10月19日,果通科技、中天微、阿里云IoT、中兴微电子联合举办“物联网SiT(SIM in TEE)芯片安全技术产业研讨会”,会上发布了中天微CK CPU架构基于TEE的SiT安全模组ezUICC on ZX297100,果通科技ezUICC为其提供技术支持。这款SiT模组已通过泰尔实验室的安全认证检测,于本次研讨会上联合颁发首家TEE+eSIM证书(编号:2018CTTL-T001)。
作为eSIM(嵌入式SIM卡)技术的分支之一,SiT芯片方案基于TEE实现SIM功能,将SIM卡信息内置于处理器中,无需插卡即可独立连接运营商NB-IoT网络,并实现数据空中升级(OTA)和对设备远程配置管理,预计会在物联网领域大有作为。
基于TEE+eSIM独占安全、成本两大优势
今年9月,苹果发布双卡双待支持eSIM的新iPhone让eSIM技术引发市场高度关注。实际上eSIM早在多年前就已经开始了技术演进,并发展出实体卡方案(标准eUICC)、无实体卡方案(vSIM、eSE)、纯软件方案(softSIM)等多种方向。其中成本低的softSIM已被应用在多家国内手机厂商漫游应用中,然而纯软件方案因为Ki(鉴权密钥)和COS(Chip Operating System)都存在APK中,安全度极低很容易被攻击而被主流运营商放弃,目前全球范围内只有虚拟运营商支持softSIM。
实体卡eUICC是被GSMA认可的标准eSIM方案,2016年起GSMA就公布了基于eUICC的远程SIM配置规范,苹果正是在终端设备中采用,但是标准eUICC由于成本和部署难度的原因并不适合所有终端设备。
在此背景下,基于TEE的SIM方案逐步被提出讨论。TEE(Trusted Execution Environment)是在移动设备的主芯片上创立一个可信执行环境,再通过对机密性、完整性的保护和数据访问权限的控制,确保端到端的安全(且成本低于eUICC方案)。2017年,泰尔实验室、信通院共同发起并联合TAF(电信终端产业协会)及多家模组/芯片厂商、解决方案商,集行业之力撰写《基于TEE的eSIM技术要求》(以下简称“要求”),并于今年完成定稿。
近两年来智能设备安全漏洞事件频发,让行业内外都已意识到物联网安全保障已经到了刻不容缓的关键时刻。中天微与阿里云IoT携手eSIM安全连接方案商果通科技、芯片制造厂商中兴微电子联合推出SiT安全模组ezUICC on ZX297100,并通过泰尔实验室依据“要求”的安全检测,成为首款获得安全证书的模组产品。
无需插卡即可连接NB-IoT网络
果通科技在研讨会上透露了对ezUICC on ZX297100的贡献,果通自主知识产权的可编程eSIM技术SIM2free基于中兴微rosefinch芯片平台实现了SIM功能。果通科技技术副总裁吴俊表示:“果通为SiT提供规范的SIM TA,适配TEE安全环境,对接国内运营商及海外Tier1运营商接口。此外,果通eSIM数据空发管理平台为其提供连接管理能力,使模组具备网络连接能力。果通科技有能力提供“硬件+软件服务”的eSIM turnkey solution,SiT只是一个开始,今后我们将与合作伙伴共同完成更多能通过安全标准检测的物联网eSIM芯片。”
通过泰尔实验室的安全检测
研讨会发言中,国炜专家肯定了TEE在物联网安全应用领域的前景和意义,国炜表示,经过泰尔实验室、中国移动、中国联通、中国电信联合对SIM in TEE进行验证后,可以肯定SiT在成本、防硬件攻击、功耗等几个维度的优势,更容易让厂商在安全与成本之间寻找一个有利的平衡点,在工业检测、农业环境检测等几个领域有广阔的应用场景。
此次发布的ezUICC on ZX297100采用中天微提供的国产自主CPU架构,可灵活配置可信执行环境(TEE)并将TEE与非安全区隔离,确保用户信息、核心数据、密钥和代码在可信环境中存储和处理。芯片生产商中兴微电子副总裁童小九在演讲中表示,SiT将提供硬件安全空间配置实现对关键外设的安全访问,这意味着即便遭到病毒攻击,安全区域仍能最大程度地保护信息安全。
四家受检单位接受了泰尔实验室颁发的首家TEE SIM安全认证证书,SiT意味着在安全性、成本、便捷性、低功耗的一系列优势,和NB-IoT网络的结合更有利于其在共享单车、智能抄表、可穿戴设备、智能门锁等消费电子领域的商业化落地。