iOS文件系统加密保护策略研究
发布时间:2021-06-29 15:11
苹果移动操作系统i OS因其文件系统独特的加密保护机制具备更高的安全性,系统深入研究i OS文件系统的加密保护策略具有重要意义。从苹果授权、软硬件结合、逐层加密、分类保护、随机化、口令抗搜索、算法强度7个方面,对i OS文件系统加密保护策略进行分析研究。结果表明:一体化的设计使硬件软件专门定制,深度融合,方便服务提供商控制出口入口,有效提高系统的运行效率和安全性;分治思想的运用对不同层级和分类,采取不同的保护方法,针对性提高加密强度;安全冗余度的增加扩大搜索空间容量,提高抵抗搜索攻击的能力,缓解攻击效果;不确定性的引入增大猜解密钥和捕捉偏移的难度,降低被攻破的风险。
【文章来源】:信息工程大学学报. 2019,20(04)
【文章页数】:5 页
【部分图文】:
安全启动链
iOS安全架构的下层是硬件和固件层(hardware and firmware),上层是软件层[9](software),如图2所示。软硬件紧密结合提供服务和安全性,是乔布斯(Jobs)软硬件融合设计理念的体现。硬件和固件层安全架构。底层含3个重要密钥,标识设备唯一性的密钥UID(Unique ID),标识同型号处理器设备的密钥GID(Group ID),UID和GID统称硬件密钥(hardware key),以及苹果根证书颁发机构(apple root certificate authority)的公钥(public key)。这3个密钥在设备制造时嵌入硬件,可读不可修改。专用密码引擎(crypto engine)调用硬件密钥,负责AES算法加解密运算,密码引擎接受内核的计算请求,计算结果返回内核。使用硬件负责运算以提高运算效率和减少电量消耗。内核设计有安全飞地(secure enclave)和安全元素(secure element)两个硬件部件。安全飞地是一个相对独立的协处理器,拥有加密内存和硬件随机数生成器(Random Number Generator,RNG),为数据保护类密钥提供加密保护,在内核被攻破的情况下仍然可以保证数据安全。安全元素是符合金融行业标准的认证芯片,为移动支付提供支持。
文件内容进行逐层加密[9]。如图3所示,数据保护(data protection)为新创建的文件生成256比特的密钥,称Per-File密钥,将密钥提交给硬件密码引擎,在AES-XTS模式下加密文件,完成第1层加密。根据选择的数据保护类,使用类密钥封装(wrap)Per-File密钥,存储在文件元数据(file metadata)中,完成第2层加密。文件系统密钥(file system key)加密文件元数据,完成第3层加密。硬件密钥保护文件系统密钥和类密钥,口令密钥保护部分类密钥。打开文件时,执行上述逆过程。密钥链(keychain)内容也进行相似的逐层加密。
本文编号:3256669
【文章来源】:信息工程大学学报. 2019,20(04)
【文章页数】:5 页
【部分图文】:
安全启动链
iOS安全架构的下层是硬件和固件层(hardware and firmware),上层是软件层[9](software),如图2所示。软硬件紧密结合提供服务和安全性,是乔布斯(Jobs)软硬件融合设计理念的体现。硬件和固件层安全架构。底层含3个重要密钥,标识设备唯一性的密钥UID(Unique ID),标识同型号处理器设备的密钥GID(Group ID),UID和GID统称硬件密钥(hardware key),以及苹果根证书颁发机构(apple root certificate authority)的公钥(public key)。这3个密钥在设备制造时嵌入硬件,可读不可修改。专用密码引擎(crypto engine)调用硬件密钥,负责AES算法加解密运算,密码引擎接受内核的计算请求,计算结果返回内核。使用硬件负责运算以提高运算效率和减少电量消耗。内核设计有安全飞地(secure enclave)和安全元素(secure element)两个硬件部件。安全飞地是一个相对独立的协处理器,拥有加密内存和硬件随机数生成器(Random Number Generator,RNG),为数据保护类密钥提供加密保护,在内核被攻破的情况下仍然可以保证数据安全。安全元素是符合金融行业标准的认证芯片,为移动支付提供支持。
文件内容进行逐层加密[9]。如图3所示,数据保护(data protection)为新创建的文件生成256比特的密钥,称Per-File密钥,将密钥提交给硬件密码引擎,在AES-XTS模式下加密文件,完成第1层加密。根据选择的数据保护类,使用类密钥封装(wrap)Per-File密钥,存储在文件元数据(file metadata)中,完成第2层加密。文件系统密钥(file system key)加密文件元数据,完成第3层加密。硬件密钥保护文件系统密钥和类密钥,口令密钥保护部分类密钥。打开文件时,执行上述逆过程。密钥链(keychain)内容也进行相似的逐层加密。
本文编号:3256669
本文链接:https://www.wllwen.com/kejilunwen/sousuoyinqinglunwen/3256669.html
