國(guó)煒　王宗岳　焦四輩　翟世俊　李喬

摘要：為了闡述移動(dòng)終端上兩種用于安全應(yīng)用的隔離技術(shù)TEE和虛擬化的異同，首先分析了每一種隔離技術(shù)的框架和系統(tǒng)原理，隨后通過(guò)分析這兩種隔離技術(shù)在安全框架、SoC實(shí)現(xiàn)、生態(tài)維護(hù)、應(yīng)用場(chǎng)景方面的差異，總結(jié)了在實(shí)際移動(dòng)終端安全方案的設(shè)計(jì)中應(yīng)考慮的因素。

關(guān)鍵詞：移動(dòng)終端 安全隔離 可信執(zhí)行環(huán)境 虛擬化

1 引言

隨著移動(dòng)應(yīng)用、移動(dòng)終端操作系統(tǒng)、集成電路等技術(shù)領(lǐng)域的飛快發(fā)展，移動(dòng)智能終端的存儲(chǔ)、計(jì)算、通信等能力的迅速提升，其已不再局限于通信和娛樂等領(lǐng)域，已經(jīng)廣泛應(yīng)用于移動(dòng)辦公、金融支付等與人們工作和生活密切相關(guān)的眾多領(lǐng)域。移動(dòng)智能終端為了追求種類豐富的應(yīng)用和機(jī)制的用戶體驗(yàn)，通常搭載開放的操作系統(tǒng)。但是，開發(fā)的系統(tǒng)容易引入系統(tǒng)漏洞和惡意病毒，導(dǎo)致金融風(fēng)險(xiǎn)、個(gè)人及企業(yè)信息泄露等安全問(wèn)題。

為了打造更安全的移動(dòng)智能終端，學(xué)術(shù)及產(chǎn)業(yè)界相繼提出了應(yīng)用、操作系統(tǒng)、硬件等層面的隔離技術(shù)及方案，確保移動(dòng)終端數(shù)據(jù)和應(yīng)用的安全性。因此近幾年，TEE（Trusted Execution Environment，可信執(zhí)行環(huán)境）和移動(dòng)終端虛擬化技術(shù)被廣泛地涉及，然而就應(yīng)用模式和安全要求來(lái)說(shuō)，TEE和虛擬化技術(shù)有著本質(zhì)的不同。本文將從應(yīng)用模式額安全要求兩個(gè)維度來(lái)闡述這兩種技術(shù)的共同點(diǎn)與差異。

2 TEE

2.1 TEE的產(chǎn)生

TEE作為一種移動(dòng)安全技術(shù)，由標(biāo)準(zhǔn)化組織GlobalPlatform開發(fā)并應(yīng)用于移動(dòng)安全應(yīng)用中。它為實(shí)現(xiàn)智能終端安全目標(biāo)和產(chǎn)業(yè)利益相關(guān)方的需求提供了較佳的解決方案，找到了終端開放性與安全性之間的平衡點(diǎn)。TEE是一種隔離的執(zhí)行環(huán)境，與搭載REE（Rich Execution Environment，通用的操作系統(tǒng)）一同運(yùn)行，其安全水平高于REE，足以滿足大多數(shù)移動(dòng)用戶的安全需求。搭載TEE的智能終端在提供豐富應(yīng)用的同時(shí)，能夠滿足金融支付、隱私保護(hù)、數(shù)字版權(quán)保護(hù)等應(yīng)用的高安全需求，得到了用戶和智能終端廠商、服務(wù)提供商的廣泛認(rèn)可。

TTE提供了硬件芯片、操作系統(tǒng)、應(yīng)用軟件三個(gè)層面的隔離，來(lái)保護(hù)用戶的敏感數(shù)據(jù)與敏感操作。在硬件芯片層面上，TEE使用的CPU、內(nèi)存和存儲(chǔ)空間與REE完全隔離，REE無(wú)法直接訪問(wèn)TEE硬件資源。在操作系統(tǒng)層面上，TEE內(nèi)搭載獨(dú)立的安全操作系統(tǒng)，用于實(shí)現(xiàn)密碼運(yùn)算、密鑰管理、安全存儲(chǔ)、安全時(shí)鐘、安全用戶接口等安全功能，保護(hù)用戶的敏感操作。在應(yīng)用層面上，應(yīng)用軟件被分為安全部分和非安全部分，REE用于實(shí)現(xiàn)圖形界面、音效等非安全部分；而TEE用于實(shí)現(xiàn)身份認(rèn)證、加密存儲(chǔ)等安全部分，REE下的應(yīng)用只能通過(guò)調(diào)用TEE客戶端API接口與TEE中的可信應(yīng)用進(jìn)行交互，訪問(wèn)TEE操作系統(tǒng)中的安全資源和安全服務(wù)，在未授權(quán)訪問(wèn)的情況下，REE中的應(yīng)用不能訪問(wèn)TEE的任何資源。

2.2 TEE的軟件安全架構(gòu)

TEE的軟件安全架構(gòu)如圖1所示[2]，由兩個(gè)分離的部件集組成：第一部分是REE端客戶端應(yīng)用和API，其中API包含TEE功能API和TEE客戶端API，客戶端應(yīng)用使用TEE客戶端API接入到右側(cè)的可信應(yīng)用提供的安全服務(wù)。REE通信代理提供REE和TEE之間的安全通道；第二部分是TEE端的可信應(yīng)用、可信操作系統(tǒng)（包含TEE通信代理、可信核框架、可信功能、以及可信內(nèi)核）與可信外圍設(shè)備（包括可信用戶界面、安全元件、存儲(chǔ)空間等）。

運(yùn)行在TEE內(nèi)的可信應(yīng)用使用TEE內(nèi)部API訪問(wèn)TEE內(nèi)的通用的安全功能?？尚藕丝蚣転榭尚艖?yīng)用提供類似操作系統(tǒng)的功能，可信功能為應(yīng)用開發(fā)者提供必要的支持能力。

2.3 TEE的安全屬性

（1）基于硬件隔離機(jī)制的平臺(tái)封閉性

可信執(zhí)行環(huán)境提供基于硬件隔離的安全執(zhí)行區(qū)域來(lái)保護(hù)數(shù)據(jù)安全和程序正確執(zhí)行，實(shí)現(xiàn)TEE需要將設(shè)備的硬件和軟件資源全部劃分成安全區(qū)域和非安全區(qū)域，兩個(gè)區(qū)域具有獨(dú)立的系統(tǒng)資源，包括寄存器、物理內(nèi)存和外設(shè)，不能隨意進(jìn)行數(shù)據(jù)交換。安全區(qū)域中的代碼和資源受到嚴(yán)格的訪問(wèn)控制策略保護(hù)，非安全區(qū)域的進(jìn)程禁止訪問(wèn)安全區(qū)域，以保證存儲(chǔ)在安全區(qū)域的資源不被非法訪問(wèn)或竊取；安全區(qū)域用于實(shí)現(xiàn)TEE，運(yùn)行安全操作系統(tǒng)、存儲(chǔ)密鑰及執(zhí)行安全敏感的任務(wù)，保證了TEE平臺(tái)的封閉性，能夠有效減少系統(tǒng)漏洞的披露、外界的攻擊和病毒的入侵。

（2）基于信任鏈機(jī)制的平臺(tái)完整性

為了保證整個(gè)系統(tǒng)的安全，TEE從系統(tǒng)引導(dǎo)啟動(dòng)開始逐步驗(yàn)證，保證TEE平臺(tái)的完整性。設(shè)備上電復(fù)位后，加載ROM中的安全引導(dǎo)程序，并利用根密鑰驗(yàn)證其完整性。然后，該引導(dǎo)程序進(jìn)入TEE初始化階段并啟動(dòng)安全操作系統(tǒng)，逐級(jí)核查安全操作系統(tǒng)啟動(dòng)過(guò)程中的各個(gè)階段的關(guān)鍵代碼以保證安全操作系統(tǒng)的完整性，同時(shí)防止未授權(quán)或經(jīng)過(guò)惡意篡改軟件的運(yùn)行。安全操作系統(tǒng)啟動(dòng)后，運(yùn)行普通執(zhí)行環(huán)境的引導(dǎo)程序并啟動(dòng)普通操作系統(tǒng)。至此基于信任鏈完成了移動(dòng)終端整個(gè)系統(tǒng)的安全啟動(dòng)，能夠有效抵御TEE啟動(dòng)過(guò)程中的非法篡改、代碼執(zhí)行等惡意行為。

（3）基于安全存儲(chǔ)機(jī)制的平臺(tái)機(jī)密性

用戶的身份、密鑰和證書等敏感信息需要高度保護(hù)，TEE通過(guò)使用加密和完整性技術(shù)來(lái)保護(hù)安全敏感的數(shù)據(jù)和密鑰。對(duì)于安全存儲(chǔ)來(lái)說(shuō)，最大的風(fēng)險(xiǎn)是密鑰的非安全存儲(chǔ)以及密鑰在使用過(guò)程中的對(duì)外暴露[3]，TEE提供基于硬件隔離的安全環(huán)境來(lái)存儲(chǔ)和處理敏感信息，增強(qiáng)了密鑰等敏感信息使用的隔離性和安全性，可以有效保證敏感信息的安全存儲(chǔ)，防止密鑰隱私信息泄露。

2.4 基于TrustZone的TEE實(shí)現(xiàn)

ARM公司在2006年提出TEE概念，基于這個(gè)概念提出了硬件虛擬化技術(shù)TrustZone及相關(guān)硬件IP方案，并逐漸應(yīng)用于主流的ARM架構(gòu)的芯片處理器上。TrustZone技術(shù)包括ARM處理器架構(gòu)以及系統(tǒng)架構(gòu)上硬件安全體系的擴(kuò)展，其目的是防范設(shè)備可能遭受的多種特定威脅[4]。目前，ARM TrustZone是在移動(dòng)智能終端上構(gòu)建TEE安全方案的主流技術(shù)。

TrustZone技術(shù)的關(guān)鍵是隔離，即在處理器架構(gòu)上，每個(gè)物理的處理器核提供兩個(gè)虛擬核，一個(gè)是非安全核（Non-secure），另一個(gè)是安全核（Secure），同時(shí)通過(guò)使用監(jiān)視模式來(lái)進(jìn)行兩個(gè)虛擬核的狀態(tài)切換。TrustZone技術(shù)將所有SoC（System-on-a-Chip，片上系統(tǒng)）硬件資源和軟件資源進(jìn)行隔離，使這些資源分別屬于由兩個(gè)狀態(tài)核所控制的執(zhí)行區(qū)域中。通過(guò)TrustZone的總線硬件邏輯來(lái)可確保非安全執(zhí)行內(nèi)的區(qū)域組件無(wú)法訪問(wèn)安全區(qū)域資源，以便在這兩個(gè)區(qū)域之間構(gòu)成一道強(qiáng)大的隔離邊界。將敏感的數(shù)據(jù)和密鑰資源放入安全執(zhí)行區(qū)域，以及在安全狀態(tài)的處理器內(nèi)核中運(yùn)行可信的軟件，可確保敏感資源能夠防范眾多潛在的攻擊，包括使用鍵盤或觸摸屏等輸入設(shè)備來(lái)竊取密碼等。TrustZone技術(shù)的硬件和軟件架構(gòu)如圖2所示[5]。

3 虛擬化技術(shù)

3.1 概述

虛擬化是一個(gè)廣義的術(shù)語(yǔ)，是一個(gè)為了簡(jiǎn)化管理，優(yōu)化資源的解決方案。如同現(xiàn)在空曠、通透的寫字樓，整個(gè)樓層幾乎看不到墻壁，用戶可以用同樣的成本構(gòu)建出更加自主適用的辦公空間，進(jìn)而節(jié)省成本，發(fā)揮空間最大利用率[6]。

虛擬化技術(shù)既是使用控制程序（Control Program，也被稱為Virtual Machine Monitor或Hypervisor），隱藏特定計(jì)算平臺(tái)的實(shí)際物理特性，為用戶提供抽象的、統(tǒng)一的、模擬的計(jì)算環(huán)境（稱為虛擬機(jī)）。虛擬機(jī)中運(yùn)行的操作系統(tǒng)被稱為客戶機(jī)操作系統(tǒng)（Guest OS），運(yùn)行虛擬機(jī)監(jiān)控器的操作系統(tǒng)被稱為主機(jī)操作系統(tǒng)（Host OS）[7]，所以在某種意義上來(lái)說(shuō)，虛擬化技術(shù)實(shí)現(xiàn)了某種程度的資源隔離。根據(jù)虛擬化技術(shù)所實(shí)現(xiàn)的隔離層次來(lái)說(shuō)，可以將虛擬化技術(shù)分為軟件的虛擬化和硬件虛擬化。在軟件虛擬化技術(shù)方案中，虛擬機(jī)中的操作系統(tǒng)可以看成是真實(shí)操作系統(tǒng)下的一個(gè)應(yīng)用程序，這樣，虛擬操作系統(tǒng)上執(zhí)行的應(yīng)用程序到實(shí)際真實(shí)的操作系統(tǒng)之間，就要比通常的真實(shí)操作系統(tǒng)上的應(yīng)用程序多經(jīng)過(guò)一個(gè)通信層。而CPU層虛擬化技術(shù)是一種硬件實(shí)現(xiàn)虛擬化的方案，通過(guò)特別的指令集，來(lái)使支持虛擬化方案的CPU來(lái)控制虛擬過(guò)程。通過(guò)這些特別的指令集以及CPU的虛擬化，可以很容易提高虛擬機(jī)的性能，相比軟件的虛擬化技術(shù)在性能和安全性方面得到了很大程度的提高。

本文為了將虛擬化技術(shù)與TEE做等實(shí)力的對(duì)比，將著重采用Hypervisor Type 1類型的虛擬化，這種類型是直接將虛擬化放在硬件平臺(tái)上，實(shí)現(xiàn)了硬件平臺(tái)上操作系統(tǒng)的一部分功能。而Hypervisor Type 2是將其作為宿主操作系統(tǒng)的一個(gè)應(yīng)用程序來(lái)運(yùn)行。在此種情況下，宿主操作系統(tǒng)直接運(yùn)行在硬件上，用Hypervisor應(yīng)用程序創(chuàng)建虛擬機(jī)，虛擬機(jī)里面運(yùn)行的操作系統(tǒng)稱為客戶操作系統(tǒng)。

3.2 虛擬化技術(shù)（Type 1）架構(gòu)

通過(guò)使用CPU的超級(jí)權(quán)限模式（Supervisor Mode）將控制程序（Hypervisor）與虛擬機(jī)進(jìn)行隔離，同時(shí)通過(guò)控制程序所控制的MMU（Memory Management Unit，內(nèi)存管理單元）將每一個(gè)虛擬機(jī)進(jìn)行隔離。

圖3是兩種可能的架構(gòu)圖示[8]。左邊的圖示表示了控制程序工作在管理用戶模式（Supervisor Mode），而客戶操作系統(tǒng)及他們的應(yīng)用工作在用戶模式。右邊的圖示表示了控制程序工作在控制模式（Hypervisor Mode），控制模式較管理用戶模式具有更多的特權(quán)，它允許一個(gè)客戶操作系統(tǒng)工作在管理用戶模式，而它的應(yīng)用工作在用戶模式，因此控制模式下保證了受來(lái)自客戶操作系統(tǒng)的最小的干擾。ARM Cortex A15支持控制模式，除此之外，它還具有一些擴(kuò)展能力，如中斷處理、頁(yè)表管理等。

3.3 TEE和虛擬化架構(gòu)

ARM Cortex A15采用硬件隔離的安全方案來(lái)同時(shí)支持TEE和虛擬化技術(shù)[9]，也就是說(shuō)在一套芯片核上TrustZone與控制模式（Hypervisor Mode）共存。

TrustZone：將CPU和其它硬件資源分為Non-Secure和Secure兩種狀態(tài)。Non-Secure狀態(tài)用于執(zhí)行非可信的操作系統(tǒng)和應(yīng)用程序，Secure狀態(tài)用于執(zhí)行可信的操作系統(tǒng)和應(yīng)用程序。監(jiān)控模式（Monitor Mode）只存在于Secure狀態(tài)下，并且提供Non-Secure狀態(tài)和Secure狀態(tài)之間的切換，它是最高權(quán)限的處理器模式。

Hypervisor Mode：硬件隔離的控制器工作在CPU的Hypervisor Mode。相比Supervisor Mode，Hypervisor Mode具有更高的權(quán)限，這種模式僅僅工作在處理器處于Non-Secure狀態(tài)下。

在一定程度上，監(jiān)控代碼可以被看作是控制代碼，它可以允許Non-Secure狀態(tài)和Secure狀態(tài)里的虛擬機(jī)任選其一，架構(gòu)圖如圖4所示。

在ARM Cortex A15架構(gòu)上，TEE和虛擬化都是基于硬件隔離的安全方案，這樣有效地避免了不同操作系統(tǒng)之間不必要的干擾。例如，TEE實(shí)現(xiàn)了主操作系統(tǒng)和安全操作系統(tǒng)之間通信的控制，以及安全操作系統(tǒng)與設(shè)備資源（鍵盤、顯示等）的控制。同樣，Hypervisor Mode也實(shí)現(xiàn)了不同操作系統(tǒng)之間信息傳遞的控制。

雖然虛擬技術(shù)和TEE具有看似相同的目的和概念，然而他們?cè)谀承┓矫孢€具有一定的差異化，以下將逐一介紹他們之間的不同點(diǎn)。

3.4 TEE與虛擬化技術(shù)的差異

（1）安全框架

TEE是硬件安全方案，它將安全敏感操作從REE系統(tǒng)中隔離出來(lái)，由一個(gè)特別的安全操作系統(tǒng)來(lái)執(zhí)行這些安全服務(wù)功能。這些安全服務(wù)類似于DRM（Digital Rights Management，數(shù)字版權(quán)管理）和支付，被稱為可信應(yīng)用TA。除此之外，TEE具備一些內(nèi)置的安全功能，如安全存儲(chǔ)、加解密、安全數(shù)據(jù)、可信用戶接口以及與REE保持通信功能的安全通道，并且TEE僅僅伴隨著帶有安全啟動(dòng)過(guò)程的平臺(tái)出現(xiàn)，這個(gè)安全啟動(dòng)保證了TEE環(huán)境的可靠性和完整性，這些構(gòu)成了整個(gè)平臺(tái)可信的基礎(chǔ)。

TEE環(huán)境里的所有代碼資源都是受保護(hù)的，并且對(duì)這些代碼的管理是需要一定的基于硬件控制的權(quán)限，而非軟件控制的權(quán)限。可信應(yīng)用的下載和安裝也是基于一定的信任基礎(chǔ)上，特別對(duì)于第三方開發(fā)的可信應(yīng)用，在應(yīng)用下載和安裝之前，都要對(duì)該應(yīng)用的來(lái)源做鑒別和認(rèn)證，這樣就減少了惡意軟件、木馬程序?qū)Π踩僮飨到y(tǒng)的攻擊。

相比TEE的安全功能，虛擬化技術(shù)允許在一個(gè)主機(jī)處理器上執(zhí)行多個(gè)操作系統(tǒng)，這些操作系統(tǒng)雖然彼此隔離，但是并沒有使這些操作系統(tǒng)具有安全特性。虛擬化并沒有提供相應(yīng)的接口來(lái)處理安全功能，更沒有分離出安全硬件。如果其中一個(gè)操作系統(tǒng)面臨攻擊，雖然其它的操作系統(tǒng)都是彼此間相互隔離，可這些其它的操作系統(tǒng)卻同樣面臨著被攻擊的危險(xiǎn)。從將操作系統(tǒng)彼此隔離以便保證一些操作系統(tǒng)的安全角度來(lái)說(shuō)，虛擬化技術(shù)突顯弱化。

（2）SoC實(shí)現(xiàn)

SoC實(shí)際上是一個(gè)很復(fù)雜的系統(tǒng)，對(duì)于ARM架構(gòu)的芯片來(lái)講，TEE的實(shí)現(xiàn)是基于TrustZone技術(shù)，也就是說(shuō)當(dāng)處理器處于Secure狀態(tài)下時(shí)開始執(zhí)行TEE中的安全功能。同時(shí)處理器的狀態(tài)信息會(huì)傳遞到總線以及SoC的外圍設(shè)備接口中，這樣就在給定的狀態(tài)中無(wú)形地增加了一個(gè)防火墻配置，以此來(lái)決定哪些外圍設(shè)備可以訪問(wèn)，哪些不能訪問(wèn)。這種在Secure狀態(tài)下的配置可以是靜態(tài)配置，也可以是動(dòng)態(tài)配置，因此TEE具有一定的權(quán)限訪問(wèn)系統(tǒng)所有外圍設(shè)備，然而REE中的操作系統(tǒng)或控制器只能訪問(wèn)那些沒有安全標(biāo)簽的資源。除此之外，硬件調(diào)試能力也可以基于CPU處于安全模式下配置，例如將對(duì)設(shè)備的調(diào)試功能在CPU處于Non-Secure模式下開啟，而在CPU處于Secure模式下關(guān)閉。

對(duì)于SoC系統(tǒng)，TEE具有控制所有硬件外圍設(shè)備并在CPU不同的狀態(tài)下過(guò)濾對(duì)這些外圍設(shè)備的訪問(wèn)，這樣系統(tǒng)自己就要很清楚目前是哪一個(gè)執(zhí)行環(huán)境正在訪問(wèn)哪些資源。

而對(duì)于虛擬化技術(shù)來(lái)說(shuō)，控制器僅僅是軟件部件，它可以直接接入外圍設(shè)備，系統(tǒng)自己并不感知虛擬機(jī)，因?yàn)樘摂M化僅僅是用來(lái)組織運(yùn)行在ARM核上的軟件，所以依靠它來(lái)打造一個(gè)完整的安全系統(tǒng)會(huì)非常的困難。并且，控制器必須非常小心地處理所有可能的非直接存儲(chǔ)訪問(wèn)，這就意味著所有的總線管理者（如DMA、多媒體加速器、顯示控制器等）也必須要被虛擬化，有的時(shí)候這些僅僅被一個(gè)操作系統(tǒng)使用，否則操作系統(tǒng)會(huì)使用硬件來(lái)間接地訪問(wèn)其它虛擬機(jī)的地址空間。

在ARM SoC系統(tǒng)上，虛擬化僅僅受限在ARM核，這樣系統(tǒng)其實(shí)并不感知虛擬機(jī)。明顯地，如果與DMA或者顯示控制器交互的所有交互必須經(jīng)過(guò)控制器，這樣勢(shì)必會(huì)帶來(lái)性能的影響，并且大量的復(fù)雜化設(shè)計(jì)也會(huì)帶來(lái)代碼存在漏洞的風(fēng)險(xiǎn)。

（3）生態(tài)創(chuàng)建和良好維持

目前TEE已經(jīng)大量部署，對(duì)于它所依賴的平臺(tái)完全可以做到透明化，并且TEE具有操作系統(tǒng)不可知性，即無(wú)論移動(dòng)平臺(tái)使用的是什么操作系統(tǒng)，都會(huì)具有一套標(biāo)準(zhǔn)的通信接口來(lái)保證操作系統(tǒng)與運(yùn)行在TEE中的可信應(yīng)用互相通信。除此之外，從平臺(tái)的部署、平臺(tái)的認(rèn)證，到業(yè)務(wù)的開發(fā)與部署，所有的環(huán)節(jié)都已就緒，這位移動(dòng)行業(yè)以及應(yīng)用服務(wù)提供商使用TEE技術(shù)來(lái)執(zhí)行安全敏感的應(yīng)用和保護(hù)敏感的信息提供了一整套成熟的技術(shù)與生態(tài)。

TEE聚焦在硬件安全特性，這些硬件特性通常前后兼容平臺(tái)版本，因此一旦TEE被移植到一個(gè)平臺(tái)，移植到這個(gè)平臺(tái)其它版本所需的工作量也會(huì)有限。

相反，移動(dòng)平臺(tái)上的虛擬化產(chǎn)品并沒有一個(gè)標(biāo)準(zhǔn)化的生態(tài)來(lái)關(guān)注行業(yè)的安全需求。除此之外，虛擬化在以下兩個(gè)層面會(huì)更加受侵入，其一是虛擬機(jī)層面，為使操作系統(tǒng)在控制器上運(yùn)行，需要對(duì)操作系統(tǒng)進(jìn)行必要的移植和重編譯。其二是控制器驅(qū)動(dòng)需要適應(yīng)每一個(gè)新的平臺(tái)監(jiān)視器版本。

（4）應(yīng)用場(chǎng)景

TEE被設(shè)計(jì)成一個(gè)安全解決方案，因此在以下安全應(yīng)用場(chǎng)景，TEE發(fā)揮了強(qiáng)大的作用[10]：

1）移動(dòng)支付：涉及金融敏感性的移動(dòng)支付應(yīng)用，其需求等級(jí)較高的安全級(jí)別，通過(guò)TEE與安全元件的結(jié)合使用，來(lái)存取控制敏感數(shù)據(jù)。

2）數(shù)字版權(quán)管理：授權(quán)用戶接入到特定的媒體內(nèi)容，它可以基于過(guò)期日期、播放次數(shù)、播放設(shè)備或者其它手段來(lái)限制用戶的接入。擁有TEE設(shè)計(jì)的移動(dòng)終端將DRM敏感部件存儲(chǔ)在其安全的區(qū)域內(nèi)，靠這些敏感部件來(lái)管理版權(quán)。

3）企業(yè)應(yīng)用：可信執(zhí)行環(huán)境使企業(yè)能夠讓員工遠(yuǎn)程工作，且不必?fù)?dān)心安全風(fēng)險(xiǎn)。既可以讓員工使用自己的智能手機(jī)或平板電腦工作，又可以保證公司的安全資產(chǎn)不會(huì)冒任何丟失的風(fēng)險(xiǎn)，因?yàn)閼?yīng)用中的所有信息都采用安全存儲(chǔ)方法。

然而虛擬化技術(shù)是使多個(gè)軟件環(huán)境運(yùn)行在共享的物理資源上，因此它的使用場(chǎng)景更適用于那些以降低成本、提高效率的應(yīng)用場(chǎng)景中。

4 結(jié)論

由本文的分析可知，TEE是一種基于硬件隔離的安全解決方案，它一般被用來(lái)執(zhí)行一些敏感的應(yīng)用，如DRM、移動(dòng)金融支付以及企業(yè)移動(dòng)辦公。TEE成熟的產(chǎn)業(yè)為整個(gè)移動(dòng)行業(yè)提供了一套標(biāo)準(zhǔn)的基于平臺(tái)硬件安全能力的生態(tài)圈。

虛擬化技術(shù)是在一個(gè)共享的物理資源上分離軟件集的有用的解決方案，然而，它的初衷并不是被用來(lái)執(zhí)行安全服務(wù)。對(duì)虛擬化技術(shù)做一些擴(kuò)展性增強(qiáng)，或許能夠慢慢地改善控制器方案的安全性，但是為了它能夠像TEE一樣服務(wù)于安全敏感的應(yīng)用，它還需要更多的普及，以及簡(jiǎn)化硬件訪問(wèn)控制的設(shè)計(jì)實(shí)施。

參考文獻(xiàn)：

[1] OMTP Documents.1.1. Open Mobile Terminal Platform Advanced Trusted Environment OMTP TR1 v1.1[Z]. 2012.

[2] Global Platform Device Technology. TEE System Architecture Version 1.0[Z]. 2011.

[3] 焦四輩，楊正軍，國(guó)煒. 智能終端可信之星環(huán)境安全性分析[J]. 互聯(lián)網(wǎng)天地， 2016（8）.

[4] ARM. ARM Security Technology[EB/OL]. （2015-03-01）. http：//infocenter.arm.com/help/index.jsp？topic=/com.arm.doc.prd29-genc-009492c/index.html.

[5] 張大偉.郭煊.韓臻. 安全可信智能移動(dòng)終端研究[J]. 中興通訊技術(shù)， 2015（5）： 39-44.

[6] 數(shù)據(jù)中心. 虛擬化，虛擬化技術(shù)，虛擬化服務(wù)器，存儲(chǔ)虛擬化[Z]. 2016.

[7] 商慶同. 虛擬化管理平臺(tái)適配層的研究與評(píng)價(jià)[D]. 北京： 北京郵電大學(xué)， 2011.

[8] 鄧志. 處理器虛擬化技術(shù)[M]. 北京： 電子工業(yè)出版社， 2014.

[9] A Techcon. Virtual Prototyping Methodology to Boot Linux on the ARM Cortex A15[Z]. 2014.

[10] 國(guó)煒，潘娟. 移動(dòng)智能終端可信環(huán)境分析[J]. 現(xiàn)代電信科技， 2012（12）： 8-12. ★