移動電子商務：五個技術标準與Trustonic TEE解決方案【轉】移動電子商務需求與挑戰五個技術标準Trustonic解決方案 總結

<dl></dl>

<dd></dd>

轉載申明:本站原創,歡迎轉載。但轉載時請保留原文位址。

         移動手機所到之處可以不再需要錢包、卡等。現在很多移動應用apps支援手機支付功能，如支付寶可以通過在超市進行手機直接掃碼支付。但是這些apps的安全如何保證？安全也是很多使用者不敢使用的原因。特别是随着支付的場景變得越來越多和複雜，如坐車、喝咖啡、逛商店、超市購物等，必須保證你手機支付環境的可信。

         所有商業活動的最終行為都展現在一個字上面，即Checkout，包含付款的意思。checkout最早在1933年開始使用，當時随着商店開始變大，商家并不信任消費者，通過雇用職員來對消費者進行checkout，以保證他們确實能夠付款。Checkout已經流行了幾十年，随着網際網路的發展，是不是應該作出改變了？無論在網上、大街上或者任何商業區，購物應該有更加快速、簡單、友善的方法。

         線下看好商品，線上支付，讓消費者享受看到線下的實物，同時享受線上的價格和友善的支付方法，這或許會是今後一段時間移動購物的趨勢。小的商家如何保證支付平台的安全。如果商家能夠識别使用者，可以有利于分析消費者群體及其購物習慣，但同時使用者又比較關心自己隐私資訊的洩露。手機支付應該比紙币、銀行卡刷卡支付方式在隐私性、安全性、友善性、相關性等各個方面提供更好的解決方案。提供一個簡單、安全、快速和可靠的支付app，使得無論線上支付或者線下購物都能滿足支付要求。

         移動營運商、裝置制造商、晶片制造商、作業系統廠商、廣告商、銀行、支付機制、信譽機制、商家、終端使用者等，面對不同的利益相關者和需求，移動商務可能導緻大規模複雜的業務動态。在這些商業之間找到共同點是非常困難的，使得移動商務發展比較緩慢。不過，移動領域一些共通的安全技術問題是需要指出的：

         （1）使用者認證。認證是為了确定注冊過的人或者裝置正在通路系統，通常的三類認證因子包含：你擁有什麼（What you have）、你知道什麼（What you know）和你是什麼（What you are）。隻要結合其中兩類認證因子就可以達到強認證（Strong Authentication）的效果，通常稱為雙因子認證（Two Factor Authentication，2FA）。安全令牌（如智能卡、U盾）屬于What you have，實際使用中人們不可能随身攜帶這些安全令牌，而且不同的服務都出示不同的安全令牌，也是很不友善的一種形式。密碼密碼passwords等屬于What you know，但是跨不同的站點，往往要記住多個不同的密碼是很困難的，特别是密碼還要定期修改。生物特征（如指紋、虹膜等）屬于What you are，你确實是随身攜帶這些安全特征的，但生物特征通常很難撤銷，而且也無法等同你的身份，采取生物特征還會影響使用者的隐私。

         （2）身份管理。你的身份通常取決于誰在要求這種身份資訊，如對于你父母，你是子女；對于國家，你是子民；對于公司，你是員工；你的朋友聯系你可以通過Facebook、QQ、微信等；你的商業夥伴聯系可能通過LinkedIn、電子郵件等......所有這些身份都是描述兩個實體之間的關系，将這些身份資訊保持互相隔離很非常重要的，例如你可能不希望你的上司或者商業夥伴去騷擾你的父母家人，一個商家沒必要知道你的QQ、手機等資訊，隻需要知道你是一個合法的服務對象即可。隔離身份資訊對于維護個人隐私是至關重要的，哪些事件與你的哪個身份關聯，應該主要由使用者決定，不能讓第三方侵犯使用者的私人生活。

         （3）隐私。在這個世界上，你以為自己有隐私，實際上你的隐私都控制在他人手中。斯諾登Snowden很好的證明了這一點。你所使用和通路的安全系統（如微軟、谷歌等），表面上聲稱維護隐私，實際上一直在被監視。侵犯隐私當然會影響人們的生活，如層出不窮的豔照門事件就是隐私資訊被洩露了，發生在誰身上都無法接受。你唯一能選擇的措施是隔離和保護自己的身份，防止任何惡意方的各種非預期的陰謀。大資料的興起就更加危險了，你的各種數字指紋還不知道已經被記錄在哪個資料庫中了。不聯網就不用擔心安全隐私了嗎？還有U盤等各種外設接口，還有内部人員洩露等各種防不勝防的攻擊存在。

         （4）資料庫漏洞。通常資料庫越大，其商業價值應該也就越高。資料庫會記錄你的購買曆史、購買偏好，以及存儲你的各種支付資料。正因為如此，這些資料庫很容易成為攻擊的目标，攻擊者對這一塊更加感興趣。CSDN資料庫的洩密，各大酒店開房資訊的洩密等，這些洩露的資料庫在地下都是可以銷售而且價值不菲。特别是為了友善，很多使用者喜歡在不同網站使用相同的使用者名和密碼，洩露一個，其它也無法保全。脆弱的資料庫實際上失去的是使用者的信任。

         （5）惡意軟體。開心農場、憤怒的小鳥、Flappy Bird、2048、植物大戰僵屍等，每一個熱門的遊戲都會成為惡意應用開發者的目标，可以在應用apps裡面植入木馬，植入的木馬就可以在手機上為所欲為了，擷取你的通信記錄、短信，擷取你的支付資訊、郵件等。随着移動支付app使用的增長，惡意軟體會更具威脅性。魔高一尺道高一丈，純軟體的保護方法就在比軟體程式設計能力了，誰都無法保證能殺掉所有惡意軟體，特别是現在各種apps泛濫成災的今天。

         今天，你的口袋充滿了前所未有的處理能力和連通性。你的智能手機擁有8核處理器，擁有4G、WiFI、GPS、藍牙以及NFC等通信方式都是很平常的事情。你可以武裝你的智能裝置，讓其更加可信，武裝的軟硬體安全特征可以包括：安全啟動secure boot，可信執行環境TEE（如ARM TrustZone），安全元素Secure Element（如各種智能卡），虛拟技術hypervisors，以及各種主機OS上本身就存在的安全特征。

         Trustonic介紹了五個技術标準，可以将簡單、快速、安全的支付帶個任何環境。這五個技術标準分别為iBeacons，FIDO，Tokenization，Host Card Emulation，TEE（Trusted Execution Environments）。

         （1）低功耗藍牙- Beacon技術。蘋果主要使用該技術iBeacon，全球大部分iOS裝置與之相容，主要用于室内互動，如進行室内導航、移動支付、店内導購、人流分析等。如果說Checkout是一個低可信的模式，那麼高可信的模式就應該是Checkin。ibeacon可以精确的将信号廣播給室内的智能手機，這一點是室外GPS信号無法達到的。如果你是一個常客，Checkin之後，你會搜到基于位置的各種資訊，如新的産品、打折資訊等。放心，隻有授權的手機apps才能對beacon廣播的資訊進行響應，商家肯定不希望競争者或者犯罪分子來擷取其客戶的購物習慣等資訊。Beacon消息會包含随機值，并且可以被加密，隻有關聯的app能解密消息，密鑰的保護就非常關鍵。

         （1） FIDO認證。FIDO聯盟的任務就是使用強密碼技術憑證來減少對傳統使用者名和Passwords的依靠。FIDO的通用認證架構提供了一個标準協定，讓多個不同的服務可以使用相同的認證硬體令牌，這樣給使用者帶來便利性，不用針對每個服務商都帶一個不同的硬體令牌。每個服務使用相同的硬體令牌，但是使用不同的密鑰來維護隔離和隐私；即便一個服務商的使用者資料庫丢失，攻擊者也無法通路服務。資料庫隻存儲公鑰，攻擊者無法得到你的硬體令牌和私鑰，也就無法通路服務。智能手機存在各種傳感器（結合生物特征更加友善），可以用作硬體令牌，融入到FIDO架構中。FIDO聯盟也在建構交易确認機制的标準，通過可信顯示技術來确認你的意圖，達到“what you see is what you sign”。

         （3）HCE NFC近域通信。非接觸式支付的方式正在增長，這種方式的裝置通常稱為NFC智能手機，即智能手機上擁有NFC接口。NFC标準在2002年就已經開發出來，然而發展一直比較受阻，主要是其缺少進入商業模式達成商業協定的能力。最重要的一個障礙是安全元素SE（Secure Element），SE是智能手機中比較昂貴的，可以離線長期安全存儲私密密鑰，屬于稀缺資源。不過為了讓移動apps在一個SE手機上使用，需要一個可信服務管理器（Trusted Service Manager，TSM）配合一起工作。這并不是很多服務提供商想要的方式，因為SE、TSM都掌握在其發行者手中。HCE（Host Card Emulation）跨越了TSMs和SEs，其不用依賴SE，就可以讓智能手機模拟出一個非接觸式卡片，不過為apps提供的安全性也要低一些。實際銀行卡的有效期可能很長（如簽發後兩三年還可以使用），不過智能手機的一個支付app不需要這麼長，需要與安全性一起進行權衡。HCE在銀行伺服器涉及一些處理技巧，使得支付終端可以直接發送資料而不用更新已經部署的支付終端。這個處理技巧為Tokenization。

         （4）Tokenization。國際晶片卡标準化組織EMVCo定義了智能卡支付，也定義了一個Token（即令牌），在實際卡應用中作為代用品。商家可以使用同樣的方式處理卡和令牌，這意味着沒有必要改變已經部署和安裝的PoS（Point of Sale）終端。這種巧妙的處理通過一個令牌服務提供商TSP（Token Service Provider）進行，TSP擁有實際的卡資訊。簽發令牌Tokens時，可以靈活的作出一些限制，如隻能供一些特定的商家使用、隻能線上使用、隻能線下使用，還可以對令牌的值、時間和地點作出限制，如根據裝置的安全等級來确定其有效時間。必要時，令牌可以銷毀和重新簽發。Tokens解決方法可以保證與已有的基礎設施相容，節省開支。和HCE一起工作，令牌可以解決可用性的問題，當移動網絡不穩定時，令牌本地存儲在移動手機上，可以離線的進行支付。EMVCo支付令牌規範技術架構v1.0提供了在裝置上進行令牌安全存儲的例子，例如可以存放在一個可信執行環境TEE中。另外，令牌可以通過任何通道進行使用，如NFC HCE、網絡交易以及藍牙Beacons，是以該技術不隻限于PoS終端。

         上面介紹的所有四種技術都要求在移動裝置上保證安全和可信，一個TEE平台可以達到這一點。

         （5）可信執行環境TEE。GlobalPlatform（GP）提供基于安全晶片技術的應用管理标準，由主流的網絡營運商、支付服務、技術提供商提供支援，實作智能連接配接裝置行業。GP的一個重要輸出是其可信執行環境TEE（Trusted Execution Environment）。TEE的目的是将高安全敏感的應用與通用的軟體環境進行隔離，安全地提供通路硬體資源（如安全存儲、安全顯示和使用者接口等）的能力。TEE為所有的其它标準提供安全支撐，可以加快移動商務的發展速度。

         Trustonic是TEE技術的領先供應商，&lt;t-base是Trustonic提供的TEE解決方案，可以嵌入到移動裝置的處理器中，供其它服務提供商通過開放的方式通路現有的進階安全特征。Trustonic将可信服務緊密的連接配接到可信裝置上，如下圖所示：

         晶片制造商可以內建t-base TEE，為PIN碼、指紋和證書等提供隔離和保護，防止來自主作業系統環境的威脅。t-base使用ARM TrustZone安全隔離特征（目前SoC處理器中已經存在），并使用微核心和安全域隔離來保證可信apps的隔離。Trustonic為領先的晶片制造商提供內建的服務和支援，供應智能連接配接裝置市場。

         裝置制造商在生産線上設定Trustonic t-kph密鑰配置主機系統（t-kph Key Provisioning Host system）。Trustonic為每個裝置的每個t-base TEE建立一個信任根（root of trust），并同步記錄到Trustonic的t-sek目錄中。

         安全應用開發者使用Trustonic提供的t-sdk軟體開發工具包（可以通過Trustonic t-dev開發者計劃獲得）建立可信apps，可以運作在t-base中。

         服務提供商通過Trustonic的t-sek服務許可工具包（Service Enablement Kit）連接配接到t-base内的安全域，t-sek可以授權部署應用到安全域。

         t-base的使用者認證：TEE的能力之一是可以安全連接配接外設，可以保護使用者的輸入，如FIDO的UAF認證子（觸屏或者指紋傳感器）。通過觸屏可以輸入使用者PIN碼，通過可信使用者接口進行。生物認證可以作為另外一個認證因子，TEE可以安全存儲一個注冊的指紋資訊，并在可信環境中進行指紋的比對。随着技術的發展，TEE還可以保護更多的認證因子。

         t-base的安全存儲：軟體保護容易被攻破，需要使用一個基于硬體的信任根來保護裝置上的敏感資産。硬體信任根隻能通過TEE通路，用來加密存儲在其它大規模儲存設備上的敏感資料。硬體信任根不會在TEE之外被通路，如主機OS就無法擷取通路硬體信任根的接口。其可以存儲臨時的授權令牌或者存儲用于解密beacon消息的密鑰。這些主要靠t-base TEE保護裝置上的密鑰。

         t-base的安全通信：使用一個安全存儲的密鑰，一個可信app可以建構和雲服務的一個可靠安全的連接配接，也可以建構與本地裝置（如安全元素SE）之間的一個安全通道。TEE保護建立這些安全連接配接的私鑰、秘密密鑰和随機數生成器，可以和任何終端裝置建構安全連接配接。

         t-base的安全顯示：通過控制對顯示驅動外設的通路，TEE能夠在裝置上安全的顯示資料。TEE隔離顯示緩存和資訊，使得其不會被主機OS篡改，真正達到“what you see is what you sign”。

安全基準是TEE，其它提供安全手段和服務。

Bluetooth Smart – protect user privacy

FIDO - securely capture PINs, biometrics and protect online privacy

HCE - protect identity and connection to Token Service Providers

EMVCo Tokens - protect locally stored tokens and enforce policy on usage

TEE - Protecting all of the above standards

參考

------------------分隔線----------------

本文轉自張昺華-sky部落格園部落格，原文連結：http://www.cnblogs.com/sky-heaven/p/6707418.html

，如需轉載請自行聯系原作者