基于Andriod的仓库管理系统外文翻译资料

英语原文共 8 页，剩余内容已隐藏，支付完成后下载完整资料

基于许可的认证

Android平台

（短文件）

英戈本特1，加比Dreo3，巴斯蒂安赫尔曼，斯蒂芬霍伊泽尔先生2，约尔格Vieweg1，

约瑟夫·冯·黑尔登1，约翰Westhuis1

信托@ FHH研究小组，汉诺威大学-应用科学技术学院

{英戈本特，加比Dreo，巴斯蒂安赫尔曼，斯蒂芬霍伊泽尔先生，约尔格Vieweg，

约瑟夫·冯·黑尔登，约翰Westhuis}

摘要：我们提出一个新的认证方法为Android平台，集成了可信计算概念和Android的基于权限的访问控制功能。最近在移动安全的研究领域中已经表明，恶意软件是一个真正的威胁。可信计算在一般的，尤其是远程认证的概念中可以被用来抵抗这种恶意软件的传播和潜在的影响。然而，目前的认证方法并不是非常适合移动平台并且关键的可信计算组件仍然离不开它们。我们的方法引入了必要的可信计算积木为Android平台。此外，我们详细介绍了如何使用一个安卓手机的使用权限安装的应用程序可以在运行时被远程方。另外，我们强调的领域是未来工作的主题。

1引言

今天的智能手机提供了一个令人印象深刻的功能是用户对多种连接和沟通能力的欲望，一定量的计算能力嵌入在精密的内置传感器，上下文感知应用程序和成熟的操作系统中就是其中一些。此外，所有重要的移动平台（苹果iOS、RIM BlackBerryOS，Windows手机，Symbian谷歌安卓）支持基于应用程序的架构。用户可以从网上应用市场通过各种途径下载和安装应用程序，以适合他们需要的智能手机。与多功能可使用应用程序相比，一个现在智能手机的普通打电话功能似乎只是手机的一个非常无趣的功能。相反，这些设备主要是被用来玩游戏，上网冲浪或者做网上银行。即使在企业环境中，智能手机可用于改善已建立的工作流程[ 9 ]。使用场景包括户外人员的定位服务和仓库货物的跟踪。

基于权限的安卓平台认证

不幸的是，不得不面对多功能性智能手机的大量功能被用来处理敏感数据而引进的新的安全问题的事实。最近的研究已经表明，移动恶意软件，尤其是具有感觉的恶意软件试图通过使用智能手机的内置传感器窥探敏感数据，是一个真正的威胁[1,4,10]。其他恶意软件的例子有发送短信溢价服务号码[8]或试图窃取用户的凭据[7]。传播恶意软件的一个有效的方式是利用网上应用商店的能力欺骗用户下载安装具有隐蔽恶意功能的软件。研究人员还指出，移动恶意软件的演变趋势与计算机的恶意软件的演变相比较：执行简单的破坏性证明了概念的实现，拒绝服务攻击是由多个复杂的恶意软件实现，在设备上窥探有价值的用户信息，甚至是旨在建立一个移动的僵尸网络 [2]。

可信计算组（TCG）作为建议提出的可信计算和它的应用程序，例如远程认证可以增加被利​​用以增加计算平台的安全性，尤其是应对反击传播和恶意软件的影响。然而，目前的认证方法缺乏一个适应能力为现代智能手机的具体特点和已知的问题，特别是在可扩展性方面。基于属性的认证概念[3]冯登国等人提出的，旨在减轻这些普遍的缺点。然而迄今为止，没有任何认证的方法，解释移动开发平台的具体特征。一款（硬件）具有安全锚和移动可信模块的手机模型被提出，但迄今从未广泛部署。TCG的移动电话工作组称采用移动电话的可信计算概念仍显不足。他们最近已经发表了一项重新版本的MTM规范[ 6 ]。

为了解决可信计算的概念缺少适应，我们建议专门为Android量身打造的一款新的认证计划平台：基于许可认证（PEBA）。与经典二进制相比，即从商品的计算平台被称为认证，我们做的不仅仅是测量和证明应用程序代码的二进制部分。相反，我们按照它结合了传统的二进制认证的混合方法我们新概念PEBA。一个专门的PEBA应用（PEBA）负责测量和证明通过使用安卓手机已安装应用程序的运行时的权限集。该PEBA应用程序本身以及其它部件形成我们可信计算基测量并利用二元认证证明。因此，远程方可以推理的Android的安全状态基于应用程序的该组的权限集。我们的做法是轻量级，从已知的完全依赖于二进制认证的方法减轻可扩展性问题。

2 安卓

由谷歌开发的开源的安卓,既是一个操作系统又是为移动设备像智能手机或平板电脑设计的应用程序框架。通过安装第三方应用程序(应用程序)，它可以扩展成一个安卓系统。这些应用程序可以下载,通常从所谓的安卓市场,由用户安装。开发这样的应用程序,可以使用安卓开发工具包,它也是由谷歌提供的。

体系结构 一个安卓系统的体系结构有不同的层次: 一个基于2.6版本的Linux内核构建底层和负责处理硬件资源。内核层上面的一层供应一些本机C和c 库如SSL或WebKit,以及安卓运行时间。这个运行环境由一组Java库和Dalvik虚拟机组成,它启动和运行安卓应用程序。虚拟机为每一个刚运行在系统上的应用程序启动一个实例。下一层称为应用程序框架, 在Java中提供高水平的服务,像一个窗口管理器或服务来访问文件系统和在应用程序之间传输数据。上面是应用层,Java应用程序使用底层库和服务,为用户提供像电话,联系人或使用内置传感器的应用程序,比如GPS或加速度计等功能。第三方应用程序也驻留在这一层。

基于许可的安全模型 安卓的安全模型包含两个主要概念。首先，每一个应用程序运行时获取它自己的进程ID和在安装时自己的用户。与该文件系统的独家目录相结合，每一个应用程序在沙盒中运行，并且不能采取恶意行动给其他应用。应用程序之间的通信是通过特定功能的支持库。

第二，授予应用程序访问系统的权限是重要部分。这样的许可，可以发送短信或启动一个电话。默认情况下，一个应用程序根本没有任何权限，为了获得重要的服务，它必须通过在权限文件中想要使用的通信许可的定义服务。当一个应用程序被安装后，所有需要显示权限的用户必须做出决定是否接受或减少使用这些服务。当运行应用程序时,每使用一种服务,在权限中没有注册的用户将抛出一个异常。同时,使用服务的用户在安装时拒绝将阻塞。

3 基于许可认证

在下文中，我们提出了基于权限的认证的概念。考虑到第2节所描述的Android平台的架构中，简单的方法来执行远程认证可能是简单的二进制证明一个设备的所有组件，包括所有已安装的（第三方）应用程序。虽然这简单的方法在理论上效果很好以至它充分利用了在可信计算领域（即负载任何事情之前的措施）现有的概念，它也保留了二进制认证的公知缺点，特别是在计可扩展性方面。为了避免这些缺点，并充分利用Android平台的特点，我们提出了基于权限认证的概念（PEBA）。

PEBA是一种混合的概念方法，由两个概念部分组成：（1）静态信任链（SCOT），包括我们的可信计算基的成分和可能的二进制证明；（2）代理，就是SCOT其中的一部分，执行安全测量和在各自的设备上的被授予已安装应用程序的所有权限认证。这两个部分的结合允许远程一方推理Android手机的安全状态。

3.1体系结构概述

下面，我们将详细介绍概念性可信计算组件这是我们基于权限的认证方法，此外需要描述它们如何可以与较小的修改和扩展来实现到Android平台。扩展的体系结构在图1中描绘。

图1. PEBA扩展的Android架构

总之，有四个可信的计算构建模块，提供PEBA必需的功能：（1）信任的用于测量一个根（RTM），（2）进行存储和报告（RTS / RTR）信任的根，（3）静态链信托（SCOT）和（4）允许测量和认证代理。该SCOT封装已执行了Android平台的所有组件在测量代理执行前。因此，代理的责任是测量安装的应用程序的权限。然而，没有提到的模块是可利用的在默认安卓手机商品上。为了实现所需的功能，下列组件需要扩展或补充：启动设备，Android的Linux内核，Android原生Android平台上的引导程序库层，DalvikVM和实现权限的Android应用测量和认证代理。

引导程序 在上述组件中，引导程序是一种特殊的案例。在Android手机上没有BIOS的情况下，引导程序将是实现RTM的挂钩。然而，引导程序的实现是供应商特定的而不是Android平台的自己的。因此，我们忽略了进一步的解释引导装载程序，并考虑Android的Linux内核为RTM。即构建模块（1）被映射到内核本身。

Android的Linux内核 为了进行测量，并去实际引导信任静态链的建立，Android的Linux内核加强了整个度量架构（IMA）1。IMA保证任何可执行文件，库或内核模块测量之前，它被执行。此外，IMA可被触发进一步测量为所需的文件。在没有硬件TPM或MTM针对Android的话，无论是RTR还是RTS都必须在软件中更好的实现。为了这个目的，我们利用一个基于TPM/ MTM模拟器[5]的软件，从而映射构建模块（2）。 TPM的功能被提供为用户空间服务，因此不是内核本身的一部分。然而，模拟器还包括一个内核模块，以提供一个TPM字符设备。因此，应用程序通常具有TPM，通过这样的字符设备也将与软件仿真工作TPM。

Android原生库层 这一层实现了仿真TPM实际的功能作为系统服务，映射构建模块（2）。此外，我们为显露TPM功能添加一个TSS服务到应用层。该TSS提供一些功能，为了实现SCoT，从而映射构建块（3）。

DalvikVM SCoT的建设块（3）必须包括的所有组件。除了由IMA测定的组件，还包括通过Android运行时环境执行的代码。因此，我们适当延长Dalvik虚拟机测量挂钩。这样既保证了基于Java的Android框架以及许可测量应用程序的整体，也是为权限的测量负责，是信任的静态链的一部分。测量是通过触发IMA延伸的Android内核完成的。

PEBA应用程序 虽然我们不测量任何其他应用程序的DalvikVM的可扩展性，我们的方法要求允许测量应用程序（PEBA应用程序）能顾及到已安装的应用程序以及它们各自的权限（结构单元（4））。需要注意的是PEBA应用程序将无法测量已安装应用程序的实际代码。

所有进行的测量可被扩展到仿真的TPM的PCR。在所有的测量历史中，无论它们是二元还是基于许可的，都是被封装在适当的日志文件中的。由IMA开展的二进制测量呈现一种古典存储的测量日志（SML）。第二个日志文件，权限测量记录（PML），存储权限测量由该PEBA应用程序进行。每个PML条目由权限测量已经扩展到的PCR号码，SHA-1散列串接许可字符串，应用程序的名称和被使用的相应应用程序的权限组成。在认证过程中，SML、PML和引用的PCR值使验证重新计算权限和检查他们的对策。

3.2执行基于许可认证的步骤

基于许可的认证过程包括几个步骤，在概念上分为三个部分。第一步建立从内核开始到PEBA应用的信任静态链。在第二部分中，PEBA应用授予在设备上安装的应用程序的权限。最后，第三部分包括证明者和验证人之间的挑战相应协议。图2给出了整个过程的概述。

图2. PEBA溢流操作

接下来，我们详细过程中的每个步骤。当我们提到测量时包括实际测量（无论是二进制系或基于许可的），更新在TPM的PCR以及更新对应的登录网络连接文件（SML和PML）的延长操作。

1. 由于我们考虑到引导程序是超出范围的，第一步执行安卓Linux内核。IMA的扩展内核中所有关键系统组件不是基于Java（可执行程序，内核模块，共享库）。这也包括基于软件的TPM仿真器，TSS服务和DalvikVM。
2. 接下来的测量是由修改后的DalvikVM执行。它利用IMA来衡量了安卓运行时和应用程序框架的任何基于Java的一部分。
3. 接下来，DalvikVM测量PEBA应用在它之前 执行。在这一点上，二进制认证部分的新人静态链已经完成。它允许验证PEBA应用的完整性，反过来能够执行任何进一步，基于许可的测量。
4. 当执行时，PEBA应用测量所有安装的软件和他们在设备上的权限。对于每个安装的应用程序，获得请求的权限列表。这些权限基本上是java字符串，被连接并计算结果字符串的SHA-1散列。然后将结果扩展到TPM的PCR：PCRn = SHA1(PCRn oplus; SHA1(Permission0oplus;Permission1oplus;...oplus;Permissionc)), 其中c是用于各个应用程序的权限的数量。此外，PML与相应的值更新。
5. 当从验证器接收到适当的挑战后，PEBA应用现在执行TPM报价，涵盖信任静态链和一个权限中的PCR。该报价中，SML和PML被送回验证器。
6. 基于TPM的报价，SML和PML的验证器现在可以重新计算测量。如果日志和TPM报价结果相匹配，验证器知道一套应用程序和他们各自证明者权限的安卓手机。在这种情况下，验证器将比较授予的权限和它自己的政策，并采取进一步措施（例如允许或拒绝一个明确的服务请求）。

通过使用这种方法，验证器可以检查安卓手机的完整状态和已安装的应用程序的使用权限。只有一小部分，相当的设备软件的静态部分被证明使用二进制认证。该装置更动态的部分（事实上已安装第三方应用程序）完全被证明是基于他们的权限。

4 结论和未来的工作

在本文中，我们已经推出了针对安卓平台的基于权限的认证（PEBA）的概念。PEBA能够证明这组被安装的第三方应用程序，以及是否使用到对方的权限。由此可见，为了验证可信计算基础的完整性和我们新的基于许可认证来思考安装的第三方应用程序的安全状态集成二进制认证的混合方法。正如我们已经实现将PEBA作为证据的概念，我们下一个短期的阶段将是在次基础上实现可行性

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[29851]，资料为PDF文档或Word文档，PDF文档可免费转换为Word