Mobil operatsion tizimlar xavfsizligi va uni amalga oshirish




Download 2,59 Mb.
Pdf ko'rish
bet31/55
Sana20.11.2023
Hajmi2,59 Mb.
#101929
1   ...   27   28   29   30   31   32   33   34   ...   55
Bog'liq
10.-S.K.GanievT.A.Kuchkarov.TarmoqxavfsizligiMobiltarmoqxavfsizligi

6.2. Mobil operatsion tizimlar xavfsizligi va uni amalga oshirish 
mexanizmlari 
Mobil qurilmalar uchun xavfsizlik mexanizmlarining rivoji shahsiy 
kompyuterlarga qaraganda boshqa yo’l bilan ketdi. Xavfsizlik 
mexanizmlari mobil qurilmalar himoyalanganligiga yanada qat’iy 
talablarni ta’minlashi lozim edi. 
Himoyalanganlikka asosiy talablar quyidagilar: 
- qurilma identifikatori
(
International Mobile Equipment Identifier, 
IMEI) ixtiyoriy vositalar, xususan, mexanik, elektrik va dasturiy vositalar, 
yordamida manipulyasiyalanishidan himoyalanishi lozim; 
- mobil qurilmani ishlab chiqarish bosqichida kalibrlangan 
radiochastota sozlanmasi himoyalangan holda saqlanishi lozim; 
- operatsion tizim Windows operatsion tizimiga xos "o’limning ko’k 
ekrani" deb ataluvchi kritik xatoning paydo bo’lishiga to’sqinlik qiluvchi, 
ishonchli bo’lishi lozim. Ushbu kritik xato natijasida operatsion tizim 
qayta yuklanadi. 
Ushbu talablarning bajarilishini ta’minlash uchun dasturiy va apparat 
sathlarda himoya mexanizmlari yaratilgan va joriy etilgan. 
Quyida keng tarqalgan ARM TrustZone prosessor misolida dasturiy 
va apparat sathlardagi himoya mexanizmlari batafsil bayon etilgan. Ushbu 
prosessor 
aksariyat 
smartfonlarda 
va 
planshetlarda 
o’rnatiluvchi 
komandalarning nabori qisqartirilgan (RISC) Advanced RISC Machine 
(ARM) arxitekturaga ega. 
TrustZone xilidagi prosessorlarda dasturiy sathdagi himoya 
mexanizmlari. 
ARM TrustZone konsepsiyasi asosida bajarish muhiti sathida 
himoyalangan (trusted), yoki boshqacha aytganda bajarishning xavsiz 
muhiti
 
TEE 
va himoyalanmagan 
(non-trusted), yoki boshqacha aytganda 
bajarishning ochiq muhiti REE
 
ga ajratish yotadi (6.2-rasm). 
Rich OS - to’liq funksional operatsion tizim, ya’ni bibliotekalar
servislar va xizmatlar nabori. Bular tizim komponentlarini (ichki va chetki 
ilovalarni) boshqarishning umumiy funksiyalarini ta’minlaydi. 
Secure OS – ishonchli operatsion tizim. Xavfsizlik yuzasidan 
funksiyalari cheklangan. 
Trustlet – begona ishlab chiqaruvchilar taqdim etishi mumkin 
bo’lgan tekshirilgan ilova. 


78 
TEE (Trusted Execution Environments) – kritik muhim komponentlar 
xavfsizligini ta’minlovchi apparat (TrustZone) va dasturiy (Secure OS + 
ilovalar) vositalar majmui. 
REE (Rich Execution Environment) – mobil qurilma ilovalari bilan 
ishlovchi mobil operatsion tizim. 
6.2-rasm. TrustZone madadili mobil qurilmalar dasturiy 
ta’minotining arxitekturasi 
Umuman olganda, TEE va REE bajarish muhitlari orasidagi farq 
katta emas. Ikkalasida prosessorlarda mumkin bo’lgan barcha rejimlar 
(supervisor, user, data abort va h.) mavjud. Doimo himoyalangan Monitor 
Mode bundan mustasno. 
Monitor Mode mobil tizim monitoringi uchun quvvatli instrument 
hisoblanadi. Uning yordamida quyidagilar amalga oshirilishi mumkin: 
- jarayonlarni nazoratlash, ya’ni keraksizini tezda to’xtatish 
imkoniyati bilan barcha ishga solingan jarayonlarni kuzatish; 
- tarmoq interfeyslari monitoringini amalga oshirish, ya’ni 
ishlatiluvchi tarmoq interfeyslarini kuzatish; 
Ishonchli operatsion tizim 
TrustZone madadili mobil qurilma 
Monitor Mode 
Mobil operatsion tizimi 
Bajarishning ochiq muhiti REE 
Bajarishning xavfsiz muhiti TEE 
TrustZone ning API TEE bibliotekasi
Ichki API TEE va shifrlash 
algoritmlar bibliotekasi
Ilova 
Ilova 
Ishonchli 
ilovalar 
Rich OS
 
Secure OS
 
Ilova 
Ilova 
Ishonchli 
ilovalar 
(Trustlet) 


79 
- tarmoq aktivligini kuzatish va monitoringini amalga oshirish, ya’ni 
har bir ulanishdagi IP-adres xususidagi batafsil axborotni taqdim etish; 
- ishlatiluvchi xotira, akkumulyator zaryadi, fayl tizimi holati 
xususidagi axborotni yig’ish; 
- barcha tizimli xabarlarni vaqtning real rejimida kuzatish. 
Quyida yuklash va muhitlarni TEE va REE larga ajratishning 
soddalashtirilgan algoritmi (6.3-rasm) va uning tavsifi keltirilgan. 
6.3-rasm. Yuklash va muhitlarni REE va TEE larga ajratishning 
soddalashtirilgan algoritmi 
Prosessor Monitor Mode rejimida ish boshlaydi, ya’ni bajarishning 
xavfsiz muhiti TEEda bo’ladi va TEEning asosi hisoblanuvchi Secure 
OS ga bootloader ni yuklashni boshlab beradi. (BL-yuklovchi - Bootloader 
– yuklash jarayonining normal rejimda amalga oshirilishi uchun operatsion 
tizim yadrosini nazoratlovchi dastur). TEE tizimning barcha kerakli 
xavfsizlik konfiguratsiyasini sozlaydi. Masalan, u ochiq REE muhiti 
foydalanuvchisidan barmoq izlari skanerini va operativ xotira qismini 
bekitadi. So’ngra REEga o’tish boshlanadi. Undagi boshqa yuklagich, 
masalan GRUB (GRand Unified Bootloader) – operatsion tizim 
yuklagichi, foydalanuvchiga bir necha o’rnatilgan operatsion tizimlarga 
ega bo’lishiga va kompyuter ishga tushganida ularning birini yuklash 
uchun tanlashga imkon beradi. Undan so’ng Rich OS oddiy tartibda ishga 
tushiriladi. 
Shunday qilib, ARM TrustZone ma’lumotlarning shifrlangan 
ko’rinishda himoyalangan saqlanishini, bazaviy kalit asosida kalitlarni 
generatsiyalashni va imzolarni tekshirishni ta’minlaydi. ARM TrustZone 
BL 
Bajarishning 
xavfsiz muhiti TEE 
(Secure OS) 
Bajarishning ochiq 
muhiti REE 
(Rich OS) 
Monitor 
Mode 
Secure OS 
(TEE) 
Bootloader 
(GRUB) 
Rich OS (Linux) 
(Non-trusted) 


80 
dan foydalanishning klassik misollari – elektron to’lovlarni himoyalash, 
video/audio kontentning xususiy patentlangan dasturiy ta’minotini, har xil 
ma’lumotlarni autentifikatsiyalash. 
TrustZone xilidagi prosessorlarda apparat sathdagi himoya 
mexanizmlari. Mobil qurilmalarda axborotni apparat himoyalash yagona 
asosiy chipda integrallashgan doimiy va operativ xotiraning katta 
bo’lmagan soniga ega markaziy prosessordan, tashqi qurilmalar va 
uzilishlar kontrollerlaridan hamda sozlash va trassirovka portlaridan iborat. 
Bunday prosessorga o’rnatilgan elementlar umumiy shina orqali ulangan, 
mobil qurilmaning boshqa komponetlari – asosiy (operativ) xotira, flesh-
xotira, displey, antenna va h. – asosiy chipdan alohida amalga oshirilgan 
(6.4-rasm). 
Apparat elementlaridan foydalanish prosessorning himoyalangan 
yoki shtat rejimida ishlashini aniqlovchi 
holatlar bayrog’chasi
yordamida 
amalga oshirilgan. Holatlar bayrog’chasi markaziy prosessorning 
kommunikatsiya shinasi orqali uzatiladi. 
6.4-rasm. Mobil qurilmaning apparat konfiguratsiyasi misoli 
Markaziy prosessor mos holda, REE va TEE larga mo’ljallangan 
oddiy yoki himoyalangan rejimlarda ishlashi mumkin. Himoyalangan 
rejimda yuklash va sozlash ro’y beradi, so’ngra oddiy rejim harakatga 
Prosessorning 
o‘rnatilgan xotirasi
Modem 
Foydalanishni 
boshqarishning apparat 
mexanizmi 
Yuklovchi doimiy 
xotira 
Markaziy prosessor 
Foydalanishni 
boshqarishning apparat 
mexanizmi 
Foydalanishni 
boshqarishning apparat 
mexanizmi 
Xotira kontrolleri
Xotira kontrolleri 
Prosessor tashqarisidagi 
xotira 
Tashqi qurilmalar 

Download 2,59 Mb.
1   ...   27   28   29   30   31   32   33   34   ...   55




Download 2,59 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



 Mobil operatsion tizimlar xavfsizligi va uni amalga oshirish

Download 2,59 Mb.
Pdf ko'rish