Android系统安全五大核心技术深度解析

• NS=0：安全状态，只能访问安全资源
• NS=1：非安全状态，只能访问非安全资源

• EL0：用户态，运行应用程序
• EL1：内核态，运行Linux/Android内核
• EL2：虚拟化态，运行Hypervisor
• EL3：安全监控态，运行Secure Monitor代码

• S-EL0：安全用户态，运行可信应用(TA)
• S-EL1：安全内核态，运行TEE操作系统
• S-EL2：安全虚拟化态(ARMv8.4+)，运行安全Hypervisor

• EL3是整个系统的最高权限级别，只有它能执行世界切换
• 每个异常等级都有自己独立的栈指针、异常向量表和寄存器组
• 世界切换只能通过SMC #0指令触发，这是从非安全世界进入安全世界的唯一入口

• 通用寄存器X0-X30（部分）
• 栈指针SP_EL0、SP_EL1
• 异常返回寄存器ELR_EL1
• 程序状态寄存器SPSR_EL1

• 切换时不需要保存和恢复所有寄存器，大大提高切换速度
• 防止非安全世界直接读取安全世界的寄存器内容
• 保证两个世界的运行完全独立

• 系统初始化和安全启动
• 世界切换和上下文管理
• 电源管理(PSCI服务)
• 安全中断路由

• BL1：ROM代码，不可修改，验证BL2的签名
• BL2：可信引导加载程序，验证BL31、BL32、BL33的签名
• BL31：Secure Monitor，运行在EL3，负责世界切换(ATF)
• BL32：TEE操作系统，运行在S-EL1(TEE-OS)
• BL33：U-Boot或Linux内核，运行在EL1

1. 安全启动的信任链建立：从BL1开始逐级验证下一级固件的签名，确保整个系统未被篡改
2. TEE的运行基础：TEE操作系统和可信应用都运行在安全世界
3. Keystore服务的硬件保护：Android Keystore的密钥生成、存储和运算都在安全世界完成
4. 磁盘加密的密钥保护：全盘加密(FDE)和文件级加密(FBE)的主密钥存储在安全世界
5. 生物识别数据保护：指纹、人脸模板的存储和比对都在安全世界进行

• 官方文档：ARM Security Technology Building a Secure System using TrustZone Technology
• 开源项目：ARM Trusted Firmware源码(https://github.com/ARM-software/arm-trusted-firmware)
• 实践任务：

1. 下载并编译ATF源码
2. 在QEMU模拟器上运行ATF+Linux内核
3. 编写一个简单的SMC调用处理函数
4. 分析ATF中世界切换的汇编代码

• 误区：TrustZone是一个独立的CPU
• 正确：TrustZone是CPU架构的扩展，同一个CPU可以在两个世界之间切换
• 误区：安全世界的代码一定是安全的
• 正确：TrustZone只是提供了隔离机制，安全世界的代码如果有漏洞，同样会被攻击

• 性能低：纯软件AES加密的吞吐量通常只有几十MB/s
• 功耗高：CPU长时间满负荷运行会导致设备发热和续航下降
• 安全性差：密钥存储在内存中，容易被内存dump攻击窃取
• 占用CPU资源：加密操作会占用大量CPU时间，影响系统响应速度

• 性能高：并行计算和流水线设计，吞吐量可达GB/s级别
• 功耗低：专用硬件电路比CPU执行软件指令省电90%以上
• 安全性强：密钥存储在硬件内部，永远不会离开加密引擎
• 不占用CPU资源：加密操作由硬件完成，CPU可以处理其他任务

1.对称加密加速器：

1. 支持AES-128/192/256算法
2. 支持ECB、CBC、CFB、OFB、GCM、XTS等工作模式
3. 支持国密SM4算法

2.非对称加密加速器：

1. 支持RSA-1024/2048/4096算法
2. 支持ECC P-256/P-384曲线
3. 支持国密SM2算法

3.哈希加速器：

1. 支持SHA-1、SHA-256、SHA-512算法
2. 支持国密SM3算法
3. 支持HMAC消息认证码

4.真随机数发生器(TRNG)：

1. 基于物理熵源（热噪声、振荡器抖动）生成真随机数
2. 符合NIST SP 800-90A标准
3. 用于生成密钥、IV和随机数

• 算法(alg)：表示一个具体的密码学算法，如aes、sha256
• 转换(tfm)：表示一个算法的实例，包含算法的上下文和密钥
• 请求(req)：表示一个具体的加密/解密请求

1. 编写硬件初始化和配置代码
2. 实现crypto_alg结构体定义的接口
3. 在驱动的probe函数中调用crypto_register_alg()注册算法
4. 实现DMA传输和中断处理，提高性能

1. Keystore服务：Android Keystore使用硬件安全引擎执行所有密钥操作
2. 磁盘加密：全盘加密(FDE)和文件级加密(FBE)使用AES-XTS硬件加速
3. TLS/SSL加速：网络通信中的AES-GCM和SHA-256运算使用硬件加速
4. 安全支付：银行APP和支付SDK使用硬件安全引擎执行加密和签名操作
5. DRM保护：数字版权管理使用硬件安全引擎解密受保护的音视频内容

• 官方文档：ARM CryptoCell-712 Technical Reference Manual
• 开源项目：Linux内核drivers/crypto目录下的硬件加密驱动
• 实践任务：

1. 阅读Linux内核中AES硬件加速驱动的源码
2. 编写一个简单的硬件加密驱动，注册到Linux Crypto框架
3. 使用cryptsetup工具测试硬件加密的性能
4. 对比硬件加密和软件加密的吞吐量和CPU占用率

• 误区：ARMv8 Cryptographic Extension(CE)就是硬件安全引擎
• 正确：ARM CE是CPU指令集的扩展，仍然使用CPU执行运算；硬件安全引擎是独立的硬件模块
• 误区：硬件加密一定比软件加密安全
• 正确：如果硬件实现有漏洞（如侧信道攻击漏洞），硬件加密同样不安全

• TZC-400最多支持8个内存区域
• 每个区域可以配置起始地址、结束地址和访问权限
• 区域可以重叠，匹配时优先选择编号最小的区域
• 未被任何区域覆盖的地址空间默认拒绝所有访问

• SECURE_RD：安全世界读权限
• SECURE_WR：安全世界写权限
• NON_SECURE_RD：非安全世界读权限
• NON_SECURE_WR：非安全世界写权限

1. 向总线主设备返回一个错误响应
2. 触发一个同步异常（Data Abort）
3. 记录错误信息（访问地址、Master ID、安全属性等）到状态寄存器

// 配置Region 0：安全世界专用内存 tzc400_config_region(0, SECURE_MEM_BASE, // 起始地址 SECURE_MEM_END, // 结束地址 TZC_REGION_S_RDWR, // 安全世界读写 TZC_REGION_NS_NONE); // 非安全世界无权限 // 配置Region 1：共享内存 tzc400_config_region(1, SHARED_MEM_BASE, SHARED_MEM_END, TZC_REGION_S_RDWR, TZC_REGION_NS_RDWR); // 两个世界都可读写 // 配置Region 2：非安全世界内存 tzc400_config_region(2, NON_SECURE_MEM_BASE, NON_SECURE_MEM_END, TZC_REGION_S_RDWR, TZC_REGION_NS_RDWR); // 使能TZC-400 tzc400_enable();

1. TEE内存隔离：将TEE操作系统和可信应用使用的内存配置为安全世界专用，防止非安全世界访问
2. 安全存储内存：将安全存储使用的内存配置为安全世界专用
3. 安全外设隔离：将安全外设（加密引擎、指纹传感器、安全UART）的寄存器空间配置为安全世界专用
4. 防止DMA攻击：限制DMA引擎只能访问非安全世界的内存，防止DMA攻击窃取安全数据
5. 动态权限管理：支持运行时临时修改某个区域的访问权限，满足特定场景的需求

• 官方文档：ARM CoreLink TZC-400 Technical Reference Manual
• 开源项目：ATF源码中drivers/arm/tzc400目录
• 实践任务：

1. 阅读TZC-400的官方技术手册
2. 分析ATF中TZC-400的初始化代码
3. 在QEMU上修改TZC-400配置，划分一个新的安全内存区域
4. 尝试从非安全世界访问安全内存，验证是否会触发Data Abort异常

• 误区：TZC-400和MMU的功能是一样的
• 正确：MMU是CPU内部的组件，只保护CPU的内存访问；TZC-400是总线级的防火墙，保护所有总线主设备的内存访问
• 误区：TZC-400的配置可以在非安全世界修改
• 正确：TZC-400的控制寄存器只能在安全世界访问，非安全世界无法修改配置

• REE(Rich Execution Environment)：富执行环境，即Android系统，运行在非安全世界
• TEE(Trusted Execution Environment)：可信执行环境，运行在安全世界
• CA(Client Application)：客户端应用，运行在REE的用户态
• TA(Trusted Application)：可信应用，运行在TEE的用户态(S-EL0)

1. TEE与REE完全隔离
2. TA与TEE内核完全隔离
3. TA之间完全隔离
4. 所有敏感数据和操作都在TEE中完成

1. 硬件层：SoC、安全引擎、TZC-400、GIC等
2. EL3层：ATF，负责世界切换
3. TEE内核层(S-EL1)：OP-TEE OS核心，包括调度器、内存管理、中断管理、加密服务、驱动框架
4. TA层(S-EL0)：可信应用，运行在隔离的地址空间中
5. REE层：

• Linux内核：包含OP-TEE驱动(optee.ko)
• 用户态：TEE Client库(libteec.so)和客户端应用(CA)

1. CA调用TEEC_InitializeContext()初始化TEE上下文
2. CA调用TEEC_OpenSession()打开与TA的会话
3. CA调用TEEC_InvokeCommand()向TA发送命令
4. TEE内核接收命令，切换到安全世界，调用对应的TA处理函数
5. TA执行完成后，返回结果给CA
6. CA调用TEEC_CloseSession()关闭会话
7. CA调用TEEC_FinalizeContext()释放资源

• 小数据传递(≤4KB)：通过SMC指令的参数寄存器直接传递
• 大数据传递：使用共享内存

1. CA在REE分配一块物理连续的内存
2. CA将内存地址和大小传递给TEE
3. TEE内核将该内存映射到S-EL1的地址空间
4. TA通过TEE Internal API访问共享内存
5. 数据传输完成后，CA释放共享内存

1. 安全存储：基于硬件加密的持久化存储，支持数据加密、完整性校验和回滚保护
2. 可信UI(TUI)：保证显示内容和用户输入的真实性，防止钓鱼攻击
3. 生物识别：指纹、人脸模板的安全存储和比对，全程在TEE中完成
4. 密钥管理：生成、存储、导入、导出和销毁密钥，密钥永远不会离开TEE
5. 安全时钟：提供防篡改的系统时间，用于证书验证和有效期检查

1. Keystore服务：Android Keystore的后端实现，提供硬件级密钥保护
2. Gatekeeper服务：密码验证服务，防止暴力破解
3. Fingerprint服务：指纹识别服务，指纹模板存储在TEE中
4. Face服务：人脸识别服务，人脸模板存储在TEE中
5. 安全支付：银行APP和支付SDK将敏感操作（如PIN码输入、交易签名）放在TEE中执行
6. DRM保护：Widevine DRM的解密和解码操作在TEE中完成

• 官方文档：OP-TEE官方文档(https://optee.readthedocs.io/)、Trusty官方文档(https://source.android.com/docs/security/features/trusty)
• 开源项目：OP-TEE源码(https://github.com/OP-TEE)、Trusty源码(https://android.googlesource.com/trusty/)
• 实践任务：

1. 下载OP-TEE源码，在QEMU模拟器上编译并运行
2. 编写一个简单的CA和TA，实现AES加密功能
3. 实现一个使用共享内存传递大数据的CA和TA
4. 分析OP-TEE安全存储的实现源码

• 误区：TEE是绝对安全的
• 正确：TEE只是提供了一个隔离的执行环境，如果TEE内核或TA有漏洞，攻击者仍然可以通过漏洞逃逸
• 误区：TA可以直接访问REE的内存
• 正确：TA只能访问TEE内核映射给它的共享内存，不能直接访问REE的其他内存

[硬件信任根(OTP/eFuse)] ↓ 验证 [BL1(ROM代码)] ↓ 验证 [BL2(ATF)] ↓ 验证 [BL31(Secure Monitor)] ↓ 验证 [BL32(TEE OS)] ↓ 验证 [BL33(U-Boot/Bootloader)] ↓ 验证 [vbmeta.img] ↓ 验证 [boot.img(Linux内核)] ↓ 验证 [system.img/vendor.img] ↓ dm-verity运行时验证 [文件系统中的每个4KB块]

• 签名：使用设备厂商的私钥签名
• 公钥：用于验证其他分区的签名
• 哈希描述符：每个分区的哈希值或哈希树的根哈希
• 标志位：验证模式、回滚保护版本等

1. Bootloader使用OTP中存储的公钥哈希验证vbmeta.img的签名
2. 如果验证通过，Bootloader从vbmeta.img中获取各个分区的哈希描述符
3. Bootloader验证boot.img和dtbo.img的哈希值
4. 如果验证通过，Bootloader加载并启动Linux内核
5. Linux内核启动后，使用dm-verity机制验证system.img和vendor.img的完整性

1. 将分区划分为多个4KB的块
2. 计算每个块的SHA-256哈希值，形成哈希树的叶子节点
3. 计算每一组叶子节点的哈希值，形成上一级节点
4. 重复这个过程，直到得到一个根哈希值
5. 根哈希值存储在vbmeta.img中

• restart：验证失败时重启设备
• eio：验证失败时返回I/O错误，不重启设备

1. 每个系统版本都有一个版本号
2. 版本号存储在OTP/eFuse中
3. 启动时，Bootloader会比较当前系统的版本号和OTP中存储的版本号
4. 如果当前系统的版本号低于OTP中存储的版本号，启动失败
5. 系统更新时，会将OTP中的版本号烧写到最新版本

• 官方文档：Android Verified Boot官方文档(https://source.android.com/docs/security/features/verifiedboot)
• 开源项目：U-Boot源码、Linux内核drivers/md/dm-verity.c
• 实践任务：

1. 分析一个真实Android设备的启动流程
2. 编译一个自定义的Android内核，签名并刷入设备
3. 修改system.img中的一个文件，观察dm-verity的行为
4. 了解AVB 2.0的签名和验证过程

• 误区：解锁Bootloader就意味着安全启动失效
• 正确：解锁Bootloader后，设备会显示警告信息，但仍然可以使用用户自己的密钥进行验证启动
• 误区：dm-verity可以防止所有篡改
• 正确：dm-verity只能防止对只读分区的篡改，无法防止对可写分区（如data分区）的篡改

1. 安全启动建立了从硬件到软件的信任链，确保系统未被篡改
2. TrustZone将系统划分为两个隔离的世界，为敏感操作提供了硬件级隔离
3. TZC-400实现了总线级的访问控制，确保安全世界的资源不被非安全世界访问
4. 硬件安全引擎提供了高性能、高安全的密码学运算能力
5. TEE为敏感应用提供了一个独立、隔离的执行环境

1. 指纹传感器将指纹图像发送到TEE
2. TEE中的指纹TA使用硬件安全引擎提取指纹特征
3. 指纹TA将提取的特征与存储在安全存储中的模板进行比对
4. 比对通过后，指纹TA生成一个支付令牌
5. 支付令牌通过CA传递给支付APP
6. 支付APP使用支付令牌完成交易

1. 先打牢基础：掌握ARMv8架构、Linux内核驱动开发和密码学基础
2. 从TrustZone入手：理解双世界划分和异常等级模型，这是所有技术的基础
3. 学习TZC-400：理解总线级访问控制的原理和配置方法
4. 学习硬件安全引擎：理解Linux Crypto框架和硬件加密驱动的开发
5. 学习TEE：选择OP-TEE或Trusty，在QEMU上运行起来，编写简单的CA和TA
6. 学习安全启动：理解AVB 2.0和dm-verity的工作原理
7. 结合实际项目：参与一个真实的Android系统安全项目，将所学知识应用到实践中