隨著移動支付技術的發展及應用的推廣,智能終端和移動支付的安全性也越來越不容忽視。針對于行業應用在智能終端上所面臨的安全問題,近年來國內外開始進行深入的研究探討,并提出了一些解決方案,即TrustedExecutionEnvironment(可信執行環境),簡稱為TEE。隨后,銀聯也在經過多年對TEE的研究和實驗后,進一步提出了更加貼合行業發展與多方合作需求的TEEI可信平臺及可在其上搭載的N3TEE可信操作系統。目前,銀聯正同國內知名手機廠商合作,已推出一款支持TA跨平臺部署的N3TEE手機;還將進一步聯合相關手機廠商和指紋廠商,開展TEE在指紋認證、金融業務等方面的應用。本期,我們邀請中國銀聯電子支付研究院李定洲老師,來一起解析TEE技術和N3TEE的有關知識。
概述
隨著3G網絡和智能終端(如手機、智能電視等)的高速發展以及消費電子產品越來越智能化,移動應用的種類和數量越來越多。當前的移動應用已經不再局限于對智能終端基本功能及娛樂功能方面的擴展,它所涉及的領域逐漸擴大到各行各業之中,如金融支付行業、內容版權保護行業等。這些行業的應用需要更高的整體安全級別。
但就現在的智能終端安全而言,難以很好的滿足上述要求,主要在于:
操作系統安全性不足
由于當前智能終端操作系統本身并非從安全性角度設計,再加上系統的龐大復雜性以及經常性的升級更新,導致目前的安全解決方案(如防火墻、殺病毒軟件等)無法杜絕病毒、木馬等惡意程序的侵入,使得移動終端的安全性始終無法得到根本性的全面保證。
操作系統惡意攻擊次數增長迅速
隨著應用數量的增加,惡意軟件、病毒的攻擊次數和種類就更是呈幾何數增長。據報道,從2013年5月發現智能終端首個木馬樣本起,截至11月底已經發現了500個左右的樣本,全部都是針對于智能手機系統,其中約有20%還自帶了“釣魚”網站界面,這些惡意軟件的迅速增加對于移動支付的安全而言就是一大挑戰。
因此,對于移動支付,防御惡意軟件/病毒、保障智能終端的安全不僅是重中之重,還是其未來騰飛的關鍵之鑰。而就智能終端的安全而言,也不能再單純依靠基于應用軟件層面的解決方案來提供保護,而需要更進一步地提供基于終端硬件層面的安全解決方案來加強防護。
TEE技術的發展
針對于現有智能終端所面臨的安全問題,近年來國內外就開始針對智能終端安全進行深入的研究探討,并提出了一些解決方案:
1、OMTP(OpenMobileTerminalPlatform,開放移動終端平臺)工作組于2006年率先提出了一種雙系統解決方案:即在同一個智能終端下,除了多媒體操作系統外再提供一個隔離的安全操作系統,這一運行在隔離的硬件之上的隔離安全操作系統用來專門處理敏感信息以保證信息的安全,該安全操作系統稱為TEE。
2、基于OMTP的方案,ARM公司(嵌入式處理器的全球最大方案供應商,它們架構的處理器約占手機市場95%以上的份額)于2006年提出了一種硬件虛擬化技術TrustZone及其相關硬件實現方案。同期,Intel公司也提出了類似的基于獨立雙硬件的技術解決方案。
3、Visa、MasterCard等國際銀行卡組織主導的國際標準化組織GlobalPlatform(全球最主要的智能卡多應用管理規范的組織,簡稱為GP)從2011年起開始了起草制定相關的TEE規范標準,預計2014年內制定完成并公布所有規范。另外,GP組織還聯合一些公司共同開發基于GPTEE標準的可信操作系統。
4、在GPTEE的研究背景下,Oracle公司也開始了關于TEE的研究工作,并命名為JavaTEE。JavaTEE是Oracle根據自身擁有的Javacard虛擬機技術研發所得的TEE,該TEE將支持搭載基于Java語言的可信應用。目前OracleJavaTEE尚未有任何規范進行發布。
目前,基于TEE技術的產品主要應用于北美市場的DRM(DigitalRightsManagement數字版權管理)領域。而在金融領域,Visa、MasterCard等銀行卡組織也已經開始基于TEE技術(基于GP標準的平臺)開發手機POS、手機錢包等相關應用。另外,支持TEE技術的智能終端已經開始出現在全球手機市場上,如三星GalaxySIII、Note2以及HTCOneX等。
更多資訊,請關注嵌入式系統頻道。