ThunderSec3.0技术白皮书.PDFVIP

ThunderSec3.0技术白皮书 面向行业的软硬一体安全办公解决方案 TS |中科创达安全技术研究组|2016年4月16日 一、整体介绍 ThunderSec3.0是中科创达面向政府、金融、运营商、能源、制造等企业推出的新一代企业级软硬 OS 一体安全办公解决方案。为客户移动终端在使用企业资源时，提供从硬件、 、应用、数据到链 路等多层次的安全防护方案，确保企业数据和应用在移动终端上的安全性。 在硬件层面，中科创达作为全球最大的移动操作系统服务商，基于和芯片厂商和移动设备厂商的良 好合作，充分发挥出移动终端的硬件安全保护能力，比如CPU芯片的TrustZone技术，指纹安全 技术，智能安全TF卡技术等，保证为企业提供的终端都是定制了安全硬件保护方案的，确保设备 的根可信，核心的密钥和算法的可信。 在操作系统层面，中科创达基于对操作系统的深厚积累，提供操作系统的层面的安全域隔离技术和 加密技术，为企业应用提供隔离的运行环境，对企业敏感信息进行多层面的加密，同时提供多种切 换方式，满足企业对隐藏安全域或者一键切换安全域的需求。同时从操作系统层面提供更加强大的 设备管理功能，满足企业设备从发放到注销的完整生命周期以及各种使用场景的管理需求，对外提 供SDK可支持任何三方EMM管理系统对设备进行管理。 在应用程序层面，中科创达的安全应用团队经过3年的积累，提供多种通用性安全应用以及满足企 业办公需求的辅助办公类应用，解决了企业在移动终端上信息加密（文件，拍照，输入法等），通 信加密（VPN，加密短信，加密网络电话，加密邮件等），安全办公（加密企业通讯录，统一认证 等）这些常见的应用使用场景。同时提供EMM系统，支持部署到企业私有云以及直接提供公有云 服务，满足安全应用推送，消息推送，内容推送等现代企业云管端的需求。 二、硬件安全介绍 TrustZone TF 硬件安全主要涉及到 ，指纹，安全智能 卡等方面的安全技术。 a) TrustZone技术 ARM TrustZone技术本质上是一种虚拟化技术，通过将处理器状态分为安全和非安全状态，并且 配合其他总线以及外设上的安全属性来实现遍布整个硬件系统的安全。ARM TrustZone有自己的 安全引导过程以及个性化的软件更新过程，也有自己的硬件随机数产生器，并且同应用处理器之间 是通过中断驱动的Monitor模式以及共享内存来进行通信。 TrustZone SecureOS TEE TrustExecutionEnvironment 基于 之上有一个 ，业界通常所说的 （ ）就 是指SecureOS执行环境，目前影响力比较大的SecureOS是高通公司的QSEE （高通芯片代码预 Trustonic Trustonic MTK OEM 制，基本功能免费）， 公司的 （ 芯片代码默认方案，需要 单独购 买），以及华为的TEE （华为芯片预制），同时目前还有一些三方SecureOS，比如Google开源 的TrustyOS，韩国的SolaciaOS 以及国内的豆荚OS等。中科创达提供基于QSEE，Trustonic等 主流SecureOS上的安全解决方案。 中科创达ThunderSec3.0安全方案解决方案涉及到TEE 的功能有： 功能点 涉及到TEE 的部分 TEE技术点说明 安全启动 安全启动中，OS 的镜像一层层进行校验，校 TEE驱动 （SecureBoot） 验通过后安全启动。 TEE加解密 安全域认证 安全域初始化密钥存储在TEE，支持PIN，密 TEE安全文件存储 码，图案等。