双 TEE 隔离系统在手机数据安全的实践和产品化

如果无法正常显示,请先停止浏览器的去广告插件。
分享至:
1. 双TEE隔离系统在手机数据安全的实践和产品化 荣耀安全 / 殷高生
2.
3. 技术 产品  业务&开放  双 TEE 独特系统的知易行难  独特技术到场景的实战项目分享 • 实战项目一:手机防丢失 ,防破解 • 实战项目二:把银行U盾业务装进手机,双TEE系统安全服务能力开放
4. 数字生活时代 科技与智能给用户带来更多惊喜和便利 同时也在隐私安全上面临巨大挑战 6.65亿用户 3200余亿元 5起/每天 2022年Q2,手机银行 活跃用户规模 2021年国家反诈中心 紧急止付涉诈资金 2021年平均每天发生营销 活动黑灰产攻击事件 疫情影响用户生活 远程柜台月活增长 诈骗案发仍居高位 群众财产损失风险巨大 黑产规模依然庞大 严重影响消费愉悦感 *数据来源:易观分析 *数据来源:国家反诈中心 *数据来源:永安在线
5. 移动安全攻防演进趋势:移动威胁黑转灰,即病毒转流氓化 1.0 (~2010) 互联网PC 病毒时代 • 移动时代到 来,带来第 一次迁移 技术人员能力成型 产业链初具规模 2.0 3.0 (2010-2017) (2016-至今) (2018-至今) 移动互联网 黑灰产时代1.0 移动互联网 黑灰产时代2.0 移动互联网 病毒时代 4.0 • 终端、安全行业联合治理 收效显著 • 移动互联网产业爆发+B 端安全防护缺失,带来第 二次迁移 • 黑灰产完成业务能力升 级,C端安全滞后 • B端安全防护上升,薅 羊毛成本上升,带来第 三次迁移 攻击者开始具备业务视角,完成 战术升级 分工开始多维、细化,技术威 胁升级到业务威胁,作恶边界 更加模糊,应用流氓化
6. 寻找一种沙箱技术,可以把贵重的资料单独存储和使用起来 沙箱 APP APP 移动办公 APP MDM API Kernel 应用级隔离  VPN  邮件  远程管理  To B 模式  MDM定制  缺少系统被破坏的响应 To C怎么快速开发、部署?
7. 寻找一种虚拟化技术,可以把贵重的资料单独存储和使用起来 Type - II virtualization Type - I virtualization 个人系统 个人系统 APP 工作系统 工作系统 移动办公 APP APP APP 移动办公 APP APP Kernel-2 Kernel-1 虚拟化层 Kernel 容器隔离双系统  To B 模式  双系统切换慢  共享内存、共享计算资源  定制Kernel Hypervisor 切换调度层 CPU 内存 驱动 硬件级隔离双系统 (Bare Metal)  To B 模式  双系统调度复杂  需要定制Kernel和Hypervisor  与芯片深度耦合,怎么快速迭代?
8. 寻找一种隔离的可信环境的平台,开发者开发安全应用,保护IP和用户数据 保护商业秘密 APP防破解、防盗版 减少风险损失 防盗刷 防薅羊毛 游戏防外挂 防黄牛刷票 减少业务激活成本、 获取潜在用户 钱包、卡包 移动支付 电子证件 电子印章 指纹/人脸支付 普通系统 APP 可信执行环境 APP Kernel 办公 APP 银行 APP 支付 APP DRM APP … 人脸 指纹 加密 引擎 安全 键盘 安全 计时 … Kernel SOC: 系统切换Firmware
9. TEE的缘起:基于SOC的硬件隔离的可信执行环境 ARM® Trust Zone® 技术 • 基于 Cortex-A应用处理器 • 端点安全和移动终端的可信根 • TEE (Trusted Execution Environment) • REE (Rich Execution Environment • TEE 旨在与 REE 并存,并提供设备的安 全区域以保护资产和执行可信代码
10. TEE对开发者的挑战:功能需要更丰富,需要权威认证,需要更短的TTM Android 普通执行环境 HTEE 可信执行环境 芯片厂商 TEE执行环境 普通应用 安全应用 安全应用 Android服务框架 HTEE服务框架 TEE服务框架 Linux内核 Hypervisor Firmware Trust Zone Firmware SOC及硬件 HTEE OS微内核 TEE OS 内核  SOC embedded TEE挑战: 1. 无国密认证、行业门槛 2. 缺乏开发者服务 3. 缺乏可信APP的生命周期管理—TTM  1. 2. 3. 4. 5. 6. 7. 双TEE的技术挑战: 需要自研TEE Hypervisor开发 TEE-TEE交互 TEE-安全芯片交付 安全态势感知 开发者环境和服务 TA生命周期管理
11. 小结:双TEE可信环境,可以把用户贵重的资料单独存储和使用起来 Sandbox 双系统 container Kernel Kernel 双系统 Bare metal TEE Hypervisor 多TEE Hypervisor Trust Zone Trust Zone
12. 两锁一芯:业内首创双TEE+安全芯片架构,保障用户数据安全 1 2 3 4 5 6 7 8 9 密文 密文 密文 MagicOS 用户口令 解密 (AES算法) 密文 密文 明文 用户口令+双TEE加 密,三重防护 移动金融技术服务认 证 可信 应用 HTEE QTEE From SOC 硬件隔离 SoC 安全存储芯片 安全启动 芯片密钥 安全芯片CC EAL 5+ 抗物理攻击 FIDO 认证:线上快速身份验证联盟
13. HTEE-荣耀可信执行环境:高扩展、安全、稳定可靠 MagicOS HTEE安全能力 HTEE可信安全架构 TA应用 CA应用 CA API HTEE服务框架 存储框架 时钟框架 密钥框架 TUI框架 EL0 Linux内核 HTEE 微内核 Trust Zone驱动 驱动框架 EL3 硬件层 可信 计算 HTEE REE 显示 触摸屏 可信 显示 HTEE 可信 权限 可信 输入 可信 时钟 ARM Trusted Firmware 存储 可信 存储 Timer eSE 踩过的坑:峰值内存
14. HTEE 7大安全能力 (part-2) 可信存储 可信显示 和可信输入(TUI) TA 2 TA 1 安全存储 API TA 1 Data AES256 完整性校验 设备绑定 TA间隔离 TA 2 Data TUI图层 安全存储分区 踩过的坑:生僻字
15. 身份认证为例:机主可信、设备可信、交易可信 登录/交易认证 云服务 设备 机主 攻击者 可信设备 MagicOS 陌生设备
16. 本机身份认证为例:技术架构保障用户生物特征数据不出安全区 身份认证Kit能力开放,应用可使用荣耀设备的生物识别能力,为用户提供安心、方便的业务体验 Android 锁屏 钱包 安全区 APP 身份认证 KIT HTEE 可信环境 生物识别 TA 模板数据库 HTEE Framework 安全驱动 身份认证服务 指纹器件 安全Camera 安全存储芯片
17. 支付安全、手机被盗后数据和账户安全是用户关注隐私安全TOP问题 ① 实战项目一:手机防丢失 ,防破解 ② 实战项目二:把银行U盾业务装进手机,双TEE系统安全服务能力开放 用户关注的隐私安全问题(n=1600) 支付安全(手机支付时的安全性) 63% 个人数据被app偷窥或使用 44% 手机被盗后的数据及账户安全 40% 接入公共Wi-Fi时的手机数据安全 通话被监听 1 31% 25% 防电话/网络诈骗 21% 手机使用时防止周边人窥探 20% 手机借给他人或儿童使用时的权限管理 19% 2
18. 实战项目一: 手机防丢解决方案
19. 手机丢失用户旅程分析 手机丢失 (失主) 查找功能 查找功能开启 使用另一台荣耀 手机的查找设备 进行找回 使用电脑登录荣 耀网站找回 使用其他手机浏 览器登录荣耀网 站找回 手机丢失 (捡拾者) 定位 查找设备APP 登录自己荣耀 账号 开始 查找 手机在线 最近一次位置 (GPS+基站定位) 播放铃声 搜网址,忘记/ 找回密码,登 录 留言留电话 上线通知 来电隐藏 消息隐藏 关机 不输入锁屏密码 关机失败 丢失模式 电量耗尽 远程SIM卡加锁 拔出SIM卡 SIM卡插到别的手机 电话呼入 看不见联系人信息 新消息 看不见消息内容 看到留言电话回拨 找回 SIM卡不可用 SIM卡可用 恢复出厂 暴力破解锁屏密码 刷机 激活锁标识不可清除 要求验证荣耀账号密码 擦除数据 数据锁定 电量耗尽 手机离线 SIM卡在位 远程打开移动数据 飞行模式
20. 手机丢失可能给用户带来严重的隐私泄露 防关机 防离线 防盗卡 防诈骗 ******* 手机丢失 防刷机 激活设备 此设备已关联至荣耀账号 (0086186******22)并被锁定, 请输入该账号的密码激活设备。 数据不丢失 请输入密码 登 录 远程可定位 身份不被仿冒 激活 手机不被倒卖 忘记密码 申诉激活 遇到问题 锁屏时不可强制关机 远程开通移动流量 远程锁定SIM卡,保护账号安全 来电隐藏 消息隐藏 防盗标识不可篡改
21. 防刷机方案:防盗标识存储在安全芯片,防盗检测服务检测异常 HTEE 防盗TA 激活设备 此设备已关联至荣耀账号 (0086186******22)并被锁定, 请输入该账号的密码激活设备。 请输入密码 激活 忘记密码 申诉激活 防盗标识
22. 实战项目二: 把银行U盾业务装进手机,双TEE系统安全服务能力开放
23. 挑战:支付业务在移动化转型时,受限手机的安全能力,不得不采 用其他的方案来实施安全性的保障 以银行硬件盾为例: 开通 转账 更换 ①需要投入运营资源和硬件成本 ①需要去柜台办理 ②业务线下化办理,服务效率低 ②转账体验不方便 ③复杂转账体验,易造成高净值用户流失 ③经常找不到,定期去柜台更换
24. 金融安全支付认证解决方案,助力传统金融业务线上转型 面向金融支付业务场景,开放可信计算、可信UI和可信存储能力: • 保护用户金融资产的存储与支付安全 • 助力传统金融业务吸引更多高净值用户 业务逻辑 不被劫持、篡改 HTEE 可信计算 终端金融安全支 付认证解决方案 应用场景 HTEE 电子银行转账 独立安全芯片 核心交互界面 不被录屏、截屏 证书、密钥 QTEE eSE芯片 HTEE 可信UI HTEE 可信存储 身份核实 电子合约 电子印章 … …. HTEE金融认证 CC EAL 5+
25. 金融安全支付认证解决方案:架构和应用场景 Android 银行/支付APP HTEE 三方APP集成 HTEE SDK CA开发 大额转账 TA开发 可信 计算 可信 显示 可信 显示 三方App密钥、核心业务 流程, 关键数据可信计算 HTEE Kit 电子身份证 eSE芯片 开发者服务平台 KIT权限开通 SDK接入 移动支付 版权保护 申请HTEE Kit权限 APP开发者 … …
26. 金融安全支付认证解决方案: 技术架构 银行 数据中心 云侧 Android 可信 计算 可信 存储 TSM Agent 可信 显示 其它业务 银行APP Android Runtime Env 会话 管理 身份 鉴权 TA 加载 银行TA 指纹TA 其它TA TEE Internal API 可信 可信 可信 可信 计算 输入 显示 存储 HTEE Framework Service 可信 输入 可信 时钟 HTEE HTEE Client API HTEE 可信 权限 银行 SP TSM 端侧 Linux Env HTEE-Driver SPI/I2C Driver SE Driver HTEE Micro-kernel eSE 手机盾业务开通 银行部署 荣耀HTEE 开放接口 SSD 银行Applet
27. 金融安全支付认证解决方案:HTEE Kit能力和API 说明 TUI API 可信 计算 可信 存储 可信 显示 HTEE 可信 权限 可信 输入 可信 时钟 TEE_TUICheckTextFormat 检查文字是否可以显示 TEE_TUIGetScreenInfo 获取屏幕信息 TEE_TUIInitSession TA申请独占访问TUI资源,包括屏幕、键盘 TEE_TUICloseSession 释放TA占据的TUI资源、屏幕和键盘 TEE_TUIDisplayScreen 显示TA发送的图片和文字 扩展接口 例如HTEE二维码扩展接口 说明 可信存储 API TEE_CreatePersistentObject 创建一个persistent object,同时写入初始化数据流 (initialData) 和属性(attributes) TEE_CloseAndDeletePersistent Object 关闭并且删除object,该object打开时flags必须置位 TEE_DATA_FLAG_ACCESS_WRITE_META TEE_RenamePersistentObject object重命名 TEE_ReadObjectData 从object读取size字节数据,放到buffer指针指定的 buffer,操作完成后将实际读取值写到count TEE_WriteObjectData 从buffer中写入size字节的数据到object的data stream TEE_TruncateObjectData 改变data stream大小 TEE_SeekObjectData 设置object handle的数据位置
28. Take Away:更多解决方案助力行业更安全便捷 1 保护伙伴应用及数据的保 密性、完整性 2 3 4 5 弱网/无网支付无忧 精准识别端侧诈骗APP 薅羊毛/刷单等营销活动欺 3D人脸识别,金融级支付 诈检测 认证
29. Take Away: 在双TEE环境中,开发你的可信应用 服务场景 能力开放 金融、支付 登录 业务风控 认证、签名 支付 虚假拉新|薅羊毛|诈骗 可信计算 HTEE Kit 身份认证 Identity Kit 风险检测 Risk Detect Kit 安全存储|加解密/签名 2D/3D人脸识别认证 模拟触屏检测|设备健康检测 TUI|eSE |…… 前序欺诈应用检测
30. Take Away: 便捷身份认证Kit能力及API 支付/金融类APP … … 类别 身份认证 Kit 人脸识别 API FaceRecognition类中 getFaceRecognition 获得实例 FaceRecognition类中 getFaceRecognitionCapability 获得人脸识别的能力: 是否支持、是否 2D/3D人脸识别 FaceRecognition类中 hasEnrolledTemplates 判断是否已经录入人 脸信息 FaceRecognition类中 authenticate 进行人脸识别,获得 认证结果 3D /2D人脸识别服务 HTEE+QTEE 安全芯片 图像 安全采集 人脸 识别 能力 人脸识别 TA 人脸算法 2D/3D活 体检测 安全存储 特征提取 特征比对 说明
31. Take Away:营销反欺诈Kit能力及API 开发者的威胁感知平台 应用行为 关联启动/自 启动行为 监听大量系统 事件行 分析建模平台 (大数据/机器学习/专家分析) 类 别 配置平台 设 备 健 康 检 测 后台弹窗 识别规则/模型管控策略下发 隐匿行为 敏感数据过度 访问行为 风险检测服务Kit 应用行为 特征采集 应用异常行为 识别引擎 风险分级 管控 模 拟 触 屏 检 测 风险检测Kit API 说明 RiskAppDetect 类中 getDetectResult 获得设备健康检测 结果: (0:设备安全;1: 设备风险) TouchDetect类 中startDetect 开启模拟触屏检测 能力 TouchDetect类 中 getDetectResult 获得模拟触屏检测 结果:0—100 (分值越高,模拟 触屏风险越高) TouchDetect类 中stopDetect 关闭模拟触屏检测 能力
32. Take away:解决方案开发者服务 MagicOS开发者指南和服务 SDK 手册&文档 白皮书&Wiki MagicOS开发部署流程 DEMO & 参考设计 调试证书 支持快速开发 • 一站式开发部署 • 基于商用版本, 可本地编译、打 包、签名 • 一站式开发 • 跨芯片平台部署 • 开发流程安全可靠 • Debug版本开发者签 名,快速迭代开发 • Release版本荣耀管 控,保证生态安全
33. Take away:MagicOS安全解决方案接入指南 Step 1 Step 2 Step 3 Step 4 本地调试 正式发布 在荣耀开发者平台注册荣耀企业开发者帐号: 申请HTEE kit和特性相关权限 通过SDK自动获取开发者证 通过荣耀服务器正式签名, 《荣耀开发者帐号注册-实名认证》 书进行签名调试 随APK发布 注册荣耀企业开发者帐号 申请HTEE kit权限 一键编译打包 TA
34.

Accueil - Wiki
Copyright © 2011-2024 iteam. Current version is 2.139.0. UTC+08:00, 2024-12-28 10:28
浙ICP备14020137号-1 $Carte des visiteurs$