本篇文章2752字,读完约7分钟
制图/小鱼
移动网络的持续快速发展、云计算、大数据、物联网、人工智能的快速落地,加速了智能终端产业的创新。 目前智能终端的种类越来越丰富,应用场景越来越多,成为整个ict行业最活跃的创新行业之一。 前几天举办的ces再次成为中国智能终端制造商展示各种兵器的“竞技场”。 随着智能终端产业的进一步成熟,如何引发新一轮智能终端革命,如何保障智能终端的安全等是业界关注的热点。
随着移动网络的高速发展,移动终端已经转移到网络业务的重要入口和主要创新平台,成为新的媒体、电子商务和新闻服务平台。 越来越方便顾客,面临着新闻安全的严峻考验。 近年来,黑客攻击技术不断提高更新,攻击行为呈现组织化趋势,恶意攻击更具目标性,高级可持续性攻击增加,以前流传的安全手机关闭检测做法越来越难以应对多样性、爆炸性增长的安全威胁 在此背景下,加强移动设备的安全监管,提高可信终端的安全技术水平和功能特点,构建可信安全终端的生态圈已成为大势所趋。
技术:从“软件”到“硬件”
移动终端的应用越来越涉及商业秘密和个人隐私等敏感数据,终端的安全尤为重要。
作为独立的物理实体,移动终端内部有高速的解决方案,为丰富的应用程序提供各种操作功能的操作系统和面向客户的直接五花八门的应用程序是众所周知的。 安卓系统在软件层面的实现比较容易,包括为每个应用提供隔离的沙箱技术、认证、访问控制等,但这些软件层面的安全措施是应用程序和数据的安全措施
近年来,国际大型企业和标准组织正在致力于基于硬件隔离的可靠的终端安全技术、标准的研究和宣传。 其中最具代表性的是提出trustzone技术的arm企业,以及宣传tee (可信执行环境)技术的全球平台( globalplatform )组织。
trustzone是arm比较昂贵的电子设备提出的安全体系结构。 通过在soc硬件级别创建完全隔离的运行环境,确保运行对安全敏感的应用程序,防止终端受到操作系统和应用程序软件无法防御的各种恶意软件和设备所有者的特定威胁
支持trustzone的终端设备的主cpu支持两种运行环境:安全世界和非安全世界。 应用程序的安全机密操作在安全世界中执行,执行完成后将硬件的运行状态切换到非安全世界,执行丰富的非机密操作。 安全世界和非安全世界之间的切换由客户和内核模式以外的新执行特权完成。 该执行特权通过监视模式在两个世界之间进行通信和切换。
年,全球平台组织首次提出了tee标准。 该标准基于trustzone定义了可靠的操作系统框架和提供给安全应用程序的api接口。 除此之外,全球平台还规范了可信操作系统的安全功能要求,这些安全功能为可信终端提供了安全基础。
功能:重点关注三个要点
受信任的终端有三个基本的安全功能:
基于硬件隔离的安全运行环境——tee提供了基于硬件隔离的安全世界和程序,以保护敏感数据。 为了实现tee,必须将设备的硬件和软件资源分割为安全的世界和不安全的世界。 这两个世界有独立的系统资源,如寄存器、物理内存和外围设备,不能进行数据交换。 安全世界的代码和资源受严格的访问控制策略保护,不安全世界的进程禁止访问安全世界,确保安全世界中存储的敏感资源不受未授权访问和被盗的侵害,从而暴露安全系统的漏洞、暴露外部
基于信任链的平台完整性——为了保证整个系统的安全性,tee将从系统的诱惑启动开始逐步验证,以保证tee平台的完整性。 打开设备电源后,加载rom的安全诱导程序,并使用根密钥验证其完整性。 随后,该诱惑程序进入tee初始化阶段,启动安全操作系统,逐步检查安全操作系统启动过程中各个阶段的密钥代码,以保证安全操作系统的完整性和不正当性 安全操作系统启动后,运行不安全世界的引导程序,启动正常操作系统。 基于此前的信任链,移动终端整个系统的安全启动已经完成,可以比较有效地防止tee启动过程中的恶意篡改、代码执行等恶意行为。
安全存储的数据机密性:客户的身份、密钥和证书等敏感信息需要高度保护,而tee依赖加密和完整性保护技术来保护数据和密钥。 tee将客户的身份、密钥、证书等敏感新闻存储在安全区域。 这些机密新闻只能由tee批准的可靠应用程序访问或编辑,tee为这些机密新闻的运行解决提供了加密和完整性保护机制。 此外,通过使用存储在tee中的密钥,可以在典型运行环境(如地址簿和短信)中加密客户的新闻,从而在典型运行环境中确保机密新闻的安全性。
生态:安全判断完整
随着arm企业在2006年将trustzone技术和相关硬件ip解决方案应用于主流arm架构芯片解决方案,高通历经多年用自己的骁龙解决方案实现了tee技术,同年三星的knox系统也 年由苹果apple pay发表,使用tee (苹果称为安全加密)技术保护了touch id。 国内最早实现tee技术的是华为和海思,年华为推出mate 7产品,将使用tee技术保证指纹支付安全性。 随着高通、联发科、三星、海思等通过硬件芯片支持tee技术,国外trustonic企业和国内豌豆荚、握奇、瓶装、天喻等方案厂家也迅速推出并完善了tee软件产品。
年是指纹支付开始的一年,智能终端制造商将tee技术作为保障指纹安全的终端基础平台,发布的新终端设备中更多地搭载了小米、联想、oppo、vivo、魅族等tee平台。 迄今为止,从底层硬件到上层软件提供整个tee场景的厂商有苹果、高通、华为,这三家企业形成了闭环技术场景和终端产品。 其他芯片、软件制造商将越来越多的东西组合在一起,为终端制造商提供硬件和软件平台,使终端产品能够支持tee技术。 在物联网的应用场景中,可以将软sim存储在物联网终端主解决方案上的隔离的tee中,为物联网设备提供最经济有效的安全手段。
tee终端安全技术随着金融支付、生物认证、数字版权管理、esim等应用服务的兴起而迅速成熟,但目前国内对这种可靠终端安全判断的第三方认证环节非常薄弱和不足。 这是因为tee安全判断涉及智能终端芯片隔离、数据存储、组件交互等多种基础技术,同时tee组件数量多、组件交互多、复杂,整体判断需要软件
结语
在移动网络时代,手机已经成为我们日常生活中密切的一部分,技术创新和场景建设成为各市场参与者制胜的关键,但安全仍然是决策领域未来的首要因素。
对比目前可信终端领域快速发展的态势和产业生态构建中的薄弱环节,行业必须进行顶层设计,根据现有的ccsa、taf等组织相关标准继续完善可信终端安全标准体系,推动终端产业健康快速发展。 并要扩大安全检测投资和支持,提高安全检测技术水平和专业技术力量,加强自主新闻安全检测平台的开发和建设,创造公平、合理、健康的环境,推动可靠的终端安全生态圈全面健康有序的快速发展。
来源:人民视窗网
标题:“构筑可靠终端安全快速发展基石”
地址:http://www.rm19.com/xbzx/42693.html
