技術領域

本發明涉及移動通信技術，尤其涉及一種面向移動終端的安全中間件系統，以減少移動終端安全服務開發過程的復雜度。

背景技術

安全中間件，英文為Security?Middleware。它是以特定的安全服務資源為中心，將信息安全技術同中間件技術相結合，提取應用系統中共同的安全服務需求，通過對外提供簡單統一的安全服務接口，從而屏蔽各種安全算法實現的差異，能夠有效地解決目前信息安全領域軟件的交互能力差、開發難度大、擴展能力弱等問題。

傳統安全中間件的基本體系結構如圖1所示，包括六大部分：應用程序、組件服務層、安全服務層、通用安全管理器、安全服務提供者和資源信息服務器。其中應用層由具體的應用開發廠商負責，主要是基于下層資源開發的安全應用。組件安全服務層由組件提供商負責，并以組件級接口方式提供服務，安全服務層由體系結構或安全服務提供商負責，服務包括常用的傳輸層安全TLS、安全套接字SSL等安全服務，它提供了分布式環境下安全模塊之間的互操作，通用安全管理器是安全中間件核心部分，它利用模塊配置文件、模塊信息表，根據用戶進程的請求，調用各種安全服務提供者模塊的相應服務函數并對用戶進程做出響應，安全服務提供者實現了引擎和算法兩個部分，提供一定安全服務能力的動態鏈接庫及相關資料信息。在需要時被通用服務安全管理器加載到內存中，在收到用戶的服務請求時，返回用戶的請求調用所指定的安全服務提供者模塊的運行任務函數，完成對用戶的請求并將結果返回給用戶；當不需要時由通用服務安全管理器從內存中卸載。資源信息服務器是一個為安全中間件提供保存各模塊信息的接口，主要是提供安全中間件系統的各種能力描述表以及模塊注冊信息。

然而當傳統安全中間件系統應用于移動終端時，存在以下幾個方面的缺點，這嚴重制約了終端性能的提高。

1．開發安全中間件系統難度大、周期長，安全服務接口具有緊耦合性。安全中間件系統主要包括兩部分功能：安全服務提供功能，提供各種安全服務實現如加密、解密、證書服務等組件和工具。安全中間件系統功能，提供安全服務調用、注冊、發布框架和服務的執行，包含日志、審計、安全、調度等模塊。現有的安全中間件系統所提供的安全服務接口實現與具體編程語言和操作系統類型有關，安全服務接口具有緊耦合性的特點，因此難以適合異構移動終端的需求。另外這些安全服務的開發集成難度大、耗時長、質量難以保證，因此使得安全服務開發者不能把關注點集中在業務開發上。

2．無法根據用戶安全需求而靈活快速地搭建安全服務，對可定制性、可擴展性支持不夠。不同用戶有不同的安全服務需求，同一用戶的安全服務需求也在不斷變化。現有的安全中間件系統難以針對用戶靈活多變的需求，快速地定制及擴展，因此無法應對用戶需求而靈活快速地搭建安全服務。用戶新的需求，新的業務能力，會導致新的安全服務開發要求。因此在開發安全中間件系統就要考慮如何針對這種需求的不確定性，提供對未知的新的安全服務能力的靈活集成和支持，保持系統軟件的可擴展性，同時系統需要支持軟件可擴展性和硬件可擴展性，所有的這些在傳統安全中間件中沒有得到足夠的支持。

3．傳統安全中間件產品安裝部署操作過程復雜，對硬件設施的要求高，成本高。由于移動終端本身資源受限，加之移動終端平臺的多樣性和開放性，決定了與之適應的輕量級安全中間件。因此減少軟件開發過程的復雜性和擺脫終端資源受限的影響，對傳統安全中間件系統而言仍是亟待解決的問題。

目前國外典型的安全中間件有Intel公司的CDSA(Common?Data?Security?Architecture)架構和Entrust的Entrust/PKI產品。其中CDSA包括安全應用層、安全模塊層和內核層，它為開發人員提供了一個通用性很強的安全開發模式。但是由于其對資源的要求較高，在嵌入式設備或無線網絡環境等資源有限的條件下難以運行。國內典型的安全中間件產品主要有東方通的TongSEC、清華紫光的UnisMMW、上海華騰的TopSecure。但在這些框架結構中，安全中間件作為函數庫與應用程序部署在一起或者通過遠程調用方式或者以分布式計算的方式與應用程序交互，應用程序與安全服務之間具有較強的緊耦合性，因而整個系統過于復雜不好維護。