移动电子商务：五个技术标准与Trustonic TEE解决方案【转】

转自：http://www.vonwei.com/post/mobileTrustonicTEE.html

转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址： http://www.vonwei.com/post/mobileTrustonicTEE.html

移动电子商务需求与挑战

         移动手机所到之处能够再也不须要钱包、卡等。如今不少移动应用apps支持手机支付功能，如支付宝能够经过在超市进行手机直接扫码支付。可是这些apps的安全如何保证？安全也是不少用户不敢使用的缘由。特别是随着支付的场景变得愈来愈多和复杂，如坐车、喝咖啡、逛商店、超市购物等，必须保证你手机支付环境的可信。

         全部商业活动的最终行为都体如今一个字上面，即Checkout，包含付款的意思。checkout最先在1933年开始使用，当时随着商店开始变大，商家并不信任消费者，经过雇用职员来对消费者进行checkout，以保证他们确实可以付款。Checkout已经流行了几十年，随着互联网的发展，是否是应该做出改变了？不管在网上、大街上或者任何商业区，购物应该有更加快速、简单、方便的方法。

         线下看好商品，线上支付，让消费者享受看到线下的实物，同时享受线上的价格和方便的支付方法，这或许会是从此一段时间移动购物的趋势。小的商家如何保证支付平台的安全。若是商家可以识别用户，能够有利于分析消费者群体及其购物习惯，但同时用户又比较关心本身隐私信息的泄露。手机支付应该比纸币、银行卡刷卡支付方式在隐私性、安全性、方便性、相关性等各个方面提供更好的解决方案。提供一个简单、安全、快速和可靠的支付app，使得不管线上支付或者线下购物都能知足支付要求。

         移动运营商、设备制造商、芯片制造商、操做系统厂商、广告商、银行、支付机制、信誉机制、商家、终端用户等，面对不一样的利益相关者和需求，移动商务可能致使大规模复杂的业务动态。在这些商业之间找到共同点是很是困难的，使得移动商务发展比较缓慢。不过，移动领域一些共通的安全技术问题是须要指出的：

         （1）用户认证。认证是为了肯定注册过的人或者设备正在访问系统，一般的三类认证因子包含：你拥有什么（What you have）、你知道什么（What you know）和你是什么（What you are）。只要结合其中两类认证因子就能够达到强认证（Strong Authentication）的效果，一般称为双因子认证（Two Factor Authentication，2FA）。安全令牌（如智能卡、U盾）属于What you have，实际使用中人们不可能随身携带这些安全令牌，并且不一样的服务都出示不一样的安全令牌，也是很不方便的一种形式。密码口令passwords等属于What you know，可是跨不一样的站点，每每要记住多个不一样的密码是很困难的，特别是密码还要按期修改。生物特征（如指纹、虹膜等）属于What you are，你确实是随身携带这些安全特征的，但生物特征一般很难撤销，并且也没法等同你的身份，采起生物特征还会影响用户的隐私。

         （2）身份管理。你的身份一般取决于谁在要求这种身份信息，如对于你父母，你是子女；对于国家，你是子民；对于公司，你是员工；你的朋友联系你能够经过Facebook、QQ、微信等；你的商业伙伴联系可能经过LinkedIn、电子邮件等......全部这些身份都是描述两个实体之间的关系，将这些身份信息保持相互隔离很很是重要的，例如你可能不但愿你的上司或者商业伙伴去骚扰你的父母家人，一个商家不必知道你的QQ、手机等信息，只须要知道你是一个合法的服务对象便可。隔离身份信息对于维护我的隐私是相当重要的，哪些事件与你的哪一个身份关联，应该主要由用户决定，不能让第三方侵犯用户的私人生活。

         （3）隐私。在这个世界上，你觉得本身有隐私，实际上你的隐私都控制在他人手中。斯诺登Snowden很好的证实了这一点。你所使用和访问的安全系统（如微软、谷歌等），表面上声称维护隐私，实际上一直在被监视。侵犯隐私固然会影响人们的生活，如层出不穷的艳照门事件就是隐私信息被泄露了，发生在谁身上都没法接受。你惟一能选择的措施是隔离和保护本身的身份，防止任何恶意方的各类非预期的阴谋。大数据的兴起就更加危险了，你的各类数字指纹还不知道已经被记录在哪一个数据库中了。不联网就不用担忧安全隐私了吗？还有U盘等各类外设接口，还有内部人员泄露等各类防不胜防的攻击存在。

         （4）数据库漏洞。一般数据库越大，其商业价值应该也就越高。数据库会记录你的购买历史、购买偏好，以及存储你的各类支付数据。正由于如此，这些数据库很容易成为攻击的目标，攻击者对这一块更加感兴趣。CSDN数据库的泄密，各大酒店开房信息的泄密等，这些泄露的数据库在地下都是能够销售并且价值不菲。特别是为了方便，不少用户喜欢在不一样网站使用相同的用户名和密码，泄露一个，其它也没法保全。脆弱的数据库实际上失去的是用户的信任。

         （5）恶意软件。开心农场、愤怒的小鸟、Flappy Bird、2048、植物大战僵尸等，每个热门的游戏都会成为恶意应用开发者的目标，能够在应用apps里面植入木马，植入的木马就能够在手机上随心所欲了，获取你的通讯记录、短信，获取你的支付信息、邮件等。随着移动支付app使用的增加，恶意软件会更具威胁性。魔高一尺道高一丈，纯软件的保护方法就在比软件编程能力了，谁都没法保证能杀掉全部恶意软件，特别是如今各类apps泛滥成灾的今天。

 

五个技术标准

         今天，你的口袋充满了史无前例的处理能力和连通性。你的智能手机拥有8核处理器，拥有4G、WiFI、GPS、蓝牙以及NFC等通讯方式都是很日常的事情。你能够武装你的智能设备，让其更加可信，武装的软硬件安全特征能够包括：安全启动secure boot，可信执行环境TEE（如ARM TrustZone），安全元素Secure Element（如各类智能卡），虚拟技术hypervisors，以及各类主机OS上自己就存在的安全特征。

         Trustonic介绍了五个技术标准，能够将简单、快速、安全的支付带个任何环境。这五个技术标准分别为iBeacons，FIDO，Tokenization，Host Card Emulation，TEE（Trusted Execution Environments）。

         （1）低功耗蓝牙- Beacon技术。苹果主要使用该技术iBeacon，全球大部分iOS设备与之兼容，主要用于室内交互，如进行室内导航、移动支付、店内导购、人流分析等。若是说Checkout是一个低可信的模式，那么高可信的模式就应该是Checkin。ibeacon能够精确的将信号广播给室内的智能手机，这一点是室外GPS信号没法达到的。若是你是一个常客，Checkin以后，你会搜到基于位置的各类信息，如新的产品、打折信息等。放心，只有受权的手机apps才能对beacon广播的信息进行响应，商家确定不但愿竞争者或者犯罪分子来获取其客户的购物习惯等信息。Beacon消息会包含随机值，而且能够被加密，只有关联的app能解密消息，密钥的保护就很是关键。

         （1） FIDO认证。FIDO联盟的任务就是使用强密码技术凭证来减小对传统用户名和Passwords的依靠。FIDO的通用认证框架提供了一个标准协议，让多个不一样的服务可使用相同的认证硬件令牌，这样给用户带来便利性，不用针对每一个服务商都带一个不一样的硬件令牌。每一个服务使用相同的硬件令牌，可是使用不一样的密钥来维护隔离和隐私；即使一个服务商的用户数据库丢失，攻击者也没法访问服务。数据库只存储公钥，攻击者没法获得你的硬件令牌和私钥，也就没法访问服务。智能手机存在各类传感器（结合生物特征更加方便），能够用做硬件令牌，融入到FIDO框架中。FIDO联盟也在构建交易确认机制的标准，经过可信显示技术来确认你的意图，达到“what you see is what you sign”。

         （3）HCE NFC近域通讯。非接触式支付的方式正在增加，这种方式的设备一般称为NFC智能手机，即智能手机上拥有NFC接口。NFC标准在2002年就已经开发出来，然而发展一直比较受阻，主要是其缺乏进入商业模式达成商业协议的能力。最重要的一个障碍是安全元素SE（Secure Element），SE是智能手机中比较昂贵的，能够离线长期安全存储私密密钥，属于稀缺资源。不过为了让移动apps在一个SE手机上使用，须要一个可信服务管理器（Trusted Service Manager，TSM）配合一块儿工做。这并非不少服务提供商想要的方式，由于SE、TSM都掌握在其发行者手中。HCE（Host Card Emulation）跨越了TSMs和SEs，其不用依赖SE，就可让智能手机模拟出一个非接触式卡片，不过为apps提供的安全性也要低一些。实际银行卡的有效期可能很长（如签发后两三年还可使用），不过智能手机的一个支付app不须要这么长，须要与安全性一块儿进行权衡。HCE在银行服务器涉及一些处理技巧，使得支付终端能够直接发送数据而不用更新已经部署的支付终端。这个处理技巧为Tokenization。

         （4）Tokenization。国际芯片卡标准化组织EMVCo定义了智能卡支付，也定义了一个Token（即令牌），在实际卡应用中做为代用品。商家可使用一样的方式处理卡和令牌，这意味着没有必要改变已经部署和安装的PoS（Point of Sale）终端。这种巧妙的处理经过一个令牌服务提供商TSP（Token Service Provider）进行，TSP拥有实际的卡信息。签发令牌Tokens时，能够灵活的做出一些限制，如只能供一些特定的商家使用、只能在线使用、只能线下使用，还能够对令牌的值、时间和地点做出限制，如根据设备的安全等级来肯定其有效时间。必要时，令牌能够销毁和从新签发。Tokens解决方法能够保证与已有的基础设施兼容，节省开支。和HCE一块儿工做，令牌能够解决可用性的问题，当移动网络不稳定时，令牌本地存储在移动手机上，能够离线的进行支付。EMVCo支付令牌规范技术框架v1.0提供了在设备上进行令牌安全存储的例子，例如能够存放在一个可信执行环境TEE中。另外，令牌能够经过任何通道进行使用，如NFC HCE、网络交易以及蓝牙Beacons，所以该技术不仅限于PoS终端。

         上面介绍的全部四种技术都要求在移动设备上保证安全和可信，一个TEE平台能够达到这一点。

         （5）可信执行环境TEE。GlobalPlatform（GP）提供基于安全芯片技术的应用管理标准，由主流的网络运营商、支付服务、技术提供商提供支持，实现智能链接设备行业。GP的一个重要输出是其可信执行环境TEE（Trusted Execution Environment）。TEE的目的是将高安全敏感的应用与通用的软件环境进行隔离，安全地提供访问硬件资源（如安全存储、安全显示和用户接口等）的能力。TEE为全部的其它标准提供安全支撑，能够加快移动商务的发展速度。

Trustonic解决方案

         Trustonic是TEE技术的领先供应商，<t-base是Trustonic提供的TEE解决方案，能够嵌入到移动设备的处理器中，供其它服务提供商经过开放的方式访问现有的高级安全特征。Trustonic将可信服务紧密的链接到可信设备上，以下图所示：

         芯片制造商能够集成t-base TEE，为PIN码、指纹和证书等提供隔离和保护，防止来自主操做系统环境的威胁。t-base使用ARM TrustZone安全隔离特征（目前SoC处理器中已经存在），并使用微内核和安全域隔离来保证可信apps的隔离。Trustonic为领先的芯片制造商提供集成的服务和支持，供应智能链接设备市场。

         设备制造商在生产线上设置Trustonic t-kph密钥配置主机系统（t-kph Key Provisioning Host system）。Trustonic为每一个设备的每一个t-base TEE建立一个信任根（root of trust），并同步记录到Trustonic的t-sek目录中。

         安全应用开发者使用Trustonic提供的t-sdk软件开发工具包（能够经过Trustonic t-dev开发者计划得到）建立可信apps，能够运行在t-base中。

         服务提供商经过Trustonic的t-sek服务许可工具包（Service Enablement Kit）链接到t-base内的安全域，t-sek能够受权部署应用到安全域。

         t-base的用户认证：TEE的能力之一是能够安全链接外设，能够保护用户的输入，如FIDO的UAF认证子（触屏或者指纹传感器）。经过触屏能够输入用户PIN码，经过可信用户接口进行。生物认证能够做为另一个认证因子，TEE能够安全存储一个注册的指纹信息，并在可信环境中进行指纹的匹配。随着技术的发展，TEE还能够保护更多的认证因子。

         t-base的安全存储：软件保护容易被攻破，须要使用一个基于硬件的信任根来保护设备上的敏感资产。硬件信任根只能经过TEE访问，用来加密存储在其它大规模存储设备上的敏感数据。硬件信任根不会在TEE以外被访问，如主机OS就没法获取访问硬件信任根的接口。其能够存储临时的受权令牌或者存储用于解密beacon消息的密钥。这些主要靠t-base TEE保护设备上的密钥。

         t-base的安全通讯：使用一个安全存储的密钥，一个可信app能够构建和云服务的一个可靠安全的链接，也能够构建与本地设备（如安全元素SE）之间的一个安全通道。TEE保护创建这些安全链接的私钥、秘密密钥和随机数生成器，能够和任何终端设备构建安全链接。

         t-base的安全显示：经过控制对显示驱动外设的访问，TEE可以在设备上安全的显示数据。TEE隔离显示缓存和信息，使得其不会被主机OS篡改，真正达到“what you see is what you sign”。

        

总结

安全基准是TEE，其它提供安全手段和服务。

Bluetooth Smart – protect user privacy

FIDO - securely capture PINs, biometrics and protect online privacy

HCE - protect identity and connection to Token Service Providers

EMVCo Tokens - protect locally stored tokens and enforce policy on usage

TEE - Protecting all of the above standards

 

参考

[1] Five Standards for One Way to Pay. https://www.trustonic.com/support/whitepapers

[2] Beacon技术：室内交互的新浪潮. http://www.leiphone.com/news/201406/d-ibeacon.html

• ------------------分隔线----------------