肆虐全球的勒索軟件“WannaCry”，短短四天便從伊比利亞半島擴散至100多個國家和地區，全球攻擊案例超過75000個，讓全球的電腦用戶者惶恐不安。蘋果先后升級了針對個人電腦和智能手機的操作系統，緊急推出iOS 10.3.2以及macOS 10.12.5新版本，提供了23個安全補丁。這足以點醒我們，智能手機沒有受到的襲擊，不是不能，只是沒作為攻擊目標。

動動手指便可輕松付款，在中國這種前所未有的便捷性使得移動支付快速普及，愈發受到全球產業界的關注。據中國人民銀行報告顯示，2016年中國移動支付快速增長，移動支付業務257.1億筆，金額達157.55萬億元，同比分別增長85.82%和45.59%。當越來越多用戶習慣于移動支付的習慣時，手機支付病毒將更加有機可乘。

也許，你會說安全意識誰都有，我們會保護銀行卡密碼，手機短信驗證碼，只是針對互聯網安全尤其是移動互聯網安全，我們知之甚少。從智能手機的開機密碼，到微信、支付寶、銀行客戶端等帶有支付功能的APP軟件，更包括手機中存儲的個人信息及資料，都面臨著裸奔的狀態，而我們知道的手機管家只能通過特征碼識別，基本屬于后發制人的方式，對于新型的網絡襲擊根本無法提供隔離防護。

為了解決這一問題，手機廠商紛紛推出加強手機安全性的智能終端。酷派從安卓安全雙系統的角度出發，實現OS 系統級的隔離；360手機主打“安全”概念，通過加入安全芯片的方式以實現軟硬件結合的全方位安全防護；金立更推出內置安全芯片的手機 M6和 M6 Plus，杜絕將芯片移植到其他手機破解的可能性。..。..然而，華為是目前筆者看到做得最早、最深入，也是最領先的一家手機廠商。

早在三年前，華為推出安卓首款指紋識別手機華為Mate 7時，便開始重新審視智能手機上需要面對的安全問題。在不斷提高手機SoC芯片集成度的過程中，對安全的認識逐步加深。與軟件安全方案不同的是，華為選擇從芯片出發，直接深入到數據的源端，實現極佳的防物理攻擊能力。不僅如此，華為還通過創新的inSE方案，再次提高產品的安全性，兼具性能與多業務擴展能力的優勢，為移動安全筑起一條“護城河”。

筆者探訪多個產業界人士，試圖挖掘和探尋華為安全方案的起源、發展過程、挑戰以及未來趨勢。

華為一步完成到inSE級安全方案的飛躍

簡而言之，傳統eSE方案已無法滿足迅速發展的智能手機的安全需求及新業務需求。

一直以來，在安全芯片領域中，主流玩家是稱霸多年的NXP、英飛凌、ST 等傳統的安全芯片公司，他們在實現獨立安全芯片的產品上，確實是走在世界前沿。然而，面對現階段的智能手機市場，消費者的需求發生了明顯變化，不是簡單通過增加傳統 eSE 芯片來解決問題，而是需要深刻洞察智能手機的安全業務需求，設計出真正符合智能手機的安全芯片解決方案。

從業務開發模式來看，以eSE為代表的傳統安全方案是一個封閉鏈條，從最初的市場需求到應用業務方，到終端手機廠商，再由手機芯片公司和安全芯片公司逐一開發，對市場創新的響應速度比較慢，多層級的任務轉換未必能解決消費者的真正需求。因為這中間需要經過多個環節的聯動開發，在落地創新業務中非常困難。

從單獨安全芯片的傳統思維模式，向移動手機的方向來思考，如何對接消費者業務，保障安全性，這是一個全新的話題，對于任何廠商來說都是有難度的。華為走到了這個路口上，逼迫他們必須用創新的技術解決方案來滿足市場的需求。雖然在這個業內多年封閉的產業里，產品研發歷經層層阻礙，但華為擁有著從芯片到終端的技術創新能力，真正理解消費者和客戶的真實需求，相信遲早有一天，產業能夠看到安全的價值。

其實，華為創新的選用inSE方案的形式，是充分考慮了智能手機的開放性、多安全應用業務的靈活性等。

眾所周知，本地處理、加密處理和防篡改的可信任根是實現安全的三大要素。首先，我們知道用戶信息必須在本地處理，不能存放在不安全的地方。其次，不能存儲以指紋識別為代表的生物識別的原始信息，同時這一信息必須是不可逆的，最好是經過加密手段之后的信息對比，這樣才會更安全。最后，一旦涉及到遠程對比，就會有鏈路安全的問題出現，我們需要在手機上實現防篡改的可信任的根，在這可信任的根基礎上構建信任鏈，讓用戶和應用服務公司信任手機。

安全是一個系統安全上面的概念，在這其中inSE方案起到兩個重要作用。第一，與手機SoC主芯片在一起，減少外部芯片間的物理連線，避免外置eSE芯片有可能被暴力破解或者更換的機會，PoP的封裝模式讓你無法進入芯片內部中去獲取信息。第二，華為從芯片角度提供最底層的能力，從芯片底層進行物理隔離，同時保證足夠的性能與存儲空間。

當然，將eSE集成到主芯片中帶來的好處非常明顯。在實現過程中我們發現，從性能上來看，一般先進工藝技術都是率先在主芯片上實現的，960 inSE芯片工藝領先傳統工藝好幾代，其計算性能和功耗表現是傳統方式的4倍以上，這樣inSE能夠支持滿足消費者實際需求的多安全應用，而不是有限的幾個應用。

除了底層硬件、存儲功能之外，在操作系統部分，華為擁有自己的安全操作系統（Security OS），這樣使得華為能夠通過自己對消費者的使用業務需求的理解，快速而高效得開發出滿足消費者剛需的安全應用業務，保護消費者的利益。

據集微網了解，在最初確定做inSE方案時，華為對業務需求的考慮非常全面，如何支持多業務能力，保證足夠的容量，場景支持，金融及個人信息等所有安全流程相關的內容統統考慮在內。

目前，搭載華為inSE方案的手機可以支持銀聯卡、公交卡、e-SIM等多種方式。面向消費者的多客戶應用需求，對傳統方案的性能提出極大要求，即便調整存儲空間也會有芯片面積的增加，業務擴張的速度相對受限，而這對于華為來說在芯片層面的增加資源基本是看不見的。

直面挑戰，華為全力攻堅成功實現inSE

華為在實現inSE安全解決方案的過程中，從技術實現和業務驅動兩個層面上遇到了巨大挑戰。首先，在基礎SoC技術的實現方面，要做到的安全，算法層面是需要克服的第一難題。這部分的挑戰非常大，華為開發團隊用三年時間全力攻堅，最終實現支持 CRT-RSA、RSA、DES/3DES、AES 多種加解密算法，并實現防攻擊能力，實現安全信息加密存儲和安全通信。

其次，在業務模式的驅動方面，一直以來都是由Apple和NXP聯合推動的。NXP無法實現或者不愿意實現的功能，蘋果盡管擁有在芯片和封閉的操作系統的能力，仍無法牽引行業開展更多安全方面的應用。華為從跟隨蘋果的安全解決方案，到自我創新引導整個安全行業的發展，與銀行、互聯網金融機構聯合起來，共同制定智能手機安全規范，從跟隨者到創新領導者，如何做決策，在心態上的轉變過程中相當痛苦。

產業伙伴攜手，推動安全產業升級

2015年至今，央行針對個人信息和銀行卡安全陸續推出一系列通知和管理辦法，要求設備提升安全解決方案，以抵御移動金融業務的風險，其中硬件數字證書和移動終端可信執行環境是保障移動金融業務安全的關鍵解決方案。華為麒麟960率先獲得央行和銀聯雙重安全認證，達到金融級安全標準。這意味著，搭載麒麟960的手機具有和銀聯 IC卡/U盾相同的安全等級，滿足央行的規范要求，以保證移動金融業務的安全開展。

慶幸的是，不止有華為一家在安全應用上做努力。業內有消息指出，高通驍龍835在 SoC中新增一個SPU模塊，用來提升整個手機SoC的安全性， 盡管目前高通SPU方案還未實現商用，但是同樣朝著華為的路在努力。另外，蘋果和三星為了匹配移動支付、eSIM和Pay等創新業務需求，通過配置一到兩顆 eSE芯片實現，盡管這一方案對手機ID、電路板空間及電池容量帶來一定的影響，但確實能夠明顯提升手機的安全性。

筆者認為，對華為來說，只有更多的玩家進來才有可能實現整個安全生態的升級，對消費者來說是一件好事，只有產業界共同努力才能保護消費者的手機安全。除了數據安全保障外，消費者對移動支付、公交卡、e-SIM卡、身份ID和語音通話的安全需求日漸增多，面臨這一巨大需求，只有整個行業共同努力才能讓消費者獲得安全、便捷、高效的金融服務。

如上可見，華為提供了一個基礎能力，能力是基石，最終的安全性是通過這些業務來實現的，其目的是為了建立一個可信任的解決方案，實現可信任的互聯網，開展可信任的業務服務。

“華為inSE方案的目標是提供給一個更安全的方案和保護機制，讓消費者能夠放心使用設備，這是我們推出華為inSE方案的基礎?！睋A為內部人士透露，“今年底旗艦機上市時，針對安全領域，華為將面向金融行業推出全新業務，保障互聯網金融安全?！?/p>