郝先林 曾 萍 胡榮磊

基于TrustZone技術(shù)的TEE安全方案的研究

郝先林 曾 萍 胡榮磊

北京電子科技學(xué)院，北京 100070

本文首先介紹了移動終端安全關(guān)鍵技術(shù)TrustZone和TEE，并對現(xiàn)有的TEE方案的安全性進行了分析。其次針對其安全性不足的問題以及不同運營商的具體情況，提出了基于TrustZone TEE+Secure OS模式改進其安全性的解決方案。最后對該方案進行的安全性分析表明，方案能夠提高移動終端的安全性。

移動終端;隔離;可信執(zhí)行環(huán)境;安全

引言

移動互聯(lián)網(wǎng)的到來給移動終端帶來了前所未有的發(fā)展機遇，同時也帶來了嚴峻的安全挑戰(zhàn)。智能移動終端作為移動互聯(lián)網(wǎng)時代最主要的載體，如今已經(jīng)高度普及，功能也日益完善。智能移動終端中存儲的用戶個人隱私及商業(yè)秘密等敏感信息越來越多，但其豐富的通信和數(shù)據(jù)交換功能同時也為信息泄露和惡意軟件的傳播提供了通道，各種安全問題如隱私泄露、惡意訂購、自動聯(lián)網(wǎng)、病毒感染等日益凸顯。尤其是在斯諾登事件、蘋果iCloud“艷照門”等事件曝光后，智能移動終端的安全問題已經(jīng)引起各界的廣泛關(guān)注。安全性在目前移動終端的設(shè)計中成為一項極其重要的參考指標。

REE(Rich Execution Environment，普通執(zhí)行環(huán)境)主要包括運行于通用嵌入式處理器中的Rich OS(RichOperating System，普通操作系統(tǒng))及其上的客戶端應(yīng)用程序。盡管在REE中采取了諸多安全措施，如傳統(tǒng)的設(shè)備訪問控制、設(shè)備數(shù)據(jù)加密機制、應(yīng)用運行時的隔離機制、基于權(quán)限的訪問控制、應(yīng)用逆向工程的防止策略和系統(tǒng)安全更新來保障應(yīng)用和數(shù)據(jù)的安全，但是眾多的攻擊案例和系統(tǒng)漏洞表明，這些仍然無法保證敏感數(shù)據(jù)的安全性。因此 OMTP (Open Mobile Terminal Organization，開放移動終端組織)首先提出了 TEE(Trusted Execution Environment，可信執(zhí)行環(huán)境)概念。2010年7月，GP(Global Platform，全球平臺組織)第一個提出了TEE標準。

本文介紹了新興的移動安全技術(shù)TrustZone技術(shù)和TEE。TrustZone是用來構(gòu)建TEE的底層硬件隔離技術(shù)。TrustZone技術(shù)在不影響系統(tǒng)的功耗和性能的前提下通過硬件來實現(xiàn)安全環(huán)境與普通環(huán)境的隔離，而軟件提供基本的安全服務(wù)和接口，由軟硬件相結(jié)合來保障系統(tǒng)安全［1］。TEE提出了在原有硬件和軟件的基礎(chǔ)上，隔離出TEE和REE，其中TEE用于安裝、存儲和保護TA(Trusted Apps，可信應(yīng)用)，而REE用于安裝、存儲其它的應(yīng)用［2］。

本文通過對現(xiàn)有TEE方案的分析，針對其存在的安全性不足的問題，利用TrustZone技術(shù)的硬件隔離和TEE技術(shù)的軟件框架，提出了TrustZone TEE與Secure OS相結(jié)合的改進方案并對其安全性進行了分析。該改進方案實現(xiàn)了基于TrustZone TEE技術(shù)的運行在ARM內(nèi)核上的安全操作系統(tǒng)。該安全操作系統(tǒng)應(yīng)用于使用ARM硬件安全擴展——TrustZone技術(shù)的移動設(shè)備，可以為終端用戶提供高安全性的系統(tǒng)和應(yīng)用。

1 關(guān)鍵技術(shù)及安全性分析

1.1 TrustZone技術(shù)安全隔離機制的實現(xiàn)

從芯片就開始提供設(shè)備的安全防護是提升設(shè)備的安全防護水準最有效的舉措。ARM公司于2003年在嵌入式領(lǐng)域中提出了TrustZone技術(shù)，為硬件系統(tǒng)提供安全保護。不過，TrustZone技術(shù)提出的時候，手機的應(yīng)用功能還未發(fā)展到今天這么復(fù)雜和高度集成，這個十多年前提出的技術(shù)已經(jīng)不能適應(yīng)現(xiàn)在移動安全的需求了。而ARM處理器最重要的結(jié)構(gòu)改變是使用了安全擴展架構(gòu)，ARMv6以上的各個版本都支持安全擴展。

TrustZone技術(shù)在ARMv6內(nèi)核架構(gòu)下的重要擴展特性之一是:在CPU內(nèi)核的設(shè)計中集成系統(tǒng)安全性擴展。通過這些額外增加的擴展，單個物理處理器內(nèi)核能夠以時間片的方式安全地同時從普通區(qū)域和安全區(qū)域內(nèi)執(zhí)行代碼。這樣，便不需要使用專用安全處理器內(nèi)核，從而節(jié)省了芯片面積和能源，并且允許高性能安全軟件與普通區(qū)域操作環(huán)境一起運行。它分離了兩個并行執(zhí)行的環(huán)境:非安全的“普通”執(zhí)行環(huán)境;安全可信任的“安全”環(huán)境，安全監(jiān)控器Monitor控制著安全與“普通”環(huán)境之間的轉(zhuǎn)換，以決定系統(tǒng)是否運行在安全或不安全的環(huán)境下［3］。TrustZone模式下兩個并行執(zhí)行環(huán)境示意圖如圖1所示:

TrustZone技術(shù)可以通過以下方式確保系統(tǒng)安全:(1)隔離所有SoC硬件和軟件資源，使它們分別位于兩個區(qū)域，即用于安全子系統(tǒng)的安全區(qū)域以及用于存儲其他所有內(nèi)容的普通區(qū)域中［4］。(2)支持TrustZone的AMBA3 AXI總線構(gòu)造中的硬件邏輯可確保普通區(qū)域組件無法訪問安全區(qū)域資源，從而把這兩個區(qū)域相互隔離開來［5］。(3)將敏感資源放入安全區(qū)域的設(shè)計，以及在安全的處理器內(nèi)核中可靠運行軟件可確保資產(chǎn)能夠抵御眾多潛在攻擊，包括那些通常難以防護的使用鍵盤或觸摸屏輸入密碼攻擊。(4)通過在硬件中隔離安全敏感的外設(shè)，設(shè)計人員可限制需要通過安全評估的子系統(tǒng)的數(shù)目，從而在提交安全認證設(shè)備時可以節(jié)省成本。

TrustZone技術(shù)需要在ARM架構(gòu)和軟件上做到安全隔離。在ARM架構(gòu)上要做的改變包括增加一條AXI總線控制線、可支持虛擬化核ARM core、TZASC(TrustZone Address Space controller，TrustZone地址空間控制器)和TZPC (TrustZone protection controller，TrustZone保護控制器)。軟件上就是基于可虛擬化核心，加上SMC系統(tǒng)調(diào)用，使CPU進入安全世界，運行安全世界的APP?；谏鲜黾軜?gòu)就可以做到完全隔離了，從而使設(shè)備能夠抵御可能遇到的眾多特定威脅。

TrustZone安全硬件架構(gòu)是安全感知調(diào)試的基礎(chǔ)結(jié)構(gòu)，它可控制對安全區(qū)域調(diào)試的訪問，而不會削弱普通區(qū)域的調(diào)試可視化。最高級的軟件架構(gòu)是專用安全區(qū)域操作系統(tǒng);最簡單的是放置在安全區(qū)域中的同步代碼庫。TrustZone安全軟件架構(gòu)就是專用安全區(qū)域操作系統(tǒng)。專用安全內(nèi)核是一種復(fù)雜但強大的設(shè)計，它可模擬多個獨立安全區(qū)域應(yīng)用程序的并發(fā)執(zhí)行、新安全應(yīng)用程序的運行時下載以及完全與普通區(qū)域環(huán)境獨立的安全區(qū)域任務(wù)。

1.2 TEE概述及安全性分析

1.2.1 TEE概述

目前智能手機和平板等移動終端進行數(shù)據(jù)保護的方式是引入全盤加密，全盤加密使用的主密鑰是通過鎖屏密碼或設(shè)備PIN碼來保護的，其安全性和密碼/PIN碼的強度息息相關(guān)，如果設(shè)置成弱口令，則全盤加密的安全性會大打折扣。這種保護全依賴于屏保密碼或設(shè)備PIN碼，是純軟件的保護方式，一旦密碼或PIN碼被攻破，全盤加密的主密鑰就會被暴露。而TEE采用強制加密機制，不需要用戶自行開啟。TEE初次啟動時使用臨時密碼對密鑰進行加密，當用戶設(shè)置密碼后，只需要重新加密密鑰，而不需要對數(shù)據(jù)重新加密。即使用戶不設(shè)置PIN碼也是加密狀態(tài)，而且支持基于硬件方案存儲密鑰。

TEE是GP發(fā)布的支持隔離執(zhí)行的軟硬件技術(shù)規(guī)范，它自下而上地構(gòu)建了一個與RichOS平行運行的獨立執(zhí)行環(huán)境，它可以為RichOS提供相應(yīng)的安全服務(wù)。在移動設(shè)備上，TEE環(huán)境與RichOS是并行存在的，為豐富的移動操作系統(tǒng)環(huán)境提供安全功能。運行在TEE的應(yīng)用稱為可信應(yīng)用，其可以訪問設(shè)備主處理器和內(nèi)存的全部功能，硬件隔離技術(shù)保護其不受安裝在主操作系統(tǒng)環(huán)境的用戶第三方應(yīng)用程序的影響。而TEE內(nèi)部的軟件和密碼隔離技術(shù)可以保證每個可信應(yīng)用之間不會相互影響，這樣可以供多個不同的服務(wù)提供商同時使用，而且不影響安全性。

TEE創(chuàng)建一個與RichOS并行運行的獨立的安全執(zhí)行環(huán)境，能夠信任并運行涉及敏感數(shù)據(jù)的應(yīng)用。在 TEE下，這些應(yīng)用能夠在Android、Windows phone和 Linux等平臺中運行?；贏RM TrustZone硬件技術(shù)的TEE，將內(nèi)部的軟硬軟件資源與RichOS及運行在其上的應(yīng)用相隔離，為保護設(shè)備重要數(shù)據(jù)和執(zhí)行可信代碼提供一個安全區(qū)域［6，7］。TEE架構(gòu)圖如圖2所示:

TEE架構(gòu)的目標是通過可信應(yīng)用向使用者提供分離的、可信的執(zhí)行環(huán)境，并且執(zhí)行的結(jié)果可以被客戶端應(yīng)用程序使用。當客戶端應(yīng)用需要執(zhí)行敏感操作如安全輸入輸出、敏感數(shù)據(jù)計算時，通過調(diào)用TEE客戶端API與可信應(yīng)用進行信息傳遞，同時將需要處理的數(shù)據(jù)放入共享內(nèi)存中。相關(guān)操作命令則通過REE通信代理傳入TEE［8］。此時，通過調(diào)用TrustZone硬件上的監(jiān)控器進行環(huán)境的切換。在TEE內(nèi)，可信應(yīng)用通過調(diào)用TEE內(nèi)部API及可信內(nèi)核來完成相關(guān)操作。然后將處理后的數(shù)據(jù)或命令通過共享內(nèi)存或TEE通信代理傳入REE［9］。由于整個數(shù)據(jù)處理過程都在TEE內(nèi)進行，與普通執(zhí)行環(huán)境隔離，從而保證了整個過程的安全。

TEE是運行在設(shè)備中的，提供介于RichOS和SE(Secure Element，安全元素)之間的安全性的框架。當前的很多安全架構(gòu)還是基于 RichOS+SE的方式，這在方便程度和成本上都不是很合適。因為某些小額的支付，DRM，企業(yè)VPN等，所需要的安全保護強度并不高，還不需要一個單獨的SE來保護，但是又不能直接放在Rich OS中。所以對于這類應(yīng)用，TEE則提供了合適的保護強度，并且平衡了成本和易開發(fā)性。

1.2.2 TEE安全性分析

使用ARM TrustZone技術(shù)構(gòu)建TEE是絕大多數(shù)智能移動終端的實現(xiàn)方式。TEE在現(xiàn)有的ARM TrustZone硬件基礎(chǔ)上，通過虛擬化技術(shù)建立起一個隔離的可信執(zhí)行環(huán)境。通過加入標記位，將安全數(shù)據(jù)與普通數(shù)據(jù)進行區(qū)分［10］。安全數(shù)據(jù)與資源必須只在可信環(huán)境內(nèi)進行存儲與執(zhí)行，保證安全資源不會被惡意軟件截獲，從而在不增加成本的基礎(chǔ)上來提高設(shè)備的安全性。然而TEE功能日益復(fù)雜與多樣化，現(xiàn)有的TEE也不是真正的安全。

目前針對TEE架構(gòu)的移動平臺攻擊包括: (1)芯片攻擊:利用JTAG調(diào)試接口對MMU (Memory Management Unit，內(nèi)存管理單元)處理器單元重新編程，修改RAM及存儲的尋址范圍，從而獲得相應(yīng)數(shù)據(jù)的訪問權(quán)限;或者利用物理探針在SoC芯片的數(shù)據(jù)總線上進行信號竊聽。(2)共享資源攻擊:如果REE環(huán)境中的非法代碼能共享訪問與TEE相同的CPU或RAM資源，那么TEE就存在受到共享資源攻擊的風險。(3)系統(tǒng)漏洞攻擊:在智能手機設(shè)備上發(fā)現(xiàn)了TEE內(nèi)存訪問控制的漏洞;Bootloader存在設(shè)計漏洞，可用于系統(tǒng)非法提權(quán);整數(shù)溢出會給TEE的運行帶來風險;在安全啟動代碼中存在證書處理或簽名有效期的漏洞，允許黑客插入惡意代碼。(4)入侵式攻擊:篡改代碼簽名機制可允許黑客插入惡意代碼。

現(xiàn)有的國內(nèi)外TEE方案在實際應(yīng)用中存在的問題與缺點包括:(1)TEE的硬件隔離主要包括對CPU資源的分時、隔離、RAM資源和存儲資源的尋址隔離上，而在物理器件上仍然與REE環(huán)境共享，本質(zhì)上只是芯片內(nèi)軟件調(diào)度的隔離，所以并不具備較高的防篡改能力。(2)TEE的存儲安全性不夠，無法保證Token等關(guān)鍵數(shù)據(jù)的安全，不同于SE的關(guān)鍵數(shù)據(jù)不在內(nèi)存中，當前TEE依然無法達到SE的安全等級［11］。(3)TEE本身仍存在一定級別的認證的問題(EAL2或EAL3，特殊行業(yè)應(yīng)用EAL4及以上)，CC(信息技術(shù)安全評價通用準則)組織的EAL(評估保證級別)等級認證仍在進行之中。(4)TEE的攻擊面包括以下幾個方面:安全啟動、TEE內(nèi)核本身、TA安全性、硬件操作與隔離和TEE與REE交互的部分。

為了防止上述針對TEE架構(gòu)的移動平臺的攻擊以及避免現(xiàn)有TEE方案在實際應(yīng)用中存在的問題，可以構(gòu)建一個可信執(zhí)行環(huán)境的操作系統(tǒng)，其安全性要比單純地利用TEE內(nèi)核的安全性要高得多。

2 基于TEE的安全性改善方案

2.1 TrustZone TEE與Secure OS相結(jié)合

本文通過對現(xiàn)有的TEE方案的分析，說明只有硬件安全的隔離還遠遠不夠，TEE與上層安全應(yīng)用自身的安全性更需要重視，需要從整體設(shè)計與安全評估進行TEE安全增強。具體包括以下四個方面:(1)針對芯片廠商的TrustZone硬件隔離實現(xiàn)機制各異的問題，基于TEE的安全性改善方案需要保證不同TEE方案的安全性。(2)針對大多數(shù)TEE與手機廠商更關(guān)注功能性的問題，該改善性安全方案也需要確保TEE自身的安全性。(3)針對TA不斷增加帶來的新的安全隱患的挑戰(zhàn)，該改善性安全方案必須能夠有效地將TEE與TA隔離開來。(4)針對TEE無法應(yīng)對物理攻擊的挑戰(zhàn)，還要求該改善性安全方案能夠提高TEE防御的層次?？紤]到上述問題與挑戰(zhàn)，本文提出了TrustZone TEE與 Secure OS(SecureOperating Systerms，安全操作系統(tǒng))相結(jié)合的TEE安全方案來改善現(xiàn)有的TEE方案。

該改善性安全方案的創(chuàng)新點就是將TrustZone TEE與Secure OS相結(jié)合，它組成了一個運行在ARM內(nèi)核上的基于TrustZone技術(shù)的可信執(zhí)行環(huán)境的操作系統(tǒng)。該操作系統(tǒng)可以應(yīng)用于使用ARM硬件安全擴展TrustZone技術(shù)的移動設(shè)備。TrustZone技術(shù)支持傳統(tǒng)的操作系統(tǒng)，如Android、Linux等，并能夠為它們提供更強的安全性。TrustZone技術(shù)提供了一個易于使用的可信計算平臺的研究社區(qū)，同時為移動設(shè)備供應(yīng)商提供一個高質(zhì)量的TEE，從而可以為終端用戶提供高安全性的系統(tǒng)和應(yīng)用，包括移動安全支付、數(shù)字版權(quán)管理、內(nèi)核Rootkit檢測和預(yù)防以及BYOD(Bring Your Own Device，自帶設(shè)備)解決方案。TrustZone TEE+Secure OS結(jié)構(gòu)圖如圖3所示:

從上面的TrustZone TEE+Secure OS結(jié)構(gòu)圖可以看出可信執(zhí)行環(huán)境的操作系統(tǒng)的設(shè)計支持加載第三方可信應(yīng)用程序用簽名來動態(tài)檢查，可以大大降低系統(tǒng)的攻擊面;提供了一系列豐富的用戶區(qū)域庫;可以加強不同的受信任應(yīng)用程序之間的隔離，也可以加強不可信的和受信任的應(yīng)用程序之間的隔離以及可信任應(yīng)用程序和內(nèi)核之間的隔離。還有，通過實現(xiàn)安全的引導(dǎo)，該方案可確保系統(tǒng)不能被篡改。

TrustZone TEE+Secure OS可以應(yīng)用到實際中，它能夠和Android、Linux等傳統(tǒng)操作系統(tǒng)同時運行。從而TrustZone TEE+Secure OS可以實現(xiàn)可信執(zhí)行環(huán)境的三層架構(gòu)，可信執(zhí)行環(huán)境的三層架構(gòu)圖如圖4所示:

上述可信執(zhí)行環(huán)境的三層架構(gòu)圖的設(shè)計包括:TA層、Secure OS層和硬件層三層架構(gòu)，其中TA層實現(xiàn)了數(shù)字版權(quán)管理、安全支付、TUI (TrustedUser Interface，可信用戶界面)等功能，Secure OS層實現(xiàn)了安全操作系統(tǒng)和對上層TA提供支持庫，硬件層則實現(xiàn)了CPU狀態(tài)隔離、內(nèi)存隔離和外設(shè)隔離。除此之外，還包括參照GP提出的接口標準和規(guī)范來設(shè)計可信執(zhí)行環(huán)境客戶端應(yīng)用程序接口和可信執(zhí)行環(huán)境服務(wù)端內(nèi)部接口，從而實現(xiàn)不可信執(zhí)行環(huán)境和可信執(zhí)行環(huán)境間安全交互的通信機制。

2.2 方案分析

可信執(zhí)行環(huán)境的操作系統(tǒng)作為可信任的內(nèi)核是在高度安全的前提下，用一個簡單的和設(shè)計，更少的代碼實現(xiàn)，內(nèi)核將更容易達到高安全可信。此外，用自底向上的方法來實現(xiàn)一個安全內(nèi)核比自頂向下的方法容易削減現(xiàn)有的內(nèi)核。為使可信執(zhí)行環(huán)境的操作系統(tǒng)能夠抵御目前常見的物理攻擊，在以下幾個方面進行了設(shè)計:(1)將所有明文數(shù)據(jù)只存在SoC內(nèi)部，外部內(nèi)存中只保存密文數(shù)據(jù)，因為僅SoC可信，對SoC本身進行物理攻擊的難度極高;(2)做到全系統(tǒng)級保護，支持包括TA在內(nèi)的TEE整體; (3)支持后向兼容，保持對現(xiàn)有TA透明，對TEE和TA內(nèi)存大小沒有限制;(4)實現(xiàn)基于PUF(Physical Unclonable Functions，物理不可克隆功能)的秘鑰管理，增強存儲安全以及有效保證Token等關(guān)鍵數(shù)據(jù)的安全。這樣設(shè)計便可以使可信執(zhí)行環(huán)境的操作系統(tǒng)擁有更安全的數(shù)據(jù)存儲、更強的物理攻擊防御和更小的可信基。

該方案的設(shè)計符合Global Platform的標準，支持安全應(yīng)用如DRM、安全支付、密碼管理以及支持靈活定制和二次開發(fā)。最大的優(yōu)點在于基本上不需要更改原有操作系統(tǒng)。對于一些特定的業(yè)務(wù)需求如Rookit保護，該方案需要輕量級的修改操作系統(tǒng)。

目前該方案已成功應(yīng)用在 Exynos 4412 Cortex-A9硬件開發(fā)平臺上，實現(xiàn)了SecureBoot的完整信任鏈、TA簽名驗證與保護、TUI和TA中不同域與庫間互相隔離，四者形成動靜態(tài)保護，保證了移動終端的高度安全。

3 結(jié)束語

如今內(nèi)容保護、企業(yè)環(huán)境、連接性和移動金融服務(wù)的興起都需要更高級別的安全保護，而TEE能夠隔離安全應(yīng)用，并防止其受到惡意軟件的攻擊［12］。同時TEE也面臨著機遇和挑戰(zhàn)，一方面是因為TEE本身會面臨越來越多的安全挑戰(zhàn)，另一方面是因為虛擬化等新的硬件特性會給TEE帶來更多機會。通過安全的系統(tǒng)設(shè)計，TEE可以接近SE的安全等級。TEE能夠滿足大多數(shù)應(yīng)用的安全需求，相信在未來各種安全技術(shù)的發(fā)展中，TEE可以為其提供更安全的存儲和執(zhí)行環(huán)境，可以從系統(tǒng)層面提供更廣的安全。

智能手機操作系統(tǒng)的安全問題，不可只從軟件層面去解決，還需要借助硬件本身的能力對其進行完善?？尚艌?zhí)行環(huán)境的架構(gòu)已逐漸被終端廠家采用，并且已有移動支付類的代表性應(yīng)用落地，相信在不久的將來，智能手機安全操作系統(tǒng)將會得到普及。

［1］杜文銀，張濤，凌君．基于ARM TrustZone技術(shù)的移動可信平臺［J］．測控技術(shù)，2009，28(S1):52－54．

［2］GlobalPlatform Device Technology TEE Internal API Specification Version 1.0［EB/ OL］．http://www．trustedcomputinggroup．org，2011．

［3］TrustZone API specification，PRD29－USGC－000089，v2.0，ARM［EB/OL］．http://www．a(chǎn)rm．com/zh/products/ processors/technologies/trustzone/index．php

［4］PRD 29－GENC－009492C_trustzone_ security_whitepaper［EB/OL］．http://www．doc88．com/p－461115844351．html

［5］Stefano Zammattio，Clive Davies．Partitioning a System for Safe and Non-safe Applications Using ARM’s TrustZone Technology［J］．Electronic Engineering ＆Pro-ductWorld，2013(9):5－8．

［6］ARM Security Technology Building a Secure System usingTrustZoneTechnology［EB/ OL］．http://infocenter．a(chǎn)rm．com/help/ topic/com．a(chǎn)rm．doc．prd29 － genc －009492c/PRD 29－GENC－009492C_ trustzone_security_whitepaper．pdf，2009．

［7］王熙友．ARMTrustZone安全隔離技術(shù)研究與應(yīng)用［D］．成都:電子科技大學(xué)，2010．

［8］GlobalPlatform Device Technology TEE Client API Specification Version 1.0［EB/OL］．http://www．trustedcomputinggroup．org，2010．

［9］范冠男，董攀．基于TrustZone的可信執(zhí)行環(huán)境構(gòu)建技術(shù)研究［J］．信息網(wǎng)絡(luò)安全，2016(3):21－27．

［10］ARMSecurity TechnologyBuildingaSecure Systemusing Trust Zone? Technology［EB/ OL］．http://infocenter．a(chǎn)rm．com/help/topic/com．a(chǎn)rm．doc．prd29 － genc －009492c/PRD29－ GENC －009492C_ trustzone_security_whitepaper．pdf，2009．

［11］GlobalPlatform Device Technology TEE Client API Specification Version 1.0［EB/OL］．http://www．trustedcomputinggroup．org，2010．

［12］張大偉，郭烜，韓臻．安全可信智能移動終端研究［J］．中興通訊技術(shù)，2015，21(5): 39－44．

Research on TrustZone-Based Security Scheme for TEE

Hao Xianlin Zeng Ping Hu R onglei
Beijing Electronic Science and Technology Institute，Beijing 100070，China

This paper firstly introduces the key technology TrustZone and TEE of the mobile terminal security，as well as analyzes the safety of the existing TEE schemes．Then in allusion to the problem of security weaknesses and the specific situations of different operators，this article puts forward the use of TrustZone TEE+Secure OS model to improve its security situations．Finally，the security analysis of the scheme shows that the proposed scheme can improve the security of mobile terminals．

Mobile terminals;Isolation;Trusted Execution Environment;Security

TN918.91

文章編號:1672－464X(2016)2－38－07

(責任編輯:鞠 磊)

北京市自然科學(xué)基金資助項目(項目編號:4163076);北京電子科技學(xué)院中央高?；究蒲袠I(yè)務(wù)費項目“Saas云中多租戶動態(tài)數(shù)據(jù)安全技術(shù)研究”資助(項目編號:328201502)。

＊＊ 作者簡介:郝先林(1991－)，女，北京電子科技學(xué)院在讀研究生，主要研究方向為電子與通信安全。