移动安全未来的研究方向，网上的资料很少而且很乱，搜集并总结一下与大家分享

一、TEE简介

    1，可信执行环境(TEE) 是Global Platform(GP)提出的概念。是移动设备主处理器上的一个安全区域，其可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性。TEE提供一个隔离的执行环境，提供的安全特征包含：隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。
    2，TEE是与设备上的Rich OS（通常是Android等）并存的运行环境，并且给Rich OS提供安全服务。它具有其自身的执行空间，比Rich OS的安全级别更高，但是比起安全元素（SE，通常是智能卡）的安全性要低一些。但是TEE能够满足大多数应用的安全需求。从成本上看，TEE提供了安全和成本的平衡。
    3，TEE所能访问的软硬件资源是与Rich OS分离的。TEE提供了授权安全软件（可信应用，TA）的安全执行环境，同时也保护TA的资源和数据的保密性，完整性和访问权限。为了保证TEE本身的可信根，TEE在安全启动过程中是要通过验证并且与Rich OS隔离的。在TEE中，每个TA是相互独立的，而且在未授权的情况下不能互相访问。

二、TEE的位置

    1，当前的很多安全架构还是基于Rich OS + SE的方式，其实这在方便程度和成本上都不能提供“刚刚好”的契合。因为某些小额的支付，DRM，企业VPN等，所需要的安全保护强度并不高，还不需要一个单独的SE来保护，但是又不能直接放在Rich OS中，因为后者的开放性使其很容易被攻击。所以对于这类应用，TEE则提供了合适的保护强度，并且平衡了成本和易开发性。
    2，表格
  模式  抗攻击性  访问控制性  用户界面  开发难易程度  处理速度  备注
  Rich OS  最低          最多          最丰富  最容易          快           /
  TEE    中等    中等     中等     中等             快       /
  SE     最高     最少     无能为力  最难            慢  物理上可移除

三、TEE的用途

         1，内容保护机制（Premium content protection）：智能手机和电视等的一些高质量内容需要保护，如高清视频、高清电影等，这些内容越接近发布时价值越高，但是这些内容又容易被盗版使用，使用TEE可以在各种移动设备上保护这些高价值的内容，如使用TEE加密保护和传送，只有拥有特定密钥的TEE环境才能解密使用这些内容。
         2，移动金融服务：随着移动电子商务的飞速发展，更多更强的移动安全标准是需要的。如移动电子钱包、P2P支付、NFC支付、使用移动设备作为PoS机等应用都属于移动金融领域。通过与NFC以及安全元素SEs等合作，TEE可以保证移动设备的安全性，消费者可以在其设备的安全可信环境中放心的执行任何金融交易。为了与用户进行友好的交互，TEE还可以提供可信GUI用户接口，供用户验证TEE环境。
        3， 认证：TEE本身可以作为一个天然的ID，如面部识别、指纹传感器和声音授权等，比PIN码和passwords形式更加安全。一般基于TEE的认证可以划分为三个步骤：提取一个镜像（例如扫描一个指纹或者捕获一个声音样本）；在设备TEE存储一个参考模板，供与提取的镜像对比；TEE的一个匹配引擎用于对比镜像和模板，进行身份认证。由此可见，TEE是存储匹配引擎以及认证用户的相关进程的一个理想空间，其可以与移动设备的主OS相互隔离，保证安全运行。FIDO联盟正在和GlobalPlatform合作，一起制定使用TEE作为天然ID实现的规范。
        4， 企业和政府：政府和企业可以使用TEE，在移动设备上进行机密信息的处理。可以防止移动OS的软件攻击，以及控制对机密信息的访问权限。这样，政府和企业可以让雇员使用他们自己的移动设备（满足BYOD），不过需要保证机密信息和操作的处理在安全可信的TEE环境中进行。

四、TEE的安全

1，TrustZone架构是ARM系统化设计出来的，对于硬件安全威胁，ARM在架构设计上使其攻击更加困难，相应的代价也更高一些；而对于软件安全威胁，也不再是一场取得操作系统root权限的游戏了，而是把Rich OS和TEE的执行空间和资源分离，除非TEE本身有漏洞，或者TA包含恶意代码，否则软件攻击也会非常困难。当然，TEE本身应当是通过一定级别的认证（EAL2或EAL3，特殊行业应用EAL4及以上），而TA也肯定是需要相应机构的认证和签名才能部署到设备上去的。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课