移動電子商務：五個技術標準與Trustonic TEE解決方案【轉】

時間 2019-11-30

標籤移動電子商務五個技術標準 trustonic tee 解決方案欄目無線简体版

原文原文鏈接

轉自：http://www.vonwei.com/post/mobileTrustonicTEE.htmlhtml

轉載申明:本站原創,歡迎轉載。但轉載時請保留原文地址。
原文地址： http://www.vonwei.com/post/mobileTrustonicTEE.html

移動電子商務需求與挑戰

移動手機所到之處能夠再也不須要錢包、卡等。如今不少移動應用apps支持手機支付功能，如支付寶能夠經過在超市進行手機直接掃碼支付。可是這些apps的安全如何保證？安全也是不少用戶不敢使用的緣由。特別是隨着支付的場景變得愈來愈多和複雜，如坐車、喝咖啡、逛商店、超市購物等，必須保證你手機支付環境的可信。數據庫

全部商業活動的最終行爲都體如今一個字上面，即Checkout，包含付款的意思。checkout最先在1933年開始使用，當時隨着商店開始變大，商家並不信任消費者，經過僱用職員來對消費者進行checkout，以保證他們確實可以付款。Checkout已經流行了幾十年，隨着互聯網的發展，是否是應該做出改變了？不管在網上、大街上或者任何商業區，購物應該有更加快速、簡單、方便的方法。編程

線下看好商品，線上支付，讓消費者享受看到線下的實物，同時享受線上的價格和方便的支付方法，這或許會是從此一段時間移動購物的趨勢。小的商家如何保證支付平臺的安全。若是商家可以識別用戶，能夠有利於分析消費者羣體及其購物習慣，但同時用戶又比較關心本身隱私信息的泄露。手機支付應該比紙幣、銀行卡刷卡支付方式在隱私性、安全性、方便性、相關性等各個方面提供更好的解決方案。提供一個簡單、安全、快速和可靠的支付app，使得不管線上支付或者線下購物都能知足支付要求。緩存

移動運營商、設備製造商、芯片製造商、操做系統廠商、廣告商、銀行、支付機制、信譽機制、商家、終端用戶等，面對不一樣的利益相關者和需求，移動商務可能致使大規模複雜的業務動態。在這些商業之間找到共同點是很是困難的，使得移動商務發展比較緩慢。不過，移動領域一些共通的安全技術問題是須要指出的：安全

（1）用戶認證。認證是爲了肯定註冊過的人或者設備正在訪問系統，一般的三類認證因子包含：你擁有什麼（What you have）、你知道什麼（What you know）和你是什麼（What you are）。只要結合其中兩類認證因子就能夠達到強認證（Strong Authentication）的效果，一般稱爲雙因子認證（Two Factor Authentication，2FA）。安全令牌（如智能卡、U盾）屬於What you have，實際使用中人們不可能隨身攜帶這些安全令牌，並且不一樣的服務都出示不一樣的安全令牌，也是很不方便的一種形式。密碼口令passwords等屬於What you know，可是跨不一樣的站點，每每要記住多個不一樣的密碼是很困難的，特別是密碼還要按期修改。生物特徵（如指紋、虹膜等）屬於What you are，你確實是隨身攜帶這些安全特徵的，但生物特徵一般很難撤銷，並且也沒法等同你的身份，採起生物特徵還會影響用戶的隱私。服務器

（2）身份管理。你的身份一般取決於誰在要求這種身份信息，如對於你父母，你是子女；對於國家，你是子民；對於公司，你是員工；你的朋友聯繫你能夠經過Facebook、QQ、微信等；你的商業夥伴聯繫可能經過LinkedIn、電子郵件等......全部這些身份都是描述兩個實體之間的關係，將這些身份信息保持相互隔離很很是重要的，例如你可能不但願你的上司或者商業夥伴去騷擾你的父母家人，一個商家不必知道你的QQ、手機等信息，只須要知道你是一個合法的服務對象便可。隔離身份信息對於維護我的隱私是相當重要的，哪些事件與你的哪一個身份關聯，應該主要由用戶決定，不能讓第三方侵犯用戶的私人生活。微信

（3）隱私。在這個世界上，你覺得本身有隱私，實際上你的隱私都控制在他人手中。斯諾登Snowden很好的證實了這一點。你所使用和訪問的安全系統（如微軟、谷歌等），表面上聲稱維護隱私，實際上一直在被監視。侵犯隱私固然會影響人們的生活，如層出不窮的豔照門事件就是隱私信息被泄露了，發生在誰身上都沒法接受。你惟一能選擇的措施是隔離和保護本身的身份，防止任何惡意方的各類非預期的陰謀。大數據的興起就更加危險了，你的各類數字指紋還不知道已經被記錄在哪一個數據庫中了。不聯網就不用擔憂安全隱私了嗎？還有U盤等各類外設接口，還有內部人員泄露等各類防不勝防的攻擊存在。網絡

（4）數據庫漏洞。一般數據庫越大，其商業價值應該也就越高。數據庫會記錄你的購買歷史、購買偏好，以及存儲你的各類支付數據。正由於如此，這些數據庫很容易成爲攻擊的目標，攻擊者對這一塊更加感興趣。CSDN數據庫的泄密，各大酒店開房信息的泄密等，這些泄露的數據庫在地下都是能夠銷售並且價值不菲。特別是爲了方便，不少用戶喜歡在不一樣網站使用相同的用戶名和密碼，泄露一個，其它也沒法保全。脆弱的數據庫實際上失去的是用戶的信任。app

（5）惡意軟件。開心農場、憤怒的小鳥、Flappy Bird、2048、植物大戰殭屍等，每個熱門的遊戲都會成爲惡意應用開發者的目標，能夠在應用apps裏面植入木馬，植入的木馬就能夠在手機上隨心所欲了，獲取你的通訊記錄、短信，獲取你的支付信息、郵件等。隨着移動支付app使用的增加，惡意軟件會更具威脅性。魔高一尺道高一丈，純軟件的保護方法就在比軟件編程能力了，誰都沒法保證能殺掉全部惡意軟件，特別是如今各類apps氾濫成災的今天。框架

五個技術標準

今天，你的口袋充滿了史無前例的處理能力和連通性。你的智能手機擁有8核處理器，擁有4G、WiFI、GPS、藍牙以及NFC等通訊方式都是很日常的事情。你能夠武裝你的智能設備，讓其更加可信，武裝的軟硬件安全特徵能夠包括：安全啓動secure boot，可信執行環境TEE（如ARM TrustZone），安全元素Secure Element（如各類智能卡），虛擬技術hypervisors，以及各類主機OS上自己就存在的安全特徵。

Trustonic介紹了五個技術標準，能夠將簡單、快速、安全的支付帶個任何環境。這五個技術標準分別爲iBeacons，FIDO，Tokenization，Host Card Emulation，TEE（Trusted Execution Environments）。

（1）低功耗藍牙- Beacon技術。蘋果主要使用該技術iBeacon，全球大部分iOS設備與之兼容，主要用於室內交互，如進行室內導航、移動支付、店內導購、人流分析等。若是說Checkout是一個低可信的模式，那麼高可信的模式就應該是Checkin。ibeacon能夠精確的將信號廣播給室內的智能手機，這一點是室外GPS信號沒法達到的。若是你是一個常客，Checkin以後，你會搜到基於位置的各類信息，如新的產品、打折信息等。放心，只有受權的手機apps才能對beacon廣播的信息進行響應，商家確定不但願競爭者或者犯罪分子來獲取其客戶的購物習慣等信息。Beacon消息會包含隨機值，而且能夠被加密，只有關聯的app能解密消息，密鑰的保護就很是關鍵。

（1） FIDO認證。FIDO聯盟的任務就是使用強密碼技術憑證來減小對傳統用戶名和Passwords的依靠。FIDO的通用認證框架提供了一個標準協議，讓多個不一樣的服務可使用相同的認證硬件令牌，這樣給用戶帶來便利性，不用針對每一個服務商都帶一個不一樣的硬件令牌。每一個服務使用相同的硬件令牌，可是使用不一樣的密鑰來維護隔離和隱私；即使一個服務商的用戶數據庫丟失，攻擊者也沒法訪問服務。數據庫只存儲公鑰，攻擊者沒法獲得你的硬件令牌和私鑰，也就沒法訪問服務。智能手機存在各類傳感器（結合生物特徵更加方便），能夠用做硬件令牌，融入到FIDO框架中。FIDO聯盟也在構建交易確認機制的標準，經過可信顯示技術來確認你的意圖，達到「what you see is what you sign」。

（3）HCE NFC近域通訊。非接觸式支付的方式正在增加，這種方式的設備一般稱爲NFC智能手機，即智能手機上擁有NFC接口。NFC標準在2002年就已經開發出來，然而發展一直比較受阻，主要是其缺乏進入商業模式達成商業協議的能力。最重要的一個障礙是安全元素SE（Secure Element），SE是智能手機中比較昂貴的，能夠離線長期安全存儲私密密鑰，屬於稀缺資源。不過爲了讓移動apps在一個SE手機上使用，須要一個可信服務管理器（Trusted Service Manager，TSM）配合一塊兒工做。這並非不少服務提供商想要的方式，由於SE、TSM都掌握在其發行者手中。HCE（Host Card Emulation）跨越了TSMs和SEs，其不用依賴SE，就可讓智能手機模擬出一個非接觸式卡片，不過爲apps提供的安全性也要低一些。實際銀行卡的有效期可能很長（如簽發後兩三年還可使用），不過智能手機的一個支付app不須要這麼長，須要與安全性一塊兒進行權衡。HCE在銀行服務器涉及一些處理技巧，使得支付終端能夠直接發送數據而不用更新已經部署的支付終端。這個處理技巧爲Tokenization。

（4）Tokenization。國際芯片卡標準化組織EMVCo定義了智能卡支付，也定義了一個Token（即令牌），在實際卡應用中做爲代用品。商家可使用一樣的方式處理卡和令牌，這意味着沒有必要改變已經部署和安裝的PoS（Point of Sale）終端。這種巧妙的處理經過一個令牌服務提供商TSP（Token Service Provider）進行，TSP擁有實際的卡信息。簽發令牌Tokens時，能夠靈活的做出一些限制，如只能供一些特定的商家使用、只能在線使用、只能線下使用，還能夠對令牌的值、時間和地點做出限制，如根據設備的安全等級來肯定其有效時間。必要時，令牌能夠銷燬和從新簽發。Tokens解決方法能夠保證與已有的基礎設施兼容，節省開支。和HCE一塊兒工做，令牌能夠解決可用性的問題，當移動網絡不穩定時，令牌本地存儲在移動手機上，能夠離線的進行支付。EMVCo支付令牌規範技術框架v1.0提供了在設備上進行令牌安全存儲的例子，例如能夠存放在一個可信執行環境TEE中。另外，令牌能夠經過任何通道進行使用，如NFC HCE、網絡交易以及藍牙Beacons，所以該技術不僅限於PoS終端。

上面介紹的全部四種技術都要求在移動設備上保證安全和可信，一個TEE平臺能夠達到這一點。

（5）可信執行環境TEE。GlobalPlatform（GP）提供基於安全芯片技術的應用管理標準，由主流的網絡運營商、支付服務、技術提供商提供支持，實現智能鏈接設備行業。GP的一個重要輸出是其可信執行環境TEE（Trusted Execution Environment）。TEE的目的是將高安全敏感的應用與通用的軟件環境進行隔離，安全地提供訪問硬件資源（如安全存儲、安全顯示和用戶接口等）的能力。TEE爲全部的其它標準提供安全支撐，能夠加快移動商務的發展速度。

Trustonic解決方案

Trustonic是TEE技術的領先供應商，<t-base是Trustonic提供的TEE解決方案，能夠嵌入到移動設備的處理器中，供其它服務提供商經過開放的方式訪問現有的高級安全特徵。Trustonic將可信服務緊密的鏈接到可信設備上，以下圖所示：

芯片製造商能夠集成t-base TEE，爲PIN碼、指紋和證書等提供隔離和保護，防止來自主操做系統環境的威脅。t-base使用ARM TrustZone安全隔離特徵（目前SoC處理器中已經存在），並使用微內核和安全域隔離來保證可信apps的隔離。Trustonic爲領先的芯片製造商提供集成的服務和支持，供應智能鏈接設備市場。

設備製造商在生產線上設置Trustonic t-kph密鑰配置主機系統（t-kph Key Provisioning Host system）。Trustonic爲每一個設備的每一個t-base TEE建立一個信任根（root of trust），並同步記錄到Trustonic的t-sek目錄中。

安全應用開發者使用Trustonic提供的t-sdk軟件開發工具包（能夠經過Trustonic t-dev開發者計劃得到）建立可信apps，能夠運行在t-base中。

服務提供商經過Trustonic的t-sek服務許可工具包（Service Enablement Kit）鏈接到t-base內的安全域，t-sek能夠受權部署應用到安全域。

t-base的用戶認證：TEE的能力之一是能夠安全鏈接外設，能夠保護用戶的輸入，如FIDO的UAF認證子（觸屏或者指紋傳感器）。經過觸屏能夠輸入用戶PIN碼，經過可信用戶接口進行。生物認證能夠做爲另一個認證因子，TEE能夠安全存儲一個註冊的指紋信息，並在可信環境中進行指紋的匹配。隨着技術的發展，TEE還能夠保護更多的認證因子。

t-base的安全存儲：軟件保護容易被攻破，須要使用一個基於硬件的信任根來保護設備上的敏感資產。硬件信任根只能經過TEE訪問，用來加密存儲在其它大規模存儲設備上的敏感數據。硬件信任根不會在TEE以外被訪問，如主機OS就沒法獲取訪問硬件信任根的接口。其能夠存儲臨時的受權令牌或者存儲用於解密beacon消息的密鑰。這些主要靠t-base TEE保護設備上的密鑰。

t-base的安全通訊：使用一個安全存儲的密鑰，一個可信app能夠構建和雲服務的一個可靠安全的鏈接，也能夠構建與本地設備（如安全元素SE）之間的一個安全通道。TEE保護創建這些安全鏈接的私鑰、祕密密鑰和隨機數生成器，能夠和任何終端設備構建安全鏈接。

t-base的安全顯示：經過控制對顯示驅動外設的訪問，TEE可以在設備上安全的顯示數據。TEE隔離顯示緩存和信息，使得其不會被主機OS篡改，真正達到「what you see is what you sign」。