摘  要： 設(shè)計了一種專門應(yīng)用于企業(yè)級系統(tǒng)移動智能終端訪問控制框架，拓展DTE安全機(jī)制，彈性動態(tài)地對重要應(yīng)用進(jìn)程進(jìn)行預(yù)留系統(tǒng)資源且對其進(jìn)行統(tǒng)一分配與管理，能夠有效預(yù)防系統(tǒng)資源競爭而發(fā)生的沖突問題。相比傳統(tǒng)的訪問控制框架而言，該移動智能終端訪問控制框架不僅保證了企業(yè)級系統(tǒng)敏感數(shù)據(jù)信息的機(jī)密性和完整性，同時也滿足了可用性要求。
關(guān)鍵詞： 移動智能終端；訪問控制框架；預(yù)留系統(tǒng)資源；可用性

    隨著現(xiàn)代信息科技的不斷進(jìn)步，移動智能領(lǐng)域獲得了前所未有的發(fā)展，移動智能終端逐漸成為人們生活中不可缺少的日常工具，如移動智能手機(jī)、商務(wù)掌中寶、個人數(shù)字助理等。由于在便攜性與智能計算能力等方面得到了廣泛提高，移動智能終端已開始應(yīng)用于各大行業(yè)領(lǐng)域。與此同時，移動智能終端的安全問題也愈來愈突出，如病毒感染、惡意代碼攻擊、數(shù)據(jù)信息泄露、系統(tǒng)資源浪費(fèi)、應(yīng)用進(jìn)程無法響應(yīng)以至于死機(jī)等。企業(yè)級系統(tǒng)是一個國家賴以生存的支柱型行業(yè)領(lǐng)域，對移動智能計算的需求也逐漸提升。因此，如何保證企業(yè)級系統(tǒng)移動智能終端的安全性，已成為備受關(guān)注的焦點(diǎn)。
    機(jī)密性、數(shù)據(jù)完整性以及可用性是用戶對移動智能終端的基本安全需求。傳統(tǒng)的訪問控制技術(shù)只能有效地保證數(shù)據(jù)信息的機(jī)密性與完整性，對可用性并沒有進(jìn)行充分的考慮與完善。傳統(tǒng)訪問控制技術(shù)的應(yīng)用場合一般針對于個人PC。盡管移動智能終端的軟硬件配置都在不斷提高，但與個人PC相比還是顯得不足。不良攻擊型的代碼應(yīng)用程序更容易導(dǎo)致系統(tǒng)資源的浪費(fèi)，致使企業(yè)級系統(tǒng)中的重要應(yīng)用進(jìn)程得不到及時響應(yīng)，從而形成分布式拒絕服務(wù)（DDos）攻擊，所以若將傳統(tǒng)訪問控制技術(shù)直接應(yīng)用于移動智能終端中，移動智能終端的安全性將得不到保障。相比于個人PC、工作服務(wù)器等平臺，企業(yè)級系統(tǒng)移動智能終端主要包括以下幾個特點(diǎn)：(1)移動智能計算能力與系統(tǒng)資源有限；(2)通信交互依賴于無線網(wǎng)絡(luò)等公共媒介；(3)單一型用戶系統(tǒng)；(4)易丟失、盜竊等。
    企業(yè)級系統(tǒng)移動智能終端的各個特點(diǎn)對訪問控制技術(shù)提出了更高標(biāo)準(zhǔn)，如可用性、實(shí)時性等?？捎眯允侵敢苿又悄芙K端[1]必須對重要的、關(guān)鍵的企業(yè)級系統(tǒng)應(yīng)用進(jìn)程進(jìn)行及時響應(yīng)；實(shí)時性是指移動智能終端應(yīng)該與企業(yè)級系統(tǒng)進(jìn)行實(shí)時交互，實(shí)現(xiàn)一體化操作等。
1 相關(guān)研究
    迄今為止，已有一些研究學(xué)者與單位鉆研于如何提高移動智能終端的安全性，也提出了眾多相對應(yīng)的安全解決方案與安全結(jié)構(gòu)。例如可信計算組織(Trusted Computing Group)設(shè)計出一種統(tǒng)一的TCG移動智能終端安全系統(tǒng)結(jié)構(gòu)[2]，且應(yīng)用平臺不限于移動智能終端，也可以是個人PC與工作服務(wù)器。在TCG安全系統(tǒng)結(jié)構(gòu)中，主要包括以下幾種特點(diǎn)：(1)系統(tǒng)安全保護(hù)能力；(2)移動智能終端數(shù)據(jù)信息完整性比較；(3)一份通過完整性比較之后得到的系統(tǒng)安全完整性報告。在系統(tǒng)安全保護(hù)能力這個特點(diǎn)中，可信計算組織定義了一個移動智能終端訪問控制機(jī)制，主要是保護(hù)那些涉及敏感數(shù)據(jù)訪問的應(yīng)用進(jìn)程。可信移動平臺（Trusted Mobile Platform）是針對移動無線平臺提出的一種TMP移動智能終端安全系統(tǒng)結(jié)構(gòu)，這個安全系統(tǒng)結(jié)構(gòu)主要包括硬軟件安全結(jié)構(gòu)[3]以及相關(guān)規(guī)范。TMP安全系統(tǒng)結(jié)構(gòu)中的軟件結(jié)構(gòu)通過硬件特點(diǎn)來提升整個移動智能平臺的安全性能。一般基于可信條件下的移動智能終端支持兩種不同的訪問控制模型，分別為自主動態(tài)模型與強(qiáng)制命令模型。這兩個訪問控制模型都建立在硬件的域分欄機(jī)制之上，以確保對數(shù)據(jù)信息與系統(tǒng)資源的訪問都是通過合法授權(quán)的。
    通過上述歸納分析，雖然已有多種移動智能終端安全解決方案與安全結(jié)構(gòu)，但始終未從移動終端的硬件條件與水平以及企業(yè)級系統(tǒng)的角度出發(fā)，致使在基于有限的系統(tǒng)資源的條件下無法確保企業(yè)級系統(tǒng)重要的應(yīng)用進(jìn)程及時得到響應(yīng)與交互。本文設(shè)計的基于企業(yè)級系統(tǒng)移動智能終端的訪問控制框架，不僅能夠保證數(shù)據(jù)信息的機(jī)密性與完整性，同時也滿足了可用性要求。
2 系統(tǒng)訪問控制框架
    企業(yè)級系統(tǒng)的移動智能終端是單一型用戶系統(tǒng)，系統(tǒng)中主動操作訪問控制的主體是應(yīng)用進(jìn)程。受到保護(hù)的客體主要分為以下幾種：(1)動態(tài)系統(tǒng)資源：移動智能系統(tǒng)中動態(tài)調(diào)度與管理的資源，如物理內(nèi)存頁面、時間消耗量以及CPU處理時間等。(2)靜態(tài)系統(tǒng)資源：移動智能系統(tǒng)中靜態(tài)或固定存在的資源，如敏感數(shù)據(jù)信息、軟硬件接口等。
    關(guān)于靜態(tài)系統(tǒng)資源的訪問控制機(jī)制已有較為成熟的訪問控制框架模型，其中DTE安全機(jī)制[4]由于各種優(yōu)于其他訪問控制機(jī)制的特點(diǎn)而受到關(guān)注，如簡單靈活多變、結(jié)構(gòu)功能強(qiáng)大等，且多用于Linux、Unix等操作系統(tǒng)中。因此選擇DTE安全機(jī)制作為企業(yè)級系統(tǒng)的移動智能終端訪問控制框架的雛形模型，用于控制對靜態(tài)系統(tǒng)資源的訪問與應(yīng)用，且依據(jù)企業(yè)級系統(tǒng)的不同安全需求對DTE安全機(jī)制進(jìn)行配置與完善。在企業(yè)級系統(tǒng)數(shù)據(jù)信息的機(jī)密性與完整性得到保證的條件下，彈性地對DTE安全機(jī)制進(jìn)行拓展，提高其移動智能終端的可用性。此外，提出一種系統(tǒng)資源預(yù)留的相關(guān)概念，在其訪問控制框架中引入了動態(tài)系統(tǒng)資源控制功能，為企業(yè)級系統(tǒng)實(shí)時交互的重要應(yīng)用進(jìn)程預(yù)留系統(tǒng)資源，防止與其他應(yīng)用進(jìn)程產(chǎn)生資源競爭與沖突，從而確保系統(tǒng)及時響應(yīng)關(guān)鍵應(yīng)用進(jìn)程。
    如圖1所示，在企業(yè)級系統(tǒng)的移動智能終端訪問控制框架中，在基于可信[5]的整體系統(tǒng)環(huán)境下，主體（主動進(jìn)程）向安全服務(wù)器提交對客體（被保護(hù)）的訪問請求，訪問代理機(jī)制在安全服務(wù)器中截取到相關(guān)訪問請求，以安全標(biāo)準(zhǔn)策略庫為依據(jù)，從中獲取對應(yīng)的安全標(biāo)準(zhǔn)策略信息，按照被保護(hù)客體的類型將訪問請求與對應(yīng)的安全標(biāo)準(zhǔn)策略一同提交到預(yù)留控制器（動態(tài)預(yù)留系統(tǒng)資源）以及訪問控制器（靜態(tài)訪問系統(tǒng)資源）中，然后通過它們得到相關(guān)的訪問決策信息，最后將一系列的最終結(jié)果回饋給訪問代理機(jī)制，且將訪問決策信息通知主體。

3 功能實(shí)現(xiàn)與詳細(xì)設(shè)計
3.1 訪問代理機(jī)制
    主動進(jìn)程向安全服務(wù)器發(fā)出相關(guān)的訪問請求，然后由訪問代理機(jī)制獲取其訪問請求信息，且從安全標(biāo)準(zhǔn)策略庫中取得相對應(yīng)的安全標(biāo)準(zhǔn)策略信息。依據(jù)不同類型的訪問請求信息，訪問代理機(jī)制將其訪問請求以及其對應(yīng)的安全標(biāo)準(zhǔn)策略一同發(fā)給預(yù)留控制器與訪問控制器，通過它們的結(jié)果回饋給訪問代理機(jī)制，最終由其訪問代理機(jī)制將結(jié)果回復(fù)給主動進(jìn)程。具體操作流程信息如下：(1)訪問代理機(jī)制，獲取相關(guān)的訪問請求信息；(2)從移動智能終端系統(tǒng)中得到相對應(yīng)的安全標(biāo)準(zhǔn)策略信息；(3)安全標(biāo)準(zhǔn)策略信息可以區(qū)別為預(yù)留策略信息與訪問策略信息；(4)依據(jù)訪問請求的不同類型，將其各個策略信息相對應(yīng)地交付給預(yù)留控制器與訪問控制器；(5)從預(yù)留控制器與訪問控制器中讀取相關(guān)裁定信息；(6)訪問代理機(jī)制，對裁定信息進(jìn)行處理，并將相關(guān)結(jié)果通知主動進(jìn)程。
3.2 訪問控制器
    在企業(yè)級系統(tǒng)的移動智能終端中，訪問協(xié)調(diào)控制不僅需要考慮安全性，而且也需要顧及到易用性，從而便于用戶進(jìn)行相關(guān)管理與配置。訪問控制器采取了一些策略機(jī)制(如DTE安全策略)，如圖2所示。主要包括如下一些關(guān)聯(lián)對信息：

    (1)客體/型關(guān)聯(lián)對
    企業(yè)級系統(tǒng)移動智能終端中的客體依據(jù)不同需求信息可以分為4種不同級別的型，分別是與硬件接口相同級別的X_Interface型、與企業(yè)級系統(tǒng)敏感信息相關(guān)的X_Sensitive型、與企業(yè)級系統(tǒng)中的文件與操作數(shù)據(jù)相關(guān)聯(lián)的X_System型和與其他客體信息對應(yīng)的X_Other型。
    (2)主動進(jìn)程/域關(guān)聯(lián)對
    企業(yè)級系統(tǒng)移動智能終端中的主體(主動進(jìn)程)一般分為Y_Trusted、Y_UnTrusted、Y_Certified 3個域。出廠就內(nèi)嵌在移動智能終端中的固定應(yīng)用進(jìn)程與基本功能，一般屬于Y_Trusted域，此域中的主動進(jìn)程權(quán)限最大，可以訪問移動智能終端中所有客體信息與系統(tǒng)資源。經(jīng)過第三方驗證才能使用的應(yīng)用進(jìn)程與功能程序?qū)儆赮_Certified域，此域中的主動進(jìn)程權(quán)限中等，可以訪問X_Interface、X_Sensitive、X_Other等型中的客體信息。未經(jīng)過第三方驗證的應(yīng)用進(jìn)程與功能程序都屬于Y_UnTrusted域，此域中的主動進(jìn)程權(quán)限最低，僅能夠訪問X_Other型中的客體信息。
3.3 預(yù)留控制器
    (1)預(yù)留分類
    ①電池使用量預(yù)留：依據(jù)不同的應(yīng)用進(jìn)程與功能程序，采用不同的電池使用量模式，如省電模式[6]、標(biāo)準(zhǔn)模式等。
    ②CPU處理器時間預(yù)留：CPU處理器時間預(yù)留指的是主動進(jìn)程所花費(fèi)在移動智能處理器中的固定預(yù)留時間。移動智能終端為每一個主動進(jìn)程在某個階段都預(yù)留有一定數(shù)量的CPU時間段。對于預(yù)留請求信息主要包括計算時間量與周期數(shù)量。計算時間量表明預(yù)留階段內(nèi)的持續(xù)時間是多少；周期數(shù)量則表明某一次預(yù)留理論上能夠持續(xù)多少個階段。
    ③網(wǎng)絡(luò)通信帶寬預(yù)留：網(wǎng)絡(luò)通信帶寬預(yù)留表明在某些應(yīng)用設(shè)備與網(wǎng)絡(luò)程序上所預(yù)留的執(zhí)行時間，單位為固定網(wǎng)絡(luò)發(fā)送接收包傳送個數(shù)。
    ④物理內(nèi)存預(yù)留：此類型代表了一些物理內(nèi)存頁面，主要是一些閑散系統(tǒng)資源，因此需要預(yù)留控制器滿足一些閑散資源的預(yù)留功能。
    ⑤資源預(yù)留庫：預(yù)留資源庫指的是幾種管理與調(diào)度主動進(jìn)程中的某些類型的系統(tǒng)資源，可以包括至少一種已定義的不同類型預(yù)留。如資源預(yù)留庫SETi可以表示為：SETi={Power_Li，CPU_Time_Li}。
    (2)預(yù)留管理
    預(yù)留管理機(jī)制主要包括準(zhǔn)入裁定、預(yù)留調(diào)度、預(yù)留執(zhí)行3個不同的環(huán)節(jié)。準(zhǔn)入裁定環(huán)節(jié)是對預(yù)留請求信息是否被允許進(jìn)行裁定；預(yù)留調(diào)度是基于不同的預(yù)留調(diào)度模式對移動智能終端的系統(tǒng)資源進(jìn)行最大限度的使用；預(yù)留執(zhí)行是指確保主動進(jìn)程可以使用其預(yù)留的系統(tǒng)資源。這3個環(huán)節(jié)都是互相關(guān)聯(lián)的，如使用不同的準(zhǔn)入裁定，都會對預(yù)留調(diào)度的安全策略與預(yù)留執(zhí)行流程產(chǎn)生影響。
    ①準(zhǔn)入裁定環(huán)節(jié)：對于企業(yè)級系統(tǒng)移動智能終端的每個不同類型的主動進(jìn)程域中，只有屬于Y_Trusted域的主動進(jìn)程才能預(yù)留系統(tǒng)資源，其余主體域提交的預(yù)留請求信息將會被作廢或者拒絕。
    ②預(yù)留執(zhí)行環(huán)節(jié)：預(yù)留控制器必須保證主動進(jìn)程可以使用移動智能終端為其預(yù)留的系統(tǒng)資源，然而主動進(jìn)程則可能耗盡其預(yù)留系統(tǒng)資源之后繼續(xù)執(zhí)行下去。依據(jù)不同預(yù)留系統(tǒng)資源的不同類型分析，預(yù)留執(zhí)行環(huán)節(jié)主要是把主動進(jìn)程正在使用的預(yù)留系統(tǒng)資源的相關(guān)情況告知預(yù)留調(diào)度器，然后通過預(yù)留調(diào)度器中的安全策略對主動進(jìn)程是否繼續(xù)執(zhí)行做出指示。下面以一個預(yù)留執(zhí)行示例(CPU處理器時間預(yù)留)進(jìn)行詳細(xì)分析。如圖3所示。

    在CPU處理器時間預(yù)留的一個周期過程中，主動進(jìn)程使用本身預(yù)留的系統(tǒng)資源階段稱之為強(qiáng)預(yù)留。在強(qiáng)預(yù)留階段中，某個主動進(jìn)程僅僅允許優(yōu)先級比自身高的主動進(jìn)程搶奪一定的預(yù)留系統(tǒng)資源，計時器A告知預(yù)留調(diào)度與處理階段結(jié)束。若移動智能終端的預(yù)留系統(tǒng)資源已經(jīng)耗盡，通過使用其他主動進(jìn)程預(yù)留的系統(tǒng)資源，某個主動進(jìn)程繼續(xù)執(zhí)行下去，這個階段稱之為弱預(yù)留，此時某個主動進(jìn)程可以被預(yù)留系統(tǒng)資源的主動進(jìn)程或優(yōu)先級比自身高的主動進(jìn)程搶奪其預(yù)留系統(tǒng)資源，計時器B告知預(yù)留調(diào)度與處理階段結(jié)束，若無法使用預(yù)留系統(tǒng)資源，將會同一般的主動進(jìn)程一樣加入調(diào)度庫中進(jìn)行處理。
    ③預(yù)留調(diào)度環(huán)節(jié)：在一般的系統(tǒng)資源預(yù)留模型中，主動進(jìn)程與預(yù)留系統(tǒng)資源進(jìn)行綁定，確保某個主動進(jìn)程需要預(yù)留的系統(tǒng)資源時不會因為有其他主動進(jìn)程相互競爭其系統(tǒng)資源而發(fā)生沖突。然而由于移動智能終端的現(xiàn)實(shí)情況，即系統(tǒng)資源限制性等原因，使用主動進(jìn)程與預(yù)留系統(tǒng)資源綁定的形式將會致使過于剩余的預(yù)留系統(tǒng)資源，從而影響其終端系統(tǒng)的整體性能。企業(yè)級系統(tǒng)的移動智能終端是一個單一型用戶系統(tǒng)，在固定的時間節(jié)點(diǎn)只能有一個主動進(jìn)程與用戶進(jìn)行數(shù)據(jù)信息交互。由于預(yù)留的系統(tǒng)資源可以由多個主動進(jìn)程進(jìn)行共享獲取，所以可能存在并發(fā)訪問。系統(tǒng)需要對不同的主動進(jìn)程進(jìn)行不同類型安全策略地調(diào)度與處理。預(yù)留控制器一般是使用基于優(yōu)先級的安全調(diào)度策略，高優(yōu)先級的主動進(jìn)程具有搶奪預(yù)留系統(tǒng)資源的高權(quán)限，低優(yōu)先權(quán)的主動進(jìn)程只能排列在等待隊列之中，等待高優(yōu)先級的主動進(jìn)程使用完成為止。
3.4 安全標(biāo)準(zhǔn)策略語言
    DTE安全策略機(jī)制主要是由描述性的策略語言進(jìn)行定制使用，用戶可以很靈活、便攜地管理和配置其策略。在企業(yè)級系統(tǒng)的移動智能終端中，安全策略文件與數(shù)據(jù)信息一般將其編譯成二進(jìn)制類型，然后在終端系統(tǒng)開啟時加載到其安全標(biāo)準(zhǔn)策略庫中，從而確保安全服務(wù)器使用正常。
    安全標(biāo)準(zhǔn)策略語言示例描述如下：
    #Domain Definitions
    / bin/ phone = Y_Trusted
    / usr/ bin/ mpIayer = Y_Certified
    #Type Definitions
    / ect/ network = X_System
    / usr/ IocaI/ abc. mpe = X_Sensitive
    #Access ControI Materix
    （Y_Trusted，X_System，all）
    （Y_Certified，X_Sensitive，rw）
    #Constraints
    （Y_Certified，X_Sensitive，
    TimeintervaI！4：00！19：00）
    #Reservation Definitions
    CPU_Time_L1=10ms，＊＊＊
    Memory_L1=50
    Power_L1= strict
    Set1 =｛CPU_Time_L1，Memory_L1｝
    Set2 =｛Power_L1｝
    / bin/ phone 70
    本文提出了一種基于企業(yè)級系統(tǒng)的移動智能終端訪問控制框架，通過拓展DTE安全機(jī)制，彈性動態(tài)地為重要應(yīng)用進(jìn)程預(yù)留系統(tǒng)資源且對其進(jìn)行統(tǒng)一分配與管理，有效預(yù)防系統(tǒng)資源競爭而發(fā)生沖突的問題。相比傳統(tǒng)的訪問控制框架而言，基于企業(yè)級系統(tǒng)的移動智能終端訪問控制框架不僅保證了企業(yè)級系統(tǒng)敏感數(shù)據(jù)信息的機(jī)密性、完整性，同時也滿足了其可用性要求。
參考文獻(xiàn)
[1] 辛陽，楊義先.移動終端安全模塊技術(shù)研究[J].通訊與電視，2005，31（11）：23-27.
[2] LAMPSON B W.Protection[J].Operating System Rev，1974，8(1)：18-24.
[3] SANDHU R，COYNE E J，F(xiàn)EINSTEIN H L，et al.Rolebased access control madels[J].IEEE Computer，1996，29(2)：38-47.
[4] Badger L，STERNE D F,SHERMAN D L，et al.Practical domain and type enforcement for UNIX[C].In：IEEE Symposium on Security and Privacy，OakIand，1995.
[5] 李濤，胡愛群.可信模塊與強(qiáng)制訪問控制結(jié)合的安全防護(hù)方案[J].東南大學(xué)學(xué)報（自然科學(xué)版），2011，41（3）：234-238.
[6] SCORDINO C，LIPARI G.Using resource reservation techniques for power-aware scheduling[C].In：Proc.of the 4th  ACM Intl.Conf.on Embedded Software，Pisa，2004.
[7] 劉偉，梁洪亮.移動終端系統(tǒng)的訪問控制框架[J].計算機(jī)科學(xué)，2006，33（6）：299-304.