當前位置:首頁 >影樓攝影 >攝影教程 >安卓陣營的安全架構歷史:一直被“無視”的核心功能

                    攝影教程 安卓陣營的安全架構歷史:一直被“無視”的核心功能

                    文章來源:來自網絡   我要投稿  

                      雖然大家都知道硬件安全很重要,但它從來都沒有獲得過與其重要度匹配的關注度。而榮耀在1月10日發布的Magic V,除了新一代驍龍8移動平臺和折疊屏,還重點宣傳了很久沒有進入公眾視野的安全功能。

                      

                    安卓陣營的安全架構歷史:一直被“無視”的核心功能


                      榮耀Magic V的官方宣傳是“一個保險柜和兩把鎖”,搭載榮耀首款獨立安全存儲芯片,擁有獨立于安卓操作系統之外的雙TEE(可信執行環境)安全系統。其有隱私維修模式并能隨時切換,可以遠程鎖定SIM卡,遭到惡意刷機后也會要求賬號密碼,即便物理破解存儲芯片也無法讀取個人數據等眾多安全特性。

                      毫無疑問,智能手機就是普通民眾能接觸到,科技安全級別最高的產品。在智能手機就能提供極高安全性的今天,我們以最有代表性的高通為例,一起回顧一下Android陣營的安全架構歷史。

                      ARM陣營的安全硬件演進

                      提到Android,自然離不開ARM指令集和高通。前者是移動世界的基石,后者是Android陣營SoC的代名詞。從高通第一代驍龍S1問世至今,驍龍品牌走過了十四年,無論是驍龍S1到S4時期,還是“驍龍8XX”時期,高通驍龍一直都是Android旗艦的御用移動平臺。高通驍龍平臺持續強化的安全能力,是Android生態最重要的安全和隱私基礎。

                      無論是桌面平臺的TPM可信平臺模塊,還是移動端的安全芯片,一直追求的都是安全三要素:Confidenciality機密性、Integrity完整性、Availability可用性。而ARM陣營安全硬件近10年的演變,本身就是一部新功能高速發展和普及的歷史。

                      

                    安卓陣營的安全架構歷史:一直被“無視”的核心功能


                      “史前”的ARM v7指令集就引入了Security Extension概念,即CPU能夠在“普通世界和安全世界”間切換,兩個模式有獨立的MMU內存管理單元,有用于隔離內存TZASC、用于隔離外設TZP和CCI總線,可以在不增加硬件成本的情況下為提供可信執行環境。

                      在ARM v8.x時代,又先后引進了一系列的安全特性:

                      ●PAN和UAO(Privileged Execute Never和User Access Only),一定程度把內核態程序和用戶資源分隔開;

                      ● PA(Pointer Authentication)和CFI(Control Flow Integrity),防止跳轉指針被修改,保證控制流完整性,防止ROP攻擊;

                      ●而下一個里程碑,是ARM v8.4在安全世界引入的hypervisor,軟件層面支持多個TEEOS,安全級別高的支付業務可以跑在獨立的TEEOS并于通用TEEOS隔離;

                      ● ARM v8.5引入BTI(Branch Target Identifiers)和MT(Memory Tagging),前者限制間接轉跳,防JOP攻擊,后者能標記內存區域,防止溢出和UAF漏洞;

                      ● Arm v9(驍龍8 Gen 1這一代)提出了Arm CCA的概念,引入全新的“Realm機密領域”,生成對OS或虛擬機管理程序完全不透明的安全容器化的執行環境,保護正在使用的數據與代碼,并縮短信任鏈。

                      高通驍龍的安全能力演進

                      

                    安卓陣營的安全架構歷史:一直被“無視”的核心功能

                    當年驍龍845的元件示意圖↑

                      從指令集往上,到達SoC這一層,高通幾乎每代驍龍旗艦都會率先引入最新的安全功能,用戶安全和隱私的保護措施在以軍事競賽式的速度升級:

                      ●2015年的驍龍810引入SafeSwitch功能。在丟失手機后,可以遠程鎖機并輕松抹掉手機上的用戶數據,而且SafeSwitch先于操作系統啟動,讓“簡單刷機破賬號”成為歷史;

                      ● 2016年的驍龍820引入了Smart Protect,后者是首款利用高通Zeroth技術的產品,具備機器學習功能。其基于簽名的反惡意軟件服務,能自動阻止已知惡意軟件的運行,能實時監測手機的后臺并做異常警告,最終達到零時差(Zero-Day)偵測病毒、惡意軟件的效果,且能離線運行;

                      ● 2017年驍龍835內置了Qualcomm Haven安全平臺,包括內容保護、惡意軟件檢測、防盜、身份驗證等4大方面。此時的Android旗艦已經可以讓虹膜、人臉等敏感信息存放在SoC的TrustZone并與系統隔離。而與FIDO聯盟、騰訊等廠商的合作,也為指紋和虹膜移動支付鋪平了道路;

                      ● 驍龍845則帶來了獨立安全處理單元,高通稱之為“安全島”。這個爆改過的Arm SC300,有自己的CPU內核、獨立的電源供應和閃存,能將圖像、指紋識別等用戶生物信息、銀行卡等金融信息獨立存儲,自帶加密引擎,能防止篡改和重放攻擊;

                      ● 驍龍855是首款達到智能卡級別安全性的移動SoC,通過了Common Criteria EAL-4 +全球安全認證,可以省卻OEM廠商外掛安全芯片的麻煩。其更強的SPU,能用于Android StrongBox和Gatekeeper等系統,可以支持離線支付、TPM、電子身份證、加密錢包等功能,并開始支持iSIM應用。

                      ● 驍龍865首發支持當時Android系統最新的安全憑證API,并對ISP、DSP、存儲分別做了安全優化,即使安裝了惡意軟件,數據也不會被復制到安全區以外。而新的高通傳感器中樞,也能以極低的功耗提供安全防護。

                      ●驍龍888則為移動端帶來了全新的Type-1 Hypervisor支持,讓手機可以啟用同一個系統的多個實例,在進行數據的保護和隔離的同時,能在不同應用和多個操作系統間即時切換,,還能讓Hypervisor應用數據完全與主要操作系統內的其他應用隔離。另外,其也支持Adobe的CAI數字驗證標準,能為照片制作加密印記,用于驗證數字內容的真實性。

                      全新一代驍龍8,全新的移動安全架構

                      全新一代驍龍8在2021驍龍技術峰會發布。發布會開頭就緊貼熱點,是元宇宙。5G、計算機視覺、頭部/眼球/姿勢追蹤以及工具、3D重建、感知算法、情境語言理解/音頻增強和創作支持,應有盡有。

                      而此時的驍龍,已經是包含50多個芯片組的完整平臺,一切都要建立在安全的基礎上。今年發布會,開場致辭之后第一個說的就是安全,從其排位比影像、AI、游戲都要靠前,就知道高通對安全特性的重視程度。

                      首先,上一代引入的深度保護層,現在面向合作伙伴和客戶開源了,宣稱將允許應用程序和服務與SoC的更多部件進行交流,從而在虛擬化環境提供更多特性。

                      

                    安卓陣營的安全架構歷史:一直被“無視”的核心功能


                      高通也繼續貫徹深度防御(Defense-In-Depth)策略,在Hypervisor之上再加了一個安全層——全新的信任管理引擎(Trust Management Engine)。其運行在Android系統和其他安全服務的管理程序層之下,即使高級別的軟件堆棧受損,也能保護低級別數據的安全,并為應用和服務提供額外信任根(Root of Trust)。這個信任管理引擎甚至可以和云端等其他安全技術協同工作,通過云端的網站與應用信用評估,改變本地策略,對新風險第一時間做出反應,實現從芯片到云端的信任防護。

                      在高通宣稱是保險庫級別的安全配置下,新一代驍龍8成為全球首個符合Android Ready SE標準的移動平臺。而后者是Google在2021年3月發起,用于SE安全芯片標準的研發和推廣的聯盟,目標上是通過開源的SE安全接口和程序,讓手機、平板、汽車等智能設備可以用作住房鑰匙、車鑰匙、數字錢包/貨幣、電子駕照、護照使用,讓更多的實體物品數字化。

                      全新一代驍龍8也是首個能讓創作者直接在手機上鑄造NFT“非同質化代幣”的移動平臺,可以為數字內容“蓋印”并保存在區塊鏈賬簿。高通還與各國政府、通訊服務商建立連接安全場景,實現Stingray偽基站防護,提供惡意蜂窩網絡識別,阻斷其數據連接等功能。新驍龍8的安全處理單元SPU同樣集成iSIM,只要應用廠商愿意,隨時都可以代替物理SIM卡和卡槽來節省寶貴的機身空間。

                      另外,驍龍8可以在不錄像和錄音的情況下,完成全天候的視覺感知,它甚至可以檢測到旁邊的人偷看屏幕并自動鎖屏。而加密性能的提升,也讓驍龍8打破以前驍龍平臺800MB/s的持續寫入速度限制。

                      總結

                      雖然元宇宙還是當紅概念,但每天數十億臺移動設備、數百億次的應用調用、數千億次的服務請求,手機對現代生活的重塑,其實早就讓我們身處數字“元宇宙”當中。

                      移動支付、電子駕照、電子身份證的普及,上至VR/AR的未來,下至車鑰匙、錢包、貨幣的數字化,數碼生活還會繼續下沉滲透。移動設備,特別是智能手機的安全功能,其重要性再怎么強調都不為過。

                      

                    安卓陣營的安全架構歷史:一直被“無視”的核心功能


                      下游應用領域往前狂奔的基礎,是高通這些上游供應商提前做好的安全硬件支撐,F代智能手機誕生的第12年,生物識別大規模應用的第8年,高通驍龍為代表的移動SoC,其軟硬件安全功能已經在一輪輪的攻防戰中得到了前所未有的增強。而全新一代驍龍8,也從TrustZone到Hypervisor,再到信任管理引擎、Android Ready SE標準和NFT的支持,讓移動安全進入了新的階段。

                      科技在被展望時是那么聲勢浩大,在實現時又是那么悄無聲息,F在反過來看,智能設備底層的安全性問題,從來都沒有獲得過與其重要度匹配的關注度,這或許是件好事。無比低調,甚至很難被感知到,就是對眾多強大安全特性最完美注腳。

                      (本文內容轉自雷峰網)



                    官方微博:@全影網 https://weibo.com/7192com

                    官方微信:想在手機上獲取最新鮮資訊嗎?添加全影網官方微信:www7192com

                    免責聲明:

                    本站部分內容、觀點、圖片、文字、視頻來自網絡,僅供大家學習和交流,真實性、完整性、及時性本站不作任何保證或承諾。如果本站有涉及侵犯您的版權、著作權、肖像權的內容,請聯系我們(0536-8337192),我們會立即審核并處理。

                    關鍵詞: 歷史 手機 數據 功能 全新 核心 高通 一代 架構 陣營 惡意

                    我要評論

                    當前已有loading...個參與
                    驗證碼: 驗證碼,看不清楚?請點擊刷新驗證碼

                    名企招聘

                    人才求職

                    婚紗攝影

                    智慧經營X 關閉

                    掃描訪問手機版

                    趴着紧还是站着紧