TEEOS基础特性安全存储技术简介

2023-11-21 06:30

本文主要是介绍TEEOS基础特性安全存储技术简介,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1、安全存储简介

安全存储是TEEOS重要特性之一,安全存储主要用来为用户保存敏感数据如密钥等信息。用户在使用安全存储功能保存数据时会在TEE内对数据进行加密,然后保存到REE侧的相关存储区域中。根据对数据存储的安全性要求和使用场景TEE常见的安全存储一般分为RPMB安全存储、SFS安全存储。RPMB安全存储是eMMC中的一个具有安全特性的分区,其特点是非安全世界不可见,可以防止重放和回滚攻击,但是其容量较小所以一般对于安全性要求高的数据会使用RPMB存储。SFS安全存储是利用了REE侧文件系统进行存储服务,TEE加密后的数据会利用非安全侧的文件系统存放到REE侧的存储介质中,因此其容量很大可以存放较多的文件,但是由于其利用了非安全侧的文件系统,因此存放的文件是REE侧可见的,安全性相比RPMB较低。

本文将对OPTEE3.18版本中的SFS安全存储基本实现来进行分析,后文中的安全存储均指SFS安全存储,安全存储的整体框架如图1.1所示:

6d95716e0d5c67642fbe52a6561c706a.png

图1.1 安全存储框架

OPTEE在用户态提供了GP安全存储API,TA调用GP API来对需要保存的数据进行操作,具体的功能实现在OPTEE内核态的File system模块中实现,内核态的File system模块主要实现了数据加解密相关功能以及对应密文数据RPC消息发送功能。REE侧的守护进程tee_supplicant主要完成的是RPC消息接收以及安全存储文件在REE侧的操作功能。

OPTEE 安全存储所涉及到的主要文件如图1.2所示:

1f33ab168fa7f294994f8ea8d1cc0b6a.png

图1.2安全存储文件目录

2、安全存储文件操作

图2.1列出了安全存储文件操作的GP接口及相关系统调用关系图,syscall开头的函数是安全存储GP API功能在OPTEE内核中的具体实现。接下来我们对安全存储中的文件格式、基本数据结构以及文件的创建过程进行分析。

eeafe36238bf757c86e0b292b00019fb.png

图2.1 安全存储api

2.1 安全存储文件格式及主要数据结构

安全存储的文件格式如图2.2所示,主要分为三个部分,分别是文件头信息,文件节点描述信息,以及数据体信息,其中数据体data block是以4K大小粒度存储的。OPTEE使用哈希二叉树方式管理安全存储的文件数据,树中的每个节点tee_fs_htree_node_image保护其两个子节点和一个数据块。元数据存储在头节点tee_fs_htree_image中,它也保护顶层节点。安全存储的文件格式所有字段都使用两个版本ver0 ver1进行复制管理从而确保了原子更新。

89799144b9b00627a5259c0985062f56.png

图2.2 文件格式

头节点tee_fs_htree_ image结构体具体定义如下,其中iv是加密head时使用的,tag是加密head后生成的,enc_fek是加密数据文件的密钥fek的密文数据,imeta是加密head后生成的,counter是ver信息,标识存储到ver0还是ver1中。

a6868121b90b56b24fb91540f95f61b3.png

节点tee_fs_htree_node_image结构体具体定义如下,hash是保存节点的hash值,该值主要作用是在文件操作时找到该文件head,iv是加密data bloc使用的,不同的data block对应的iv值不同,tag是加密数据块后生成的,flags标识data block的版本号信息。

2ab47aaef017e3a3b5af9fd9f2b40eb6.png

另一个主要的结构体tee_fs_fd具体定义如下,主要存放对文件操作时使用的fd、dir、uuid等信息。

5ee65685ed82e7daa68282cf0fc45e78.png

2.2 安全文件操作

本节主要对OPTEE安全存储文件基本操作过程安全存储文件的创建、打开、读写过程进行分析。

(1)安全存储文件创建:安全存储文件创建流程是整个文件操作最复杂的流程,安全存储文件创建流程如图2.3所示。当第一次使用安全存储功能保存用户文件时,将会在/data/tee目录中生成两类文件分别是dirf.db文件和以数字命名的文件,数字命名的文件会根据创建的不同文件名称进行累加。dirf.db文件保存的是整个安全存储功能管理的所有文件的目录信息和节点信息,该文件只会被创建一次,后续对文件的操作将会更新dirf.db内容,以数字命名的文件保存的是用户文件信息。OPTEE对用户文件进行基本操作都需要通过对dirf.db文件进行索引来找到所需要的具体用户文件。syscall_storage_obj_create是安全存储创建文件功能在内核空间的主入口。下面对创建过程主要流程进行分析。

  • 权限检查:在创建安全文件之前会通过vm_check_access_rights函数对TA调用安全存储操作的object权限进行校验,只有当权限校验通过后才会执行后续操作。

  • dirt.db文件创建:get_dirh是创建dirt.db主要实现,tee_fs_rpc_create_dfh函数在首次创建dirt.db文件时,通知ree侧tee_supplicant创建该文件,tee_fs_htree_open建立文件节点信息。tee_fs_htree_sync_to_storage主要是将tee_fs_htree_node_image及tee_fs_htree_ image信息存放到dirt.db中。

  • 安全文件创建:安全文件创建通过ree_fs_open_primitive实现的,该流程会通知ree侧tee_supplicant创建以数字命名的文件,此时该文件中还没有写入具体的数据信息。

  • 安全文件写入:安全文件head及data block写入通过ree_fs_write_primitive实现的,最终完成文件的创建过程,将初始化的数据写入到ree侧。

11e3cbb82f410f7887d39b3aa3945469.jpeg

图2.3安全文件创建流程

(2)安全存储文件打开:当需要打开某个安全存储文件时,需要先从全局目录文件dirt.db中找到对应的以数字命名的文件编号,打开dirf.db是通过调用get_dirt函数实现的,最终调用到REE侧的tee_supplicant打开/data/tee/dirf.db文件并返回该文件的fd值,读取dirt.db中最新的文件头部数据,解密获取文件加解密使用的FEK,并建立文件节点树,打开dirf.db文件并建立了文件节点树后,通过读取dirf.db文件的数据区域中安全文件对应的dirf_entry来找到该安全文件的存储编号。在获取安全存储文件编号前需要进行一系列校验检查,检查通过后则为正确的文件编号。得到安全文件编号后就可打开该文件,读取该安全文件的头部分,获取根节点信息,并建立该安全文件的节点树,然后就可开始对该安全文件进行读写操作。

(3)安全存储文件读写操作:安全存储读写操作依赖打开操作,只有在执行完打开操作之后才能进行。安全文件读操作首先会获取TA的会话ID和运行上下文并检查权限。然后调用ree_fs_read函数来实现读取数据的操作,调用ree_fs_write函数来实现写入数据操作。

3、安全存储文件加密流程

3.1安全存储中的密钥

在OPTEE的安全存储中主要涉及三种类型密钥分别是SSK安全存储密钥、TSK TA的存储密钥、FEK文件加密密钥三者关系如图3.1所示。其中huk是芯片唯一密钥,其通过chipid及其他相关参数派生出安全存储的基础密钥SSK。针对不同的TA,根据uuid值及SSK派生出每个TA自己的存储密钥TSK。这样能够保证不同的TA加密存储的文件不能被其他文件解密,在一定程度上保证了安全性。TSK并不是最终对文件加密的密钥,而是对随机派生出的文件加密密钥FEK进行加解密的key。三种类型密钥中SSK TSK无论明文密文都不出TEE,FEK密文与数据密文封装到一起存储到REE侧文件系统中。

d858dddb36abd00e593df76dbb03e716.png

图3.1密钥关系图

3.2 安全存储文件加密流程

安全存储中的核心操作是对安全文件进行加解密操作,需要加密操作的数据分别为元数据加密,以及具体的数据区块进行加密。元数据及区块数据加密流程如图3.2所示,元数据是tee_fs_hreee_node_image中的数据,加密过程中会首先生成随机的AES密钥FEK,该值一般以enc_fek的形式保存,在使用时通过TSK解密后使用。数据块区域是具体需要保存的用户数据信息和tee_fs_htree_node_image中的数据。元数据和区块数据的加密算法在OPTEE中都采用AES GCM算法,采用的KEY都是FEK,不同的是在加密过程中有各自不同的IV值。

2c769a611f03c09931378b0ce9cda363.png

图3.2 元数据 区块数据加密流程

4、总结

安全存储功能是TEEOS中的重要功能,不同TEE产品有不同实现。本文对OPTEE安全存储SFS部分进行了简单的分析,我们发现安全存储操作涉及到的流程是比较复杂的,其中涉及到了加解密密钥派生方式,数据加解密算法的选择,数据文件管理的方式,TEE主动与REE交互方式等功能。这些部分均影响着安全存储的安全性稳定性和性能。OPTEE安全存储虽然对各个数据文件是分开存储的,但是对文件操作的索引信息又是集中存储到了dirt.db中,因此当dirt.db文件损坏时将会导致所有的文件无法读取的风险。因此在实际使用OPTEE时可以考虑定制化修改,对该文件在REE侧不同分区进行备份操作。

5、参考资料

1.《手机安全和可信应用开发指南》

2.https://optee.readthedocs.io/en/latest/architecture/secure_storage.html

3.https://blog.csdn.net/xcxhzjl/article/details/127257463

4. https://github.com/OP-TEE/optee_os

5. https://schspa.tk/2020/01/10/persistent-object.html

6.https://blog.csdn.net/xy010902100449/article/details/124551205

7a541d0bf074fc52132e68c0a0e42134.gif

长按关注内核工匠微信

Linux内核黑科技| 技术文章 | 精选教程

这篇关于TEEOS基础特性安全存储技术简介的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:https://blog.csdn.net/feelabclihu/article/details/128349647
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/400472

相关文章

Spring Boot3.0新特性全面解析与应用实战

《SpringBoot3.0新特性全面解析与应用实战》SpringBoot3.0作为Spring生态系统的一个重要里程碑,带来了众多令人兴奋的新特性和改进,本文将深入解析SpringBoot3.0的... 目录核心变化概览Java版本要求提升迁移至Jakarta EE重要新特性详解1. Native Ima

Nginx安全防护的多种方法

《Nginx安全防护的多种方法》在生产环境中,需要隐藏Nginx的版本号,以避免泄漏Nginx的版本,使攻击者不能针对特定版本进行攻击,下面就来介绍一下Nginx安全防护的方法,感兴趣的可以了解一下... 目录核心安全配置1.编译安装 Nginx2.隐藏版本号3.限制危险请求方法4.请求限制(CC攻击防御)

Qt QCustomPlot库简介(最新推荐)

《QtQCustomPlot库简介(最新推荐)》QCustomPlot是一款基于Qt的高性能C++绘图库,专为二维数据可视化设计,它具有轻量级、实时处理百万级数据和多图层支持等特点,适用于科学计算、... 目录核心特性概览核心组件解析1.绘图核心 (QCustomPlot类)2.数据容器 (QCPDataC

Java 线程安全与 volatile与单例模式问题及解决方案

《Java线程安全与volatile与单例模式问题及解决方案》文章主要讲解线程安全问题的五个成因(调度随机、变量修改、非原子操作、内存可见性、指令重排序)及解决方案,强调使用volatile关键字... 目录什么是线程安全线程安全问题的产生与解决方案线程的调度是随机的多个线程对同一个变量进行修改线程的修改操

从入门到精通C++11 <chrono> 库特性

《从入门到精通C++11<chrono>库特性》chrono库是C++11中一个非常强大和实用的库,它为时间处理提供了丰富的功能和类型安全的接口,通过本文的介绍,我们了解了chrono库的基本概念... 目录一、引言1.1 为什么需要<chrono>库1.2<chrono>库的基本概念二、时间段(Durat

从基础到进阶详解Pandas时间数据处理指南

《从基础到进阶详解Pandas时间数据处理指南》Pandas构建了完整的时间数据处理生态,核心由四个基础类构成,Timestamp,DatetimeIndex,Period和Timedelta,下面我... 目录1. 时间数据类型与基础操作1.1 核心时间对象体系1.2 时间数据生成技巧2. 时间索引与数据

Java中常见队列举例详解(非线程安全)

《Java中常见队列举例详解(非线程安全)》队列用于模拟队列这种数据结构,队列通常是指先进先出的容器,:本文主要介绍Java中常见队列(非线程安全)的相关资料,文中通过代码介绍的非常详细,需要的朋... 目录一.队列定义 二.常见接口 三.常见实现类3.1 ArrayDeque3.1.1 实现原理3.1.2

安装centos8设置基础软件仓库时出错的解决方案

《安装centos8设置基础软件仓库时出错的解决方案》:本文主要介绍安装centos8设置基础软件仓库时出错的解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐... 目录安装Centos8设置基础软件仓库时出错版本 8版本 8.2.200android4版本 javas

Linux基础命令@grep、wc、管道符的使用详解

《Linux基础命令@grep、wc、管道符的使用详解》:本文主要介绍Linux基础命令@grep、wc、管道符的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐... 目录grep概念语法作用演示一演示二演示三,带选项 -nwc概念语法作用wc,不带选项-c,统计字节数-

python操作redis基础

《python操作redis基础》Redis(RemoteDictionaryServer)是一个开源的、基于内存的键值对(Key-Value)存储系统,它通常用作数据库、缓存和消息代理,这篇文章... 目录1. Redis 简介2. 前提条件3. 安装 python Redis 客户端库4. 连接到 Re