通信世界网消息(CWW)2018年1月17日,“2018中国移动支付年会”在北京召开。本届年会以“创新驱动 移动支付 借风出海”为主题,重点聚焦一带一路战略下,我国移动支付的发展新机遇及技术融合下,金融科技为支付行业带来的创新变革,深化国际交流与合作,提高我国移动支付行业全球化发展的竞争力。中国银联电子支付研究院智能卡与终端室主管郭伟做了《移动支付可信环境打造与应用》的主题演讲。
演讲如下:
郭伟:各位嘉宾上午好!首先感谢组委会给银联这个机会,让大家介绍一下银联在移动支付安全环境打造和应用方面的一些情况。刚才杨主任和孙总是从宏观和银行的角度来介绍了一下情况,我们作为电子支付研究院更多的是从技术的角度给大家报告一下我们的一些思考,还有一些实践。
支付终端最早大家印象是POS机、ATM机封闭的环境,它应该说属于安全行业中的一种类型,它遵循着安全生态的一些特点,因为刚才讲的封闭性、安全性很高,需要有标准,有检测认证,它这个升级比较慢,因为安全的实现成本和运营成本都是很高的,如果频繁的升级,产业链各方是受不了的,当然它应用也相对比较简单和固定。
另外一种终端,就是咱们看到以手机为代表的消费类的电子行业的终端,手机的特点就是作为一个消费电子的行业中的一个代表,它特点是开放性很高,系统非常复杂,相应的它的功能也是非常的丰富,并且它升级换代是比较频繁的,像安卓是经常的升级换代。而它的问题就是相应来说,因为它的行业特点造成了它在安全性方面有所薄弱,而现在随着互联网金融和移动支付为代表的金融行业开始在手机为代表的消费电子终端某种程度上产生一个矛盾,就是业务本身其实它的数据和手机提供的运行环境、安全性不足这个方面,产生了一个根本性的矛盾。当然虽然可以通过一些技术手段和一些非技术手段,在一定时期进行弥补,但是不是根本的解决办法,因为技术往往是解决问题效率最高的一种手段,也是最根本的手段。所以是不是有一种技术,或者一个方案能够使终端既开放又安全?某种意义上,把猫和老鼠,两个非常有冲突属性的东西放在一个笼子里。
我们认为经过我们将近十年的研究,我们觉得TEE是比较好的,从根本上解决刚才讲到的安全、便捷天生就矛盾的一个技术手段,TEE是三个英语单词的缩写。我们先介绍一下这个方案,介绍这个方案之前先回顾一下终端包括手机的演进历史,90年代的时候,大家用的是摩托罗拉那个大哥大,或者诺基亚为代表的功能机,功能机那时候就是打个电话、发个短信,到了1996年的时候,大家觉得功能机虽然它是个封闭的系统,很难做应用的增加,相对也比较简单,但是它的安全性还不是很强,因为那时候有盗号的问题,咱们作为电信行业很多嘉宾也很了解这个历史。当时就出现了机卡分离,出了一个叫sim卡(音)的东西,就是基于智能卡的技术来把手机中跟安全相关的东西,主要是认证迁徙到这个智能卡上,好比五角大楼是一个封闭的环境,里头还是配了保险箱,所以从整体上来讲这个方案还是比较安全的。所以说咱们金融行业很多年都是基于短信来做认证的工作,因为短信是通过封闭的手机后台跟sim卡(音)进行点对点的这么一个连接,来进行的一个认证要素的这么一个完成。
但是随着智能机的出现,手机某种意义上有点变得像农贸市场了,功能非常丰富,但是安全性就不足了,因为它有很多孔,而且管理上相对功能很严格,今天进来一个新的商户,明天出去一个旧的商户,变动也非常频繁。虽然以sim卡(音)为代表的智能卡还是有,但是如这张图画的这个例子,如果是在农贸市场来进行保险箱的操作,感觉好像还是不对,虽然保险箱本身很安全,但是保险箱的使用环境变得不安全了,比如你输密码的时候别人能看,箱子一打开之后,你能伸手取钱,别人好像也能。所以智能机由于手机操作系统本身变得复杂了、开放了,经常变动了,造成了整个终端系统的安全性是降低的比较明显。
怎么能把这个问题给解决呢?其实经过很多年的努力,现在提出了TEE方案,TEE方案在咱们现实生活中也可以找到不同的例子,先举一个例子,咱们银行的营业厅,营业厅从外面看就是一间房子,进去之后它基于硬件的隔离,分隔了两个区域,一个是比较开放的,用户友好的这么一个区域,而且功能比较丰富,既能坐,又能喝水,进进出出的,是一个丰富的环境,这叫REE。而在墙的那边是一个可信执行环境,当然这保险箱最好还是在可信的环境中进行操作,能达到它整体安全性的最高化。这张图里头反映了一个问题,就是TEE不可能独立存在,不可能一个设备上只有一个TEE,TEE就跟手掌两面一样,必须有REE才能有TEE,所以它必须成对出现。
咱们再举一个例子,我刚毕业的时候买了一间房,我这间房既当卧室又当客厅,后来我觉得安全性不是很高,我就买了一个小保险箱,但是这保险箱在同学来的时候,也能看到我的保险箱,后来我结了婚之后,我就买了一个两厅四室,在我那个卧室里头放了一个保险箱,我买房子的历程其实跟咱们现在手机这个演进的历程从安全角度是有很大的相似处的。手机现在发展到今天再往下怎么发展?前两天看手机联盟秘书长老姚的一篇文章,他说2018手机的发展趋势,最核心的趋势是安全性,手机承载越来越多安全性的业务,对手机安全性要求越来越明显。咱们刚才讲了买房子的例子,客厅是相对来说比较开放,功能比较丰富,卧室相当于这里头的TEE,卧室相对封闭,相对安全,有些卧室配保险箱,TEE+SEE可以达到最高安全的级别。
所以这里头讲到了,这两个操作系统,像安卓和TEE两个操作系统,或者说两个房间隔离性很重要,而这个TEE要求隔离性是基于硬件隔离,比如有一个可信区域,基于硬件隔离运行两个系统,硬件比软件的隔离性要强。还是举例子,我这房子既可以通过承重墙隔离,或者拉个布帘子也隔离,拉个布帘子相当于软件隔离,软件的隔离性肯定不如硬件的隔离性更好。所以说TEE的硬件基础,还是硬件行业本身进行了升级,它可以运行两个操作系统。它本质上是一种硬件虚拟化,这个不展开说了。
有了隔出的两个空间之后,在这个安卓这一侧,一般有操作系统是应用,在TEE系统这一侧也有一些服务,在终端上把跟安全相关的外设,比如指纹和智能卡由可信TEE的操作系统进行管理,这个是大概它从硬件,从外设,从服务软件的一个隔离的情况。
然后安卓这一侧一般还是通过互联网连接到开放的后台,比如选商品的时候,相对来说是比较开放的一种安全性不高的操作,而TEE通过点对点的连接,连接到安全的后台。当然一个手机上的应用,它有一部分应用可能需要运行在安卓上,这是刚才讲的选商品,等你支付的时候,系统要切换到TEE,来完成支付安全相关的操作。
下面介绍一下TEE产业链的历史和现状,TEE这个事情是将近20年前,1998年由诺基亚塞班公司和法国一个公司提出的概念,因为它这个概念需要手机的主处理器的支持,因为大家也知道ARM是嵌入式主要的提供商,所以2002年设计了可以支持这种理念的硬件芯片。而下面相应的芯片要实现这个功能,苹果从A7那个芯片开始,就知道这个TEE,还有高通的、三星半导体的。这个硬件之上要运行一个操作系统,目前操作系统种类比较繁多,有苹果的、高通的、银联的,上面有各种的服务,比如说防丢啊,这是手机厂商自己的服务,譬如身份认证等等这种相应的服务。应用它可以由版权保护、有支付的、风控的,各种各样的服务。你可以认为所有带指纹的手机,其实背后都实现了TEE的操作系统,因为指纹属于典型安全外设和安全数据给出的安全操作,应该说TEE现在已经在手机上布局了,只不过它属于有底层的后台技术,所以大家感知的不是很强烈。
而安全生态它其中有一个特点,还是要有标准的,没有标准的话,大家一是互联互通不太方便。第二检测认证也没法执行。所以这个标准,国内外大家都制定了不同层次的标准,更多是版权保护方面,还有国际组织做指纹认证的,还有蚂蚁金服、微信,更多是从支付角度,工信部是从行业角度,人民银行也制定了相应的规范,银联做的比较早,做了快十年,所以说它的规范覆盖了整个协议站,从底层的硬件到虚拟化到操作系统到基础服务层到应用层, 有了规范之后就要做相应的功能性和安全性操作。
下面介绍一下人民银行和银联规范的情况,人民银行去年用了一整年时间制定了移动终端支付可信环境的规范,银行是全程参与,经标委(音)去年12月正式发布了这个规范,这个规范也是以TEE为核心,制定了TEE方面需求类的规范,并且根据TEE和SE的不同组合,对支付终端进行了四大类、六个级别的安全定义,当然这是一个技术规范,相应的后面会有一个业务规范来相应的展开这个业务的要求。有些厂家,咱们华为的TEE操作系统据我了解已经获得了相应的检测认证。
银联作为一个企业,根据人行的需求类规范制定了实现类规范,因为我们银联做的规范比较早,2005年发布了TEI1.0规范,去年在银联技管委(音)这个平台上我们升级了TEI规范2.0,是根据人行的规范,并且我们也增加了像优盾之类应用类的规范。
这个是检测认证,咱们刚才讲的以POS机为代表的行业终端,和以手机为代表的消费电子终端,两个是完全不同的生态,有点像天上飞的和水里游的。但是现在手机上要融合在一起,这不光是技术的融合,产业上的融合,在检测方面其实也面临很大挑战,因为传统一个POS机要认证的话,时间和金钱的成本都是比较高,但是你要把这套规矩照搬到手机上来,产业链也受的了。所以我们这几年也是跟检测机构深度合作,希望在安全保障和测试效率上找到平衡,所以现在一款手机对TEE的安全检测,可以控制在几周之内。当然它有硬件和操作系统和应用的检测,各个方面,包括功能性和安全性的检测。
下面从我们银联在这几年做应用方面举几个例子,首先我们认为TEE+SE可以达到最高级别的运行环境,比如还可以支持金融、企业应用、终端管理、个人隐私、数字版权,如果原来没有TEE的话,咱们要开发一个应用的话,要么有一部分运行在安卓操作系统上或者IOS运行系统上,有一部分运行在SE,咱们现在把这个劈成三快,一块是安卓上,更多是人机交互,一部分是运行在TEE上,有一部分运行在SE的环境中。
下面举个例子,譬如我要输个密码,或者确认交易信息,这种安全相关的人机交互最好在TEE环境中进行完成,并且TEE和后台建立一个可信的安全通道,信息可以相互传递。
第二个身份认证和数字签名,很多生物特征是隐私特征,商业单位是不能大规模采集,所以以苹果tachID是在安全的环境中存储用户的隐私信息,根据比对结果再利用公私钥进行二次认证,本质上都是两步走的一个过程。
第三个设备认证,举个简单例子,如果我在安卓上获取我微博的ID号可能是木马入侵了,如果在ID上获取,这些信息通过信息脱敏和签名之后传送到后台,可以进行更有效的设备认证。
银联做的工作比较早,我们2009年就启动了研究,2012年正式启动了工作组,跟产业链一起做这个工作。我们主要是在技术创新,我们要在全球范围内提出了TEE环境中的可信虚拟化,因为TEI作为操作系统,如何在产业链中更好的推进?我们启动了一个开源项目,还有规范、检测认证、知识产权保护。刚才孙总也讲到了四方模式,其实银联是四方模式坚定的执行者,我们原来这四方模式更多是做软件清算,但是现在随着像TESE这些能力的建立,我们也基于这个TEE、SE在四方模式的框架下为银行提供服务。
我们的目标是在努力打造银行业的移动终端的安全入口。
谢谢大家!
