超级会员免费看
SEIP:移动平台的简单高效完整性保护方案
1. 引言
在移动平台的运行过程中,许多框架需要在运行时同时接受来自可信和不可信应用的输入,以提供诸如电话或消息服务等功能。然而,由于性能原因,它们不能频繁更改安全级别。传统的完整性模型,如 BIBA 和 LOMAC,不够灵活,无法支持这样的安全需求。同样,SELinux 中使用的“域转换”对于移动平台也不可行。
为了解决这个问题,我们提出特定的可信进程可以在保持其完整性级别的同时接受不可信信息。关键要求是接受的不可信信息不会影响该可信进程和其他进程的行为。我们通过分离从不同完整性级别主体接收的信息来实现这一目标。与传统的基于信息流的完整性模型不同,我们不会像 Clark - Wilson 类模型那样对低完整性信息进行清理并提高其完整性级别,而是在可信主体内部分离不同完整性级别的数据,从而使接收不可信数据不会影响其行为。
2. SEIP 的设计
SEIP 旨在为移动平台提供简单高效的完整性保护,下面详细介绍其设计。
- 可信和不可信域
- 应用和资源的完整性级别 :在移动平台中,通常来自设备制造商和无线网络提供商的应用程序经过更精心的设计和测试,它们为其他应用提供系统和网络服务,因此被视为高完整性应用或主体。默认情况下,所有用户后来安装的应用程序都被视为低完整性。但在某些情况下,如由网络运营商或可信服务提供商提供且需要进行敏感操作(如访问 SIM 卡或用户数据)的用户安装应用,可被视为高完整性。对于第三方服务提供商的应用,其完整性级别取决于服务提供商与用户或制造商/网络提供商之间的信任协议。
-
订阅专栏 解锁全文
扫一扫
2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
