ARM TrustZone 的可信執行環境和線上快速身份驗證確保鑒權安全無虞

ARM系統與軟件部門安全領域營銷總監 Rob Coombs

ARM TrustZone 的可信執行環境和線上快速身份驗證確保鑒權安全無虞

ARM系統與軟件部門安全領域營銷總監 Rob Coombs

引 言

智能互聯的移動設備越來越廣泛地應用于商務、金融和娛樂行業。基于遠程互聯網服務器的用戶鑒權是許多應用程序或云服務的第一個環節，傳統的用戶名與密碼身份鑒權方式的效果不太理想，一方面消費者難以記住復雜的密碼，另一方面服務提供商(通常稱為“依賴方”)可能需要考慮密碼泄露風險。為了應對這些狀況并且解決其他密碼相關問題，線上快速身份驗證(Fast Identity Online，FIDO)聯盟制定了全新的協議，在用戶、設備和依賴方之間實現簡單而安全性強大的鑒權機制。在移動設備上，FIDO可以利用生物特征鑒權，通過掃描指紋或者虹膜來啟用服務。如此一來，不僅可以大幅改善用戶體驗，讓消費者進行交易時更順暢無礙，而且這一項技術很有可能被設備制造商快速采用。

為了幫助 FIDO 抵御惡意攻擊，加密密鑰、敏感進程和鑒權數據采集等資源需要被保護，同時還需維持系統的完整性。本文將介紹 ARM TrustZone 技術如何提供 GlobalPlatform 可信執行環境(Trusted Execution Environment，TEE)所需的硬件隔離，以及為何這一安全層可以適用于保護基于 FIDO 的鑒權。

TrustZone簡介

2014年，ARM 的芯片合作伙伴交付了 20 多億片基于 ARM Cortex-A 處理器的應用芯片，應用于手機、平板電腦、數字電視以及其他智能互聯設備。這些設備越來越多地用于訪問云服務，以及一些高價值應用(如支付和企業/政府信息處理等)。為了防止系統資源受到攻擊， ARM 平臺組合使用了多種技術：Cortex 核心hypervisor模式、基于 TrustZone 的 TEE、防篡改安全處理器，或者通過 ARM SecurCore處理器 IP 進行保護的安全要件。這種多層面或區域化的方法提升了整體系統的安全性，并且可以提供超越操作系統并拓展至移動設備內各種不同資源的適當保護級別。

基于TrustZone的TEE旨在以更低的成本向市場提供增強的安全性，抵御軟件攻擊和常見硬件攻擊(shack攻擊)，其架構在通用環境(操作系統和應用程序)和隱蔽的安全環境之間提供隔離。需要指出的是， 在安全環境里能夠實現諸如加密、密鑰管理和完整性檢查等敏感操作。它已成為設備制造商的重要硬件安全層，這些制造商在過去十年一直對此進行開發和標準化，以保護寶貴的系統資源。TEE由 GlobalPlatform進行了標準化，創建了合規與認證計劃，這樣獨立測試實驗室可以檢查各種平臺能否抵御防護配置文件中識別的威脅。GlobalPlatform已發布關于TEE的白皮書，內容為 FIDO 用例和 ARM TrustZone 技術的信息。

FIDO聯盟的標準化工作促進了安全認證向利用生物特征鑒權的無密碼登錄轉移。通用鑒權框架(Universal Authentication Framework,UAF)等FIDO協議實現了利用多種鑒權機制進行本地用戶驗證，如指紋傳感器、虹膜掃描器或取代傳統用戶名與密碼的PIN輸入。

人們常說，安全性像是一條鏈子，其中每道環節都與安全息息相關。借助這一個比喻，第一個重要的環節就是安全硬件，它可通過TrustZone技術把通用的執行環境隔離，創建可信啟動(trusted boot)的環境。可信啟動在啟動通用環境操作系統之前初始化可信操作系統及TEE，建立了TEE之后，可以配置 FIDO 可信應用，負責管理密鑰資料、密碼和其他敏感操作。

本文探討了基于 TrustZone的TEE 架構可以完美滿足 FIDO 安全性要求的原因及其所扮演的角色，在集成身份鑒權模塊的智能設備中，它實際上是一種基準安全技術。

FIDO UAF無密碼體驗

使用具備 FIDO 功能的智能設備的消費者可以在其喜愛的在線購物網站或銀行注冊一次。在注冊過程中，設備會創建特定于用戶、用戶的設備以及依賴方所形成的組合的公鑰和私鑰。消費者以后訪問該在線商店時將變得非常輕松，因為只要快速輕掃手指或輸入簡單易記的 PIN 碼 (見圖 1) 即可取代常規的用戶名/密碼方式的鑒權步驟及購買確認過程。FIDO 協議不會共享一般用戶信息，因為其實施過程不會泄露用戶私人信息。由于依賴方僅保管公鑰，所以如果網站服務器受到攻擊(當前業內的一大難題)，黑客們也無法直接利用它來盜取帳戶信息。

圖1 簡單FIDO用戶體驗

FIDO和 FIDO 聯盟概述

FIDO聯盟由 180 多個成員組成，涵蓋了從大型芯片合作伙伴(如高通)、設備制造商(如三星和聯想)、操作系統公司(如微軟和谷歌)、FIDO 服務器提供商(如 NokNok Labs)到依賴方(如美國銀行和 PayPal)的整個價值鏈。它制定了技術規范和認證流程，以便實現更簡單、更強大鑒權的使命。FIDO 協議設計的動力在于，人們渴望增強鑒權器的易用性、內在保密性、設計安全性，并且推動其實現標準化，讓依賴方能夠使用任何符合 FIDO 規范的鑒權器。最終版 FIDO 1.0 規范已經公布在網上，它包含兩種備選的用戶體驗：通用鑒權框架為智能手機等內置鑒權的設備提供無密碼體驗；通用第二要素(Universal 2nd Factor，U2F)則適用于軟件保護器，防止傳統的用戶名/密碼遭受釣魚式攻擊。相關工作正在進行之中，以實現 FIDO 2.0 統一標準。

雖然依賴方使用用戶名和密碼作為安全防護已有幾年，但無法滿足消費者和企業用戶需要，因為密碼存在許多問題。消費者偏向于選擇安全防御較弱的密碼或在多個網站間重復使用同一組密碼，這樣黑客盜取帳戶的幾率大幅提升。如果消費者被強制選擇復雜的密碼，他們可能會因為忘記密碼而放棄交易。更為糟糕的是，密碼容易通過垃圾郵件騙取，造成大規模金融詐騙事故，根據卡巴斯基公司估計，2014年網絡釣魚犯罪集團從多家銀行竊取的金額高達十億美元。企業有時候要求使用一次性密碼(One Time Password，OTP)令牌等第二要素，它通常提供一個與用戶名/密碼一起使用的代碼。這些令牌通常具有專有性質，使得消費者的口袋和抽屜里充斥著各種硬件：或許有一個 OTP 令牌要用于銀行，另一個用于辦公郵件，其他令牌則用于別的服務提供商。使用傳統鑒權的依賴方還存在另一個問題，他們需要保管每一位客戶的私鑰。這些存有憑據的海量數據庫成為黑客的最愛，他們只需一次精心設計的攻擊，便能竊取數百萬消費者的個人憑據，這樣會給大品牌公司帶來聲譽風險，公司可能不得不承認存在安全漏洞，并要求其客戶盡快重設密碼。

FIDO緩解了與傳統用戶名和密碼相關的問題，同時又為消費者帶來更加愉悅的體驗。例如，在Samsung Galaxy S5上，用戶可以通過指紋驗證登錄網站或購物付款。如此簡便的用戶體驗是通過 FIDO UAF協議所實現的，用戶名/密碼替換成指紋傳感器等內置鑒權器，可解鎖設備上存儲的私鑰，用于和遠程服務器(保管著公鑰)進行加密質詢。依賴方也可以獲取元數據以提供一些基本信息，如鑒權器的類型、所用的密鑰保護機制，以及設備型號，可用于后端風險分析。但是，不會與在線服務器交換生物特征數據、PIN 信息或私鑰。FIDO 協議的這種“設計隱私性”為消費者提供了另一層保護，降低了因為商店服務器的安全漏洞而遭受困擾的可能性。加密質詢基于完善的公鑰加密法原則，其在設備上為每一用戶/設備/依賴方組合生成一組公鑰/密鑰。

FIDO安全性要求可以歸納為：①確保設備的完整性；②保護密鑰資料的機密性，使其免遭未經授權的訪問；③維護敏感流程的機密性和完整性。

威脅概況

設備上的攻擊有許多形式，包括惡意軟件、社交工程、設備失竊、實物遺失，以及因使用不當或用戶在其設備上越獄造成的設備安全問題。

攻擊可以通過許多不同的方式進行，惡意軟件也能借助傳統的途徑安裝，如流氓軟件商店、社交工程、木馬或瀏覽器等其他攻擊途徑。惡意軟件存在于設備上時，可能突破其沙盒或進程權限，設備上保存或輸入的任何數據便會遭到泄露。

此外，如果攻擊者可以訪問到實體設備，也有可能進行進一步的攻擊。如果攻擊者可以訪問設備的文件系統，他們就可能盜取數據。如果數據已加密，攻擊者可能會將數據從設備中拷出，并對加密數據進行脫機攻擊。雖然軟件攻擊通常是主要的威脅，但是如果攻擊者獲得了手機，開啟設備和探查主板等硬件攻擊也有可能發生。

傳統的安全架構設計依賴于兩個基本概念：最少特權原則和系統分區為受保護區域。例如，基于 TrustZone 的TEE 通常設計為即使通用環境已被攻破，也能保持其隔離性。惡意攻擊者可能會占領通用環境，窺探與TEE的通信，但可信環境將維持其完整性和機密性。

TrustZone和可信執行環境

GlobalPlatform 對 TEE 進行了標準化 (見圖 2)，制定了規范、合規流程和認證方案。他們編寫了白皮書，深入探討 TEE如何為支付、內容保護和雙重角色設備等提供機密性和完整性。為簡潔起見，此處僅提供簡短的說明。TEE 通過完整性和機密性的安全保障保護敏感代碼和數據的安全區域，例如，惡意應用程序無法讀取設備上存儲的私鑰。TEE 設計為可以抵御可擴展軟件的攻擊，當有人盜取了您的設備時，它也能抵御常見的硬件攻擊(有時稱為“shack 攻擊”)。

基于 TrustZone 的 TEE提供一個“安全環境”，其安全邊界足夠小，能夠為認證和可證實安全性提供路徑，它通常用于保護加密密鑰、憑據和其他安全資源。TrustZone 提供了hypervisor不具備的諸多系統安全功能：支持安全調試、提供安全總線事務、讓安全中斷直接進入可信環境(用于可信輸入)。目前，存在這樣一種觀點，即要限制可信環境中安全功能的數量，從而限制攻擊層面，使認證付諸實踐。

TrustZone 安全擴展通過為處理器提供額外“安全狀態”，允許安全應用程序代碼和數據與一般操作隔離而發揮作用。這種分區形成了一種受保護執行環境，可信的代碼可以在其中運行，并可訪問內存或外設等安全硬件資源。通常，可信環境與其自有的專用安全操作系統及可信啟動流程配合，形成能與傳統操作系統(如 Linux 或 Android)協同工作的 TEE，從而提供安全服務。

安全性的可靠與否，取決于信任鏈中最薄弱的環節。信任鏈的起點為信任根(ROT)，它通常部署在硬件之中以防止遭到修改。將設備重置到安全環境，通過只讀取內存的形式，從不可變硬件進行啟動，并且訪問可信的硬件資源(如硬件唯一密鑰、隨機數字生成器、計數器、計時器和可信內存等)，是確保移動設備完整性的開始。設計周全、經驗證的可信啟動流程是確保設備完整性的基礎。可信操作系統會作為可信啟動流程的一部分先行啟動，然后引導通用環境的操作系統。

圖 2 TrustZone可以為TEE提供硬件分區并訪問安全資源

基于TrustZone的TEE 在FIDO實施中的具體角色

基于 TrustZone的經驗證的可信啟動流程和硬件 ROT 是確保設備完整性的基礎。可信操作系統可以為 FIDO 協議提供可信服務，例如，用于在硬件保護執行環境中處理加密和用戶匹配算法。在典型的實施中，幾乎所有的 FIDO 堆棧都將駐留在通用環境中，只有少量的安全敏感功能移入 TEE 中。移到 TEE 中的代碼稱為“可信應用程序”，因為它能夠從機密性和完整性的安全保障中獲益，此分區構建了抵御可擴展攻擊的防護墻。TEE的一大用例是提供安全密鑰存儲，由于應用處理器上極少能找到非易失性內存，FIDO 密鑰通過燒入芯片的硬件唯一密鑰實現在TEE之中加密。這一加密并封裝的密鑰存儲于在兩次啟動之間提供存儲功能的外部存儲器內，密鑰只能在TEE中解密和使用，無法被通用環境訪問。

FIDO可信應用包含用于生物特征模板存儲和比對的功能，可通過與存儲加密密鑰相似的方式進行處理，即：在 TEE 中加密和封裝，并存儲在外部非易失性存儲器中。

基于TrustZone安全技術的TEE提供了符合 FIDO 安全要求的解決方案：

①確保設備的完整性：通過使用硬件信任根和 TrustZone 隔離的經驗證的可信啟動流程來實現。

②保護密鑰資料的機密性，使其免遭未經授權的訪問：TrustZone 架構擴展提供系統層面的硬件隔離，形成小而安全的可認證 TEE 來處理密鑰資料，FIDO 密鑰本身可以通過強加密法和融合硬件唯一密鑰進行加密。

③維護敏感流程的機密性和完整性：TEE提供完整性和機密性的安全保障，通常而言，FIDO 流程的細小部分以靜態方式分區到可信世界中，并作為可信應用程序運行。

④維護敏感輸入數據的機密性：TrustZone 使來自輸入設備(如鑒權器)的中斷直接進入到可信世界中，由可信設備驅動程序對它們進行處理，例如，TEE可以處理 PIN 采集期間來自觸摸屏的觸摸事件或來自指紋傳感器的中斷，并將它與通用環境中的惡意軟件區隔離，讓后者無法對其攔截訪問，當 PIN 采集或其他輸入完成時，中斷可以切回到通用環境。

⑤保護敏感顯示數據：TrustZone 可用于保護可信環境的幀緩沖區及其內容，實現“所見即所簽/購”功能，因為該幀緩沖區無法被攔截、修改或遮蔽。

未來增強功能

GlobalPlatform 為 TEE 創建了保護配置文件，用作安全認證流程的基礎。多家測試實驗室正制定流程來測試各種平臺并且評估它們所含 TEE 的效用。獨立測試可以保障設備制造商解決方案的質量，或許會讓整個價值鏈受益。相關安全認證有望在 2015 年年底推出。

基于 ARM 技術的現代芯片越來越多地使用 TrustZone 技術。例如，使用 TUI 來保護觸摸屏輸入和受保護幀緩沖區的顯示(見圖 3)，可以讓外設在通用環境和安全環境之間切換，觸摸屏和顯示就是這一特性發揮效用的例子。在 PIN 采集模式中，TEE 可以獲得對觸摸屏的獨占可信訪問，PIN 采集結束后再返回到通用環境。顯示處理器可以擔當各種圖形層的合成者，顯示來自安全環境的可信數據，從而確保“所見即所得/簽”。可信顯示數據可以在TrustZone保護的幀緩沖區中生成，合成為可以防止覆蓋的安全層。 GlobalPlatform 的標準化工作完成后，對 TUI 的采用有望增加。

圖3 基于TrustZone的TEE，以及FIDO可信應用、

除了基于 TrustZone 的 TEE 外，現代移動設備包含價值鏈中不同部分擁有的眾多安全要素。SIM 卡可能歸運營商所有，OEM 可能有自己的 SE(Secure Element)，而操作系統可能要求訪問 SE 來保管密鑰或執行系統完整性檢查。

由于安全要素無法訪問輸入法或進行顯示，因此在安全要素和TEE之間建立安全通信非常有益，GlobalPlatform 正在進行安全要素和TEE 間通信的標準化工作。

結 語

基于TrustZone的TEE 能以較低的成本為FIDO實施提供有效的系統安全性。設計周全的TEE可為基于FIDO的實現提供適當的安全保護級別，是在它所取代的用戶名/密碼方法基礎上取得的一大進步。

未來，還可作出進一步的改善，設備制造商和芯片合作伙伴可以選擇讓其TEE安全性獲得獨立測試實驗室的認證。未來可期待TrustZone安全技術延伸到觸摸屏輸入(用于保護PIN輸入)和顯示輸出，實現“所見即所簽/購”功能。

基于FIDO的校驗可幫助消費者超越密碼限制，因此已得到大規模部署，并將成為行業成功案例。基于TrustZone的TEE證明，安全性架構良好時能為消費者帶來更愉悅的用戶體驗。

士然

2015-07-24)