Trustonic TEE解决方案.pptx

Trustonic TEE解决方案 移动支付需要一个支付app 坐车 超市购物等 逛商店 喝咖啡 付款 手机 卡片 现金 线上、线下支付 线下支付 线下支付 app 可信执行环境TEE 上面介绍的所有四种技术都要求在移动设备上保证安全和可信，一个TEE平台可以达到这一点。 GlobalPlatform（GP）提供基于安全芯片技术的应用管理标准，由主流的网络运营商、支付服务、技术提供商提供支持，实现智能连接设备行业。GP的一个重要输出是其可信执行环境TEE（Trusted Execution Environment）。 TEE的目的是将高安全敏感的应用与通用的软件环境进行隔离，安全地提供访问硬件资源（如安全存储、安全显示和用户接口等）的能力。 TEE为所有的其它标准提供安全支撑，可以加快移动商务的发展速度。安全基准是TEE，其它提供安全手段和服务。 Bluetooth Smart – protect user privacy FIDO - securely capture PINs, biometrics and protect online privacy HCE - protect identity and connection to Token Service Providers EMVCo Tokens - protect locally stored tokens and enforce policy on usage TEE - Protecting all of the above standards TEE的用途 内容保护机制（Premium content protection）：智能手机和电视等的一些高质量内容需要保护，如高清视频、高清电影等，这些内容越接近发布时价值越高，但是这些内容又容易被盗版使用，使用TEE可以在各种移动设备上保护这些高价值的内容，如使用TEE加密保护和传送，只有拥有特定密钥的TEE环境才能解密使用这些内容。 移动金融服务：随着移动电子商务的飞速发展，更多更强的移动安全标准是需要的。如移动电子钱包、P2P支付、NFC支付、使用移动设备作为PoS机等应用都属于移动金融领域。通过与NFC以及安全元素SEs等合作，TEE可以保证移动设备的安全性，消费者可以在其设备的安全可信环境中放心的执行任何金融交易。为了与用户进行友好的交互，TEE还可以提供可信GUI用户接口，供用户验证TEE环境。 认证：TEE本身可以作为一个天然的ID，如面部识别、指纹传感器和声音授权等，比PIN码和passwords形式更加安全。一般基于TEE的认证可以划分为三个步骤：提取一个镜像（例如扫描一个指纹或者捕获一个声音样本）；在设备TEE存储一个参考模板，供与提取的镜像对比；TEE的一个匹配引擎用于对比镜像和模板，进行身份认证。由此可见，TEE是存储匹配引擎以及认证用户的相关进程的一个理想空间，其可以与移动设备的主OS相互隔离，保证安全运行。FIDO联盟正在和GlobalPlatform合作，一起制定使用TEE作为天然ID实现的规范。 企业和政府：政府和企业可以使用TEE，在移动设备上进行机密信息的处理。可以防止移动OS的软件攻击，以及控制对机密信息的访问权限。这样，政府和企业可以让雇员使用他们自己的移动设备（满足BYOD），不过需要保证机密信息和操作的处理在安全可信的TEE环境中进行。 Trustonic解决方案 Trustonic是TEE技术的领先供应商，t-base是Trustonic提供的TEE解决方案，可以嵌入到移动设备的处理器中，供其它服务提供商通过开放的方式访问现有的高级安全特征。Trustonic将可信服务紧密的连接到可信设备上。 芯片制造商可以集成t-base TEE，为PIN码、指纹和证书等提供隔离和保护，防止来自主操作系统环境的威胁。t-base使用ARM TrustZone安全隔离特征（目前SoC处理器中已经存在），并使用微内核和安全域隔离来保证可信apps的隔离。 Trustonic为领先的芯片制造商提供集成的服务和支持，供应智能连接设备市场。 设备制造商在生产线上设置Trustonic t-kph密钥配置主机系统（t-kph Key Provisioning Host system）。 Trustonic为每个设备的每个t-base TEE创建一个信任根（root of trust），并同步记录到Trustonic的t-sek目录中。 安全应用开发者使用Trustonic提供的t-sdk软件开发工具包（可以通过Trustonic t-dev开发者计划获得）创建可信apps，可以运行在t-base中。 服务提供商通过Trustonic的t-sek服务许可工具包（Service Enablemen