我在去年就写过一篇关于华为安全芯片的文章,这里我重新再组织一下语言。
首先,现在手机的应用越来越丰富,APP也好,支付也好,都涉及到账号和密码的问题。账户和密码是为了保证使用这个功能的人是正确的人,为了防止别人盗用你的身份,就必须用一些手段来保证操作的人就是你,而不是别人伪装的。
那么,用于识别是你的方法就有很多了,最常用的就是用密码来区分,这个密码必须是只有你才知道的,才能让机器认为使用这个账号的人就是“你”。然而,黑客可以通过暴力的方式,用程序代码来穷举你的密码,为了防止这种被人猜中密码的事件,设计程序时,就会限定只能输入几次或者要用手机验证码之类的。而像12306为了防止代码(或机器人)抢票,确保抢票的是“人”,则会用一些机器很难识别的图片来让操作者选择,这样就切断了很多黄牛用代码抢票的路子了。
好了,即然各种应用都要用到密码,那么用什么做密码以及系统上用于核对的原始密码样本保存在哪里就很重要了。
人体天然有四种特征可以用于做为密码:虹膜、人脸、声纹和指纹,系统要做的就是识别清楚用于解密时的“人”是不是活的就行了。这在技术上有一些防范的措施,当然,有很多测评说还是有一定的错误率,比如用一张打印的脸可以解锁。
先不谈上面这一点,单说原始密码样本保存的问题。这就有两种方式了,一种就如腾讯要求的那样,这份密码必须保存在云端,也就是服务商的服务器上;另一种方式是保存在本地机器上。
第一种方式,会存在几个风险:1.密码传输时,在线路上被人截取窃听,2.在服务器上被黑客连锅端了,3.服务商监守自盗,或者被有权限的人删除,比如最近微盟删数据的事件。
第二种方式,也会存在几种风险:1.密码存在应用程序上,被黑客窃取,2.存在本地存储卡上,手机遗失,被人用程序破解。
针对这些风险,业界采用一种叫做加密芯片(eSE)的硬件专门来存放密码,而这个芯片就和黑匣子一样,是无法打开的。它只有两种操作,一是保存(替换)密码,一是核对密码(当有核对请求时,完成核对就输一个对或错的信息)。除了对错,它不会输出任何数据和信息。
华为采用了这种安全方式,并且在麒麟960之后,华为进一步将这块芯片集成到了CPU之中,升级成为inSE。
华为之前采用eSE,即其他手机厂商(包括苹果)现在所用的方式,其独立芯片存在被人暴力破解的风险,现在采用集成在CPU中的inSE方式,完全避免了这种风险。
华为麒麟960也率先在2016年10月获得央行和银联双重安全认证,成为全球首款达到金融级安全标准的手机芯片。其后,华为的麒麟980芯片inSE方案通过了EMVCo认证。
华为系统安全完全源自一个自律的、可靠的手机厂商。
1、生物识别
从Mate 7开始,华为就在麒麟芯片上集成了安全单元,用来存储用户的原始指纹数据,并且所有指纹和指纹对比全部放在芯片的Trust Zone中完成,俗称本地“黑匣子”。这是当初华为手机不支持微信指纹支付的重要原因!
2、软件安装风险检测
软件安装风险检测能检测你下载的App是否存在恶意行为等等。
3、应用使用权限
APP各种使用权限一目了然,掌握于心。
4、金融级支付安全
自麒麟960开始,华为获得了中金国盛(央行支付安全认证机构)和银联的金融级安全认证。
5、支付保护中心
华为支付保护中心能够自动检测你的手机中可能存在的支付风险,包括应用来源的检测以及支付环境威胁的检测。
6、骚扰拦截
针对各类骚扰电话和信息,华为手机结合云端大数据号码分析,能够自动拦截各类骚扰电话和信息。
7、数据安全
发现手机遗失可以通过华为账号登录cloud.huawei.com或者在其它华为设备登录,可以远程加密手机、远程清除手机数据。
原创文章,作者:普尔小编,如若转载,请注明出处:http://www.puerpx.cn/pxwd/1737.html