随着移动互联网的飞速发展，使用手机类智能终端进行移动办公变得愈加普遍，5G时代带来了更高的网络带宽和更低的传输时延，进一步降低企事业单位推广移动办公的门槛。移动智能终端在提供丰富的接入渠道、提高工作效率的同时，也给移动办公业务安全、数据安全带来新的安全挑战，根据360互联网安全中心发布的《2018中国手机安全生态报告》显示，99.9%的手机设备存在远程攻击漏洞，89.6%的APP存在高危安全漏洞。如此多的安全漏洞表明当前移动终端的底层安全机制难以应对移动办公系统的安全要求。

移动办公面临的主要安全威胁

“移动办公系统融合了智能终端系统、移动通信协议和传统信息技术，导致移动办公系统不仅包含传统电子办公系统的安全问题，也包含移动化引入的新安全隐患。这些安全风险包括如下五个方面：

1.  移动终端违规接入

移动终端接入办公网络必须经过无线接入点，例如WIFI协议的无线路由器，4G协议的AP节点，这些无线接入点多数都需暴露在公开环境，这为攻击者带来了便利，一方面攻击者可以仿冒移动终端向无线接入点发送仿冒接入信号，另一方面攻击者可以伪装无线接入点骗取真实终端的接入数据，若缺乏有效的移动终端身份认证机制及接入权限控制措施，则办公信息系统面临非授权或异常访问的风险。

2.  系统软件漏洞利用

当移动终端系统软件的逻辑或代码存在漏洞，就可能被恶意攻击者利用，移动终端的漏洞可以被用来窃取系统敏感信息和工作秘密、提升权限、篡改数据、实行DOS攻击等，遭受攻击的类型方面与传统电子办公系统相同，随着移动办公业务的持续和发展，针对移动终端系统软件的攻击手段也会逐渐开始工具化和自动化。

3.  无线传输信道窃听

移动终端需要使用无线网络协议接入办公内网网络，目前很多公开协议存在天然的安全缺陷，导致移动终端与内网的通信暴露在不安全的网络环境之中，面临信息泄露和被篡改风险，例如手机WIFI协议普遍采用的WPA2加密协议，就曾经爆出过KRACK漏洞，黑客可以利用该漏洞注入勒索软件。

4.  办公数据缺少隔离

绝大多数办公数据局限于一定时间和一定人群范围内知晓，尤其是党政机关、金融央企等企事业单位，移动办公系统处理的工作秘密与个人信息混合使用，极易被恶意代码窃取。另外如果手机使用者保密意识不强，用手机拍照或下载包含文件，通过公开传输媒介（如微信等）传输，也可能造成严重的失泄密事件。

5.  移动终端丢失泄密

由于移动终端设备体积小巧、便于携带，导致设备容易丢失或者被盗。一旦终端丢失则终端内存储的移动办公身份凭据、工作秘密均面临严重泄露风险，目前已有因为手机丢失导致个人资金被盗的案例发生，相关的黑客攻击技术、攻击和攻击链已经具备，移动办公应用内的工作秘密也难以幸免。

可信执行环境技术简介

移动终端安全是移动办公安全的重中之重，但目前尚无全面有效的移动终端安全解决方案，传统的传输层安全协议如TLS(transport  layer  security)等可以被用于保护用户数据在网络传输时的安全,借助PKI(public  key infrastructure)技术可以实现终端的身份认证，然而这类技术的安全性是建立在移动终端系统和应用程序均为安全的前提假设下,在针对移动设备攻击极为活跃的今天,这些假设很难被满足。面对层出不穷的移动系统及应用安全漏洞,在移动终端设备上构建可信执行环境(trusted  execution environment,简称TEE)成为近年来一个备受关注的研究领域。

根据国际标准Global Platform（GP）的定义，TEE是连接设备CPU的一个安全区域，确保敏感数据在一个隔离和可信的环境中存储、处理和保护。因此，它提供了对在富执行环境(rich  execution  environment,简称REE)中生成的软件攻击的保护能力。TEE是建立可信移动终端的基础,也是构建移动办公安全解决方案的重要措施。

1.  可信执行环境体系架构

TEE是介于RichOS和SE（智能卡）之间的安全框架，能够提供安全执行授权安全软件(即“可信应用程序”(TAs))的能力，使其能够通过保护认证代码的执行、机密性、真实性、私密性、系统完整性和数据访问权提供端到端安全性。可信执行环境的体系架构如下：

图1：可信执行环境体系架构

2.  可信执行环境安全特性

• 可信环境隔离机制:所有受信任的应用程序及其相关数据都与REE分离。

• 与其他可信应用隔离:可信应用与TEE环境中的其他TA隔离。

• 应用管理控制:任何针对TA和TEE的修改都只能被授权实体执行。

• 标识与绑定:启动过程被绑定到片上系统SOC，加强了TEE固件和可信应用的真实性和完整性。

• 可信存储:TA和TEE数据被安全存储以确保完整性、机密性，防止数据被克隆到TEE以外导致敏感信息泄露。

• 外设安全访问：TEE提供API访问受信任的外设，如屏幕、生物识别传感器和SE芯片，这些外设由TEE控制。

• 先进的密码技术：包含随机数发生器、密码算法和精确时间戳。

可信执行环境在移动办公的应用

利用可信执行环境提供的安全特性，高级多媒体内容交付、移动支付、物联网、企业和政府身份识别程序等，都在寻求丰富体验与安全需求之间的平衡。TEE隔离受信任的应用程序，使它们远离Rich OS中的任何恶意软件，并与存储在TEE中的其他应用程序隔离。正因为如此，随着安全服务市场的发展，TEE正在成为移动设备的基本环境。

在移动办公领域，移动办公应用可以被看作可信应用，移动办公系统中的工作秘密是敏感数据，利用TEE的安全隔离机制、安全存储机制、外设访问控制机制，结合密钥可信根机制和PUF(物理不可克隆函数)等技术，可以为移动办公应用提供强身份认证、可信环境隔离、工作秘密防护支撑。

1.  部署安全隔离环境

在移动终端部署TEE，可为移动办公应用提供一个安全隔离环境，通过阻断TEE与REE之间的数据交互有效防止恶意攻击从普通环境向安全环境渗透。移动办公应用运行在物理隔离的处理器区域内，拥有独立内存和外设资源，而且由于TEE内可信应用之间互相隔离特性，移动办公应用与其他安全应用也处于隔离状态。

2.  提供设备远程证明

TEE是移动终端内的安全环境，移动办公系统服务端需要知道与其通信的终端是否是预期的对象，因此TEE需要向服务端提供认证凭据。最常见的方式是基于公钥密码的证明机制，TEE环境利用私钥生成数字签名，服务端使用公钥验证数字签名是否正确，由此判断该对象是否来自其宣称的计算环境。而最新的方式则是利用PUF（物理不可克隆函数）技术提供TEE环境唯一身份标识。

3.  加强应用访问控制

移动办公应用部署在TEE环境中运行于用户模式，通过TEE内部访问接口操作TEE环境内的系统资源。对于移动办公应用的加载和调度，必须通过TEE操作系统组件管理。必要时可利用可信用户界面机制（可信UI），确保屏幕显示信息来自已授权的移动办公应用，且与终端中的其他应用隔离。

4.  建立安全传输通道

移动办公应用需要在移动终端、数据中心服务器和其他移动终端之间协同工作，通常需要先部署PKI设施，然后在TEE环境中内置自身证书与CA公钥，实现安全传输的双向身份验证，用于认证的身份凭据在安全存储中得到保护。此外传输的数据需要还需要与移动办公服务器建立安全传输通道，通过密钥协商、数据加密、Hash校验、防重放等措施保护数据的机密性和完整性。

5.  加密终端关键数据

用户使用安全存储功能保存移动办公应用的敏感数据、密钥等信息。具体做法是对需要保存的数据进行加密，且每次更新安全文件所用的加密密钥都会使用随机数重新生成。不同的移动应用程序在使用安全存储功能时会生成不同的加密密钥。所有数据加密密钥与TEE环境绑定，防止数据被克隆到TEE以外，造成数据泄露。

五、结语

本文分析了移动办公面临的主要安全威胁，并利用可信执行环境技术提供的安全特性，为安全威胁提出了有针对性的解决方案。可信执行环境技术已经在在线支付、数字版权保护、身份验证等个人安全防护场景得到了广泛的应用，移动办公场景的安全威胁本质上与个人安全防护场景相同，因此可信执行环境技术在移动办公场景存在广阔的应用前景。

参考资料：

[1]刘志娟，高隽，丁启枫，王跃武 移动终端TEE技术进展研究[J] 《信息网络安全》

[2]冯维淼  荆鹏飞  朱大立 移动办公关键技术研究 [J] 保密科学技术

[3]张文 Android应用软件的安全保护技术研究[D] 北京邮电大学，2019

[4]张力 浅论移动办公环境下的移动终端安全实现[J] 保密科学技术

[5]董晶晶 霍珊珊 袁泉 孙琪 刘艺翔移动办公终端信息安全技术研究[J] 计算机技术与发展 Vol.28 NO.1

[6]GlobalPlatform,IntroductiontoTrustedExecutionEnvironments[S]www.globalplatform.org，May 2018

[7]MohamedSabt, Mohammed Achemlal and Abdelmadjid Bouabdallah  Trusted Execution Environment:What It Is, andWhat It Is Not[J]

[8]黄顺锐 基于TrustZone技术的数据安全加密方法的研究与实现[D] 北京邮电大学，2019

[9]帅峰云 黄腾 宋洋 手机安全和可信应用开发指南-Trustzone与OP-TEE技术详解 [M] 机械工业出版社

李伟东/中孚信息（北京）研究院

来源：freebuf.com 2020-10-28 15:06:44 by: 中孚信息