我们知道TEE技术不是纯软件的安全架构，实际上是承载在一个应用处理器上隔离的硬件体系架构。GlobalPlatform于2009 年开始进行TEE 相关技术规范的制定， 目前已经发布了多个TEE API技术规范，在GlobalPlatofrm网站上可以免费下载。其次，TEE技术提供了对智能终端的敏感资源（如，人机接口，存储器，指纹接口等）的访问权限的设计，指纹接口目前正在GlobalPlatform的终端技术委员会通过API的形式加以定义，方便开发者使用。

所以我们看到，今天的移动应用开发环境，不再是单一的开放式OS的环境，它实际上包括三层：最底层是一个既具备硬件防篡改性，同时具备软件的安全加密保护能力，即，我们正在使用的安全单元，包括银行卡， SIM卡等， 是最高安全级别，能够达到EAL4+。所以，当手机钱包承载在一个高安全级别的载体上时，它的安全性得到一定的保障，用户在使用手机钱包的时候会比较放心。

中间层，就是我们称作可信执行环境（TEE）的级别，具备一定的硬件保护能力，同时在对比最底层安全单元这个级别，它的成本要低得多，不具备硬件防可篡改性， 是一个较为低成本的安全架构。目前， TEE安全级别初步定义在EAL2 或EAL3的级别上，当然有的技术领域，如DRM内容保护领域，有的内容提供商希望较高安全级别， 如EAL3.0以上，才能放心把内下载到你的平台上。

而开放式操作系统层，只有软件保护能力，安全保护的级别是最低的，成本也会比较低。SE和TEE层是目前GlobalPlatform的技术规范所涵盖的范围。

刚才谈到的这个智能终端的三层结构跟我们的手机钱包有什么关系呢？我们知道，我们在使用手机钱包的时候，实际上是用手机在模拟银行卡的行为，并且我们还可以通过手机终端输入PIN码，从而来确定某一些需要输入PIN码的交易，在输入密码的时候一些用户会想到我的密码会不会被一些恶意应用所盗取？今天我们的手机钱包已经承载在SE上，具备应有的安全级别，但如果手机钱包的UI的设计还在开放式操作系统架构下，就会有这样的风险； 因为手机的开放式操作系统上会承载各种各样的应用，包括恶意应用和插件。

TEE跟普通开放式的OS是隔离的，通过使用TEE Trusted UI API, 使得用户终端的显示屏，也包括键盘等外设与开放的OS也是隔离的。当手机钱包承载在TEE上面，那么大家想一下，实际这样的手机钱包，减少了被装载在开放式OS里的恶意应用被攻击的概率，因为它与开放的OS是隔离的，所以你可以放心输入你的密码，然后进行较大额度的交易，当然小额度的我们甚至都不用输入密码，直接就刷过去了，这取决于用户需求。

另外我们可以看到，智能终端作为读卡器，可以承载更多的认证手段，这里有个例子，终端作为读卡器可以打开一个与智能卡的安全通道，通过终端上承载的TEE跟SE建立安全通道，由于TEE的隔离度，这种智能终端可以在完成EMV CAP认证时生成双因素OTP密码，而减少被攻击的概率。

实际上，手机钱包的部署已经不是一个简单的钱包问题，而是一个很复杂的多层结构。在这个多层结构中，SE和TEE始终处于中间的位置，TSM服务器与SE和TEE建立安全通道，完成应用管理，他们有很高的安全级别。GlobalPlatform已经定义了 端到端的系统消息和技术规范，来保证这些TSM能够跟SE和TEE上的安全域进行对话和管理，包括远程发卡，下载，安装，个人化等的操作。

与此同时我们注意到，由于TEE的采用，承载在智能终端上的TEE也会和现有的SE有一定的接口，由此保证了用户的业务安全性。如果业务提供商能够遵循这样的一套规范，就可以实现端对端的安全体系架构。

具体如何实现互联互通呢？仅有规范是不够的，我们看到，为了实现不同业务提供商之间的互联互通，包括零售业、电信运营商、金融领域、交通领域，需要端对端的一致性测试，包括卡片及其配置的一致性测试。在GlobalPlatform的规范里面，有针对UICC的配置，同时还具备非接的扩展，也有金融领域的一些配置（BFC）和ID卡等相关配置。GlobalPlatform目前正在定义的，包括有一个叫公共实现配置（Common Implementation Configuration）。有关TEE的部分，GP已经发布了TEE最初的配置以及TEE Protection Profile, 这些技术规范，大家也可以在GlobalPlatform网站下载查看。TEE Protection Profile将成为TEE安全认证的一个基础。