03-双 TEE 隔离系统在手机数据安全的实践和产品化-殷高生

移动互联网黑灰产时代演进与双TEE解决方案

移动安全攻防演进趋势

• 移动互联网黑灰产时代1.0（~2010）：终端、安全行业联合治理收效显著。
• 移动互联网黑灰产时代2.0（2010-2017）：移动互联网产业爆发，B端安全防护缺失，黑灰产完成业务能力升级。
• 移动互联网黑灰产时代3.0（2016-至今）：黑灰产完成战术升级，分工多维、细化，技术威胁升级到业务威胁，应用流氓化。
• 移动互联网黑灰产时代4.0（2018-至今）：B端安全防护上升，薅羊毛成本上升，黑灰产进一步专业化。

移动安全面临的挑战

• 数据安全风险：2021年国家反诈中心紧急止付涉诈资金3200余亿元，诈骗案发仍居高位。
• 用户隐私安全：远程柜台月活增长6.65亿用户（2022年Q2），用户财产损失风险巨大。
• 消费愉悦感影响：黑产规模依然庞大，严重影响消费愉悦感，平均每天发生5起营销活动黑灰产攻击事件。

安全隔离技术演进

• 移动办公APP应用级隔离：如VPN、邮件、远程管理，但To C模式缺少系统被破坏的响应。
• 双系统container：如双系统、container、Sandbox，但To B模式双系统切换慢，共享内存和计算资源。
• 双系统bare metal：如Kernel虚拟化层，但To B模式双系统调度复杂，需要定制Kernel和Hypervisor。
• 双系统TEE：如HTEE+QTEE安全芯片架构，业内首创，保障用户数据安全，实现硬件级隔离。

TEE的缘起与优势

• TEE (Trusted Execution Environment)：基于SOC的硬件隔离的可信执行环境，旨在与REE（Rich Execution Environment）并存，提供设备的安全区域以保护资产和执行可信代码。
• ARM® Trust Zone® 技术：基于Cortex-A应用处理器，实现端点安全和移动终端的可信根。
• 双TEE技术优势：高扩展、安全、稳定可靠，实现用户贵重资料的单独存储和使用。

HTEE-荣耀可信执行环境

• HTEE可信安全架构：MagicOS HTEE安全能力，包括可信显示、可信输入、可信存储、可信计算等。
• HTEE 7大安全能力：可信显示、可信输入（TUI）、可信存储、可信计算、可信显示、可信输入、可信时钟。
• HTEE踩过的坑：峰值内存、REE CA应用、CA API、HTEE TA应用、HTEE服务框架、存储框架、时钟框架、密钥框架、TUI框架、Linux内核、Trust Zone驱动、HTEE微内核驱动框架、ARM Trusted Firmware。

实战项目分享

• 实战项目一：手机防丢失，防破解
  • 手机丢失可能带来的风险：数据泄露、身份仿冒、手机倒卖、诈骗、盗卡等。
  • 防刷机方案：防盗标识存储在安全芯片，防盗检测服务检测异常。
• 实战项目二：把银行U盾业务装进手机
  • 挑战：支付业务在移动化转型时，受限手机的安全能力，不得不采用其他的方案来实施安全性的保障。
  • 解决方案：面向金融支付业务场景，开放可信计算、可信UI和可信存储能力，保护用户金融资产的存储与支付安全。

双TEE系统安全服务能力开放

• 金融安全支付认证解决方案：架构和应用场景，包括端侧和云侧技术架构。
• HTEE Kit能力和API：包括TUI API说明和可信存储API说明。
• Take Away：更多解决方案助力行业更安全便捷，包括弱网/无网支付无忧、精准识别端侧诈骗APP、3D人脸识别、金融级支付认证、薅羊毛/刷单等营销活动欺诈检测。

开发者服务与解决方案接入指南

• 服务场景能力开放：登录、支付、2D/3D人脸识别认证、身份认证、安全存储、TUI、eSE等。
• 开发者威胁感知平台：风险检测服务Kit、应用行为分析建模平台、配置平台、关联启动/自启动行为、隐匿行为、后台弹窗监听、大量系统事件行、敏感数据过度访问行为、应用异常行为识别引擎、应用行为特征采集、风险分级管控、识别规则/模型管控、策略下发。
• MagicOS开发部署流程：一站式开发部署、基于商用版本，可本地编译、打包、签名、一站式开发、跨芯片平台部署、开发流程安全可靠、Debug版本开发者签名，快速迭代开发、Release版本荣耀管控，保证生态安全。
• 解决方案接入指南：注册荣耀企业开发者帐号、本地调试、一键编译打包TA。