移动智能终端硬件安全技术
- 1 硬件安全技术
- 1.1 概述
- 1.2 主芯片安全技术
- 1.2.1 TrustZone安全技术
- 1.2.1.1 TrustZone硬件架构
- 1.2.1.2 安全软件架构
- 1.2.2 SecureBoot安全启动技术
- 1.3 加密芯片
- 1.4 SIM卡安全技术
- 1.5 NFC安全技术
- 1.6 芯片自主化
- 1 .7 安全硬件架构
1 硬件安全技术
1.1 概述
智能终端的硬件系统,是一个包含了应用处理器(AP)、Modem、内存、电池管理单元(PMU)、屏幕、摄像头、传感器、电池、天线等丰富配件的复杂集成系统。
1.2 主芯片安全技术
1.2.1 TrustZone安全技术
1.2.1.1 TrustZone硬件架构
ARM TrustZone技术是芯片级的安全解决方案,将硬件和软件资源划分为两个执行环境:安全世界(Secure World)和普通世界(Normal World)。把敏感资源放在安全世界,能保护绝大多数的资源免受很多潜在的攻击,包括一些很难保证安全的操作,如用键盘或者触摸屏输入密码。
TrustZone硬件架构通过系统安全性、处理器内核安全性、调试安全性3个方面的安全性扩展确保系统整体的安全性。
(1)系统安全性
TrustZone隔离了所有SoC(System on Chip,系统级芯片)硬件和软件资源,划分为两个执行环境,即用于安全子系统的安全区域以及用于存储其他所有内容的普通区域。TrustZone通过AXI和APB实现了硬件资源的区域分离,并通过AXI总线的硬件逻辑确保普通区域的组件无法访问安全区域的资源。
(2)处理器内核安全性
通过ARM处理器内核的扩展,普通区域和安全区域的代码能够以分时的方式安全有效地运行在同一个物理处理器内核上,不需要使用专用安全处理器内核,在保证处理器内核安全的同时兼顾了芯片面积和能耗。
在处理器架构上,每个带TrustZone安全扩展的处理器核都提供两个虚拟核:安全核和非安全核。
(3)调试安全性
通过安全感知的调试结构对安全区域的调试进行严格控制,而不会影响普通区域的调试。
1.2.1.2 安全软件架构
安全软件架构包括安全世界、普通世界两个区域,通过监控器实现两者的切换。目前的绝大多数解决方案都是严格基于此架构实现。
(1)安全启动
TrustZone软件安全启动过程如图所示。在系统初始化时,在安全特权模式下从片内安全引导代码区启动,采用这种方式以避免OS被攻击。片内安全引导代码完成系统安全状态的设置,然后引导OS启动。在OS启动的每一个阶段,功能模块均需通过验证才允许加载。通过检查保存在安全域内的签名可以保证OS引导代码的完整性,避免终端设备被非法重新硬件编程。
(2)监控模式
TrustZone监控器实现软件系统在安全世界和普通世界之间的切换管理。普通世界的应用程序可以通过3种异常进入监控模式:执行安全监视调用SMC指令、外部中止、FIQ和IRQ。(3)TrustZone API
TrustZone API为希望获取安全保护的应用程序提供了一个标准接口,定义了运行在普通世界中的客户端与安全世界之间交互的接口,应用程序必须通过调用TrustZone API才能被允许进入安全世界。
客户端包括应用程序和Service Stub服务抽象层,调用普通世界下的TrustZoneAPI呼出,通过TrustZone交互机制传送给安全世界下的服务管理器和安全服务。
1.2.2 SecureBoot安全启动技术
由于厂家版本的OS大多嵌入了相当数量的厂家生态应用,同时不明来源的系统镜像和不可靠的刷机是系统风险引入的一个重要途径,多数手机厂商希望用户能保留和使用厂家的OS版本。
展讯的SecureBoot安全启动技术采用多级认证的机制,建立了自底向上的可信启动过程。SecureBoot对系统软件采用签名认证的方式,在手机出厂前对手机操作系统的Image文件进行签名认证,计算签名文件的散列值并写入芯片的一次性可编程模块。手机每次启动时先校验系统的散列值,然后对签名Images逐级校验,实现从手机芯片到系统软件的链式校验过程。防止非授权更改甚至替换手机原版操作系统中固件或者操作系统,避免手机出厂后没有得到客户签名认证的非授权操作,保护手机中原有的操作系统和软件版本。
SecureBoot安全启动的流程如下。
(1)ROMCode读取存储于一次性可编程模块中BSC(Base StationController,基站控制器)的散列值和UID(User Identification,用户身份)。
(2)加载SPL(Second Program Loader,第二次装载系统)和BSC。
(3)RomCode利用散列函数来验证BSC的完整性。
(4)RomCode利用RSA算法来验证SPL的完整性。
(5)加载和运行安全操作系统引导程序。
(6)验证和运行安全操作系统。
(7)SPL利用RSA算法验证UBoot。
(8)UBoot利用RSA算法验证bootimage、recoveryimage、modem、sp等。
1.3 加密芯片
从定义上说,加密芯片是一个具备独立生成密钥以及数据加解密能力的集成电路芯片,实现多种密码算法,使用密码技术保存密钥和敏感信息。加密芯片内部拥有自己的CPU和存储器,用于加解密计算、存储密钥和敏感数据,为加密产品提供数据加解密和认证的服务。
对于有着一定安全级别要求的保密场景,手机终端可以使用加密芯片对终端的应用数据进行加密存储和加密传输。
如对于用户通信使用的电话、短信这些基础业务,可以通过加密芯片以及终端的必要改造实现通信数据的加密传输,运营商可以为有需求的用户提供加密通信的业务来保证用户通信的安全。
1.4 SIM卡安全技术
SIM(Subscriber Identity Module,用户识别模块)和USIM(UniversalSubscriber IdentityModule,全球用户识别模块)都是在UICC(UniversalIntegrated Circuit Card,通用集成电路卡)卡上的网络接入应用,移动终端需要通过UICC卡上的SIM应用或者USIM应用作为用户身份标识登入运营商网络。也就是说UICC是物理实体卡,而SIM或者USIM则是卡上的应用。
SIM卡通常应用于2G网络,采用单向鉴权,USIM卡通常应用于3G/LTE网络,采用双向鉴权。由于双向鉴权有效提升了安全性,加上目前USIM卡能够搭载多个UICC应用,允许卡上业务的扩展,目前,USIM卡成为了运营商主要发行的卡品。
1.5 NFC安全技术
NFC(Near Field Communication,近场通信)是近距离非接触式的一种无线通信方式,非接触式感应和无线连接技术相结合,作用频带为13.56 MHz,有效传输距离在10cm之内。NFC技术是在RFID (Radio Frequency Identification,无线射频识别)基础上发展创新而来。
工作原理:利用射频信号和电感耦合的传输特性,实现读卡器对标签的自动识别。
NFC硬件和架构都具备较高的安全性,手机终端可以利用NFC硬件的安全能力来提升终端上多种应用的安全能力。
1.6 芯片自主化
基带芯片Modem、应用处理芯片AP、无线连接芯片为手机提供了通信、计算处理、图像处理等核心功能。
基带芯片Modem与射频前端RF配合,提供通信信号的调制解调功能,为手机提供基本的通信功能。
应用处理芯片AP包括CPU、GPU、DSP(Digital Signal Processing,数字信号处理),分别提供计算处理能力、图像、视频编解码处理能力,支持手机所安装应用的各种功能。
无线连接芯片为手机提供Wi-Fi、GPS、蓝牙、电源管理、NFC、FM等基本功能。
基带芯片、应用处理芯片和无线连接芯片作为手机的系统级芯片,也就是主芯片,决定手机的核心能力。
除了主芯片,终端安全加固需要的加密芯片也已经完全实现了自主化设计和生产,所使用的密码算法也都是国密算法,不存在恶意后门的风险。
USIM卡技术和NFC技术也都具备了完全的自主化能力。
中国的自主芯片安全技术已经可以提供完整的安全终端硬件解决方案。
1 .7 安全硬件架构
安全终端的硬件架构就是在普通手机的硬件架构基础上(,使用上述各种硬件安全技术进行增强的安全加固设计。
例如对于主芯片,可使用TrustZone技术为特定的安全应用提供安全的运行环境,或者使用SecureBoot安全启动技术对系统软件采用签名认证的方式实现从手机芯片到系统软件的链式校验过程。
也可以在终端上使用独立安全硬件,如在终端上增加加密芯片,为应用处理器和存储器提供服务,实现应用的数据安全存储和安全传输。
此外,移动终端也可以使用运营商提供的安全SIM卡为终端上的一些应用提供统一身份认证,或者通过NFC安全技术提升一些应用的安全能力。这些硬件安全技术可以根据不同的安全场景和需求独立使用或者组合使用实现终端安全的最终目标。
硬件安全是智能终端安全的基础,随着终端硬件价格不断降低,通过引入安全硬件、引入安全硬件架构设计等手段能有效提高终端平台的安全性。需要了解智能终端的硬件安全相关技术,包括主芯片安全,涵盖TrustZone、安全启动关键技术,以及加密芯片、安全SIM卡、NFC安全等相关安全硬件知识。
