng)的移動智能終端中，訪問協(xié)調控制不僅需要考慮安全性，而且也需要顧及到易用性，從而便于用戶進行相關管理與配置。訪問控制器采取了一些策略機制(如DTE安全策略)，如圖2所示。主要包括如下一些關聯(lián)對信息：

    (1)客體/型關聯(lián)對
    企業(yè)級系統(tǒng)移動智能終端中的客體依據不同需求信息可以分為4種不同級別的型，分別是與硬件接口相同級別的X_Interface型、與企業(yè)級系統(tǒng)敏感信息相關的X_Sensitive型、與企業(yè)級系統(tǒng)中的文件與操作數(shù)據相關聯(lián)的X_System型和與其他客體信息對應的X_Other型。
    (2)主動進程/域關聯(lián)對
    企業(yè)級系統(tǒng)移動智能終端中的主體(主動進程)一般分為Y_Trusted、Y_UnTrusted、Y_Certified 3個域。出廠就內嵌在移動智能終端中的固定應用進程與基本功能，一般屬于Y_Trusted域，此域中的主動進程權限最大，可以訪問移動智能終端中所有客體信息與系統(tǒng)資源。經過第三方驗證才能使用的應用進程與功能程序屬于Y_Certified域，此域中的主動進程權限中等，可以訪問X_Interface、X_Sensitive、X_Other等型中的客體信息。未經過第三方驗證的應用進程與功能程序都屬于Y_UnTrusted域，此域中的主動進程權限最低，僅能夠訪問X_Other型中的客體信息。
3.3 預留控制器
    (1)預留分類
    ①電池使用量預留：依據不同的應用進程與功能程序，采用不同的電池使用量模式，如省電模式[6]、標準模式等。
    ②CPU處理器時間預留：CPU處理器時間預留指的是主動進程所花費在移動智能處理器中的固定預留時間。移動智能終端為每一個主動進程在某個階段都預留有一定數(shù)量的CPU時間段。對于預留請求信息主要包括計算時間量與周期數(shù)量。計算時間量表明預留階段內的持續(xù)時間是多少；周期數(shù)量則表明某一次預留理論上能夠持續(xù)多少個階段。
    ③網絡通信帶寬預留：網絡通信帶寬預留表明在某些應用設備與網絡程序上所預留的執(zhí)行時間，單位為固定網絡發(fā)送接收包傳送個數(shù)。
    ④物理內存預留：此類型代表了一些物理內存頁面，主要是一些閑散系統(tǒng)資源，因此需要預留控制器滿足一些閑散資源的預留功能。
    ⑤資源預留庫：預留資源庫指的是幾種管理與調度主動進程中的某些類型的系統(tǒng)資源，可以包括至少一種已定義的不同類型預留。如資源預留庫SETi可以表示為：SETi={Power_Li，CPU_Time_Li}。
    (2)預留管理
    預留管理機制主要包括準入裁定、預留調度、預留執(zhí)行3個不同的環(huán)節(jié)。準入裁定環(huán)節(jié)是對預留請求信息是否被允許進行裁定；預留調度是基于不同的預留調度模式對移動智能終端的系統(tǒng)資源進行最大限度的使用；預留執(zhí)行是指確保主動進程可以使用其預留的系統(tǒng)資源。這3個環(huán)節(jié)都是互相關聯(lián)的，如使用不同的準入裁定，都會對預留調度的安全策略與預留執(zhí)行流程產生影響。
    ①準入裁定環(huán)節(jié)：對于企業(yè)級系統(tǒng)移動智能終端的每個不同類型的主動進程域中，只有屬于Y_Trusted域的主動進程才能預留系統(tǒng)資源，其余主體域提交的預留請求信息將會被作廢或者拒絕。
    ②預留執(zhí)行環(huán)節(jié)：預留控制器必須保證主動進程可以使用移動智能終端為其預留的系統(tǒng)資源，然而主動進程則可能耗盡其預留系統(tǒng)資源之后繼續(xù)執(zhí)行下去。依據不同預留系統(tǒng)資源的不同類型分析，預留執(zhí)行環(huán)節(jié)主要是把主動進程正在使用的預留系統(tǒng)資源的相關情況告知預留調度器，然后通過預留調度器中的安全策略對主動進程是否繼續(xù)執(zhí)行做出指示。下面以一個預留執(zhí)行示例(CPU處理器時間預留)進行詳細分析。如圖3所示。

    在CPU處理器時間預留的一個周期過程中，主動進程使用本身預留的系統(tǒng)資源階段稱之為強預留。在強預留階段中，某個主動進程僅僅允許優(yōu)先級比自身高的主動進程搶奪一定的預留系統(tǒng)資源，計時器A告知預留調度與處理階段結束。若移動智能終端的預留系統(tǒng)資源已經耗盡，通過使用其他主動進程預留的系統(tǒng)資源，某個主動進程繼續(xù)執(zhí)行下去，這個階段稱之為弱預留，此時某個主動進程可以被預留系統(tǒng)資源的主動進程或優(yōu)先級比自身高的主動進程搶奪其預留系統(tǒng)資源，計時器B告知預留調度與處理階段結束，若無法使用預留系統(tǒng)資源，將會同一般的主動進程一樣加入調度庫中進行處理。
    ③預留調度環(huán)節(jié)：在一般的系統(tǒng)資源預留模型中，主動進程與預留系統(tǒng)資源進行綁定，確保某個主動進程需要預留的系統(tǒng)資源時不會因為有其他主動進程相互競爭其系統(tǒng)資源而發(fā)生沖突。然而由于移動智能終端的現(xiàn)實情況，即系統(tǒng)資源限制性等原因，使用主動進程與預留系統(tǒng)資源綁定的形式將會致使過于剩余的預留系統(tǒng)資源，從而影響其終端系統(tǒng)的整體性能。企業(yè)級系統(tǒng)的移動智能終端是一個單一型用戶系統(tǒng)，在固定的時間節(jié)點只能有一個主動進程與用戶進行數(shù)據信息交互。由于預留的系統(tǒng)資源可以由多個主動進程進行共享獲取，所以可能存在并發(fā)訪問。系統(tǒng)需要對不同的主動進程進行不同類型安全策略地調度與處理。預留控制器一般是使用基于優(yōu)先級的安全調度策略，高優(yōu)先級的主動進程具有搶奪預留系統(tǒng)資源的高權限，低優(yōu)先權的主動進程只能排列在等待隊列之中，等待高優(yōu)先級的主動進程使用完成為止。
3.4 安全標準策略語言
    DTE安全策略機制主要是由描述性的策略語言進行定制使用，用戶可以很靈活、便攜地管理和配置其策略。在企業(yè)級系統(tǒng)的移動智能終端中，安全策略文件與數(shù)據信息一般將其編譯成二進制類型，然后在終端系統(tǒng)開啟時加載到其安全標準策略庫中，從而確保安全服務器使用正常。
    安全標準策略語言示例描述如下：
    #Domain Definitions
    / bin/ phone = Y_Trusted
    / usr/ bin/ mpIayer = Y_Certified
    #Type Definitions
    / ect/ network = X_System
    / usr/ IocaI/ abc. mpe = X_Sensitive
    #Access ControI Materix
    （Y_Trusted，X_System，all）
    （Y_Certified，X_Sensitive，rw）
    #Constraints
    （Y_Certified，X_Sensitive，
    TimeintervaI！4：00！19：00）
    #Reservation Definitions
    CPU_Time_L1=10ms，＊＊＊
    Memory_L1=50
    Power_L1= strict
    Set1 =｛CPU_Time_L1，Memory_L1｝
    Set2 =｛Power_L1｝
    / bin/ phone 70
    本文提出了一種基于企業(yè)級系統(tǒng)的移動智能終端訪問控制框架，通過拓展DTE安全機制，彈性動態(tài)地為重要應用進程預留系統(tǒng)資源且對其進行統(tǒng)一分配與管理，有效預防系統(tǒng)資源競爭而發(fā)生沖突的問題。相比傳統(tǒng)的訪問控制框架而言，基于企業(yè)級系統(tǒng)的移動智能終端訪問控制框架不僅保證了企業(yè)級系統(tǒng)敏感數(shù)據信息的機密性、完整性，同時也滿足了其可用性要求。
參考文獻
[1] 辛陽，楊義先.移動終端安全模塊技術研究[J].通訊與電視，2005，31（11）：23-27.
[2] LAMPSON B W.Protection[J].Operating System Rev，1974，8(1)：18-24.
[3] SANDHU R，COYNE E J，F(xiàn)EINSTEIN H L，et al.Rolebased access control madels[J].IEEE Computer，1996，29(2)：38-47.
[4] Badger L，STERNE D F,SHERMAN D L，et al.Practical domain and type enforcement for UNIX[C].In：IEEE Symposium on Security and Privacy，OakIand，1995.
[5] 李濤，胡愛群.可信模塊與強制訪問控制結合的安全防護方案[J].東南大學學報（自然科學版），2011，41（3）：234-238.
[6] SCORDINO C，LIPARI G.Using resource reservation techniques for power-aware scheduling[C].In：Proc.of the 4th  ACM Intl.Conf.on Embedded Software，Pisa，2004.
[7] 劉偉，梁洪亮.移動終端系統(tǒng)的訪問控制框架[J].計算機科學，2006，33（6）：299-304.