移动电子商务需求与挑战

移动手机所到之处可以不再需要钱包、卡等。现在很多移动应用apps支持手机支付功能，如支付宝可以通过在超市进行手机直接扫码支付。但是这些apps的安全如何保证？安全也是很多用户不敢使用的原因。特别是随着支付的场景变得越来越多和复杂，如坐车、喝咖啡、逛商店、超市购物等，必须保证你手机支付环境的可信。

所有商业活动的最终行为都体现在一个字上面，即Checkout，包含付款的意思。checkout最早在1933年开始使用，当时随着商店开始变大，商家并不信任消费者，通过雇用职员来对消费者进行checkout，以保证他们确实能够付款。Checkout已经流行了几十年，随着互联网的发展，是不是应该作出改变了？无论在网上、大街上或者任何商业区，购物应该有更加快速、简单、方便的方法。

线下看好商品，线上支付，让消费者享受看到线下的实物，同时享受线上的价格和方便的支付方法，这或许会是今后一段时间移动购物的趋势。小的商家如何保证支付平台的安全。如果商家能够识别用户，可以有利于分析消费者群体及其购物习惯，但同时用户又比较关心自己隐私信息的泄露。手机支付应该比纸币、银行卡刷卡支付方式在隐私性、安全性、方便性、相关性等各个方面提供更好的解决方案。提供一个简单、安全、快速和可靠的支付app，使得无论线上支付或者线下购物都能满足支付要求。

移动运营商、设备制造商、芯片制造商、操作系统厂商、广告商、银行、支付机制、信誉机制、商家、终端用户等，面对不同的利益相关者和需求，移动商务可能导致大规模复杂的业务动态。在这些商业之间找到共同点是非常困难的，使得移动商务发展比较缓慢。不过，移动领域一些共通的安全技术问题是需要指出的：

（1）用户认证。认证是为了确定注册过的人或者设备正在访问系统，通常的三类认证因子包含：你拥有什么（What you have）、你知道什么（What you know）和你是什么（What you are）。只要结合其中两类认证因子就可以达到强认证（Strong Authentication）的效果，通常称为双因子认证（Two Factor Authentication，2FA）。安全令牌（如智能卡、U盾）属于What you have，实际使用中人们不可能随身携带这些安全令牌，而且不同的服务都出示不同的安全令牌，也是很不方便的一种形式。密码口令passwords等属于What you know，但是跨不同的站点，往往要记住多个不同的密码是很困难的，特别是密码还要定期修改。生物特征（如指纹、虹膜等）属于What you are，你确实是随身携带这些安全特征的，但生物特征通常很难撤销，而且也无法等同你的身份，采取生物特征还会影响用户的隐私。

（2）身份管理。你的身份通常取决于谁在要求这种身份信息，如对于你父母，你是子女；对于国家，你是子民；对于公司，你是员工；你的朋友联系你可以通过Facebook、QQ、微信等；你的商业伙伴联系可能通过LinkedIn、电子邮件等......所有这些身份都是描述两个实体之间的关系，将这些身份信息保持相互隔离很非常重要的，例如你可能不希望你的上司或者商业伙伴去骚扰你的父母家人，一个商家没必要知道你的QQ、手机等信息，只需要知道你是一个合法的服务对象即可。隔离身份信息对于维护个人隐私是至关重要的，哪些事件与你的哪个身份关联，应该主要由用户决定，不能让第三方侵犯用户的私人生活。

（3）隐私。在这个世界上，你以为自己有隐私，实际上你的隐私都控制在他人手中。斯诺登Snowden很好的证明了这一点。你所使用和访问的安全系统（如微软、谷歌等），表面上声称维护隐私，实际上一直在被监视。侵犯隐私当然会影响人们的生活，如层出不穷的艳照门事件就是隐私信息被泄露了，发生在谁身上都无法接受。你唯一能选择的措施是隔离和保护自己的身份，防止任何恶意方的各种非预期的阴谋。大数据的兴起就更加危险了，你的各种数字指纹还不知道已经被记录在哪个数据库中了。不联网就不用担心安全隐私了吗？还有U盘等各种外设接口，还有内部人员泄露等各种防不胜防的攻击存在。

（4）数据库漏洞。通常数据库越大，其商业价值应该也就越高。数据库会记录你的购买历史、购买偏好，以及存储你的各种支付数据。正因为如此，这些数据库很容易成为攻击的目标，攻击者对这一块更加感兴趣。CSDN数据库的泄密，各大酒店开房信息的泄密等，这些泄露的数据库在地下都是可以销售而且价值不菲。特别是为了方便，很多用户喜欢在不同网站使用相同的用户名和密码，泄露一个，其它也无法保全。脆弱的数据库实际上失去的是用户的信任。

（5）恶意软件。开心农场、愤怒的小鸟、Flappy Bird、2048、植物大战僵尸等，每一个热门的游戏都会成为恶意应用开发者的目标，可以在应用apps里面植入木马，植入的木马就可以在手机上为所欲为了，获取你的通信记录、短信，获取你的支付信息、邮件等。随着移动支付app使用的增长，恶意软件会更具威胁性。魔高一尺道高一丈，纯软件的保护方法就在比软件编程能力了，谁都无法保证能杀掉所有恶意软件，特别是现在各种apps泛滥成灾的今天。

五个技术标准

今天，你的口袋充满了前所未有的处理能力和连通性。你的智能手机拥有8核处理器，拥有4G、WiFI、GPS、蓝牙以及NFC等通信方式都是很平常的事情。你可以武装你的智能设备，让其更加可信，武装的软硬件安全特征可以包括：安全启动secure boot，可信执行环境TEE（如ARM TrustZone），安全元素Secure Element（如各种智能卡），虚拟技术hypervisors，以及各种主机OS上本身就存在的安全特征。

Trustonic介绍了五个技术标准，可以将简单、快速、安全的支付带个任何环境。这五个技术标准分别为iBeacons，FIDO，Tokenization，Host Card Emulation，TEE（Trusted Execution Environments）。

（1）低功耗蓝牙- Beacon技术。苹果主要使用该技术iBeacon，全球大部分iOS设备与之兼容，主要用于室内交互，如进行室内导航、移动支付、店内导购、人流分析等。如果说Checkout是一个低可信的模式，那么高可信的模式就应该是Checkin。ibeacon可以精确的将信号广播给室内的智能手机，这一点是室外GPS信号无法达到的。如果你是一个常客，Checkin之后，你会搜到基于位置的各种信息，如新的产品、打折信息等。放心，只有授权的手机apps才能对beacon广播的信息进行响应，商家肯定不希望竞争者或者犯罪分子来获取其客户的购物习惯等信息。Beacon消息会包含随机值，并且可以被加密，只有关联的app能解密消息，密钥的保护就非常关键。

（1） FIDO认证。FIDO联盟的任务就是使用强密码技术凭证来减少对传统用户名和Passwords的依靠。FIDO的通用认证框架提供了一个标准协议，让多个不同的服务可以使用相同的认证硬件令牌，这样给用户带来便利性，不用针对每个服务商都带一个不同的硬件令牌。每个服务使用相同的硬件令牌，但是使用不同的密钥来维护隔离和隐私；即便一个服务商的用户数据库丢失，攻击者也无法访问服务。数据库只存储公钥，攻击者无法得到你的硬件令牌和私钥，也就无法访问服务。智能手机存在各种传感器（结合生物特征更加方便），可以用作硬件令牌，融入到FIDO框架中。FIDO联盟也在构建交易确认机制的标准，通过可信显示技术来确认你的意图，达到“what you see is what you sign”。

（3）HCE NFC近域通信。非接触式支付的方式正在增长，这种方式的设备通常称为NFC智能手机，即智能手机上拥有NFC接口。NFC标准在2002年就已经开发出来，然而发展一直比较受阻，主要是其缺少进入商业模式达成商业协议的能力。最重要的一个障碍是安全元素SE（Secure Element），SE是智能手机中比较昂贵的，可以离线长期安全存储私密密钥，属于稀缺资源。不过为了让移动apps在一个SE手机上使用，需要一个可信服务管理器（Trusted Service Manager，TSM）配合一起工作。这并不是很多服务提供商想要的方式，因为SE、TSM都掌握在其发行者手中。HCE（Host Card Emulation）跨越了TSMs和SEs，其不用依赖SE，就可以让智能手机模拟出一个非接触式卡片，不过为apps提供的安全性也要低一些。实际银行卡的有效期可能很长（如签发后两三年还可以使用），不过智能手机的一个支付app不需要这么长，需要与安全性一起进行权衡。HCE在银行服务器涉及一些处理技巧，使得支付终端可以直接发送数据而不用更新已经部署的支付终端。这个处理技巧为Tokenization。

（4）Tokenization。国际芯片卡标准化组织EMVCo定义了智能卡支付，也定义了一个Token（即令牌），在实际卡应用中作为代用品。商家可以使用同样的方式处理卡和令牌，这意味着没有必要改变已经部署和安装的PoS（Point of Sale）终端。这种巧妙的处理通过一个令牌服务提供商TSP（Token Service Provider）进行，TSP拥有实际的卡信息。签发令牌Tokens时，可以灵活的作出一些限制，如只能供一些特定的商家使用、只能在线使用、只能线下使用，还可以对令牌的值、时间和地点作出限制，如根据设备的安全等级来确定其有效时间。必要时，令牌可以销毁和重新签发。Tokens解决方法可以保证与已有的基础设施兼容，节省开支。和HCE一起工作，令牌可以解决可用性的问题，当移动网络不稳定时，令牌本地存储在移动手机上，可以离线的进行支付。EMVCo支付令牌规范技术框架v1.0提供了在设备上进行令牌安全存储的例子，例如可以存放在一个可信执行环境TEE中。另外，令牌可以通过任何通道进行使用，如NFC HCE、网络交易以及蓝牙Beacons，因此该技术不只限于PoS终端。

上面介绍的所有四种技术都要求在移动设备上保证安全和可信，一个TEE平台可以达到这一点。

（5）可信执行环境TEE。GlobalPlatform（GP）提供基于安全芯片技术的应用管理标准，由主流的网络运营商、支付服务、技术提供商提供支持，实现智能连接设备行业。GP的一个重要输出是其可信执行环境TEE（Trusted Execution Environment）。TEE的目的是将高安全敏感的应用与通用的软件环境进行隔离，安全地提供访问硬件资源（如安全存储、安全显示和用户接口等）的能力。TEE为所有的其它标准提供安全支撑，可以加快移动商务的发展速度。

Trustonic解决方案

Trustonic是TEE技术的领先供应商，<t-base是Trustonic提供的TEE解决方案，可以嵌入到移动设备的处理器中，供其它服务提供商通过开放的方式访问现有的高级安全特征。Trustonic将可信服务紧密的连接到可信设备上，如下图所示：

芯片制造商可以集成t-base TEE，为PIN码、指纹和证书等提供隔离和保护，防止来自主操作系统环境的威胁。t-base使用ARM TrustZone安全隔离特征（目前SoC处理器中已经存在），并使用微内核和安全域隔离来保证可信apps的隔离。Trustonic为领先的芯片制造商提供集成的服务和支持，供应智能连接设备市场。

设备制造商在生产线上设置Trustonic t-kph密钥配置主机系统（t-kph Key Provisioning Host system）。Trustonic为每个设备的每个t-base TEE创建一个信任根（root of trust），并同步记录到Trustonic的t-sek目录中。

安全应用开发者使用Trustonic提供的t-sdk软件开发工具包（可以通过Trustonic t-dev开发者计划获得）创建可信apps，可以运行在t-base中。

服务提供商通过Trustonic的t-sek服务许可工具包（Service Enablement Kit）连接到t-base内的安全域，t-sek可以授权部署应用到安全域。

t-base的用户认证：TEE的能力之一是可以安全连接外设，可以保护用户的输入，如FIDO的UAF认证子（触屏或者指纹传感器）。通过触屏可以输入用户PIN码，通过可信用户接口进行。生物认证可以作为另外一个认证因子，TEE可以安全存储一个注册的指纹信息，并在可信环境中进行指纹的匹配。随着技术的发展，TEE还可以保护更多的认证因子。

t-base的安全存储：软件保护容易被攻破，需要使用一个基于硬件的信任根来保护设备上的敏感资产。硬件信任根只能通过TEE访问，用来加密存储在其它大规模存储设备上的敏感数据。硬件信任根不会在TEE之外被访问，如主机OS就无法获取访问硬件信任根的接口。其可以存储临时的授权令牌或者存储用于解密beacon消息的密钥。这些主要靠t-base TEE保护设备上的密钥。

t-base的安全通信：使用一个安全存储的密钥，一个可信app可以构建和云服务的一个可靠安全的连接，也可以构建与本地设备（如安全元素SE）之间的一个安全通道。TEE保护建立这些安全连接的私钥、秘密密钥和随机数生成器，可以和任何终端设备构建安全连接。

t-base的安全显示：通过控制对显示驱动外设的访问，TEE能够在设备上安全的显示数据。TEE隔离显示缓存和信息，使得其不会被主机OS篡改，真正达到“what you see is what you sign”。