基于可信執行環境的移動作業終端數據安全防護技術研究

趙毓鵬 苗晗 姜燕 李世慈 劉博洋 馬靖 宋雪瑩

摘?要：可信執行環境是一種安全技術，將需要保護的重要數據存儲在可信執行環境中，以免數據在不可信的環境下被竊取或篡改。本文基于國家電網移動作業終端數據安全管理現狀，將可信執行環境應用于移動作業終端數據安全領域，構建了終端數據安全防護模型，提升了移動作業終端數據存儲和計算時的安全性，繼而提升了移動作業終端數據的安全性。

關鍵詞：數據安全；移動作業終端；可信執行環境

Abstract：Trusted?Execution?Environment?is?a?security?technology?that?stores?important?data?to?be?protected?in?a?trusted?execution?environment?to?prevent?data?from?being?stolen?or?tampered?with?in?an?untrusted?environment.Based?on?the?status?quo?of?data?security?management?of?mobile?terminals?in?the?National?Power?Grid，this?paper?applies?the?trusted?execution?environment?to?the?field?of?data?security?of?mobile?terminals，constructs?a?terminal?data?security?protection?model，improves?the?security?of?data?storage?and?calculation?of?mobile?terminals，and?then?improves?the?security?of?mobile?terminal?data.

Keywords：data?security；Mobile?operation?terminal；Trusted?Execution?Environment

一、概述

隨著經濟的發展和互聯網技術的進步，網絡成為人們生活不可或缺的一部分。國家發布了《中華人民共和國網絡安全法》［1］，修訂了《信息安全技術網絡安全等級保護基本要求》［2］（GB/T?22239—2019）。隨著數據成為新的生產要素，數據在流動創造更大價值的同時，也帶來各種安全風險。國家發布實施了《數據安全法》，美國、歐盟等也深刻認識到數據安全的重要性相繼出臺系列數據安全政策法規。

隨著電網的高速發展及基礎設施通信系統的迅速IP化，接入了大量的移動作業終端（以下簡稱為終端），產生的數據量更為龐大。終端設備品牌眾多、安全機制不統一，使用場景分散，而終端設備均能夠接入電網內部系統，使電網信息安全面臨巨大挑戰。在數據安全方面隨之而來的是終端側存儲數據的安全問題以及終端和主站進行數據傳輸時的數據安全問題。

針對不斷涌現的數據安全新風險，國網公司提出構筑數據安全防護屏障，國網互聯網部、法律部發布了相關數據安全文件，進一步明確數據合規管理等保護要求，鼓勵加強數據安全技術研究應用。

國網信息通信產業集團有限公司在2021年8月24日提出電力數字空間概念；在2022年1月26日的2022年工作會議首次提出打造以電力數字空間為核心的技術體系，安全防護被列為電力數字空間的五部分之一，信息安全被列為電力數字空間技術架構五大維度之一，對網絡安全和數據安全提出新要求；在2022年4月25日第二季度工作會部署加快打造思極電力數字空間。信息安全防護作為電力數字空間一部分，也將加快發展，在信息安全防護領域中，終端數據安全是非常重要的一環。

二、終端數據安全威脅和安全管理現狀

當終端和系統平臺（部署在管理信息大區或者互聯網大區）進行數據傳輸時，數據的完整性、保密性、可用性受到威脅，數據面臨被篡改、被竊取、被偽造的威脅，之后的數據分析和數據挖掘工作的意義將消失，現場數據也會被挖掘出有效信息導致企業秘密泄露。同時，如果終端被攻擊，也會導致信息內網或者信息外網被攻擊，受到安全威脅。

當數據在終端側存儲時，終端內存儲數據的安全得不到保證。終端處于可被隨意攻擊、破解的白盒環境，攻擊者可以輕易對終端內的應用程序進行各類攻擊，如逆向、破解、篡改、植入、調試、控制等，導致終端被惡意攻擊、遠程控制；終端側可以隨意更改和刪除本地存儲的數據、視頻等信息；未經安全審核或未經同意更新軟件版本，存在植入木馬的風險。數據泄露等安全問題會給公司帶來負面的輿情干擾。

依據國家電網終端安全管控原則，在終端側部署桌面終端管控、防病毒軟件、統一漏洞管控等技防措施，重點加強終端安全準入控制，覆蓋準入申請、入網審批、入網實施、監控審計及違規斷網等各個環節。并且通過相關終端準入系統，實現對終端的入網發現、識別認證、監測處置等準入全過程管控能力，防止終端違規接入、仿冒入侵、未授權訪問，同時依托公司安全接入網關，實現對終端的安全準入管控。

當終端和系統平臺（部署在管理信息大區或者互聯網大區）進行數據傳輸時，根據國家電網公司網絡安全有關規定，當終端向信息內網或者信息外網傳輸數據時，由終端內部的加密卡實現終端側數據加/解密，數據傳輸到信息內網或者信息外網的邊界時由安全接入網關進行解/加密。

在終端側數據安全方面，在終端與信息內網或者信息外網各個域的系統平臺進行數據交互的前提下，如果終端受到攻擊，數據安全有威脅時，系統平臺配套的安全模塊會形成響應的安全數據并報警，實現對終端的安全監控、態勢感知等管理目的。但是，還應該考慮以下幾方面從根源上遏制終端數據的泄露，加大重要數據的防護力度。

（1）不同應用產生的數據的重要性不同，安全等級不同，需要的保護等級不同。對重要應用產生的重要數據應該在存儲和訪問時加大防護力度。

（2）終端內部存儲和訪問重要數據的硬件，如內存、外設等也應該加大保護等級。

基于以上考慮，引入可信執行環境技術來實現應用層、硬件層等對數據的保護，加大終端數據安全的防護力度。

三、可信執行環境

可信執行環境［3］（Trusted?Execution?Environment，以下簡稱為TEE）是一種安全技術，由標準化組織GlobalPlatform開發。TEE與普通的操作系統（Rich?Execution?Environment，以下簡稱為REE）一同運行。TEE用于執行重要應用產生的重要數據以免在不可信的環境下被竊取或篡改，REE則用于執行其他數據。TEE具有其自身的執行空間，其安全水平高于REE［4］。

TEE通過三層架構實現安全。三層架構包括：（1）可信應用軟件層（Trusted?Application，以下簡稱為TA），應用軟件是需要被保護的應用軟件；（2）可信操作系統層，對上層應用軟件TA提供支持；（3）硬件層，提供硬件支撐。TEE和REE對應的硬件間互相隔離，不能隨意互相訪問，共同組成終端所有的硬件。

每一個TA之間的互相訪問需要授權，并相互獨立運行。REE通常是安卓或iOS等移動終端操作系統的運行環境，包含客戶端應用（Client?Application，以下簡稱CA）、TEE功能應用程序編程接口（Application?Programming?Interface，以下簡稱API）、TEE客戶端API及多媒體操作系統部件等模塊。TEE客戶端API提供運行于REE環境的CA訪問TEE環境中的TA及與TA進行數據交換的底層通信接口［5］。

相對于開放環境的REE，TEE提供了一個較安全的封閉的執行環境，TEE主要由TA、TEE內部API、可信操作系統部件和可信內核等組成。TA運行于TEE環境，向它的用戶提供安全服務，TA與TA之間通過TEE內部API進行通信，在這種情況下，一個TA可作為另一個TA的客戶端［6］。TEE內部API是TEE提供給TA的編程接口，通過系統調用實現，調用SVC同步異常指令。該API在globalplatform中有具體規定。

TEE所能訪問的軟硬件資源是與REE分離的。在硬件層面，TEE的內存、CPU、外設I/O等與REE完全隔離，REE無法訪問TEE硬件資源。

四、基于可信執行環境的移動作業終端數據安全防護模型

終端面臨的數據安全問題包括數據的丟失、篡改、竊取等造成數據的完整性、可用性、保密性受到損害。為了防范這些風險，根據網絡安全技術理論和國家電網公司移動作業終端安全現狀，本文提出一種基于可信執行環境的移動作業終端數據安全防護模型，確保終端更安全、更可靠。

（一）基于可信執行環境的移動作業終端數據安全模型

終端的數據需要在兩方面進行防護，一方面是終端和系統平臺（部署在管理信息大區或者互聯網大區）進行數據傳輸時；一方面是在終端內部存儲時。基于此，移動作業終端數據安全模型需要包含在終端內部的TEE環境和終端與系統平臺傳輸的通路。

基于可信執行環境的移動作業終端數據安全模型包括三層和一個通路，如圖1。三層分別是：（1）硬件層，用于提供所需的硬件資源，硬件層的隔離為TEE提供硬件支持；（2）操作系統層，REE和TEE環境互相隔離，通過通信代理通信。它們中的應用軟件也不同，將重要程度更高并且產生的數據更加重要的應用軟件（TA）放到TEE中；（3）系統層，終端數據傳輸到的國家電網管理信息大區或者互聯網大區的域中的系統平臺（具體是管理信息大區還是互聯網大區，要看系統平臺部署在哪個區），用于接收終端傳輸到的數據和對終端發出指令。一個通路是：終端與系統平臺層傳輸數據通路。

（二）硬件層

數據在存儲時的安全由內存隔離機制保障，在硬件層實現。在硬件層，實現TEE需要將設備的硬件和軟件資源全部劃分成安全區域和非安全區域［78］，兩個區域具有獨立的硬件資源，包括寄存器、物理內存和外設，不能隨意進行數據交換。安全區域中的代碼和資源受到嚴格的訪問控制策略保護，非安全區域的進程禁止訪問安全區域，以保證存儲在安全區域的資源不被非法訪問或竊取；安全區域用于實現TEE，運行安全操作系統、存儲密鑰及執行安全敏感的任務，保證了TEE平臺的封閉性，能夠有效減少系統漏洞的披露、外界的攻擊和病毒的入侵。在可信環境下，執行核心操作部分的代碼，在不可信環境下執行內核部分代碼。內核無法訪問可信環境下的全部資源，只有通過特定的可信應用程序才可以訪問相應部分的資源。內存隔離機制是TEE的關鍵機制之一，用于對TEE安全內存和REE非安全內存進行隔離，并對TEE安全內存實施訪問控制，如果其安全性不能保證，可能造成存儲在TEE安全內存中的敏感數據泄露［9］。在硬件層，通過加大TEE安全內存的訪問權限等級，增加TEE安全內存中數據的安全性，保證TEE安全內存中數據只能被TEE訪問。

（三）操作系統層

在啟動TEE時，需要判斷TEE的完整性。終端加電后，加載ROM中的安全引導程序，并驗證根密鑰。安全引導程序開始初始化并啟動TEE，并逐級檢查各個階段關鍵代碼以確定TEE的完整性。TEE啟動后，運行REE中的引導程序并啟動REE。基于此過程，完成了移動終端整個系統的安全啟動，能夠有效抵御TEE啟動過程中的惡意行為。

終端用戶的密鑰和證書等敏感信息、重要應用產生的重要數據等需要高度保護，TEE將終端密鑰和證書等敏感信息、重要應用產生的重要數據等存儲在安全區域中，這些敏感和關鍵信息只能由TEE授權的可信應用訪問或修改，REE不能訪問或修改。TEE為這些敏感和關鍵信息的操作提供了加密和完整性保護機制，并且TEE中存儲的密鑰可以對REE下的敏感和關鍵信息進行加密，保證存儲在REE下敏感和關鍵信息的安全性。

在圖1中，TEE?Client?API是REE中的TEE驅動程序提供給外部的接口，可以使運行在REE中的CA能夠與運行在TEE中的TA交換數據；TEE內部API是TEE提供給TA的編程接口，REE與TEE間的信息交互是通過通信代理信息交互來實現的。當系統層需要獲取數據時，從REE中獲取，通過這個過程提高TEE中敏感數據的安全性。

（四）終端與系統平臺層傳輸數據通路

當終端與系統平臺層傳輸數據時，分為以下兩種情況。第一種情況，當存儲在TEE中的數據傳輸到系統平臺層時，數據首先需要通過通信代理從TEE傳輸到REE中，再通過安全加密卡加密配合安全接入網關解密的方式傳輸到系統平臺層。第二種情況，當存儲在REE中的數據傳輸到系統平臺層時，數據可以直接通過安全加密卡加密配合安全接入網關解密的方式傳輸到系統平臺層。

通過安全接入網關和安全加密卡的加解密過程，保證終端與系統平臺層傳輸數據的安全性。

（五）系統平臺層

系統平臺部署在管理信息大區或者互聯網大區的域中，具體的區和域按照系統建設時的規劃和系統平臺的安全需求等級來確定。不同的終端類型對應不同的系統平臺。不論是在管理信息大區還是互聯網大區，在接入的時候都需要通過安全接入網關。

結語

可信執行環境是一種安全技術，將需要保護的重要數據在可信執行環境中存儲、計算等，可避免數據在不可信的環境下被竊取或篡改。本文基于國家電網移動作業終端數據安全管理現狀，將可信執行環境技術應用于移動作業終端數據安全領域，構建了終端數據安全防護模型，提升了移動作業終端數據存儲和計算時的安全性，繼而提升了移動作業終端數據的安全性。

參考文獻：

［1］中華人民共和國網絡安全法［EB/OL］.［20190810］.

［2］國家市場監督管理總局，中國國家標準化管理委員會.信息安全技術網絡安全等級保護基本要求：GB/T?22239—2019［S］.北京：中國標準出版社，2019.

［3］全國信息安全標準化技術委員會（SAC/TC?260）.“信息安全技術?可信執行環境?基本安全規范.”GB/T?413882022.20220415.

［4］國煒，王宗岳，焦四輩，等.移動終端安全隔離技術分析［J］.移動通信，2016，40（21）：1116.

［5］楊穗珊.基于可信執行環境的安全手機架構研究［J］.移動通信，2016，40（21）：3438+44.

［6］GlobalPlatform?Device?Technology.TEE?internal?API?specification?version?1.0.Technical?Report?GPD_?SPE_010，globalplatform.org［R］.2011：16.

［7］蔣航，董衛宇，任璐，等.ARMv7架構下可信執行環境敏感數據保護實現方法［J］.信息工程大學學報，2018，19（06）：755761.

［8］劉志娟，高雋，丁啟楓，等.移動終端TEE技術進展研究［J］.信息網絡安全，2018（2）：8491.

［9］靳翠珍，張倩穎，馬雨薇，等.基于精化的可信執行環境內存隔離機制驗證［J］.軟件學報，2022，33（6）：21892207.

作者簡介：趙毓鵬（1982—?），男，漢族，山東日照人，碩士研究生，中級工程師，研究方向：電力系統網絡安全。