我们之前谈过各种TEE的软硬件实现,包括Intel SGX方案、AMD的PSP技术、TI公司的M-shield安全技术、以及MIP架构上的虚拟化TEE实现等等。
今天我们来看看三星,我们都知道三星公司拥有最全的手机产业链,基本上除了苹果之外,三星是第二个神奇的公司!因此在手机安全领域,三星也有自己的一套系统。
KNOX是三星一种端对端安全性保证的解决方案,从硬件到应用层都能提供防御级的安全保护,这是第一款基于Android系统的安全解决方案。
Android安全增强
Knox 通过严格定义每一个进程允许的行为以及其能获取到的数据,从而保护应用和数据。这使得Knox系统能在一个可管理的容器里隔离、加密、保护数据。
这一点应该是三星从android机制上进行的安全加强。也就是SElinux,这一做法android6.0后续版本也连续跟进了。
Real-time Kernel Protection Integrity Measurement Architecture
实时内核保护和完整性可度量架构
周期性的内核度量,实时内核保护工作总是在探测OS、内核中的核心软件,这些检查保证了绕过设备安全性的请求被阻止,敏感数据得到保护。
2004年,IBM提出的IMA架构,Integrity Measurement Architecture ,该架构通过在内核中patch,实现当应用程序运行、动态链接库加载、内核模块加载时,将用到的代码和关键数据(如配置文件和结构化数据)做一次度量,并创建与维护一个度量列表。当挑战者发起挑战时,将度量列表与TPM签名的度量值发送给挑战者,以此来判断平台是否可信。
这一IMA技术与TrustZone技术结合起来就是TIMA了。也就是基于Trustzone内核完整性动态度量方案(TIMA架构)。
TrustZone
Knox当然也应用了TrustZone技术,知名网红“TrustZone ”此处省略介绍了吧。
Secure / Trusted Boot and Hardware Root of Trust
安全启动硬件信任根
没有安全启动和硬件信任根,啥都不会安全,Knox在这一块也是做了许多工作。
三星单独面向开发者的TEEos就是TEEgris。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。