摘要
针对安全模块扩展技术面临的安全风险以及性能较低的问题,提出了一种基于TrustZone技术构建内生可信执行环境的方法。重点研究了计算资源隔离分配、固件可信度量、安全存储、全信任链构建等关键技术。设计了内生可信执行环境系统结构与可信计算基关键部件,通过对其安全性进行分析,表明基于内生可信执行环境,可以从底层硬件到上层软件,逐级构建自启动到运行整个活动周期的信任链,能够有效地保证系统关键硬件、固件、操作系统文件、应用软件和敏感数据的安全性和完整性,具备内生安全、易扩展、低成本等优点。
内容目录:
1 TrustZone 介绍
2 关键技术
2.1 计算资源隔离分配
2.2 固件可信度量
2.3 安全存储
2.4 全信任链构建
3 系统结构设计
4 可信计算基设计
5 安全性分析
6 结 语
近年来,计算机已成为人们工作生活中必不可少的工具,扮演着越来越重要的角色。计算平台通过处理器内存映射手段,给每个进程配置一个单独的地址空间,来隔离多个进程的代码和数据,通过内核空间和用户空间不同的特权级来隔离操作系统和用户进程的代码和数据,达到保护应用程序和数据的目的。但由于内存中的代码和数据都是以明文方式存在的,外部病毒和木马容易对内存中的代码和数据实施缓冲区溢出、内存注入、数据窃取、拒绝服务等多种攻击。此外,在应对新型安全威胁时,传统“打补丁”的安全技术手段显得力不从心。因此,探寻新的应对新型安全威胁的方法成为当前各机构的研究热点。
为应对新型病毒和木马的安全威胁,行业内通常采用安全模块扩展技术。该技术是将代码和数据送往安全模块,由安全模块对代码实施完整性验证和数据加密处理,从而实现对内存中代