移动终端平台中的基础可信服务和高效安全协议研究

As rapid development of mobile terminal and applications, it is already an important topic to build trusted execution environment to protect sensitive programs from malicious interference. Research in this area has just been carried out for a relative short time and thus left us broad research space. According to our previous experience, we’ve chosen two concrete directions of great importance for further work, including primary trusted service and highly efficient trust protocols. We’ll design and implement generally applicable trusted execution environment and protocols, which are constructed upon isolation ideology and hardware security mechanism. Our concrete research topics include service of trust root, service of runtime supporting library, property-based attestation protocol and trusted distribution protocol. We will try to achieve a series of internationally influential results, and prompt the security level of mobile terminal and development of mobile application.

随着移动终端技术和应用发展，为移动终端平台构建可信的执行环境，保障重要应用的正常执行，已经成为安全领域的重要研究问题。目前，国内外相关工作才刚刚展开，尚未形成成熟完善的理论与技术体系，亟待进一步的探索和研究。根据前期的工作经验和技术积累，我们选择了移动可信环境研究领域的两个重要而具体的方向——基础可信服务和高效可信协议展开工作，设计和实现以“隔离保护”为核心思想的、以新型硬件安全机制为基础的、适用于典型移动终端的可信环境技术架构与协议，具体研究内容包括信任根服务、应用开发支持库服务、高效属性证明协议和两种可信数据分发协议等。我们力争通过本申请项目，取得一批具有国际水准的科研成果，推进移动终端安全性建设和应用发展。

随着移动终端等新型计算环境的发展，可信环境构建问题被赋予了重要的意义。传统的安全防护手段，例如杀毒软件和防火墙等，已经被认为不足以应对较高等级的安全威胁。可信计算技术虽然在计算机系统设计时即从整体考虑系统安全问题，突破了杀毒软件和防火墙的“补丁式”思想，然而实践证明该技术并不能在移动终端设备上顺利应用。鉴于这种情况，项目应该在保留可信计算技术精华思想的前提下，结合最新的软硬件安全技术，针对移动终端的技术特点构建出更为实用、高效的可信环境。. 项目的主要研究内容是基础可信服务和高效可信协议。基础可信服务：研究如何利用基础的软硬件安全机制，安全、高效的实现隔离可信环境以及环境的可信功能和对外服务，以及如何在环境内部实施一定的监控防护。具体的研究内容包括信任根服务构建、应用开发支持库服务构建以及基于隔离环境的系统状态监控。高效可信协议：研究如何建立可信环境与远端计算设备的沟通机制，即如何在保持环境可信性的条件下构建一批轻量级、高效率的可信协议，以便完成对外的可信性证明和数据下载等功能。具体的研究内容包括属性远程证明协议、可信数据分发协议和可信离线广播分发协议等。. 项目取得的主要成果包括：1..基于TrustZone的信任根服务原型系统。2.启动时国产密码算法库服务构建。3.基于TrustZone的应用隔离保护方案。4.基于椭圆曲线和双线性映射的直接匿名证明协议和属性证明协议。5.轻量级数据分发协议。6.可信离线广播分发协议。. 项目对移动终端中基于可信环境构建基础可信服务和高效可信协议进行了较为深入的探索。不仅突破了传统“补丁式”安全防护技术头疼医头脚疼医脚的被动性，还改善了可信计算技术基于完整性度量值的、过于严格的状态监控思想带来的局限，较好的实践了“软件安全服务+通用硬件安全机制”和“隔离可信”的基本思想，所得的若干原型系统与协议设计对实用型可信服务和协议，例如移动支付中的指纹识别保护等，具有较高的借鉴价值。