第60期：詳解移動網際網路背後的安全技術

【主題】詳解移動網際網路背後的安全技術

【講師】張楚 豆莢科技創始人

【時間】10月10日 20:00-21:00

【地點】物聯網智庫微信群

【提綱】

1.移動支付帶來的影響

2.生物識别背後的安全保護技術TEE

3.TEE技術将如何促進移動網際網路應用的發展

【講師簡介】

張楚，北京豆莢科技聯合創始人、CEO。張楚先生有15年的移動支付、生物識别、手機安全和智能卡行業經驗，并著有《走進移動支付》一書，是移動支付行業專家。豆莢科技基于TEE（可信執行環境）技術，打造安全整體解決方案和服務。

張楚

大家晚上好，首先自我介紹一下，我叫張楚。來自于北京豆莢科技有限公司，公司主要方向是移動支付、手機安全，主要産品是TEE可信執行環境。之前我有超過15年的工作經曆，曾經供職于斯倫貝謝、握奇，一直在智能卡、晶片、資料安全、移動支付領域。

今天和大家交流的是移動支付、移動網際網路以及背後的安全技術。首先，我們來看一下移動支付市場吧。

上圖是來自艾瑞的一個資料。僅第三方移動支付市場（不包括商業銀行和銀聯），2016年交易規模可能在30-40萬億。這個規模已經很吓人了，而且每個季度還在維持超過30%的一個增長率。

我們再來看一下市場格局，都是哪些大哥在玩呢？基本上是阿裡、騰訊兩位大哥。但是艾瑞隻統計了第三方支付，不包括銀聯。第三方移動支付市場（不包括商業銀行和銀聯）的發展，以支付寶和财付通（微信和手Q）為代表。大家都知道，2016年初Apple Pay正式入華，和銀聯展開合作，三星、華為、小米跟進。

國内移動支付市場形成支付寶、财付通、銀聯三國演義的格局。

我們可以看到，網際網路廠商，手機廠商，銀行，信用卡組織等，都進入到了這個市場。

為什麼發展這麼快呢？主要是因為市場趨勢。雖然移動支付交易額已經很大了，但是和支付總量比，還很小。也就是說，仍然有大量的現金、銀行卡、U盾等不同類型的支付方式。移動支付市場還遠遠沒有達到天花闆，還是有大量的消費者沒有用移動支付。

那麼，為什麼有的消費者沒有用移動支付呢？

上圖統計了消費者擔心的因素，安全問題成為消費者關注的主要因素，是以，解決手機安全成為了重要的點。不僅僅是手機，味蕾是一個物聯網的世界，支付、安全是普遍需求。

支付，也僅僅是開始。P2P、借貸、證券、期貨、貴金屬、比特币、衆籌等金融産品，與移動網際網路結合越來越緊密，還有DRM、eSIM、手機殺毒、防丢防盜防刷機等等。

那麼，手機，乃至智能終端的安全如何解決呢？

大家知道，移動終端千差萬别，很難有統一的安全方式。我們可以試着從晶片、以及晶片的IP架構說起，大家都知道，移動終端晶片IP的王者是ARM。其他的Inter和MIPS份額很少，用在其他領域。

ARM為晶片安全做了一套被稱為TrustZone的架構。

那麼TEE呢？TEE（Trusted Execution Environment 可信執行環境）最早出自于OMTP規範，ARM是TEE技術的主導者之一，其TrustZone即為是ARM公司的TEE的實作。

TEE的目的增強移動裝置的安全特性，進而研發的包括軟體程式設計接口、硬體IP在内的一整套方案。晶片在軟體和硬體上，有REE和TEE兩個區域，分别對應富執行環境和可信執行環境。其主要思想就是在同一個CPU晶片上，通過硬體配置方式實作不同IP元件的通路控制，進而提供一個完全隔離的運作空間。

ARM在晶片IP設計中已經全面支援了TEE，包括高通、聯發科、三星、海思、展訊等都紛紛采用，成為基于硬體安全的主流方案。

随着ApplePay的推出，蘋果率先采用TEE技術保護指紋，使得TEE技術随着移動支付中的指紋大行其道。三星、小米、華為、OPPO、vivo、聯想、中興等，全面采用。用來對接支付寶、微信、銀聯的、移動支付應用，保證安全。

首先看支付寶，成立了IFAA，推廣移動支付安全認證方案。

再看微信，建立了SOTER，保證安全。

當然還有銀聯，也實施了相關标準。

是以，由于移動支付的要求，TEE技術在手機上迅速普及。

最後，展望一下未來。我們認為未來是一個物聯網的世界，智能硬體極大豐富，無人機滿天飛，智能汽車滿街跑，機器人到處都是。安全是物聯網的基礎需求，由于ARM、高通、蘋果、三星、華為、小米、BAT、銀聯等産業鍊大佬的推動，TEE技術有望成為物聯網安全的基礎技術，有着廣闊的發展。

我所在的豆莢科技，就是基于TEE技術，做移動安全的公司，期望能在産業鍊中貢獻自己的力量。最後，用我公司的slogan來結束吧：無信不立，豆莢科技。

【課後提問環節】

【問題】請教一個問題，比如手機銀行，這種場景，别人攔截我的短信，盜取我的手機銀行使用者名和密碼，直接把銀子轉走，TEE技術可以避免麼？

【回答】這是一個典型問題。短信校驗是因為使用者名、密碼體系固有的被盜風險，是一個補充和加強。但短信本身也有自身的安全短闆。而基于TEE的生物識别方案，取代了使用者名、密碼，通常可以不再用指紋作為安全補充，也就規避了短信的自身問題。

【問題】指紋資料是存放在指紋晶片的空間裡嗎？還是存在TEE的TA裡？

【回答】指紋模闆及其他的安全資料，通常是通過TEE來控制的。具體的存儲區域要看應用方的安全要求，情況不一樣。

【問題】指紋識别、TEE在手機上應用的标準？

【回答】據我所知，指紋的标準主要有幾個體系，工信部這邊主要是泰爾實驗室在做相關的檢測認證标準，而央行體系是銀聯在做标準，海外有GP的标準。行業中還有IFAA、SOTER、FIDO等标準。

【問題】前面提到的生物識别方案在手機銀行中有具體應用麼？

【回答】現在大多數銀行都支援銀聯的雲閃付，裡面會有指紋支付，就是通過TEE實作的。三星、蘋果、小米、華為的很多機型都已經支援了。

【問題】安全問題一直是一個很敏感的話題，實際上絕對的安全也做不到，現在的物聯網技術應該怎麼去平衡安全問題與實用性呢？

【回答】這個是一個非常複雜的問題，本質上安全性和便捷性是沖突的。我們需要的保證“相對安全”的前提下，追求最好的便利性。所謂相對的安全，就是說，破解成本遠大于破解後的所的。而且，我們今天主要關注的是“端”的安全。其實安全涉及到端-管-雲，是一個系統工程。很多時候，端沒問題，但是雲出了問題，也很要命。需要通盤考慮，整體設計。

【問題】支援TEE，成本增加多少？

【回答】成本問題比較敏感。隻能說相對SE等方案來說，增加的不多，OEM還能承受。

原文出處：物聯網智庫

<a href="http://www.iot101.com/kpwl/2016-10-12/12277.html" target="_blank">原文連結</a>

轉載請與作者聯系，同時請務必标明文章原始出處和原文連結及本聲明。