华为手机内置U盾方案出炉 或将颠覆硬件安全生态

　　U盾是什么?

　　相信很多小伙伴都用过或听过U盾，但它具体是什么?到底有什么用?或许问起来你也是一脸懵逼!小编这就带你认识一下U盾

　　U盾是国内对USB Key的翻译称呼。它是一个使用USB接口的硬件设备，内置了独立的智能卡安全芯片和操作系统(COS)，通过芯片中的加解密算法，在芯片内部完成密码的生成、加密、签名、鉴权等一系列认证工作。另外USB Key还为芯片配备了一定的存储空间，可以保存用户的公、私钥和数字证书等敏感数据。

　　传统U盾有哪些局限?

　　?? 硬件成本高，不同银行定价不一，二代U盾约在40~80元之间。

　　?? 容易丢失，体积太小，容易丢失，不仅造成了用户挂失、替换新U盾的时间成本，而且还要额外支付第二个U盾的费用。

　　?? 一银行一个盾，无法复用，既增加了不必要的社会成本，又限制了U盾业务作为安全增强手段的普及。

　　?? 插件安装繁琐，短则10~20分钟完成插件的安装，长则需要60分钟甚至更长，这限制了用户使用U盾的积极性。

　　手机U盾能带来什么?

　　HUAWEI Mate 9搭载了全球首颗集成到SoC的金融级安全芯片麒麟960，该芯片率先获得央行和银联双重安全认证，达到金融级安全标准。这意味着，搭载麒麟960的HUAWEI Mate 9具有和银联 IC卡/U盾相同的安全等级，给用户带来安全、便捷、高效的金融服务。

　　一、易携

　　忆往昔，多个银行多个盾，叮铃咣啷一大堆。看今朝，证书隔离多应用，一个手机全集成。安全省心又省钱，多家银行都搞定。将U盾“嵌入”手机，让人们出门既少带一种设备，又不易丢失。

　　二、便捷

　　有了手机U盾，再也不用担心多个U盾恼人的兼容性问题，再也不用害怕为在PC机上安装各种插件所要进行的战斗。像APP那样简单的安装，就可以既轻松又安全地使用手机U盾了。

　　三、安全

　　移动支付无小事，手机U盾来守护。基于符合国际标准的安全芯片SE，配合TUI (Text-based User Interface)安全显示界面，实现“所见即所签”，华为手机U盾的安全级别与传统二代U盾相同。再加上TUI的安全输入功能，安全性甚至更高了。

　　手机U盾是怎样炼成的?

　　华为手机U盾好处这么多，那它是怎样做到的?这可是一项系统工程，牵涉到很多新技术的引入和软硬件的整合。且听我一一道来。

　　一、引入inSE安全芯片

　　手机U盾的安全性来自于集成在SoC中的安全芯片SE(Secure Element)，为了彻底解决手机移动支付安全性不足的问题，华为首先提出了inSE安全解决方案，而由HUAWEI Mate 9搭载的麒麟960成为了全球首个内置安全引擎(inSE)的手机芯片。

　　二、打造TEE可信环境

　　安卓系统(REE)资源丰富，但鱼龙混杂，有可能被恶意软件绑架钓鱼。安全芯片(SE)固然安全，但处理能力太低了，无法实现多进程多线程，用户界面也没有。

　　华为TEE(可信执行环境)充分利用ARM TrustZone安全架构，从硬件上与REE环境隔离，既保证安全，又能充分利用手机主芯片的丰富资源进行高性能运算，同时易用性和开发成本也大大降低，在手机U盾中起着进行安全验证，建立安全通信的重要作用。

　　三、在多个环境中部署应用

　　如上所述，手机U盾的背后可不是下载个APP这么简单，它牵涉到手机中多个物理隔绝的环境，每个环境都要部署不同的应用。此外云端还需要业务服务器、应用管理服务器(TSM)的配合。可见，手机U盾虽小，需要部署和整合的模块却不少。

　　如何使用华为手机U盾?

　　一、申请手机U盾

　　用户前往银行柜台，办理手机银行和U盾申请签约业务。通过后，柜员指导用户下载安装该银行的手机银行APP，并提供数字证书的下载码。

　　二、下载银行数字证书

　　用户通过手机银行APP和下载码，将银行的数字证书安装于手机U盾内。

　　三、手机U盾交易

　　当银行数字证书安装完成后，与该银行相关的交易发生时，银行APP启动U盾来保护交易，并要求用户输入U盾PIN码或指纹来验证身份。用户使用U盾就像使用支付宝一样方便，像使用电脑U盾一样安全。