HTrustZone:借助Hypervisor强化TrustZone对非安全世界的监控能力

摘要

随着智能手机的高速发展,Android内核变得越来越复杂,可信计算基(TCB:Trust Computing Base)也越来越大.这使得Android内核会不可避免地存在一些已知的或未知的漏洞.通过Trust Zone来监控Android内核的运行是抵御内核级攻击,提高Android系统安全性的一种方法.ARM TrustZone技术已经在Android手机平台上得到了广泛的应用,它把Android手机的硬件资源划分为两个世界,非安全世界(Non-Secure World)和安全世界(Secure World).用户所使用的Android操作系统运行在非安全世界,而基于TrustZone对非安全世界监控的系统(例如,KNOX,Hypervision)运行在安全世界.这些监控系统拥有高权限,可以动态地检查Android系统的内核完整性,也可以代替Android内核来管理非安全世界的内存.但是由于TrustZone和被监控的Android系统分处于不同的世界,world gap(世界鸿沟)的存在导致处于安全世界的监控系统不能完全地监控非安全世界的资源(例如,Cache).TrustZone薄弱的拦截能力和内存访问控制能力也弱化了它对非安全世界的监控能力.首次提出一种可扩展框架系统HTrustZone,能结合Hypervisor来协助TrustZone抵御利用world gap的攻击,增强其拦截能力和内存访问控制能力,从而为非安全世界的操作系统提供更高的安全性保障.并在Raspberry Pi2开发板上实现了HTrustZone的原型系统,实验结果表明:HTrustZone的性能开销仅仅增加了3％左右.