-
-
[分享][分享]可信执行环境(TEE)介绍
-
发表于:
2016-9-28 12:42
10283
-
移动安全未来的研究方向,网上的资料很少而且很乱,搜集并总结一下与大家分享
一、TEE简介
1,可信执行环境(TEE) 是Global Platform(GP)提出的概念。是移动设备主处理器上的一个安全区域,其可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性。TEE提供一个隔离的执行环境,提供的安全特征包含:隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。
2,TEE是与设备上的Rich OS(通常是Android等)并存的运行环境,并且给Rich OS提供安全服务。它具有其自身的执行空间,比Rich OS的安全级别更高,但是比起安全元素(SE,通常是智能卡)的安全性要低一些。但是TEE能够满足大多数应用的安全需求。从成本上看,TEE提供了安全和成本的平衡。
3,TEE所能访问的软硬件资源是与Rich OS分离的。TEE提供了授权安全软件(可信应用,TA)的安全执行环境,同时也保护TA的资源和数据的保密性,完整性和访问权限。为了保证TEE本身的可信根,TEE在安全启动过程中是要通过验证并且与Rich OS隔离的。在TEE中,每个TA是相互独立的,而且在未授权的情况下不能互相访问。
二、TEE的位置
1,当前的很多安全架构还是基于Rich OS + SE的方式,其实这在方便程度和成本上都不能提供“刚刚好”的契合。因为某些小额的支付,DRM,企业VPN等,所需要的安全保护强度并不高,还不需要一个单独的SE来保护,但是又不能直接放在Rich OS中,因为后者的开放性使其很容易被攻击。所以对于这类应用,TEE则提供了合适的保护强度,并且平衡了成本和易开发性。
2,表格
模式 抗攻击性 访问控制性 用户界面 开发难易程度 处理速度 备注
Rich OS 最低 最多 最丰富 最容易 快 /
TEE 中等 中等 中等 中等 快 /
SE 最高 最少 无能为力 最难 慢 物理上可移除
三、TEE的用途
1,内容保护机制(Premium content protection):智能手机和电视等的一些高质量内容需要保护,如高清视频、高清电影等,这些内容越接近发布时价值越高,但是这些内容又容易被盗版使用,使用TEE可以在各种移动设备上保护这些高价值的内容,如使用TEE加密保护和传送,只有拥有特定密钥的TEE环境才能解密使用这些内容。
2,移动金融服务:随着移动电子商务的飞速发展,更多更强的移动安全标准是需要的。如移动电子钱包、P2P支付、NFC支付、使用移动设备作为PoS机等应用都属于移动金融领域。通过与NFC以及安全元素SEs等合作,TEE可以保证移动设备的安全性,消费者可以在其设备的安全可信环境中放心的执行任何金融交易。为了与用户进行友好的交互,TEE还可以提供可信GUI用户接口,供用户验证TEE环境。
3, 认证:TEE本身可以作为一个天然的ID,如面部识别、指纹传感器和声音授权等,比PIN码和passwords形式更加安全。一般基于TEE的认证可以划分为三个步骤:提取一个镜像(例如扫描一个指纹或者捕获一个声音样本);在设备TEE存储一个参考模板,供与提取的镜像对比;TEE的一个匹配引擎用于对比镜像和模板,进行身份认证。由此可见,TEE是存储匹配引擎以及认证用户的相关进程的一个理想空间,其可以与移动设备的主OS相互隔离,保证安全运行。FIDO联盟正在和GlobalPlatform合作,一起制定使用TEE作为天然ID实现的规范。
4, 企业和政府:政府和企业可以使用TEE,在移动设备上进行机密信息的处理。可以防止移动OS的软件攻击,以及控制对机密信息的访问权限。这样,政府和企业可以让雇员使用他们自己的移动设备(满足BYOD),不过需要保证机密信息和操作的处理在安全可信的TEE环境中进行。
四、TEE的安全
1,TrustZone架构是ARM系统化设计出来的,对于硬件安全威胁,ARM在架构设计上使其攻击更加困难,相应的代价也更高一些;而对于软件安全威胁,也不再是一场取得操作系统root权限的游戏了,而是把Rich OS和TEE的执行空间和资源分离,除非TEE本身有漏洞,或者TA包含恶意代码,否则软件攻击也会非常困难。当然,TEE本身应当是通过一定级别的认证(EAL2或EAL3,特殊行业应用EAL4及以上),而TA也肯定是需要相应机构的认证和签名才能部署到设备上去的。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课