軍事人員和國(guó)家安全人員可能是當(dāng)今公共服務(wù)中流動(dòng)性最強(qiáng)的工人，他們依靠專(zhuān)業(yè)和安全的通信設(shè)備來(lái)完成他們?cè)谵k公室和現(xiàn)場(chǎng)的任務(wù)。

過(guò)去，這種安全通信設(shè)備（數(shù)字現(xiàn)場(chǎng)無(wú)線電、警察/消防無(wú)線電收發(fā)器等）來(lái)自高度專(zhuān)有的設(shè)計(jì)和采集周期，導(dǎo)致系統(tǒng)難以構(gòu)建、獲取成本高、維護(hù)困難且無(wú)法升級(jí)。除了手機(jī)和筆記本電腦之外，它們又是人員攜帶的另一種設(shè)備。

今天，與美國(guó)政府先前推出的舉措同步，聯(lián)邦機(jī)構(gòu)IT管理以及移動(dòng)設(shè)備集成商和承包商正在拋棄專(zhuān)有遺留系統(tǒng)的世界，并尋找類(lèi)似于Jack Bauer在?？怂闺娨暋?4”或“ObamaBerry”中使用的COTS移動(dòng)解決方案。

以下各節(jié)探討了使用 COTS 硬件和軟件創(chuàng)建安全的移動(dòng)通信設(shè)備。特別是，他們專(zhuān)注于移動(dòng)安全威脅，列出安全移動(dòng)設(shè)備的要求，并提出將標(biāo)準(zhǔn)商業(yè)智能手機(jī)設(shè)備硬件與開(kāi)源軟件和移動(dòng)虛擬化集成的架構(gòu)選項(xiàng)。還引入了Android概念驗(yàn)證。

對(duì)移動(dòng)安全的威脅

隨著移動(dòng)設(shè)備越來(lái)越類(lèi)似于臺(tái)式機(jī)和數(shù)據(jù)中心計(jì)算機(jī)，它們?cè)馐苤_企業(yè)和政府IT的相同弊?。?/p>

漏洞：設(shè)備受到病毒、間諜軟件、特洛伊木馬和其他惡意軟件的攻擊。應(yīng)用程序代碼庫(kù)和支持它們的中間件很大 - 數(shù)千萬(wàn)行代碼 - 并且根據(jù)定義是不可信和不可認(rèn)證的。

有缺陷的軟件：移動(dòng)操作系統(tǒng)和在其上運(yùn)行的軟件不可避免地存在錯(cuò)誤，因此受到源源不斷的零日攻擊，這些攻擊是軟件開(kāi)發(fā)人員未知的應(yīng)用程序漏洞的利用。支持標(biāo)準(zhǔn)應(yīng)用程序開(kāi)發(fā)的開(kāi)放操作系統(tǒng)（如 RimOS 和 WindowsPhone）和開(kāi)源操作系統(tǒng)（如 Android 或 Linux）以及在其上運(yùn)行的應(yīng)用程序來(lái)自質(zhì)量和敏感性差異很大的商業(yè)和社區(qū)開(kāi)發(fā)——尤其是在安全性方面。

暴力攻擊：例如，在智能手機(jī)上運(yùn)行的移動(dòng)應(yīng)用程序（包括通信客戶端）會(huì)受到每個(gè)進(jìn)程和系統(tǒng)范圍的拒絕服務(wù) （DoS） 攻擊。政府和其他公共實(shí)體特別關(guān)注的是將語(yǔ)音、文本消息和其他數(shù)據(jù)流暴露給竊聽(tīng)或其他未經(jīng)授權(quán)的第三方審查的漏洞利用。另一個(gè)擔(dān)憂是未經(jīng)授權(quán)的各方能夠中斷關(guān)鍵任務(wù)通信并欺騙或偽造參與者身份和內(nèi)容。

安全的移動(dòng)通信設(shè)備

理想情況下，智能手機(jī)等安全移動(dòng)通信設(shè)備將由商用手機(jī)和平板電腦構(gòu)建，這些手機(jī)和平板電腦部署現(xiàn)成的軟件平臺(tái)和運(yùn)行Android或Linux的應(yīng)用程序。設(shè)備需要支持常規(guī)通信（語(yǔ)音、短信、社交網(wǎng)絡(luò)等）和“正常”對(duì)話的應(yīng)用程序，但也要在類(lèi)似配備的設(shè)備和/或基礎(chǔ)設(shè)施之間實(shí)現(xiàn)安全交換（加密語(yǔ)音和安全短信/視頻傳輸）。

最終，感興趣的方案歸結(jié)為簡(jiǎn)單但難以滿足的需求標(biāo)準(zhǔn)。一個(gè)要求是安全通信，它指的是傳統(tǒng)應(yīng)用，包括3G語(yǔ)音，VoIP，短消息和多媒體消息服務(wù)（SMS / MMS），視頻等，其中客戶端在安全上下文中運(yùn)行，并提供加密數(shù)據(jù)流的選項(xiàng)。

還需要開(kāi)放網(wǎng)絡(luò)。使用 COTS 硬件和軟件還意味著利用無(wú)處不在的 3G、WiFi 和其他公共網(wǎng)絡(luò)進(jìn)行私密和安全的通信。雖然GPRS，CDMA，802.11等提供了自己的安全制度，但僅靠這些措施不足以支持安全和認(rèn)證系統(tǒng)的需求 - 它們已被反復(fù)證明容易受到嗅探，欺騙和其他利用技術(shù)的攻擊。

對(duì)現(xiàn)成設(shè)備的要求也可能難以滿足。本文所述的安全通信愿景建立在COTS硬件之上，但不一定是通過(guò)傳統(tǒng)運(yùn)營(yíng)商和零售渠道采購(gòu)的大眾市場(chǎng)手機(jī)。相反，安全通信設(shè)備代表OEM手機(jī)制造商與第三方集成商和/或政府承包商的合作。售后市場(chǎng)硬件加密設(shè)備的供應(yīng)商也必須合作，例如提供獨(dú)立運(yùn)行的SD卡和/或加密軟件或利用移動(dòng)芯片組中現(xiàn)有功能的供應(yīng)商。同時(shí)提出的要求是，這些技術(shù)的集成仍然為維護(hù)和升級(jí)提供了合理的選擇，避免了傳統(tǒng)定制硬件和軟件帶來(lái)的昂貴鎖定。

開(kāi)放軟件也勢(shì)在必行。適合安全通信任務(wù)的智能手機(jī)和其他設(shè)備越來(lái)越多地運(yùn)行開(kāi)放和/或開(kāi)源操作系統(tǒng)，如Android，Linux等。如前所述，安全通信移動(dòng)設(shè)備開(kāi)發(fā)人員最好不要替換這些軟件平臺(tái)，而是用安全和可認(rèn)證的軟件來(lái)增強(qiáng)或封裝它們。

架構(gòu)選項(xiàng)：考慮候選者

盡管本討論強(qiáng)調(diào)了保護(hù)移動(dòng)通信的 COTS 方法，但它還必須通過(guò)考慮以下幾種候選架構(gòu)來(lái)全面解決安全通信挑戰(zhàn)：

單點(diǎn)解決方案

雖然對(duì)移動(dòng)安全的要求無(wú)處不在，并且是系統(tǒng)范圍的，但保護(hù)移動(dòng)通信的方法傾向于軟件堆棧和通信流中范圍有限的單功能點(diǎn)解決方案。此類(lèi)單點(diǎn)解決方案通常需要構(gòu)建和部署安全和/或認(rèn)證的應(yīng)用程序和中間件、加密數(shù)據(jù)流和專(zhuān)用通信通道。

雖然限制工作范圍通常是一種良好的設(shè)計(jì)和工程實(shí)踐，但它不適用于現(xiàn)代移動(dòng)/無(wú)線設(shè)備，這些設(shè)備更像臺(tái)式計(jì)算機(jī)而不是手持式收音機(jī)。遺憾的是，這些單點(diǎn)解決方案仍可能通過(guò)破解保存或正在運(yùn)行的應(yīng)用程序映像，或者通過(guò)使該應(yīng)用程序缺乏計(jì)算資源 （DoS） 而在應(yīng)用程序級(jí)別受到損害。

專(zhuān)用硬件

隔離軟件的最可靠和最安全的方法是在單獨(dú)的硬件上運(yùn)行程序。一些移動(dòng)芯片組確實(shí)具有獨(dú)特的配套處理器，可以加速圖形、視頻、音頻等功能，在某些情況下甚至加密。

但是，這些專(zhuān)用協(xié)處理器配置為從屬外設(shè)，不能提供足夠的上下文來(lái)運(yùn)行整個(gè)通信堆棧以及語(yǔ)音和消息傳遞客戶端。從理論上講，更強(qiáng)大的資源可以集成到SD卡或其他售后接口上，但是如果不對(duì)COTS OS和程序堆棧進(jìn)行大量修改，則缺乏通過(guò)其他不安全設(shè)備傳輸和接收安全數(shù)據(jù)流的方法。

多核架構(gòu)

高端當(dāng)前一代手機(jī)和下一代設(shè)計(jì)越來(lái)越多地采用具有兩個(gè)或更多ARM處理器內(nèi)核的多核應(yīng)用處理器。理論上，一個(gè)或多個(gè)內(nèi)核可以專(zhuān)用于安全的移動(dòng)通信，提供與開(kāi)放操作系統(tǒng)和開(kāi)放應(yīng)用環(huán)境的強(qiáng)隔離。

在大多數(shù)情況下，集成商甚至OEM都很難釋放整個(gè)CPU內(nèi)核用于安全的移動(dòng)通信處理，至少不會(huì)降低整體設(shè)備性能。（在雙核 CPU 中，性能下降可能高達(dá) 50%。此外，即使專(zhuān)用 CPU 內(nèi)核運(yùn)行安全通信負(fù)載，共享物理內(nèi)存仍可能受到運(yùn)行開(kāi)放應(yīng)用程序操作系統(tǒng)的核心的攻擊。

虛擬化架構(gòu)

構(gòu)建安全移動(dòng)平臺(tái)的全面而直接的方法需要引入移動(dòng)虛擬化。這項(xiàng)技術(shù)與其數(shù)據(jù)中心表親一樣，運(yùn)行在“裸機(jī)”芯片上以托管開(kāi)放的應(yīng)用程序操作系統(tǒng)和軟件堆棧，或者它可以具有一個(gè)或多個(gè)完全隔離的安全單元（虛擬機(jī)）來(lái)在其自己的獨(dú)立上下文中托管安全軟件。它還可能具有其他單元（根據(jù)需要）來(lái)托管有選擇的共享資源，例如設(shè)備驅(qū)動(dòng)程序。

圖1：帶微管理程序的安全移動(dòng)通信概念架構(gòu)

虛擬化架構(gòu)的好處很多：

一個(gè)非常小的可信計(jì)算基礎(chǔ)（只是底層的微管理程序），以簡(jiǎn)化認(rèn)證并限制漏洞利用的機(jī)會(huì)

將現(xiàn)有的現(xiàn)成開(kāi)放操作系統(tǒng)和軟件堆棧部署在自己的隔離單元中

集成商可以靈活地實(shí)例化新單元，以滿足安全制度的特定需求和支持該體系的技術(shù)

基于功能的安全性，提供完全靈活的動(dòng)態(tài)保護(hù)管理

通過(guò)隔離和使用受限的單元間通信 API 來(lái)防御單元之間的惡意軟件和安全性 – 可見(jiàn)的開(kāi)放操作系統(tǒng)可能會(huì)被感染并失敗，而不會(huì)影響其他單元中的安全通信軟件

快速進(jìn)程間通信 （IPC） 機(jī)制可實(shí)現(xiàn)高性能

通過(guò)監(jiān)控、優(yōu)先級(jí)排序和單元之間的負(fù)載平衡來(lái)抵抗 DoS 攻擊

BeagleBoard 上的 Android 概念驗(yàn)證

圖 1 中描述的移動(dòng)虛擬化平臺(tái)和安全架構(gòu)建立在 Open Kernel Labs 去年宣布的概念驗(yàn)證之上。用于安全語(yǔ)音通信的OK：Android設(shè)計(jì)基于Digi-Key的社區(qū)驅(qū)動(dòng)型BeagleBoard，該BeagleBoard運(yùn)行德州儀器OMAP3530片上系統(tǒng)。

安全語(yǔ)音設(shè)計(jì)使用 OKL4 在多個(gè)移動(dòng)虛擬機(jī)管理程序（或“微監(jiān)控程序”）分區(qū)之間分配電話資源，包括一個(gè)用于 OK：Android，一個(gè)用于安全通信，一個(gè)用于共享服務(wù)器隔間。后者包括用于音頻的共享服務(wù)器單元、各種外圍設(shè)備、時(shí)鐘和電源管理等系統(tǒng)功能以及用于調(diào)試的控制臺(tái)。OKL4 還可以在其他情況下促進(jìn)安全的視頻和短信傳輸。

從概念驗(yàn)證到部署

以前，保護(hù)政府應(yīng)用程序、語(yǔ)音和 SMS 需要昂貴的定制硬件和專(zhuān)有軟件堆棧。這導(dǎo)致了一次性的手機(jī)和收音機(jī)，使政府工作人員背負(fù)著另一臺(tái)設(shè)備，將他們的雇主鎖定在單一供應(yīng)商上，并為IT支持人員提供了難以維護(hù)和無(wú)法升級(jí)的平臺(tái)。如今，幾家主要的政府集成商及其合作伙伴正在通過(guò)構(gòu)建移動(dòng)虛擬化和現(xiàn)成的移動(dòng)硬件和軟件來(lái)開(kāi)發(fā)和部署現(xiàn)實(shí)世界的安全移動(dòng)設(shè)備。

審核編輯：郭婷