三星半导体如何保护智能手机的隐私强化独立安全操作环境

关于三星Exynos，你想了解的都在这里

安全元件

今天，继续向大家介绍在智能手机中提供安全性的电子元器件——“安全元件（SE）”。

    如今，智能手机扮演着多种“角色”，其中有2种特别重要：身份证和钱包。以生物识别、移动身份（eID）和三星支付（Samsung Pay）为例，这些服务往往需要用户进行身份验证。在验证过程中，可能会发生黑客攻击，这就需要超越软件级别的安全等级，意味着要在硬件甚至半导体层面来实现。

在智能手机中提供安全性的电子元器件叫做“安全元件（SE）”。在SoC（System on Chip,系统级芯片）外部，有一个单独的嵌入式安全元件（eSE）；但在Exynos 2020上，集成安全元件（iSE）被嵌在SoC内置的安全模块中。

“  

设计平台开发组副总裁Jongwoo Lee表示：

我们给Exynos嵌入的iSE命名为‘STRONG’，它是Secure Tamper-Resistant of Next Generation（下一代安全防篡改）的首字母缩写。iSE是SoC上的一个能运行安全程序的独立环境。iSE不仅能充当eSE的作用（可单独附在SoC外部），还能保障SoC的安全性。iSE先进的处理能力源于它的出色性能，它还可以安全地扩展到DRAM、闪存等外部存储器，这些功能可以进一步发挥，使iSE能够主动保护高速运行中的SoC。

  ”  

▲ （左起）AP软件开发组Keunyoung Park、设计平台开发组副总裁Jongwoo Lee、项目组长Bogyeong Kang和Sunghyun Kim，他们正致力于增强移动设备安全性     

iSE用于设备安全和安全服务。设备安全的重点是加强设备本身的安全性，而安全服务则侧重于保护移动设备中保存的用户信息，如移动身份识别、支付和车钥匙。

“  

Lee说道：

今年年初，我们完成了PoC（概念验证）并成功开发了iSIM*，这项适用iSE的服务，是由负责开发iSE安全操作系统（Camelia）的三星研究院与负责开发iSIM安全应用程序的数字安全公司泰雷兹（Thales）密切合作的成果。

  ”  

iSIM是嵌入式SIM（eSIM）的升级版，能将SIM的功能集成在SoC中。iSIM支持在不更换SIM卡的情况下更换移动网络运营商，这为用户提供了极大的便利，使得用户能在一台设备上拥有两个以上的电话号码，并且能享受多种移动运营商服务。

在智能手机制造商看来，iSIM也具有优势，因为它不需要SIM卡插槽，减少了内部元器件所占空间：iSIM可以在SoC内运行，无需独立的电子元件，就像分立式eSIM一样。

▲uSIM、eSIM和iSIM尺寸比较

iSIM的开发意义重大，为了满足嵌入iSIM的技术环境要求，开发人员面临着很大的难度。  

“   Lee表示： iSIM需要满足全球移动通信系统（GSMA）的要求。这意味着要将iSIM嵌入在操作系统软件和硬件之上，需达到一定安全级别，即CC EAL4+*。不过我们的硬件安全级别比指定标准还要高一级：CC EAL5+。同时其具有安全的外部存储器，可嵌入大容量的SIM配置文件。   ”

“  

Lee继续说道：

eSE和iSE分别是eSIM和iSIM的基础，而三星是一家可以同时提供eSE和iSE的企业，能为智能手机制造商提供简单、灵活的解决方案。我认为，安全领域没有‘完美’的解决方案，但我们正努力在技术上尽可能趋近完美，提供一个高水平的安全操作环境，以适配不同平台提供的丰富的安全功能。

  ”       

*iSIM（集成SIM）：一种内置的用户识别模块，也叫ieUICC（集成嵌入式通用集成电路卡）。 *通用标准评估保证等级（CC EAL）：通用标准（CC）是评估IT产品和某些网站安全性的国际标准。评估保证等级（EAL）是分配给评估保证的等级。