Android에서는 보안적인 요소를 지원하기위해 Secure TA 영역을 지원합니다. TEE는 보안 운영체제로써 기존의 Rich OS와 달리 따로 TA 존재 합니다.
TA OS는 RICH OS와 별개로 존재하며 독립적으로 수행함으로써 높은 보안성을 가지고 지원합니다.
1. TA란?
기본적으로 위와같은 구조를 가지며 Trust Zone과 Rich OS를 이어주는 드라이버가 존재하고 Data의 Flow는 해당 드라이버를 통해서 TA로 요청되면 TA에서 동작을 수행 후 반환하여 Rich OS에서 리턴 값을 얻어오는 식으로 구성된다.
TA에서의 동작은 CA에서 알 수 가 없기 때문에 보안적으로 매우 훌륭하고 해당 값들은 CA와 같은 CPU 자원을 사용하나 PIN을 이용한 확실한 망 분리를 통해 TA에서의 데이터와 메모리 등을 CA에서 알 수 없다(결과적으로 Android OS가 Root 권한을 탈취당해도 TA에서의 동작은 이론상 안전하다)
이러한 TA는 보통 AP단에서 지원한다. 즉 AP에 One Package로 TA가 설치되어 chip이 공정된다고 생각하면된다.
2. TA의 활용
TA의 활용은 다양한 보안 동작을 수행하는데 DRM을 통한 저작권 문제 관리가 안드로이드의 대표적인 TA 동작활동이며 이외에도 키 저장, 키 생성 등 각종 인증작업을 추가로 진행한다.
마찬가지로 Secure Boot, 부트로더에서 서명 및 인증 작업(AVB동작 시 TA 영역과 data를 주고받음) 모두 TA를 통해서 진행된다.
또한 TA는 TA 단독으로써 보안성을 높이는 효과도 있지만 추가적으로 Secure Element를 연결해서 보안 성을 더 높일 수 있다.
여기서 Secure Element는 eSE와 같은 H/W 보안 chipset을 말하며 해당 보안 chipset은 강력한 보안을 바탕으로 외부에서의 접근을 차단하기 때문에 높은 수준의 보안을 자랑할 수있다.
eSE를 사용하는 경우 위와같은 구조를 가지게 된다. 요즘에는 SIM과 eSE가 통합되어 사용되기도 한다.
-> SIM card
SIM Card에 대해서 잠깐 언급하자면 SIM은 통신사에서 제공하는 통신사 정보, 사용자의 privacy가 저장되는 chipset이다. 해당 칩은 privacy및 과금 정책을 위해 높은 보안성을 가지고 있으며 예전의 경우 해당 chipset의 높은 보안성을 바탕으로 공인인증서 및 각종 주요 키들을 보관하기도 했다.
하지만 최근에는 SIM card자체가 물리적인 chipset이 아닌 전자형태의 data로 관리가 가능하며 더 높은 보안 수준 제공을 위해 eSE를 주로 사용한다.
'Android > 안드로이드 운영체제' 카테고리의 다른 글
| [Android] 안드로이드(9) - AIDL (0) | 2020.11.29 |
|---|---|
| [Android] 안드로이드(8) - Application의 권한 (0) | 2020.11.21 |
| [Android] 안드로이드(6) - Biometric (0) | 2020.11.01 |
| [Android] 안드로이드(5) - HAL (2) | 2020.10.25 |
| [Android] 안드로이드(4) - 부팅2, Zygote (0) | 2020.10.19 |