移动设备安全系统的研究与设计

摘要

如今电子设备已经越来越日常化，随着移动设备技术的快速发展及普及，当中也就会出现许多不怀好意的人，想尽办法尝试各种安全攻击，妄图从中谋取利益。
　　为了满足用户的各种丰富的应用功能需求,现在的大部分移动设备系统都是开源的，不再是针对某一功能的封闭的单一的系统了。但这样的系统就会存在很大的安全隐患，一旦某个应用获得了手机的root权限，这个应用就相当于控制了手机可以做任何事，比如随意的调用系统服务，非法获取用户的机密数据，用虚假文件替换用户文件等，那么用户设备就会处于—个非常危险的状态。所以无论是对移动设备生产者而言，还是设备拥有者，亦或设备应用提供者，我们不得不考虑如何提升移动设备系统的安全性，使系统上的文件及数据存储更安全可靠。
　　本文针对如今移动设备开源操作系统所存在的安全隐患，研究了一种基于ARMtruszone技术的可信操作系统。该系统与普通操作系统并行运行在同一个物理的CPU内核上，通过ARM trustzone技术扩展的虚拟内核技术，使执行环境在两个操作系统之间之间切换。普通操作系统负责提供丰富的应用功能需求，安全操作系统负责提供可靠的安全服务（比如文件安全存储，可信用户界面等），从而保证用户数据的可靠。
　　论文的主要内容和贡献如下:
　　1、分析了如今移动设备开源系统可能带来的安全隐患，提出了与普通操作环境隔离的安全执行环境的概念。
　　2、研究了几种传统的与普通操作环境隔离的方法，并创新提出了基于ARMtrustzone技术的与普通操作环境隔离方法。并详细介绍了ARM trustzone技术的软硬件设计架构。
　　3、介绍了可信执行环境TEE的概念。在ARM trustzone技术隔离的执行环境中，根据TEE可信执行环境要求，进行Trust-OS可信系统设计。
　　4、根据OMTP（开放移动终端）组织给出的系统达到EAL2+安全等级所需的安全功能要求，结合安全加解密算法相关知识，分析如何从性能和安全两方面进行可信系统Trust-OS的文件安全存储功能设计。
　　5、在芯片处理器为ARM cortex A的移动设备上运行Trust-OS系统，并测试文件安全存储功能。
　　综上所述，本课题所研究的基于ARM trustzone技术的可信执行系统可以从硬件和软件两个方面很好的弥补了现阶段一般单系统移动设备在安全功能方面的不足，维护了设备生产商，应用开发商，和设备使用者的利益。

目录

声明

摘要

第一章 绪论

1．1 课题研究背景

1．2 安全可信系统研究意义

1．3 课题研究现状

1．4 本文概述

第二章 ARM trustzone技术的软硬件设计

2．1 传统的执行环境隔离方法

2．1．1 基于安全元件与普通操作系统隔离

2．1．2 基于多核运行操作系统与普通操作系统隔离

2．1．3 基于虚拟机与普通操作系统隔离

2．2 基于ARM trustzone技术与普通操作系统隔离

2．2．1 Trust zone技术的硬件架构设计

2．2．2 Trust zone技术的软件功能设计

第三章 安全系统的设计

3．1 GP TEE标准

3．1．1TEE简介

3．1．2 TEE软件架构

3．1．3 TEE硬件架构

3．1．4 TEE提供的安全功能

3．2 基于TEE标准与ARM trustzone技术的安全系统的设计

3．3 普通操作系统与安全系统的通信

3．4 安全系统的启动设计

第四章 安全系统中文件安全存储功能的设计

4．1 文件安全存储功能需求

4．2 文件安全存储功畿设计

4．3 功能设计中涉及到的算法密钥安全性能分析

4．3．1 加解密算法基础

4．3．2 算法安全与性能分析

4．4 文件安全存储功能的的具体实现代码

第五章 研究成果测试

5．1 测试环境

5．2 测试目标

5．2．1 基于ARM trustzone技术的系统隔离实现测试

5．2．2 安全系统符合TEE标准且实现文件安全存储功能测试

结论

参考文献

致谢

攻读学位期间发表的学术论文