smasa – bmbf 资助的研究项目
用于 android 设备的智能卡安全锚
动机
越来越多的手机和平板电脑等智能移动设备被用于私人和商业用途,给企业带来了高风险。如果这些设备遭到未授权人员的访问,或因恶意软件或用户错误而遭受损坏,公司网络可能会因此受到影响,包括严重的公司数据丢失事件。可以使用硬件安全锚确保安全启动、创建和存储加密密钥,并将应用识别为安全应用,从而避免这些威胁。台式计算机和笔记本电脑常使用可信平台模块 (tpm) 实施此概念。“用于 android 设备的智能卡安全锚”(smasa) 项目重点关注以可行方式将该技术分别应用于不同的智能移动设备。
方法和目标
该项目旨在开发方法和软件组件,以改进和增强专门用于 android 操作系统的硬件安全锚。由于移动设备未配备 tpm,因此需要额外使用 micro-sd 智能卡作为锚点。如果无法在此智能卡上实现单个安全组件,则可以使用特定的硬件和软件概念,例如 arm trustzone 或 java card。这些技术可在启动 android 设备之前验证用户身份(预启动身份验证),从而确保安全启动设备。如果登录失败,移动设备将保持完全加密,包括所有应用、数据和操作系统。此外,还可以通过远程认证来检查智能手机的可信度,即通过中央权限机构使用公司端工具(移动设备管理组件)远程检查智能手机。尽管远程认证已广泛用于计算机,但目前尚未用于移动设备或依据其特定需求而加以调整。通过此项目,基于智能卡的安全应用也可用于 android 设备,为该技术开辟了新的应用领域。
完整系统加密以及基于智能卡的安全启动,有助于应对诸多安全风险。可以将预启动身份验证集成到此流程中以便提高安全级别,还有助于防止未经授权的访问。此项目开发的工具能够通过智能卡或类似安全模块为移动设备解决此问题。
smasa 项目的主要目标包括:
- 开发方法和软件组件并增强安全锚,以保护关键材料和安全启动智能移动设备
- 由于移动设备不像计算机一样包含硬件安全模块(如 tpm),因此需要将智能卡集成为基于硬件的安全组件
- 针对无法在智能卡上实现的功能安全组件,转为使用 arm trustzone 和 javacard
- 在 bizztrust 上使用预启动身份验证实现 secureboot
项目组织
smasa 是罗德与施瓦茨公司以及 westphalian university of applied sciences(互联网安全研究所,norbert pohlmann 博士)共同参与的联合研究项目。此项目由其负责人德国联邦教育与研究部 (bmbf) 资助。
- 项目管理:vdi/vde innovation technik gmbh
- 成员:罗德与施瓦茨公司、westphalian university of applied sciences(互联网安全研究所)
- 项目周期:2014 年 4 月 – 2017 年 9 月
您可以访问 www.smasa.de,了解有关此项目的详细信息