TrustZone在远程证明中的应用研究

武警工程大学 李晓策 陈 飞

TrustZone在远程证明中的应用研究

武警工程大学 李晓策 陈 飞

分析了TrustZone技术在远程证明中的应用。TrustZone是ARM公司提出的一种实现安全环境与通用环境硬件隔离的安全解决方案，从提出以来得到了广泛的研究和应用。可信计算与TrustZone技术相结合是目前研究的热点，本文分析了在TrustZone架构下建立可信执行环境的主要需要解决的问题及解决思路，以及在此环境上实现远程证明等可信技术的关键环节，总结了使用软件平台进行TrustZone研究的可行方法。

可信计算；远程证明；移动平台；TrustZone

0　引言

网络空间安全已经成为国家的“第五疆域”，在国家安全中起着越来越重要的地位。但是网络安全问题却阻碍了网络技术在关键领域的应用，可信计算应运而生。可信计算是从底层开始，就建立起信任关系并一级级传递，直至确保整个平台安全可信，而其中的远程证明则是将信任从一个平台传递到另一个平台的技术。远程证明技术在桌面平台的研究已经趋于成熟，二进制的证明、基于属性的证明、基于行为的证明等证明模型都得到了广泛的研究，但是移动平台中远程证明发展却困难重重。本文主要分析了在移动平台中远程证明存在的问题以及使用TrustZone技术来解决这些问题的方法。

1　远程证明在移动平台的问题

远程证明方案和其他可信技术往往都是基于TPM芯片的，这在桌面及服务器领域应用不存在问题，但是在移动平台和嵌入式设备中却很难直接应用，主要原因是限于空间和成本，移动平台和嵌入式设备中并没有安装专门安全芯片的条件，也就没有配备TPM芯片。对于可信移动终端，TCG发布了移动可信模块规范，但由于同样依赖额外的硬件芯片，而且被认定会对系统性能产生影响，设备生产商兴趣不大，MTM并没有得到广泛的应用。所以在移动平台的进行远程证明时，首先要解决安全硬件即信任根的问题。对此，学者进行了大量尝试，包括Java智能卡、外置TPM芯片等方式相继出现。虽然这些方案都完成了可信平台的建立，但是定制性强、成本高、性能差等缺陷使这些方案不能真正应用到广泛使用的诸如手机的移动设备。

2　使用TrustZone技术研究可信技术的优势

针对这一问题，当前芯片生产商等处于基础地位的参与方相继提出了一些安全解决方案，其中就有著名的ARM TrustZone技术［1］。TrustZone主要是完成可信执行环境TEE的建立，可信执行环境是区别于通用执行环境而言的，是主处理器上的一个安全的区域，与通用执行环境硬件隔离。在移动平台中，使用最为广泛的ARM处理器的TrustZone技术得到了广泛的应用，ARM 1176及以后的Cortex-A系列处理器均支持TrustZone技术。

由于是硬件生产商直接开发并推动的技术，TrustZone技术具有天然的发展优势，现在市场上使用ARM处理器的手机、平板等移动设备基本都是支持TrustZone技术的，所以其应用场景十分广泛，如在线购物、移动支付系统、云服务访问控制等，苹果公司的Secure Enclave技术也是基于TrustZone技术深度开发的。这些技术在移动平台可信技术发展的同时，也使移动设备的安全问题和指纹等敏感信息的处理受到更多的关注。这些都使得TrustZone技术在移动平台的可信证明技术中得到广泛的研究和支持。

使用TrustZone技术构建可信执行环境，不必对平台的硬件进行任何改动，这就克服和定制的安全产品成本高、研究周期长的所点。而且TrustZone中安全环境能够拥有全部的CPU资源，性能是TPM芯片不能与之相比的，也不会出现性能瓶颈的问题。除此之外，TrustZone能够对运行的代码进行保护，给可信服务提供一个安全的运行环境，这是TPM芯片无法做到的。

3　使用TrustZone构建远程证明环境的方法

不同于Intel TXT和AMD AVD技术，TrustZone中没有TPM芯片，要使用TrustZone构建远程证明环境，必须使之完成TPM的以下功能：

（1）身份标识：标识可信平台模块身份的密钥，可用于对完整性值签名。

（2）平台数据保护：密钥管理及数据加解密等密码学功能

（3）完整性存储与报告：完整性值等表征程序与平台安全性和可信性的重要信息进行存储，并对证实和报告其真实性

下面讨论在TrustZone完成上述功能的方法。

3.1密钥的建立过程

TrustZone自身带有设备密钥，但是由于其泄露后容易造成整个平台无法完成可信性证明，所以不常使用。作为TrustZone技术的补充，物理不可克隆函数PUF技术常用来生成相关的平台密钥，文献［2］论述了使用SRAM在ARM平台上生成设备密钥的过程。PUF同样可以用来进行远程证明中设备的密钥生成，主要是生成背书密钥EK，并由EK生成AIK公私钥对，并使用AIK公钥在认证中心CA生成AIK证书，就可以完成密钥的生成。

3.2平台数据保护

由于TrustZone采用硬件隔离的保护措施，所以对于安全环境中的数据，普通环境下的代理是无法访问的，所以TrustZone天然拥有数据保护功能，不用进行特别设置。

3.3完整性存储与报告

使用3.1节生成的EK对完整性值等表征程序与平台安全性和可信性的重要信息进行加密存储到非易失存储器上，下次启动时再生成设备密钥进行解密，使TEE拥有完整性存储和报告的功能。

这样，TrustZone就完成了主要的TPM功能，从而能够代替TPM芯片提供兼容性更好、性能更高的可信服务。

4　总结

本文在讨论在移动平台中远程证明存在的问题基础上，总结了使用TrustZone构建远程证明环境的优势，以及使用TrustZone代替TPM芯片的主要方法。使用TrustZone等安全解决方案进行可信计算技术的研究是移动平台可信计算研究的必然趋势，也是当今研究的热点，相信TrustZone技术的发展能为我们的隐私和财产安全提供更加高效可靠的保障。

［1］郑显义，李文，孟丹.TrustZone 技术的分析与研究［J］.计算机学报，2016，38（9）：1912-1928.

［2］Zhao S，Zhang Q，Hu G，et al.Providing root of trust for arm trustzone using on-chip sram［C］.Proceedings of the 4th International Workshop on Trustworthy Embedded Devices，ACM，2014：25-36.

李晓策（1991—），男，河北石家庄人，硕士研究生在读，研究方向：网络安全、可信计算。

陈飞（1992—），男，安徽马鞍山人，硕士研究生在读，研究方向：密码学。