ARM系統(tǒng)與軟件部門安全領(lǐng)域營銷總監(jiān) Rob Coombs

ARM TrustZone 的可信執(zhí)行環(huán)境和線上快速身份驗證確保鑒權(quán)安全無虞

ARM系統(tǒng)與軟件部門安全領(lǐng)域營銷總監(jiān) Rob Coombs

引 言

智能互聯(lián)的移動設(shè)備越來越廣泛地應(yīng)用于商務(wù)、金融和娛樂行業(yè)?；谶h程互聯(lián)網(wǎng)服務(wù)器的用戶鑒權(quán)是許多應(yīng)用程序或云服務(wù)的第一個環(huán)節(jié)，傳統(tǒng)的用戶名與密碼身份鑒權(quán)方式的效果不太理想，一方面消費者難以記住復(fù)雜的密碼，另一方面服務(wù)提供商(通常稱為“依賴方”)可能需要考慮密碼泄露風(fēng)險。為了應(yīng)對這些狀況并且解決其他密碼相關(guān)問題，線上快速身份驗證(Fast Identity Online，F(xiàn)IDO)聯(lián)盟制定了全新的協(xié)議，在用戶、設(shè)備和依賴方之間實現(xiàn)簡單而安全性強大的鑒權(quán)機制。在移動設(shè)備上，F(xiàn)IDO可以利用生物特征鑒權(quán)，通過掃描指紋或者虹膜來啟用服務(wù)。如此一來，不僅可以大幅改善用戶體驗，讓消費者進行交易時更順暢無礙，而且這一項技術(shù)很有可能被設(shè)備制造商快速采用。

為了幫助 FIDO 抵御惡意攻擊，加密密鑰、敏感進程和鑒權(quán)數(shù)據(jù)采集等資源需要被保護，同時還需維持系統(tǒng)的完整性。本文將介紹 ARM TrustZone 技術(shù)如何提供 GlobalPlatform 可信執(zhí)行環(huán)境(Trusted Execution Environment，TEE)所需的硬件隔離，以及為何這一安全層可以適用于保護基于 FIDO 的鑒權(quán)。

TrustZone簡介

2014年，ARM 的芯片合作伙伴交付了 20 多億片基于 ARM Cortex-A 處理器的應(yīng)用芯片，應(yīng)用于手機、平板電腦、數(shù)字電視以及其他智能互聯(lián)設(shè)備。這些設(shè)備越來越多地用于訪問云服務(wù)，以及一些高價值應(yīng)用(如支付和企業(yè)/政府信息處理等)。為了防止系統(tǒng)資源受到攻擊， ARM 平臺組合使用了多種技術(shù)：Cortex 核心hypervisor模式、基于 TrustZone 的 TEE、防篡改安全處理器，或者通過 ARM SecurCore處理器 IP 進行保護的安全要件。這種多層面或區(qū)域化的方法提升了整體系統(tǒng)的安全性，并且可以提供超越操作系統(tǒng)并拓展至移動設(shè)備內(nèi)各種不同資源的適當(dāng)保護級別。

基于TrustZone的TEE旨在以更低的成本向市場提供增強的安全性，抵御軟件攻擊和常見硬件攻擊(shack攻擊)，其架構(gòu)在通用環(huán)境(操作系統(tǒng)和應(yīng)用程序)和隱蔽的安全環(huán)境之間提供隔離。需要指出的是， 在安全環(huán)境里能夠?qū)崿F(xiàn)諸如加密、密鑰管理和完整性檢查等敏感操作。它已成為設(shè)備制造商的重要硬件安全層，這些制造商在過去十年一直對此進行開發(fā)和標(biāo)準(zhǔn)化，以保護寶貴的系統(tǒng)資源。TEE由 GlobalPlatform進行了標(biāo)準(zhǔn)化，創(chuàng)建了合規(guī)與認(rèn)證計劃，這樣獨立測試實驗室可以檢查各種平臺能否抵御防護配置文件中識別的威脅。GlobalPlatform已發(fā)布關(guān)于TEE的白皮書，內(nèi)容為 FIDO 用例和 ARM TrustZone 技術(shù)的信息。

FIDO聯(lián)盟的標(biāo)準(zhǔn)化工作促進了安全認(rèn)證向利用生物特征鑒權(quán)的無密碼登錄轉(zhuǎn)移。通用鑒權(quán)框架(Universal Authentication Framework,UAF)等FIDO協(xié)議實現(xiàn)了利用多種鑒權(quán)機制進行本地用戶驗證，如指紋傳感器、虹膜掃描器或取代傳統(tǒng)用戶名與密碼的PIN輸入。

人們常說，安全性像是一條鏈子，其中每道環(huán)節(jié)都與安全息息相關(guān)。借助這一個比喻，第一個重要的環(huán)節(jié)就是安全硬件，它可通過TrustZone技術(shù)把通用的執(zhí)行環(huán)境隔離，創(chuàng)建可信啟動(trusted boot)的環(huán)境?？尚艈釉趩油ㄓ铆h(huán)境操作系統(tǒng)之前初始化可信操作系統(tǒng)及TEE，建立了TEE之后，可以配置 FIDO 可信應(yīng)用，負(fù)責(zé)管理密鑰資料、密碼和其他敏感操作。

本文探討了基于 TrustZone的TEE 架構(gòu)可以完美滿足 FIDO 安全性要求的原因及其所扮演的角色，在集成身份鑒權(quán)模塊的智能設(shè)備中，它實際上是一種基準(zhǔn)安全技術(shù)。

FIDO UAF無密碼體驗

使用具備 FIDO 功能的智能設(shè)備的消費者可以在其喜愛的在線購物網(wǎng)站或銀行注冊一次。在注冊過程中，設(shè)備會創(chuàng)建特定于用戶、用戶的設(shè)備以及依賴方所形成的組合的公鑰和私鑰。消費者以后訪問該在線商店時將變得非常輕松，因為只要快速輕掃手指或輸入簡單易記的 PIN 碼 (見圖 1) 即可取代常規(guī)的用戶名/密碼方式的鑒權(quán)步驟及購買確認(rèn)過程。FIDO 協(xié)議不會共享一般用戶信息，因為其實施過程不會泄露用戶私人信息。由于依賴方僅保管公鑰，所以如果網(wǎng)站服務(wù)器受到攻擊(當(dāng)前業(yè)內(nèi)的一大難題)，黑客們也無法直接利用它來盜取帳戶信息。

圖1 簡單FIDO用戶體驗

FIDO和 FIDO 聯(lián)盟概述

FIDO聯(lián)盟由 180 多個成員組成，涵蓋了從大型芯片合作伙伴(如高通)、設(shè)備制造商(如三星和聯(lián)想)、操作系統(tǒng)公司(如微軟和谷歌)、FIDO 服務(wù)器提供商(如 NokNok Labs)到依賴方(如美國銀行和 PayPal)的整個價值鏈。它制定了技術(shù)規(guī)范和認(rèn)證流程，以便實現(xiàn)更簡單、更強大鑒權(quán)的使命。FIDO 協(xié)議設(shè)計的動力在于，人們渴望增強鑒權(quán)器的易用性、內(nèi)在保密性、設(shè)計安全性，并且推動其實現(xiàn)標(biāo)準(zhǔn)化，讓依賴方能夠使用任何符合 FIDO 規(guī)范的鑒權(quán)器。最終版 FIDO 1.0 規(guī)范已經(jīng)公布在網(wǎng)上，它包含兩種備選的用戶體驗：通用鑒權(quán)框架為智能手機等內(nèi)置鑒權(quán)的設(shè)備提供無密碼體驗；通用第二要素(Universal 2nd Factor，U2F)則適用于軟件保護器，防止傳統(tǒng)的用戶名/密碼遭受釣魚式攻擊。相關(guān)工作正在進行之中，以實現(xiàn) FIDO 2.0 統(tǒng)一標(biāo)準(zhǔn)。

雖然依賴方使用用戶名和密碼作為安全防護已有幾年，但無法滿足消費者和企業(yè)用戶需要，因為密碼存在許多問題。消費者偏向于選擇安全防御較弱的密碼或在多個網(wǎng)站間重復(fù)使用同一組密碼，這樣黑客盜取帳戶的幾率大幅提升。如果消費者被強制選擇復(fù)雜的密碼，他們可能會因為忘記密碼而放棄交易。更為糟糕的是，密碼容易通過垃圾郵件騙取，造成大規(guī)模金融詐騙事故，根據(jù)卡巴斯基公司估計，2014年網(wǎng)絡(luò)釣魚犯罪集團從多家銀行竊取的金額高達十億美元。企業(yè)有時候要求使用一次性密碼(One Time Password，OTP)令牌等第二要素，它通常提供一個與用戶名/密碼一起使用的代碼。這些令牌通常具有專有性質(zhì)，使得消費者的口袋和抽屜里充斥著各種硬件：或許有一個 OTP 令牌要用于銀行，另一個用于辦公郵件，其他令牌則用于別的服務(wù)提供商。使用傳統(tǒng)鑒權(quán)的依賴方還存在另一個問題，他們需要保管每一位客戶的私鑰。這些存有憑據(jù)的海量數(shù)據(jù)庫成為黑客的最愛，他們只需一次精心設(shè)計的攻擊，便能竊取數(shù)百萬消費者的個人憑據(jù)，這樣會給大品牌公司帶來聲譽風(fēng)險，公司可能不得不承認(rèn)存在安全漏洞，并要求其客戶盡快重設(shè)密碼。

FIDO緩解了與傳統(tǒng)用戶名和密碼相關(guān)的問題，同時又為消費者帶來更加愉悅的體驗。例如，在Samsung Galaxy S5上，用戶可以通過指紋驗證登錄網(wǎng)站或購物付款。如此簡便的用戶體驗是通過 FIDO UAF協(xié)議所實現(xiàn)的，用戶名/密碼替換成指紋傳感器等內(nèi)置鑒權(quán)器，可解鎖設(shè)備上存儲的私鑰，用于和遠程服務(wù)器(保管著公鑰)進行加密質(zhì)詢。依賴方也可以獲取元數(shù)據(jù)以提供一些基本信息，如鑒權(quán)器的類型、所用的密鑰保護機制，以及設(shè)備型號，可用于后端風(fēng)險分析。但是，不會與在線服務(wù)器交換生物特征數(shù)據(jù)、PIN 信息或私鑰。FIDO 協(xié)議的這種“設(shè)計隱私性”為消費者提供了另一層保護，降低了因為商店服務(wù)器的安全漏洞而遭受困擾的可能性。加密質(zhì)詢基于完善的公鑰加密法原則，其在設(shè)備上為每一用戶/設(shè)備/依賴方組合生成一組公鑰/密鑰。

FIDO安全性要求可以歸納為：①確保設(shè)備的完整性；②保護密鑰資料的機密性，使其免遭未經(jīng)授權(quán)的訪問；③維護敏感流程的機密性和完整性。

威脅概況

設(shè)備上的攻擊有許多形式，包括惡意軟件、社交工程、設(shè)備失竊、實物遺失，以及因使用不當(dāng)或用戶在其設(shè)備上越獄造成的設(shè)備安全問題。

攻擊可以通過許多不同的方式進行，惡意軟件也能借助傳統(tǒng)的途徑安裝，如流氓軟件商店、社交工程、木馬或瀏覽器等其他攻擊途徑。惡意軟件存在于設(shè)備上時，可能突破其沙盒或進程權(quán)限，設(shè)備上保存或輸入的任何數(shù)據(jù)便會遭到泄露。

此外，如果攻擊者可以訪問到實體設(shè)備，也有可能進行進一步的攻擊。如果攻擊者可以訪問設(shè)備的文件系統(tǒng)，他們就可能盜取數(shù)據(jù)。如果數(shù)據(jù)已加密，攻擊者可能會將數(shù)據(jù)從設(shè)備中拷出，并對加密數(shù)據(jù)進行脫機攻擊。雖然軟件攻擊通常是主要的威脅，但是如果攻擊者獲得了手機，開啟設(shè)備和探查主板等硬件攻擊也有可能發(fā)生。

傳統(tǒng)的安全架構(gòu)設(shè)計依賴于兩個基本概念：最少特權(quán)原則和系統(tǒng)分區(qū)為受保護區(qū)域。例如，基于 TrustZone 的TEE 通常設(shè)計為即使通用環(huán)境已被攻破，也能保持其隔離性。惡意攻擊者可能會占領(lǐng)通用環(huán)境，窺探與TEE的通信，但可信環(huán)境將維持其完整性和機密性。

TrustZone和可信執(zhí)行環(huán)境

GlobalPlatform 對 TEE 進行了標(biāo)準(zhǔn)化 (見圖 2)，制定了規(guī)范、合規(guī)流程和認(rèn)證方案。他們編寫了白皮書，深入探討 TEE如何為支付、內(nèi)容保護和雙重角色設(shè)備等提供機密性和完整性。為簡潔起見，此處僅提供簡短的說明。TEE 通過完整性和機密性的安全保障保護敏感代碼和數(shù)據(jù)的安全區(qū)域，例如，惡意應(yīng)用程序無法讀取設(shè)備上存儲的私鑰。TEE 設(shè)計為可以抵御可擴展軟件的攻擊，當(dāng)有人盜取了您的設(shè)備時，它也能抵御常見的硬件攻擊(有時稱為“shack 攻擊”)。

基于 TrustZone 的 TEE提供一個“安全環(huán)境”，其安全邊界足夠小，能夠為認(rèn)證和可證實安全性提供路徑，它通常用于保護加密密鑰、憑據(jù)和其他安全資源。TrustZone 提供了hypervisor不具備的諸多系統(tǒng)安全功能：支持安全調(diào)試、提供安全總線事務(wù)、讓安全中斷直接進入可信環(huán)境(用于可信輸入)。目前，存在這樣一種觀點，即要限制可信環(huán)境中安全功能的數(shù)量，從而限制攻擊層面，使認(rèn)證付諸實踐。

TrustZone 安全擴展通過為處理器提供額外“安全狀態(tài)”，允許安全應(yīng)用程序代碼和數(shù)據(jù)與一般操作隔離而發(fā)揮作用。這種分區(qū)形成了一種受保護執(zhí)行環(huán)境，可信的代碼可以在其中運行，并可訪問內(nèi)存或外設(shè)等安全硬件資源。通常，可信環(huán)境與其自有的專用安全操作系統(tǒng)及可信啟動流程配合，形成能與傳統(tǒng)操作系統(tǒng)(如 Linux 或 Android)協(xié)同工作的 TEE，從而提供安全服務(wù)。

安全性的可靠與否，取決于信任鏈中最薄弱的環(huán)節(jié)。信任鏈的起點為信任根(ROT)，它通常部署在硬件之中以防止遭到修改。將設(shè)備重置到安全環(huán)境，通過只讀取內(nèi)存的形式，從不可變硬件進行啟動，并且訪問可信的硬件資源(如硬件唯一密鑰、隨機數(shù)字生成器、計數(shù)器、計時器和可信內(nèi)存等)，是確保移動設(shè)備完整性的開始。設(shè)計周全、經(jīng)驗證的可信啟動流程是確保設(shè)備完整性的基礎(chǔ)?？尚挪僮飨到y(tǒng)會作為可信啟動流程的一部分先行啟動，然后引導(dǎo)通用環(huán)境的操作系統(tǒng)。

圖 2 TrustZone可以為TEE提供硬件分區(qū)并訪問安全資源

基于TrustZone的TEE 在FIDO實施中的具體角色

基于 TrustZone的經(jīng)驗證的可信啟動流程和硬件 ROT 是確保設(shè)備完整性的基礎(chǔ)?？尚挪僮飨到y(tǒng)可以為 FIDO 協(xié)議提供可信服務(wù)，例如，用于在硬件保護執(zhí)行環(huán)境中處理加密和用戶匹配算法。在典型的實施中，幾乎所有的 FIDO 堆棧都將駐留在通用環(huán)境中，只有少量的安全敏感功能移入 TEE 中。移到 TEE 中的代碼稱為“可信應(yīng)用程序”，因為它能夠從機密性和完整性的安全保障中獲益，此分區(qū)構(gòu)建了抵御可擴展攻擊的防護墻。TEE的一大用例是提供安全密鑰存儲，由于應(yīng)用處理器上極少能找到非易失性內(nèi)存，F(xiàn)IDO 密鑰通過燒入芯片的硬件唯一密鑰實現(xiàn)在TEE之中加密。這一加密并封裝的密鑰存儲于在兩次啟動之間提供存儲功能的外部存儲器內(nèi)，密鑰只能在TEE中解密和使用，無法被通用環(huán)境訪問。

FIDO可信應(yīng)用包含用于生物特征模板存儲和比對的功能，可通過與存儲加密密鑰相似的方式進行處理，即：在 TEE 中加密和封裝，并存儲在外部非易失性存儲器中。

基于TrustZone安全技術(shù)的TEE提供了符合 FIDO 安全要求的解決方案：

①確保設(shè)備的完整性：通過使用硬件信任根和 TrustZone 隔離的經(jīng)驗證的可信啟動流程來實現(xiàn)。

②保護密鑰資料的機密性，使其免遭未經(jīng)授權(quán)的訪問：TrustZone 架構(gòu)擴展提供系統(tǒng)層面的硬件隔離，形成小而安全的可認(rèn)證 TEE 來處理密鑰資料，F(xiàn)IDO 密鑰本身可以通過強加密法和融合硬件唯一密鑰進行加密。

③維護敏感流程的機密性和完整性：TEE提供完整性和機密性的安全保障，通常而言，F(xiàn)IDO 流程的細(xì)小部分以靜態(tài)方式分區(qū)到可信世界中，并作為可信應(yīng)用程序運行。

④維護敏感輸入數(shù)據(jù)的機密性：TrustZone 使來自輸入設(shè)備(如鑒權(quán)器)的中斷直接進入到可信世界中，由可信設(shè)備驅(qū)動程序?qū)λ鼈冞M行處理，例如，TEE可以處理 PIN 采集期間來自觸摸屏的觸摸事件或來自指紋傳感器的中斷，并將它與通用環(huán)境中的惡意軟件區(qū)隔離，讓后者無法對其攔截訪問，當(dāng) PIN 采集或其他輸入完成時，中斷可以切回到通用環(huán)境。

⑤保護敏感顯示數(shù)據(jù)：TrustZone 可用于保護可信環(huán)境的幀緩沖區(qū)及其內(nèi)容，實現(xiàn)“所見即所簽/購”功能，因為該幀緩沖區(qū)無法被攔截、修改或遮蔽。

未來增強功能

GlobalPlatform 為 TEE 創(chuàng)建了保護配置文件，用作安全認(rèn)證流程的基礎(chǔ)。多家測試實驗室正制定流程來測試各種平臺并且評估它們所含 TEE 的效用。獨立測試可以保障設(shè)備制造商解決方案的質(zhì)量，或許會讓整個價值鏈?zhǔn)芤?。相關(guān)安全認(rèn)證有望在 2015 年年底推出。

基于 ARM 技術(shù)的現(xiàn)代芯片越來越多地使用 TrustZone 技術(shù)。例如，使用 TUI 來保護觸摸屏輸入和受保護幀緩沖區(qū)的顯示(見圖 3)，可以讓外設(shè)在通用環(huán)境和安全環(huán)境之間切換，觸摸屏和顯示就是這一特性發(fā)揮效用的例子。在 PIN 采集模式中，TEE 可以獲得對觸摸屏的獨占可信訪問，PIN 采集結(jié)束后再返回到通用環(huán)境。顯示處理器可以擔(dān)當(dāng)各種圖形層的合成者，顯示來自安全環(huán)境的可信數(shù)據(jù)，從而確?！八娂此?簽”?？尚棚@示數(shù)據(jù)可以在TrustZone保護的幀緩沖區(qū)中生成，合成為可以防止覆蓋的安全層。 GlobalPlatform 的標(biāo)準(zhǔn)化工作完成后，對 TUI 的采用有望增加。

圖3 基于TrustZone的TEE，以及FIDO可信應(yīng)用、

除了基于 TrustZone 的 TEE 外，現(xiàn)代移動設(shè)備包含價值鏈中不同部分擁有的眾多安全要素。SIM 卡可能歸運營商所有，OEM 可能有自己的 SE(Secure Element)，而操作系統(tǒng)可能要求訪問 SE 來保管密鑰或執(zhí)行系統(tǒng)完整性檢查。

由于安全要素?zé)o法訪問輸入法或進行顯示，因此在安全要素和TEE之間建立安全通信非常有益，GlobalPlatform 正在進行安全要素和TEE 間通信的標(biāo)準(zhǔn)化工作。

結(jié) 語

基于TrustZone的TEE 能以較低的成本為FIDO實施提供有效的系統(tǒng)安全性。設(shè)計周全的TEE可為基于FIDO的實現(xiàn)提供適當(dāng)?shù)陌踩Ｗo級別，是在它所取代的用戶名/密碼方法基礎(chǔ)上取得的一大進步。

未來，還可作出進一步的改善，設(shè)備制造商和芯片合作伙伴可以選擇讓其TEE安全性獲得獨立測試實驗室的認(rèn)證。未來可期待TrustZone安全技術(shù)延伸到觸摸屏輸入(用于保護PIN輸入)和顯示輸出，實現(xiàn)“所見即所簽/購”功能。

基于FIDO的校驗可幫助消費者超越密碼限制，因此已得到大規(guī)模部署，并將成為行業(yè)成功案例?；赥rustZone的TEE證明，安全性架構(gòu)良好時能為消費者帶來更愉悅的用戶體驗。

士然

2015-07-24)