- 手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解
- 帅峰云 黄腾 宋洋
- 3204字
- 2025-02-27 11:00:11
第一篇 基础技术篇
第1章 可信执行环境
1.1 系统存在的安全问题
随着移动通信和互联网技术的飞速发展,智能设备在各个领域扮演着越来越重要的角色。据统计,在2017年,中国使用智能手机上网的用户数已达6亿之多。此外,无人驾驶、物联网、网络电视等也都与智能设备相关,或者本身就是智能设备,它们都会用到操作系统。然而由于一些黑客能够破解智能设备的root权限,进而盗取用户数据或其他关键信息,造成用户数据的泄露或滥用。其次,如果用户的车载系统被黑客获取控制权限,其人身安全将无从保障。因此手机互联网领域、电视领域、物联网领域以及车载领域的安全越来越显得重要。
再者,智能设备上各种应用不断涌现,若开发人员在开发这些应用时没有针对安全进行加固保护,则黑客可能会利用这些应用本身固有的安全漏洞获取智能设备操系统的root权限,轻松截获用户的敏感数据。鉴于此,如何保障智能设备的安全变得越来越重要。
那么,如何消除甚至杜绝这类威胁呢?除了提高系统被破解的难度之外,最好还要在系统中提供一个相对可信赖的运行环境,使用户的关键数据或应用在这个相对可信赖的环境中使用和运行。这样一来,即便系统被攻破,入侵者也无法直接获取用户的重要信息,用户的信息安全也就实现了,这就是可信执行环境(Trusted Execution Environment, TEE)的主要作用和理念。
1.2 TEE如何保护数据安全
为了给移动设备提供一个安全的运行环境,ARM从ARMv6的架构开始引入了TrustZone技术。TrustZone技术将中央处理器(Central Processing Unit, CPU)的工作状态分为了正常世界状态(Normal World Status, NWS)和安全世界状态(Secure World Status, SWS)。支持TrustZone技术的芯片提供了对外围硬件资源的硬件级别的保护和安全隔离。当CPU处于正常世界状态时,任何应用都无法访问安全硬件设备,也无法访问属于安全世界状态下的内存、缓存(Cache)以及其他外围安全硬件设备。
TEE基于TrustZone技术提供可信运行环境,还为开发人员提供了应用程序编程接口(Application Programming Interface, API),以方便他们开发实际应用程序。
在整个系统的软件层面,一般的操作系统(如Linux、Android、Windows等)以及应用运行在正常世界状态中,TEE运行在安全世界状态中,正常世界状态内的开发资源相对于安全世界状态较为丰富,因此通常称运行在正常世界状态中的环境为丰富执行环境(Rich Execution Environment, REE),而可信任的操作系统以及上层的可信应用(Trusted Application, TA)运行于安全世界状态,运行在安全世界状态中的系统就是前文提到的TEE。
对CPU的工作状态区分之后,处于正常世界状态中的Linux即使被root也无法访问安全世界状态中的任何资源,包括操作安全设备、访问安全内存数据、获取缓存数据等。这很像一个保险箱,不管保险箱的外在环境是否安全,其内部的物件都有足够的安全性。这是因为CPU在访问安全设备或者安全内存地址空间时,芯片级别的安全扩展组件会去校验CPU发送的访问请求的安全状态读写信号位(Non-secure bit, NS bit)是0还是1,以此来判定当前CPU发送的资源访问请求是安全请求还是非安全请求。而处于非安全状态的CPU将访问指令发送到系统总线上时,其访问请求的安全状态读写信号位都会被强制设置成1,表示当前CPU的访问请求为非安全请求。而非安全请求试图去访问安全资源时会被安全扩展组件认为是非法访问的,于是就禁止其访问安全资源,因此该CPU访问请求的返回结果要么是访问失败,要么就是返回无效结果,这也就实现了对系统资源硬件级别的安全隔离和保护。
在真实环境中,可以将用户的敏感数据保存到TEE中,并由可信应用(Trusted Application, TA)使用重要算法和处理逻辑来完成对数据的处理。当需要使用用户的敏感数据做身份验证时,则通过在REE侧定义具体的请求编号(IDentity, ID)从TEE侧获取验证结果。验证的整个过程中用户的敏感数据始终处于TEE中,REE侧无法查看到任何TEE中的数据。对于REE而言,TEE中的TA相当于一个黑盒,只会接受有限且提前定义好的合法调用,而至于这些合法调用到底是什么作用,会使用哪些数据,做哪些操作在REE侧是无法知晓的。如果在REE侧发送的调用请求是非法请求,TEE内的TA是不会有任何的响应或是仅返回错误代码,并不会暴露任何数据给REE侧。
1.3 现有TEE解决方案
TEE是一套完整的安全解决方案,主要包含正常世界状态的客户端应用(Client Application, CA)、安全世界状态的可信应用,可信硬件驱动(Secure Driver, SD)以及可信内核系统(Trusted Execution Environment Operation System, TEE OS),其系统配置、内部逻辑、安全设备和安全资源的划分是与CPU的集成电路(Integrated Circuit, IC)设计紧密挂钩的,使用ARM架构设计的不同CPU, TEE的配置完全不一样。国内外针对不同领域的CPU也具有不同的TEE解决方案。
国内外各种TEE解决方案一般都遵循GP(Global Platform)规范进行开发并实现相同的API。GP规范规定了TEE解决方案的架构以及供TA开发使用的API原型,开发者可以使用这些规定的API开发实际的TA并能使其正常运行于不同的TEE解决方案中。
1.3.1 智能手机领域的TEE
智能手机领域的芯片厂商众多,国外有高通(Qualcomm)、三星(Samsung)、LG,国内有展讯、联发科(MediaTek)、威盛电子(VIA)、华为海思(Hisilicon)等,目前手机厂商和芯片厂商支持的TEE解决关系如图1-1所示。
图1-1 TEE解决方案关系
各家TEE解决方案的内部操作系统的逻辑会不一样,但都能提供GP规范规定的API,对于二级厂商或TA开发人员来说接口都是统一的。这些TEE解决方案在智能手机领域主要用于实现在线支付(如微信支付、支付宝支付)、数字版权保护(DRM、Winevine Level 1、China DRM)、用户数据安全保护、安全存储、指纹识别、虹膜识别、人脸识别等其他安全需求。这样可以降低用户手机在被非法root之后带来的威胁。
Google规定在Android M之后所有的Android设备在使用指纹数据时都需要用TEE来进行保护,否则无法通过Google的CTS认证授权,另外Android也建议使用硬件Keymaster和gatekeeper来强化系统安全性。
1.3.2 智能电视领域的TEE
当前的智能电视领域大多是使用Android系统来实现的,为保护二级厂商的视频源数据以及各厂家用户会员权益不被盗取,需要使用TEE来实现数字版权保护、会员鉴权、用户账号信息保护等安全功能,而TEE方案一般都是由电视芯片厂商提供的,且所有的TEE源代码都不对外公开,即使是二级厂商也无法获取到TEE的源代码。在我国的智能电视领域,智能电视芯片主要有两家:星辰半导体(Mstar)和华为海思,两家厂商使用的TEE方案都不一样。
Mstar早期的TEE方案是在CPU的一个类似于单片机的核上运行Nuttx系统作为TEE OS来实现TEE方案的,但最新的Mstar芯片已经改用OP-TEE方案来实现TEE解决方案。
华为海思的安全操作系统(Secure Operating System, Secure OS)是按照GP规范自主研发的TEE解决方案,其手机芯片和智能电视芯片都是使用这个TEE方案。华为海思的TEE增加了权限校验功能(类似于白名单机制),即在使用华为海思的TEE方案提供的API实现特定安全功能的TA时,需要将调用该TA对应的CA接口的进程或者服务的相关信息提前注册到TEE后方能正常使用,否则会导致调用失败。
1.3.3 IoT领域及其他领域的TEE
物联网(Internet of Thing, IoT)领域和车载系统领域将会是未来TEE方案使用的另外一个重要方向,大疆无人机已经使用TEE方案来保护无人机用户的私人数据、航拍数据以及关键的飞控算法。ARM的M系列也开始支持TrustZone技术,如何针对资源受限的IoT设备实现TEE也是未来TEE的重要发展方向之一。
而在车载领域NXP芯片已经集成OP-TEE作为TEE方案,MediaTek的车载芯片也已集成了Trustonic的TEE方案,相信在车载系统领域TEE也将渐渐普及。
1.4 为什么选择OP-TEE
本书主要是介绍OP-TEE的实现原理,OP-TEE是由非营利的开源软件工程公司Linaro开发的,从git上可以获取OP-TEE的所有源代码,且OP-TEE支持的芯片也越来越多,相信未来OP-TEE将有可能是TEE领域的Linux,并得到更加广泛的运用。
OP-TEE是按照GP规范开发的,支持QEMU、Hikey(Linaro推广的96Board系列平台之一,使用Hisilicon处理器)以及其他通用的ARMv7/ARMv8平台,开发环境搭建方便,便于开发者开发自有的上层可信应用,且OP-TEE提供了完整的软件开发工具包(Software Development Kit, SDK),方便编译TA和CA。OP-TEE遵循GP规范,支持各种加解密和电子签名验签算法以便实现DRM、在线支付、指纹和虹膜识别功能。OP-TEE也支持在芯片中集成第三方的硬件加解密算法。除此之外,在IoT和车载芯片领域也大都使用OP-TEE作为TEE解决方案。
OP-TEE由Linaro组织负责维护,安全漏洞补丁更新和代码迭代速度较快,系统的健壮性也越来越好,所以利用OP-TEE来研究TrustZone技术的实现并开发TA和CA将会是一个很好的选择。
本书涉及的内核源代码使用的是OP-TEE 2.4版本,书中所有的示例都在最新版本中测试通过。