摘要：在分析移动终端应用、安全威胁及开放的终端内部数据资源的基础上，从保护移动终端信息安全的角度出发，首次提出了移动终端安全模块的概念，并给出了安全模块与基带芯片和上位机的相对关系图。就安全模块的文件逻辑模型、软件模块及硬件模型进行了概要设计和研究。
关键词：移动终端 安全模块 基带芯片 会话密钥
随着移动通信业务的发展、普及，尤其是3G时代的到来，移动终端逐渐演变成集通话、身份代表、信息获取、电子支付等为一体的手持终端工具。伴随着移动终端用户规模的迅速扩大和诸多人员对移动终端技术的了解，移动终端正面临着越来越多的安全威胁。下面列举几种典型的安全威胁。
（1）移动终端身份序列号（例如GSM中的IMEI）的删除和篡改等
由于IMEI号可用来统计用户的终端类型、限制被盗终端在移动网内的重新使用等用途，所以IMEI号应该具有一定的保护措施。
（2）终端操作系统非法修改和刷新等

由于非法操作系统可能会影响用户使用并干扰正常网络运行，因此操作系统应当阻止一切非法的修改和刷新等。
（3）个人隐私数据（例如银行账号、密码口令等）的非法读取访问等
移动终端内部可能会存有用户的电话簿、短信、银行账号、口令等用户隐私信息，如果这些信息被他人非法获得，很可能给用户造成直接的经济损失。
（4）病毒和恶意代码的破坏
病毒和恶意代码很可能会破坏移动终端的正常使用，还可能会将用户的隐私信息不知不觉地传给他人。
（5）移动终端被盗等
目前移动终端被盗现象极其严重，终端被盗给用户带来直接经济损失，更严重的是用户隐私数据的泄漏等。
总之，移动终端存在的安全隐患可能会威胁到个人隐私、私有财产甚于国家安全。尽管移动终端面临着许多的安全威胁，但目前其安全问题仍是整个移动运营网络中的一个安全盲点。
1 开放的移动终端内部数据资源

图1是移动终端内部结构的典型模型。

一般，目前所有的敏感信息包括开关机口令、敏感电话簿、机密短信、证书、用户私钥等信息都存放在片外存储器中，另外用于调试访问片内资源的JTAG口等是开放的（目前没有有效的方式封闭JTAG口）。所以攻击者很容易通过JTAG口等调试端口获得DBB内部或者Flash中的存储信息。甚于很多终端的JTAG口直接连在终端外边，攻击者连机壳等都不必打开，就可以获得内部资源。攻击者当然也可以将Flash芯片取下并采用专门的设备将内部数据读出。
基于以上介绍，出于为移动终端内部敏感数据资源提供集中的安全保护措施角度考虑，提出了安全模块的概念。
2 安全模块及与其他相关部分的关系
2.1安全模块定义
为移动终端所有或大部分敏感信息提供集中存放和运算的芯片模块，这里称作安全模块。
下面列举一些安全模块的典型作用：
·操作系统、身份序列号及其他信息的完整性保护等；
·敏感信息的安全存储包括银行账号信息、银行密码信息、CA证书、密钥等；

图3

·关键数据的冗灾备份，如系统的各种配置信息等；
·机卡互锁等手机防盗技术的实施等；
·密码算法的存储和运算等。
2.2安全模块与基带芯片及上位机的关系
图2是安全模块与其他部分的关系图。安全模块与其他部分信息交互的端口，一个是安全模块与上位机的接口——工作端口，一个是安全模块与上位机的接口——调试端口，其中工作端口用于移动终端正常工作时，安全模块与基带芯片进行敏感信息的传送。调试端口用于移动终端生产甚至维修时安全模块预设数据和个性化数据的装入等。
为了防止安全模块与基带芯片之间敏感数据传送过程中的被窃取或者搭线窃听。安全模块与基带芯片之间的数据应该密文传送。传输中的会话密钥，可以采用现有的密钥协商协议临时生成，例如Diff-Hellman等。

图4

另外，安全模块对上位机应当具有认证功能，以防止非法主机对安全模块的非法逻辑操作。
2.3基带芯片部分说明
基带芯片中有一部分核心代码，本部分代码是安全的。这部分代码的作用是与安全模块会话密钥的协商并及向移动终端上层应用安全模块进行数据交互的应用程序端口。
3 安全模块的文件逻辑模型和软件逻辑模块
3.1文件逻辑模型
根据安全模块的功能，提出一种典型的安全模块文件逻辑模型，如图3所示。
从图3可以看出，文件按分层结构组织，共有三种类型。操作系统可以处理和访问不同文件中的数据。
·主文件（MF—Master File）
主文件代表一个功能大类，只有文件头，没有文件体。其下可以存放针对某一应用领域的各种安全相关参数和数据。