轉自：http://www.vonwei.com/post/mobileTrustonicTEE.html

轉載申明:本站原創,歡迎轉載。但轉載時請保留原文地址。
原文地址：http://www.vonwei.com/post/mobileTrustonicTEE.html

移動電子商務需求與挑戰

         移動手機所到之處可以不再需要錢包、卡等。現在很多移動應用apps支援手機支付功能，如支付寶可以通過在超市進行手機直接掃碼支付。但是這些apps的安全如何保證？安全也是很多使用者不敢使用的原因。特別是隨著支付的場景變得越來越多和複雜，如坐車、喝咖啡、逛商店、超市購物等，必須保證你手機支付環境的可信。

         所有商業活動的最終行為都體現在一個字上面，即Checkout，包含付款的意思。checkout最早在1933年開始使用，當時隨著商店開始變大，商家並不信任消費者，通過僱用職員來對消費者進行checkout，以保證他們確實能夠付款。Checkout已經流行了幾十年，隨著網際網路的發展，是不是應該作出改變了？無論在網上、大街上或者任何商業區，購物應該有更加快速、簡單、方便的方法。

         線下看好商品，線上支付，讓消費者享受看到線下的實物，同時享受線上的價格和方便的支付方法，這或許會是今後一段時間移動購物的趨勢。小的商家如何保證支付平臺的安全。如果商家能夠識別使用者，可以有利於分析消費者群體及其購物習慣，但同時使用者又比較關心自己隱私資訊的洩露。手機支付應該比紙幣、銀行卡刷卡支付方式在隱私性、安全性、方便性、相關性等各個方面提供更好的解決方案。提供一個簡單、安全、快速和可靠的支付app，使得無論線上支付或者線下購物都能滿足支付要求。

         移動運營商、裝置製造商、晶片製造商、作業系統廠商、廣告商、銀行、支付機制、信譽機制、商家、終端使用者等，面對不同的利益相關者和需求，移動商務可能導致大規模複雜的業務動態。在這些商業之間找到共同點是非常困難的，使得移動商務發展比較緩慢。不過，移動領域一些共通的安全技術問題是需要指出的：

         （1）使用者認證。認證是為了確定註冊過的人或者裝置正在訪問系統，通常的三類認證因子包含：你擁有什麼（What you have）、你知道什麼（What you know）和你是什麼（What you are）。只要結合其中兩類認證因子就可以達到強認證（Strong Authentication）的效果，通常稱為雙因子認證（Two Factor Authentication，2FA）。安全令牌（如智慧卡、U盾）屬於What you have，實際使用中人們不可能隨身攜帶這些安全令牌，而且不同的服務都出示不同的安全令牌，也是很不方便的一種形式。密碼口令passwords等屬於What you know，但是跨不同的站點，往往要記住多個不同的密碼是很困難的，特別是密碼還要定期修改。生物特徵（如指紋、虹膜等）屬於What you are，你確實是隨身攜帶這些安全特徵的，但生物特徵通常很難撤銷，而且也無法等同你的身份，採取生物特徵還會影響使用者的隱私。

         （2）身份管理。你的身份通常取決於誰在要求這種身份資訊，如對於你父母，你是子女；對於國家，你是子民；對於公司，你是員工；你的朋友聯絡你可以通過Facebook、QQ、微信等；你的商業夥伴聯絡可能通過LinkedIn、電子郵件等……所有這些身份都是描述兩個實體之間的關係，將這些身份資訊保持相互隔離很非常重要的，例如你可能不希望你的上司或者商業夥伴去騷擾你的父母家人，一個商家沒必要知道你的QQ、手機等資訊，只需要知道你是一個合法的服務物件即可。隔離身份資訊對於維護個人隱私是至關重要的，哪些事件與你的哪個身份關聯，應該主要由使用者決定，不能讓第三方侵犯使用者的私人生活。

         （3）隱私。在這個世界上，你以為自己有隱私，實際上你的隱私都控制在他人手中。斯諾登Snowden很好的證明了這一點。你所使用和訪問的安全系統（如微軟、谷歌等），表面上聲稱維護隱私，實際上一直在被監視。侵犯隱私當然會影響人們的生活，如層出不窮的豔照門事件就是隱私資訊被洩露了，發生在誰身上都無法接受。你唯一能選擇的措施是隔離和保護自己的身份，防止任何惡意方的各種非預期的陰謀。大資料的興起就更加危險了，你的各種數字指紋還不知道已經被記錄在哪個資料庫中了。不聯網就不用擔心安全隱私了嗎？還有U盤等各種外設介面，還有內部人員洩露等各種防不勝防的攻擊存在。

         （4）資料庫漏洞。通常資料庫越大，其商業價值應該也就越高。資料庫會記錄你的購買歷史、購買偏好，以及儲存你的各種支付資料。正因為如此，這些資料庫很容易成為攻擊的目標，攻擊者對這一塊更加感興趣。CSDN資料庫的洩密，各大酒店開房資訊的洩密等，這些洩露的資料庫在地下都是可以銷售而且價值不菲。特別是為了方便，很多使用者喜歡在不同網站使用相同的使用者名稱和密碼，洩露一個，其它也無法保全。脆弱的資料庫實際上失去的是使用者的信任。

         （5）惡意軟體。開心農場、憤怒的小鳥、Flappy Bird、2048、植物大戰殭屍等，每一個熱門的遊戲都會成為惡意應用開發者的目標，可以在應用apps裡面植入木馬，植入的木馬就可以在手機上為所欲為了，獲取你的通訊記錄、簡訊，獲取你的支付資訊、郵件等。隨著移動支付app使用的增長，惡意軟體會更具威脅性。魔高一尺道高一丈，純軟體的保護方法就在比軟體程式設計能力了，誰都無法保證能殺掉所有惡意軟體，特別是現在各種apps氾濫成災的今天。

 

五個技術標準

         今天，你的口袋充滿了前所未有的處理能力和連通性。你的智慧手機擁有8核處理器，擁有4G、WiFI、GPS、藍芽以及NFC等通訊方式都是很平常的事情。你可以武裝你的智慧裝置，讓其更加可信，武裝的軟硬體安全特徵可以包括：安全啟動secure boot，可信執行環境TEE（如ARM TrustZone），安全元素Secure Element（如各種智慧卡），虛擬技術hypervisors，以及各種主機OS上本身就存在的安全特徵。

         Trustonic介紹了五個技術標準，可以將簡單、快速、安全的支付帶個任何環境。這五個技術標準分別為iBeacons，FIDO，Tokenization，Host Card Emulation，TEE（Trusted Execution Environments）。

         （1）低功耗藍芽– Beacon技術。蘋果主要使用該技術iBeacon，全球大部分iOS裝置與之相容，主要用於室內互動，如進行室內導航、移動支付、店內導購、人流分析等。如果說Checkout是一個低可信的模式，那麼高可信的模式就應該是Checkin。ibeacon可以精確的將訊號廣播給室內的智慧手機，這一點是室外GPS訊號無法達到的。如果你是一個常客，Checkin之後，你會搜到基於位置的各種資訊，如新的產品、打折資訊等。放心，只有授權的手機apps才能對beacon廣播的資訊進行響應，商家肯定不希望競爭者或者犯罪分子來獲取其客戶的購物習慣等資訊。Beacon訊息會包含隨機值，並且可以被加密，只有關聯的app能解密訊息，金鑰的保護就非常關鍵。

         （1） FIDO認證。FIDO聯盟的任務就是使用強密碼技術憑證來減少對傳統使用者名稱和Passwords的依靠。FIDO的通用認證框架提供了一個標準協議，讓多個不同的服務可以使用相同的認證硬體令牌，這樣給使用者帶來便利性，不用針對每個服務商都帶一個不同的硬體令牌。每個服務使用相同的硬體令牌，但是使用不同的金鑰來維護隔離和隱私；即便一個服務商的使用者資料庫丟失，攻擊者也無法訪問服務。資料庫只儲存公鑰，攻擊者無法得到你的硬體令牌和私鑰，也就無法訪問服務。智慧手機存在各種感測器（結合生物特徵更加方便），可以用作硬體令牌，融入到FIDO框架中。FIDO聯盟也在構建交易確認機制的標準，通過可信顯示技術來確認你的意圖，達到“what you see is what you sign”。

         （3）HCE NFC近域通訊。非接觸式支付的方式正在增長，這種方式的裝置通常稱為NFC智慧手機，即智慧手機上擁有NFC介面。NFC標準在2002年就已經開發出來，然而發展一直比較受阻，主要是其缺少進入商業模式達成商業協議的能力。最重要的一個障礙是安全元素SE（Secure Element），SE是智慧手機中比較昂貴的，可以離線長期安全儲存私密金鑰，屬於稀缺資源。不過為了讓移動apps在一個SE手機上使用，需要一個可信服務管理器（Trusted Service Manager，TSM）配合一起工作。這並不是很多服務提供商想要的方式，因為SE、TSM都掌握在其發行者手中。HCE（Host Card Emulation）跨越了TSMs和SEs，其不用依賴SE，就可以讓智慧手機模擬出一個非接觸式卡片，不過為apps提供的安全性也要低一些。實際銀行卡的有效期可能很長（如簽發後兩三年還可以使用），不過智慧手機的一個支付app不需要這麼長，需要與安全性一起進行權衡。HCE在銀行伺服器涉及一些處理技巧，使得支付終端可以直接傳送資料而不用更新已經部署的支付終端。這個處理技巧為Tokenization。

         （4）Tokenization。國際晶片卡標準化組織EMVCo定義了智慧卡支付，也定義了一個Token（即令牌），在實際卡應用中作為代用品。商家可以使用同樣的方式處理卡和令牌，這意味著沒有必要改變已經部署和安裝的PoS（Point of Sale）終端。這種巧妙的處理通過一個令牌服務提供商TSP（Token Service Provider）進行，TSP擁有實際的卡資訊。簽發令牌Tokens時，可以靈活的作出一些限制，如只能供一些特定的商家使用、只能線上使用、只能線下使用，還可以對令牌的值、時間和地點作出限制，如根據裝置的安全等級來確定其有效時間。必要時，令牌可以銷燬和重新簽發。Tokens解決方法可以保證與已有的基礎設施相容，節省開支。和HCE一起工作，令牌可以解決可用性的問題，當行動網路不穩定時，令牌本地儲存在移動手機上，可以離線的進行支付。EMVCo支付令牌規範技術框架v1.0提供了在裝置上進行令牌安全儲存的例子，例如可以存放在一個可信執行環境TEE中。另外，令牌可以通過任何通道進行使用，如NFC HCE、網路交易以及藍芽Beacons，因此該技術不只限於PoS終端。

         上面介紹的所有四種技術都要求在移動裝置上保證安全和可信，一個TEE平臺可以達到這一點。

         （5）可信執行環境TEE。GlobalPlatform（GP）提供基於安全晶片技術的應用管理標準，由主流的網路運營商、支付服務、技術提供商提供支援，實現智慧連線裝置行業。GP的一個重要輸出是其可信執行環境TEE（Trusted Execution Environment）。TEE的目的是將高安全敏感的應用與通用的軟體環境進行隔離，安全地提供訪問硬體資源（如安全儲存、安全顯示和使用者介面等）的能力。TEE為所有的其它標準提供安全支撐，可以加快移動商務的發展速度。

Trustonic解決方案

         Trustonic是TEE技術的領先供應商，<t-base是Trustonic提供的TEE解決方案，可以嵌入到移動裝置的處理器中，供其它服務提供商通過開放的方式訪問現有的高階安全特徵。Trustonic將可信服務緊密的連線到可信裝置上，如下圖所示：

         晶片製造商可以整合t-base TEE，為PIN碼、指紋和證書等提供隔離和保護，防止來自主作業系統環境的威脅。t-base使用ARM TrustZone安全隔離特徵（目前SoC處理器中已經存在），並使用微核心和安全域隔離來保證可信apps的隔離。Trustonic為領先的晶片製造商提供整合的服務和支援，供應智慧連線裝置市場。

         裝置製造商在生產線上設定Trustonic t-kph金鑰配置主機系統（t-kph Key Provisioning Host system）。Trustonic為每個裝置的每個t-base TEE建立一個信任根（root of trust），並同步記錄到Trustonic的t-sek目錄中。

         安全應用開發者使用Trustonic提供的t-sdk軟體開發工具包（可以通過Trustonic t-dev開發者計劃獲得）建立可信apps，可以執行在t-base中。

         服務提供商通過Trustonic的t-sek服務許可工具包（Service Enablement Kit）連線到t-base內的安全域，t-sek可以授權部署應用到安全域。

         t-base的使用者認證：TEE的能力之一是可以安全連線外設，可以保護使用者的輸入，如FIDO的UAF認證子（觸屏或者指紋感測器）。通過觸屏可以輸入使用者PIN碼，通過可信使用者介面進行。生物認證可以作為另外一個認證因子，TEE可以安全儲存一個註冊的指紋資訊，並在可信環境中進行指紋的匹配。隨著技術的發展，TEE還可以保護更多的認證因子。

         t-base的安全儲存：軟體保護容易被攻破，需要使用一個基於硬體的信任根來保護裝置上的敏感資產。硬體信任根只能通過TEE訪問，用來加密儲存在其它大規模儲存裝置上的敏感資料。硬體信任根不會在TEE之外被訪問，如主機OS就無法獲取訪問硬體信任根的介面。其可以儲存臨時的授權令牌或者儲存用於解密beacon訊息的金鑰。這些主要靠t-base TEE保護裝置上的金鑰。

         t-base的安全通訊：使用一個安全儲存的金鑰，一個可信app可以構建和雲服務的一個可靠安全的連線，也可以構建與本地裝置（如安全元素SE）之間的一個安全通道。TEE保護建立這些安全連線的私鑰、祕密金鑰和隨機數生成器，可以和任何終端裝置構建安全連線。

         t-base的安全顯示：通過控制對顯示驅動外設的訪問，TEE能夠在裝置上安全的顯示資料。TEE隔離顯示快取和資訊，使得其不會被主機OS篡改，真正達到“what you see is what you sign”。

        

總結

安全基準是TEE，其它提供安全手段和服務。

Bluetooth Smart – protect user privacy

FIDO – securely capture PINs, biometrics and protect online privacy

HCE – protect identity and connection to Token Service Providers

EMVCo Tokens – protect locally stored tokens and enforce policy on usage

TEE – Protecting all of the above standards

 

參考

[1] Five Standards for One Way to Pay. https://www.trustonic.com/support/whitepapers

[2] Beacon技術：室內互動的新浪潮. http://www.leiphone.com/news/201406/d-ibeacon.html

• ——————分隔線—————-

本文轉自張昺華-sky部落格園部落格，原文連結：http://www.cnblogs.com/sky-heaven/p/6707418.html

，如需轉載請自行聯絡原作者