双 TEE 隔离系统在手机数据安全的实践和产品化
如果无法正常显示,请先停止浏览器的去广告插件。
1. 双TEE隔离系统在手机数据安全的实践和产品化
荣耀安全 / 殷高生
2.
3. 技术 产品 业务&开放
双 TEE 独特系统的知易行难
独特技术到场景的实战项目分享
• 实战项目一:手机防丢失 ,防破解
• 实战项目二:把银行U盾业务装进手机,双TEE系统安全服务能力开放
4. 数字生活时代
科技与智能给用户带来更多惊喜和便利
同时也在隐私安全上面临巨大挑战
6.65亿用户
3200余亿元
5起/每天
2022年Q2,手机银行
活跃用户规模 2021年国家反诈中心
紧急止付涉诈资金 2021年平均每天发生营销
活动黑灰产攻击事件
疫情影响用户生活
远程柜台月活增长 诈骗案发仍居高位
群众财产损失风险巨大 黑产规模依然庞大
严重影响消费愉悦感
*数据来源:易观分析 *数据来源:国家反诈中心 *数据来源:永安在线
5. 移动安全攻防演进趋势:移动威胁黑转灰,即病毒转流氓化
1.0
(~2010)
互联网PC
病毒时代
• 移动时代到
来,带来第
一次迁移
技术人员能力成型
产业链初具规模
2.0 3.0 (2010-2017) (2016-至今) (2018-至今)
移动互联网
黑灰产时代1.0 移动互联网
黑灰产时代2.0
移动互联网
病毒时代
4.0
• 终端、安全行业联合治理
收效显著
• 移动互联网产业爆发+B
端安全防护缺失,带来第
二次迁移 • 黑灰产完成业务能力升
级,C端安全滞后
• B端安全防护上升,薅
羊毛成本上升,带来第
三次迁移
攻击者开始具备业务视角,完成
战术升级 分工开始多维、细化,技术威
胁升级到业务威胁,作恶边界
更加模糊,应用流氓化
6. 寻找一种沙箱技术,可以把贵重的资料单独存储和使用起来
沙箱
APP
APP
移动办公
APP
MDM API
Kernel
应用级隔离
VPN
邮件
远程管理
To B 模式
MDM定制
缺少系统被破坏的响应
To C怎么快速开发、部署?
7. 寻找一种虚拟化技术,可以把贵重的资料单独存储和使用起来
Type - II virtualization
Type - I virtualization
个人系统
个人系统
APP
工作系统
工作系统
移动办公
APP
APP
APP
移动办公
APP
APP
Kernel-2
Kernel-1
虚拟化层
Kernel
容器隔离双系统
To B 模式
双系统切换慢
共享内存、共享计算资源
定制Kernel
Hypervisor 切换调度层
CPU
内存
驱动
硬件级隔离双系统 (Bare Metal)
To B 模式
双系统调度复杂
需要定制Kernel和Hypervisor
与芯片深度耦合,怎么快速迭代?
8. 寻找一种隔离的可信环境的平台,开发者开发安全应用,保护IP和用户数据
保护商业秘密
APP防破解、防盗版
减少风险损失
防盗刷
防薅羊毛
游戏防外挂
防黄牛刷票
减少业务激活成本、
获取潜在用户
钱包、卡包
移动支付
电子证件
电子印章
指纹/人脸支付
普通系统
APP
可信执行环境
APP
Kernel
办公
APP 银行
APP 支付
APP DRM
APP …
人脸
指纹 加密
引擎 安全
键盘 安全
计时 …
Kernel
SOC: 系统切换Firmware
9. TEE的缘起:基于SOC的硬件隔离的可信执行环境
ARM® Trust Zone® 技术
• 基于 Cortex-A应用处理器
• 端点安全和移动终端的可信根
• TEE (Trusted Execution Environment)
• REE (Rich Execution Environment
• TEE 旨在与 REE 并存,并提供设备的安
全区域以保护资产和执行可信代码
10. TEE对开发者的挑战:功能需要更丰富,需要权威认证,需要更短的TTM
Android
普通执行环境 HTEE
可信执行环境 芯片厂商
TEE执行环境
普通应用 安全应用 安全应用
Android服务框架 HTEE服务框架 TEE服务框架
Linux内核
Hypervisor Firmware
Trust Zone Firmware
SOC及硬件
HTEE OS微内核
TEE OS 内核
SOC embedded TEE挑战:
1. 无国密认证、行业门槛
2. 缺乏开发者服务
3. 缺乏可信APP的生命周期管理—TTM
1.
2.
3.
4.
5.
6.
7.
双TEE的技术挑战:
需要自研TEE
Hypervisor开发
TEE-TEE交互
TEE-安全芯片交付
安全态势感知
开发者环境和服务
TA生命周期管理
11. 小结:双TEE可信环境,可以把用户贵重的资料单独存储和使用起来
Sandbox 双系统
container
Kernel Kernel
双系统
Bare metal
TEE
Hypervisor
多TEE
Hypervisor
Trust Zone
Trust Zone
12. 两锁一芯:业内首创双TEE+安全芯片架构,保障用户数据安全
1 2 3
4 5 6
7 8 9
密文
密文
密文
MagicOS
用户口令
解密
(AES算法)
密文
密文
明文
用户口令+双TEE加
密,三重防护
移动金融技术服务认
证
可信
应用
HTEE
QTEE
From SOC
硬件隔离
SoC
安全存储芯片
安全启动
芯片密钥
安全芯片CC EAL 5+
抗物理攻击
FIDO 认证:线上快速身份验证联盟
13. HTEE-荣耀可信执行环境:高扩展、安全、稳定可靠
MagicOS HTEE安全能力
HTEE可信安全架构
TA应用
CA应用
CA API
HTEE服务框架
存储框架 时钟框架
密钥框架 TUI框架
EL0
Linux内核 HTEE 微内核
Trust Zone驱动 驱动框架
EL3
硬件层
可信
计算
HTEE
REE
显示
触摸屏
可信
显示
HTEE
可信
权限
可信
输入
可信
时钟
ARM Trusted Firmware
存储
可信
存储
Timer
eSE
踩过的坑:峰值内存
14. HTEE 7大安全能力 (part-2)
可信存储
可信显示 和可信输入(TUI)
TA 2
TA 1
安全存储 API
TA 1
Data
AES256
完整性校验
设备绑定
TA间隔离
TA 2
Data
TUI图层
安全存储分区
踩过的坑:生僻字
15. 身份认证为例:机主可信、设备可信、交易可信
登录/交易认证
云服务
设备
机主
攻击者
可信设备
MagicOS
陌生设备
16. 本机身份认证为例:技术架构保障用户生物特征数据不出安全区
身份认证Kit能力开放,应用可使用荣耀设备的生物识别能力,为用户提供安心、方便的业务体验
Android
锁屏
钱包
安全区
APP
身份认证 KIT
HTEE 可信环境
生物识别 TA
模板数据库
HTEE Framework
安全驱动
身份认证服务
指纹器件
安全Camera
安全存储芯片
17. 支付安全、手机被盗后数据和账户安全是用户关注隐私安全TOP问题
① 实战项目一:手机防丢失 ,防破解
② 实战项目二:把银行U盾业务装进手机,双TEE系统安全服务能力开放
用户关注的隐私安全问题(n=1600)
支付安全(手机支付时的安全性)
63%
个人数据被app偷窥或使用
44%
手机被盗后的数据及账户安全
40%
接入公共Wi-Fi时的手机数据安全
通话被监听
1
31%
25%
防电话/网络诈骗 21%
手机使用时防止周边人窥探 20%
手机借给他人或儿童使用时的权限管理 19%
2
18. 实战项目一: 手机防丢解决方案
19. 手机丢失用户旅程分析
手机丢失
(失主)
查找功能
查找功能开启
使用另一台荣耀
手机的查找设备
进行找回
使用电脑登录荣
耀网站找回
使用其他手机浏
览器登录荣耀网
站找回
手机丢失
(捡拾者)
定位
查找设备APP
登录自己荣耀
账号
开始
查找
手机在线
最近一次位置 (GPS+基站定位)
播放铃声
搜网址,忘记/
找回密码,登
录
留言留电话
上线通知
来电隐藏
消息隐藏
关机
不输入锁屏密码
关机失败
丢失模式
电量耗尽
远程SIM卡加锁
拔出SIM卡
SIM卡插到别的手机
电话呼入 看不见联系人信息
新消息 看不见消息内容
看到留言电话回拨 找回
SIM卡不可用
SIM卡可用
恢复出厂
暴力破解锁屏密码
刷机
激活锁标识不可清除
要求验证荣耀账号密码
擦除数据
数据锁定
电量耗尽
手机离线
SIM卡在位
远程打开移动数据
飞行模式
20. 手机丢失可能给用户带来严重的隐私泄露
防关机
防离线
防盗卡
防诈骗
*******
手机丢失
防刷机
激活设备
此设备已关联至荣耀账号
(0086186******22)并被锁定,
请输入该账号的密码激活设备。
数据不丢失
请输入密码
登 录
远程可定位
身份不被仿冒
激活
手机不被倒卖
忘记密码 申诉激活
遇到问题
锁屏时不可强制关机
远程开通移动流量
远程锁定SIM卡,保护账号安全
来电隐藏 消息隐藏
防盗标识不可篡改
21. 防刷机方案:防盗标识存储在安全芯片,防盗检测服务检测异常
HTEE
防盗TA
激活设备
此设备已关联至荣耀账号
(0086186******22)并被锁定,
请输入该账号的密码激活设备。
请输入密码
激活
忘记密码 申诉激活
防盗标识
22. 实战项目二:
把银行U盾业务装进手机,双TEE系统安全服务能力开放
23. 挑战:支付业务在移动化转型时,受限手机的安全能力,不得不采
用其他的方案来实施安全性的保障
以银行硬件盾为例:
开通
转账
更换
①需要投入运营资源和硬件成本 ①需要去柜台办理
②业务线下化办理,服务效率低 ②转账体验不方便
③复杂转账体验,易造成高净值用户流失 ③经常找不到,定期去柜台更换
24. 金融安全支付认证解决方案,助力传统金融业务线上转型
面向金融支付业务场景,开放可信计算、可信UI和可信存储能力:
• 保护用户金融资产的存储与支付安全
• 助力传统金融业务吸引更多高净值用户
业务逻辑
不被劫持、篡改
HTEE
可信计算
终端金融安全支
付认证解决方案
应用场景
HTEE
电子银行转账
独立安全芯片
核心交互界面
不被录屏、截屏
证书、密钥
QTEE
eSE芯片
HTEE
可信UI
HTEE
可信存储
身份核实
电子合约
电子印章
… ….
HTEE金融认证
CC EAL 5+
25. 金融安全支付认证解决方案:架构和应用场景
Android
银行/支付APP
HTEE
三方APP集成 HTEE SDK
CA开发
大额转账
TA开发
可信
计算
可信
显示
可信
显示
三方App密钥、核心业务
流程, 关键数据可信计算
HTEE Kit
电子身份证
eSE芯片
开发者服务平台
KIT权限开通
SDK接入
移动支付
版权保护
申请HTEE Kit权限
APP开发者
… …
26. 金融安全支付认证解决方案: 技术架构
银行
数据中心
云侧
Android
可信
计算
可信
存储
TSM Agent
可信
显示
其它业务
银行APP
Android
Runtime
Env
会话
管理
身份
鉴权
TA
加载
银行TA
指纹TA
其它TA
TEE Internal API
可信
可信
可信
可信
计算
输入
显示
存储
HTEE Framework Service
可信
输入
可信
时钟
HTEE
HTEE Client API
HTEE
可信
权限
银行 SP TSM
端侧
Linux
Env
HTEE-Driver
SPI/I2C
Driver
SE
Driver
HTEE Micro-kernel
eSE
手机盾业务开通
银行部署
荣耀HTEE
开放接口
SSD
银行Applet
27. 金融安全支付认证解决方案:HTEE Kit能力和API
说明
TUI API
可信
计算
可信
存储
可信
显示
HTEE
可信
权限
可信
输入
可信
时钟
TEE_TUICheckTextFormat 检查文字是否可以显示
TEE_TUIGetScreenInfo 获取屏幕信息
TEE_TUIInitSession TA申请独占访问TUI资源,包括屏幕、键盘
TEE_TUICloseSession 释放TA占据的TUI资源、屏幕和键盘
TEE_TUIDisplayScreen 显示TA发送的图片和文字
扩展接口 例如HTEE二维码扩展接口
说明
可信存储 API
TEE_CreatePersistentObject 创建一个persistent object,同时写入初始化数据流
(initialData) 和属性(attributes)
TEE_CloseAndDeletePersistent
Object 关闭并且删除object,该object打开时flags必须置位
TEE_DATA_FLAG_ACCESS_WRITE_META
TEE_RenamePersistentObject object重命名
TEE_ReadObjectData 从object读取size字节数据,放到buffer指针指定的
buffer,操作完成后将实际读取值写到count
TEE_WriteObjectData 从buffer中写入size字节的数据到object的data stream
TEE_TruncateObjectData 改变data stream大小
TEE_SeekObjectData 设置object handle的数据位置
28. Take Away:更多解决方案助力行业更安全便捷
1
保护伙伴应用及数据的保
密性、完整性
2 3 4 5
弱网/无网支付无忧 精准识别端侧诈骗APP 薅羊毛/刷单等营销活动欺 3D人脸识别,金融级支付
诈检测 认证
29. Take Away: 在双TEE环境中,开发你的可信应用
服务场景
能力开放
金融、支付 登录 业务风控
认证、签名 支付 虚假拉新|薅羊毛|诈骗
可信计算 HTEE Kit 身份认证 Identity Kit 风险检测 Risk Detect Kit
安全存储|加解密/签名 2D/3D人脸识别认证 模拟触屏检测|设备健康检测
TUI|eSE |……
前序欺诈应用检测
30. Take Away: 便捷身份认证Kit能力及API
支付/金融类APP … …
类别
身份认证 Kit
人脸识别 API
FaceRecognition类中
getFaceRecognition 获得实例
FaceRecognition类中
getFaceRecognitionCapability 获得人脸识别的能力:
是否支持、是否
2D/3D人脸识别
FaceRecognition类中
hasEnrolledTemplates 判断是否已经录入人
脸信息
FaceRecognition类中
authenticate 进行人脸识别,获得
认证结果
3D /2D人脸识别服务
HTEE+QTEE
安全芯片
图像
安全采集
人脸
识别
能力
人脸识别
TA
人脸算法
2D/3D活
体检测
安全存储
特征提取
特征比对
说明
31. Take Away:营销反欺诈Kit能力及API
开发者的威胁感知平台
应用行为
关联启动/自
启动行为
监听大量系统
事件行
分析建模平台
(大数据/机器学习/专家分析)
类
别
配置平台
设
备
健
康
检
测
后台弹窗
识别规则/模型管控策略下发
隐匿行为
敏感数据过度
访问行为
风险检测服务Kit
应用行为
特征采集
应用异常行为
识别引擎
风险分级
管控
模
拟
触
屏
检
测
风险检测Kit API
说明
RiskAppDetect
类中
getDetectResult 获得设备健康检测
结果:
(0:设备安全;1:
设备风险)
TouchDetect类
中startDetect 开启模拟触屏检测
能力
TouchDetect类
中
getDetectResult 获得模拟触屏检测
结果:0—100
(分值越高,模拟
触屏风险越高)
TouchDetect类
中stopDetect 关闭模拟触屏检测
能力
32. Take away:解决方案开发者服务
MagicOS开发者指南和服务
SDK
手册&文档
白皮书&Wiki
MagicOS开发部署流程
DEMO & 参考设计
调试证书
支持快速开发
• 一站式开发部署
• 基于商用版本,
可本地编译、打
包、签名
• 一站式开发
• 跨芯片平台部署
• 开发流程安全可靠
• Debug版本开发者签
名,快速迭代开发
• Release版本荣耀管
控,保证生态安全
33. Take away:MagicOS安全解决方案接入指南
Step 1
Step 2
Step 3
Step 4
本地调试 正式发布
在荣耀开发者平台注册荣耀企业开发者帐号: 申请HTEE kit和特性相关权限 通过SDK自动获取开发者证 通过荣耀服务器正式签名,
《荣耀开发者帐号注册-实名认证》 书进行签名调试 随APK发布
注册荣耀企业开发者帐号
申请HTEE kit权限
一键编译打包
TA
34.