专访泰尔终端实验室国炜:TEE已成为安全生态系统重要环节
“互联网时代是一个裸奔的时代。”
这句看似危言耸听的言论,正在因为日趋严峻的信息安全形势而成为现实。2016年,电信诈骗成为了年度关键词,让普罗大众愈加关注在移动互联网不断发展的现在,自身的信息安全该如何保障。不仅仅大众担忧,就连Facebook CEO马克-扎克伯格也担心信息被泄露,而将自己的笔记本摄像头和麦克风贴上胶带。
也正是在近几年信息安全形势日趋严峻的情况下,一种软硬结合的安全技术正在不断的应用在各种终端当中,这就是TEE。苹果、央行、银联、ARM、腾讯、阿里…从企业到政府部门,无一不是应用或提倡以推动TEE技术发展。在此,移动支付网采访了中国信息通信研究院泰尔终端实验室信息安全部主任工程师国炜,以第三方检测机构的角度看TEE的发展。
广泛应用的TEE技术
据国炜介绍,TEE技术目前正在广泛应用在各个领域,并且不断的有角色加入产业共赢中:“在智能终端领域,TEE在金融支付、身份识别、内容保护、通信等方面都有相应的应用场景,如U盾、DRM、eSIM;在快速发展的物联网领域,TEE同样也是必不可少的安全技术架构。可以预见,TEE今后有巨大的应用空间及市场,它已经成为安全生态系统中的重要环节,在这个庞大的安全生态体系中,芯片厂商、OEM、操作系统生产商、方案商以及应用开发和提供商等都会找到各自的机遇和立足点。”
多场景的应用,多企业的参与,为何TEE技术如此受热捧?长久以来,信息安全都分“软硬”,基于软件的安全较为便捷,便于运算、传输,但是安全级别上并不高;而基于安全元件的硬件安全,则是金融级安全,安全性能够绝对保障,但是储存能力、运算、传输等方面都较弱。
“TEE技术使终端的安全问题由仅仅从软件层面解决演变成借助硬件能力对其进行完善,TEE的出现就是将硬件安全与软件安全进行了良好的衔接。”国炜对TEE的安全原理进行了介绍,与此同时也进一步解析了产业趋势,“基于TEE环境的安全操作系统厂家也出现在产业生态中,如华为自己开发的SecureOS,高通的QSEE、以及几家非芯片厂商推出的TEE OS,且Google也开始将TEE检测纳入到CTS认证中,这些将更多的、不同类型的厂商纳入到移动安全产业链中,且随着TEE+SE移动支付方式的宣传与推广,以往单纯的硬件安全或者单纯的软件安全已无法满足一些特定的应用场景,取而代之的是硬件加软件的整体运行环境的安全。”
TEE兼顾了安全性与便捷性,受到产业各方的认可,但是TEE目前的产业发展仍然需要解决许多问题。
TEE产品仍然存在问题
早在2002年,ARM提出了TEE的基础技术——硬件虚拟化技术TrustZone及其相关硬件实现方案,这为TEE的发展打下了基础。十年之后,也就是2012年,ARM、捷德、金雅拓合资成立了名为Trustonic的安全公司,旨在推动TEE在全球的应用。此外,在2011年,GP(GlobalPlatform)起草制定了相关的TEE规范标准。从技术方案、企业推动、标准建立等各个方面,TEE都经历了较长时间的发展,但一些TEE产品仍然存在问题。
“从我们的实际检测工作来看,TEE产品的一些安全功能在实际的产品实现中还是存在一些问题和缺陷,为了不让产品的安全功能形同虚设,对产品实施安全检测是必要的。”国炜表示,而在推动TEE产业发展方面,泰尔终端实验室也做出了自己的一份贡献,“多年来,我们保持着与TEE相关产业方开展良好的沟通与合作,并且已主导并联合这些TEE相关厂商在CCSA和TAF等相关标准组织制定TEE技术要求标准及安全检测内容与流程,我们希望这些标准能更好的为相关行业起到参考作用。”
TEE检测的难点
近日,泰尔终端实验室推出了TEE安全评测服务,这是国内首个检测机构推出此类服务,在实际的检测过程中,TEE检测面临着许多难点。
据国炜介绍,TEE技术是在SoC硬件层面隔离出来的一个安全运行环境,同时这个安全运行环境拥有自身的安全操作系统,安全和非安全运行环境内代码的执行是通过CPU资源的分时处理来完成。这就导致了TEE安全检测所覆盖的组件数量较多,这些组件交互复杂且更多的涉及到了底层硬件技术和系统层攻防技术,因此给TEE安全检测带来了不小的难度和挑战。
除此之外,在TEE安全检测过程中,厂家与实验室的配合程度也会或多或少的影响检测的顺利开展。另外,TEE只是一个终端设备内的基础安全平台,该平台上会承载来自不同行业的安全应用,对于行业用户而言,他们更关心的是这些应用的安全执行以及数据的安全保护,因此在安全检测方面,行业之间的良好协作与配合也会对TEE产业的发展起到推动作用。
此外,不同终端的TEE检测也有不同。国炜进一步补充道,TEE技术可以应用在所有嵌入式设备中,除了智能手机领域外,它还可以应用在物联网设备中,目前的车联网以及eSIM等领域已经开始部署了TEE技术的相关应用。在这些不同的应用终端上,TEE安全架构差异化并不大,基础的安全功能定义和需求也没有太大的不同,但是不同的应用场景有其特有的安全功能以及安全级别的要求,这需要TEE在安全操作系统上做一些安全功能的扩展和延伸,因此泰尔终端实验室在检测上也会根据场景和需求的不同来调整安全检测内容和重点,以便符合不同行业对安全产品的要求。