“年輕人不應(yīng)買入安然無虞的股票?！?/p>

讓·科克托用這句話描述了他對(duì)年輕人的定義：不桎梏于一方樂土的冒險(xiǎn)者，面對(duì)疑惑與未知的勇氣才是他們最應(yīng)珍惜的特質(zhì)。但與這份期望相反的是，當(dāng)下年輕人對(duì)世界的變化卻有著愈發(fā)保守的傾向——特別是智能手機(jī)普及的近十年來，最初極客遍地刷機(jī)蔚然成風(fēng)的景象早已杳然，愈來愈多的年輕用戶對(duì)手機(jī)的熱情消解為一片冰冷的不信任感，基于“恐懼”的不信任。這份恐懼一方面來源于本地隱私的門戶大開，朋友圈廣告精準(zhǔn)命中、升降攝像頭莫名開啟、一單單外賣中悄然無聲的大數(shù)據(jù)殺熟、電商軟件語音竊聽的都市傳說……；另一方面手機(jī)上傳至云端的數(shù)據(jù)也岌岌可危，迄今雅虎還以30億賬戶信息泄露保持著全球最大規(guī)模數(shù)據(jù)泄露的“桂冠”，其他諸如5.4億Facebook紀(jì)錄、5億萬豪酒店客戶數(shù)據(jù)、3.3億Twtter用戶密碼泄露也屢見不鮮，而在國(guó)內(nèi)用戶身邊僅2021年就出現(xiàn)了3次億數(shù)以上的信息泄露，其中不乏淘寶小紅書等知名APP，換句話說，近十年來的技術(shù)進(jìn)步不僅未能讓用戶安然，反而圍繞他們構(gòu)建起一座單方面透明的隱私圍城，用戶困圈其中不得已處處提防。

對(duì)于消費(fèi)者的窘迫處境主管部門與終端廠商并非茫無所知，2021年8月《中華人民共和國(guó)個(gè)人信息保護(hù)法》通過為個(gè)人隱私保護(hù)搭建了頂層架構(gòu)，工信部也形成了一套針對(duì)侵害用戶權(quán)益APP的定期巡查通報(bào)與整改機(jī)制，與此同時(shí)，終端廠商同樣進(jìn)行了相當(dāng)多的有益探索，諸如曾登上央視的小米MIUI 12“照明彈”功能；vivo OriginOS Ocean隱私端側(cè)處理的原子隱私系統(tǒng)；支持抹除照片隱私、攔截讀取剪貼板的ColorOS 12等等。但同時(shí)大家也能發(fā)現(xiàn)終端廠商往往專注于自身可管控也更擅長(zhǎng)的系統(tǒng)、軟件與第三方APP領(lǐng)域，由表及里的密碼、內(nèi)容保護(hù)、支付、安全密匙、敏感數(shù)據(jù)等底層移動(dòng)安全保護(hù)似乎所涉不深。究其原因，一方面是Android智能手機(jī)龐雜豐富的產(chǎn)業(yè)鏈與生態(tài)讓上下游整合有不少阻礙，另一方面觸及底層的隱私安全也需要同樣觸及底層的硬件保護(hù)。這也不難理解vivo X Fold發(fā)布會(huì)上vivo聯(lián)合高通定制全新一代驍龍8移動(dòng)平臺(tái)SPU為何會(huì)在用戶中引起不小的漣漪，實(shí)際上不僅是vivo，榮耀在今年3月發(fā)布的Magic4系列中，也搭載了基于全新一代驍龍8移動(dòng)平臺(tái)的雙TEE安全系統(tǒng)，很明顯國(guó)產(chǎn)廠商已經(jīng)找到了一條移動(dòng)安全創(chuàng)新新路徑——與上游芯片廠商合作打通表層軟件與底層芯片鏈路，通過客制化的功能滿足旗艦用戶迫切的移動(dòng)安全需求，而高通驍龍無疑是其中最為關(guān)鍵的一環(huán)。

一切安全的起點(diǎn) 都是硬件

如果你還有印象的話，2010年前后全球智能手機(jī)盜竊二次銷售曾是一條十分成熟且興盛的地下產(chǎn)業(yè)，手機(jī)上午失竊下午刷機(jī)隔天就能流入黑市，密碼形同虛設(shè)，用戶除了自認(rèn)倒霉之外幾乎束手無策，彼時(shí)統(tǒng)計(jì)顯示，2013年僅在美國(guó)每10位智能手機(jī)用戶就有1個(gè)被盜，同年英國(guó)手機(jī)首次超越錢包與手袋成為盜竊的第一目標(biāo)，手機(jī)失竊案占比高達(dá)51%，甚至一度成為輿論熱議的社會(huì)問題。但奇怪的是似乎在某個(gè)時(shí)間段后，這些問題不再成為問題，用戶無需擔(dān)心手機(jī)失竊導(dǎo)致的隱私泄露，手機(jī)丟失后找回的范例也比比皆是。對(duì)于Android用戶而言，這個(gè)分水嶺要追溯至驍龍810發(fā)布的2014年，驍龍810帶來了一項(xiàng)全新的進(jìn)階安全功能SafeSwitch，不僅賦予用戶在丟失設(shè)備時(shí)遠(yuǎn)程鎖定的能力，還可以進(jìn)一步遠(yuǎn)程添加密碼，刪除或恢復(fù)私人數(shù)據(jù)，甚至獲知丟失Android設(shè)備的位置。與彼時(shí)流行的Google設(shè)備管理器、Cerberus這類純軟件安全應(yīng)用相比，SafeSwitch命令通過硬件進(jìn)行驗(yàn)證，換言之這是一項(xiàng)基于硬件的功能，直接讓軟件刷機(jī)繞過密碼這一萬能操作變得幾無可能。

很明顯，純軟件安全方案有其局限所在，而且除了無法防止刷機(jī)這樣的直接威脅，純軟件安全方案還有更多無法應(yīng)對(duì)的潛在安全風(fēng)險(xiǎn)，比如容易受到惡意代碼與篡改導(dǎo)致的未經(jīng)授權(quán)訪問；本地密匙易受逆向工程攻擊，采用云端密匙也無可信環(huán)境存儲(chǔ)云端與本機(jī)通信密匙；無法防止降級(jí)后通過已泄露密匙攻擊；無法綁定設(shè)備，也沒有RNG隨機(jī)數(shù)生成器作為熵源保證哈希加密的破解難度。這也是為何高通自驍龍845起會(huì)在驍龍系列芯片上集成獨(dú)立SPU（Secure Processing Unit、安全處理單元）的原因，正如安保手中的盾牌與警棍，一切安全的起點(diǎn)，都是硬件。

而驍龍SPU也并非許多人想象中的那樣只是一個(gè)從屬于SoC功能的組件，相反它擁有獨(dú)立的CPU、RAM、ROM（只讀存儲(chǔ)器）、RNG隨機(jī)數(shù)發(fā)生器、一次性可編程存儲(chǔ)器等一套相當(dāng)完備的安全硬件結(jié)構(gòu)。得益于此SPU可以獨(dú)立完成為信息進(jìn)行哈希加密、利用散列算法進(jìn)行消息鑒別、利用AES-CCM等算法對(duì)Wi-Fi與藍(lán)牙無線通信加密、利用RSA/ECC加密算法生成密匙證書簽名并進(jìn)行驗(yàn)證、對(duì)稱密匙加解密等一系列操作。而正因?yàn)槭荢oC中的獨(dú)立硬件，SPU也很難從硬件或軟件被攻破，硬件上SPU與SoC一并封裝，處于同一外殼的保護(hù)下，很難被直接觀察、探測(cè)或者操作，即便被動(dòng)手也會(huì)留下物理修改的證據(jù)；軟件方面SPU也并未預(yù)留后門不會(huì)被旁路攻擊，且密匙等數(shù)據(jù)會(huì)放入只寫存儲(chǔ)器中，可以防止任何與SPU交互的實(shí)體讀取數(shù)據(jù)，所以外部誘導(dǎo)與內(nèi)部錯(cuò)誤也不會(huì)向外透露任何敏感信息?？梢赃@樣說，驍龍SPU正如手機(jī)內(nèi)部的一個(gè)獨(dú)立保險(xiǎn)柜，以完全之姿時(shí)刻保護(hù)著用戶隱私與設(shè)備安全，憑借著安全無虞的SPU，一年后的驍龍855也成為了首款獲得Common Criteria EAL-4+安全認(rèn)證的移動(dòng)SoC。

如何實(shí)現(xiàn)金融級(jí)安全？高通給出了手機(jī)內(nèi)“私人保險(xiǎn)箱”建造指南

有的放矢的硬件設(shè)計(jì)是安全的基礎(chǔ)，但想要安全，在現(xiàn)在的應(yīng)用環(huán)境下絕不能僅僅靠硬件。因此基于SPU，高通還推出了QTEE（Qualcomm Trusted Execution Environment、高通可信任執(zhí)行環(huán)境），這是脫胎于ARM TrustZone架構(gòu)的一種設(shè)計(jì)，本質(zhì)上是從Android傳統(tǒng)的應(yīng)用執(zhí)行環(huán)境中分離出一個(gè)可信的獨(dú)立執(zhí)行環(huán)境運(yùn)行在SPU的硬件之上，同時(shí)被加載的應(yīng)用也被相應(yīng)分為可信應(yīng)用與非可信應(yīng)用。作為一個(gè)針對(duì)安全設(shè)計(jì)的執(zhí)行環(huán)境，QTEE不僅處于SPU擁有加密與完整性保護(hù)的區(qū)域中，而且在每次啟動(dòng)時(shí)均會(huì)簽名，并在加載可信應(yīng)用時(shí)會(huì)要求對(duì)方也必須被簽名和認(rèn)證，以此保證手機(jī)軟件環(huán)境內(nèi)始終有一方安全之境保護(hù)用戶隱私與敏感數(shù)據(jù)。在通過SPU與QTEE初步解決了移動(dòng)設(shè)備本地安全問題之后，高通在2018年推出了高通無線邊緣服務(wù)（QC WES），用以應(yīng)對(duì)云服務(wù)及無線連接的安全隱患。概括的說QC WES是一套驍龍可以與之交互的云服務(wù)，使應(yīng)用程序和服務(wù)可以遠(yuǎn)程驗(yàn)證設(shè)備身份，實(shí)時(shí)檢測(cè)設(shè)備及其無線連接的安全性。QC WES同樣是基于硬件的，主要針對(duì)企業(yè)和工業(yè)互聯(lián)網(wǎng)領(lǐng)域。

在搭建起完善的本地與云端硬件安全方案后，高通對(duì)移動(dòng)終端多用戶多場(chǎng)景的個(gè)性化安全需求進(jìn)行針對(duì)性了探索，并于2020年的驍龍888上支持了Type-1 Hypervisor（裸機(jī)虛擬化），相對(duì)于Type-2 Hypervisor這類諸如VMware Workstation Player/VirtualBox需要事先安裝操作系統(tǒng)，無法直接訪問硬件的虛擬化，Type-1 Hypervisor虛擬化允許直接在硬件上部署，對(duì)硬件的利用更充分，創(chuàng)建切換更便捷，以往也是企業(yè)服務(wù)器領(lǐng)域常用的虛擬化技術(shù)。而驍龍888首次將Type-1 Hypervisor引入驍龍移動(dòng)平臺(tái)，用于在智能手機(jī)上啟用同一操作系統(tǒng)的多個(gè)實(shí)例，并且支持即時(shí)切換（這也是一些驍龍終端支持雙系統(tǒng)/手機(jī)分身功能的原因）。用戶可以同時(shí)擁有一個(gè)針對(duì)工作、一個(gè)用于個(gè)人的獨(dú)立操作系統(tǒng)，或者甚至可以運(yùn)行一個(gè)完全不同的操作系統(tǒng)。因?yàn)榭梢灾苯诱{(diào)用硬件，驍龍888的Type-1 Hypervisor也在硬件內(nèi)部制造了隔離，保護(hù)每個(gè)環(huán)境的安全性和私密性。此外Type-1 Hypervisor還可以用于隔離應(yīng)用程序，并且可以使該應(yīng)用程序的數(shù)據(jù)完全不受主操作系統(tǒng)內(nèi)應(yīng)用程序的影響。展望未來，Type-1 Hypervisor甚至可以實(shí)現(xiàn)1個(gè)應(yīng)用程序獨(dú)享1個(gè)操作系統(tǒng)的終極體驗(yàn)。

而邁入移動(dòng)終端安全應(yīng)用更豐富也更復(fù)雜的2021年，高通更進(jìn)一步在全新一代驍龍8移動(dòng)平臺(tái)上加入了全新的TME（Trust Management Engine、信任管理引擎），TME同樣基于硬件并且不對(duì)外開放，主要用于為應(yīng)用和服務(wù)提供額外信任根（Root of Trust），新一代驍龍8也是首個(gè)采用專用信任管理引擎的移動(dòng)平臺(tái)。說到這里讓我們想象一下，一個(gè)操作系統(tǒng)啟動(dòng)時(shí)面臨的第一個(gè)問題是什么？對(duì)，就是它運(yùn)行的第一行代碼是否安全，如果運(yùn)行的第一個(gè)軟件是惡意軟件，那么后續(xù)的其他軟件再安全也無濟(jì)于事，三星手機(jī)一旦Root其內(nèi)置的Knox容器立即物理熔斷就是基于同樣的邏輯。而所謂信任根正如其名，是一個(gè)操作系統(tǒng)最基礎(chǔ)最可信的一個(gè)身份，一旦寫入不可更改，用以操作系統(tǒng)與應(yīng)用服務(wù)建立信任鏈并安全啟動(dòng)。而新一代驍龍8的TME在此基礎(chǔ)上還實(shí)現(xiàn)了與QC WES服務(wù)的協(xié)同，可以完成云端的安全啟動(dòng)，保證了從芯片到云端的信任防護(hù)。得益于全新的TME，全新一代驍龍8移動(dòng)平臺(tái)成為了全球首個(gè)符合Android Ready SE標(biāo)準(zhǔn)的移動(dòng)平臺(tái)——這個(gè)標(biāo)準(zhǔn)正是Google于2021年面向數(shù)字車鑰匙，房鑰匙、護(hù)照駕照、數(shù)字錢包等新場(chǎng)景發(fā)起的全新安全標(biāo)準(zhǔn)。

千鏡可信引擎、雙TEE安全系統(tǒng)……驍龍與終端廠商合力展開的安全與未來

行文至此，大家也能理解為何立意安全的旗艦手機(jī)開始開始青睞與高通合作的重要原因，以剛發(fā)布的折疊旗艦產(chǎn)品vivo X Fold為例，vivo聯(lián)合高通定制全新一代驍龍8 SPU，并基于此首發(fā)了千鏡可信引擎，通過對(duì)手機(jī)芯片、內(nèi)核、框架和應(yīng)用各層級(jí)進(jìn)行綜合分析計(jì)算，保障訪問設(shè)備、訪問數(shù)據(jù)和訪問用戶的過程都安全可信。定制SPU與千鏡可信引擎實(shí)現(xiàn)了針對(duì)隱藏調(diào)用鏈關(guān)系，利用瀏覽器進(jìn)行二次跳轉(zhuǎn)等行為的反欺詐防護(hù)功能；vivo還與支付寶達(dá)成技術(shù)合作，將千鏡可信引擎的可信安全判斷能力與支付寶可信終端擴(kuò)展方案（AntDTX）對(duì)電詐應(yīng)用的刻畫能力等相結(jié)合，支持對(duì)惡意應(yīng)用與詐騙賬戶發(fā)起的轉(zhuǎn)賬支付進(jìn)行提示預(yù)警?？梢钥吹?，通過對(duì)新一代驍龍8 SPU的定制vivo實(shí)現(xiàn)了更加本地化也更貼近用戶的反詐與預(yù)警功能，這也為更多洞察用戶需求的終端廠商主動(dòng)挖掘芯片本身軟硬件能力打出了一個(gè)極好的樣板。而在同期發(fā)布的大屏商務(wù)旗艦vivo X Note里也完整內(nèi)置的這套設(shè)計(jì)，以商務(wù)場(chǎng)景作為產(chǎn)品定義重要組成部分的vivo X Fold / X Note，透過與高通的合力開拓，以全新一代驍龍8的SPU為硬件核心，構(gòu)建了更具“安全感”的商務(wù)及個(gè)人使用環(huán)境。

榮耀Magic4系列則是另一個(gè)有趣的范例，與vivo不同的是，榮耀利用雙TEE系統(tǒng)設(shè)計(jì)進(jìn)行了其他方向嘗試，通過在全新一代驍龍8的QTEE之外新增HTEE（榮耀可信任執(zhí)行環(huán)境）搭建了一套獨(dú)立于Android系統(tǒng)之外的雙重安全防護(hù)，實(shí)現(xiàn)了防刷機(jī)防盜取、支持3D ToF支付級(jí)人臉解鎖、支持最高單筆500萬轉(zhuǎn)賬的榮耀手機(jī)盾、eID、無網(wǎng)支付等金融級(jí)安全功能，并基于此成為了榮耀首個(gè)通過Common Criteria EAL-5+認(rèn)證的機(jī)型，實(shí)現(xiàn)了用戶對(duì)于自身隱私安全的可控性。

時(shí)至今日，在安全“潤(rùn)物細(xì)無聲”地融入我們數(shù)字生活環(huán)境成為重要構(gòu)成元素的當(dāng)下，高通已經(jīng)建立了一整套全方位立體的移動(dòng)安全方案：這個(gè)方案以TME信任管理引擎為核心，以獨(dú)立SPU為基石，通過QTEE、高通Hypervisor、高通無線邊緣服務(wù)做到了從本地應(yīng)用、多系統(tǒng)到云端的全場(chǎng)景安全防護(hù)，支持并覆蓋了用戶驗(yàn)證與密碼存儲(chǔ)、內(nèi)容保護(hù)、支付、eSIM、數(shù)字身份、安全密匙、敏感數(shù)據(jù)存儲(chǔ)等常見用例，高通身體力行地為我們展示了在移動(dòng)端實(shí)現(xiàn)金融級(jí)安全，搭建一座“移動(dòng)私密保險(xiǎn)箱”所需要付出的時(shí)間、努力與創(chuàng)新。

而無論是vivo的千鏡可信引擎、還是榮耀的雙TEE系統(tǒng)，其背后正是全新一代驍龍8移動(dòng)平臺(tái)及基于驍龍的一整套安全方案。換言之，對(duì)客制化需求持開放態(tài)度的高通正在以實(shí)際行動(dòng)支持高端旗艦產(chǎn)品在用戶隱私與安全上的有益嘗試與探索，而與用戶時(shí)刻相伴的驍龍移動(dòng)平臺(tái)正是當(dāng)下智能手機(jī)用戶的私人禁衛(wèi)“龍武軍”。