導讀“年輕人不應買入安然無虞的股票。”讓·科克托用這句話描述了他對年輕人的定義：不桎梏于一方樂土的冒險者，面對疑惑與未知的勇氣才是他們最應珍惜的特質。但與這份期....

“年輕人不應買入安然無虞的股票。”

讓·科克托用這句話描述了他對年輕人的定義：不桎梏于一方樂土的冒險者，面對疑惑與未知的勇氣才是他們最應珍惜的特質。但與這份期望相反的是，當下年輕人對世界的變化卻有著愈發保守的傾向——特別是智能手機普及的近十年來，最初極客遍地刷機蔚然成風的景象早已杳然，愈來愈多的年輕用戶對手機的熱情消解為一片冰冷的不信任感，基于“恐懼”的不信任。這份恐懼一方面來源于本地隱私的門戶大開，朋友圈廣告精準命中、升降攝像頭莫名開啟、一單單外賣中悄然無聲的大數據殺熟、電商軟件語音竊聽的都市傳說……；另一方面手機上傳至云端的數據也岌岌可危，迄今雅虎還以30億賬戶信息泄露保持著全球最大規模數據泄露的“桂冠”，其他諸如5.4億Facebook紀錄、5億萬豪酒店客戶數據、3.3億Twtter用戶密碼泄露也屢見不鮮，而在國內用戶身邊僅2021年就出現了3次億數以上的信息泄露，其中不乏淘寶小紅書等知名APP，換句話說，近十年來的技術進步不僅未能讓用戶安然，反而圍繞他們構建起一座單方面透明的隱私圍城，用戶困圈其中不得已處處提防。

對于消費者的窘迫處境主管部門與終端廠商并非茫無所知，2021年8月《中華人民共和國個人信息保護法》通過為個人隱私保護搭建了頂層架構，工信部也形成了一套針對侵害用戶權益APP的定期巡查通報與整改機制，與此同時，終端廠商同樣進行了相當多的有益探索，諸如曾登上央視的小米MIUI 12“照明彈”功能；vivo OriginOS Ocean隱私端側處理的原子隱私系統；支持抹除照片隱私、攔截讀取剪貼板的ColorOS 12等等。但同時大家也能發現終端廠商往往專注于自身可管控也更擅長的系統、軟件與第三方APP領域，由表及里的密碼、內容保護、支付、安全密匙、敏感數據等底層移動安全保護似乎所涉不深。究其原因，一方面是Android智能手機龐雜豐富的產業鏈與生態讓上下游整合有不少阻礙，另一方面觸及底層的隱私安全也需要同樣觸及底層的硬件保護。這也不難理解vivo X Fold發布會上vivo聯合高通定制全新一代驍龍8移動平臺SPU為何會在用戶中引起不小的漣漪，實際上不僅是vivo，榮耀在今年3月發布的Magic4系列中，也搭載了基于全新一代驍龍8移動平臺的雙TEE安全系統，很明顯國產廠商已經找到了一條移動安全創新新路徑——與上游芯片廠商合作打通表層軟件與底層芯片鏈路，通過客制化的功能滿足旗艦用戶迫切的移動安全需求，而高通驍龍無疑是其中最為關鍵的一環。

一切安全的起點 都是硬件

如果你還有印象的話，2010年前后全球智能手機盜竊二次銷售曾是一條十分成熟且興盛的地下產業，手機上午失竊下午刷機隔天就能流入黑市，密碼形同虛設，用戶除了自認倒霉之外幾乎束手無策，彼時統計顯示，2013年僅在美國每10位智能手機用戶就有1個被盜，同年英國手機首次超越錢包與手袋成為盜竊的第一目標，手機失竊案占比高達51%，甚至一度成為輿論熱議的社會問題。但奇怪的是似乎在某個時間段后，這些問題不再成為問題，用戶無需擔心手機失竊導致的隱私泄露，手機丟失后找回的范例也比比皆是。對于Android用戶而言，這個分水嶺要追溯至驍龍810發布的2014年，驍龍810帶來了一項全新的進階安全功能SafeSwitch，不僅賦予用戶在丟失設備時遠程鎖定的能力，還可以進一步遠程添加密碼，刪除或恢復私人數據，甚至獲知丟失Android設備的位置。與彼時流行的Google設備管理器、Cerberus這類純軟件安全應用相比，SafeSwitch命令通過硬件進行驗證，換言之這是一項基于硬件的功能，直接讓軟件刷機繞過密碼這一萬能操作變得幾無可能。

很明顯，純軟件安全方案有其局限所在，而且除了無法防止刷機這樣的直接威脅，純軟件安全方案還有更多無法應對的潛在安全風險，比如容易受到惡意代碼與篡改導致的未經授權訪問；本地密匙易受逆向工程攻擊，采用云端密匙也無可信環境存儲云端與本機通信密匙；無法防止降級后通過已泄露密匙攻擊；無法綁定設備，也沒有RNG隨機數生成器作為熵源保證哈希加密的破解難度。這也是為何高通自驍龍845起會在驍龍系列芯片上集成獨立SPU（Secure Processing Unit、安全處理單元）的原因，正如安保手中的盾牌與警棍，一切安全的起點，都是硬件。

而驍龍SPU也并非許多人想象中的那樣只是一個從屬于SoC功能的組件，相反它擁有獨立的CPU、RAM、ROM（只讀存儲器）、RNG隨機數發生器、一次性可編程存儲器等一套相當完備的安全硬件結構。得益于此SPU可以獨立完成為信息進行哈希加密、利用散列算法進行消息鑒別、利用AES-CCM等算法對Wi-Fi與藍牙無線通信加密、利用RSA/ECC加密算法生成密匙證書簽名并進行驗證、對稱密匙加解密等一系列操作。而正因為是SoC中的獨立硬件，SPU也很難從硬件或軟件被攻破，硬件上SPU與SoC一并封裝，處于同一外殼的保護下，很難被直接觀察、探測或者操作，即便被動手也會留下物理修改的證據；軟件方面SPU也并未預留后門不會被旁路攻擊，且密匙等數據會放入只寫存儲器中，可以防止任何與SPU交互的實體讀取數據，所以外部誘導與內部錯誤也不會向外透露任何敏感信息。可以這樣說，驍龍SPU正如手機內部的一個獨立保險柜，以完全之姿時刻保護著用戶隱私與設備安全，憑借著安全無虞的SPU，一年后的驍龍855也成為了首款獲得Common Criteria EAL-4 安全認證的移動SoC。

如何實現金融級安全？高通給出了手機內“私人保險箱”建造指南

有的放矢的硬件設計是安全的基礎，但想要安全，在現在的應用環境下絕不能僅僅靠硬件。因此基于SPU，高通還推出了QTEE（Qualcomm Trusted Execution Environment、高通可信任執行環境），這是脫胎于ARM TrustZone架構的一種設計，本質上是從Android傳統的應用執行環境中分離出一個可信的獨立執行環境運行在SPU的硬件之上，同時被加載的應用也被相應分為可信應用與非可信應用。作為一個針對安全設計的執行環境，QTEE不僅處于SPU擁有加密與完整性保護的區域中，而且在每次啟動時均會簽名，并在加載可信應用時會要求對方也必須被簽名和認證，以此保證手機軟件環境內始終有一方安全之境保護用戶隱私與敏感數據。在通過SPU與QTEE初步解決了移動設備本地安全問題之后，高通在2018年推出了高通無線邊緣服務（QC WES），用以應對云服務及無線連接的安全隱患。概括的說QC WES是一套驍龍可以與之交互的云服務，使應用程序和服務可以遠程驗證設備身份，實時檢測設備及其無線連接的安全性。QC WES同樣是基于硬件的，主要針對企業和工業互聯網領域。

在搭建起完善的本地與云端硬件安全方案后，高通對移動終端多用戶多場景的個性化安全需求進行針對性了探索，并于2020年的驍龍888上支持了Type-1 Hypervisor（裸機虛擬化），相對于Type-2 Hypervisor這類諸如VMware Workstation Player/VirtualBox需要事先安裝操作系統，無法直接訪問硬件的虛擬化，Type-1 Hypervisor虛擬化允許直接在硬件上部署，對硬件的利用更充分，創建切換更便捷，以往也是企業服務器領域常用的虛擬化技術。而驍龍888首次將Type-1 Hypervisor引入驍龍移動平臺，用于在智能手機上啟用同一操作系統的多個實例，并且支持即時切換（這也是一些驍龍終端支持雙系統/手機分身功能的原因）。用戶可以同時擁有一個針對工作、一個用于個人的獨立操作系統，或者甚至可以運行一個完全不同的操作系統。因為可以直接調用硬件，驍龍888的Type-1 Hypervisor也在硬件內部制造了隔離，保護每個環境的安全性和私密性。此外Type-1 Hypervisor還可以用于隔離應用程序，并且可以使該應用程序的數據完全不受主操作系統內應用程序的影響。展望未來，Type-1 Hypervisor甚至可以實現1個應用程序獨享1個操作系統的終極體驗。

而邁入移動終端安全應用更豐富也更復雜的2021年，高通更進一步在全新一代驍龍8移動平臺上加入了全新的TME（Trust Management Engine、信任管理引擎），TME同樣基于硬件并且不對外開放，主要用于為應用和服務提供額外信任根（Root of Trust），新一代驍龍8也是首個采用專用信任管理引擎的移動平臺。說到這里讓我們想象一下，一個操作系統啟動時面臨的第一個問題是什么？對，就是它運行的第一行代碼是否安全，如果運行的第一個軟件是惡意軟件，那么后續的其他軟件再安全也無濟于事，三星手機一旦Root其內置的Knox容器立即物理熔斷就是基于同樣的邏輯。而所謂信任根正如其名，是一個操作系統最基礎最可信的一個身份，一旦寫入不可更改，用以操作系統與應用服務建立信任鏈并安全啟動。而新一代驍龍8的TME在此基礎上還實現了與QC WES服務的協同，可以完成云端的安全啟動，保證了從芯片到云端的信任防護。得益于全新的TME，全新一代驍龍8移動平臺成為了全球首個符合Android Ready SE標準的移動平臺——這個標準正是Google于2021年面向數字車鑰匙，房鑰匙、護照駕照、數字錢包等新場景發起的全新安全標準。

千鏡可信引擎、雙TEE安全系統……驍龍與終端廠商合力展開的安全與未來

行文至此，大家也能理解為何立意安全的旗艦手機開始開始青睞與高通合作的重要原因，以剛發布的折疊旗艦產品vivo X Fold為例，vivo聯合高通定制全新一代驍龍8 SPU，并基于此首發了千鏡可信引擎，通過對手機芯片、內核、框架和應用各層級進行綜合分析計算，保障訪問設備、訪問數據和訪問用戶的過程都安全可信。定制SPU與千鏡可信引擎實現了針對隱藏調用鏈關系，利用瀏覽器進行二次跳轉等行為的反欺詐防護功能；vivo還與支付寶達成技術合作，將千鏡可信引擎的可信安全判斷能力與支付寶可信終端擴展方案（AntDTX）對電詐應用的刻畫能力等相結合，支持對惡意應用與詐騙賬戶發起的轉賬支付進行提示預警。可以看到，通過對新一代驍龍8 SPU的定制vivo實現了更加本地化也更貼近用戶的反詐與預警功能，這也為更多洞察用戶需求的終端廠商主動挖掘芯片本身軟硬件能力打出了一個極好的樣板。而在同期發布的大屏商務旗艦vivo X Note里也完整內置的這套設計，以商務場景作為產品定義重要組成部分的vivo X Fold / X Note，透過與高通的合力開拓，以全新一代驍龍8的SPU為硬件核心，構建了更具“安全感”的商務及個人使用環境。

榮耀Magic4系列則是另一個有趣的范例，與vivo不同的是，榮耀利用雙TEE系統設計進行了其他方向嘗試，通過在全新一代驍龍8的QTEE之外新增HTEE（榮耀可信任執行環境）搭建了一套獨立于Android系統之外的雙重安全防護，實現了防刷機防盜取、支持3D ToF支付級人臉解鎖、支持最高單筆500萬轉賬的榮耀手機盾、eID、無網支付等金融級安全功能，并基于此成為了榮耀首個通過Common Criteria EAL-5 認證的機型，實現了用戶對于自身隱私安全的可控性。

時至今日，在安全“潤物細無聲”地融入我們數字生活環境成為重要構成元素的當下，高通已經建立了一整套全方位立體的移動安全方案：這個方案以TME信任管理引擎為核心，以獨立SPU為基石，通過QTEE、高通Hypervisor、高通無線邊緣服務做到了從本地應用、多系統到云端的全場景安全防護，支持并覆蓋了用戶驗證與密碼存儲、內容保護、支付、eSIM、數字身份、安全密匙、敏感數據存儲等常見用例，高通身體力行地為我們展示了在移動端實現金融級安全，搭建一座“移動私密保險箱”所需要付出的時間、努力與創新。

而無論是vivo的千鏡可信引擎、還是榮耀的雙TEE系統，其背后正是全新一代驍龍8移動平臺及基于驍龍的一整套安全方案。換言之，對客制化需求持開放態度的高通正在以實際行動支持高端旗艦產品在用戶隱私與安全上的有益嘗試與探索，而與用戶時刻相伴的驍龍移動平臺正是當下智能手機用戶的私人禁衛“龍武軍”。