加强移动设备监管 构筑可信终端安全基石
来源:人民邮电报社 2017-01-20
制图/小鱼
移动互联网的持续发展,云计算、大数据、物联网、人工智能的快速落地,促使智能终端产业加快创新步伐。当前,智能终端的种类日渐丰富,应用场景日渐增多,成为整个ICT领域最为活跃的创新领域之一。不久前召开的CES2017,又一次成为中国智能终端厂商展示各家兵器的“竞技场”。伴随着智能终端产业的进一步成熟,如何掀起新一轮智能终端革命,如何保障智能终端安全等都是业界关注的热点话题。
随着移动互联网的快速发展,移动终端正在转变为互联网业务的关键入口和主要创新平台,成为新型媒体、电子商务和信息服务平台。它在为用户提供更多便利的同时,也面临着信息安全方面的严峻考验。近年来,黑客攻击技术不断提高更新,攻击行为呈现组织化趋势,恶意攻击更具有目标性,高级可持续性攻击增多,传统的安全手机基于封堵、检测的方法已经难以应对日益多样化、且呈爆炸性增长的安全威胁。在这一背景下,加强移动设备安全监管,提升可信终端安全技术水平和功能特性,构建可信安全终端生态圈成为大势所趋。
技术:从“软”到“硬”
移动终端应用越来越涉及商业秘密和个人隐私等敏感数据,终端的安全性显得尤为重要。
众所周知,作为独立的物理实体,移动终端内部具有高速的处理器,为丰富的应用提供各种操作功能的操作系统以及直接面向用户的五花八门的应用。最初的一些安全技术和方案都相对比较容易在软件层面实现,例如Android系统为每个应用在运行过程中提供了一个彼此隔离的沙箱技术以及身份鉴别、访问控制等,但这些软件层面的安全措施也只能是保障应用和数据的安全,无法保证敏感数据的安全性。
近几年来,国际上一些企业和标准组织开始致力于基于硬件隔离的可信终端安全技术、标准的研究和推广。其中最具代表性的是提出TrustZone技术的ARM公司以及推广TEE(Trust Execution Evironment,可信执行环境)技术的GlobalPlatform(全球平台)组织。
TrustZone是ARM针对消费电子设备所提出的一种安全架构。通过在SoC硬件层面构建出完全隔离的运行环境来保证安全敏感应用的执行,从而防范终端可能遭受到的来自操作系统和应用软件无法防御的恶意软件或设备持有人的多种特定威胁。
支持TrustZone的终端设备主CPU支持两个执行环境:安全世界和非安全世界,应用的安全敏感操作被放在安全世界里执行,执行完毕后将硬件执行状态切换到非安全世界来执行丰富的非敏感操作。安全世界和非安全世界的切换靠用户和内核模式之外的一个新执行特权来完成,这个执行特权通过监控模式在两个世界之间进行通信和切换。
2010年,GlobalPlatform组织第一个提出了TEE标准,该标准在TrustZone的基础上定义了可信操作系统框架以及为安全应用提供的API接口。除此之外,GlobalPlatform还规范了可信操作系统的安全功能要求,这些安全功能奠定了可信终端的安全基础。
功能:聚焦三大重点
可信终端具有以下三个基本的安全功能:
基于硬件隔离的安全执行环境——TEE提供了基于硬件隔离的安全世界来保护敏感数据的安全和程序正确执行。实现TEE需要将设备的硬件和软件资源全部划分成安全世界和非安全世界,两个世界具有独立的系统资源,包括寄存器、物理内存和外设,不能随意进行数据交换。安全世界中的代码和资源受到严格的访问控制策略保护,非安全世界的进程禁止访问安全世界,以保证存储在安全世界的敏感资源不被非法访问或窃取,能够有效减少安全系统漏洞的披露、外界的攻击和病毒的入侵。
基于信任链的平台完整性——为了保证整个系统的安全,TEE从系统引导启动开始逐步验证以保证TEE平台的完整性。设备加电后,加载ROM 中的安全引导程序,并利用根密钥验证其完整性。然后,该引导程序进入TEE 初始化阶段并启动安全操作系统,逐级核查安全操作系统启动过程中的各个阶段的关键代码以保证安全操作系统的完整性,同时防止未授权或经过恶意篡改软件的运行;安全操作系统启动后,运行非安全世界的引导程序并启动普通操作系统。至此基于信任链,完成了移动终端整个系统的安全启动,能够有效抵御TEE启动过程中的非法篡改、代码执行等恶意行为。
基于安全存储的数据机密性——用户的身份、密钥和证书等敏感信息需要高度保护,TEE依靠加密和完整性保护技术来保护数据和密钥。TEE将用户的身份、密钥和证书等敏感信息存储在安全区域中,这些敏感信息只能由TEE授权的可信应用访问或修改,并且TEE为这些敏感信息的操作处理提供了加密和完整性保护机制。同时,可利用TEE中存储的密钥对普通执行环境下用户的信息,如通讯录、短信等敏感信息进行加密,保证存储在普通执行环境下敏感信息的安全性。
生态:安全评估待完善
随着ARM公司在2006年将TrustZone技术及相关硬件IP方案应用于主流的ARM架构芯片处理器上,高通于2013年就已经在自己骁龙处理器上实现了TEE技术,同一年里三星的KNOX系统也使用TEE技术来保证系统内核的完整性。2014年苹果Apple Pay发布,并采用TEE(Apple称之为Secure Enclave)技术保护Touch ID。而国内最早实现TEE技术的是华为和海思,2014年华为发布Mate 7产品,其用TEE技术来保证指纹支付的安全性。随着高通、联发科、三星、海思等都已经在硬件芯片上支持了TEE技术,国外Trustonic公司以及国内的豆荚、握奇、瓶钵、天喻等方案厂商也快速发布和完善了TEE软件产品。
2015年是指纹支付开启的一年,智能终端厂商纷纷将TEE技术作为保障指纹安全的终端基础平台,所发布的新款终端设备里越来越多地搭载了TEE平台,如小米、联想、OPPO、vivo、魅族等都已经发布了支持TEE的产品。目前为止,从底层硬件到上层软件提供TEE整体方案的厂商有苹果、高通、华为,这三家公司形成了闭环式的技术方案和终端产品。而其他芯片、软件厂商更多的是相互组合,共同为终端厂商提供硬件和软件平台,以确保终端产品支持TEE技术。在物联网应用场景中,将软SIM存储在物联网终端主处理器上被隔离的TEE中,它能够为物联网设备提供最经济有效的安全保护手段。
虽然TEE终端安全技术随着金融支付、生物识别、数字版权管理、eSIM等应用服务的兴起而快速成熟,但目前国内对这种可信终端的安全评估第三方认证环节还显得非常薄弱与不足,这主要是因为TEE安全评估涉及智能终端芯片隔离、数据存储、组件交互等众多底层技术,并且TEE组件数量多、组件交互复杂,且整个评估需要软、硬件渗透性测试。
结语
移动互联网时代,手机已成为我们日常生活中密不可分的一部分,技术创新及场景建设成为了各市场参与者的制胜关键,但安全仍然是决定行业未来的主要因素。
针对目前可信终端行业发展的态势以及产业生态构建中的薄弱环节,业界应做好顶层设计,在现有CCSA、TAF等组织相关标准的基础上继续完善可信终端安全标准体系,推动终端产业健康发展。同时,应加大对安全检测的投入和支持,提高安全检测技术水平和专业技术力量,加强自主信息安全检测平台的研发和建设,创造公平、合理、健康的环境,推动可信终端安全生态圈的全面健康有序的发展。