第二代骁龙7+特性解析
第二代骁龙7+移动平台在安全方面的特性源自骁龙8系旗舰,手机厂商与芯片厂商共同搭建了一套相当完整的安全策略,即便手机丢失,也不会导致其中存储的个人支付信息泄露。
上周发布的第二代骁龙7+移动平台,性能表现得了个满堂彩,拥有与骁龙8+移动平台同宗同源的架构和工艺,甚至被大家称为锁频版骁龙8+。
在第二代骁龙7+移动平台的诸多优秀特性中,安全方面的重要性往往容易被低估,但作为骁龙六大创新矩阵中的一环,安全方面的表现不应该被忽视。毕竟现在手机中存储的个人敏感信息纷繁复杂,指纹、人脸、密码等信息如果遭到泄露,造成的损失将是无法估量的。除此之外,各种便捷的手机支付方式,也需要手机提供安全的支付环境。
不用太过担心,第二代骁龙7+移动平台在安全方面的特性源自骁龙8系旗舰,手机厂商与芯片厂商共同搭建了一套相当完整的安全策略,即便手机丢失,也不会导致其中存储的个人支付信息泄露。
第二代骁龙7+移动平台在安全方面,提供了TME信任管理引擎、TEE高通可信执行环境、HEE高通Hypervisor执行环境的特性支持,通过了Android Ready SE认证,具有了金融级别的安全环境。
高通所提供的这些安全特性理解起来并不难。TME信任管理引擎是为手机建立一个安全可靠的支付环境。我们手机所使用的是Android系统,所有的软件都要运行在Android系统内核上,TME信任管理引擎确保的是支付软件所运行系统的可靠性,通俗一点就是检查Android系统中是否有被篡改、被加载了恶意代码等损害用户安全的行为。
为此,第二代骁龙7+移动平台提供了基于硬件且不对外开放的信任根,它是一个不可变的过程或身份,用作信任链中的第一个实体,能够确保系统最先加载的代码是安全可靠的,并基于这点建立起后续安全可靠的信任链,来保证支付环境的安全。
信任管理引擎是基于硬件所搭建的,因此可以防止设备克隆、加载未经授权的固件以及加载恶意软件等危险行为。即使我们的手机不小心丢失,手机内的信息也不会被外人获取。比如手机丢失后,无法通过技术手段跳过开机密码、锁屏指纹、人脸验证环节,无法直接读取手机存储信息,甚至将手机的存储芯片焊下来,放再其它设备中也无法读取。从而让手机丢失后,可以方便找回,并且杜绝隐私信息泄露。
TEE高通可信执行环境,则是基于骁龙移动平台,在芯片内部构建一个独立的安全区域来存储指纹、密码信息,而且可以进行独立隔离的验证。它确保的是验证环节的绝对独立,外界完全无法获知密码信息,只能得知验证结果。此前,荣耀Magic4系列就通过TEE高通可信执行环境+荣耀可信执行环境,成为首个支持双TEE系统的智能手机之一,能够保护和隔离敏感信息,实现端到端的用户信息安全保障。
这里我们简单陈述一下TEE高通可信执行环境的验证流程。首先,我们的指纹、人脸、密码数据会存储在芯片中的一块独立安全区域中,这个区域拥有独立的内存、存储介质、加密/解密逻辑电路、处理器以及软件系统等,与外界系统完全独立。比如我们在应用支付中需要进行密码验证时,系统会在应用与TEE环境之间建立专用安全传输通道,在应用中所输入的验证信息,会直接传输到安全区域中,与之存储的信息进行比对,之后TEE会将对比结果反馈给应用,应用只能获知验证通过或是验证不通过,无法获知准确的密码信息。同时安全传输通道,也不允许其它应用介入,因此整个验证过程中,应用只获得验证结果,不涉及具体的私密信息,从根源上就杜绝了用户信息泄露的可能性。
TEE高通可信执行环境同样是基于硬件所打造的,它与设备绑定,即便将芯片取下也无法破解。
HEE高通Hypervisor执行环境,可以为每个单独的应用提供独立的系统资源,它是一种软硬结合的安全特性。比如某应用需要进行人脸扫描,那么就会划分出一块独立的内存区域来进行相关数据处理,与系统使用的内存隔离。其它应用需要使用指纹信息时,同样再次隔离出一块单独的内存区域,该应用的指纹信息处理也只会在此区域中单独处理。也就是说,高通Hypervisor执行环境以软件虚拟的方式,获得了硬件级别的安全防护效果。
第二代骁龙7+移动平台所支持的上述安全特性,以往是只存在于骁龙8系旗舰平台中的,此次下沉意味着大量的中端机型将具备旗舰级别的防护能力。
手机目前已经占据了我们几乎所有的支付行为,未来手机还会涉及到数字车钥匙、电子护照、数字货币等使用方式,因此手机的安全措施需求是在不断升高的。拥有与旗舰比肩安全能力的第二代骁龙7+移动平台,既能够保护我们隐私与支付的安全,也拓展了今后手机的安全功能。