安全可信智能移動終端研究

張大偉 郭韓臻

中圖分類號：TN929.1 文獻標志碼：A 文章編號：1009-6868 （2015） 05-0039-006

摘要：從軟件方案、基于可信執行環境（TEE）方案和基于典型安全元件（SE）方案3個方面對智能移動終端安全技術進行了探討。軟件層面探討了一般運行環境中的安全技術，基于TEE的方案探討了TEE的系統架構、隔離技術和安全執行技術，基于SE的方案探討了基于本地SE和云端SE的安全增強技術。認為只有將可信硬件平臺和可信軟件加以結合，才能為智能移動終端提供完整的安全保障。

關鍵詞： 智能移動終端；可信執行環境；可信計算；安全元件

Abstract： This paper discusses the smart mobile terminal security technology from three aspects： software solutions， solution based on trusted execution environment （TEE） and solution based on secure element （SE）. A software-level solution involves security technology used in the rich execution environment. A solution based on TEE involves the system architecture of TEE， isolation technology of TEE and the trusted execution technology. A solution based on SE involves security-enhancement technology based on local SE and cloud of SE. A combination of trusted software and trusted hardware platform guarantees security for smart mobile terminals.

Key words：intelligent mobile terminal； trusted execution environment； trusted computing； secure element

隨著移動互聯網的發展，智能移動終端的數量急劇增加，功能也日益完善。2013年全球智能移動終端出貨量近10億部；全球計算平臺（含PC和智能移動終端）中移動操作系統（Android和iOS）的占比超過50%[1]；2013年中國智能移動終端用戶規模為3.2億，2014年已達10.6億，較2013年增長231.7%[2]。截至2014年12月底，手機網民規模達5.57億，較2013年底增加5 672萬人。網民中使用手機上網人群占比由2013年的81.0%提升至85.8%[3]。

隨著智能移動終端應用的普及，移動終端中存儲的敏感信息越來越多，但豐富的通信和數據交換功能為信息泄露和惡意軟件傳播提供了通道，各種安全問題日益凸顯。

1 智能移動終端的安全需求

智能移動終端已從過去的基本通信工具演變為工作、生活工具。它們已經包括多媒體播放、照相、定位、移動錢包、移動辦公、移動醫療等新功能。隨著用戶敏感數據和關鍵業務在智能移動終端上的不斷積累，智能移動終端也越來越需要被保護。

智能移動終端應用環境下的安全需求如下：

（1）開放環境下的安全需求

不同于傳統手機的封閉系統，新型智能移動終端設備通常都是構建在提供開放式操作環境的操作系統之上，如Android、iOS操作系統。使用這些操作系統的一個主要優點是用戶可以隨時添加應用程序，同時可以幾乎不必考慮對設備穩定性的影響。然而，這種開放式的環境也是設備暴露在不斷增長的多種形式的攻擊之下。

（2）數據安全需求

智能移動終端設備上存儲著不斷增長的個人信息（如聯系人、郵件、照片等）甚至是敏感數據（證書、密碼等）。為了防止在設備丟失、被盜或者其他不良情況，必須有足夠的安全措施來保護這些隱私信息。

（3）安全連接的需求

通過多種網絡技術如3G、4G或者Wi-Fi，以及個人通信手段如藍牙、近場通信（NFC），越來越多的用戶可以使用他們的設備進行P2P通信和訪問網絡。如何保證連接過程的安全，尤其是終端上的安全接入問題也有待進一步深入研究。

（4）交易安全需求

使用智能移動終端進行金融交易已經成為移動市場的主流。2014年底，移動金融整體用戶規模達到8.7億，較年初翻一番[2]，越來越多的用戶選擇使用移動端金融交易服務。移動支付的實現方式包括遠程支付和近場支付。在移動支付中需要保證信息的機密性、完整性和不可抵賴性、交易的真實性以及解決交易中的身份鑒別等問題。

（5）管理策略的安全需求

智能移動終端正不斷被企業用于承載關鍵技術及核心應用，同時攜帶個人設備（BYOD）策略也被大量引入企業。為了防止企業數據泄露和個人使用環境中的惡意軟件對企業數據的竊取，必須提高設備安全并引入有效的移動設備管理措施。

2 一般運行環境的終端

安全技術

一般運行環境（REE）主要包括運行于通用嵌入式處理器中的一般操作系統（Rich OS）及其上的客戶端應用程序。諸如Android、iOS等一般操作系統賦予了智能移動終端功能的可擴展性和使用的便利性。與此同時，也帶來了多種安全威脅。

2.1 傳統的設備訪問控制

智能移動終端提供了包括密碼配置、用戶身份鑒別等傳統的設備訪問控制機制。以Android和iOS系統為例。Android系統提供了身份鑒別、口令設置、重鑒別和鑒別失敗處理機制[4]。Android系統提供基本密碼配置選項，包括設置圖案密碼、數字密碼、混合密碼等多種密碼方式。有些機型還為用戶配置了基于用戶生物特征，如面部識別和指紋識別的身份鑒別機制。iOS的系統管理者可以設定密碼強度，可確定用戶頻繁使用后需要設定新密碼的周期[5]。Android和iOS的用戶還可以設置用戶錯誤登錄的上限，以及超過這個上限后系統是否擦除設備信息。

2.2 設備數據加密機制

智能移動終端操作系統為設備中的數據提供了數據加密機制。

Android 3.0及之后的版本的系統提供了文件系統的加密機制[4]。所有的用戶數據均可使用AES-128算法，以密碼分組鏈接（CBC）模式進行加密。文件系統密鑰通過使用由用戶口令派生出的密鑰以AES128算法進行保護。生成加密文件系統密鑰的加密密鑰時，采用標準的基于口令的密鑰派生PBKDF2算法，由用戶口令派生出加密密鑰。

iOS系統中，所有用戶數據強制加密[6]。每臺iOS設備都配備了專用的AES-256加密引擎，它內置于閃存與主系統內存之間的直接存儲器訪問（DMA）路徑中，可以實現高效的文件加密。加密解密所使用的密鑰主要來自設備的唯一標識（UID）以及設備組標識（GID）。設備的UID及GID全部被固化在芯片內部，除了AES加密引擎，沒有其他方式可以直接讀取。只能查看使用它們進行加解密后的結果。每臺設備的UID是唯一的。使用UID的加密方式將數據與特定的設備捆綁起來，因此，如果將內存芯片從一臺設備整體移至另一臺設備，文件將不可訪問。除了GID及UID，其他加密使用的密鑰全部由系統自帶的隨機數生成器產生。

除了iOS設備內置的硬件加密功能，iOS系統還提供了名為文件數據保護的數據保護方法，進一步保護設備閃存中的數據。每次在數據分區中創建文件時，數據分區都會創建一個新的256位密鑰，并將其提供給AES引擎，以對文件進行加密。這些密鑰被稱作文件密鑰。每個文件的文件密鑰是不同的，被加密封裝于文件的元數據中。

2.3 應用運行時的隔離機制

智能移動終端為在其上運行的應用程序提供了應用隔離機制。Android系統提供了沙盒機制，為每個應用在運行過程中提供了一個沙盒[7]。其具體的實現是，系統為每個應用提供了一個Dalvik虛擬機實例，使其獨立地運行于一個進程，并為每個應用創建一個Linux底層的用戶名，設置UID。具有相同用戶簽名的應用通過設置SharedUserID方式來共享數據和權限。iOS沙盒的實質是一個基于TrustBSD策略框架的內核擴展模塊訪問控制系統[9-10]。應用間不能查看或者修改數據和運行邏輯，并且應用在執行過程中也不可能查看到設備上已安裝的其他應用。

2.4 基于權限的訪問控制

智能移動終端為在其上運行的應用程序提供基于權限的訪問控制機制。在Android系統中，每個應用程序都會有一個嵌入式的權限列表，只有用戶授予了該項權限，應用才能使用該項功能[8]。iOS系統中，GPS定位功能、接受來自互聯網的通知提醒功能、撥打電話、發送短信或電子郵件這4項功能需要授權使用[5]。

2.5 應用逆向工程的防止策略

智能移動終端的應用程序通常會使用各種手段來防止逆向。在Android系統中，通常的做法是應用程序的混淆和加殼技術。此外，還有使用動態鏈接（SO）庫和采用Android類動態加載技術的方法[11]防止逆向。iOS系統中，通過使用統一資源定位（URL）編碼加密、方法體方法名高級混淆和程序結構混排加密等方式防止逆向[5]。

2.6 系統安全更新

類似于桌面操作系統，智能移動終端系統具有不定期系統安全更新機制。通過不斷的系統安全補丁或者發布帶有新的安全機制的系統升級減少攻擊的發生。

3 可信執行環境技術的

終端安全技術

盡管在REE中采取了諸多安全措施來保障應用和數據的安全，眾多的攻擊案例和系統漏洞表明，這些仍然無法保證敏感數據的安全性。因此開放移動終端組織（OMTP）首先提出了可信執行環境（TEE）概念。2010年7月，全球平臺組織（GP）第一個提出了TEE標準[12]。

3.1 TEE概述

TEE是運行于一般操作系統之外的獨立運行環境。TEE向一般操作系統提供安全服務并且與Rich OS隔離。Rich OS及其上的應用程序無法訪問它的硬件和軟件安全資源。TEE的架構如圖1所示[13]。

圖1中，TEE向被稱作可信應用程序（TA）的安全軟件提供安全可執行環境。它同時加強了對這些可信應用程序中數據和資源的機密性、完整性和訪問權限的保護。為了保證TEE的可信根，TEE在安全引導過程中進行認證并且與Rich OS分離。在TEE內部，每一個可信應用都是獨立的。可信應用程序不能未經授權的訪問另一個可信應用程序的安全資源。可信應用程序可以由不同的應用提供商提供。TEE中，通過TEE內部接口（TEE internal API）控制可信應用對安全資源和服務的訪問。這些資源和服務包括密鑰注入和管理、加密、安全存儲、安全時鐘、可信用戶界面（UI）和可信鍵盤等。TEE將執行一個度量程序，其中包括功能性測試和安全性評估。

TEE提供了介于典型操作系統和典型安全元件（SE）之間的安全層。如果我們認為Rich OS是一個易于被攻擊的環境，SE是一個能夠抵抗攻擊但是應用受限的環境，那么TEE就扮演著介于兩者之間的角色。Rich OS、TEE、SE所處的位置和比較如圖2所示[13]。

在一般情況下，TEE提供了一個比Rich OS更高安全等級的運行環境，但它的安全等級比SE所提供的要低。TEE提供的安全性足以滿足大多數的應用。此外，TEE提供比SE更強大的處理能力和更大的可訪問的內存空間。由于TEE比SE支持更多的用戶接口和外圍連接，它允許在其上開發有一定用戶體驗的安全程序。此外，因為TEE與Rich OS是隔離的，它能夠抵御在Rich OS中發生的軟件攻擊。

3.2 TEE系統架構

3.2.1 TEE硬件架構

芯片級別的TEE硬件它連接著如處理器、RAM和Flash等組件[14]。REE和TEE都會使用一些專有硬件，如處理器、RAM、ROM和加解密引擎。處理器之外的實體被稱作資源。一些能夠被REE訪問的資源也能夠被TEE訪問，反之，REE不能訪問未經TEE授權的TEE資源。可信資源僅能由其他可信資源訪問，從而保證了與一般操作系統隔離形成封閉系統。一個封裝在片上系統（SoC）上的資源組合結構如圖3所示[14]。

3.2.2 TEE軟件架構

TEE系統軟件[14]架構如圖4所示。TEE軟件架構的目標是為可信應用程序提供隔離的和可信服務，并且這些服務可以間接的被客戶端應用程序（CA）使用。

TEE軟件架構包括4部分：REE調用接口、可信操作系統組件、可信應用程序和共享內存。

REE調用借口包括兩類API接口，TEE功能接口（TEE Function API），TEE客戶端接口（TEE Client API）和一類通信中介。TEE Function API向CA提供一套操作系統友好API。允許程序員以類似于編寫操作系統應用的方式調用TEE服務，如進行密碼運算和存儲。TEE Client API是一個低級的通信接口。它被設計用于使運行于Rich OS中的應用程序訪問和交換運行于TEE中的可信應用程序中的數據。REE通信中介提供了CA和TA之間的消息支持。

在TEE內部有兩類不同的軟件結構：可信操作系統組件和可信應用程序。可信操作系統組件由可信核心框架、可信函數和TEE通信中介組成。可信核心框架向可信應用程序提供了操作系統功能，可信函數向開發者提供功能性調用。TEE通信中介與REE通信中介一同工作，為CA和TA之間的信息交互提供安全保障。可信應用程序是調用可信操作系統組件的API的內部應用程序。當一個客戶端應用程序與一個可信應用程序開啟一個會話進行交互時，客戶端應用程序與可信應用程序的一個實例進行連接。每個可信應用程序的實例都與其他所有的可信應用程序的實例在物理內存空間上隔離。共享內存能夠被TEE和REE共同訪問，它提供了允許CA和TA之間大量數據有效快速交互的能力。

3.3 使用TrustZone技術的TEE實現

得益于ARM優秀的設計和商業模式，ARM架構非常適用于智能移動終端市場。因此，目前智能移動終端所使用的CPU內核以ARM架構居多。ARM TrustZone技術是ARM提出的系統范圍的安全方法。TrustZone技術包括在ARM處理器架構和系統架構上添加的處理器的安全擴展、附加總線等技術。使用ARM TrustZone技術構建TEE是絕大多數智能移動終端的實現方式。

3.3.1 TrustZone的隔離技術

TrustZone技術的關鍵是隔離[15]。它將每一個物理處理器核心劃分為兩個虛擬核心，一個是非安全核心（Non-secure），另一個是安全核心（Secure）。同時提供了名為Monitor模式的機制來進行安全上下文切換。TrustZone技術隔離所有SoC硬件和軟件資源，使它們分別位于兩個區域（用于安全子系統的安全區域以及用于存儲其他所有內容的普通區域）中。支持TrustZone總線構造中的硬件邏輯可確保普通區域組件無法訪問安全區域資源，從而在這兩個區域之間構建強大邊界。將敏感資源放入安全區域的設計，以及在安全的處理器內核中可靠運行軟件可確保資產能夠抵御眾多潛在攻擊，包括通常難以防護的攻擊如使用鍵盤或觸摸屏輸入密碼等。TrustZone技術的硬件和軟件架構如圖5所示[15]。

3.3.2 TrustZone技術中的安全啟動

安全可信系統周期中一個重要的階段是系統啟動過程。有許多攻擊嘗試在設備斷電后破解軟件。如果系統從未經檢驗真實性的存儲上引導鏡像，這個系統就是不可信的。

TrustZone技術為可信域內的所有軟件和和普通區域可能的軟件生成一條可信鏈。這條可信鏈的可信根是難以被篡改的。使用TrustZone技術的處理器在安全區域中啟動。使用TrustZone技術的處理器的啟動過程如圖6所示[15]。

4 基于安全元件的終端

安全技術

4.1 安全元件概述

GP組織將安全元件（SE）定義為由硬件、軟件和能夠嵌入智能卡級應用的協議組成的防篡改組合。它可以通過一組由可信方預設的安全規則和要求來保護應用程序和其機密信息。SE的典型實現包括SIM/UICC卡、嵌入式SE和可移動存儲卡。SE提供比TEE更高的安全級別，但與此同時它的花費也最高。在近場移動支付中，通常使用SE模擬非接觸卡。SE與終端進行通信，發送查詢響應，生成動態密碼等。最新的安全方案是使用基于主機的卡模擬方式（HCE），這種方式將安全存儲和運行環境轉移到云端，而不是存儲在本地的SE中。

4.2 基于本地SE解決方案

在SE的實現方式中，通常把嵌入在智能設備中的SE和嵌入在運營商SIM卡中的SE稱為本地SE。以谷歌錢包（Google Wallet）和ApplePay為例，來探討在移動支付中基于本地SE的解決方案。

谷歌錢包1.0版本和ApplePay都是基于本地SE實現的。他們的工作方式如圖7所示。

在谷歌錢包1.0中，Android設備的NFC控制器工作在卡模擬模式。在SE中存儲的移動支付應用程序模擬非接觸卡片，使用標準的應用協議數據單元（APDU）指令與終端進行通信。ApplePay中使用本地設備SE執行卡模擬和安全存儲。在許多方面它與谷歌錢包1.0類似，但也有重要的差異。ApplePay在SE中不存儲真實的主賬號（PAN），這與谷歌錢包1.0完全相反。ApplePay存儲的是符合EMVco令牌化標準[16]的令牌。在交易過程中，這個令牌被發送給終端。在授權流程中，網絡識別令牌，去令牌化，生成真正的PAN，將PAN交給發卡行以授權。

4.3 基于云的SE解決方案

基于本地SE的解決方式本質上是安全的，這是它的一個非常大的優勢。然而，它也有一個很大的缺點。SE的擁有者決定了市場準入。其他所有人都需要通過復雜的商業模式、合作方式和依賴關系進入市場。這讓整個過程變得復雜而昂貴。此外，SE本身的存儲容量和處理速度有限也是這種方式的一個缺點。

一種可行的解決方案是使用基于主機的卡模擬方式。Android 4.4及其后版本的操作系統提供了HCE模式的API[17]。HCE模式的運行方式如圖8所示。

當消費者把手機放置在NFC終端上時，NFC控制器將所有的數據直接發送到直接運行應用程序的主機CPU中。然后Android應用程序（移動錢包）和特定的支付程序開始進行處理，進行卡仿真，進行請求和響應。由于主機CPU本身是不安全的，因此任何真實的支付憑證不會存儲在手機錢包中。以谷歌錢包3.0為例，谷歌將所有這些真實的數據托管到云服務中，在那里進行安全存儲和安全處理。從本質上來說，這是一種基于云的SE方式。實現了從基于本地的SE到基于云的SE的轉變。

這種方法也有它的缺點，如安全性和交易過程中需要網絡連接。同時還需要使用如支付卡令牌化的技術來保證它的安全性。然而另一方面，這種方式可以使商業模式、合作關系變得簡單，而且沒有對本地SE的接入限制。這使得應用提供商可以輕松的提供服務。

5 結束語

本文從軟件方案、基于TEE的方案和基于SE的方案3個層面對智能移動終端安全技術進行了探討。軟件層面上，在一般運行環境中，主要使用傳統的設備訪問控制、數據加密、應用運行時隔離機制、基于權限的訪問控制、逆向工程的防止、系統安全更新等措施保護智能移動終端的安全。在基于TEE的方案中，使用特殊的軟硬件體系結構、安全隔離和安全啟動機制等來保護智能移動終端的安全。在基于SE的方案中，使用了基于本地SE和基于云端SE的安全隔離和可信執行技術來保證智能移動終端的安全。本文認為智能移動終端的安全解決方案是多層面立體式的解決方案。任何一個層面都有安全性或使用方便性的不足。只有將軟件和可信硬件平臺加以結合，才能為智能移動終端提供完整的安全保障。