基于智能终端可信操作系统的安全支付研究与实现.doc

电子科技大学UNIVERSITY OF ELECTRONIC SCIENCE AND TECHNOLOGY OF CHINA硕士学位论文MASTER THESIS论文题目基于智能终端可信操作系统的安全支付研究与实现学 科 专 业计算机应用技术201121060431罗 净学号作 者 姓 名指 导 教 师江春华 副教授 分类号密级UDC注1学 位 论 文基于智能终端可信操作系统的安全支付研究与实现（题名和副题名）罗 净（作者姓名）指导教师江春华副教授成 都电子科技大学（姓名、职称、单位名称）申请学位级别提交论文日期硕士学科专业计算机应用技术2014.04论文答辩日期2014.05.学位授予单位和日期电子科技大学2014 年 6 月 27 日答辩委员会主席评阅人注 1：注明国际十进分类法 UDC的类号。 RESEARCH AND IMPLEMENTATION OFSECURE PAYMENT BASED ON INTELLIGENTDEVICES TRUSTED OPERATING SYSTEMA Master Thesis Submitted toUniversity of Electronic Science and Technology of ChinaMajor:Author:Advisor:School :Computer Applied TechnologyLuo JingProf. Jiang ChunhuaSchool of Computer Science & Engineering 独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。签名：日期：年月日关于论文使用授权的说明本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。（保密的学位论文在解密后应遵守此规定）签名：导师签名：日期：年月日 摘要摘要随着智能终端的发展与快速普及，人们已经习惯地在智能终端上处理许多方面的事务，包括有娱乐，生活以及工作等。同时也正因为它的“智能”性，人们可以通过许多渠道下载应用来丰富完善自己的智能终端内容，让用户对其变得爱不释手。也正因为智能终端在人们的日常使用中比重越来越大，使用移动支付的人们也越来越多，保障其安全的重要性也急剧升高，我们不得不开始面对如何找出一个能够解决安全支付的问题，并且最好能够给出一种框架性的解决方案，这样我们就可以以同样的思路来解决其它的安全问题。最近几年，一个称作 TEE（Trusted Execution Environment）的概念开始在智能终端上出现，与其相对即是一个被称为 REE（Rich Execution Environment）的概念，其中普通应用程序会在 REE中运行，而关键敏感的程序在 TEE中运行，并且 TEE中运行的代码被认为是安全的。在该概念上 ARM提出了 TrustZone安全扩展机制，具有ARM TrustZone安全扩展机制的ARM核可以将一个物理核虚拟为两个独立的逻辑核，其中一个核被称为安全核，具有最高的处理权限，另一个核被成为普通核，具有普通的处理权限，并且其具体的权限取决与安全核对某些寄存器的配置。本文就是为了解决智能终端面临的安全问题，同时基于 ARM TrustZone的硬件隔离机制而实现一个可信的操作系统，通过该操作系统，我们不仅可以解决安全支付的难题，同时也可以根据同样的机理来解决更多的安全相关问题。该可信操作系统的实现参照了 GlobalPlatform发布的 TEE相关文档，其由 Android与 T-OS两个子操作系统组成，其中 Android运行在普通执行环境中而 T-OS运行在安全执行环境中。通常情况下，用户直接在 Android中进行操作，而仅在处理敏感数据的时候才会进入 T-OS，这样不仅不会影响客户的体验还可以很容易地通过在 T-OS中处理敏感数据而解决大部分的安全问题。最后，我们根据可信操作系统提出了安全支付的解决方案，并且将该模型在可信操作系统上实现。关键词：TEE，安全支付，TrustZone，可信执行环境，硬件隔离I ABSTRACTABSTRACTWith the development and rapid popularization of intelligent terminals, peoplehave become accustomed to dealing with many daily affairs, including entertainment,live and work. But also because of its intelligent nature, people can download theapplication through by many ways to enrich intelligent terminals, which makes peopleso fond of it that they cannot take their hands off it. As the proportion of intelligentterminal use in peoples daily life is growing, and more and more people now usemobile payments, its security has become a crucial issue. We have to find a solution tothe problem of secure payments, and the better way is that we should give a frameworksolution to this security problem so that we can handle other possible security problemsin the similar way.In recent years a concept called TEE (Trusted Execution Environment) began toappear terminal appears. Its corresponding concept is REE. Common applications willrun in the REE while the key and sensitive program will run in the TEE, and the coderuns TEE is considered safe. ARM proposed TrustZone security extensions based onthis concept. ARM core with ARM TrustZone security extensions can virtualize onephysical core into two separate logic core. One of them is called safe core which hashighest processing authority, and the other one is common core whose processingauthority depends on configuration of registers by safe core. To solve the securityproblems of intelligent terminals, based on ARM TrustZone hardware-based isolationmechanism, we developed a credible operating system, by which we can easily solvethe problem of secure payment, but can also solve more security problems using thesame mechanism.The implementation of operating system takes reference to the TEEdocumentation released by Global Platform. The operating system is composed of twosub-operating system, the Android operating system and the T-OS operating system.Android runs in general execution environment while the T-OS running in a secureexecution environment. Usually, users operate directly in the Android operating system,but only when dealing with sensitive data will enter into T-OS. By this mechanism, wecan not only affect the customers experience but also can easily solve security problemsII ABSTRACTin the same time.Finally, we propose a secure payment solution according to trusted operatingsystem, and the model is implemented on a trusted operating system.Keywords: TEE，Secure payment，TrustZone，Trusted Execution Environment，hardware-based isolationIII 目录目录第一章绪论. 11.1课题背景及意义. 11.2国内外研究现状. 21.2.1可信操作系统现状. 21.2.2安全移动支付现状. 41.2.3面向智能终端的系统安全方案. 51.2.3.1外接硬件安全模块. 61.2.3.2内部硬件安全模块. 61.2.3.3软件虚拟化. 61.3本文主要工作. 71.4本文结构安排. 8第二章 TrustZone技术.92.1 TrustZone硬件架构.92.1.1系统架构. 102.1.1.1 AMBA3 AXI系统总线.102.1.1.2 AMBA3 APB总线.102.1.1.3内存别名. 102.1.2处理器架构. 112.1.2.1执行环境切换. 112.1.2.2 L1内存的安全.122.1.2.3安全中断. 122.1.2.4处理器的安全配置. 122.2 TrustZone软件架构.122.2.1安全软件系统. 122.2.2系统的安全引导. 132.3监视器软件. 132.4本章小结. 14第三章基于 TrustZone的可信操作系统设计.15IV 目录3.1为什么选择 TEE软件架构.153.2基于 GlobalPlatform标准的 TEE软件架构.163.2.1 REE与 TEE的接口. 163.2.2可信 OS组件.173.2.3可信应用程序. 173.2.4共享内存. 183.2.5 TEE Client API.183.2.6 TEE Internal API. 183.3 ARM TrustZone软件架构.193.3.1什么是 TrustZone Software. 193.3.2基于 ARM TrustZone的 TEE软件架构. 193.4基于 TrustZone的可信操作系统架构.203.5本章小节. 22第四章 T-OS的设计与实现.234.1 T-OS系统设计.234.1.1可信应用. 244.1.2主任务. 244.1.3驱动程序. 254.1.4必备模块. 254.1.5扩展模块. 264.2内存管理的实现. 264.2.1分页存储管理. 264.2.2动态内存管理. 304.2.2.1方法选择. 314.2.2.2边界标识法的原理. 314.2.2.3边界标识法的实现. 344.3任务管理的实现. 354.3.1任务状态. 354.3.2任务控制块. 364.3.3任务创建与销毁. 374.3.3.1任务的创建. 374.3.3.2任务的销毁. 38V 目录4.3.4任务调度. 394.3.4.1概述. 394.3.4.2任务调度的实现. 404.4 T-OS的隔离.414.4.1内存隔离. 414.4.2外设隔离. 424.5 T-OS的尺度掌控.424.6本章小节. 42第五章双操作系统通信的实现. 445.1通信框架. 445.1.1通信过程. 445.1.2通信约定. 465.2数据类型定义. 475.2.1 TEEC_Result.475.2.2 TEEC_UUID. 475.2.3 TEEC_SharedMemory. 485.2.4 TEEC_TempMemoryReference. 485.2.5 TEEC_RegisteredMemoryReference. 485.2.6 TEEC_Value. 495.2.7 TEEC_Parameter.495.2.8 TEEC_Param.505.2.9 TEEC_Operation. 505.2.10 TEEC_Context.515.2.11 TEEC_Session. 515.2.12 OPEN_SESSION_DATA. 525.2.13 CLOSE_SESSION_DATA.535.2.14 INVOKE_SESSION_DATA. 535.2.15 TEE_OPERATION_TYPE.545.2.16 TZ_CMD_DATA.545.3常量/宏定义.555.3.1 TEE Client API中的常量.555.3.2驱动程序的宏定义. 55VI 目录5.4应用层接口的实现. 565.4.1 TEEC_InitializeContext. 565.4.2 TEEC_OpenSession. 575.4.3 TEEC_CloseSession.585.4.4 TEEC_InvokeCommand.585.5驱动程序的实现. 595.5.1切换到监视器函数. 595.5.2打开会话接口. 595.5.3关闭会话接口. 595.5.4调用会话命令接口. 605.6监视器的实现. 605.4本章小节. 61第六章可信操作系统的验证-安全支付案例的实现. 626.1当前 PC安全支付方法回顾. 626.2普通移动支付的潜在危险. 636.3移动安全支付解决方案. 646.4移动安全支付实现. 666.4.1银行服务端的实现. 666.4.2 T-OS端安全支付服务的实现.676.4.3 Android端在线商店的实现.696.4.4安全支付模型 Demo展示. 706.5本章小节. 72第七章系统评估. 737.1监视器效率. 737.2 T-OS大小.737.3健壮性测试. 747.3.1双系统通信测试. 747.3.2 Android稳定性测试.747.4本章小节. 75第八章总结与展望. 76致谢. 77参考文献. 78VII 目录在学期间取得的与学位论文相关的研究成果. 80VIII 第一章绪论第一章绪论1.1课题背景及意义随着智能终端的快速发展以及普及，人们已经对智能终端的依赖越来越高。例如在 20世纪刚刚出现的价格不菲的“大哥大”在经过十多年的发展之后，经过功能机过渡，现在它们大部分都已经成为了几乎人手一部的智能手机，其功能也已经远远不止打电话、发短信，甚至玩游戏、照相等新功能，正因为它的“智能”，人们可以通过多种渠道下载各种应用来丰富完善自己的智能终端，让自己的终端变得智能来提高自己的工作效率或者丰富自己的精神生活。因此，在这种趋势下，人们已经开始与智能终端形影不理，对智能终端的依赖性越来越高。由于移动互联网的快速迭代性，以及智能终端的便利性，智能终端已经开始大势地占有传统 PC的市场，在这种不可逆的趋势下，自然而然地开始不断涌现出越来越多的新兴移动互联网企业来开发专门针对于智能终端的移动软件，而传统的互联网厂商也不得不大张旗鼓地通过各种渠道将自己所发布的 PC软件快速移植到智能终端上来稳住自己在 PC上的优势，从而与新兴的移动互联网厂商较劲。从这一点也不难看出，正因为人们对智能终端的依赖性越来越高，也才会引起传统互联网企业抛开一切都要与新兴互联网企业进行厮杀抢占移动市场。世间万物皆有两面性，正在展开“大开杀戒”的智能终端同样如此。不得不提到的是，操作系统的安全性是保障软件正常运行的基石。智能终端的运行原理跟 PC的运行原理几乎是完全一致，硬件部分也包含有主板、CPU、内存等，软件部分则是一个嵌入式的操作系统作为载体运行着各种各样的应用程序，即智能终端好比为一个微型 PC，可以被用户随身携带的一个 PC。因此，曾经以及现