1. 主页
  2. 解决方案
  3. 安全可信
  4. 方案详情

豆荚科技与飞腾教育行业TEE可信执行环境课程教具一体化联合解决方案

  • Bootstrap 行业: 教育

  • Bootstrap 技术: 安全可信

行业痛点:

在万物互联的时代,智能化设备的信息安全问题日益增多,既涉及设备安全、个人隐私安全、财产安全,甚至涉及国家安全。因此国内外陆续出台了相关法规,目前各行业在实施上陆续引入相关可信执行环境安全设计方案,以满足合法合规以及主动防御的需求。安全类相关的人才需求越发旺盛,在安全相关的各工业生产领域均有需求。

在移动安全行业,主要以手机、平板、穿戴等智能设备为主,承载着大量的个人信息,例:密码、指纹、人脸、支付等。而这些设备时刻面临着网络入侵,如果这些信息外泄或被非法使用,将造成个人损失。

在车载安全行业,目前各车载零部件逐渐智能化和网联化,虽然带来的便利化,但也带来了安全的风险,每年都信息安全问题屡见不鲜,引发的后果日趋严重,不仅影响用户的生命财产安全,甚至导致国家安全。

在工业安全行业,以电力、燃气、制造业等边缘网联设备为主,涉及国计民生问题,若被不法分子入侵破坏,将会导致重大灾难。外国曾发生多起电网、能源被黑客入侵的事件。另外,在金融、交通等领域也有类似的安全问题。

如何解决这些行业的通信安全、业务安全、数据安全、系统安全、设备安全等课题成为行业关注的焦点,技术解决方案有多种,其中可信执行环境 ( Trusted Execution Environment ,TEE技术能够提供通用的安全基础能力,且其安全性、稳定性、灵活性、扩展性越来越得到行业的重视,尤其随着飞腾芯片在各行业得到越来越广泛的应用,基于飞信创芯片的可信执行环境也得到了越来越多院校的在教学实训过程中的重视

方案详情:

飞腾联合豆荚科技打造基于飞腾的课程教具一体化方案。本课程教具一体化方案面向于本科及高职的计算机科技与技术、网络空间安全、信息安全等相关专业,可服务于包括信息安全导论、密码学、操作系统原理与安全、嵌入式系统安全、信息内容安全等课程的实践教学,为课程的信创化转型提供核心内容。

 

 

一、关于TEE

TEE是在开放的环境里基于硬件隔离技术创建可信的、独立的、隔离的执行环境。在不可信的环境里(这里指富操作系统)建立一个安全屋,TEE与富操作系统(Linux、Android等)并行运行。即使富操作系统受到破坏,TEE的安全资产也会受到保护。TEE富操作系统的安全级别更高,TEE可以访问富操作系统的运行空间,但富操作系统不能访问TEE运行空间。TEE可以富操作系统提供安全服务,如重要数据保护远程管理通信保护等,解决完整性、真实性、不可否认性的需求,下图是GP组织提供的TEE标准体系结构。

左侧图是富操作系统,有安全需求的上层应用通过调用TEE Client API,实现与运行在TEE中的TA交换数据。右侧图是TEE侧结构图,主要包括可信系统、可信中间件、可信应用(Trusted Application TA)。可信系统负责提供安全执行环境。可信中间件是基于TEE开发的最基础服务,向上提供符合GP规范的TEE Internal API功能接口,主要包括安全存储、加解算法、安全时间、真随机数、可信界面、安全驱动、密钥管理、可信根等功能。可信应用基于GP接口完成安全资产保护。

二、飞腾联合豆荚科技TEE打造基于飞腾嵌入式芯片的国产TEE实训方案

豆荚科技TEE目前已应用于15亿余台终端设备,为海内外近200余家知名企业完成1500余个项目。覆盖智能手机、平板、智能车载、金融设备、工业边缘设备、智慧城市多领域。同海内外多家芯片公司完成多款芯片的TEE产品集成。在技术上,是国内外最早研发TEE技术的团队之一,目前研发出具有自主知识产权的TEE生态配套产品系列:ISEEISEEMISEECISEEPHSEE等。具有近20余项专利、80多项软著,参与国内多项TEE相关技术标准制定。

飞腾芯片PSPA安全平台架构,完全支撑TEE可信执行环境。豆荚基于飞腾芯片集成豆荚TEE,提供安全启动、安全存储、安全JM、真随机数、安全驱动、密钥生命周期管理等基础功能,以满足各种行业的安全业务需求。

图:豆荚TEE基础能力架构图

飞腾联合豆荚基于移动设备、工业控制边缘设备、金融设备、政务数据安全等领域的应用场景,提炼出14个共计28学时的实训课程,着重提升学生的场景理解和技术实践能力。

序号

实践案例

实践课时

1

安全通信TA

2学时

2

SFS安全存储TA

1学时

3

RPMB安全存储TA

1学时

4

国际安全JM TA

1学时

5

安全JM TA

1学时

6

安全JM带安全引擎TA

2学时

7

设备认证TA

2学时

8

密钥管理TA

2学时

9

密码解锁TA

2学时

10

产线TA

2学时

11

BM柜TA

2学时

12

eSE TA

4学时

13

Confirmation UI TA

4学时

14

安全驱动-SPI

2学时

合计

28学时

TA实验介绍如下:

  1. 安全通信TA

安全通信TA常见于安全支付、软件升级、远程控制等应用场景。本安全应用目的是保护设备端到云端或服务器间的通信安全,保护传输数据的完整性、真实性,主要使用TLS协议实现。

  1. SFS安全存储TA

SFS安全存储TA常见于生物识别模板的保存,图片、视频等文件的JM存储。本安全应用目的是保护存储数据安全。主要在安全可行环境中的密钥JM数据,再通过文件系统保JM后的数据。

  1. RPMB安全存储TA

RPMB安全存储TA常见于设备认证、身份认证、软件升级、远程控制等场景。本安全应用目的是保护存储数据的安全。主要通过TEE安全可行环境将数据存储到EMMC中的RPMB区域。本存储特点是防止数据篡改、删除,访问RPMB区域需使用安全环境下生成密钥信息。

  1. 国际安全JM TA

国际安全JM TA常见于重要数据或文件JM等场景。本安全应用目的是在安全可信环境下提供安全的国际密钥算法,主要包括对称AES/DES、非对称RSA/ECC、哈希算法SHA,用于保护数据安全。

  1. 安全JM TA

本应用常见于国内特殊行业要求,必须使用JM的应用场景,例:金融行业的银行卡、电子支付、电子政务等。本安全应用目的是在安全可信环境下提供安全的国产密钥算法,主要包括对称JM、非对称JM、哈希算法JM,用于保护数据安全。

  1. 安全JM带安全引擎TA

本应用常见于大数据分析、软件升级包镜像JM,视频JM等应用场景。本安全应用目的是在安全可信环境下使用硬件芯片提供的安全JM引擎,提高性能和安全性。提供的算法由JM引擎决定。

  1. 设备认证TA

本应用常见于刷脸支付、监控设备等各种应用场景。本安全应用目的是确认设备是否是可信。主要通过密钥签名设备信息,用证书的密钥信息验签是否合法,密钥信息存储在TEE安全可信环境。

  1. 密钥管理TA

本应用常见于金融支付、电子商务等各种应用场景。本安全应用目的是管理TEE中各个安全应用的密钥信息。各安全应用都有各自独立、隔离、访问控制的密钥信息,用于保护本应用的数据。

  1. 密码解锁TA

本应用常见于终端设备具有密码解锁的应用场景。本安全应用目的是管理TEE中各个安全应用的密钥信息。各安全应用都有各自独立、隔离、访问控制的密钥信息,用于保护本应用的数据。

  1. 安全支付TA

本应用常见于数字货币、支付宝、微信、京东等支付的应用场景。本安全应用目的在支付设备(手机、平板、支付机)实现安全支付。在TEE可信执行环境实现安全支付协议、支付数据打包、与支付后台安全通信。

  1. BM柜TA

本应用常见于图片、视频、文件需要保护的应用场景。本安全应用目的保护非安全系统的个人隐私信息。在TEE可信执行环境JM保护,使用个人隐私信息时,需输入密码,在TEE可信执行环境确认后,方可使用。

  1. eSE TA

本应用常见于手机银行、离线支付等对身份认证有强安全需求的应用场景。本安全应用目的保护SE的安全使用,安全级别可达EAL5+。在TEE可信执行环境外接SE芯片,所有访问需授权,经由TEE访问SE,具有较高的安全性。

  1. 安全计算 TA

本应用常见于对政务、医疗、银行、电信等个人数据有可用不可见的需求应用场景。本安全应用目的保护个人信息的安全性,不能被管理者和使用者可见。把个人数据输入到TEE可信执行环境的安全计算应用模型中,输出结果给使用者。从而达到保护个人隐私的目的。

  1. 安全驱动-SPI

本应用常见于指纹解锁的需求应用场景。本安全应用目的保护采集数据的安全性。在TEE可信执行环境开发SPI驱动,通过SPI协议采集芯片信息时,不会被REE侧非法获取或攻击。

 

  • 基于飞腾芯片的TEE教具
  1. 飞腾派开发板

飞腾派是由萤火工场研发的一款面向行业工程师、学生和爱好者的开源硬件。主板处理器采用飞腾嵌入式四核处理器,板载DDR4内在,支持SD或者eMMC外部存储。主板板载WiFi蓝牙陶瓷天线,可快速连接无线通信。另外还集成了大量外设接口,包括双路千兆以太网、USB、UART、CAN、HDMI、音频等接口,集成一路miniPCIE接口,可实现AI加速卡与4G、5G通信等多种功能模块的扩展。

  1. 双椒派实验箱

飞腾E2000双椒派嵌入式教学套件,是飞腾联合生态伙伴共同打造的飞腾ARM教学实验平台,基于飞腾新一代嵌入式CPU E2000D打造,面向计算机类专业嵌入式相关教学。套件由核心板及底板组成,底板板载多种外设模块,包含的外设有显示屏、舵机、步进电机、加速度传感器、距离传感器、按钮、指示灯等。单个外设可用于基本接口的软件和硬件开发教学,将这些外设组合应用,可以搭建工业控制、智能驾驶、人机交互等丰富的应用场景,可用于高级教学、毕业设计、竞赛等场景。

方案实施效果:

一、指纹解锁和指纹支付案例流程

下面示例是一个指纹解锁和指纹支付的实际案例流程。从指纹模板采集到特征值提取、模板保存、模板比对,演示了指纹录入和解锁的过程。指纹支付是将第三方支付算法运行在TEE环境下,在指纹比对成功后,开始对支付数据进行JM和封装,安全传输到支付后台。

 

二、金融安全支付场景案例流程

面示例是基于TEE实现用户支付的流程。在TEE实现支付界面,包括用户信息、支付信息、确认信息,同时在TEE实现支付数据JM、封装,并安全传输到支付管理平台。从而防止入侵手机的非法用户获取和伪造个人支付信息

相关产品:

1、豆荚TEE

2、飞腾派

3、双椒派实验箱

支持CPU平台:

飞腾腾珑E2000

伙伴信息:

北京豆荚科技有限公司
http://www.beanpodtech.com

北京豆荚科技有限公司成立于2015年,是领先的TEE操作系统产品和安全技术服务提供商。公司分别在台湾、深圳、上海、南京和沈阳设立分支机构。

公司自主研发的基于应用处理器硬件平台的TEE系统ISEETM,是国内第一家通过工信部泰尔实验室认证的TEE安全产品。广泛应用于手机、IoT设计、车载设备上,为终端安全保驾护航。

公司在操作系统、虚拟化系统、可信计算、密码技术、OS内核定制等方面具有核心技术能力,并与芯片厂商、设备厂商和服务厂商建立了良好的合作关系。

豆荚科技以系统安全可信为基础,向智能汽车、物联网等智能终端领域横向扩展,向OEM、Tier1、Tier2提供自底向上的,由点及面的,完整的可信安全技术方案与服务,为客户赋能安全。