張大偉 郭韓臻

中圖分類號：TN929.1 文獻(xiàn)標(biāo)志碼：A 文章編號：1009-6868 （2015） 05-0039-006

摘要：從軟件方案、基于可信執(zhí)行環(huán)境（TEE）方案和基于典型安全元件（SE）方案3個(gè)方面對智能移動(dòng)終端安全技術(shù)進(jìn)行了探討。軟件層面探討了一般運(yùn)行環(huán)境中的安全技術(shù)，基于TEE的方案探討了TEE的系統(tǒng)架構(gòu)、隔離技術(shù)和安全執(zhí)行技術(shù)，基于SE的方案探討了基于本地SE和云端SE的安全增強(qiáng)技術(shù)。認(rèn)為只有將可信硬件平臺和可信軟件加以結(jié)合，才能為智能移動(dòng)終端提供完整的安全保障。

關(guān)鍵詞： 智能移動(dòng)終端；可信執(zhí)行環(huán)境；可信計(jì)算；安全元件

Abstract： This paper discusses the smart mobile terminal security technology from three aspects： software solutions， solution based on trusted execution environment （TEE） and solution based on secure element （SE）. A software-level solution involves security technology used in the rich execution environment. A solution based on TEE involves the system architecture of TEE， isolation technology of TEE and the trusted execution technology. A solution based on SE involves security-enhancement technology based on local SE and cloud of SE. A combination of trusted software and trusted hardware platform guarantees security for smart mobile terminals.

Key words：intelligent mobile terminal； trusted execution environment； trusted computing； secure element

隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，智能移動(dòng)終端的數(shù)量急劇增加，功能也日益完善。2013年全球智能移動(dòng)終端出貨量近10億部；全球計(jì)算平臺（含PC和智能移動(dòng)終端）中移動(dòng)操作系統(tǒng)（Android和iOS）的占比超過50%[1]；2013年中國智能移動(dòng)終端用戶規(guī)模為3.2億，2014年已達(dá)10.6億，較2013年增長231.7%[2]。截至2014年12月底，手機(jī)網(wǎng)民規(guī)模達(dá)5.57億，較2013年底增加5 672萬人。網(wǎng)民中使用手機(jī)上網(wǎng)人群占比由2013年的81.0%提升至85.8%[3]。

隨著智能移動(dòng)終端應(yīng)用的普及，移動(dòng)終端中存儲的敏感信息越來越多，但豐富的通信和數(shù)據(jù)交換功能為信息泄露和惡意軟件傳播提供了通道，各種安全問題日益凸顯。

1 智能移動(dòng)終端的安全需求

智能移動(dòng)終端已從過去的基本通信工具演變?yōu)楣ぷ?、生活工具。它們已?jīng)包括多媒體播放、照相、定位、移動(dòng)錢包、移動(dòng)辦公、移動(dòng)醫(yī)療等新功能。隨著用戶敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)在智能移動(dòng)終端上的不斷積累，智能移動(dòng)終端也越來越需要被保護(hù)。

智能移動(dòng)終端應(yīng)用環(huán)境下的安全需求如下：

（1）開放環(huán)境下的安全需求

不同于傳統(tǒng)手機(jī)的封閉系統(tǒng)，新型智能移動(dòng)終端設(shè)備通常都是構(gòu)建在提供開放式操作環(huán)境的操作系統(tǒng)之上，如Android、iOS操作系統(tǒng)。使用這些操作系統(tǒng)的一個(gè)主要優(yōu)點(diǎn)是用戶可以隨時(shí)添加應(yīng)用程序，同時(shí)可以幾乎不必考慮對設(shè)備穩(wěn)定性的影響。然而，這種開放式的環(huán)境也是設(shè)備暴露在不斷增長的多種形式的攻擊之下。

（2）數(shù)據(jù)安全需求

智能移動(dòng)終端設(shè)備上存儲著不斷增長的個(gè)人信息（如聯(lián)系人、郵件、照片等）甚至是敏感數(shù)據(jù)（證書、密碼等）。為了防止在設(shè)備丟失、被盜或者其他不良情況，必須有足夠的安全措施來保護(hù)這些隱私信息。

（3）安全連接的需求

通過多種網(wǎng)絡(luò)技術(shù)如3G、4G或者Wi-Fi，以及個(gè)人通信手段如藍(lán)牙、近場通信（NFC），越來越多的用戶可以使用他們的設(shè)備進(jìn)行P2P通信和訪問網(wǎng)絡(luò)。如何保證連接過程的安全，尤其是終端上的安全接入問題也有待進(jìn)一步深入研究。

（4）交易安全需求

使用智能移動(dòng)終端進(jìn)行金融交易已經(jīng)成為移動(dòng)市場的主流。2014年底，移動(dòng)金融整體用戶規(guī)模達(dá)到8.7億，較年初翻一番[2]，越來越多的用戶選擇使用移動(dòng)端金融交易服務(wù)。移動(dòng)支付的實(shí)現(xiàn)方式包括遠(yuǎn)程支付和近場支付。在移動(dòng)支付中需要保證信息的機(jī)密性、完整性和不可抵賴性、交易的真實(shí)性以及解決交易中的身份鑒別等問題。

（5）管理策略的安全需求

智能移動(dòng)終端正不斷被企業(yè)用于承載關(guān)鍵技術(shù)及核心應(yīng)用，同時(shí)攜帶個(gè)人設(shè)備（BYOD）策略也被大量引入企業(yè)。為了防止企業(yè)數(shù)據(jù)泄露和個(gè)人使用環(huán)境中的惡意軟件對企業(yè)數(shù)據(jù)的竊取，必須提高設(shè)備安全并引入有效的移動(dòng)設(shè)備管理措施。

2 一般運(yùn)行環(huán)境的終端

安全技術(shù)

一般運(yùn)行環(huán)境（REE）主要包括運(yùn)行于通用嵌入式處理器中的一般操作系統(tǒng)（Rich OS）及其上的客戶端應(yīng)用程序。諸如Android、iOS等一般操作系統(tǒng)賦予了智能移動(dòng)終端功能的可擴(kuò)展性和使用的便利性。與此同時(shí)，也帶來了多種安全威脅。

2.1 傳統(tǒng)的設(shè)備訪問控制

智能移動(dòng)終端提供了包括密碼配置、用戶身份鑒別等傳統(tǒng)的設(shè)備訪問控制機(jī)制。以Android和iOS系統(tǒng)為例。Android系統(tǒng)提供了身份鑒別、口令設(shè)置、重鑒別和鑒別失敗處理機(jī)制[4]。Android系統(tǒng)提供基本密碼配置選項(xiàng)，包括設(shè)置圖案密碼、數(shù)字密碼、混合密碼等多種密碼方式。有些機(jī)型還為用戶配置了基于用戶生物特征，如面部識別和指紋識別的身份鑒別機(jī)制。iOS的系統(tǒng)管理者可以設(shè)定密碼強(qiáng)度，可確定用戶頻繁使用后需要設(shè)定新密碼的周期[5]。Android和iOS的用戶還可以設(shè)置用戶錯(cuò)誤登錄的上限，以及超過這個(gè)上限后系統(tǒng)是否擦除設(shè)備信息。

2.2 設(shè)備數(shù)據(jù)加密機(jī)制

智能移動(dòng)終端操作系統(tǒng)為設(shè)備中的數(shù)據(jù)提供了數(shù)據(jù)加密機(jī)制。

Android 3.0及之后的版本的系統(tǒng)提供了文件系統(tǒng)的加密機(jī)制[4]。所有的用戶數(shù)據(jù)均可使用AES-128算法，以密碼分組鏈接（CBC）模式進(jìn)行加密。文件系統(tǒng)密鑰通過使用由用戶口令派生出的密鑰以AES128算法進(jìn)行保護(hù)。生成加密文件系統(tǒng)密鑰的加密密鑰時(shí)，采用標(biāo)準(zhǔn)的基于口令的密鑰派生PBKDF2算法，由用戶口令派生出加密密鑰。

iOS系統(tǒng)中，所有用戶數(shù)據(jù)強(qiáng)制加密[6]。每臺iOS設(shè)備都配備了專用的AES-256加密引擎，它內(nèi)置于閃存與主系統(tǒng)內(nèi)存之間的直接存儲器訪問（DMA）路徑中，可以實(shí)現(xiàn)高效的文件加密。加密解密所使用的密鑰主要來自設(shè)備的唯一標(biāo)識（UID）以及設(shè)備組標(biāo)識（GID）。設(shè)備的UID及GID全部被固化在芯片內(nèi)部，除了AES加密引擎，沒有其他方式可以直接讀取。只能查看使用它們進(jìn)行加解密后的結(jié)果。每臺設(shè)備的UID是唯一的。使用UID的加密方式將數(shù)據(jù)與特定的設(shè)備捆綁起來，因此，如果將內(nèi)存芯片從一臺設(shè)備整體移至另一臺設(shè)備，文件將不可訪問。除了GID及UID，其他加密使用的密鑰全部由系統(tǒng)自帶的隨機(jī)數(shù)生成器產(chǎn)生。

除了iOS設(shè)備內(nèi)置的硬件加密功能，iOS系統(tǒng)還提供了名為文件數(shù)據(jù)保護(hù)的數(shù)據(jù)保護(hù)方法，進(jìn)一步保護(hù)設(shè)備閃存中的數(shù)據(jù)。每次在數(shù)據(jù)分區(qū)中創(chuàng)建文件時(shí)，數(shù)據(jù)分區(qū)都會(huì)創(chuàng)建一個(gè)新的256位密鑰，并將其提供給AES引擎，以對文件進(jìn)行加密。這些密鑰被稱作文件密鑰。每個(gè)文件的文件密鑰是不同的，被加密封裝于文件的元數(shù)據(jù)中。

2.3 應(yīng)用運(yùn)行時(shí)的隔離機(jī)制

智能移動(dòng)終端為在其上運(yùn)行的應(yīng)用程序提供了應(yīng)用隔離機(jī)制。Android系統(tǒng)提供了沙盒機(jī)制，為每個(gè)應(yīng)用在運(yùn)行過程中提供了一個(gè)沙盒[7]。其具體的實(shí)現(xiàn)是，系統(tǒng)為每個(gè)應(yīng)用提供了一個(gè)Dalvik虛擬機(jī)實(shí)例，使其獨(dú)立地運(yùn)行于一個(gè)進(jìn)程，并為每個(gè)應(yīng)用創(chuàng)建一個(gè)Linux底層的用戶名，設(shè)置UID。具有相同用戶簽名的應(yīng)用通過設(shè)置SharedUserID方式來共享數(shù)據(jù)和權(quán)限。iOS沙盒的實(shí)質(zhì)是一個(gè)基于TrustBSD策略框架的內(nèi)核擴(kuò)展模塊訪問控制系統(tǒng)[9-10]。應(yīng)用間不能查看或者修改數(shù)據(jù)和運(yùn)行邏輯，并且應(yīng)用在執(zhí)行過程中也不可能查看到設(shè)備上已安裝的其他應(yīng)用。

2.4 基于權(quán)限的訪問控制

智能移動(dòng)終端為在其上運(yùn)行的應(yīng)用程序提供基于權(quán)限的訪問控制機(jī)制。在Android系統(tǒng)中，每個(gè)應(yīng)用程序都會(huì)有一個(gè)嵌入式的權(quán)限列表，只有用戶授予了該項(xiàng)權(quán)限，應(yīng)用才能使用該項(xiàng)功能[8]。iOS系統(tǒng)中，GPS定位功能、接受來自互聯(lián)網(wǎng)的通知提醒功能、撥打電話、發(fā)送短信或電子郵件這4項(xiàng)功能需要授權(quán)使用[5]。

2.5 應(yīng)用逆向工程的防止策略

智能移動(dòng)終端的應(yīng)用程序通常會(huì)使用各種手段來防止逆向。在Android系統(tǒng)中，通常的做法是應(yīng)用程序的混淆和加殼技術(shù)。此外，還有使用動(dòng)態(tài)鏈接（SO）庫和采用Android類動(dòng)態(tài)加載技術(shù)的方法[11]防止逆向。iOS系統(tǒng)中，通過使用統(tǒng)一資源定位（URL）編碼加密、方法體方法名高級混淆和程序結(jié)構(gòu)混排加密等方式防止逆向[5]。

2.6 系統(tǒng)安全更新

類似于桌面操作系統(tǒng)，智能移動(dòng)終端系統(tǒng)具有不定期系統(tǒng)安全更新機(jī)制。通過不斷的系統(tǒng)安全補(bǔ)丁或者發(fā)布帶有新的安全機(jī)制的系統(tǒng)升級減少攻擊的發(fā)生。

3 可信執(zhí)行環(huán)境技術(shù)的

終端安全技術(shù)

盡管在REE中采取了諸多安全措施來保障應(yīng)用和數(shù)據(jù)的安全，眾多的攻擊案例和系統(tǒng)漏洞表明，這些仍然無法保證敏感數(shù)據(jù)的安全性。因此開放移動(dòng)終端組織（OMTP）首先提出了可信執(zhí)行環(huán)境（TEE）概念。2010年7月，全球平臺組織（GP）第一個(gè)提出了TEE標(biāo)準(zhǔn)[12]。

3.1 TEE概述

TEE是運(yùn)行于一般操作系統(tǒng)之外的獨(dú)立運(yùn)行環(huán)境。TEE向一般操作系統(tǒng)提供安全服務(wù)并且與Rich OS隔離。Rich OS及其上的應(yīng)用程序無法訪問它的硬件和軟件安全資源。TEE的架構(gòu)如圖1所示[13]。

圖1中，TEE向被稱作可信應(yīng)用程序（TA）的安全軟件提供安全可執(zhí)行環(huán)境。它同時(shí)加強(qiáng)了對這些可信應(yīng)用程序中數(shù)據(jù)和資源的機(jī)密性、完整性和訪問權(quán)限的保護(hù)。為了保證TEE的可信根，TEE在安全引導(dǎo)過程中進(jìn)行認(rèn)證并且與Rich OS分離。在TEE內(nèi)部，每一個(gè)可信應(yīng)用都是獨(dú)立的?？尚艖?yīng)用程序不能未經(jīng)授權(quán)的訪問另一個(gè)可信應(yīng)用程序的安全資源。可信應(yīng)用程序可以由不同的應(yīng)用提供商提供。TEE中，通過TEE內(nèi)部接口（TEE internal API）控制可信應(yīng)用對安全資源和服務(wù)的訪問。這些資源和服務(wù)包括密鑰注入和管理、加密、安全存儲、安全時(shí)鐘、可信用戶界面（UI）和可信鍵盤等。TEE將執(zhí)行一個(gè)度量程序，其中包括功能性測試和安全性評估。

TEE提供了介于典型操作系統(tǒng)和典型安全元件（SE）之間的安全層。如果我們認(rèn)為Rich OS是一個(gè)易于被攻擊的環(huán)境，SE是一個(gè)能夠抵抗攻擊但是應(yīng)用受限的環(huán)境，那么TEE就扮演著介于兩者之間的角色。Rich OS、TEE、SE所處的位置和比較如圖2所示[13]。

在一般情況下，TEE提供了一個(gè)比Rich OS更高安全等級的運(yùn)行環(huán)境，但它的安全等級比SE所提供的要低。TEE提供的安全性足以滿足大多數(shù)的應(yīng)用。此外，TEE提供比SE更強(qiáng)大的處理能力和更大的可訪問的內(nèi)存空間。由于TEE比SE支持更多的用戶接口和外圍連接，它允許在其上開發(fā)有一定用戶體驗(yàn)的安全程序。此外，因?yàn)門EE與Rich OS是隔離的，它能夠抵御在Rich OS中發(fā)生的軟件攻擊。

3.2 TEE系統(tǒng)架構(gòu)

3.2.1 TEE硬件架構(gòu)

芯片級別的TEE硬件它連接著如處理器、RAM和Flash等組件[14]。REE和TEE都會(huì)使用一些專有硬件，如處理器、RAM、ROM和加解密引擎。處理器之外的實(shí)體被稱作資源。一些能夠被REE訪問的資源也能夠被TEE訪問，反之，REE不能訪問未經(jīng)TEE授權(quán)的TEE資源?？尚刨Y源僅能由其他可信資源訪問，從而保證了與一般操作系統(tǒng)隔離形成封閉系統(tǒng)。一個(gè)封裝在片上系統(tǒng)（SoC）上的資源組合結(jié)構(gòu)如圖3所示[14]。

3.2.2 TEE軟件架構(gòu)

TEE系統(tǒng)軟件[14]架構(gòu)如圖4所示。TEE軟件架構(gòu)的目標(biāo)是為可信應(yīng)用程序提供隔離的和可信服務(wù)，并且這些服務(wù)可以間接的被客戶端應(yīng)用程序（CA）使用。

TEE軟件架構(gòu)包括4部分：REE調(diào)用接口、可信操作系統(tǒng)組件、可信應(yīng)用程序和共享內(nèi)存。

REE調(diào)用借口包括兩類API接口，TEE功能接口（TEE Function API），TEE客戶端接口（TEE Client API）和一類通信中介。TEE Function API向CA提供一套操作系統(tǒng)友好API。允許程序員以類似于編寫操作系統(tǒng)應(yīng)用的方式調(diào)用TEE服務(wù)，如進(jìn)行密碼運(yùn)算和存儲。TEE Client API是一個(gè)低級的通信接口。它被設(shè)計(jì)用于使運(yùn)行于Rich OS中的應(yīng)用程序訪問和交換運(yùn)行于TEE中的可信應(yīng)用程序中的數(shù)據(jù)。REE通信中介提供了CA和TA之間的消息支持。

在TEE內(nèi)部有兩類不同的軟件結(jié)構(gòu)：可信操作系統(tǒng)組件和可信應(yīng)用程序?？尚挪僮飨到y(tǒng)組件由可信核心框架、可信函數(shù)和TEE通信中介組成。可信核心框架向可信應(yīng)用程序提供了操作系統(tǒng)功能，可信函數(shù)向開發(fā)者提供功能性調(diào)用。TEE通信中介與REE通信中介一同工作，為CA和TA之間的信息交互提供安全保障?？尚艖?yīng)用程序是調(diào)用可信操作系統(tǒng)組件的API的內(nèi)部應(yīng)用程序。當(dāng)一個(gè)客戶端應(yīng)用程序與一個(gè)可信應(yīng)用程序開啟一個(gè)會(huì)話進(jìn)行交互時(shí)，客戶端應(yīng)用程序與可信應(yīng)用程序的一個(gè)實(shí)例進(jìn)行連接。每個(gè)可信應(yīng)用程序的實(shí)例都與其他所有的可信應(yīng)用程序的實(shí)例在物理內(nèi)存空間上隔離。共享內(nèi)存能夠被TEE和REE共同訪問，它提供了允許CA和TA之間大量數(shù)據(jù)有效快速交互的能力。

3.3 使用TrustZone技術(shù)的TEE實(shí)現(xiàn)

得益于ARM優(yōu)秀的設(shè)計(jì)和商業(yè)模式，ARM架構(gòu)非常適用于智能移動(dòng)終端市場。因此，目前智能移動(dòng)終端所使用的CPU內(nèi)核以ARM架構(gòu)居多。ARM TrustZone技術(shù)是ARM提出的系統(tǒng)范圍的安全方法。TrustZone技術(shù)包括在ARM處理器架構(gòu)和系統(tǒng)架構(gòu)上添加的處理器的安全擴(kuò)展、附加總線等技術(shù)。使用ARM TrustZone技術(shù)構(gòu)建TEE是絕大多數(shù)智能移動(dòng)終端的實(shí)現(xiàn)方式。

3.3.1 TrustZone的隔離技術(shù)

TrustZone技術(shù)的關(guān)鍵是隔離[15]。它將每一個(gè)物理處理器核心劃分為兩個(gè)虛擬核心，一個(gè)是非安全核心（Non-secure），另一個(gè)是安全核心（Secure）。同時(shí)提供了名為Monitor模式的機(jī)制來進(jìn)行安全上下文切換。TrustZone技術(shù)隔離所有SoC硬件和軟件資源，使它們分別位于兩個(gè)區(qū)域（用于安全子系統(tǒng)的安全區(qū)域以及用于存儲其他所有內(nèi)容的普通區(qū)域）中。支持TrustZone總線構(gòu)造中的硬件邏輯可確保普通區(qū)域組件無法訪問安全區(qū)域資源，從而在這兩個(gè)區(qū)域之間構(gòu)建強(qiáng)大邊界。將敏感資源放入安全區(qū)域的設(shè)計(jì)，以及在安全的處理器內(nèi)核中可靠運(yùn)行軟件可確保資產(chǎn)能夠抵御眾多潛在攻擊，包括通常難以防護(hù)的攻擊如使用鍵盤或觸摸屏輸入密碼等。TrustZone技術(shù)的硬件和軟件架構(gòu)如圖5所示[15]。

3.3.2 TrustZone技術(shù)中的安全啟動(dòng)

安全可信系統(tǒng)周期中一個(gè)重要的階段是系統(tǒng)啟動(dòng)過程。有許多攻擊嘗試在設(shè)備斷電后破解軟件。如果系統(tǒng)從未經(jīng)檢驗(yàn)真實(shí)性的存儲上引導(dǎo)鏡像，這個(gè)系統(tǒng)就是不可信的。

TrustZone技術(shù)為可信域內(nèi)的所有軟件和和普通區(qū)域可能的軟件生成一條可信鏈。這條可信鏈的可信根是難以被篡改的。使用TrustZone技術(shù)的處理器在安全區(qū)域中啟動(dòng)。使用TrustZone技術(shù)的處理器的啟動(dòng)過程如圖6所示[15]。

4 基于安全元件的終端

安全技術(shù)

4.1 安全元件概述

GP組織將安全元件（SE）定義為由硬件、軟件和能夠嵌入智能卡級應(yīng)用的協(xié)議組成的防篡改組合。它可以通過一組由可信方預(yù)設(shè)的安全規(guī)則和要求來保護(hù)應(yīng)用程序和其機(jī)密信息。SE的典型實(shí)現(xiàn)包括SIM/UICC卡、嵌入式SE和可移動(dòng)存儲卡。SE提供比TEE更高的安全級別，但與此同時(shí)它的花費(fèi)也最高。在近場移動(dòng)支付中，通常使用SE模擬非接觸卡。SE與終端進(jìn)行通信，發(fā)送查詢響應(yīng)，生成動(dòng)態(tài)密碼等。最新的安全方案是使用基于主機(jī)的卡模擬方式（HCE），這種方式將安全存儲和運(yùn)行環(huán)境轉(zhuǎn)移到云端，而不是存儲在本地的SE中。

4.2 基于本地SE解決方案

在SE的實(shí)現(xiàn)方式中，通常把嵌入在智能設(shè)備中的SE和嵌入在運(yùn)營商SIM卡中的SE稱為本地SE。以谷歌錢包（Google Wallet）和ApplePay為例，來探討在移動(dòng)支付中基于本地SE的解決方案。

谷歌錢包1.0版本和ApplePay都是基于本地SE實(shí)現(xiàn)的。他們的工作方式如圖7所示。

在谷歌錢包1.0中，Android設(shè)備的NFC控制器工作在卡模擬模式。在SE中存儲的移動(dòng)支付應(yīng)用程序模擬非接觸卡片，使用標(biāo)準(zhǔn)的應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）指令與終端進(jìn)行通信。ApplePay中使用本地設(shè)備SE執(zhí)行卡模擬和安全存儲。在許多方面它與谷歌錢包1.0類似，但也有重要的差異。ApplePay在SE中不存儲真實(shí)的主賬號（PAN），這與谷歌錢包1.0完全相反。ApplePay存儲的是符合EMVco令牌化標(biāo)準(zhǔn)[16]的令牌。在交易過程中，這個(gè)令牌被發(fā)送給終端。在授權(quán)流程中，網(wǎng)絡(luò)識別令牌，去令牌化，生成真正的PAN，將PAN交給發(fā)卡行以授權(quán)。

4.3 基于云的SE解決方案

基于本地SE的解決方式本質(zhì)上是安全的，這是它的一個(gè)非常大的優(yōu)勢。然而，它也有一個(gè)很大的缺點(diǎn)。SE的擁有者決定了市場準(zhǔn)入。其他所有人都需要通過復(fù)雜的商業(yè)模式、合作方式和依賴關(guān)系進(jìn)入市場。這讓整個(gè)過程變得復(fù)雜而昂貴。此外，SE本身的存儲容量和處理速度有限也是這種方式的一個(gè)缺點(diǎn)。

一種可行的解決方案是使用基于主機(jī)的卡模擬方式。Android 4.4及其后版本的操作系統(tǒng)提供了HCE模式的API[17]。HCE模式的運(yùn)行方式如圖8所示。

當(dāng)消費(fèi)者把手機(jī)放置在NFC終端上時(shí)，NFC控制器將所有的數(shù)據(jù)直接發(fā)送到直接運(yùn)行應(yīng)用程序的主機(jī)CPU中。然后Android應(yīng)用程序（移動(dòng)錢包）和特定的支付程序開始進(jìn)行處理，進(jìn)行卡仿真，進(jìn)行請求和響應(yīng)。由于主機(jī)CPU本身是不安全的，因此任何真實(shí)的支付憑證不會(huì)存儲在手機(jī)錢包中。以谷歌錢包3.0為例，谷歌將所有這些真實(shí)的數(shù)據(jù)托管到云服務(wù)中，在那里進(jìn)行安全存儲和安全處理。從本質(zhì)上來說，這是一種基于云的SE方式。實(shí)現(xiàn)了從基于本地的SE到基于云的SE的轉(zhuǎn)變。

這種方法也有它的缺點(diǎn)，如安全性和交易過程中需要網(wǎng)絡(luò)連接。同時(shí)還需要使用如支付卡令牌化的技術(shù)來保證它的安全性。然而另一方面，這種方式可以使商業(yè)模式、合作關(guān)系變得簡單，而且沒有對本地SE的接入限制。這使得應(yīng)用提供商可以輕松的提供服務(wù)。

5 結(jié)束語

本文從軟件方案、基于TEE的方案和基于SE的方案3個(gè)層面對智能移動(dòng)終端安全技術(shù)進(jìn)行了探討。軟件層面上，在一般運(yùn)行環(huán)境中，主要使用傳統(tǒng)的設(shè)備訪問控制、數(shù)據(jù)加密、應(yīng)用運(yùn)行時(shí)隔離機(jī)制、基于權(quán)限的訪問控制、逆向工程的防止、系統(tǒng)安全更新等措施保護(hù)智能移動(dòng)終端的安全。在基于TEE的方案中，使用特殊的軟硬件體系結(jié)構(gòu)、安全隔離和安全啟動(dòng)機(jī)制等來保護(hù)智能移動(dòng)終端的安全。在基于SE的方案中，使用了基于本地SE和基于云端SE的安全隔離和可信執(zhí)行技術(shù)來保證智能移動(dòng)終端的安全。本文認(rèn)為智能移動(dòng)終端的安全解決方案是多層面立體式的解決方案。任何一個(gè)層面都有安全性或使用方便性的不足。只有將軟件和可信硬件平臺加以結(jié)合，才能為智能移動(dòng)終端提供完整的安全保障。