再谈三星KNOX安全解决方案
昨天谈到三星的KNOX,今天再谈谈三星KNOX安全解决方案,跟着白皮书来聊一聊!
昨天文章如下:
KNOX白皮书,从5个方面阐述了三星KNOX方案:
1,移动安全性迫在眉睫。
2,背景:手机的软硬件,设备安全性。
3,三星KNOX概述。
4,深度讨论这背后的技术。
5,如何进行企业数据保护。
应该来说,三星KNOX作为三星手机的一个安全方案,从用户感受到技术实现都形成了一整套成熟的安全保护方案,只是目前在市场推广上重点转向了企业安全市场。但学习其安全方案,有助于国内如火如荼的移动终端安全市场正视差距,更好的提升自己!具体说来,三星KONX是从五个层面整体上考虑的安全方案。
1,从android 层上来看,主要有3个方面的做法:KNOX workspace、SE for android 、敏感数据保护。这是从软件层面保护的角度来实现的安全,KONX既是一个安全方案,同时也是一个消费者看得见摸得着的功能。
2,kernel层,主要是从linux系统上来改进安全。比如说dm-verity (device mapper verity)、全盘加密等等。我们知道,CVE上漏洞被爆出的许多安全问题,也是从linux作为出发点的。目前android在安全性上发力点也就在linux层。
3,TrustZone,包括昨天介绍的TIMA,这一点与目前TEE厂商的传统做法有点不一样。目前国内的TEE厂商总在从资源的角度上讲安全,三星从安全主动防御的角度,通过整体设计,完成了SOC层到应用层的全方位的防御,并且是用户可感知的,而目前国内TEE厂商还只是停留在为了安全而必须要用TEE或者SE的层次,比如IFAA标准,SOTER标准就明确要求用到TEE而用。
4,bootloader层,主要是做两个方面的工作,安全启动和防回滚保护。这一部分目前各个厂商也都能够愉快的实现。
5,硬件层,硬件层是上层安全方案的保证和基础。这一部分KNOX能做的工作就比较多了,因为三星作为一家SOC芯片厂商,也作为一家手机厂商.......在安全方面实在有着天然的优势。比如KNOX植入了三星安全启动KEY,防回滚保护FUSES,设备根密钥,硬件唯一识别号、KNOX标识BIT位等等。
上述5个方面是环环相扣的,比如没有硬件层的根密钥,TIMA也就无法实现。
白皮书从android本身安全性欠缺出发、如何在设备上保护户数据和企业数据?设备被盗后怎么办?等等方面进行深入阐述。
另外说一下TEEgris,这个是三星的TEEOS。目前得知信息不多,只是宣称能支持如下TEE特性。
值得注意的是TEEgris的多线程应用开发和多核这两个特点应该是许多TEE方案商所无法实现的。