王石拋棄8848改用OPPO手機(jī)了？因?yàn)橛歇?dú)立安全芯片？

前兩天看到有人爆料王石疑似在使用OPPO Find N3，我第一反應(yīng)是老兄現(xiàn)在終于不用8848了？之前在飛機(jī)上遇到過一個(gè)小老板用8848，好奇之下問他為什么要選這個(gè)手機(jī)，他說安全、私密通話。我尊重你的選擇，但是也可以看出來一些商務(wù)類人士確實(shí)重視信息安全，不僅是8848，這也體現(xiàn)在當(dāng)初華為Mate7的身上。華為Mate7能夠打動(dòng)商務(wù)人士成功走向高端很重要的一個(gè)原因就是這是第一款支持按壓式指紋識(shí)別的安卓手機(jī)，而且與支付寶一起聯(lián)手推出國內(nèi)首個(gè)指紋支付的標(biāo)準(zhǔn)方案。

可能有人不太理解為什么當(dāng)年華為Mate7憑借指紋支付就能確立商務(wù)市場的地位，簡單說還是因?yàn)榘踩Ｆ鋵?shí)華為并不是第一個(gè)支持指紋的安卓廠商，但是另外兩個(gè)安卓旗艦都被發(fā)現(xiàn)了存儲(chǔ)漏洞，因?yàn)樗麄兊闹讣y信息存儲(chǔ)、識(shí)別等都是在安卓框架下進(jìn)行的，黑客攻破了安卓指紋也就暴露了。而iPhone和華為Mate7是在TEE環(huán)境下進(jìn)行的，更加的安全，這里我們也簡單介紹下TEE。

TEE（可信執(zhí)行環(huán)境，trusted execution environment），是CPU中安全的區(qū)域，可以保證其中的程序和數(shù)據(jù)的安全性，它提供安全性更高的執(zhí)行空間，給可信軟件執(zhí)行，其安全性比操作系統(tǒng)更強(qiáng)。ARM的TEE解決方案就是TrustZone，TrustZone 將每個(gè)物理核虛擬為兩個(gè)核，一個(gè)非安全核（Non-secure Core, NS Core），運(yùn)行非安全世界的代碼；和另一個(gè)安全核（Secure Core），運(yùn)行安全世界的代碼，并通過 Monitor Mode 在安全世界和非安全世界之間切換。

換句話說TEE是構(gòu)建在手機(jī)SoC之上的，這比建立在系統(tǒng)中的方案安全的多，因此基于TrustZone的更安全的指紋解決方案成為了華為Mate7異軍突起的主要原因之一，也是支付寶、微信等都支持的金融級(jí)支付的底氣所在。

那有沒有比TrustZone更好的解決方案？當(dāng)然有了，TrusZone是在CPU上劃出的虛擬空間，如果單獨(dú)使用一個(gè)芯片來做這件工作不是更好？當(dāng)然，這需要有個(gè)前提，就是這個(gè)單獨(dú)的芯片要足夠安全。根據(jù)目前的的信息OPPO Find N3就是采用了一顆獨(dú)立的安全芯片，放棄了與主系統(tǒng)共用硬件、僅在邏輯上做隔離的做法， 轉(zhuǎn)而在手機(jī)中額外加入了一整套具備獨(dú)立運(yùn)算、存儲(chǔ)能力的 “小電腦”，使得國密認(rèn)證安全芯片可以完全獨(dú)立于主平臺(tái) SoC 運(yùn)行，讓加密、認(rèn)證計(jì)算和密鑰存儲(chǔ)等工作在物理上完全隔離于主系統(tǒng)之外。

OPPO Find N3的安全芯片安全嗎？國密認(rèn)證安全芯片又是什么？根據(jù)目前的消息，這顆芯片通過了國密二級(jí)安全認(rèn)證。商業(yè)中的國密認(rèn)證一般就指的是GM/T 0008-2012《安全芯片密碼檢測準(zhǔn)則》中的安全等級(jí)的二級(jí)，《安全芯片密碼檢測準(zhǔn)則》將安全芯片安全分為從一級(jí)到三級(jí)安全性逐次增強(qiáng)的3個(gè)等級(jí)。該標(biāo)準(zhǔn)在密碼算法、安全芯片接口、密鑰管理、敏感信息保護(hù)、安全芯片固件安全、自檢、審計(jì)、攻擊的削弱與防護(hù)和生命周期保證9個(gè)領(lǐng)域考查安全芯片的安全能力。國密二級(jí)自然不是最高等級(jí)的安全認(rèn)證，但是二級(jí)對(duì)于商用芯片來說也算是最高級(jí)了，因?yàn)槿?jí)的基本都不是民用的。

這個(gè)獨(dú)立安全芯片能夠給OPPO Find N3帶來什么呢？根據(jù)目前的消息，F(xiàn)ind N3 在實(shí)現(xiàn)前臺(tái)文件的隱藏之上，還實(shí)現(xiàn)了從隱藏到鎖定。通過與主系統(tǒng)物理隔離、擁有獨(dú)立存儲(chǔ)系統(tǒng)的國密認(rèn)證安全芯片，將機(jī)密文件、個(gè)人生物識(shí)別信息、設(shè)備鎖定狀態(tài)與端云傳輸都鎖定在安全芯片中。由于密鑰單獨(dú)存放，經(jīng)過國密認(rèn)證安全芯片加密的信息能夠有效防止攻擊者竊取，下面咱們一個(gè)個(gè)說：

1. 文件鎖防破解：因?yàn)閲苷J(rèn)證安全芯片可以生成密鑰，因此第三方應(yīng)用無法讀取加密的文件，F(xiàn)ind N3 的加密文件只能在私密保險(xiǎn)箱中查看，所以手機(jī)即便丟失被人解鎖了也無需擔(dān)心重要文件的泄漏與破解。
2. 生物信息鎖防盜用：將指紋等個(gè)人生物信息加密并一直保存在本地的國密認(rèn)證安全芯片中。
3. 丟失鎖防盜刷：手機(jī)丟失后可借助國密認(rèn)證安全芯片遠(yuǎn)程鎖定手機(jī)丟失狀態(tài)，防止硬件破解及篡改，并支持一鍵抹除整機(jī)信息，杜絕信息泄露，避免用戶資金被盜刷。
4. 端云傳輸鎖防篡改：Find N3 的安全并不局限在本地，通過終端、云端和傳輸通道三重加密，以及對(duì)多設(shè)備之間數(shù)據(jù)分享的加密，即便所在的網(wǎng)絡(luò)被竊聽，惡意攻擊者也無法解讀傳輸?shù)臋C(jī)密數(shù)據(jù)。

有些功能是原來就有的，采用獨(dú)立芯片后進(jìn)行了安全的升級(jí)，也有一些是新增的，我最感興趣的是文件鎖防破解，這個(gè)功能雖好，可是我們?cè)趺词褂媚兀窟@就不得不提OPPO內(nèi)部三大安全實(shí)驗(yàn)室之一的安珀實(shí)驗(yàn)室，他們自研的“孤島”技術(shù)在Android系統(tǒng)基礎(chǔ)上進(jìn)行了深度定制和優(yōu)化，利用虛擬化技術(shù)，在手機(jī)內(nèi)部創(chuàng)建了多個(gè)獨(dú)立且互不干擾的虛擬空間。用戶可以根據(jù)自己的需求，在不同的虛擬空間中使用不同的應(yīng)用和數(shù)據(jù)。比如，用戶可以在工作空間中使用企業(yè)郵箱、辦公軟件、支付寶等應(yīng)用，而在私人空間中使用微信、QQ、抖音等應(yīng)用。這樣，用戶就可以在不同的場合下，輕松切換不同的安全模式，避免信息泄露或被惡意竊取。

可以看出來，OPPO Find N3這是把安全進(jìn)行到底呀，這里要強(qiáng)調(diào)一下，以前OPPO也很重視安全防護(hù)，只是原來的安全主要是在系統(tǒng)UI層面，這次是在原來的基礎(chǔ)上對(duì)硬件層級(jí)進(jìn)行了升級(jí)優(yōu)化。這種做法以往常常出現(xiàn)在超高端手機(jī)中，如三星自家的 KNOX，支持硬件熔斷機(jī)制；還有蘋果，T2 安全芯片從生物信息到數(shù)據(jù)加密均支持，OPPO Find N3 這次加入一顆國密二級(jí)認(rèn)證獨(dú)立安全芯片，看來也是打算以此為突破口在高端占領(lǐng)一席之地。

安全很重要，但是要站上高端僅僅有安全是不行的，劉作虎之前發(fā)微博表示：在發(fā)布 Find N3 Flip 的時(shí)候，說過新形態(tài)本來是一種優(yōu)勢，不應(yīng)該有了形態(tài)卻犧牲體驗(yàn)。但現(xiàn)在的折疊產(chǎn)品，為了追求單一的輕薄，把折疊形態(tài)變成了一種借口：一折屏幕效果打折，一折影像體驗(yàn)打折，一折系統(tǒng)便捷性打折。這次OPPO Find N3要讓折疊屏一折遮三丑的時(shí)代成為過去，輕薄質(zhì)感、影像效果、屏幕素質(zhì)、系統(tǒng)交互、大屏體驗(yàn)，一個(gè)都不能少。

隨后還公布了一組照片，從這組照片的拍照效果來說Find N3確實(shí)優(yōu)秀，OPPO的影像能力在年初發(fā)布的Find X6系列上就得到了證明，絕對(duì)是今年最優(yōu)秀的影像旗艦手機(jī)之一，看來這次也挪移了一些技術(shù)給Find N3，還真讓人有點(diǎn)期待，會(huì)不會(huì)實(shí)測也是拍照最好的折疊屏手機(jī)。

10年前，華為Mate7憑借著首款安卓按壓式指紋識(shí)別以及基于TEE的金融級(jí)指紋安全認(rèn)證成功讓Mate系列走向高端。現(xiàn)在OPPO 推出了基于獨(dú)立的國密芯片的Find N3，安全性進(jìn)一步升級(jí)，能不能借此進(jìn)一步鞏固OPPO在折疊屏市場的領(lǐng)先地位呢？還是坐等Find N3的發(fā)布吧，也想看看它除了安全之外拍照到底有多好。