移動(dòng)電話(huà)的安全性：難題還是機(jī)遇？

　　過(guò)去幾年中，移動(dòng)終端已從單純的語(yǔ)音電話(huà)發(fā)展成通用的無(wú)線(xiàn)設(shè)備。現(xiàn)在，移動(dòng)電話(huà)能夠提供原來(lái)只有PC才能提供的大量功能。電話(huà)的廣泛使用及其日益增加的功能為我們帶來(lái)了若干安全性問(wèn)題，為了保護(hù)用戶(hù)的安全和滿(mǎn)意度，我們需要了解并解決這些安全性問(wèn)題。

　　移動(dòng)電話(huà)已經(jīng)成為我們生活的基本工具，其普遍存在性使電話(huà)偷盜成為最常見(jiàn)的盜竊形式之一。遺憾的是，越來(lái)越多的年輕人甚至小孩都成為被盜竊對(duì)象。

　　運(yùn)營(yíng)商通過(guò)將手機(jī)與某種服務(wù)捆綁的方法來(lái)對(duì)電話(huà)價(jià)格進(jìn)行補(bǔ)貼。這些補(bǔ)貼實(shí)實(shí)在在，每年可達(dá)數(shù)億歐元。但是，由于盜竊原因，這些補(bǔ)貼電話(huà)多數(shù)都沒(méi)有完全在該運(yùn)營(yíng)商網(wǎng)絡(luò)上使用服務(wù)，而是在其它網(wǎng)絡(luò)上使用。

　　在電話(huà)上播放音樂(lè)是一種熱門(mén)應(yīng)用，但是將音樂(lè)發(fā)布到移動(dòng)電話(huà)上的業(yè)務(wù)模式的進(jìn)展則相當(dāng)緩慢，這是由于版權(quán)的所有者不愿意將音樂(lè)發(fā)布到?jīng)]有正確數(shù)字權(quán)限管理（DRM）的設(shè)備上。而內(nèi)容所有者迫切希望在真正向移動(dòng)服務(wù)開(kāi)放他們的媒體目錄之前，能夠確保安全的DRM已經(jīng)就位。

　　病毒是另一種主要的威脅。在過(guò)去，病毒并沒(méi)有帶來(lái)任何危害，但在2004年末，第一個(gè)具有破壞性病毒Skull出現(xiàn)了，遭受該病毒攻擊后，移動(dòng)電話(huà)的大量功能無(wú)法使用。

　　這些威脅說(shuō)明移動(dòng)電話(huà)的安全級(jí)別已經(jīng)非常重要，而且隨著越來(lái)越多功能和服務(wù)的推出，這種需求也在不斷增長(zhǎng)。作為一個(gè)行業(yè)，我們應(yīng)通過(guò)實(shí)施安全性，確保能夠阻止移動(dòng)電話(huà)的不當(dāng)使用，進(jìn)而使移動(dòng)運(yùn)營(yíng)商和用戶(hù)都完全放心。

　　通常，對(duì)移動(dòng)電話(huà)的軟件和體系架構(gòu)不甚了解的人很難了解內(nèi)置的安全功能。采用"嘗試--錯(cuò)誤"的方法通常很難發(fā)現(xiàn)安全漏洞。但是，能夠接入源代碼和詳細(xì)結(jié)構(gòu)信息的個(gè)人一般能夠攻破安全屏障：從源代碼了解運(yùn)算法則的內(nèi)部操作比從二進(jìn)制數(shù)據(jù)調(diào)試代碼更容易攻擊電話(huà)。這種內(nèi)行的攻擊是威脅移動(dòng)電話(huà)安全的最大問(wèn)題，因此，只有可靠的密碼法才能抵御內(nèi)行的攻擊。

　　首先，我們來(lái)看看我們需要保護(hù)移動(dòng)電話(huà)免受哪些最危險(xiǎn)的攻擊。在過(guò)去幾年中，我們?cè)絹?lái)越多地經(jīng)歷了對(duì)電腦的各種軟件攻擊。企業(yè)需要花費(fèi)數(shù)百萬(wàn)歐元來(lái)構(gòu)建防火墻、安裝病毒檢查程序，并掃描電子郵件可能帶來(lái)的攻擊，或恢復(fù)這些攻擊造成的損害。特洛伊木馬、病毒和蠕蟲(chóng)這些常見(jiàn)的電腦病毒，現(xiàn)在也開(kāi)始攻擊移動(dòng)電話(huà)了。緩沖溢出攻擊是這些嚴(yán)重威脅的另一個(gè)例子，它經(jīng)常與前面提及的其它武器同時(shí)使用。所有這些軟件攻擊都會(huì)對(duì)基于軟件的系統(tǒng)造成嚴(yán)重破壞。

　　調(diào)試和開(kāi)發(fā)工具是攻擊移動(dòng)電話(huà)的一條路徑。這些工具幾乎可以進(jìn)入現(xiàn)有電話(huà)的中央處理器單元（也叫基帶IC）的任何區(qū)域。攻擊者可以使用這些工具來(lái)讀取或修改代碼，以單步驟模式運(yùn)行CPU，甚至在運(yùn)行中修改CPU的寄存器。因此，阻截這些調(diào)試機(jī)制的進(jìn)入絕對(duì)十分重要。

　　現(xiàn)在，許多被盜電話(huà)在克隆合法電話(huà)身份后就可以重新出售：這是通過(guò)將合法電話(huà)的閃存復(fù)制到被盜電話(huà)的內(nèi)存中實(shí)現(xiàn)的。這就使被盜電話(huà)黑名單的執(zhí)行變得非常困難

　　那么，應(yīng)如何實(shí)施安全的解決方案呢？在現(xiàn)代系統(tǒng)中，我們習(xí)慣于使用軟件解決方案來(lái)執(zhí)行各類(lèi)任務(wù)。但是軟件本身夠安全嗎？遺憾的是，由于保存在設(shè)備內(nèi)存或硬盤(pán)上的程序可以修改，僅軟件系統(tǒng)就為安全性隱患提供了大量空間。如果您實(shí)施保護(hù)軟件來(lái)防止類(lèi)似的修改，該保護(hù)軟件自身就可以被修改。這是一場(chǎng)幾乎無(wú)法取勝的較量。

　　但是，基于硬件的安全解決方案則不容易輕松被修改。事實(shí)上，在許多情況下，完全替代IC就可以攻克最簡(jiǎn)單的安全系統(tǒng)，僅這一因素就使攻擊變得十分困難，并且從經(jīng)濟(jì)上說(shuō)不可行。采用基于硬件的設(shè)計(jì)，重要的是實(shí)施安全性的芯片也需要內(nèi)置一個(gè)唯一的根密鑰，因?yàn)閾碛胁煌�根密鑰的新芯片不能滿(mǎn)足電話(huà)內(nèi)存內(nèi)容的需求，替換該芯片則導(dǎo)致系統(tǒng)無(wú)法使用。

　　如果電話(huà)的所有軟件都內(nèi)置在蜂窩式基帶芯片的ROM上，那么問(wèn)題就變得簡(jiǎn)單一些，因?yàn)檫@幾乎可以使攻擊不可能發(fā)生。但遺憾的是，現(xiàn)在移動(dòng)電話(huà)的軟件組件都太大，并且需要太多變量，因此該軟件不可避免地保存在外部閃存上。這就意味著我們必須確保只有安全系統(tǒng)驗(yàn)證為真實(shí)的代碼才能被執(zhí)行。

　　開(kāi)始或啟動(dòng)流程是安全概念的基本部分。電話(huà)通常從內(nèi)置ROM上啟動(dòng)，該操作不能做假。因此，安全性必須從這里入手。如果在稍后階段（如使用僅軟件的方法）啟動(dòng)安全功能，就可能遭受攻擊，因?yàn)檐浖�可以被修改或替換，而基于軟件的安全性也會(huì)由此消除。

　　下一步是代碼的完整性檢查。此處驗(yàn)證代碼是為了確保該代碼自原始生產(chǎn)商版本發(fā)布以來(lái)未被人修改。這里有幾種驗(yàn)證代碼的方法�；�本要素是生成具有識(shí)別功能的指紋代碼散列。該值再與原始代碼版本的數(shù)值相比較。如果兩個(gè)數(shù)值相同，則軟件是正確版本，可以執(zhí)行。

　　為保護(hù)散列簽名本身免受攻擊，可以采用加密的方法，如采用HMAC [RFC2104]或DSA數(shù)字簽名。電話(huà)生產(chǎn)商在此處為該代碼生成數(shù)字簽名，該代碼應(yīng)該在移動(dòng)電話(huà)內(nèi)。然后該電話(huà)在啟動(dòng)時(shí)驗(yàn)證該簽名，而且這種簽名系統(tǒng)（DSS）使用帶專(zhuān)用和公共密鑰對(duì)（DSS）的不對(duì)稱(chēng)加密。

　　一套安全的系統(tǒng)還需要另外幾種組件，包括密碼運(yùn)算法則，如對(duì)稱(chēng)和不對(duì)稱(chēng)加密、散列、公共密鑰操作和數(shù)字簽名等。此外，還需要一個(gè)隨機(jī)號(hào)碼生成器。這些元素提供了可以開(kāi)發(fā)安全系統(tǒng)的工具箱。理想的做法是，所有這些元素都應(yīng)在硬件和芯片中實(shí)施，但最重要的硬件元素是安全啟動(dòng)和代碼完整性檢查組件。如果證實(shí)該代碼未受感染，還可以使用加密代碼。此時(shí)的主要折中方案是實(shí)施軟件運(yùn)算法則，該運(yùn)算法則比硬件中實(shí)施的運(yùn)算法慢很多。這些加密密鑰和中間值都很重要，并且需要特殊的保護(hù)，因?yàn)樗鼈兡軌驗(yàn)楣�擊者提供系統(tǒng)的完全接入。這些密鑰和數(shù)值應(yīng)保存在芯片內(nèi)部，不應(yīng)從外部看到，也不能通過(guò)軟件接入。

　　為了防止數(shù)據(jù)被修改，為絕密數(shù)據(jù)尋找一個(gè)安全的儲(chǔ)存位置對(duì)維持安全系統(tǒng)的完整性具有特別重大的意義。鑒權(quán)數(shù)據(jù)、證書(shū)（包括DRM權(quán)限對(duì)象）和關(guān)鍵系統(tǒng)數(shù)據(jù)（如專(zhuān)用/公共密鑰）或SIMLock信息等都需要這種安全的存儲(chǔ)。

　　然后，音頻、視頻、Java、文件系統(tǒng)等應(yīng)用就可以使用這些核心的安全性功能了。

　　結(jié)論

　　如今，安全性取決于最薄弱的一環(huán)這樣的一句眾所周知的名言在移動(dòng)電話(huà)領(lǐng)域仍然適用，而且隨著移動(dòng)電話(huà)及服務(wù)的發(fā)展，其適用性還在提不斷高。但我們還應(yīng)了解，任何地方都沒(méi)有絕對(duì)的安全。安全性問(wèn)題一直是構(gòu)建保護(hù)措施的人們與攻擊者之間的拉鋸戰(zhàn)，即使以前足夠安全的體系在以后也可能變得非常脆弱。我們必須繼續(xù)對(duì)市場(chǎng)情況進(jìn)行監(jiān)控，確保安全屏障足以防御商業(yè)攻擊或欺詐者的濫用。

　　移動(dòng)電話(huà)的這種體系結(jié)構(gòu)可以實(shí)現(xiàn)比消費(fèi)者產(chǎn)品或個(gè)人電腦更牢固的安全系統(tǒng)。根據(jù)使用硬件模塊的基礎(chǔ)安全系統(tǒng)（替換和取消費(fèi)用都不低），按照最低實(shí)施要求，蜂窩式基帶芯片是充當(dāng)安全系統(tǒng)核心組件的理想之選。


圖1：可能的硬件攻擊路徑圖


圖2：蜂窩式基帶IC中基于硬件的安全性體系結(jié)構(gòu)