改从防窃听到双系统隔离手机安全是怎样一步步

从“防窃听”到“双系统隔离” 安全是怎样一步步发展的？

刚刚过去的2015年，安全俨然已经成为中国圈最重要的关键词之一：酷派将双系统安全技术应用到旗舰机型-锋尚MAX上，华为Mate8将Trust Zone引入以实现文件保护在这背后，显示的是消费者对安卓智能遇到此类欺诈事件要进行维权。[1][2][3]下一页安全功能的迫切需要。

事实上20年前当发展还处在黑白屏幕功能机的时候，安全已经是功能的重要组成部分了。如今随着安卓智能机的应用场景越来越多，在支付、金融、隐私等方面的安全隐患也就越来越多，人们对其安全性能的要求也就越来越高。

概念提出与非底层原生支持

提到安全，一个很可能会暴露年龄的产品又要被很多人提起，那就是曾经流行过的使用模拟络的砖头，香港电影中常称它为大哥大。作为真正普及的第一代民用移动，在带来通讯便利的同时也给很多用户带来了困扰，那就是安全性。由于模拟络和产品自身的问题，这类不仅能够被轻易复制，而且通话安全无法得到保护，别有用心的人可以通过技术手段进行窃听。

这样不安全的现状当然维持不了太久，很快第二代移动通讯技术闪耀登场，这就是我们一直沿用至今的GSM络，而当时的运营商中国电信在推广GSM络时也很好的打中了用户的痛点：笨重不便于携带是一方面，相比较模拟的安全性优势成为了推动用户从模拟转向GSM的利器。

当逐步普及以后，消费者对于的需求也不仅仅是打发短信这么简单，用拍照和个人日程管理这样的需求也逐渐浮出水面，这种越来越个性化、多媒体化的功能需求并不是传统意义上功能机能够支撑的，这就为智能的出现埋下了伏笔。

从2003年起，芬兰企业Nokia雄霸我国市场，不但有各类外观精美设计时尚的功能产品，更是大规模推出基于Symbian操作系统的第一代智能，能够允许自行安装应用程序这一伟大的设定也让的使用场景成百上千倍的扩大，一台智能可以成为照相机、摄像机、个人信息助理(PIM)、掌上银行甚至是游戏机，越来越丰富的应用场景让用户把自己和绑的更深，安全的概念在这个阶段也被正式提出。

令人遗憾的是，由于Symbian产品发展并不成熟，安全功能并没有被智能操作系统底层原生支持，因此ADL(Advanced Device Lock)、私密管家和秦安全等一大批国内外的第三方应用虽然如雨后春笋般出现，但由于得不到底层操作系统的支持，这些软件更多的是在应用层做一些浅显的功能，由此导致保护能力不够，很容易被破解。可以说，在这个阶段，虽然安全概念已经被打出，但是重视程度不够。

随后老旧的Symbian与Windows Mobile被代表新生力量的IOS与Android所替代，与完全封闭的IOS相比，Android因为采用了完全开放的方式获得了更多生产企业的垂青，在HTC、三星等大陆之外传统生产企业尝试吃了螃蟹表示味道不错以后，大陆的厂商们迅速跟进，安卓开始成为中国品牌的天下。在将安卓智能机市场变成彻底的红海之后，各家都在纷纷地寻找差异化竞争的机会，而安全再次作为差异化竞争的方向被挖掘了出来。

安卓智能机时代，不再是单纯的消费电子产品而几乎进化成了人类的器官，从通讯录到银行账号已经纷纷被捆绑到了上面，此时的安全性已经被提升到了前所未有的高度，对于常见的诈骗短信以及诈骗的处理已经成为必备功能，从最开始的搜狗号码通和360卫士，作为独立的第三方应用再到整合了号码过滤的MIUI系统，对于诈骗信息的处理已经成为国产安卓智能机的标配。

安全升级与系统层级隔离保护

中国安卓智能厂商在安全的道路上，并没有打算仅仅把信息过滤做好这么简单，他们已经关注到了更加深入的维度上，那就是更深层级的隔离保护。

物理隔离：底层硬件+双系统，保证数据安全性

这方面的代表是酷派。酷派是老牌的大陆生产厂商，其历史要追溯到遥远的功能机时代。由于酷派当年的主要目标客户群是商务人群，因此从最开始就把安全作为核心功能投入大量研发资源。

在安卓时代，普通厂商针对于用户重要应用的保护一般通过纯软件来进行，通常是在用户尝试调起金融理财或个人账号等敏感应用时进行系统检查，将可能存在风险的程序杀掉，这种采用黑白名单结合的方式看起来很有效，但在实际的使用中也存在很大的风险：首先用户可能会使用的敏感应用日新月异，一套固定的白名单在使用中远远满足不了需要，而厂商即便是通过络将更新版本的白名单进行推送也会受到用户端联的影响，因此还是存在一定的安全隐患。

与这种纯软件方案的设计思路不同，酷派最开始走的就是硬件结合底层操作系统的道路，这种均为妇女。可是在我们保安在将她们控制的过程中设计思路的安全性很好，但对于研发资源也是一个非常大的挑战。从底层硬件来说，首先在主板的设计上单独加入了一个类似于PC上TPM(Trusted Platform Module)的芯片，从硬件层面保证了数据的安全性，不会发生数据外泄的情况;而在软件层面，酷派采用了双系统分区隔离的方式，即将整块的EMMC通过硬件隔离将容量切割为两部分，在用户常用的安卓部分以外单独设置了一个非安卓操作系统，将用户的全部敏感数据都放置在这个区域，而对于安卓下的恶意程序来说由于不在同一个操作系统下管理因此完全访问不到这部分空间，从而保证数据的绝对安全。

酷派最近推出的锋尚MAX将双系统技术应用到了极致。锋尚MAX的双系统，一个是开放空间，可以存放能够与他人共享的、私密程度和安全要求不高的信息;一个是安全空间，可以用来存放支付、金融及隐私等安全要求高的信息，相关应用软件也只能通过安全系统的安全金融商店才能下载，以保证安全系统内部的所有应用软件的安全。这样即便是开放空间中毒了，也不会影响到安全空间。升级到3.0版本的指纹切换功能，进入安全空间必须验证指纹，也为安全多了一层保护。

一些评测机构对于这种物理隔离的方式表示异议，认为增加了用户操作的复杂性，殊不知安全和便捷在现有的层面下本来就是互相矛盾的，对用户便捷对于恶意程序也提供了同样的便捷。因此对于重要度极高的数据来说，保证数据安全的方法一个是独立存放而另一个则是独立的文件系统，这两点刚好都在酷派的设计思路中，因此从这个角度来看，酷派的安全防范水平是相当之高的。而在使用便捷性上，为了方便两个系统的快捷切换，酷派将指纹切换的速度提升到了0.5秒，极大优化了用户体验。

文件保护：实时加密保证隐私数据不被窃取

由于双系统对于研发能力有着比较高的要求从而需要较长的研发周期，因此除了酷派以外很少有企业选择这个方向，更多的还是沿袭之前的文件安全思路，采用文件保护的方式，自动或手动的方式将用户的私密文件隐藏起来，保证不被非法查看甚至是复制。

我们以华为Mate8为例，深入了解一下文件保护思路的技术原理。Mate8使用的麒麟950CPU，基于ARM底层设计的Trust Zone这个特殊的存储空间从而实现了这个功能，在Trust Zone中用户之前所设定的密码和指纹等重要信息都被保存在这个特殊空间内，即使是用户将恢复出厂状态也不会清除这个空间上的数据，这样就保证了在最极端的情况下用户在如SD卡等扩充存储设备上面的照片等资料不会外泄。

此外，针对用户自行插入的SD卡，华为的安全机制还能够让用户在最开始进行加密或在丢失等特殊情况下远程加密，以最大限度的保证用户的数据安全。但这种文件保护方式，从原理上讲还是把敏感数据和包括恶意程序在内的其他数据放在了同一个存储空间而没有物理隔离，因此从技术层面上分析还是存在一定的风险，如果后续还会对于这个功能进行迭代的话，最好还是使用物理隔离的双系统方案。

写在最后的话：的安全机制已经完美了吗?

看了上面的内容，恐怕有些读者会认为现在厂商已经在各个角度，各个场景下都对于的隐私管理做到了较高的水平以至后续不太会有更广阔的发展空间，但值得注意的是，目前的这些方案都是厂商根据自己的研发能力以及对于用户使用场景的理解所设计，在技术层面并不具有通用性。自从Android L开始，Google也逐渐加强了对于安全层面的考量，全盘加密就是一个非常典型的例子，我们期待在后面的版本中Google能够在底层实现更多有关于安全的通用功能，以便厂商们能够结合不同目标用户的需求，设计出体验更好性能更强的安全产品来。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。