叫好与叫座虽然不是对立面，但想在同一个作品中达到双重效果很难。

安全存储是指在硬件和软件层面上采取一系列措施，以防止未授权访问、数据泄露、篡改或破坏的一种存储技术。它包括了数据加密、访问控制、完整性校验等多种安全机制，旨在为数据提供一个安全的存储环境。安全存储的核心技术包括数据加密和认证授权管理技术，通过将文件变为乱码（加密）存储，并在使用时还原（解密），既保证了安全，又能够方便地使用数据。

在此方法中，每个更新镜像都使用不同的签名者密钥签名，且与更新镜像一起获取的关联签名证书将包含递增的固件版本号或索引。主机软件中存储的镜像应使用传输密钥加密，以确保固件在软件包中不以明文形式存在（它将在从传输密钥转换为设备密钥的过程中，在主机内存中以明文形式短暂存在）。一旦接收到证书，应安全地将其提交至TPM内存（密钥链），并且仅在使用最新的签名者密钥进行的证书验证通过后，才会处理任何升级请求。对于资源受限的设备（即RAM较低），固件需分割为较小的块，分别签名和加密，再打包成包含加密块链接的较大结构。

想象一下，你的设备里有一个特别的保安系统，这个保安系统叫做“安全管理器”。这个保安系统有一个特殊的功能，叫做“Debug逻辑”，它就像是一个多功能的钥匙，可以用来检查和修理电脑或手机内部的问题（这就是调试功能）。当然这么内部的问题，不能谁想看就能看，因此还需要控制这些调试的接口如JTAG、CPU、DAP和CoreSight的访问权限。简言之这就是安全管理器中的Debug逻辑，不但具备调试功能，也负责控制JTAG、CPU、调试访问端口（DAP）以及CoreSight域这些调试功能本身的启用或禁用状态。

那么，我们该不该信任它呢？实际上Microcode也需要签名，而验证这个签名的就是CPU硬件。在最后的最后，这实际上取决于相信不相信Intel公司。相信Intel，才能相信Microcode这个黑盒，才能相信它验证过的ACM黑盒，才有接下来的安全链。而CPU硬件是目前是无法伪造的，也目前没有被攻破。所以现在大部分电脑厂商，包括笔记本和台式机，总的趋势都是接受并开启了Boot Guard，把主板的安全水平提升了一个档次。但服务器领域和部分国产领域，则交出了不同的答案。

ATF的官网一张图包含了更多的信息：如果你仅仅对ATF的UEFI启动路径感兴趣，下面这张图可能更加简单明了：NXP 2160A的开源和良好的文档，让我们可以在一个具体的平台上切片观察ATF的具体实现，建议大家仔细阅读参考资料2和下载代码来看看。TF官网 https://www.trustedfirmware.org/OPTee官网 https://www.op-tee.org/

TrustZone 是ARM 架构的一个安全扩展模型，可以用在任何ARM处理器中。Normal world 通过SMC指令访问Secure world。Secure monitor 管理着Normal World和Secure World 的切换。Secure monitor 的代码在禁用中断的上下文执行。内存系统事务中的NS位表示访问的是Secure World 的内存还是Normal World的内存。

Titan芯片在Google Cloud Next 2017大会上首次被提出，**它主要被用来保障谷歌云基础设施的启动安全。硬件安全防护的核心任务是实现安全启动，从而建设可信的服务器系统。腾讯安全平台部在服务器硬件安全体系建设方面，也在积极地开展方案研究、设计与部署应用。现阶段，在不进行硬件结构改造的前提下，有效整合现有防护技术，对于企业硬件安全水平的提升，不失为一种可行的解决思路。Google Titan是下一代硬件安全厂商方案的标杆之一，

具有 Keystone 功能的系统由不同权限模式的多个组件组成。可信硬件（Trusted Hardware） 是由可信供应商构建的 CPU 包，必须包含与 Keystone 兼容的标准 RISC-V 内核和信任根。硬件还可能包含可选功能，例如缓存分区、内存加密、密码安全的随机源等。安全监视器需要特定于平台的插件来支持可选功能。Security Monitor (SM) 是具有小型 TCB 的 M 模式软件。SM 提供了一个接口来管理 enclave 的生命周期以及利用平台特定的功能。

安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力，来达到保护产品的商业机密、知识产权等厂家权益的目的。当然，厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私，防止恶意软件修改系统软硬件等等。不过不论如何，随着 ARM 架构的广泛授权，基于 TrustZone 的 Secure Boot 也越来越普遍了。

手机作为一个随身可移动的信息承载终端，面临着各种不同使用场景，灵活的可配置的信息安全策略和稳妥可靠的管理非常必要，此处提到的云端安全管控平台，

移动互联网智能终端信息安全是一个整体的系统性课题，从技术角度来看，涉及到。同时，信息安全又是和用户自身需求紧密相关的需求驱动型课题，从用户角度来看，公众用户可能更关心通信安全和费用、反病毒和防个人信息遗失等，政企用户可能更关心通话安全、商业机密保护、终端安全管理等，事关国家安全的还有更进一步的要求。总的来说，，才能获得市场认可，其差异体现在终端策略、终端产品、云端支撑平台等各个方面，同时还离不开行业标准化研究工作的支持。

智能终端和应用发展迅猛的背后，是移动应用开发水平的良莠不齐和安全程度无保障，网络攻击、信息窃取、网络谣言、隐私窃取、病毒传播等安全事件对个人和社会信息安全危害极大。虽然有大量的官方和第三方应用商店为应用审核和应用分发做出了大量工作，但极大的应用规模导致应用无法满足不同层次的安全需求。由此衍生出可信应用和可信应用商店的概念。

终端应用管理是应用安全的屏障。终端应用管理通过终端对应用的签名检查、功能权限检查、应用调用能力管理等细分机制，提高应用使用的安全性。我称其为管好自己哈哈哈。

大规模应用是智能终端操作系统真正的生命活力体现。截至2014年12月，Google Play Store的Android应用总量为143万款，iOS App Store的iOS应用总量为121万款，Windows Phone的应用总量为30万款。在此基础上，各平台的应用数量仍保持着高速发展，截至2015年7月，iOS App Store的应用总数已达到150万款。丰富多彩的应用是智能终端最重要的组成部分，但海量应用也给智能终端和消费者带来各种各样的安全风险，应用安全是移动互联网信息安全的关键。

为允许的Intent分发。

SELinux由NSA发布，之后，Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究团队都为SELinux的发展做出了重要的贡献。，可在Linux系统中配置其状态。SELinux的状态分为3种，即disabled、permissive和enforcing。

在Linux基础之上，2000年12月22日美国国家安全局（NSA,National Security Agency）发布了Linux安全增强版本SELinux，其全称为Security-Enhanced Linux，之后被合并到主线Linux内核版本中。但iOS系统是封闭的，整体来说，对Linux内核的安全研究有相当的实际价值。UNIX最早于1969年在AT&T的贝尔实验室开发，随着时间演进产生若干分支，并在移动智能终端操作系统中获得广泛使用，如。内核是所有软件的基础，相应的。

这个part是我比较关注的一点了。其实最近在学安全相关的东西。一直软件层面，但是还是涉及的很底层，所以对于硬件的了解，也很有必要。但是我发现初始接触某些东西，如果是第一次，就很容易陷入到先入为主，以后学类似的知识，总是习惯性的往学过的身上靠，如果一些创新的方案出现，会比较难以接受，以及很难创新。所以还是需要多接触，打开思维，多学习，多思考。

用户手机终端中需要插入支持SWP的USIM卡，卡上搭载的安全模块SE是存储应用、密钥及敏感数据的载体，对支付、身份认证等安全性要求高的应用必不可少。在跨TSM交互中，还负责提供路由及应用共享的服务。应用管理客户端是NFC终端上的应用管理综合门户软件，它通过与TSM平台的交互，向用户提供统一的用户界面，实现对用户卡及卡上应用的统一管理。SWP卡是安全模块（SE）的承载设备，存储基础配置并提供基础功能，可搭载公交、银行、电子票、会员卡等多种应用，配合平台实现相应的应用及安全模块管理。

除了发挥USIM卡作为网络鉴权以及用户身份管理、应用安全访问的身份认证能力之外，运营商还希望拓展USIM卡的信息存储能力和应用呈现能力，改进USIM卡应用的运行环境和业务体验水平，拓展以USIM卡为中心的自有业务平台和移动互联网应用运行环境，使USIM卡成为一个信息应用枢纽。USIM卡作为用户在运营商网络中的身份标识**，并且USIM卡携带鉴权使用的加密算法**，因此，USIM卡作为移动终端上一个低成本的安全硬件来使用，利用运营商为用户提供的可信身份标识为终端上其他应用提供安全认证的服务。

对于有着一定安全级别要求的保密场景，手机终端可以使用加密芯片对终端的应用数据进行加密存储和加密传输。在基础硬件具备自主可控的能力之后，在上层应用方面进行必要的安全加固就成为了终端安全的主要工作，其中硬件加密工作作为应用安全加固的基础工作之一，加密芯片是不可或缺的加密硬件。对于安全等级2和安全等级3的加密芯片，由于可能工作在无法保证物理安全和输入输出信息安全的场合，因此需要具备防护各种攻击的能力，包括计时攻击、能量分析攻击、电磁分析攻击和故障攻击等，也需要具备密钥和敏感信息的自毁能力，以保证信息不被泄露。

由于厂家版本的OS大多嵌入了相当数量的厂家生态应用，同时不明来源的系统镜像和不可靠的刷机是系统风险引入的一个重要途径，多数手机厂商希望用户能保留和使用厂家的OS版本。监控模式首先备份普通世界的运行时环境和上下文，然后进入安全世界的特权模式，再转换为安全世界的用户模式，此时的运行环境为安全世界的执行环境，可以执行相应的安全服务。但是，希望使用TrustZone提供安全保护的应用程序必须根据它们运行的安全平台进行重写，导致市场被过度细分，制约了应用程序与服务之间良好的生态环境的形成。典型的切换过程如下。

内容来自：《移动互联网时代的智能终端安全》李兴新侯玉华周晓龙郭晓花严斌峰等编著ARM TrustZone技术是芯片级的安全解决方案，通过在CPU内核的设计中集成系统安全性扩展，同时提供安全软件平台，为安全支付、数字版权管理（DRM, Digital Rights Management)、企业服务等应用提供了安全的运行环境。TrustZone将硬件和软件资源划分为两个执行环境：安全世界（Secure World）和普通世界（Normal World）。不同执行环境的系统软件和应用软件、内存区和外围设备等均相互

上面我们知道了对于终端的威胁主要来自三个层次。《移动互联网恶意代码描述规范》将个人用户的移动终端面临的安全风险分为恶意扣费、隐私窃取、流氓行为、资费消耗、系统破坏、远程控制、诱骗诈骗、远程传播8类。据360互联网安全中心发布的《2015年中国手机安全状况报告》指出，2015年360互联网安全中心累计截获Android平台新增恶意程序样本1874.0万个，分别是2013年、2014年的27.9倍、5.7倍，平均每天截获新增恶意程序样本高达51342个；

相比传统基于PC的互联网模式，移动互联网由于其智能移动的特征，在过去几年时间内呈现出爆发式的增长态势。移动互联网的主要特点有3个，即终端智能化、网络IP化、业务多元化。主要就是移动互联更加的方便，二是终端设备的进步，三是网络带宽的进步。（前段时间搞物联网的时候，真的对5G的到来，以及现在的5.5G。以及云计算、大数据，给整个工业带来的改变是真的在很多个行业有所体现。科技真的改变生活。）智能终端的市场不断发展壮大，其形态也不再局限于智能手机、平板电脑、智能电视，应用的领域也不再局限于大众消费市场。