趙毓鵬 苗晗 姜燕 李世慈 劉博洋 馬靖 宋雪瑩

摘?要：可信執(zhí)行環(huán)境是一種安全技術(shù)，將需要保護(hù)的重要數(shù)據(jù)存儲(chǔ)在可信執(zhí)行環(huán)境中，以免數(shù)據(jù)在不可信的環(huán)境下被竊取或篡改。本文基于國(guó)家電網(wǎng)移動(dòng)作業(yè)終端數(shù)據(jù)安全管理現(xiàn)狀，將可信執(zhí)行環(huán)境應(yīng)用于移動(dòng)作業(yè)終端數(shù)據(jù)安全領(lǐng)域，構(gòu)建了終端數(shù)據(jù)安全防護(hù)模型，提升了移動(dòng)作業(yè)終端數(shù)據(jù)存儲(chǔ)和計(jì)算時(shí)的安全性，繼而提升了移動(dòng)作業(yè)終端數(shù)據(jù)的安全性。

關(guān)鍵詞：數(shù)據(jù)安全；移動(dòng)作業(yè)終端；可信執(zhí)行環(huán)境

Abstract：Trusted?Execution?Environment?is?a?security?technology?that?stores?important?data?to?be?protected?in?a?trusted?execution?environment?to?prevent?data?from?being?stolen?or?tampered?with?in?an?untrusted?environment.Based?on?the?status?quo?of?data?security?management?of?mobile?terminals?in?the?National?Power?Grid，this?paper?applies?the?trusted?execution?environment?to?the?field?of?data?security?of?mobile?terminals，constructs?a?terminal?data?security?protection?model，improves?the?security?of?data?storage?and?calculation?of?mobile?terminals，and?then?improves?the?security?of?mobile?terminal?data.

Keywords：data?security；Mobile?operation?terminal；Trusted?Execution?Environment

一、概述

隨著經(jīng)濟(jì)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的進(jìn)步，網(wǎng)絡(luò)成為人們生活不可或缺的一部分。國(guó)家發(fā)布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》［1］，修訂了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》［2］（GB/T?22239—2019）。隨著數(shù)據(jù)成為新的生產(chǎn)要素，數(shù)據(jù)在流動(dòng)創(chuàng)造更大價(jià)值的同時(shí)，也帶來各種安全風(fēng)險(xiǎn)。國(guó)家發(fā)布實(shí)施了《數(shù)據(jù)安全法》，美國(guó)、歐盟等也深刻認(rèn)識(shí)到數(shù)據(jù)安全的重要性相繼出臺(tái)系列數(shù)據(jù)安全政策法規(guī)。

隨著電網(wǎng)的高速發(fā)展及基礎(chǔ)設(shè)施通信系統(tǒng)的迅速IP化，接入了大量的移動(dòng)作業(yè)終端（以下簡(jiǎn)稱為終端），產(chǎn)生的數(shù)據(jù)量更為龐大。終端設(shè)備品牌眾多、安全機(jī)制不統(tǒng)一，使用場(chǎng)景分散，而終端設(shè)備均能夠接入電網(wǎng)內(nèi)部系統(tǒng)，使電網(wǎng)信息安全面臨巨大挑戰(zhàn)。在數(shù)據(jù)安全方面隨之而來的是終端側(cè)存儲(chǔ)數(shù)據(jù)的安全問題以及終端和主站進(jìn)行數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)安全問題。

針對(duì)不斷涌現(xiàn)的數(shù)據(jù)安全新風(fēng)險(xiǎn)，國(guó)網(wǎng)公司提出構(gòu)筑數(shù)據(jù)安全防護(hù)屏障，國(guó)網(wǎng)互聯(lián)網(wǎng)部、法律部發(fā)布了相關(guān)數(shù)據(jù)安全文件，進(jìn)一步明確數(shù)據(jù)合規(guī)管理等保護(hù)要求，鼓勵(lì)加強(qiáng)數(shù)據(jù)安全技術(shù)研究應(yīng)用。

國(guó)網(wǎng)信息通信產(chǎn)業(yè)集團(tuán)有限公司在2021年8月24日提出電力數(shù)字空間概念；在2022年1月26日的2022年工作會(huì)議首次提出打造以電力數(shù)字空間為核心的技術(shù)體系，安全防護(hù)被列為電力數(shù)字空間的五部分之一，信息安全被列為電力數(shù)字空間技術(shù)架構(gòu)五大維度之一，對(duì)網(wǎng)絡(luò)安全和數(shù)據(jù)安全提出新要求；在2022年4月25日第二季度工作會(huì)部署加快打造思極電力數(shù)字空間。信息安全防護(hù)作為電力數(shù)字空間一部分，也將加快發(fā)展，在信息安全防護(hù)領(lǐng)域中，終端數(shù)據(jù)安全是非常重要的一環(huán)。

二、終端數(shù)據(jù)安全威脅和安全管理現(xiàn)狀

當(dāng)終端和系統(tǒng)平臺(tái)（部署在管理信息大區(qū)或者互聯(lián)網(wǎng)大區(qū)）進(jìn)行數(shù)據(jù)傳輸時(shí)，數(shù)據(jù)的完整性、保密性、可用性受到威脅，數(shù)據(jù)面臨被篡改、被竊取、被偽造的威脅，之后的數(shù)據(jù)分析和數(shù)據(jù)挖掘工作的意義將消失，現(xiàn)場(chǎng)數(shù)據(jù)也會(huì)被挖掘出有效信息導(dǎo)致企業(yè)秘密泄露。同時(shí)，如果終端被攻擊，也會(huì)導(dǎo)致信息內(nèi)網(wǎng)或者信息外網(wǎng)被攻擊，受到安全威脅。

當(dāng)數(shù)據(jù)在終端側(cè)存儲(chǔ)時(shí)，終端內(nèi)存儲(chǔ)數(shù)據(jù)的安全得不到保證。終端處于可被隨意攻擊、破解的白盒環(huán)境，攻擊者可以輕易對(duì)終端內(nèi)的應(yīng)用程序進(jìn)行各類攻擊，如逆向、破解、篡改、植入、調(diào)試、控制等，導(dǎo)致終端被惡意攻擊、遠(yuǎn)程控制；終端側(cè)可以隨意更改和刪除本地存儲(chǔ)的數(shù)據(jù)、視頻等信息；未經(jīng)安全審核或未經(jīng)同意更新軟件版本，存在植入木馬的風(fēng)險(xiǎn)。數(shù)據(jù)泄露等安全問題會(huì)給公司帶來負(fù)面的輿情干擾。

依據(jù)國(guó)家電網(wǎng)終端安全管控原則，在終端側(cè)部署桌面終端管控、防病毒軟件、統(tǒng)一漏洞管控等技防措施，重點(diǎn)加強(qiáng)終端安全準(zhǔn)入控制，覆蓋準(zhǔn)入申請(qǐng)、入網(wǎng)審批、入網(wǎng)實(shí)施、監(jiān)控審計(jì)及違規(guī)斷網(wǎng)等各個(gè)環(huán)節(jié)。并且通過相關(guān)終端準(zhǔn)入系統(tǒng)，實(shí)現(xiàn)對(duì)終端的入網(wǎng)發(fā)現(xiàn)、識(shí)別認(rèn)證、監(jiān)測(cè)處置等準(zhǔn)入全過程管控能力，防止終端違規(guī)接入、仿冒入侵、未授權(quán)訪問，同時(shí)依托公司安全接入網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)終端的安全準(zhǔn)入管控。

當(dāng)終端和系統(tǒng)平臺(tái)（部署在管理信息大區(qū)或者互聯(lián)網(wǎng)大區(qū)）進(jìn)行數(shù)據(jù)傳輸時(shí)，根據(jù)國(guó)家電網(wǎng)公司網(wǎng)絡(luò)安全有關(guān)規(guī)定，當(dāng)終端向信息內(nèi)網(wǎng)或者信息外網(wǎng)傳輸數(shù)據(jù)時(shí)，由終端內(nèi)部的加密卡實(shí)現(xiàn)終端側(cè)數(shù)據(jù)加/解密，數(shù)據(jù)傳輸?shù)叫畔?nèi)網(wǎng)或者信息外網(wǎng)的邊界時(shí)由安全接入網(wǎng)關(guān)進(jìn)行解/加密。

在終端側(cè)數(shù)據(jù)安全方面，在終端與信息內(nèi)網(wǎng)或者信息外網(wǎng)各個(gè)域的系統(tǒng)平臺(tái)進(jìn)行數(shù)據(jù)交互的前提下，如果終端受到攻擊，數(shù)據(jù)安全有威脅時(shí)，系統(tǒng)平臺(tái)配套的安全模塊會(huì)形成響應(yīng)的安全數(shù)據(jù)并報(bào)警，實(shí)現(xiàn)對(duì)終端的安全監(jiān)控、態(tài)勢(shì)感知等管理目的。但是，還應(yīng)該考慮以下幾方面從根源上遏制終端數(shù)據(jù)的泄露，加大重要數(shù)據(jù)的防護(hù)力度。

（1）不同應(yīng)用產(chǎn)生的數(shù)據(jù)的重要性不同，安全等級(jí)不同，需要的保護(hù)等級(jí)不同。對(duì)重要應(yīng)用產(chǎn)生的重要數(shù)據(jù)應(yīng)該在存儲(chǔ)和訪問時(shí)加大防護(hù)力度。

（2）終端內(nèi)部存儲(chǔ)和訪問重要數(shù)據(jù)的硬件，如內(nèi)存、外設(shè)等也應(yīng)該加大保護(hù)等級(jí)。

基于以上考慮，引入可信執(zhí)行環(huán)境技術(shù)來實(shí)現(xiàn)應(yīng)用層、硬件層等對(duì)數(shù)據(jù)的保護(hù)，加大終端數(shù)據(jù)安全的防護(hù)力度。

三、可信執(zhí)行環(huán)境

可信執(zhí)行環(huán)境［3］（Trusted?Execution?Environment，以下簡(jiǎn)稱為TEE）是一種安全技術(shù)，由標(biāo)準(zhǔn)化組織GlobalPlatform開發(fā)。TEE與普通的操作系統(tǒng)（Rich?Execution?Environment，以下簡(jiǎn)稱為REE）一同運(yùn)行。TEE用于執(zhí)行重要應(yīng)用產(chǎn)生的重要數(shù)據(jù)以免在不可信的環(huán)境下被竊取或篡改，REE則用于執(zhí)行其他數(shù)據(jù)。TEE具有其自身的執(zhí)行空間，其安全水平高于REE［4］。

TEE通過三層架構(gòu)實(shí)現(xiàn)安全。三層架構(gòu)包括：（1）可信應(yīng)用軟件層（Trusted?Application，以下簡(jiǎn)稱為TA），應(yīng)用軟件是需要被保護(hù)的應(yīng)用軟件；（2）可信操作系統(tǒng)層，對(duì)上層應(yīng)用軟件TA提供支持；（3）硬件層，提供硬件支撐。TEE和REE對(duì)應(yīng)的硬件間互相隔離，不能隨意互相訪問，共同組成終端所有的硬件。

每一個(gè)TA之間的互相訪問需要授權(quán)，并相互獨(dú)立運(yùn)行。REE通常是安卓或iOS等移動(dòng)終端操作系統(tǒng)的運(yùn)行環(huán)境，包含客戶端應(yīng)用（Client?Application，以下簡(jiǎn)稱CA）、TEE功能應(yīng)用程序編程接口（Application?Programming?Interface，以下簡(jiǎn)稱API）、TEE客戶端API及多媒體操作系統(tǒng)部件等模塊。TEE客戶端API提供運(yùn)行于REE環(huán)境的CA訪問TEE環(huán)境中的TA及與TA進(jìn)行數(shù)據(jù)交換的底層通信接口［5］。

相對(duì)于開放環(huán)境的REE，TEE提供了一個(gè)較安全的封閉的執(zhí)行環(huán)境，TEE主要由TA、TEE內(nèi)部API、可信操作系統(tǒng)部件和可信內(nèi)核等組成。TA運(yùn)行于TEE環(huán)境，向它的用戶提供安全服務(wù)，TA與TA之間通過TEE內(nèi)部API進(jìn)行通信，在這種情況下，一個(gè)TA可作為另一個(gè)TA的客戶端［6］。TEE內(nèi)部API是TEE提供給TA的編程接口，通過系統(tǒng)調(diào)用實(shí)現(xiàn)，調(diào)用SVC同步異常指令。該API在globalplatform中有具體規(guī)定。

TEE所能訪問的軟硬件資源是與REE分離的。在硬件層面，TEE的內(nèi)存、CPU、外設(shè)I/O等與REE完全隔離，REE無法訪問TEE硬件資源。

四、基于可信執(zhí)行環(huán)境的移動(dòng)作業(yè)終端數(shù)據(jù)安全防護(hù)模型

終端面臨的數(shù)據(jù)安全問題包括數(shù)據(jù)的丟失、篡改、竊取等造成數(shù)據(jù)的完整性、可用性、保密性受到損害。為了防范這些風(fēng)險(xiǎn)，根據(jù)網(wǎng)絡(luò)安全技術(shù)理論和國(guó)家電網(wǎng)公司移動(dòng)作業(yè)終端安全現(xiàn)狀，本文提出一種基于可信執(zhí)行環(huán)境的移動(dòng)作業(yè)終端數(shù)據(jù)安全防護(hù)模型，確保終端更安全、更可靠。

（一）基于可信執(zhí)行環(huán)境的移動(dòng)作業(yè)終端數(shù)據(jù)安全模型

終端的數(shù)據(jù)需要在兩方面進(jìn)行防護(hù)，一方面是終端和系統(tǒng)平臺(tái)（部署在管理信息大區(qū)或者互聯(lián)網(wǎng)大區(qū)）進(jìn)行數(shù)據(jù)傳輸時(shí)；一方面是在終端內(nèi)部存儲(chǔ)時(shí)。基于此，移動(dòng)作業(yè)終端數(shù)據(jù)安全模型需要包含在終端內(nèi)部的TEE環(huán)境和終端與系統(tǒng)平臺(tái)傳輸?shù)耐贰?/p>

基于可信執(zhí)行環(huán)境的移動(dòng)作業(yè)終端數(shù)據(jù)安全模型包括三層和一個(gè)通路，如圖1。三層分別是：（1）硬件層，用于提供所需的硬件資源，硬件層的隔離為TEE提供硬件支持；（2）操作系統(tǒng)層，REE和TEE環(huán)境互相隔離，通過通信代理通信。它們中的應(yīng)用軟件也不同，將重要程度更高并且產(chǎn)生的數(shù)據(jù)更加重要的應(yīng)用軟件（TA）放到TEE中；（3）系統(tǒng)層，終端數(shù)據(jù)傳輸?shù)降膰?guó)家電網(wǎng)管理信息大區(qū)或者互聯(lián)網(wǎng)大區(qū)的域中的系統(tǒng)平臺(tái)（具體是管理信息大區(qū)還是互聯(lián)網(wǎng)大區(qū)，要看系統(tǒng)平臺(tái)部署在哪個(gè)區(qū)），用于接收終端傳輸?shù)降臄?shù)據(jù)和對(duì)終端發(fā)出指令。一個(gè)通路是：終端與系統(tǒng)平臺(tái)層傳輸數(shù)據(jù)通路。

（二）硬件層

數(shù)據(jù)在存儲(chǔ)時(shí)的安全由內(nèi)存隔離機(jī)制保障，在硬件層實(shí)現(xiàn)。在硬件層，實(shí)現(xiàn)TEE需要將設(shè)備的硬件和軟件資源全部劃分成安全區(qū)域和非安全區(qū)域［78］，兩個(gè)區(qū)域具有獨(dú)立的硬件資源，包括寄存器、物理內(nèi)存和外設(shè)，不能隨意進(jìn)行數(shù)據(jù)交換。安全區(qū)域中的代碼和資源受到嚴(yán)格的訪問控制策略保護(hù)，非安全區(qū)域的進(jìn)程禁止訪問安全區(qū)域，以保證存儲(chǔ)在安全區(qū)域的資源不被非法訪問或竊??；安全區(qū)域用于實(shí)現(xiàn)TEE，運(yùn)行安全操作系統(tǒng)、存儲(chǔ)密鑰及執(zhí)行安全敏感的任務(wù)，保證了TEE平臺(tái)的封閉性，能夠有效減少系統(tǒng)漏洞的披露、外界的攻擊和病毒的入侵。在可信環(huán)境下，執(zhí)行核心操作部分的代碼，在不可信環(huán)境下執(zhí)行內(nèi)核部分代碼。內(nèi)核無法訪問可信環(huán)境下的全部資源，只有通過特定的可信應(yīng)用程序才可以訪問相應(yīng)部分的資源。內(nèi)存隔離機(jī)制是TEE的關(guān)鍵機(jī)制之一，用于對(duì)TEE安全內(nèi)存和REE非安全內(nèi)存進(jìn)行隔離，并對(duì)TEE安全內(nèi)存實(shí)施訪問控制，如果其安全性不能保證，可能造成存儲(chǔ)在TEE安全內(nèi)存中的敏感數(shù)據(jù)泄露［9］。在硬件層，通過加大TEE安全內(nèi)存的訪問權(quán)限等級(jí)，增加TEE安全內(nèi)存中數(shù)據(jù)的安全性，保證TEE安全內(nèi)存中數(shù)據(jù)只能被TEE訪問。

（三）操作系統(tǒng)層

在啟動(dòng)TEE時(shí)，需要判斷TEE的完整性。終端加電后，加載ROM中的安全引導(dǎo)程序，并驗(yàn)證根密鑰。安全引導(dǎo)程序開始初始化并啟動(dòng)TEE，并逐級(jí)檢查各個(gè)階段關(guān)鍵代碼以確定TEE的完整性。TEE啟動(dòng)后，運(yùn)行REE中的引導(dǎo)程序并啟動(dòng)REE?；诖诉^程，完成了移動(dòng)終端整個(gè)系統(tǒng)的安全啟動(dòng)，能夠有效抵御TEE啟動(dòng)過程中的惡意行為。

終端用戶的密鑰和證書等敏感信息、重要應(yīng)用產(chǎn)生的重要數(shù)據(jù)等需要高度保護(hù)，TEE將終端密鑰和證書等敏感信息、重要應(yīng)用產(chǎn)生的重要數(shù)據(jù)等存儲(chǔ)在安全區(qū)域中，這些敏感和關(guān)鍵信息只能由TEE授權(quán)的可信應(yīng)用訪問或修改，REE不能訪問或修改。TEE為這些敏感和關(guān)鍵信息的操作提供了加密和完整性保護(hù)機(jī)制，并且TEE中存儲(chǔ)的密鑰可以對(duì)REE下的敏感和關(guān)鍵信息進(jìn)行加密，保證存儲(chǔ)在REE下敏感和關(guān)鍵信息的安全性。

在圖1中，TEE?Client?API是REE中的TEE驅(qū)動(dòng)程序提供給外部的接口，可以使運(yùn)行在REE中的CA能夠與運(yùn)行在TEE中的TA交換數(shù)據(jù)；TEE內(nèi)部API是TEE提供給TA的編程接口，REE與TEE間的信息交互是通過通信代理信息交互來實(shí)現(xiàn)的。當(dāng)系統(tǒng)層需要獲取數(shù)據(jù)時(shí)，從REE中獲取，通過這個(gè)過程提高TEE中敏感數(shù)據(jù)的安全性。

（四）終端與系統(tǒng)平臺(tái)層傳輸數(shù)據(jù)通路

當(dāng)終端與系統(tǒng)平臺(tái)層傳輸數(shù)據(jù)時(shí)，分為以下兩種情況。第一種情況，當(dāng)存儲(chǔ)在TEE中的數(shù)據(jù)傳輸?shù)较到y(tǒng)平臺(tái)層時(shí)，數(shù)據(jù)首先需要通過通信代理從TEE傳輸?shù)絉EE中，再通過安全加密卡加密配合安全接入網(wǎng)關(guān)解密的方式傳輸?shù)较到y(tǒng)平臺(tái)層。第二種情況，當(dāng)存儲(chǔ)在REE中的數(shù)據(jù)傳輸?shù)较到y(tǒng)平臺(tái)層時(shí)，數(shù)據(jù)可以直接通過安全加密卡加密配合安全接入網(wǎng)關(guān)解密的方式傳輸?shù)较到y(tǒng)平臺(tái)層。

通過安全接入網(wǎng)關(guān)和安全加密卡的加解密過程，保證終端與系統(tǒng)平臺(tái)層傳輸數(shù)據(jù)的安全性。

（五）系統(tǒng)平臺(tái)層

系統(tǒng)平臺(tái)部署在管理信息大區(qū)或者互聯(lián)網(wǎng)大區(qū)的域中，具體的區(qū)和域按照系統(tǒng)建設(shè)時(shí)的規(guī)劃和系統(tǒng)平臺(tái)的安全需求等級(jí)來確定。不同的終端類型對(duì)應(yīng)不同的系統(tǒng)平臺(tái)。不論是在管理信息大區(qū)還是互聯(lián)網(wǎng)大區(qū)，在接入的時(shí)候都需要通過安全接入網(wǎng)關(guān)。

結(jié)語

可信執(zhí)行環(huán)境是一種安全技術(shù)，將需要保護(hù)的重要數(shù)據(jù)在可信執(zhí)行環(huán)境中存儲(chǔ)、計(jì)算等，可避免數(shù)據(jù)在不可信的環(huán)境下被竊取或篡改。本文基于國(guó)家電網(wǎng)移動(dòng)作業(yè)終端數(shù)據(jù)安全管理現(xiàn)狀，將可信執(zhí)行環(huán)境技術(shù)應(yīng)用于移動(dòng)作業(yè)終端數(shù)據(jù)安全領(lǐng)域，構(gòu)建了終端數(shù)據(jù)安全防護(hù)模型，提升了移動(dòng)作業(yè)終端數(shù)據(jù)存儲(chǔ)和計(jì)算時(shí)的安全性，繼而提升了移動(dòng)作業(yè)終端數(shù)據(jù)的安全性。

參考文獻(xiàn)：

［1］中華人民共和國(guó)網(wǎng)絡(luò)安全法［EB/OL］.［20190810］.

［2］國(guó)家市場(chǎng)監(jiān)督管理總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：GB/T?22239—2019［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

［3］全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC?260）.“信息安全技術(shù)?可信執(zhí)行環(huán)境?基本安全規(guī)范.”GB/T?413882022.20220415.

［4］國(guó)煒，王宗岳，焦四輩，等.移動(dòng)終端安全隔離技術(shù)分析［J］.移動(dòng)通信，2016，40（21）：1116.

［5］楊穗珊.基于可信執(zhí)行環(huán)境的安全手機(jī)架構(gòu)研究［J］.移動(dòng)通信，2016，40（21）：3438+44.

［6］GlobalPlatform?Device?Technology.TEE?internal?API?specification?version?1.0.Technical?Report?GPD_?SPE_010，globalplatform.org［R］.2011：16.

［7］蔣航，董衛(wèi)宇，任璐，等.ARMv7架構(gòu)下可信執(zhí)行環(huán)境敏感數(shù)據(jù)保護(hù)實(shí)現(xiàn)方法［J］.信息工程大學(xué)學(xué)報(bào)，2018，19（06）：755761.

［8］劉志娟，高雋，丁啟楓，等.移動(dòng)終端TEE技術(shù)進(jìn)展研究［J］.信息網(wǎng)絡(luò)安全，2018（2）：8491.

［9］靳翠珍，張倩穎，馬雨薇，等.基于精化的可信執(zhí)行環(huán)境內(nèi)存隔離機(jī)制驗(yàn)證［J］.軟件學(xué)報(bào)，2022，33（6）：21892207.

作者簡(jiǎn)介：趙毓鵬（1982—?），男，漢族，山東日照人，碩士研究生，中級(jí)工程師，研究方向：電力系統(tǒng)網(wǎng)絡(luò)安全。