标签: ARMTrustZone

本论文首先基于开源项目OP．TEE和ARMTmstZone的物理隔离技术，实现普通世界与可信世界的物理隔离。接着，完善OPTEE—OS的底层硬件驱动和中断响应，确保系统的可信启动和SecureWorld的完整创建。进一步，根据现有的开源项目OP—TEE的OPTEEOS，研究和实现面向SecureWorld的微内核OSTPOS，OPTEEOS本身封装了GlobalPlatformTEE的客户端API和GlobalPlatformTEE内部API，借助OPTEEOS的API函数封装编写TrustZoneIP底层静态可信应用并提供可信服务。最后，基于GlobalPlatform组织制定的TrustedUserInterfaceAPISpecificationv1．0标准实现SecureWorld的TUI(TrustedUserInterface，可信用户界面)

本文针对基于ARMTrustZone技术的TEE方案开展研究。首先分析了移动支付和TEE的技术背景，介绍了国内外对移动设备安全问题的研究现状。随后重点描述了TEE方案使用的几种关键技术。在此基础上，我们设计并实现了一个基于TEE的移动支付原型系统，并进行了相关的功能测试和性能测试。测试结果表明，该原型系统的功能和性能均达到了预期的效果，为移动支付TEE方案的大规模应用提供了参考。

针对现存的基于软件的虚拟化解决方案存在的不足，利用ＡＲＭ标准硬件技术和赛灵思ＺＣ７０２商业平台，实现通用操作系统（ＧＰＯＳ）与轻量级实时操作系统（ＦｒｅｅＲＴＯＳ）同时运行．测试结果表明：虚拟机从ＲＴＯＳ到ＧＰＯＳ的上下文切换系统开销是３．１０μｓ，相反过程为２．６４μｓ，内存占用也仅为１ＫＢ；由虚拟机监视系统（ＶＭＭ）引入的性能开销低和内存占用较小；利用ＡＲＭＴｒｕｓｔＺｏｎｅ技术可实现一个具有低成本和高可靠性的轻量级虚拟化解决方案．

本文针对移动终端的安全性问题，以TrustZone技术和可信操作系统T-OS为基础，提出了一个安全存储方案。该方案将ARMTrustZone安全扩展机制与传统的加密技术相结合，为敏感数据的安全存储提供了更好的安全性。首先，使用TrustZone技术将系统的软硬件环境隔离为两个区，即安全区和普通区，分别对应于可信执行环境TEE和丰富执行环境REE。敏感信息存储跳转到安全区执行。硬件隔离主要是将存储芯片设置为安全状态，该状态下不允许普通区中的程序对其进行访问。软件隔离主要是操作系统的隔离以及一些应用程序。其次，根据GlobalPlatform所制定安全标准，在T-OS中添加了一个加密模块，其中实现了多种加密算法，提供信息加密、认证和签名等多种功能，用户根据具体需求进行选择。根据GlobalPlatform的安全标准和YAFFS文件系统原理还实现了一个简易文件系统，可以将加密后的信息存储在安全芯片上。接下来，在TEE中添加了一个安全存储的可信服务，结合加密模块与文件系统，实现加密存和读取解密两个功能。最后，在Android系统中实现了一个客户端应用程序，该程序对安全存储服务进行调用，并对安全存储方案的可行性进行验证