保护智能手机隐私，强化独立安全操作环境手机保护「保护智能手机隐私，强化独立安全操作环境」

​

​以生物识别、移动身份（eID）和三星支付（Samsung Pay）为例，这些服务往往需要用户进行身份验证。在验证过程中，可能会发生黑客攻击，这就需要超越软件级别的安全等级，意味着要在硬件甚至半导体层面来实现。

 

在智能手机中提供安全性的电子元器件叫做“安全元件（SE）”。在SoC（System on Chip,系统级芯片）外部，有一个单独的嵌入式安全元件（eSE）；但在Exynos 2020上，集成安全元件（iSE）被嵌在SoC内置的安全模块中。

 

设计平台开发组副总裁Jongwoo Lee表示：

“我们给Exynos嵌入的iSE命名为‘STRONG’，它是‘下一代安全防篡改（Secure Tamper-Resistant of Next Generation）’的英文首字母缩写。iSE是SoC上的一个能运行安全程序的独立环境。”

​

​他还说道：

​“iSE不仅能充当eSE的作用 (可单独附在SoC外部) ，还能保障SoC的安全性。iSE先进的处理能力源于它的出色性能，它还可以安全地扩展到DRAM、闪存等外部存储器，这些功能可以进一步发挥，使iSE能够主动保护高速运行中的SoC。”

 

iSE用于设备安全和安全服务。设备安全的重点是加强设备本身的安全性，而安全服务则侧重于保护移动设备中保存的用户信息，如移动身份识别、支付和车钥匙。

 

Lee说道：

“今年年初，我们完成了PoC（概念验证）并成功开发了iSIM*，这项适用iSE的服务，是由负责开发iSE安全操作系统（Camelia）的三星研究院与负责开发iSIM安全应用程序的数字安全公司泰雷兹（Thales）密切合作的成果。”

 

iSIM是嵌入式SIM（eSIM）的升级版，能将SIM的功能集成在SoC中。iSIM支持在不更换SIM卡的情况下更换移动网络运营商，这为用户提供了极大的便利，使得用户能在一台设备上拥有两个以上的电话号码，并且能享受多种移动运营商服务。

 

 

iSIM的开发意义重大，为了满足嵌入iSIM的技术环境要求，开发人员面临着很大的难度。

 

Lee表示：

“iSIM需要满足全球移动通信系统（GA）的要求。这意味着要将iSIM嵌入在操作系统软件和硬件之上，需达到一定安全级别，即CC EAL4+*。”

​

“eSE和iSE分别是eSIM和iSIM的基础，而三星是一家可以同时提供eSE和iSE的企业，能为智能手机制造商提供简单、灵活的解决方案。我认为，安全领域没有‘完美’的解决方案，但我们正努力在技术上尽可能趋近完美，提供一个高水平的安全操作环境，以适配不同平台提供的丰富的安全功能。”

 

 

*iSIM（集成SIM）：一种内置的用户识别模块，也叫ieUICC（集成嵌入式通用集成电路卡）。

*通用标准评估保证等级（CC EAL）：通用标准（CC）是评估IT产品和某些网站安全性的国际标准。评估保证等级（EAL）是分配给评估保证的等级。