發(fā)布時(shí)間：2021-06-29 15:11

　　蘋果移動(dòng)操作系統(tǒng)i OS因其文件系統(tǒng)獨(dú)特的加密保護(hù)機(jī)制具備更高的安全性,系統(tǒng)深入研究i OS文件系統(tǒng)的加密保護(hù)策略具有重要意義。從蘋果授權(quán)、軟硬件結(jié)合、逐層加密、分類保護(hù)、隨機(jī)化、口令抗搜索、算法強(qiáng)度7個(gè)方面,對i OS文件系統(tǒng)加密保護(hù)策略進(jìn)行分析研究。結(jié)果表明:一體化的設(shè)計(jì)使硬件軟件專門定制,深度融合,方便服務(wù)提供商控制出口入口,有效提高系統(tǒng)的運(yùn)行效率和安全性;分治思想的運(yùn)用對不同層級和分類,采取不同的保護(hù)方法,針對性提高加密強(qiáng)度;安全冗余度的增加擴(kuò)大搜索空間容量,提高抵抗搜索攻擊的能力,緩解攻擊效果;不確定性的引入增大猜解密鑰和捕捉偏移的難度,降低被攻破的風(fēng)險(xiǎn)。 

【文章來源】：信息工程大學(xué)學(xué)報(bào). 2019,20(04)

【文章頁數(shù)】：5 頁

【部分圖文】：

安全啟動(dòng)鏈

iOS安全架構(gòu)的下層是硬件和固件層(hardware and firmware)，上層是軟件層[9](software)，如圖2所示。軟硬件緊密結(jié)合提供服務(wù)和安全性，是喬布斯(Jobs)軟硬件融合設(shè)計(jì)理念的體現(xiàn)。硬件和固件層安全架構(gòu)。底層含3個(gè)重要密鑰，標(biāo)識(shí)設(shè)備唯一性的密鑰UID(Unique ID)，標(biāo)識(shí)同型號(hào)處理器設(shè)備的密鑰GID(Group ID),UID和GID統(tǒng)稱硬件密鑰(hardware key)，以及蘋果根證書頒發(fā)機(jī)構(gòu)(apple root certificate authority)的公鑰(public key)。這3個(gè)密鑰在設(shè)備制造時(shí)嵌入硬件，可讀不可修改。專用密碼引擎(crypto engine)調(diào)用硬件密鑰，負(fù)責(zé)AES算法加解密運(yùn)算，密碼引擎接受內(nèi)核的計(jì)算請求，計(jì)算結(jié)果返回內(nèi)核。使用硬件負(fù)責(zé)運(yùn)算以提高運(yùn)算效率和減少電量消耗。內(nèi)核設(shè)計(jì)有安全飛地(secure enclave)和安全元素(secure element)兩個(gè)硬件部件。安全飛地是一個(gè)相對獨(dú)立的協(xié)處理器，擁有加密內(nèi)存和硬件隨機(jī)數(shù)生成器(Random Number Generator,RNG)，為數(shù)據(jù)保護(hù)類密鑰提供加密保護(hù)，在內(nèi)核被攻破的情況下仍然可以保證數(shù)據(jù)安全。安全元素是符合金融行業(yè)標(biāo)準(zhǔn)的認(rèn)證芯片，為移動(dòng)支付提供支持。

文件內(nèi)容進(jìn)行逐層加密[9]。如圖3所示，數(shù)據(jù)保護(hù)(data protection)為新創(chuàng)建的文件生成256比特的密鑰，稱Per-File密鑰，將密鑰提交給硬件密碼引擎，在AES-XTS模式下加密文件，完成第1層加密。根據(jù)選擇的數(shù)據(jù)保護(hù)類，使用類密鑰封裝(wrap)Per-File密鑰，存儲(chǔ)在文件元數(shù)據(jù)(file metadata)中，完成第2層加密。文件系統(tǒng)密鑰(file system key)加密文件元數(shù)據(jù)，完成第3層加密。硬件密鑰保護(hù)文件系統(tǒng)密鑰和類密鑰，口令密鑰保護(hù)部分類密鑰。打開文件時(shí)，執(zhí)行上述逆過程。密鑰鏈(keychain)內(nèi)容也進(jìn)行相似的逐層加密。


本文編號(hào)：3256669