ARM-Android平臺(tái)的訪問(wèn)控制機(jī)制研究進(jìn)展*

任 璐，尹 青，常 瑞，蔣 航

數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，鄭州 450001

ARM-Android平臺(tái)的訪問(wèn)控制機(jī)制研究進(jìn)展*

任 璐，尹 青，常 瑞+，蔣 航

數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，鄭州 450001

Abstract:With the increasing dependence on mobile devices,the security of mobile platforms has aroused extensive attention.Android is a popular open source software stack for a wide range of embedded devices.As the core of system security,the access control mechanism of Android is always a hot spot.This paper focuses on access control mechanisms for the ARM-Android platform,including the hardware isolation,application sandbox and permissionbased protection methods.Several model enhancements in different system levels are analyzed according to the comparison of specific control strategies.Then the status of research on multi-level comprehensive access control schemes is summarized.Furthermore,combining ARM TrustZone isolation environment,this paper proposes an access control model and its key technology.Mechanism specifications are obtained through the system analysis,and the formal method is applied to model abstraction and demonstration.Based on the vulnerability analysis and formal modeling work,directions for the relevant research are discussed at last.

Key words:ARM-Android;access control;model enhancement

隨著人們對(duì)移動(dòng)設(shè)備的依賴，移動(dòng)設(shè)備的安全性問(wèn)題日益凸顯。Android設(shè)備是應(yīng)用廣泛的開源性移動(dòng)平臺(tái)，其訪問(wèn)控制機(jī)制作為系統(tǒng)安全的核心，更是備受關(guān)注。針對(duì)ARM-Android系統(tǒng)的硬件隔離、系統(tǒng)沙箱和權(quán)限保護(hù)機(jī)制，根據(jù)具體策略進(jìn)行分類對(duì)比，綜合分析了不同系統(tǒng)層次的模型改進(jìn)方案，并總結(jié)了多層次綜合策略訪問(wèn)控制的研究現(xiàn)狀。進(jìn)一步結(jié)合ARM TrustZone隔離環(huán)境，提出了一種系統(tǒng)訪問(wèn)控制的安全模型及關(guān)鍵實(shí)現(xiàn)技術(shù)，通過(guò)系統(tǒng)分析得到機(jī)制規(guī)范，并利用形式化方法進(jìn)行了模型抽象和證明。最后根據(jù)安全機(jī)制的漏洞分析和形式化建模工作，梳理了相關(guān)研究方向。

ARM-Android；訪問(wèn)控制；模型改進(jìn)

1 引言

在自攜設(shè)備（bring your own device，BYOD）、工業(yè)4.0等新型應(yīng)用場(chǎng)景下，伴隨著Android系統(tǒng)的應(yīng)用急劇增長(zhǎng)及迅速更新?lián)Q代，移動(dòng)嵌入式設(shè)備的安全需求更加復(fù)雜，Android的安全研究也隨之發(fā)展，如系統(tǒng)安全分析與系統(tǒng)改進(jìn)[1-4]、應(yīng)用分析與惡意檢測(cè)[5-7]等。

設(shè)備應(yīng)用環(huán)境的多樣化，對(duì)系統(tǒng)訪問(wèn)控制也有了更高的要求。ARM-Android作為流行的移動(dòng)平臺(tái)架構(gòu)，主要通過(guò)自主訪問(wèn)控制進(jìn)行系統(tǒng)保護(hù)，在訪問(wèn)控制粒度和授權(quán)管理上仍暴露出許多安全漏洞，如CVE-2015-38581）http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3858.、CVE-2016-08052）http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0805.漏洞等，因此訪問(wèn)控制模型研究一直是工業(yè)和學(xué)術(shù)界研究的熱點(diǎn)。此外，當(dāng)前的可信執(zhí)行技術(shù)也為系統(tǒng)安全提供了更強(qiáng)的硬件隔離環(huán)境，利于實(shí)現(xiàn)更底層的訪問(wèn)控制。然而由于嵌入式設(shè)備的資源受限，硬件隔離技術(shù)的應(yīng)用生態(tài)并不成熟，尚未出現(xiàn)一個(gè)通用的安全訪問(wèn)控制模型，缺少理論支撐。

本文針對(duì)ARM-Android架構(gòu)，重點(diǎn)總結(jié)了2010年以來(lái)的Android訪問(wèn)控制模型改進(jìn)方案，并結(jié)合ARM TrustZone環(huán)境，提出了一種系統(tǒng)訪問(wèn)控制的安全模型及形式化建模和驗(yàn)證思路。結(jié)合機(jī)制安全性分析的相關(guān)工作，提出了可行的ARM-Android訪問(wèn)控制安全研究方向。

2 ARM-Android平臺(tái)訪問(wèn)控制機(jī)制

2.1 ARM-Android體系結(jié)構(gòu)

Android軟件棧自底向上依次是內(nèi)核、中間件和應(yīng)用層，其中中間件包括運(yùn)行時(shí)環(huán)境和系統(tǒng)庫(kù)，以及應(yīng)用框架層。Android能搭載在不同架構(gòu)的硬件設(shè)備上，而ARM架構(gòu)在功耗和成本上的優(yōu)勢(shì)使其在移動(dòng)終端占主要地位，其系統(tǒng)結(jié)構(gòu)如圖1所示。

Fig.1 ARM-Android system architecture圖1 ARM-Android系統(tǒng)結(jié)構(gòu)

2.2 訪問(wèn)控制模型

訪問(wèn)控制是信息安全保障機(jī)制的核心內(nèi)容，傳統(tǒng)的控制機(jī)制包括強(qiáng)制訪問(wèn)控制（mandatory access control，MAC）和自主訪問(wèn)控制（discretionary access control，DAC）。其中MAC通常是由系統(tǒng)對(duì)數(shù)據(jù)和用戶劃分安全等級(jí)標(biāo)簽，用戶不能改變對(duì)象安全級(jí)別。DAC允許對(duì)象的屬主來(lái)制定該對(duì)象的保護(hù)策略，具有易用性與可擴(kuò)展性。

根據(jù)策略應(yīng)用的具體場(chǎng)景，基本的訪問(wèn)控制模型中加入了更多的授權(quán)環(huán)境要素，如基于角色的訪問(wèn)控制（role-based access control，RBAC）、基于任務(wù)的訪問(wèn)控制（task-based access control，TBAC）、基于屬性的訪問(wèn)控制（attribute-based access control，ABAC）等，它們根據(jù)各自需求，能夠綜合實(shí)現(xiàn)MAC和DAC策略。圖2（a）是ABAC的基本授權(quán)示意圖。

在開放式網(wǎng)絡(luò)環(huán)境中動(dòng)態(tài)、連續(xù)的訪問(wèn)控制需求下，使用控制的核心模型增加義務(wù)和條件作為授權(quán)相關(guān)元素[8]，即訪問(wèn)決策時(shí)要考慮主體獲得或行使對(duì)客體的訪問(wèn)權(quán)前或過(guò)程中必須完成的操作和滿足的約束條件，其模型示意如圖2（b）所示。

Fig.2 Access control model圖2 訪問(wèn)控制模型

2.3 安全機(jī)制

根據(jù)ARM-Android的系統(tǒng)結(jié)構(gòu)，其訪問(wèn)控制機(jī)制主要包括硬件層、中間件及應(yīng)用框架層安全，如表1所示。

Table 1 Access control mechanisms for ARM-Android platforms表1 ARM-Android平臺(tái)的訪問(wèn)控制機(jī)制

（1）ARM硬件隔離機(jī)制

近年主流的系統(tǒng)底層隔離技術(shù)包括構(gòu)建可信執(zhí)行環(huán)境（trusted execution environment，TEE）及虛擬化方式。其中TEE[9]主要基于CPU的特殊模式或安全硬件實(shí)現(xiàn)安全系統(tǒng)與普通系統(tǒng)的隔離。ARM TrustZone技術(shù)、SIM卡以及可信平臺(tái)模塊（trusted platform module，TPM）等，都提供了TEE環(huán)境。虛擬化在硬件層上增加虛擬器監(jiān)控層Hypervisor，ARM正著力于硬件擴(kuò)展，提供虛擬化支持。

ARM TrustZone[10]作為最具代表性的TEE方法，得到了研究者和工業(yè)界的關(guān)注利用。TrustZone技術(shù)隔離片上系統(tǒng)硬件和軟件資源，使它們處于兩個(gè)區(qū)域，分別用于安全子系統(tǒng)和存儲(chǔ)其他內(nèi)容，其整體架構(gòu)如圖3所示，其中硬件邏輯可確保普通世界組件無(wú)法訪問(wèn)安全世界資源。

Fig.3 ARM TrustZone architecture圖3 ARM TrustZone架構(gòu)圖

（2）Android沙箱隔離

Android使用內(nèi)核層Linux的訪問(wèn)控制機(jī)制和運(yùn)行時(shí)的虛擬機(jī)來(lái)實(shí)現(xiàn)沙箱隔離，從系統(tǒng)底層提供了基本的訪問(wèn)控制機(jī)制。

設(shè)備中的應(yīng)用程序在安裝時(shí)，Android為每個(gè)應(yīng)用程序包進(jìn)程分配一個(gè)單獨(dú)的用戶空間，并為它創(chuàng)建一個(gè)隔離的沙箱，擁有獨(dú)立地址空間和資源，使得不同應(yīng)用程序和進(jìn)程間能夠互相隔離。

（3）Android權(quán)限機(jī)制

在應(yīng)用程序框架層，Android定義了權(quán)限機(jī)制，對(duì)應(yīng)用可以執(zhí)行的某些具體操作進(jìn)行權(quán)限細(xì)分和訪問(wèn)控制，并向用戶通知應(yīng)用程序使用的權(quán)限情況。

每個(gè)權(quán)限被定義成一個(gè)字符串，權(quán)限可由系統(tǒng)或用戶定義，主要包含權(quán)限名稱、所屬權(quán)限組和保護(hù)級(jí)別，保護(hù)級(jí)別代表了應(yīng)用使用權(quán)限時(shí)的認(rèn)證方式。

Android6.0版本3）https://developer.android.com/guide/topics/security/permissions.html.實(shí)現(xiàn)了運(yùn)行時(shí)權(quán)限動(dòng)態(tài)檢測(cè)。用戶可以直接安裝應(yīng)用，當(dāng)應(yīng)用的權(quán)限請(qǐng)求中包含不恰當(dāng)?shù)臋?quán)限時(shí)，用戶可以拒絕授權(quán)。在程序運(yùn)行時(shí)刻，系統(tǒng)通過(guò)引用監(jiān)視器，監(jiān)控組件通信過(guò)程，對(duì)權(quán)限保護(hù)的組件進(jìn)行權(quán)限檢查，判斷通信過(guò)程是否能夠進(jìn)行。

3 訪問(wèn)控制機(jī)制改進(jìn)

在ARM-Android已有的訪問(wèn)控制機(jī)制基礎(chǔ)上，研究者在硬件、內(nèi)核、中間件以及綜合層次對(duì)模型進(jìn)行改進(jìn)優(yōu)化，增強(qiáng)機(jī)制安全，實(shí)現(xiàn)開放環(huán)境下可信方對(duì)敏感信息的使用控制，具體研究如下。

3.1 硬件層隔離

移動(dòng)設(shè)備的訪問(wèn)控制機(jī)制普遍利用軟件實(shí)現(xiàn)，其部署開銷和維護(hù)成本較高，系統(tǒng)隔離技術(shù)的日漸成熟為訪問(wèn)控制提出了新的發(fā)展方案。

Sabt等人[9]提出結(jié)合可信計(jì)算環(huán)境的使用控制方案，通過(guò)TPM保護(hù)加密數(shù)據(jù)，然而TPM只能提供預(yù)定義的編程接口，存在局限性。Xu等人[11]提出基于TrustZone的嵌入式系統(tǒng)訪問(wèn)控制增強(qiáng)模型，采用Domain and Type Enforcement、Bell-Lapadula等多策略的訪問(wèn)控制方案。在分布式計(jì)算環(huán)境下，Bonnet等人[12]提出TEE上部署存儲(chǔ)、計(jì)算和數(shù)據(jù)傳輸架構(gòu)等，進(jìn)行互聯(lián)網(wǎng)數(shù)據(jù)的共享使用控制。

此外，ARM TrustZone技術(shù)也為虛擬化提供了硬件支持。Varanasi等人[13]基于現(xiàn)有的硬件擴(kuò)展技術(shù)，最早設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)支持完全虛擬化的虛擬機(jī)監(jiān)視器（virtual machine monitor,VMM），并在模擬硬件上進(jìn)行性能測(cè)試。vTZ[14]提出TEE虛擬化方案，結(jié)合硬件虛擬化和TrustZone來(lái)支持多個(gè)相互隔離的安全空間，并允許無(wú)縫地從TEE部署到虛擬化環(huán)境。在工業(yè)界，ARM TrustZone架構(gòu)也在嵌入式設(shè)備上得到廣泛應(yīng)用，如華為和支付寶采用的指紋支付技術(shù)、三星KNOX等。

3.2 內(nèi)核層改進(jìn)

在內(nèi)核層對(duì)沙箱隔離機(jī)制進(jìn)行改進(jìn)，主要通過(guò)Linux內(nèi)核提供的接口掛接相應(yīng)鉤子，形成MAC模型。按照實(shí)現(xiàn)原理，改進(jìn)方案主要分為以下兩種。

（1）基于標(biāo)簽的訪問(wèn)控制

由SELinux保護(hù)的操作系統(tǒng)為每個(gè)對(duì)象和主體存儲(chǔ)安全上下文標(biāo)簽，每個(gè)訪問(wèn)控制決策都依賴于訪問(wèn)主體和客體的標(biāo)簽。Shabtai等人[15]克服了系統(tǒng)結(jié)構(gòu)、安全配置等問(wèn)題，將SELinux用在Android系統(tǒng)中，然而系統(tǒng)較為復(fù)雜，策略創(chuàng)建、優(yōu)化和維護(hù)消耗較大。

（2）基于路徑名的訪問(wèn)控制

Balá?等人[16]在Linux內(nèi)核中增加了一個(gè)安全模塊，為每個(gè)應(yīng)用定義安全策略，當(dāng)應(yīng)用程序進(jìn)行系統(tǒng)調(diào)用時(shí)，進(jìn)入訪問(wèn)控制模塊，與應(yīng)用請(qǐng)求的資源路徑名匹配，實(shí)現(xiàn)MAC策略。

Liu等人[17]針對(duì)Android數(shù)據(jù)同步和程序調(diào)試時(shí)的權(quán)限泄露隱患，令手機(jī)用戶對(duì)每個(gè)文件建立控制策略，包含文件路徑和對(duì)應(yīng)的權(quán)限列表，根據(jù)對(duì)應(yīng)系統(tǒng)調(diào)用的參數(shù)與文件路徑名進(jìn)行匹配，實(shí)現(xiàn)訪問(wèn)控制。

3.3 中間件改進(jìn)

在中間件對(duì)Android權(quán)限機(jī)制進(jìn)行改進(jìn)，目標(biāo)集中在靜態(tài)授權(quán)擴(kuò)展，訪問(wèn)控制粒度細(xì)化，防止權(quán)限提升攻擊等方面。按照實(shí)現(xiàn)原理，中間件的改進(jìn)可主要分為以下幾種。

Fig.4 Policy tree of Saint model圖4 Saint安全策略樹

（1）基于策略的訪問(wèn)控制

Apex[18]擴(kuò)展了基本的權(quán)限策略，增加運(yùn)行時(shí)訪問(wèn)控制，允許用戶動(dòng)態(tài)改變授權(quán)，保持向后兼容性。Saint[19]根據(jù)Android系統(tǒng)不同層次的安全需求，完善了原有的權(quán)限機(jī)制策略，進(jìn)而實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制，如圖4所示。

（2）基于行為的訪問(wèn)控制

Lei等人[20]利用時(shí)序邏輯描述語(yǔ)言，為關(guān)鍵系統(tǒng)資源訪問(wèn)定義安全的行為模式，動(dòng)態(tài)監(jiān)視應(yīng)用行為，實(shí)現(xiàn)訪問(wèn)控制。研究者在中間件增加資源訪問(wèn)安全行為定義、分配和實(shí)施模塊，證明能有效抵御短信服務(wù)的惡意攻擊，但該方案存在安全行為模式定義的局限性，且當(dāng)訪問(wèn)的安全資源增加時(shí)，性能損耗增加，系統(tǒng)難以部署和維護(hù)。

（3）基于標(biāo)簽的訪問(wèn)控制

YAASE[21]將保護(hù)數(shù)據(jù)與用戶定義的標(biāo)簽結(jié)合，利用TaintDroid[22]進(jìn)行數(shù)據(jù)和跟蹤，并根據(jù)細(xì)粒度訪問(wèn)策略控制數(shù)據(jù)傳遞，防止惡意軟件通過(guò)網(wǎng)絡(luò)訪問(wèn)或共謀攻擊竊取敏感信息。Huang[23]在Android應(yīng)用框架層中引入保護(hù)域和應(yīng)用白名單，根據(jù)白名單將安裝應(yīng)用與相應(yīng)保護(hù)域綁定。將Android應(yīng)用的保護(hù)域作為訪問(wèn)控制的標(biāo)簽，保證應(yīng)用授予的權(quán)限范圍，進(jìn)而限制應(yīng)用行為。然而，該方案僅使用權(quán)限靜態(tài)分析，在應(yīng)用安裝時(shí)刻指派保護(hù)域，仍存在運(yùn)行時(shí)的權(quán)限泄露。

（4）基于上下文的訪問(wèn)控制

CRePE[24]是早期在Android系統(tǒng)中實(shí)現(xiàn)上下文相關(guān)的訪問(wèn)控制方案。根據(jù)用戶定義的上下文控制策略，在不同情境轉(zhuǎn)換時(shí)對(duì)應(yīng)用權(quán)限進(jìn)行細(xì)粒度控制。在中間件，CRePE對(duì)系統(tǒng)代碼進(jìn)行修改，增加了必要構(gòu)件，并為用戶和可信方提供了策略定義接口。Shebaro等人[25]使用輕量級(jí)的控制方案，利用4個(gè)構(gòu)件收集上下文信息，進(jìn)行策略管理和執(zhí)行，增加應(yīng)用對(duì)資源的訪問(wèn)權(quán)力、系統(tǒng)方法、功能、用戶數(shù)據(jù)和服務(wù)的限制。

3.4 多層次安全策略

多層次的安全策略同時(shí)借鑒了沙箱隔離和權(quán)限機(jī)制的改進(jìn)模型思想，實(shí)現(xiàn)更加靈活的訪問(wèn)控制。

Bugiel等人[26]通過(guò)對(duì)Android的系統(tǒng)行為進(jìn)行啟發(fā)式分析，提出一個(gè)以系統(tǒng)為中心，策略驅(qū)動(dòng)的多層次運(yùn)行時(shí)控制，在中間件控制通信，并提供內(nèi)核和中間件間的回調(diào)機(jī)制。MPdroid[27]在內(nèi)核層利用Linux安全模塊（Linux security module,LSM）對(duì)進(jìn)程間通信進(jìn)行控制，在應(yīng)用框架層采用RBAC機(jī)制，框架層中的RBAC數(shù)據(jù)庫(kù)包括角色信息、權(quán)限信息和對(duì)應(yīng)用的控制規(guī)則。

TrustDroid[28]實(shí)現(xiàn)了Android軟件棧上不同層次上的隔離。在內(nèi)核層使用TOMOYO模型，在中間件控制域間的通信和數(shù)據(jù)訪問(wèn)，在應(yīng)用層允許基于上下文的網(wǎng)絡(luò)訪問(wèn)控制。該方案增加輕量級(jí)有效隔離，為訪問(wèn)控制安全提供了新方向。

3.5 使用控制

結(jié)合分布式系統(tǒng)架構(gòu)中的使用控制策略，Lazouski等人[8]針對(duì)云端使用控制交互的終端設(shè)備，通過(guò)部署數(shù)據(jù)保護(hù)系統(tǒng)和UXACML授權(quán)系統(tǒng)兩個(gè)主要部件，實(shí)現(xiàn)了數(shù)據(jù)使用控制方案。其中，受保護(hù)的數(shù)據(jù)在設(shè)備中加密存儲(chǔ)，數(shù)字保護(hù)系統(tǒng)控制數(shù)據(jù)訪問(wèn)，授權(quán)系統(tǒng)提供訪問(wèn)決策與授權(quán)。

Bai等人[29]則采用在使用控制模型上增加上下文感知的方案，構(gòu)建ConUCON模型。形式化模型包括7個(gè)構(gòu)件，分別是主體、客體、屬性狀態(tài)、權(quán)力、權(quán)限、義務(wù)和上下文。其中上下文定義為環(huán)境和系統(tǒng)屬性，如CPU速率、電池、設(shè)備位置和時(shí)間等。

表2對(duì)強(qiáng)制訪問(wèn)控制、權(quán)限機(jī)制以及使用控制機(jī)制在Android系統(tǒng)中的利用效率、靈活性和易用性等方面進(jìn)行對(duì)比分析。表3具體總結(jié)了Android不同系統(tǒng)層次的訪問(wèn)控制方案。聯(lián)系不同系統(tǒng)層次下模型改進(jìn)的優(yōu)缺點(diǎn)，可以提出進(jìn)一步的優(yōu)化方向。采用多層次多策略的訪問(wèn)控制方案，能夠綜合策略的性能優(yōu)勢(shì)，然而這也同時(shí)增加了方案實(shí)現(xiàn)的復(fù)雜度，控制模型的設(shè)計(jì)不適用于復(fù)雜的機(jī)制實(shí)現(xiàn)。因此在優(yōu)化訪問(wèn)控制策略的基礎(chǔ)上，也需要選擇一種面向應(yīng)用實(shí)現(xiàn)的模型設(shè)計(jì)方法。

Table 2 Comparison of access control mechanisms表2 訪問(wèn)控制機(jī)制對(duì)比

4 基于B方法的訪問(wèn)控制模型

基于TrustZone架構(gòu)的Android系統(tǒng)中，安全機(jī)制復(fù)雜，實(shí)現(xiàn)和證明難度較大，實(shí)際中也并未出現(xiàn)理想的系統(tǒng)設(shè)計(jì)方案與完備的評(píng)測(cè)體系。本研究從ARM-Android平臺(tái)的訪問(wèn)控制著手，設(shè)計(jì)輕量級(jí)機(jī)制，并應(yīng)用B方法進(jìn)行模型抽象和規(guī)范的形式化證明，在理論上保證設(shè)計(jì)模塊的安全性，并通過(guò)相應(yīng)工具生成系統(tǒng)可執(zhí)行代碼，保證工程實(shí)現(xiàn)與理論模型的統(tǒng)一，具有可行性。針對(duì)訪問(wèn)控制機(jī)制的形式化抽象和分析方法，也能作為其他安全模塊的構(gòu)建和分析基礎(chǔ)，為更多的安全機(jī)制設(shè)計(jì)與系統(tǒng)安全證明提供一種實(shí)際有效的途徑。

Table 3 Access control security enhancements forAndroid表3 Android訪問(wèn)控制改進(jìn)方案

4.1 系統(tǒng)分析

在TrustZone架構(gòu)上實(shí)現(xiàn)Android系統(tǒng)保護(hù)，需要在嵌入式內(nèi)核中集成TrustZone驅(qū)動(dòng)，并在中間件實(shí)現(xiàn)TrustZone本地系統(tǒng)庫(kù)和客戶端服務(wù)進(jìn)程，Android系統(tǒng)本身也提供了強(qiáng)大的技術(shù)支持。以手機(jī)支付場(chǎng)景為例，對(duì)硬件安全世界內(nèi)的敏感信息進(jìn)行訪問(wèn)控制，大體過(guò)程如下：

（1）普通世界（normal world，NW）中，Android應(yīng)用層的支付應(yīng)用向應(yīng)用框架層的TrustZone客戶端服務(wù)發(fā)出請(qǐng)求。

（2）TrustZone客戶端服務(wù)收到應(yīng)用請(qǐng)求后，調(diào)用TrustZone API實(shí)現(xiàn)的本地系統(tǒng)庫(kù)，向內(nèi)核層的Trust-Zone驅(qū)動(dòng)發(fā)出請(qǐng)求。

（3）TrustZone驅(qū)動(dòng)處理相應(yīng)的請(qǐng)求，通過(guò)SMC命令，切換到安全世界（secure world，SW）中的Monitor模式。

（4）在Monitor模式下，完全切換到安全操作系統(tǒng)的系統(tǒng)堆?？臻g以及進(jìn)程空間，安全操作系統(tǒng)通知TrustZone服務(wù)端處理任務(wù)，進(jìn)而分發(fā)安全性任務(wù)請(qǐng)求。

（5）SW中，安全操作系統(tǒng)的應(yīng)用層處理對(duì)應(yīng)的任務(wù)請(qǐng)求，具體執(zhí)行安全代碼、敏感資源和相關(guān)外設(shè)訪問(wèn)。

（6）SW中的任務(wù)執(zhí)行完畢后，根據(jù)需求切換到NW。

可見(jiàn)，一個(gè)基本的訪問(wèn)過(guò)程包含硬件、軟件兩個(gè)層次，涉及了兩個(gè)獨(dú)立的操作系統(tǒng)及其切換過(guò)程等。因此需要根據(jù)實(shí)際的系統(tǒng)結(jié)構(gòu)分層建立基本抽象機(jī)，在操作規(guī)范中不僅要描述完整的資源訪問(wèn)過(guò)程，還有系統(tǒng)世界切換動(dòng)作，保證敏感資源始終處于安全隔離狀態(tài)。

此外，在Android軟件棧中的訪問(wèn)控制包含了內(nèi)核層和中間件層次，類似于傳統(tǒng)操作系統(tǒng)中的用戶空間和內(nèi)核空間，軟件抽象機(jī)需要進(jìn)一步分層，描述用戶空間的應(yīng)用運(yùn)行與通信，并對(duì)應(yīng)內(nèi)核空間中的進(jìn)程通信，在內(nèi)核空間中實(shí)現(xiàn)基于策略的強(qiáng)制訪問(wèn)控制。根據(jù)上述分析，將采用形式化B方法模塊化構(gòu)建系統(tǒng)抽象機(jī)。

4.2 B方法

在安全攸關(guān)的領(lǐng)域，利用基于模型的形式化方法進(jìn)行軟件系統(tǒng)開發(fā)，可以彌補(bǔ)常見(jiàn)的需求規(guī)格說(shuō)明與需求管理的缺陷。B方法[30]作為典型的形式化方法，在Atelier B等工具支持下，能夠根據(jù)需求構(gòu)建抽象模型，對(duì)抽象機(jī)不斷精化，最終生成系統(tǒng)的可執(zhí)行代碼，其過(guò)程如圖5所示。它在保證精確的形式化語(yǔ)義和嚴(yán)格推理的同時(shí)，更面向?qū)嶋H和計(jì)算機(jī)應(yīng)用。

Fig.5 Construction process of B method-based access control module圖5 基于B方法的訪問(wèn)控制模塊構(gòu)建流程

4.3 模型抽象

依據(jù)上述系統(tǒng)分析，需要對(duì)兩個(gè)層次的訪問(wèn)控制機(jī)制進(jìn)行抽象。以硬件層訪問(wèn)控制機(jī)制為例，首先對(duì)控制規(guī)則進(jìn)行非形式化描述，再通過(guò)形式化抽象，得到抽象機(jī)規(guī)范。建模過(guò)程中并未描述應(yīng)用、組件通信、SW中的安全存儲(chǔ)、完整性驗(yàn)證等細(xì)節(jié)，這是由于初步的模型高度抽象，主要包含安全屬性強(qiáng)相關(guān)的抽象結(jié)構(gòu)，在后續(xù)的模型精化過(guò)程中可以加入更多的具體化操作，用更接近計(jì)算機(jī)實(shí)現(xiàn)的結(jié)構(gòu)代替抽象結(jié)構(gòu)。

（1）基本要素

針對(duì)系統(tǒng)進(jìn)程對(duì)敏感資源的訪問(wèn)控制，需要定義基本的部分訪問(wèn)控制要素和控制規(guī)則。其中，基本要素包括資源實(shí)體、系統(tǒng)狀態(tài)等，各要素抽象應(yīng)當(dāng)符合B方法的語(yǔ)法定義。要素對(duì)應(yīng)的系統(tǒng)操作定義應(yīng)保證滿足定義的訪問(wèn)控制規(guī)則。系統(tǒng)抽象機(jī)的訪問(wèn)控制規(guī)則和部分要素分別如表4、表5所示。隨著抽象機(jī)規(guī)模的擴(kuò)大，訪問(wèn)要素及規(guī)則會(huì)繼續(xù)增加。

（2）構(gòu)建抽象機(jī)

依據(jù)上述訪問(wèn)控制要素建立抽象機(jī)M1,建立TrustZone的訪問(wèn)控制形式化規(guī)范，形式如圖6所示。

對(duì)Android軟件層次的訪問(wèn)控制機(jī)制的抽象與上述步驟類似，在Android訪問(wèn)控制模型研究的基礎(chǔ)上，提出對(duì)系統(tǒng)資源的強(qiáng)制訪問(wèn)控制策略，并進(jìn)行規(guī)范證明。在構(gòu)建軟件層的抽象機(jī)時(shí)，可以進(jìn)一步分解為內(nèi)核層、中間件的訪問(wèn)控制機(jī)制，獨(dú)立的成員抽象機(jī)的內(nèi)在一致性可以獨(dú)立證明。在構(gòu)建硬件、軟件層次的抽象機(jī)M1、M2后，以遞增的方式構(gòu)造抽象機(jī)規(guī)范，組合構(gòu)建為ARM-Android平臺(tái)上的訪問(wèn)控制模塊，圖7（a）是抽象機(jī)合并構(gòu)造的語(yǔ)法定義，（b）是整體結(jié)構(gòu)。

Table 4 Basic control rules表4 基本控制規(guī)則

Fig.6 Abstract machine of hardware layer圖6 硬件層抽象機(jī)

Fig.7 Formal model structure圖7 形式化模型結(jié)構(gòu)圖

Table 5 Basic elements of access control mechanism表5 訪問(wèn)控制基本要素

在得到B語(yǔ)言描述的訪問(wèn)控制機(jī)制形式化規(guī)范后，進(jìn)一步精化，在抽象模型中加入具體細(xì)節(jié)，并利用Atelier B工具生成證明任務(wù)，通過(guò)證明得到最終的可實(shí)現(xiàn)代碼。

5 相關(guān)工作

盡管ARM-Android采用了多層次的安全模型保證應(yīng)用隔離和訪問(wèn)控制，其中仍存在系統(tǒng)漏洞，造成權(quán)限泄露等。對(duì)安全機(jī)制進(jìn)行漏洞挖掘和形式化分析，也是機(jī)制研究的重要工作。以Android權(quán)限機(jī)制分析為例，研究者通過(guò)分析策略實(shí)現(xiàn)中的漏洞，用形式化方法分析安全策略的定義描述，保證安全機(jī)制完備性。

5.1 機(jī)制漏洞分析

Faruki等人[1]對(duì)Android系統(tǒng)安全進(jìn)行綜述，提出Android系統(tǒng)安全問(wèn)題主要分為版本更新、Native代碼執(zhí)行以及不同威脅攻擊。Fang等人[2]從直接、間接兩方面詳細(xì)分析了Android權(quán)限機(jī)制的安全風(fēng)險(xiǎn)，包括過(guò)度授權(quán)、權(quán)限提升攻擊等。其中，應(yīng)用級(jí)別的權(quán)限提升攻擊可以分為混淆代理攻擊和共謀攻擊。Felt等人[31]將權(quán)限提升稱為權(quán)限再次授權(quán)攻擊，分析了其攻擊方法和防御方案。此外，盡管Android系統(tǒng)新版本采用新的權(quán)限機(jī)制，并加強(qiáng)內(nèi)核層的訪問(wèn)控制，但仍無(wú)法達(dá)到預(yù)期安全性，對(duì)于廣大用戶仍存在文檔說(shuō)明不足，權(quán)限控制不力，影響用戶體驗(yàn)等現(xiàn)實(shí)問(wèn)題。因此，仍需要在理論分析和工程實(shí)踐兩方面對(duì)Android訪問(wèn)控制機(jī)制深入研究。

5.2 形式化分析

Shin等人[32]最早針對(duì)權(quán)限機(jī)制建立了一個(gè)基于狀態(tài)的形式化模型，根據(jù)官方文檔對(duì)機(jī)制安全規(guī)范進(jìn)行抽象，利用Coq工具輔助性證明機(jī)制安全規(guī)范存在的不足。該模型沒(méi)有考慮應(yīng)用與系統(tǒng)之間的交互關(guān)系。Fragkaki等人[33]從系統(tǒng)動(dòng)態(tài)角度對(duì)Android權(quán)限機(jī)制進(jìn)行抽象建模，直接對(duì)應(yīng)用組件進(jìn)行形式化定義，分析權(quán)限再次授權(quán)和撤銷過(guò)程中的安全屬性。該模型缺少其他屬性的相關(guān)操作定義，如權(quán)限保護(hù)級(jí)別定義等。

隨著Android平臺(tái)更新和機(jī)制研究逐步成熟，Betarte等人[34]提出了一個(gè)綜合的權(quán)限機(jī)制狀態(tài)機(jī)模型，在Android應(yīng)用定義中增加對(duì)組件的描述，并考慮到運(yùn)行時(shí)實(shí)例化等，其完整性、可表達(dá)性更強(qiáng)。與單純地構(gòu)建權(quán)限形式化系統(tǒng)不同，Armando等人[35]采用基于語(yǔ)言的形式化建模，擴(kuò)展了Chaudhuri[36]提出的類型系統(tǒng)，建立Android應(yīng)用框架模型和多層統(tǒng)一的完整評(píng)估方案。

不同于Shin[32]和Betarte[34]的工作，本文建立的形式化訪問(wèn)控制模型考慮了硬件隔離，并綜合多層次策略，旨在構(gòu)建滿足安全需求的可行模塊。文獻(xiàn)[33]同樣采用了從抽象模型到工程實(shí)踐的思路，提出了SOREBET方案，但文中的模型抽象化程度高，無(wú)法證明形式化模型和應(yīng)用實(shí)現(xiàn)的統(tǒng)一性。而本文利用了形式化B方法面向應(yīng)用的獨(dú)有特點(diǎn)，抽象模型中的操作對(duì)應(yīng)工程應(yīng)用中的動(dòng)作，并始終維持定義的安全不變式，通過(guò)逐步精化引入可實(shí)現(xiàn)結(jié)構(gòu)，能夠保證理論與實(shí)踐的統(tǒng)一。形式化建模為訪問(wèn)控制機(jī)制研究提供了理論支撐，同時(shí)工程實(shí)現(xiàn)暴露出的機(jī)制漏洞，為抽象模型的安全性條件提供補(bǔ)充，促進(jìn)模型的完善和進(jìn)一步實(shí)現(xiàn)。

6 研究趨勢(shì)

總結(jié)近年來(lái)ARM-Android訪問(wèn)控制機(jī)制研究可以看出，一些成熟的訪問(wèn)控制模型在平臺(tái)中并不能充分適用，同時(shí)在開放環(huán)境下，需要軟硬件結(jié)合的隔離執(zhí)行方式。綜合考慮平臺(tái)攻擊和訪問(wèn)控制模型的實(shí)用性、可靠性，提出以下幾點(diǎn)研究趨勢(shì)：

（1）建立面向隔離執(zhí)行環(huán)境的ARM-Android平臺(tái)的輕量級(jí)訪問(wèn)控制模型，實(shí)現(xiàn)細(xì)粒度權(quán)限機(jī)制，并盡可能減小可信計(jì)算基的規(guī)模。

（2）結(jié)合常見(jiàn)形式化規(guī)范語(yǔ)言和定理證明方法，建立合理的形式化模型，并在理論上對(duì)訪問(wèn)控制機(jī)制進(jìn)行安全性分析。

（3）針對(duì)模型中的規(guī)則沖突問(wèn)題，進(jìn)行有效的沖突檢測(cè)，保證訪問(wèn)控制規(guī)則的一致性和完整性。

（4）基于ARM-Android平臺(tái)在開放環(huán)境下的多種安全需求進(jìn)一步完善機(jī)制，包括數(shù)據(jù)安全、安全連接、管理策略安全等需求，構(gòu)建成體系的模型系統(tǒng)。

本文根據(jù)ARM-Android平臺(tái)的訪問(wèn)控制機(jī)制分析，為上述研究趨勢(shì)提出一個(gè)可行方案：采用基于標(biāo)簽的訪問(wèn)控制方法，定義關(guān)鍵資源的上下文標(biāo)簽，將應(yīng)用的使用權(quán)限具體映射到系統(tǒng)資源以細(xì)化權(quán)限粒度，并進(jìn)行使用控制。明確安全方案的保護(hù)目標(biāo)，針對(duì)防止權(quán)限泄露定義訪問(wèn)策略和安全屬性，建立相應(yīng)的威脅模型。進(jìn)一步利用B語(yǔ)言形式化描述訪問(wèn)控制方案，并對(duì)系統(tǒng)安全性進(jìn)行邏輯證明。基于形式化B方法建立訪問(wèn)控制模型，既能夠在抽象階段通過(guò)類型檢查和模型證明檢驗(yàn)設(shè)計(jì)方案的正確性和完備性，又能夠保證工程實(shí)現(xiàn)與形式化模型相統(tǒng)一，避免安全機(jī)制規(guī)范的不足。這是嵌入式系統(tǒng)訪問(wèn)控制安全領(lǐng)域內(nèi)的較新嘗試。

7 總結(jié)

本文針對(duì)ARM-Android平臺(tái)上的訪問(wèn)控制機(jī)制研究，總結(jié)了系統(tǒng)不同架構(gòu)層上的安全機(jī)制，并分類對(duì)比了不同策略的訪問(wèn)控制模型改進(jìn)方案?；贏RM TrustZone架構(gòu)，提出建立多層次、輕量級(jí)的訪問(wèn)控制模型，并利用B方法進(jìn)行形式化規(guī)范和驗(yàn)證的研究方案。通過(guò)抽象控制要素和控制規(guī)則，限制系統(tǒng)對(duì)敏感資源的訪問(wèn)操作。結(jié)合形式化B方法面向應(yīng)用的特點(diǎn)，通過(guò)建立規(guī)范抽象機(jī)，逐步精化實(shí)現(xiàn)可執(zhí)行的代碼模塊。最后結(jié)合機(jī)制安全分析相關(guān)工作，提出未來(lái)研究的方向，分析利用B方法進(jìn)行訪問(wèn)控制模塊設(shè)計(jì)的特點(diǎn)，保證形式化模型抽象與工程實(shí)際相統(tǒng)一。

[1]Faruki P,BharmalA,Laxmi V,et al.Android security:a survey of issues,malware penetration and defenses[J].IEEE Communications Surveys&Tutorials,2015,17(2):998-1022.

[2]Fang Zheran,Han Weili,Li Yingjiu.Permission based Android security:issues and countermeasures[J].Computers&Security,2014,43(6):205-218.

[3]Zhang Yuqing,Wang Kai,Yang Huan,et al.Survey of Android OS security[J].Journal of Computer Research and Development,2014,51(7):1385-1396.

[4]Arena V,Catania V,La Torre G,et al.SecureDroid:an Android security framework extension for context-aware policy enforcement[C]//Proceedings of the 2013 International Conference on Privacy and Security in Mobile Systems,Atlantic City,USA,Jun 24-27,2013.Piscataway,USA:IEEE,2013:1-8.

[5]Sahs J,Khan L.A machine learning approach to Android malware detection[C]//Proceedings of the 2012 European Intelligence and Security Informatics Conference,Odense,Denmark,Aug 22-24,2012.Washington:IEEE Computer Society,2012:141-147.

[6]Feng Yu,Anand S,Dillig I,et al.Apposcopy:semanticsbased detection of Android malware through static analysis[C]//Proceedings of the 22nd International Symposium on Foundations of Software Engineering,Hong Kong,China,Nov 16-21,2014.New York:ACM,2014:576-587.

[7]Zhou Yajin,Wang Zhi,Zhou Wu,et al.Hey,you,get off of my market:detecting malicious Apps in official and alternative Android markets[C]//Proceedings of the 19th Annual Network and Distributed System Security Symposium,San Diego,USA,Feb 5-8,2012.Reston,USA:The Internet Society,2012.

[8]Lazouski A,Martinelli F,Mori P,et al.Stateful data usage control for Android mobile devices[J].International Journal of Information Security,2016,8743:1-25.

[9]Sabt M,Achemlal M,Bouabdallah A.Trusted execution environment:what it is,and what it is not[C]//Proceedings of the 14th International Conference on Trust,Security and Privacy in Computing and Communications,Helsinki,Finland,Aug 20-22,2015.Washington:IEEE Computer Society,2015:57-64.

[10]ARM security technology building a secure system using TrustZone technology[EB/OL].[2017-01-06].http://infocenter.arm.com/help/index.jsp?topic=/com.arm.doc.prd29-genc-009492c/index.html.

[11]Xu Yanling,Pan Wei,Zhang Xinguo.Design and implementation of secure embedded systems based on TrustZone[C]//Proceedings of the 2008 International Conference on Embedded Software and Systems,Chengdu,China,Jul 29-31,2008.Washington:IEEE Computer Society,2008:136-141.

[12]Bonnet P,González J,Granados J.A distributed architecture for sharing ecological data sets with access and usage control guarantees[C]//Proceedings of the 7th International Congress on Environmental Modelling and Software,San Diego,USA,Jun 15-19,2014:1-7.

[13]Varanasi P,Heiser G.Hardware-supported virtualization on ARM[C]//Proceedings of the 2011 Asia-Pacific Workshop on Systems,Shanghai,Jul 11-12,2011.New York:ACM,2011:11.

[14]vTZ:TrustZone and TEE virtualization[EB/OL].[2017-01-18].https://www.trustkernel.com/en/products/hypervisor/vtz.html.

[15]Shabtai A,Fledel Y,Elovici Y.Securing Android-poweredmobile devices using SELinux[J].IEEE Security&Privacy Magazine,2010,8(3):36-44.

[16]Balá? A,Mado? B,Ambróz M.Android access control extension[J].Acta Informatica Pragensia,2015,4(3):310-317.

[17]Liu Changping,Fan Mingyu,Wang Guangwei,et al.Lightweight access control oriented toward Android[J].Application Research of Computers,2010,27(7):2611-2613.

[18]Nauman M,Khan S,Zhang Xinwen.Apex:extending Android permission model and enforcement with user-defined runtime constraints[C]//Proceedings of the 5th ACM Symposium on Information,Computer and Communications Security,Beijing,Apr 13-16,2010.New York:ACM,2010:328-332.

[19]Ongtang M,Mclaughlin S,Enck W,et al.Semantically rich application-centric security in Android[J].Security&Communication Networks,2012,5(6):658-673.

[20]Lei Lingguang,Jing Jiwu,Wang Yuewu,et al.A behaviorbased system resources access control scheme for Android[J].Journal of Computer Research and Development,2014,51(5):1028-1038.

[21]Russello G,Crispo B,Fernandes E,et al.YAASE:yet another android security extension[C]//Proceedings of the 3rd International Conference on Privacy,Security,Risk and Trust and 3rd International Conference on Social Computing,Boston,USA,Oct 9-11,2011.Piscataway,USA:IEEE,2011:1033-1040.

[22]Enck W,Gilbert P,Han S,et al.TaintDroid:an informationflow tracking system for realtime privacy monitoring on smartphones[J].ACM Transactions on Computer Systems,2014,32(2):5.

[23]Huang Qing.An extension to the Android access control framework[D].Link?ping,Sweden:Link?ping University,2011.

[24]Conti M,Crispo B,Fernandes E,et al.CRêPE:a system for enforcing fine-grained context-related policies on Android[J].IEEE Transactions on Information Forensics&Security,2012,7(5):1426-1438.

[25]Shebaro B,Oluwatimi O,Bertino E.Context-based access control systems for mobile devices[J].IEEE Transactions on Dependable&Secure Computing,2015,12(2):150-163.

[26]Bugiel S,Davi L,Dmitrienko A,et al.Towards taming privilege-escalation attacks on Android[C]//Proceedings of the 19th Annual Network and Distributed System Security Symposium,San Diego,USA,Feb 5-8,2012.Reston,USA:The Internet Society,2012:346-360.

[27]Guo Tao,Zhang Puhan,Liang Hongliang,et al.Enforcing multiple security policies for Android system[C]//Proceedings of the 2nd International Symposium on Computer,Communication,Control and Automation,Singapore,Dec 1-2,2013.Red Hook,USA:CurranAssociates,2013:165-169.

[28]Bugiel S,Davi L,Dmitrienko A,et al.Practical and lightweight domain isolation on Android[C]//Proceedings of the 1st ACM Workshop Security and Privacy in Smartphones and Mobile Devices,Chicago,USA,Oct 17,2011.New York:ACM,2011:51-62.

[29]Bai Guangdong,Gu Liang,Feng Tao,et al.Context-aware usage control for Android[C]//LNICST 50:Proceedings of the 2010 International Conference on Security and Privacy in Communication Systems,Singapore,Sep 7-9,2010.Berlin,Heidelberg:Springer,2010:326-343.

[30]Abrial J R.The B-book:assigning programs to meanings[M].New York:Cambridge University Press,2005.

[31]Felt A P,Wang H J,Moshchuk A,et al.Permission redelegation:attacks and defenses[C]//Proceedings of the 20th USENIX Conference on Security,San Francisco,USA,Aug 8-12,2011.Berkeley,USA:USENIX Association,2011:22-22.

[32]Shin W,Kiyomoto S,Fukushima K,et al.A formal model to analyze the permission authorization and enforcement in the Android framework[C]//Proceedings of the 2nd International Conference on Social Computing,Minneapolis,USA,Aug 20-22,2010.Washington:IEEE Computer Society,2010:944-951.

[33]Fragkaki E,Bauer L,Jia L,et al.Modeling and enhancing Android’s permission system[C]//LNCS 7459:Proceedings of the 17th European Symposium on Research in Computer Security,Pisa,Italy,Sep 10-12,2012.Berlin,Heidelberg:Springer,2012:1-18.

[34]Betarte G,Campo J D,Luna C,et al.Verifying Android’s permission model[C]//LNCS 9399:Proceedings of the 12th International Colloquium on Theoretical Aspects of Computing,Cali,Colombia,Oct 29-31,2015.Cham:Springer,2015:485-504.

[35]Armando A,Costa G,Merlo A.Formal modeling and rea-soning about the Android security framework[C]//LNCS 8191:Proceedings of the 7th International Symposium on Trustworthy Global Computing,Newcastle upon Tyne,UK,Sep 7-8,2012.Berlin,Heidelberg:Springer,2012:64-81.

[36]Chaudhuri A.Language-based security on Android[C]//Proceedings of the 4th Workshop on Programming Languages and Analysis for Security,Dublin,Ireland,Jun 15-21,2009.New York:ACM,2009:1-7.

附中文參考文獻(xiàn)：

[3]張玉清,王凱,楊歡,等.Android安全綜述[J].計(jì)算機(jī)研究與發(fā)展,2014,51(7):1385-1396.

[17]劉昌平,范明鈺,王光衛(wèi),等.Android手機(jī)的輕量級(jí)訪問(wèn)控制[J].計(jì)算機(jī)應(yīng)用研究,2010,27(7):2611-2613.

[20]雷靈光,荊繼武,王躍武,等.一種基于行為的Android系統(tǒng)資源訪問(wèn)控制方案[J].計(jì)算機(jī)研究與發(fā)展,2014,51(5):1028-1038.

Research Progress onAccess Control Mechanisms forARM-Android Platforms*

REN Lu,YIN Qing,CHANG Rui+,JIANG Hang
State Key Laboratory of Mathematical Engineering andAdvanced Computing,Zhengzhou 450001,China

A

TP309.1

+Corresponding author:E-mail:crix1021@163.com

REN Lu,YIN Qing,CHANG Rui,et al.Research progress on access control mechanisms for ARM-Android platforms.Journal of Frontiers of Computer Science and Technology,2017,11(10)：1545-1556.

ISSN 1673-9418 CODEN JKYTA8

Journal of Frontiers of Computer Science and Technology

1673-9418/2017/11(10)-1545-12

10.3778/j.issn.1673-9418.1702049

E-mail:fcst@vip.163.com

http://www.ceaj.org

Tel:+86-10-89056056

*The National Natural Science Foundation of China under Grant No.61572516(國(guó)家自然科學(xué)基金).

Received 2017-02,Accepted 2017-07.

CNKI網(wǎng)絡(luò)優(yōu)先出版:2017-07-04,http://kns.cnki.net/kcms/detail/11.5602.TP.20170704.1805.004.html

REN Lu was born in 1993.She is an M.S.candidate at Information Engineering University.Her research interest is embedded system security.

任璐（1993—），女，河南開封人，信息工程大學(xué)碩士研究生，主要研究領(lǐng)域?yàn)榍度胧较到y(tǒng)安全。

YIN Qing was born in 1968.She received the Ph.D.degree from Information Engineering University in 2006.Now she is a professor at Information Engineering University.Her research interest is computer application.

尹青（1968—），女，湖北武漢人，2006年于信息工程大學(xué)獲得博士學(xué)位，現(xiàn)為信息工程大學(xué)教授，主要研究領(lǐng)域?yàn)橛?jì)算機(jī)應(yīng)用。

CHANG Rui was born in 1981.She received the M.S.degree from Wuhan University of Technology in 2007.Now she is an associate professor at Information Engineering University,and Ph.D.candidate and visiting scholar at Zhejiang University.Her research interests include computer architecture and embedded system security,etc.

常瑞（1981—），女，河南鄭州人，2007年于武漢理工大學(xué)獲得碩士學(xué)位，現(xiàn)為信息工程大學(xué)副教授，浙江大學(xué)博士訪問(wèn)學(xué)者，主要研究領(lǐng)域?yàn)橛?jì)算機(jī)體系架構(gòu)，嵌入式系統(tǒng)安全等。

JIANG Hang was born in 1989.He is an M.S.candidate at Information Engineering University.His research interest is embedded system security.

蔣航（1989—），男，浙江東陽(yáng)人，信息工程大學(xué)碩士研究生，主要研究領(lǐng)域?yàn)榍度胧较到y(tǒng)安全。