軍事人員和國家安全人員可能是當(dāng)今公共服務(wù)中流動性最強的工人，他們依靠專業(yè)和安全的通信設(shè)備來完成他們在辦公室和現(xiàn)場的任務(wù)。

過去，這種安全通信設(shè)備（數(shù)字現(xiàn)場無線電、警察/消防無線電收發(fā)器等）來自高度專有的設(shè)計和采集周期，導(dǎo)致系統(tǒng)難以構(gòu)建、獲取成本高、維護困難且無法升級。除了手機和筆記本電腦之外，它們又是人員攜帶的另一種設(shè)備。

今天，與美國政府先前推出的舉措同步，聯(lián)邦機構(gòu)IT管理以及移動設(shè)備集成商和承包商正在拋棄專有遺留系統(tǒng)的世界，并尋找類似于Jack Bauer在?？怂闺娨暋?4”或“ObamaBerry”中使用的COTS移動解決方案。

以下各節(jié)探討了使用 COTS 硬件和軟件創(chuàng)建安全的移動通信設(shè)備。特別是，他們專注于移動安全威脅，列出安全移動設(shè)備的要求，并提出將標(biāo)準(zhǔn)商業(yè)智能手機設(shè)備硬件與開源軟件和移動虛擬化集成的架構(gòu)選項。還引入了Android概念驗證。

對移動安全的威脅

隨著移動設(shè)備越來越類似于臺式機和數(shù)據(jù)中心計算機，它們遭受著困擾企業(yè)和政府IT的相同弊?。?/p>

漏洞：設(shè)備受到病毒、間諜軟件、特洛伊木馬和其他惡意軟件的攻擊。應(yīng)用程序代碼庫和支持它們的中間件很大 - 數(shù)千萬行代碼 - 并且根據(jù)定義是不可信和不可認(rèn)證的。

有缺陷的軟件：移動操作系統(tǒng)和在其上運行的軟件不可避免地存在錯誤，因此受到源源不斷的零日攻擊，這些攻擊是軟件開發(fā)人員未知的應(yīng)用程序漏洞的利用。支持標(biāo)準(zhǔn)應(yīng)用程序開發(fā)的開放操作系統(tǒng)（如 RimOS 和 WindowsPhone）和開源操作系統(tǒng)（如 Android 或 Linux）以及在其上運行的應(yīng)用程序來自質(zhì)量和敏感性差異很大的商業(yè)和社區(qū)開發(fā)——尤其是在安全性方面。

暴力攻擊：例如，在智能手機上運行的移動應(yīng)用程序（包括通信客戶端）會受到每個進程和系統(tǒng)范圍的拒絕服務(wù) （DoS） 攻擊。政府和其他公共實體特別關(guān)注的是將語音、文本消息和其他數(shù)據(jù)流暴露給竊聽或其他未經(jīng)授權(quán)的第三方審查的漏洞利用。另一個擔(dān)憂是未經(jīng)授權(quán)的各方能夠中斷關(guān)鍵任務(wù)通信并欺騙或偽造參與者身份和內(nèi)容。

安全的移動通信設(shè)備

理想情況下，智能手機等安全移動通信設(shè)備將由商用手機和平板電腦構(gòu)建，這些手機和平板電腦部署現(xiàn)成的軟件平臺和運行Android或Linux的應(yīng)用程序。設(shè)備需要支持常規(guī)通信（語音、短信、社交網(wǎng)絡(luò)等）和“正?！睂υ挼膽?yīng)用程序，但也要在類似配備的設(shè)備和/或基礎(chǔ)設(shè)施之間實現(xiàn)安全交換（加密語音和安全短信/視頻傳輸）。

最終，感興趣的方案歸結(jié)為簡單但難以滿足的需求標(biāo)準(zhǔn)。一個要求是安全通信，它指的是傳統(tǒng)應(yīng)用，包括3G語音，VoIP，短消息和多媒體消息服務(wù)（SMS / MMS），視頻等，其中客戶端在安全上下文中運行，并提供加密數(shù)據(jù)流的選項。

還需要開放網(wǎng)絡(luò)。使用 COTS 硬件和軟件還意味著利用無處不在的 3G、WiFi 和其他公共網(wǎng)絡(luò)進行私密和安全的通信。雖然GPRS，CDMA，802.11等提供了自己的安全制度，但僅靠這些措施不足以支持安全和認(rèn)證系統(tǒng)的需求 - 它們已被反復(fù)證明容易受到嗅探，欺騙和其他利用技術(shù)的攻擊。

對現(xiàn)成設(shè)備的要求也可能難以滿足。本文所述的安全通信愿景建立在COTS硬件之上，但不一定是通過傳統(tǒng)運營商和零售渠道采購的大眾市場手機。相反，安全通信設(shè)備代表OEM手機制造商與第三方集成商和/或政府承包商的合作。售后市場硬件加密設(shè)備的供應(yīng)商也必須合作，例如提供獨立運行的SD卡和/或加密軟件或利用移動芯片組中現(xiàn)有功能的供應(yīng)商。同時提出的要求是，這些技術(shù)的集成仍然為維護和升級提供了合理的選擇，避免了傳統(tǒng)定制硬件和軟件帶來的昂貴鎖定。

開放軟件也勢在必行。適合安全通信任務(wù)的智能手機和其他設(shè)備越來越多地運行開放和/或開源操作系統(tǒng)，如Android，Linux等。如前所述，安全通信移動設(shè)備開發(fā)人員最好不要替換這些軟件平臺，而是用安全和可認(rèn)證的軟件來增強或封裝它們。

架構(gòu)選項：考慮候選者

盡管本討論強調(diào)了保護移動通信的 COTS 方法，但它還必須通過考慮以下幾種候選架構(gòu)來全面解決安全通信挑戰(zhàn)：

單點解決方案

雖然對移動安全的要求無處不在，并且是系統(tǒng)范圍的，但保護移動通信的方法傾向于軟件堆棧和通信流中范圍有限的單功能點解決方案。此類單點解決方案通常需要構(gòu)建和部署安全和/或認(rèn)證的應(yīng)用程序和中間件、加密數(shù)據(jù)流和專用通信通道。

雖然限制工作范圍通常是一種良好的設(shè)計和工程實踐，但它不適用于現(xiàn)代移動/無線設(shè)備，這些設(shè)備更像臺式計算機而不是手持式收音機。遺憾的是，這些單點解決方案仍可能通過破解保存或正在運行的應(yīng)用程序映像，或者通過使該應(yīng)用程序缺乏計算資源 （DoS） 而在應(yīng)用程序級別受到損害。

專用硬件

隔離軟件的最可靠和最安全的方法是在單獨的硬件上運行程序。一些移動芯片組確實具有獨特的配套處理器，可以加速圖形、視頻、音頻等功能，在某些情況下甚至加密。

但是，這些專用協(xié)處理器配置為從屬外設(shè)，不能提供足夠的上下文來運行整個通信堆棧以及語音和消息傳遞客戶端。從理論上講，更強大的資源可以集成到SD卡或其他售后接口上，但是如果不對COTS OS和程序堆棧進行大量修改，則缺乏通過其他不安全設(shè)備傳輸和接收安全數(shù)據(jù)流的方法。

多核架構(gòu)

高端當(dāng)前一代手機和下一代設(shè)計越來越多地采用具有兩個或更多ARM處理器內(nèi)核的多核應(yīng)用處理器。理論上，一個或多個內(nèi)核可以專用于安全的移動通信，提供與開放操作系統(tǒng)和開放應(yīng)用環(huán)境的強隔離。

在大多數(shù)情況下，集成商甚至OEM都很難釋放整個CPU內(nèi)核用于安全的移動通信處理，至少不會降低整體設(shè)備性能。（在雙核 CPU 中，性能下降可能高達 50%。此外，即使專用 CPU 內(nèi)核運行安全通信負(fù)載，共享物理內(nèi)存仍可能受到運行開放應(yīng)用程序操作系統(tǒng)的核心的攻擊。

虛擬化架構(gòu)

構(gòu)建安全移動平臺的全面而直接的方法需要引入移動虛擬化。這項技術(shù)與其數(shù)據(jù)中心表親一樣，運行在“裸機”芯片上以托管開放的應(yīng)用程序操作系統(tǒng)和軟件堆棧，或者它可以具有一個或多個完全隔離的安全單元（虛擬機）來在其自己的獨立上下文中托管安全軟件。它還可能具有其他單元（根據(jù)需要）來托管有選擇的共享資源，例如設(shè)備驅(qū)動程序。

圖1：帶微管理程序的安全移動通信概念架構(gòu)

虛擬化架構(gòu)的好處很多：

一個非常小的可信計算基礎(chǔ)（只是底層的微管理程序），以簡化認(rèn)證并限制漏洞利用的機會

將現(xiàn)有的現(xiàn)成開放操作系統(tǒng)和軟件堆棧部署在自己的隔離單元中

集成商可以靈活地實例化新單元，以滿足安全制度的特定需求和支持該體系的技術(shù)

基于功能的安全性，提供完全靈活的動態(tài)保護管理

通過隔離和使用受限的單元間通信 API 來防御單元之間的惡意軟件和安全性 – 可見的開放操作系統(tǒng)可能會被感染并失敗，而不會影響其他單元中的安全通信軟件

快速進程間通信 （IPC） 機制可實現(xiàn)高性能

通過監(jiān)控、優(yōu)先級排序和單元之間的負(fù)載平衡來抵抗 DoS 攻擊

BeagleBoard 上的 Android 概念驗證

圖 1 中描述的移動虛擬化平臺和安全架構(gòu)建立在 Open Kernel Labs 去年宣布的概念驗證之上。用于安全語音通信的OK：Android設(shè)計基于Digi-Key的社區(qū)驅(qū)動型BeagleBoard，該BeagleBoard運行德州儀器OMAP3530片上系統(tǒng)。

安全語音設(shè)計使用 OKL4 在多個移動虛擬機管理程序（或“微監(jiān)控程序”）分區(qū)之間分配電話資源，包括一個用于 OK：Android，一個用于安全通信，一個用于共享服務(wù)器隔間。后者包括用于音頻的共享服務(wù)器單元、各種外圍設(shè)備、時鐘和電源管理等系統(tǒng)功能以及用于調(diào)試的控制臺。OKL4 還可以在其他情況下促進安全的視頻和短信傳輸。

從概念驗證到部署

以前，保護政府應(yīng)用程序、語音和 SMS 需要昂貴的定制硬件和專有軟件堆棧。這導(dǎo)致了一次性的手機和收音機，使政府工作人員背負(fù)著另一臺設(shè)備，將他們的雇主鎖定在單一供應(yīng)商上，并為IT支持人員提供了難以維護和無法升級的平臺。如今，幾家主要的政府集成商及其合作伙伴正在通過構(gòu)建移動虛擬化和現(xiàn)成的移動硬件和軟件來開發(fā)和部署現(xiàn)實世界的安全移動設(shè)備。

審核編輯：郭婷