Mobil operatsion tizimlar xavfsizligi va uni amalga oshirish mexanizmlari




Download 1,03 Mb.
Pdf ko'rish
bet4/6
Sana14.02.2024
Hajmi1,03 Mb.
#156119
1   2   3   4   5   6
Bog'liq
Ochiq kodli(mustaqil ish).

Mobil operatsion tizimlar xavfsizligi va uni amalga oshirish mexanizmlari. 
Mobil 
qurilmalar 
uchun 
xavfsizlik 
mexanizmlarining 
rivoji 
shahsiy 
kompyuterlarga qaraganda boshqa yo’l bilan ketdi. Xavfsizlik mexanizmlari mobil 
qurilmalar himoyalanganligiga yanada qat’iy talablarni ta’minlashi lozim edi. 
Himoyalanganlikka asosiy talablar quyidagilar: 
- qurilma identifikatori (International Mobile Equipment Identifier, IMEI) ixtiyoriy 
vositalar, 
xususan, 
mexanik, 
elektrik 
va 
dasturiy 
vositalar, 
yordamida 
manipulyasiyalanishidan himoyalanishi lozim; 
- mobil qurilmani ishlab chiqarish bosqichida kalibrlangan radiochastota 
sozlanmasi himoyalangan holda saqlanishi lozim; 
- operatsion tizim Windows operatsion tizimiga xos "o’limning ko’k ekrani" deb 
ataluvchi kritik xatoning paydo bo’lishiga to’sqinlik qiluvchi, ishonchli bo’lishi lozim. 
Ushbu kritik xato natijasida operatsion tizim qayta yuklanadi. 
Ushbu talablarning bajarilishini ta’minlash uchun dasturiy va apparat sathlarda 
himoya mexanizmlari yaratilgan va joriy etilgan. 
Quyida keng tarqalgan ARM TrustZone prosessor misolida dasturiy va apparat 
sathlardagi himoya mexanizmlari batafsil bayon etilgan. Ushbu prosessor aksariyat 
smartfonlarda va planshetlarda o’rnatiluvchi komandalarning nabori qisqartirilgan 
(RISC) Advanced RISC Machine (ARM) arxitekturaga ega. 
TrustZone xilidagi prosessorlarda dasturiy sathdagi himoya mexanizmlari. 


ARM TrustZone konsepsiyasi asosida bajarish muhiti sathida himoyalangan 
(trusted), yoki boshqacha aytganda bajarishning xavsiz muhiti TEE va himoyalanmagan 
(non-trusted), yoki boshqacha aytganda bajarishning ochiq muhiti REE ga ajratish yotadi 
(2-rasm). 
Rich OS - to’liq funksional operatsion tizim, ya’ni bibliotekalar, servislar va 
xizmatlar nabori. Bular tizim komponentlarini (ichki va chetki ilovalarni) boshqarishning 
umumiy funksiyalarini ta’minlaydi. 
Secure OS – ishonchli operatsion tizim. Xavfsizlik yuzasidan funksiyalari 
cheklangan. 
Trustlet – begona ishlab chiqaruvchilar taqdim etishi mumkin bo’lgan tekshirilgan 
ilova. 
TEE (Trusted Execution Environments) – kritik muhim komponentlar xavfsizligini 
ta’minlovchi apparat (TrustZone) va dasturiy (Secure OS + ilovalar) vositalar majmui. 
REE (Rich Execution Environment) – mobil qurilma ilovalari bilan ishlovchi mobil 
operatsion tizim. 
2-rasm. TrustZone madadili mobil qurilmalar dasturiy 
ta’minotining arxitekturasi. 
Ishonchli operatsion tizim 
TrustZone madadili mobil qurilma 
Monitor Mode 
Mobil operatsion tizimi 
Bajarishning ochiq muhiti REE 
Bajarishning xavfsiz muhiti TEE 
TrustZone ning API TEE bibliotekasi
Ichki API TEE va shifrlash algoritmlar 
bibliotekasi
Ilova 
Ilova 
Ishonchli 
ilovalar 
Rich OS
 
Secure OS
 
Ilova 
Ilova 
Ishonchli 
ilovalar 




Umuman olganda, TEE va REE bajarish muhitlari orasidagi farq katta emas. 
Ikkalasida prosessorlarda mumkin bo’lgan barcha rejimlar (supervisor, user, data abort 
va h.) mavjud. Doimo himoyalangan Monitor Mode bundan mustasno. 
Monitor Mode mobil tizim monitoringi uchun quvvatli instrument hisoblanadi. 
Uning yordamida quyidagilar amalga oshirilishi mumkin: 
- jarayonlarni nazoratlash, ya’ni keraksizini tezda to’xtatish imkoniyati bilan 
barcha ishga solingan jarayonlarni kuzatish
- tarmoq interfeyslari monitoringini amalga oshirish, ya’ni ishlatiluvchi tarmoq 
interfeyslarini kuzatish; 
- tarmoq aktivligini kuzatish va monitoringini amalga oshirish, ya’ni har bir 
ulanishdagi IP-adres xususidagi batafsil axborotni taqdim etish; 
- ishlatiluvchi xotira, akkumulyator zaryadi, fayl tizimi holati xususidagi axborotni 
yig’ish; 
- barcha tizimli xabarlarni vaqtning real rejimida kuzatish. 
Quyida yuklash va muhitlarni TEE va REE larga ajratishning soddalashtirilgan 
algoritmi (3-rasm) va uning tavsifi keltirilgan. 
3-rasm. Yuklash va muhitlarni REE va TEE larga ajratishning soddalashtirilgan 
algoritmi. 
Prosessor Monitor Mode rejimida ish boshlaydi, ya’ni bajarishning xavfsiz muhiti 
TEEda bo’ladi va TEEning asosi hisoblanuvchi Secure OS ga bootloader ni yuklashni 
boshlab beradi. (BL-yuklovchi - Bootloader – yuklash jarayonining normal rejimda 
amalga oshirilishi uchun operatsion tizim yadrosini nazoratlovchi dastur). TEE tizimning 
BL 
Bajarishning 
xavfsiz muhiti TEE 
(Secure OS) 
Bajarishning ochiq 
muhiti REE 
(Rich OS) 
Monitor 
Mode 
Secure OS 
(TEE) 
Bootloader 
(GRUB) 
Rich OS (Linux) 
(Non-trusted) 


barcha kerakli xavfsizlik konfiguratsiyasini sozlaydi. Masalan, u ochiq REE muhiti 
foydalanuvchisidan barmoq izlari skanerini va operativ xotira qismini bekitadi. So’ngra 
REEga o’tish boshlanadi. Undagi boshqa yuklagich, masalan GRUB (GRand Unified 
Bootloader) – operatsion tizim yuklagichi, foydalanuvchiga bir necha o’rnatilgan 
operatsion tizimlarga ega bo’lishiga va kompyuter ishga tushganida ularning birini 
yuklash uchun tanlashga imkon beradi. Undan so’ng Rich OS oddiy tartibda ishga 
tushiriladi. 
Shunday qilib, ARM TrustZone ma’lumotlarning shifrlangan ko’rinishda 
himoyalangan saqlanishini, bazaviy kalit asosida kalitlarni generatsiyalashni va imzolarni 
tekshirishni ta’minlaydi. ARM TrustZone dan foydalanishning klassik misollari – 
elektron to’lovlarni himoyalash, video/audio kontentning xususiy patentlangan dasturiy 
ta’minotini, har xil ma’lumotlarni autentifikatsiyalash. 
TrustZone xilidagi prosessorlarda apparat sathdagi himoya mexanizmlari. Mobil 
qurilmalarda axborotni apparat himoyalash yagona asosiy chipda integrallashgan doimiy 
va operativ xotiraning katta bo’lmagan soniga ega markaziy prosessordan, tashqi 
qurilmalar va uzilishlar kontrollerlaridan hamda sozlash va trassirovka portlaridan iborat. 
Bunday prosessorga o’rnatilgan elementlar umumiy shina orqali ulangan, mobil 
qurilmaning boshqa komponetlari – asosiy (operativ) xotira, flesh-xotira, displey, antenna 
va h. – asosiy chipdan alohida amalga oshirilgan (4-rasm). 
Apparat elementlaridan foydalanish prosessorning himoyalangan yoki shtat 
rejimida ishlashini aniqlovchi holatlar bayrog’chasi yordamida amalga oshirilgan. 
Holatlar bayrog’chasi markaziy prosessorning kommunikatsiya shinasi orqali uzatiladi. 


4-rasm. Mobil qurilmaning apparat konfiguratsiyasi misoli 
Markaziy prosessor mos holda, REE va TEE larga mo’ljallangan oddiy yoki 
himoyalangan rejimlarda ishlashi mumkin. Himoyalangan rejimda yuklash va sozlash 
ro’y beradi, so’ngra oddiy rejim harakatga keltiriladi. Ma’lum komandalar bajarilishida 
himoyalangan rejimga o’tkazilishi mumkin. 
Ishonchli ilovalar, yuqorida aytilganidek, TEE da bajariladi. TEE da ishonchli 
ilovalar ishonchli operatsion tizimda minimal funksionallik bilan, ya’ni axborotni apparat 
himoyalash mexanizmining markaziy prosessorida ishlanadi. Ishonchli operatsion tizim 
ishonchli ilovalarning REE ilovalari bilan bog’lanishlari, hamda kriptografiya 
funksiyalarini chaqirish va himoyalangan saqlanish uchun ishlatilishi mumkin bo’lgan 
TEE ning ichki dasturlash interfeysidan iborat. 
Xavfsizlikni ta’minlashga yondashishlar kompleks xarakterga ega bo’lib, dasturiy 
ham apparat modullari kabi tizimning ko’p qismini qamrab oladi. Kompleks yondashish 
apparat qismi tomonidan oldin erishib bo’lmagan ishonchli himoyali dasturiy 
yondashishning moslanuvchanligini ta’minlaydi. Bu qurilmada oldindan o’rnatilgan 
funksiyalar nabori bilan cheklanmay, vaqt o’tishi bilan tizimni dasturiy va xavfsiz 
yangilashga imkon beradi. 
Prosessorning 
o‘rnatilgan xotirasi
Modem 
Foydalanishni 
boshqarishning apparat 
mexanizmi 
Yuklovchi doimiy 
xotira 
Markaziy prosessor 
Foydalanishni 
boshqarishning apparat 
mexanizmi 
Foydalanishni 
boshqarishning apparat 
mexanizmi 
Xotira kontrolleri
Xotira kontrolleri 
Prosessor tashqarisidagi 
xotira 
Tashqi qurilmalar 
Kristalldagi tizimning ichki shinasi
(holat bayroqchasini uzatadi) 
Kristalldagi tizim perimetri



Download 1,03 Mb.
1   2   3   4   5   6




Download 1,03 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



Mobil operatsion tizimlar xavfsizligi va uni amalga oshirish mexanizmlari

Download 1,03 Mb.
Pdf ko'rish