肆虐全球的勒索軟件“WannaCry”，短短四天便從伊比利亞半島擴散至100多個國家和地區(qū)，全球攻擊案例超過75000個，讓全球的電腦用戶者惶恐不安。蘋果先后升級了針對個人電腦和智能手機的操作系統(tǒng)，緊急推出iOS 10.3.2以及macOS 10.12.5新版本，提供了23個安全補丁。這足以點醒我們，智能手機沒有受到的襲擊，不是不能，只是沒作為攻擊目標(biāo)。

動動手指便可輕松付款，在中國這種前所未有的便捷性使得移動支付快速普及，愈發(fā)受到全球產(chǎn)業(yè)界的關(guān)注。據(jù)中國人民銀行報告顯示，2016年中國移動支付快速增長，移動支付業(yè)務(wù)257.1億筆，金額達157.55萬億元，同比分別增長85.82%和45.59%。當(dāng)越來越多用戶習(xí)慣于移動支付的習(xí)慣時，手機支付病毒將更加有機可乘。

也許，你會說安全意識誰都有，我們會保護銀行卡密碼，手機短信驗證碼，只是針對互聯(lián)網(wǎng)安全尤其是移動互聯(lián)網(wǎng)安全，我們知之甚少。從智能手機的開機密碼，到微信、支付寶、銀行客戶端等帶有支付功能的APP軟件，更包括手機中存儲的個人信息及資料，都面臨著裸奔的狀態(tài)，而我們知道的手機管家只能通過特征碼識別，基本屬于后發(fā)制人的方式，對于新型的網(wǎng)絡(luò)襲擊根本無法提供隔離防護。

為了解決這一問題，手機廠商紛紛推出加強手機安全性的智能終端?？崤蓮陌沧堪踩p系統(tǒng)的角度出發(fā)，實現(xiàn)OS 系統(tǒng)級的隔離；360手機主打“安全”概念，通過加入安全芯片的方式以實現(xiàn)軟硬件結(jié)合的全方位安全防護；金立更推出內(nèi)置安全芯片的手機 M6和 M6 Plus，杜絕將芯片移植到其他手機破解的可能性。..。..然而，華為是目前筆者看到做得最早、最深入，也是最領(lǐng)先的一家手機廠商。

早在三年前，華為推出安卓首款指紋識別手機華為Mate 7時，便開始重新審視智能手機上需要面對的安全問題。在不斷提高手機SoC芯片集成度的過程中，對安全的認識逐步加深。與軟件安全方案不同的是，華為選擇從芯片出發(fā)，直接深入到數(shù)據(jù)的源端，實現(xiàn)極佳的防物理攻擊能力。不僅如此，華為還通過創(chuàng)新的inSE方案，再次提高產(chǎn)品的安全性，兼具性能與多業(yè)務(wù)擴展能力的優(yōu)勢，為移動安全筑起一條“護城河”。

筆者探訪多個產(chǎn)業(yè)界人士，試圖挖掘和探尋華為安全方案的起源、發(fā)展過程、挑戰(zhàn)以及未來趨勢。

華為一步完成到inSE級安全方案的飛躍

簡而言之，傳統(tǒng)eSE方案已無法滿足迅速發(fā)展的智能手機的安全需求及新業(yè)務(wù)需求。

一直以來，在安全芯片領(lǐng)域中，主流玩家是稱霸多年的NXP、英飛凌、ST 等傳統(tǒng)的安全芯片公司，他們在實現(xiàn)獨立安全芯片的產(chǎn)品上，確實是走在世界前沿。然而，面對現(xiàn)階段的智能手機市場，消費者的需求發(fā)生了明顯變化，不是簡單通過增加傳統(tǒng) eSE 芯片來解決問題，而是需要深刻洞察智能手機的安全業(yè)務(wù)需求，設(shè)計出真正符合智能手機的安全芯片解決方案。

從業(yè)務(wù)開發(fā)模式來看，以eSE為代表的傳統(tǒng)安全方案是一個封閉鏈條，從最初的市場需求到應(yīng)用業(yè)務(wù)方，到終端手機廠商，再由手機芯片公司和安全芯片公司逐一開發(fā)，對市場創(chuàng)新的響應(yīng)速度比較慢，多層級的任務(wù)轉(zhuǎn)換未必能解決消費者的真正需求。因為這中間需要經(jīng)過多個環(huán)節(jié)的聯(lián)動開發(fā)，在落地創(chuàng)新業(yè)務(wù)中非常困難。

從單獨安全芯片的傳統(tǒng)思維模式，向移動手機的方向來思考，如何對接消費者業(yè)務(wù)，保障安全性，這是一個全新的話題，對于任何廠商來說都是有難度的。華為走到了這個路口上，逼迫他們必須用創(chuàng)新的技術(shù)解決方案來滿足市場的需求。雖然在這個業(yè)內(nèi)多年封閉的產(chǎn)業(yè)里，產(chǎn)品研發(fā)歷經(jīng)層層阻礙，但華為擁有著從芯片到終端的技術(shù)創(chuàng)新能力，真正理解消費者和客戶的真實需求，相信遲早有一天，產(chǎn)業(yè)能夠看到安全的價值。

其實，華為創(chuàng)新的選用inSE方案的形式，是充分考慮了智能手機的開放性、多安全應(yīng)用業(yè)務(wù)的靈活性等。

眾所周知，本地處理、加密處理和防篡改的可信任根是實現(xiàn)安全的三大要素。首先，我們知道用戶信息必須在本地處理，不能存放在不安全的地方。其次，不能存儲以指紋識別為代表的生物識別的原始信息，同時這一信息必須是不可逆的，最好是經(jīng)過加密手段之后的信息對比，這樣才會更安全。最后，一旦涉及到遠程對比，就會有鏈路安全的問題出現(xiàn)，我們需要在手機上實現(xiàn)防篡改的可信任的根，在這可信任的根基礎(chǔ)上構(gòu)建信任鏈，讓用戶和應(yīng)用服務(wù)公司信任手機。

安全是一個系統(tǒng)安全上面的概念，在這其中inSE方案起到兩個重要作用。第一，與手機SoC主芯片在一起，減少外部芯片間的物理連線，避免外置eSE芯片有可能被暴力破解或者更換的機會，PoP的封裝模式讓你無法進入芯片內(nèi)部中去獲取信息。第二，華為從芯片角度提供最底層的能力，從芯片底層進行物理隔離，同時保證足夠的性能與存儲空間。

當(dāng)然，將eSE集成到主芯片中帶來的好處非常明顯。在實現(xiàn)過程中我們發(fā)現(xiàn)，從性能上來看，一般先進工藝技術(shù)都是率先在主芯片上實現(xiàn)的，960 inSE芯片工藝領(lǐng)先傳統(tǒng)工藝好幾代，其計算性能和功耗表現(xiàn)是傳統(tǒng)方式的4倍以上，這樣inSE能夠支持滿足消費者實際需求的多安全應(yīng)用，而不是有限的幾個應(yīng)用。

除了底層硬件、存儲功能之外，在操作系統(tǒng)部分，華為擁有自己的安全操作系統(tǒng)（Security OS），這樣使得華為能夠通過自己對消費者的使用業(yè)務(wù)需求的理解，快速而高效得開發(fā)出滿足消費者剛需的安全應(yīng)用業(yè)務(wù)，保護消費者的利益。

據(jù)集微網(wǎng)了解，在最初確定做inSE方案時，華為對業(yè)務(wù)需求的考慮非常全面，如何支持多業(yè)務(wù)能力，保證足夠的容量，場景支持，金融及個人信息等所有安全流程相關(guān)的內(nèi)容統(tǒng)統(tǒng)考慮在內(nèi)。

目前，搭載華為inSE方案的手機可以支持銀聯(lián)卡、公交卡、e-SIM等多種方式。面向消費者的多客戶應(yīng)用需求，對傳統(tǒng)方案的性能提出極大要求，即便調(diào)整存儲空間也會有芯片面積的增加，業(yè)務(wù)擴張的速度相對受限，而這對于華為來說在芯片層面的增加資源基本是看不見的。

直面挑戰(zhàn)，華為全力攻堅成功實現(xiàn)inSE

華為在實現(xiàn)inSE安全解決方案的過程中，從技術(shù)實現(xiàn)和業(yè)務(wù)驅(qū)動兩個層面上遇到了巨大挑戰(zhàn)。首先，在基礎(chǔ)SoC技術(shù)的實現(xiàn)方面，要做到的安全，算法層面是需要克服的第一難題。這部分的挑戰(zhàn)非常大，華為開發(fā)團隊用三年時間全力攻堅，最終實現(xiàn)支持 CRT-RSA、RSA、DES/3DES、AES 多種加解密算法，并實現(xiàn)防攻擊能力，實現(xiàn)安全信息加密存儲和安全通信。

其次，在業(yè)務(wù)模式的驅(qū)動方面，一直以來都是由Apple和NXP聯(lián)合推動的。NXP無法實現(xiàn)或者不愿意實現(xiàn)的功能，蘋果盡管擁有在芯片和封閉的操作系統(tǒng)的能力，仍無法牽引行業(yè)開展更多安全方面的應(yīng)用。華為從跟隨蘋果的安全解決方案，到自我創(chuàng)新引導(dǎo)整個安全行業(yè)的發(fā)展，與銀行、互聯(lián)網(wǎng)金融機構(gòu)聯(lián)合起來，共同制定智能手機安全規(guī)范，從跟隨者到創(chuàng)新領(lǐng)導(dǎo)者，如何做決策，在心態(tài)上的轉(zhuǎn)變過程中相當(dāng)痛苦。

產(chǎn)業(yè)伙伴攜手，推動安全產(chǎn)業(yè)升級

2015年至今，央行針對個人信息和銀行卡安全陸續(xù)推出一系列通知和管理辦法，要求設(shè)備提升安全解決方案，以抵御移動金融業(yè)務(wù)的風(fēng)險，其中硬件數(shù)字證書和移動終端可信執(zhí)行環(huán)境是保障移動金融業(yè)務(wù)安全的關(guān)鍵解決方案。華為麒麟960率先獲得央行和銀聯(lián)雙重安全認證，達到金融級安全標(biāo)準(zhǔn)。這意味著，搭載麒麟960的手機具有和銀聯(lián) IC卡/U盾相同的安全等級，滿足央行的規(guī)范要求，以保證移動金融業(yè)務(wù)的安全開展。

慶幸的是，不止有華為一家在安全應(yīng)用上做努力。業(yè)內(nèi)有消息指出，高通驍龍835在 SoC中新增一個SPU模塊，用來提升整個手機SoC的安全性， 盡管目前高通SPU方案還未實現(xiàn)商用，但是同樣朝著華為的路在努力。另外，蘋果和三星為了匹配移動支付、eSIM和Pay等創(chuàng)新業(yè)務(wù)需求，通過配置一到兩顆 eSE芯片實現(xiàn)，盡管這一方案對手機ID、電路板空間及電池容量帶來一定的影響，但確實能夠明顯提升手機的安全性。

筆者認為，對華為來說，只有更多的玩家進來才有可能實現(xiàn)整個安全生態(tài)的升級，對消費者來說是一件好事，只有產(chǎn)業(yè)界共同努力才能保護消費者的手機安全。除了數(shù)據(jù)安全保障外，消費者對移動支付、公交卡、e-SIM卡、身份ID和語音通話的安全需求日漸增多，面臨這一巨大需求，只有整個行業(yè)共同努力才能讓消費者獲得安全、便捷、高效的金融服務(wù)。

如上可見，華為提供了一個基礎(chǔ)能力，能力是基石，最終的安全性是通過這些業(yè)務(wù)來實現(xiàn)的，其目的是為了建立一個可信任的解決方案，實現(xiàn)可信任的互聯(lián)網(wǎng)，開展可信任的業(yè)務(wù)服務(wù)。

“華為inSE方案的目標(biāo)是提供給一個更安全的方案和保護機制，讓消費者能夠放心使用設(shè)備，這是我們推出華為inSE方案的基礎(chǔ)?！睋?jù)華為內(nèi)部人士透露，“今年底旗艦機上市時，針對安全領(lǐng)域，華為將面向金融行業(yè)推出全新業(yè)務(wù)，保障互聯(lián)網(wǎng)金融安全?！?/p>