78
TEE (Trusted Execution Environments) – kritik muhim komponentlar
xavfsizligini ta’minlovchi apparat (TrustZone) va dasturiy (Secure OS +
ilovalar) vositalar majmui.
REE (Rich Execution Environment) – mobil qurilma ilovalari bilan
ishlovchi mobil operatsion tizim.
6.2-rasm. TrustZone madadili mobil qurilmalar dasturiy
ta’minotining arxitekturasi
Umuman olganda,
TEE va
REE bajarish muhitlari orasidagi farq
katta emas. Ikkalasida prosessorlarda mumkin bo’lgan barcha rejimlar
(supervisor, user, data abort va h.) mavjud. Doimo himoyalangan Monitor
Mode bundan mustasno.
Monitor Mode mobil tizim monitoringi uchun quvvatli instrument
hisoblanadi. Uning yordamida quyidagilar amalga oshirilishi mumkin:
-
jarayonlarni nazoratlash, ya’ni keraksizini tezda to’xtatish
imkoniyati bilan barcha ishga solingan jarayonlarni kuzatish;
- tarmoq interfeyslari monitoringini amalga oshirish, ya’ni
ishlatiluvchi tarmoq interfeyslarini kuzatish;
Ishonchli operatsion tizim
TrustZone madadili mobil qurilma
Monitor Mode
Mobil operatsion tizimi
Bajarishning ochiq muhiti REE
Bajarishning xavfsiz muhiti TEE
TrustZone ning API TEE bibliotekasi
Ichki API TEE va shifrlash
algoritmlar bibliotekasi
Ilova
Ilova
Ishonchli
ilovalar
Rich OS
Secure OS
Ilova
Ilova
Ishonchli
ilovalar
(Trustlet)
79
- tarmoq aktivligini kuzatish va monitoringini amalga oshirish, ya’ni
har bir ulanishdagi IP-adres xususidagi batafsil axborotni taqdim etish;
-
ishlatiluvchi xotira, akkumulyator zaryadi, fayl tizimi holati
xususidagi axborotni yig’ish;
- barcha tizimli xabarlarni vaqtning real rejimida kuzatish.
Quyida yuklash va muhitlarni TEE va REE larga ajratishning
soddalashtirilgan algoritmi (6.3-rasm) va uning tavsifi keltirilgan.
6.3-rasm. Yuklash va muhitlarni REE va TEE larga ajratishning
soddalashtirilgan algoritmi
Prosessor Monitor Mode rejimida ish boshlaydi, ya’ni bajarishning
xavfsiz muhiti TEEda bo’ladi va TEEning asosi hisoblanuvchi Secure
OS ga bootloader ni yuklashni boshlab beradi. (BL-yuklovchi - Bootloader
– yuklash jarayonining normal rejimda amalga oshirilishi uchun operatsion
tizim yadrosini nazoratlovchi dastur). TEE
tizimning barcha kerakli
xavfsizlik konfiguratsiyasini sozlaydi. Masalan, u ochiq REE muhiti
foydalanuvchisidan barmoq izlari skanerini va operativ xotira qismini
bekitadi. So’ngra REEga o’tish boshlanadi. Undagi boshqa yuklagich,
masalan GRUB (GRand Unified Bootloader) – operatsion tizim
yuklagichi, foydalanuvchiga bir necha o’rnatilgan operatsion tizimlarga
ega bo’lishiga va kompyuter ishga tushganida ularning birini yuklash
uchun tanlashga imkon beradi. Undan so’ng Rich OS oddiy tartibda ishga
tushiriladi.
Shunday qilib, ARM TrustZone ma’lumotlarning
shifrlangan
ko’rinishda himoyalangan saqlanishini, bazaviy kalit asosida kalitlarni
generatsiyalashni va imzolarni tekshirishni ta’minlaydi. ARM TrustZone
BL
Bajarishning
xavfsiz muhiti TEE
(Secure OS)
Bajarishning ochiq
muhiti REE
(Rich OS)
Monitor
Mode
Secure OS
(TEE)
Bootloader
(GRUB)
Rich OS (Linux)
(Non-trusted)
80
dan foydalanishning klassik misollari – elektron to’lovlarni himoyalash,
video/audio kontentning xususiy patentlangan dasturiy ta’minotini, har xil
ma’lumotlarni autentifikatsiyalash.
TrustZone xilidagi prosessorlarda apparat sathdagi himoya
mexanizmlari. Mobil qurilmalarda axborotni
apparat himoyalash yagona
asosiy chipda integrallashgan doimiy va operativ xotiraning katta
bo’lmagan soniga ega markaziy prosessordan, tashqi qurilmalar va
uzilishlar kontrollerlaridan hamda sozlash va trassirovka portlaridan iborat.
Bunday prosessorga o’rnatilgan elementlar umumiy shina orqali ulangan,
mobil qurilmaning boshqa komponetlari – asosiy (operativ) xotira, flesh-
xotira, displey, antenna va h. – asosiy chipdan alohida amalga oshirilgan
(6.4-rasm).
Apparat elementlaridan foydalanish
prosessorning himoyalangan
yoki shtat rejimida ishlashini aniqlovchi
holatlar bayrog’chasi
yordamida
amalga oshirilgan. Holatlar bayrog’chasi markaziy prosessorning
kommunikatsiya shinasi orqali uzatiladi.
6.4-rasm. Mobil qurilmaning apparat konfiguratsiyasi misoli
Markaziy prosessor mos holda, REE va TEE larga mo’ljallangan
oddiy yoki himoyalangan rejimlarda ishlashi mumkin. Himoyalangan
rejimda yuklash va sozlash ro’y beradi, so’ngra oddiy rejim harakatga
Prosessorning
o‘rnatilgan xotirasi
Modem
Foydalanishni
boshqarishning apparat
mexanizmi
Yuklovchi
doimiy
xotira
Markaziy prosessor
Foydalanishni
boshqarishning apparat
mexanizmi
Foydalanishni
boshqarishning apparat
mexanizmi
Xotira kontrolleri
Xotira kontrolleri
Prosessor tashqarisidagi
xotira
Tashqi qurilmalar