Android的安全启动称为“Verified Boot”。顾名思义，在启动阶段，通过执行“验证”动作来确保所有执行代码均来自可信来源（通常是设备的OEM方），以防在此过程中受到攻击或损坏。 进一步地讲，在启动过程中，建立了一条从受硬件保护的信任根到bootloader，再到boot分区和其他已验证分区的完整信任链。在整个设备启动过程中，在进入下一个阶段之前，都需要先验证下一个阶段的完整性和真实性。 以硬件保护的信任根为基础，到建立完整信任链，这套方法来自可信计算“Trusted Computing”，因此我们称之为“可信启动”。...

1、StrongBox概述 从Android9（Pie）开始，Google强烈建议支持Strongbox，具体描述如下： 9.11.2 StrongBox The Android Keystore System allows app developers to store cryptographic keys in a dedicated secure processor as well as the isolated execution environment described above. Device...

1、Android提供的加解密服务的方法 Andorid系统有两种设备加密方法，即：文件级加密和全盘加密 （1）文件级加密 （FBE：File-Based Encryption） 使用不同的密钥对不同的文件进行加密，也可以对加密文件单独解密。 引入文件级加密之后，App应用可以在用户提供凭据之前运行，同时系统仍能保护私密用户信息。 （2）全盘加密 （FDE：Full-Disk Encryption） 使用单个密钥来保护设备的整个用户数据分区。在启动时，用户必须先提供凭据，然后才能访问磁盘的任何部分。...

用户认证是系统安全的重要特征，这是隔离机制之后的第一重要安全基本特征，并且另一重要安全基本特征“访问控制”需要基于此来实施。 Android系统不仅采用用户身份认证，并且采用通过身份认证验证把关的加密密钥机制。为此，该机制需要如下组件： （1）用户身份验证程序 证明用户通过身份认证。 Android支持GateKeeper（用于PIN码/解锁图案/密码身份验证）和生物识别身份认证BiometricPrompt（如：指纹识别和人脸识别）。 （2）加密密钥存储和服务提供程序 存储加密密钥并给予这些密钥提供标准加密服务。...

1、计算机体系安全 为了更好地理解Android安全框架，我们首先看看计算机体系安全。 计算机体系的安全威胁，主要来自以下三个方面 （1）网络协议的不安全性 （2）操作系统的不安全性 （3）计算机体系结构上的安全缺陷 IPv6网络协议已经更多地考虑了网络协议上的安全性要求，但是安全的网络协议只有在安全的操作系统之上运行才能体现它的安全价值。 可信计算则是为了弥补计算机体系结构上的安全缺陷而提出的，即，针对冯洛伊曼计算机体系结构进行补充，共同构建计算机体系结构的安全基础。 操作系统的安全则是整个信息安全领域的核心。...

2024年2月29日为Android 13的MADA窗口关闭时间，手机市场的研发与检测认证工作已经全面转入到Android 14。为了更好地理解Android新版本以及安全特性，我们抛砖一探。 首先，Android 14的新版本为用户带来：更个性化，更安全和更易用。 （Make your device more personal，protected and accessible）   Android 14选定了如下亮点来表述 （1）Make your device more you....