“2012智慧城市高层论坛”分论坛“移动智能终端应用安全分论坛”12月7日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
ARM中国区移动业务市场经理 王骏超
王骏超:感谢江总的介绍,也感谢主办方给我们提供这个机会跟大家分享我们ARM关于智能终端的安全架构。我想从上午开始,到下午很多的前面我们很多的合作伙伴介绍了现在,移动智能终端的这种上面的安全的危险,以及他们自己的解决方案,下面我是想从我们的上游厂商这一块来说,就是说ARM作为一个整个移动平台集中CPU和GPUIP提供给我们的厂商,可以给我们的合作伙伴更快更简单的实现我们安全方案的解决方案。
安全这一块我们首先定义我们的安全保护,今天我们要介绍这个技术和可知性环境,主要是来保护智能终端上的应用和服务,能够从来自于恶意软件的攻击。当然这个核心就是说因为现在大家知道对智能终端的平台采用了ARM来架构,如果在芯片上支持这个架构,可以减轻我们下游合作伙伴的开发的难度,而且上市时间会更快。
当然我们要我们前面很多厂商的介绍,他们基于软件的解决方案,从我们的角度来讲,我们希望提供给大家一个基于硬件的,系统级的安全的解决方案,这个方案是基于我们Trustzone技术的可行的环境,大家理解这个东西是非常简单,前面提到了在安卓的开放系统下用户会安装来自不同渠道的应用。你很难去防控,用户需要他的灵活性,我需要从各个地方去应用。这个时候就是说当我们很多合作伙伴做了很多的努力,我怎么样保证应用的安全性这部分。但是从我们来理解,像数字版权的管理和移动支付这个对安全应用要求非常高的这些应用。你很难把他放到安卓这个开放环境下来执行,同时保证他的安全性。我们考虑的核心目标是我们给这些应用提供一个独立的,可信任的执行环境,我们用硬件技术隔离开放系统和可知性的环境。这是我今天要跟大家分享的内容。这个基本架构大家可以看这边,在芯片的平台上,我们ARM是抄送的安全架构。刚刚我也提到过了,独立可信的执行环境,除了最底层的安全架构,和最上面的小操作系统,大家知道GP是做智能卡,芯片的安全标准,现在GP也是把安全转到了智能手机上希望来。大家可能都听过这个Trustzone,主要是提供小的操作系统,最终情况是给他们成立一个合作公司,可能也就是这两天刚刚宣布的。
最上面是对安全级别非常高的应用,下面是对电子钱包啊,基于网页的支付和运营商比较关注的用户管理。还有就是说在国外的话,他们关心的是我能不能以手机作为新的移动终端,可以来降低终端的成本,所以他们考虑用这样一个平台,加上GE来做POS机。包括企业级的应用,原来说我们企业要保证性,我需要一个专用终端,现在更多的用户有自己的iPad,有自己的手机,我怎么样用用户的编写接入我比较高的企业后台服务,这需要有一个很好的安全的解决方案。
当然还有一部分是关于内容保护的部分,这部分也是Trustzone在海外市场被用得最多的,真正大量商用的。谷歌现在在他的移动商店里面做高清的内容的保护,都是做这种ARM方式,就是基于硬件ARM。我这里介绍一下基于Trustzone的可执行的概念,最底层两江我们这里有一个硬件的独立的KEY这是整个链上最基础的东西。我们支持安全的启动。我作为一个可信环境,我怎么样保证我的安全性。首先你在硬件上有一个安全的架构,第二个就是说你要系统性的安全性,你从整个的软件系统的时候,你要保证他的安全性,但是在更上面,我有一个非常小的,被认证的可信的执行环境,就是说我是底层的硬件加上一个可信的操作系统,然后再上面是我们需要做这种对安全性比较敏感的可信的应用和服务。当然,我前面也讲过了,这个核心是我们要用硬件来隔离这些内容服务,和安卓这种开放系统下有可能发生这种恶意软件运行的环境完全隔离起来。其实大家看图的话,就是说我简单的比较,非常像一个安全芯片嵌入到手机的应用处理器里面,大家熟悉智能卡的架构的话,底层的硬件,上面一个小的,再上面是智能卡的应用。这样的话会带来很多的好处。
就是说我刚才提到了系统级的安全性,大家现在在智能手机里面有很多的方案,比如说做IFC的技术,我做一些所谓的SE,我基于SIM卡的方案,这些解决方案是一个安全性。就是说我或者保护了帐户的安全,但是他的核心问题和开放系统下的应用是什么样的关心。对终端的外设有没有控制权,你怎么样保证你用户输入的这些密码或者是信息是一个安全的东西。现有的系统我觉得最大的问题是在这,是一个单点的安全性,我没有系统级的防护。所以我们今天也介绍一下这一块。
首先你要有一个硬件的,当然这个是你有独立的硬件的支持,在这个上面我有一个安全的,可信的启动,当然包括我刚刚提到的,对外设有一个安全的控制。就是说你能隔离安全模式对外设的访问下的时候,你能隔离开放模式下的访问。这对于你做这种可信的输入和输出是非常重要的。最后一部分是上面的这些应用,如果你在智能终端环境下你要考虑的,不光是可信环境下,你要考虑你的应用跟开放环境下的应用的关系,因为我们一般的客户端在开放的环境下。当然还有你要做这种支付或者是其他服务的话还要牵扯到通过网络跟你的云端,跟你的后台之间的交互关系。
所以我提到了系统的安全性,就是说不光是基于硬件的可信的环境。还有跟后台的整个交互的通道的安全性。当然这是我们前面也提到了,GP下面的,我们在做这样的一个标准化的东西。这个架构我们前面也看到了,主要是做两个标准,这是可执行环境下的标准,还有在安卓开放性环境下的客户端的标准。这其实是ARM和合作伙伴,包括刚刚提到的一些运营商,在GP下面我们其实希望做到的,这个安全平台,因为ARM本身在移动终端的市场占有率,我们希望在芯片上提供安全硬件之后再形成TE的安全平台。同时我们在标准化之后我们的合作伙伴就可以在这个平台上来做多种应用的开放。我可以做DRM做移动的支付,包括和企业级的应用等等提到的东西,这样的话可以简化开发者平台的通用性,可以使得大家更好的跟这个服务商去做这种认证,或者是说后面会提到的,我们会简化这个过程。
当然,GP下的标准化的进展,大家可以在GP的网站上去看到1.0的标准已经出了。但是现在今年年底前我们会做输入输出的安全隔离和开放环境的隔离,包括远程的可信环境,包括对于这种接入管理的可信,接入管理的这种访问的管理。当然还有一部分就是说要做兼容性的测试,也是希望在今年四季度结束。有一个认证的工作组,关于SOC的认证,硬件的认证,还有包括你这个安全的启动的路径。包括对于刚才我们提到了,像SOS的认证。
前面我也提到了,在合资公司成立之前,基本上已经商用的技术。
我们要讲到关于可信和安全,刚才我提到了很多这个方面的内容,提到了很多像国民技术也介绍了,他们做的是SE这一部分,是芯片的部分。这两者的区别是什么?我们基于Trustzone的可信的执行环境,我主要是防护的是恶意软件的攻击,而不是说这种破坏性的物理攻击。就是说我把这个芯片抛开,我去里面分析存储的数据等等的东西。当然这是一个基于硬件的恶意软件的防护的手段。当然这里面在终端上用的话,很重要的是说你和开放环境下的快速切换和数据交互来做的,当然刚刚我也提到了包括输入输出设备对于外设的控制,在安全模式和可信的工作环境和这种开放环境下的形成对外设的隔离,这是一个关键的东西。
关于安全的执行环境,我刚才也说了,是基于这种安全芯片,或者是说现有的兼容卡芯片,主要做的事情是有特殊的工艺,能够保护账号的安全。我们用户的,比如说银行的账号,或者是说我运营商的SIM卡这种类似的,我有特殊的防护手段来防护这种破坏性的物理攻击。
当然我和运营商讨论这个问题,很多运营商说你们为什么不把SE直接做在手机芯片,这样的话我所有的东西都满足了。我又能够保护防护物理攻击和软件攻击,当然这里是说有一些差异的。因为我也和运营商做解释,手机的芯片使用的工艺和安全芯片使用工艺是不一样的。ARM对SE部分,我们说SC系列的芯片来支持,像做银行金融卡的应用。这一块是说工艺上是有差异的,你要把这两个芯片集成在在一起是非常困难的。大家知道做卡的工艺里面还有一定的限制。而且在安全防护服上面有特殊的工艺,和替代新芯片是不一样的。我们前面可以看到一个好方案,一个安全的方案,我们系统级的防护和TE结合来用。
讲到这里有很多人有问题,你这个TE到底在手机平台上哪些平台能支持,到底是什么情况?我们像现在的是S4系列,包括三星的4系列的芯片和TI的4系列的芯片。所以我们跟芯片厂商了解他们的计划,这是我们看到整个的移动终端这部分,对于当然不光是手机了,还有平板,包括家庭这部分的应用。这个上面的建设情况。就是说现在这个点上,基本上接近六亿的终端支持七亿,有2015年会超过十亿,所以平台本身的覆盖率会非常好。这里前面我们提到了很多,我们基于这样一个平台,希望保护的高价值的应用。包括内容和云端的服务的结合,通道的安全性,还有对移动支付和银行非常关键的,对于你输入的保护。还有网页的支付或者是LC或者是移动POS机的应用都需要一个系统级的应用。
很多是类似的对于身份的管理和用户隐私的保护等等的应用。我们下面就举一下例子,如果在PC上大家很多人有这种支付的经验,在PC的互联网上我们做一个支付的话首先要登记一个账号然后输入一个地址和卡的详细信息和健全。大家看到基本上完成一个支付需要两分多钟,同时需要有120多次的键盘的输入,在手机平台上采用TE技术的话,基本上是有选择的地址,然后输入一个几位的聘码进行保护基本上通过六次的键盘输入,八秒钟就可以完成输入。通过我们的各种展出,为什么关注应用的支付的便利性,如果跟这些人交流的话,他们会说发展移动支付最重要的是用户必须非常快速的,如果多加一步就可能损失掉百分之几十的用户,因为他们希望在平台上支付很多,你的支付越复杂,用的人越少。这对我们这些方案的启动商来讲,我的技术解决方案来解决这些问题。而是用消费者用最简单的办法来完成支付。
当然这个内容保护部分,我们今天也有相关行业的同事在,对于ARM之前和好莱坞很多的内容提供商也有很多次的交流,他们对高清的保护是非常关注的,他要求所有的这种能够访问他的高清内容的设备,必须支持基于硬件的DRM,这里面也列出了我们很多的合作伙伴,他们在DRM方面有自己的解决方案,都是基于我们的技术来做的。企业级的部分,现在大家很多公司用专有的设备,比如说门禁来作为我用户身份的关系。当然这个事本身的成本是很高的,而且用起来也需要不在携带其他的设备。基于Trustzone刚才介绍了企业级应用的解决方案,可以在手机上解决这个问题,不需要人工另外携带一个终端设备。
同时,我们上午大家也提到了很多关于操作系统的安全性。其实微软在他的Windows8上,他上面的可行计算2.0,实际上是基于Trustzone来实现的。微软的网站有一个PPT专门介绍Windows8的安全性,大家看到这里的截图是从他上面来。微软主要是用我们前面介绍过的内容,我的可信的启动过程,包括对于存储和认证,都是基于Trustzone的解决方案来做的。前面提到了很多ARM怎么样帮助合作伙伴来基于Trustzone来做这个安全的解决方案,我们有一个Trustzone的计划来协助我们的厂商,他会有什么好处。因为我们客户是芯片厂商,我们很多手机的芯片厂商对做安全的东西是没有积累和概念的。他们不知道真正的最终的服务提供商对于安全的需求是什么?所以我们帮助他们,给他们很多文档,包括给他们清单,让他们检查自己的芯片设计中是不是满足应用和服务商的需求。这样的话会帮助我们的客户和合作伙伴减少开发的时间,他可以快速上市。同时我们也跟一些认真商去合作,对于底层的TE这部分我们先去做认证,然后我们合作伙伴再去认证的是Trustzone这部分,你只认证你改的这部分,跟我们一样的部分,不需要重复的认证,这样的话是节省了时间和费用。也增加了自己的机会。
前面其实我也提到了ARM去跟最终的服务商去交流,他去理解服务商的要求,然后我们把这些信息也带给我们的芯片平台的合作厂商。我们会帮助芯片的厂商在实现的时候,我们会帮助他做这种设计方面的检查等等。帮助他们来集成TE的环境和对于API的要求。
这个有两个作用,一个是提供给芯片厂商检查他的芯片设计是否正确。另外一个作用是我们跟服务商合作,跟产业界的认证的厂商合作。其实ARM把这些芯片安全相关的文档提供给认证机构,其实就是芯片厂商拿到这个Trustzone,我们帮芯片厂商和认证厂商去实现,这样的话满足我们刚刚提到的认证,然后厂商再去认证的时候,跟我们一样的部分需要再去认证的。
这部分我们前面提到了怎么样帮助芯片厂商正确设计安全的设计。这张图我想介绍一下我们在芯片的架构里面是怎么样实现这部分的安全相关的东西的。大家看这张图的话,上面的筐里面是手机的SOC,但是这个蓝色部分是和安全相关的部分,我们看一下关于核心的执行环境部分,我们有可以把你的整个的启动放在手机的应用处理器里面,有独立的空间来存放。前面提到的TE,我们独立的操作系统会运行上芯片内部,所以大家看到安卓是运行在外面的,开放系统和TE的系统在硬件上是隔离的。
当然还有对于对外部分的访问隔离。另外一个部分是对于外设部分的控制,这里牵扯到现在的触摸屏和键盘的控制。你要做到当用户工作在安全模式下,你需要去控制键盘控制器和触摸屏的控制器是一个开放环境下的应用,这是我们不能访问触控屏或者是键盘的触控设备。当然还有我们做调式用的技术。
最后一部分大家可以看到这部分是做安全芯片常用的东西。这里面的架构很像,包括在芯片内的存储的空间和发生器和解决时标,做安全芯片的人会非常熟悉。
这是我们的一部分,你做Trustzone这部分的话你要支持什么,CPU部分要支持Trustzone,当然ARM是从V7下的所有的架构都支持Trustzone,我们授权的时候,就支持过芯片厂商。我们把安全模式还是开放的正常的工作模式,信息要传递给你的控制器和总线,包括存储的部分和终端控制器等等的,要把这些CPU的工作状态要传递给外设,这样的话才能保证你的系统有一个整体的隔离性。
当然我们合作伙伴怎么样来加入这个平台,ARM希望我们提供基于Trustzone的平台,我们的合作伙伴可以基于这个平台的开发,可以基于Trustzone上的应用。我们邀请很多合作伙伴加入我们Trustzone的计划我们会提供相应的文件。
当然也可以加入我们的工作组,我们可以进行标准化的工作。我们的第三方软件开发商可以和现在的新的合资公司来合作应用开发。当然我们和芯片厂商,手机厂商和服务商来建立这种基于Trustzone和TE上面的安全应用。
最后我想总结一下,大家知道移动互联网的话,核心是应用和服务,我们在这个架构下需要有一个统一的平台,各家都去等的话,最后会变成一个专用的系统。这样的话会带来一个问题,你无法形成一个生态系统。这个时候你对于开发者来讲,应用前景是很不利的,通过这样的平台的话,我们可以看到今后五年内,我们认为就是说这种安全是整个,包括芯片厂商和终端厂商来讲,一个做差异化产品的一个非常重要的,有特色的平台。
所以这样的话会带给我们合作伙伴,芯片厂商和手机厂商更多的价值。也会增加,我有一个安全的架构,消费者可以在上面用很多的新的应用,我可以去有一个安全支付环境和应用的环境。这样的话会给消费者带来一个更好的体验。最后我们也欢迎各位合作伙伴可以加入到我们的一起,来采用这个基于Trustzone的一个可信的执行环境来做我们基于移动智能终端上的安全解决方案。我要分享的内容就是这些,谢谢大家。
