隨著移動(dòng)支付技術(shù)的發(fā)展及應(yīng)用的推廣，智能終端和移動(dòng)支付的安全性也越來(lái)越不容忽視。針對(duì)于行業(yè)應(yīng)用在智能終端上所面臨的安全問(wèn)題，近年來(lái)國(guó)內(nèi)外開(kāi)始進(jìn)行深入的研究探討，并提出了一些解決方案，即TrustedExecutionEnvironment(可信執(zhí)行環(huán)境)，簡(jiǎn)稱為TEE。隨后，銀聯(lián)也在經(jīng)過(guò)多年對(duì)TEE的研究和實(shí)驗(yàn)后，進(jìn)一步提出了更加貼合行業(yè)發(fā)展與多方合作需求的TEEI可信平臺(tái)及可在其上搭載的N3TEE可信操作系統(tǒng)。目前，銀聯(lián)正同國(guó)內(nèi)知名手機(jī)廠商合作，已推出一款支持TA跨平臺(tái)部署的N3TEE手機(jī);還將進(jìn)一步聯(lián)合相關(guān)手機(jī)廠商和指紋廠商，開(kāi)展TEE在指紋認(rèn)證、金融業(yè)務(wù)等方面的應(yīng)用。本期，我們邀請(qǐng)中國(guó)銀聯(lián)電子支付研究院李定洲老師，來(lái)一起解析TEE技術(shù)和N3TEE的有關(guān)知識(shí)。

概述

隨著3G網(wǎng)絡(luò)和智能終端(如手機(jī)、智能電視等)的高速發(fā)展以及消費(fèi)電子產(chǎn)品越來(lái)越智能化，移動(dòng)應(yīng)用的種類和數(shù)量越來(lái)越多。當(dāng)前的移動(dòng)應(yīng)用已經(jīng)不再局限于對(duì)智能終端基本功能及娛樂(lè)功能方面的擴(kuò)展，它所涉及的領(lǐng)域逐漸擴(kuò)大到各行各業(yè)之中，如金融支付行業(yè)、內(nèi)容版權(quán)保護(hù)行業(yè)等。這些行業(yè)的應(yīng)用需要更高的整體安全級(jí)別。

但就現(xiàn)在的智能終端安全而言，難以很好的滿足上述要求，主要在于：

操作系統(tǒng)安全性不足

由于當(dāng)前智能終端操作系統(tǒng)本身并非從安全性角度設(shè)計(jì)，再加上系統(tǒng)的龐大復(fù)雜性以及經(jīng)常性的升級(jí)更新，導(dǎo)致目前的安全解決方案(如防火墻、殺病毒軟件等)無(wú)法杜絕病毒、木馬等惡意程序的侵入，使得移動(dòng)終端的安全性始終無(wú)法得到根本性的全面保證。

操作系統(tǒng)惡意攻擊次數(shù)增長(zhǎng)迅速

隨著應(yīng)用數(shù)量的增加，惡意軟件、病毒的攻擊次數(shù)和種類就更是呈幾何數(shù)增長(zhǎng)。據(jù)報(bào)道，從2013年5月發(fā)現(xiàn)智能終端首個(gè)木馬樣本起，截至11月底已經(jīng)發(fā)現(xiàn)了500個(gè)左右的樣本，全部都是針對(duì)于智能手機(jī)系統(tǒng)，其中約有20%還自帶了“釣魚(yú)”網(wǎng)站界面，這些惡意軟件的迅速增加對(duì)于移動(dòng)支付的安全而言就是一大挑戰(zhàn)。

因此，對(duì)于移動(dòng)支付，防御惡意軟件/病毒、保障智能終端的安全不僅是重中之重，還是其未來(lái)騰飛的關(guān)鍵之鑰。而就智能終端的安全而言，也不能再單純依靠基于應(yīng)用軟件層面的解決方案來(lái)提供保護(hù)，而需要更進(jìn)一步地提供基于終端硬件層面的安全解決方案來(lái)加強(qiáng)防護(hù)。

TEE技術(shù)的發(fā)展

針對(duì)于現(xiàn)有智能終端所面臨的安全問(wèn)題，近年來(lái)國(guó)內(nèi)外就開(kāi)始針對(duì)智能終端安全進(jìn)行深入的研究探討，并提出了一些解決方案：

1、OMTP(OpenMobileTerminalPlatform，開(kāi)放移動(dòng)終端平臺(tái))工作組于2006年率先提出了一種雙系統(tǒng)解決方案：即在同一個(gè)智能終端下，除了多媒體操作系統(tǒng)外再提供一個(gè)隔離的安全操作系統(tǒng)，這一運(yùn)行在隔離的硬件之上的隔離安全操作系統(tǒng)用來(lái)專門處理敏感信息以保證信息的安全，該安全操作系統(tǒng)稱為TEE。

2、基于OMTP的方案，ARM公司(嵌入式處理器的全球最大方案供應(yīng)商，它們架構(gòu)的處理器約占手機(jī)市場(chǎng)95%以上的份額)于2006年提出了一種硬件虛擬化技術(shù)TrustZone及其相關(guān)硬件實(shí)現(xiàn)方案。同期，Intel公司也提出了類似的基于獨(dú)立雙硬件的技術(shù)解決方案。

3、Visa、MasterCard等國(guó)際銀行卡組織主導(dǎo)的國(guó)際標(biāo)準(zhǔn)化組織GlobalPlatform(全球最主要的智能卡多應(yīng)用管理規(guī)范的組織，簡(jiǎn)稱為GP)從2011年起開(kāi)始了起草制定相關(guān)的TEE規(guī)范標(biāo)準(zhǔn)，預(yù)計(jì)2014年內(nèi)制定完成并公布所有規(guī)范。另外，GP組織還聯(lián)合一些公司共同開(kāi)發(fā)基于GPTEE標(biāo)準(zhǔn)的可信操作系統(tǒng)。

4、在GPTEE的研究背景下，Oracle公司也開(kāi)始了關(guān)于TEE的研究工作，并命名為JavaTEE。JavaTEE是Oracle根據(jù)自身?yè)碛械腏avacard虛擬機(jī)技術(shù)研發(fā)所得的TEE，該TEE將支持搭載基于Java語(yǔ)言的可信應(yīng)用。目前OracleJavaTEE尚未有任何規(guī)范進(jìn)行發(fā)布。

目前，基于TEE技術(shù)的產(chǎn)品主要應(yīng)用于北美市場(chǎng)的DRM(DigitalRightsManagement數(shù)字版權(quán)管理)領(lǐng)域。而在金融領(lǐng)域，Visa、MasterCard等銀行卡組織也已經(jīng)開(kāi)始基于TEE技術(shù)(基于GP標(biāo)準(zhǔn)的平臺(tái))開(kāi)發(fā)手機(jī)POS、手機(jī)錢包等相關(guān)應(yīng)用。另外，支持TEE技術(shù)的智能終端已經(jīng)開(kāi)始出現(xiàn)在全球手機(jī)市場(chǎng)上，如三星GalaxySIII、Note2以及HTCOneX等。

更多資訊，請(qǐng)關(guān)注嵌入式系統(tǒng)頻道。