智能移动终端的信任管理技术研究

龚洁中，陈恭亮，李建华

(上海交通大学信息安全工程学院，上海 200240)

0 引言

移动终端自诞生之日起，就一直朝着微型化、智能化的方向发展。从2010年开始，智能手机、平板电脑和电子阅读器等多种智能移动终端因其灵活性、易用性和可操作性的特点开始在公众中大量普及，而越来越低廉的价格以及越来越强大的功能更是加速了这种趋势。以手机为例，当前主流的高端智能手机处理器的工作频率已可高达双核1.5 GHz，这与几年前一台普通微型计算机的CPU配置相当，而价格普遍在2000元～4000元之间，其尺寸却只有手掌般大小。而与其相关联的其他产业也得到了足够的升级换代刺激，包括LCD触控面板、移动无线网络、基于位置的服务和触摸操控类游戏等，形成了以智能移动终端为服务载体的移动信息技术产业链，犹如当年以蒸汽机的发明而带动整个工业机械化的工业革命一般，其标志性地位及影响都将是历史性的。

1 智能移动终端发展现状

智能移动终端技术和产品在不断发展的同时，移动服务的种类也在不断发生新的变化。同样以手机为例，其诞生之初的主要业务是语音通话服务，而自从短信业务开通之后，在整个中国地区乃至亚洲地区，短信业务成为了移动通信服务公司最大的利润来源。随着手机上网业务的开通和人们使用手机习惯的演变，就中国移动目前的情况来看，手机上网的流量所产生的业务收入已经超过了短信业务，跃居其利润来源第一位。手机已经逐渐演变为一种综合网络业务接入设备，甚至可以说智能移动终端已经成为了移动的信息与服务的发布和接收平台，具备各种数据的采集、处理和传输等功能，是连接使用者与虚拟信息世界的一个接口。

同时也应该注意到，当越来越多的智能移动设备以网络终端的形式接入以国际互联网为主干的虚拟信息世界时，在传统网络中出现的各种问题也同样会出现在智能移动终端上，甚至还会有更多新问题。对于接入设备的信任管理一直是互联网环境中的研究热点，本文也将从智能移动终端的角度来探讨其信任管理的技术问题。

2 信任管理问题简介

随着互联网的不断扩张，各种大规模开放式应用系统也相继出现，信任与协作的问题逐渐成为了信息安全领域的研究热点。而对于信任的定义也有各种不同的表述，比较经典的有Rindeback[2]把信任看作是个体对他人言辞、承诺及口头或者书面陈述可靠性的一种概括化的期望;Hartman[3]认为信任是交往双方共同持有的，对于两人都不会利用对方脆弱性的信心。在笔者看来，信任应该是信任主体基于某些因素而对客体未来行为形成的一种可靠性预判，具有以下一些特性:

(1)主观性，不同的授信方(主体)具有不同的信任标准;

(2)动态性，信任关系会在交互行为中发生动态变化;

(3)不对称性，实体A信任实体B，但实体B不一定信任实体A;

(4)传递性，信任可以通过中间实体形成一种推荐信任关系。

另外，在信任是否会随时间衰减以及是否具有可量化性的问题上，学界依然存在一定争议，不过就实际应用来看，对于这两个问题的不同回答可对应于不同的管理策略。

就信任建立的方式而言可以分为基于身份的信任(identity trust)和基于行为的信任(behavior trust)两类，后者可进一步细分为直接信任(direct trust)和间接信任(indirect trust)。基于身份的信任采用的是静态验证机制，目前最常用的技术有认证、加密、数据隐藏、数字签名、公钥证书，以及访问控制策略等。基于行为的信任是通过实体的行为记录和当前行为特征来判断其可信程度，是一个动态甄别的过程，更具有可靠性，也更加贴近现实情况。

信任管理的概念是在1996年由 M.Blaze等人[1]为了解决 Internet网络服务的安全问题而提出，其基本的思想是建立在承认开放系统中安全信息的不完整性的基础上，进而提出系统的安全决策需要附加的安全信息，将信任管理与分布式系统安全结合在一起，并提出了一个基于信任管理引擎的信任管理模型，其实质是一种基于策略或凭证的静态信任管理技术。这样的信任关系是通过凭证或凭证链建立一种非0即1的二元决策结果，最具代表性的系统包括:PolicyMaker、Keynote和Referee，这类系统研究的核心问题是访问控制信息的验证，主要包括凭证链的发现、访问控制策略的表达及验证等。但是在网格、P2P和普适计算等大规模开放系统中，不同管理域内的实体间往往缺乏统一的信任策略，从而导致跨域信任管理的缺失。

动态信任管理技术则很好的解决了这一难题，也称为基于声誉的信任管理，是在参考了人类现实社会中信任关系的建立过程而诞生的，其主要思想在于对信任关系建模和管理时，更多的注重收集影响实体可信性的主观因素及客观证据的变化，以一种实时动态的方式实现对实体的可信性测评和管理，并对其未来能否维持同等的可信度做出判断。但这类系统同样存在缺点，例如容易受到恶意节点的干扰从而破坏对实体可信度的真实性判断。目前对于动态信任管理的研究主要集中在三个方面:(1)动态信任关系的实质研究;(2)动态信任模型的研究;(3)动态信任关系的管理策略研究。

但越来越多的研究显示，在一个复杂网络系统中，单一的信任管理模型往往难以胜任，更多是采用静态管理和动态管理相结合的方式。而在智能移动终端环境中，该选用何种信任管理方式，以及会遇到哪些新的问题，将在下文中展开讨论。

3 移动终端的信任管理

3.1 安全和信任问题

随着移动终端智能化的发展，原来存在于计算机系统及互联网的安全问题有慢慢向移动终端扩散的趋势。调查显示，2010年新增的手机病毒数是2004～2009年手机病毒总数的近两倍，预计共感染手机800万部以上;抽样显示近40%的Android常见应用程序被植入恶意吸费代码。为此，工信部相关负责人日前表示，工信部正会同有关部门加紧制订《移动智能终端管理办法》，以完善移动智能终端的信息安全管理，保护使用者的利益。

在很多场合中，人们容易将信任(trust)与安全(security)问题混为一谈，实际上两者具有本质上的不同，在移动终端中表现得尤为突出。第一，信任是一种二元关系，强调的是两个实体之间交互建立起的联系属性，是两个实体之间关联的描述，而安全更多的是注重实体对于抵抗外界的干扰或损害的能力，是对某一实体所处状态的聚合描述;第二，信任关系的建立可以与自身是否安全无关，如，在手机与基站的通信模式中，手机是否感染病毒并不影响其与基站建立信任关系，这也是目前各种吸费软件能够得逞的根本原因，因此在很多时候，以为是安全问题，而实质上是信任管理出了状况。与此同时，信任和安全又具有密不可分的联系，如图1所示。

图1 信任与安全的关系

3.2 移动终端信任管理模型

智能移动终端的最终价值在于能够将采集到的真实数据通过网络传输出去，因此在很多方面与传统网络终端的管理模型类似，但又有其独特的地方。(1)移动性，在不同的管理域进行切换时，其信任管理策略可能会发生相应的变化，不具备持久的一致性;(2)被迫性，与移动终端的数量相比，基站的数量十分有限，甚至在某些区域具有唯一性，这就使得移动终端不得不被迫接受对基站的信任关系;(3)不易察觉性，移动终端之间存在多种数据连接方式，如，蓝牙、红外线等，由于无线信号有效范围的不可控，更容易在不知情的情况下建立信任关系，甚至进行数据传输。因此在采用传统信任管理模型的同时，需要对一些细节作出必要的修正。

3.2.1 基于身份的信任管理

身份认证技术是通信双方可靠的验证对方身份的技术，包括用户向系统出示自己的身份证明和系统查核用户的身份证明的过程，是一个双向认证的过程。认证技术主要有三类。

(1)通过用户设置的密钥或口令。但在大多数情况下，用户为了记忆方便，会采用诸如名字、生日、电话、门牌号等作为密码，又或者会记在某一个自认为安全的地方，结果很容易造成密码泄露。而即使不泄露，由于是静态数据，很容易被监听设备截获，因此从安全性来说这并不是一种很好的方式。

(2)通过拥有的物理设备，例如智能卡、USB Key。智能卡和USB Key都是基于“what you have”的手段来实现认证，智能卡通过其不可复制性来保证用户身份不被冒充，而USB Key则是采用软硬件相结合、一次一密的强双因子认证模式，很好的解决了安全性和易用性直接的平衡问题。

(3)通过用户的生物特征，可以细分为身体特征和行为特征两类。身体特征包括:指纹、视网膜、虹膜和脸型等;行为特征包括:签名、声音等。与传统身份认证技术相比，生物识别技术具有随身性、唯一性、稳定性和方便性等特征，相信将成为未来身份认证技术的主流趋势。

在智能移动终端中，在实际应用时会根据不同的需求同时采用以上多种认证技术，而为了保障身份信息的传输安全、不可否认性、完整性及防止身份的重放攻击，通常采用加密机制。但由于移动终端的计算能力及电源能耗限制，采用的加密算法都不可能太复杂，例如A5/1及A5/2算法都已经被攻破，相信随着技术的发展，会不断有更复杂更安全的加密算法应用到移动终端上。

3.2.2 基于行为的信任管理

基于行为的信任是通过实体的历史行为记录及当前行为特征来动态确定实体的可信度，相对于前一种信任管理模式而言，基于行为的信任管理更加适用于开放性的、分布性的大规模网络环境，也更贴近于现实。

在移动终端和基站通信模式中，因为缺乏终端对于基站端的认证机制，只能选择无条件信任基站，因而移动终端无论提交的任何请求行为，对于基站端的反馈信息都只能接受;而基站端处于某些利益的考虑，对于移动终端提交的请求只要符合身份认证条件都会给予反馈，这就使得一些恶意程序能够轻易的产生流量来吸费，实际上是由于整个信任管理机制的不完善造成的。目前也有一些终端程序可以控制每月流量上限，从一定程度上来说就是对信任管理的行为监控补充，但要从根本上解决这一问题首先需要实现移动终端和基站双向认证。

考虑若干移动终端之间的连接通信模式，很大程度上可以借鉴Ad-hoc网络的模式，而在这方面的信任管理研究成果也较为丰富，也较为成功。George等人就提出了一种适用于Ad-hoc网络的基于半环代数理论的信任模型[4]，将信任问题定义为一个有向图G(V，E)的路径问题，用节点来表示实体，用有向边代表信任关系，然后使用半环代数理论计算出两个节点间的信任度，适用于节点数目不多的网络，对于少量移动终端自主组网通信来说是一种不错的借鉴，但对于终端资源消耗过大，需要进一步的改进。

3.3 移动终端信任管理方案设计

根据前面分析和介绍的内容，要设计一个合理有效的移动终端信任管理方案，必须综合考虑具体移动终端应用服务所涉及的各个参与方实体，依然以智能手机使用GPRS服务上网为例，参与方实体可以分为:用户、手机终端、应用程序及移动服务商(包括设备商和运营商)四方，其中手机终端是整个信任体系的核心。信任管理的最终目标就是在这样一个参与方实体范围内建立信任域，以使得各种数据服务能够满足用户的合法需求，同时也不会损害其合法利益。所设计的信任管理方案，如图2所示。

图2 信任管理方案设计实例

在该方案中，用户与手机终端之间通过基于身份的信任管理技术建立信任关系，具体可使用用户口令、指纹和声音识别等技术来实现用户与手机终端之间的信任;而驻留在手机终端上的各种应用程序则可以基于其行为建立动态的信任管理模式，实时监控并辨别出可能的恶意应用程序，保护用户利益;最后手机终端与移动服务商之间需要建立有效的双向认证机制，以避免冒充基站攻击的可能性。以上三项信任关系及管理机制的建立能够有效促成用户、应用程序与移动服务商三者之间的间接信任，从而实现一个较为完整的信任域的建立，为移动服务的真正安全提供了保障基础。

4 结语

目前，全球移动互联网业务正处于快速成长期，大量智能移动终端的涌现，也为移动互联网市场的成熟创造了基础条件。但是它们在方便人们工作、学习和生活的同时，也给使用者带来了极大的安全隐患，这也使得对智能移动终端的信任管理成为了研究的热点。整体来说，对于智能移动终端的信任管理仍处于探索阶段，相信随着移动终端智能化的进一步提升，基于身份和基于行为的传统信任管理模型的不断改进，会有更加适应于移动终端环境的信任管理模型被提出。

[1]RINDEBACK C，GUSTAVSSON R.Why Trust is Hard-Challenges in E-mediated service[C].In Proc.of the 7thInternational Workshop on Trust in Agent Society，New York，NY，USA，2003:180-199.

[2]HARTMAN F.The Role of Trust in Technology Innovation[C].In Proc.Of the IEEE International Conference on Industrial Informatics(INDIN 2003)，Banff，Canada，2003:8-14.

[3]BLAZE M，FEIGENBAUM J，LACY J.Decentralized Trust Management[C].In:Dale J，Dinolt G，eds.Proceedings of the 17thSymposium on Security and Privacy.Washington:IEEE Computer Society Press，1996:164-173.

[4]THEODORAKOPOULOS G，BARAS JS.On Trust Models and Trust Evaluation Metrics for Ad-Hoc Networks.IEEE Journal on Selected Areas in Communications，2006，24(2):318-328.

[5]袁时金.信任管理关键技术研究[D].上海:复旦大学，2004.

[6]李小勇，桂小林.大规模分布式环境下动态信任模型研究[J].软件学报，2007，18(6):1510-1521.

[7]王衡军，王亚弟，张琦.移动Ad-Hoc网络信任管理综述[J].计算机应用，2009，29(5):1308-1311.