全架构的主要目标是使Moblin成为“开放但安全”的设备平台。这意味着用户能够安装任何本地应用程序,但不会损害安全。要完成这个棘手的任务,需要在Moblin中采用几种安全机制。其中一些机制需要硬件的支持。如果没有基于硬件的安全支持,对平台的某些威胁就可能得不到缓解。
我们将这个项目分为以下种类/子项目:
- 可信或安全启动:仅当设备需要支持可信应用程序/服务(例如电话服务,DRM)时需要;
- 沙箱技术():以下是这个项目的主要目标:
- 确保一个泄密应用程序不会危害平台的其余部分。这意味着攻击者不能利用一个存在安全漏洞的应用程序作为沙箱以攻击设备的其余部分。
- 对平台上运行的其他应用程序隐藏与某些应用程序相关联的信息/数据。
- 限制需要执行特定功能的应用程序只能访问系统的某些部分。
- 对关键服务的访问控制(),有两种典型情况需要这种控制:
- 当设备支持可信服务且需要确认只有选中的几个应用程序可以访问它时。
- 对用户隐私敏感数据访问进行保护的应用程序和服务。比如,GPS管理服务不应该向平台上的每个应用程序提供当前位置的访问。内容管理器应该保护对所有用户数据的访问,只允许对政策指定的程序进行访问。
用户也需要具有在允许的地方调整这种访问控制的能力。
包隔离():为确保不可信的应用程序不会在安装时造成损害,需要包级隔离。不可信应用程序对应的包需要与所有系统和可信应用程序包隔离。
硬化软件栈:除了采用可信启动和应用程序隔离技术,Linux OS软件栈需要减少攻击载体的数量。
我们将增加更多关于这些子项目的细节。
阅读(307) | 评论(0) | 转发(0) |