【主题】详解移动互联网背后的安全技术
【讲师】张楚 豆荚科技创始人
【时间】10月10日 20:00-21:00
【地点】物联网智库微信群
【提纲】
1.移动支付带来的影响
2.生物识别背后的安全保护技术TEE
3.TEE技术将如何促进移动互联网应用的发展
【讲师简介】
张楚,北京豆荚科技联合创始人、CEO。张楚先生有15年的移动支付、生物识别、手机安全和智能卡行业经验,并著有《走进移动支付》一书,是移动支付行业专家。豆荚科技基于TEE(可信执行环境)技术,打造安全整体解决方案和服务。
张楚
大家晚上好,首先自我介绍一下,我叫张楚。来自于北京豆荚科技有限公司,公司主要方向是移动支付、手机安全,主要产品是TEE可信执行环境。之前我有超过15年的工作经历,曾经供职于斯伦贝谢、握奇,一直在智能卡、芯片、数据安全、移动支付领域。
今天和大家交流的是移动支付、移动互联网以及背后的安全技术。首先,我们来看一下移动支付市场吧。
上图是来自艾瑞的一个数据。仅第三方移动支付市场(不包括商业银行和银联),2016年交易规模可能在30-40万亿。这个规模已经很吓人了,而且每个季度还在维持超过30%的一个增长率。
我们再来看一下市场格局,都是哪些大哥在玩呢?基本上是阿里、腾讯两位大哥。但是艾瑞只统计了第三方支付,不包括银联。第三方移动支付市场(不包括商业银行和银联)的发展,以支付宝和财付通(微信和手Q)为代表。大家都知道,2016年初Apple Pay正式入华,和银联展开合作,三星、华为、小米跟进。
国内移动支付市场形成支付宝、财付通、银联三国演义的格局。
我们可以看到,互联网厂商,手机厂商,银行,信用卡组织等,都进入到了这个市场。
为什么发展这么快呢?主要是因为市场趋势。虽然移动支付交易额已经很大了,但是和支付总量比,还很小。也就是说,仍然有大量的现金、银行卡、U盾等不同类型的支付方式。移动支付市场还远远没有达到天花板,还是有大量的消费者没有用移动支付。
那么,为什么有的消费者没有用移动支付呢?
上图统计了消费者担心的因素,安全问题成为消费者关注的主要因素,因此,解决手机安全成为了重要的点。不仅仅是手机,味蕾是一个物联网的世界,支付、安全是普遍需求。
支付,也仅仅是开始。P2P、借贷、证券、期货、贵金属、比特币、众筹等金融产品,与移动互联网结合越来越紧密,还有DRM、eSIM、手机杀毒、防丢防盗防刷机等等。
那么,手机,乃至智能终端的安全如何解决呢?
大家知道,移动终端千差万别,很难有统一的安全方式。我们可以试着从芯片、以及芯片的IP架构说起,大家都知道,移动终端芯片IP的王者是ARM。其他的Inter和MIPS份额很少,用在其他领域。
ARM为芯片安全做了一套被称为TrustZone的架构。
那么TEE呢?TEE(Trusted Execution Environment 可信执行环境)最早出自于OMTP规范,ARM是TEE技术的主导者之一,其TrustZone即为是ARM公司的TEE的实现。
TEE的目的增强移动设备的安全特性,从而研发的包括软件编程接口、硬件IP在内的一整套方案。芯片在软件和硬件上,有REE和TEE两个区域,分别对应富执行环境和可信执行环境。其主要思想就是在同一个CPU芯片上,通过硬件配置方式实现不同IP组件的访问控制,从而提供一个完全隔离的运行空间。
ARM在芯片IP设计中已经全面支持了TEE,包括高通、联发科、三星、海思、展讯等都纷纷采用,成为基于硬件安全的主流方案。
随着ApplePay的推出,苹果率先采用TEE技术保护指纹,使得TEE技术随着移动支付中的指纹大行其道。三星、小米、华为、OPPO、vivo、联想、中兴等,全面采用。用来对接支付宝、微信、银联的、移动支付应用,保证安全。
首先看支付宝,成立了IFAA,推广移动支付安全认证方案。
再看微信,建立了SOTER,保证安全。
当然还有银联,也实施了相关标准。
因此,由于移动支付的要求,TEE技术在手机上迅速普及。
最后,展望一下未来。我们认为未来是一个物联网的世界,智能硬件极大丰富,无人机满天飞,智能汽车满街跑,机器人到处都是。安全是物联网的基础需求,由于ARM、高通、苹果、三星、华为、小米、BAT、银联等产业链大佬的推动,TEE技术有望成为物联网安全的基础技术,有着广阔的发展。
我所在的豆荚科技,就是基于TEE技术,做移动安全的公司,期望能在产业链中贡献自己的力量。最后,用我公司的slogan来结束吧:无信不立,豆荚科技。
【课后提问环节】
【问题】请教一个问题,比如手机银行,这种场景,别人拦截我的短信,盗取我的手机银行用户名和密码,直接把银子转走,TEE技术可以避免么?
【回答】这是一个典型问题。短信校验是因为用户名、密码体系固有的被盗风险,是一个补充和加强。但短信本身也有自身的安全短板。而基于TEE的生物识别方案,取代了用户名、密码,通常可以不再用指纹作为安全补充,也就规避了短信的自身问题。
【问题】指纹数据是存放在指纹芯片的空间里吗?还是存在TEE的TA里?
【回答】指纹模板及其他的安全数据,通常是通过TEE来控制的。具体的存储区域要看应用方的安全要求,情况不一样。
【问题】指纹识别、TEE在手机上应用的标准?
【回答】据我所知,指纹的标准主要有几个体系,工信部这边主要是泰尔实验室在做相关的检测认证标准,而央行体系是银联在做标准,海外有GP的标准。行业中还有IFAA、SOTER、FIDO等标准。
【问题】前面提到的生物识别方案在手机银行中有具体应用么?
【回答】现在大多数银行都支持银联的云闪付,里面会有指纹支付,就是通过TEE实现的。三星、苹果、小米、华为的很多机型都已经支持了。
【问题】安全问题一直是一个很敏感的话题,实际上绝对的安全也做不到,现在的物联网技术应该怎么去平衡安全问题与实用性呢?
【回答】这个是一个非常复杂的问题,本质上安全性和便捷性是冲突的。我们需要的保证“相对安全”的前提下,追求最好的便利性。所谓相对的安全,就是说,破解成本远大于破解后的所的。而且,我们今天主要关注的是“端”的安全。其实安全涉及到端-管-云,是一个系统工程。很多时候,端没问题,但是云出了问题,也很要命。需要通盘考虑,整体设计。
【问题】支持TEE,成本增加多少?
【回答】成本问题比较敏感。只能说相对SE等方案来说,增加的不多,OEM还能承受。
