2024年RISC-V安全可信技術(shù)白皮書-中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

編或利用其它方式使用本白皮書文字或者觀點(diǎn)的，應(yīng)注明“來源：中國電子工本白皮書由海思技術(shù)有限公司牽頭，參與編寫單位包括：平頭哥半導(dǎo)司、芯昇科技有限公司、北京奕斯偉計(jì)算技術(shù)股份有限公司研究中心、北京智芯微電子科技有限公司、復(fù)旦大學(xué)、北京開源芯片研究院、息技術(shù)有限公司、中國電信股份有限公司研究院、中國科學(xué)院軟件研究所、螞蟻安全實(shí)驗(yàn)室。主要參與編寫人員：駱華敏、張濤、袁文鴻、崔曉夏、吳超、柳耀郝向宇、曹鎏、許智芯、武洲銘、馬俊、韓軍、楊卓沅、張健、潘尚杰、劉浩硬件安全尤其是處理器安全是安全技術(shù)發(fā)展的重要方向之一，是產(chǎn)品安全RISC-V作為新興的處理器指令集架構(gòu)有將近三分之一都與安全技術(shù)相關(guān)，在短短幾年時(shí)間里，先后標(biāo)準(zhǔn)化Machine/SupervisorMode特權(quán)模式，PMP/ePMP術(shù)應(yīng)用在智能家居、智能穿戴、安全芯片等產(chǎn)品領(lǐng)域，但技術(shù)碎片化嚴(yán)重，安全關(guān)鍵技術(shù)，以及安全應(yīng)用實(shí)例等四個(gè)維度做了概覽性介紹安全可信貫穿于電力系統(tǒng)用電配電的全過程，是電力系統(tǒng)穩(wěn)定運(yùn)行的示例的電力系統(tǒng)中，終端和主站之間會(huì)有大量的數(shù)據(jù)交互，如用電信息，購電主站需要實(shí)現(xiàn)對(duì)終端設(shè)備的安全認(rèn)證、對(duì)業(yè)務(wù)數(shù)據(jù)的傳輸加密、簽名能，以確保信道傳輸業(yè)務(wù)數(shù)據(jù)的保密性和完整性。并通過密鑰的生成、分發(fā)、備份、銷毀等功能，確保密鑰體系的4)密碼算法安全：設(shè)備應(yīng)采用強(qiáng)度適當(dāng)當(dāng)前主流智能穿戴設(shè)備（智能手表、智能手藍(lán)牙等短距通信協(xié)議進(jìn)行；綁定成功后，智能穿戴設(shè)備可以用支付應(yīng)用的用戶賬戶進(jìn)行扣款支付。智能穿戴設(shè)備在支付時(shí)只需要出具二維碼或條形碼，掃碼據(jù)加密后再進(jìn)行傳輸，防止敏感數(shù)據(jù)被中間人竊取或破智能家居的典型應(yīng)用場景如圖3所示，手機(jī)有線網(wǎng)絡(luò)或Wifi無線網(wǎng)絡(luò)聯(lián)接各種智能家居端，直接通過Wifi/藍(lán)牙等短距無線協(xié)議聯(lián)接智能家居設(shè)備。典型的智能家括智能路由器、智能電視、智能攝像機(jī)、智能臺(tái)燈、智能空調(diào)等。智能家居設(shè)2)設(shè)備服務(wù)可用性：設(shè)備應(yīng)能夠持續(xù)為用戶提供服務(wù)3)用戶數(shù)據(jù)的機(jī)密性與完整性：設(shè)備采集、處理、存人臉支付智能終端的常見應(yīng)用場景包括校園團(tuán)餐機(jī)、商場超市自助收銀快遞貨柜、自助醫(yī)保支付終端等。人臉支付智能終端將刷臉核驗(yàn)身份作為用戶支證，免去用戶掃碼行為，簡化了支付流程，提供了極大的支付便利。與此同時(shí)是重要的人臉信息生產(chǎn)要素，它的泄漏可能會(huì)造成人臉數(shù)據(jù)?數(shù)字身份：通過網(wǎng)絡(luò)身份認(rèn)證與超級(jí)手機(jī)卡組合，將用戶的電子身份憑證(姓名、宿、治安卡口、網(wǎng)吧上網(wǎng)等多場景的應(yīng)用，用安全可信、使用便捷的身份認(rèn)成為人們生活的“通行證”。?數(shù)字人民幣：運(yùn)營商均積極參與數(shù)字人民幣研發(fā)和試點(diǎn)，以SIM卡為載體的硬錢包隨著汽車智能化、網(wǎng)聯(lián)化和電動(dòng)化程度的不斷提益復(fù)雜，安全挑戰(zhàn)也日益提升，容易成為不法分子的攻聯(lián)汽車安全包括信息安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等多個(gè)范疇，關(guān)系到車主、乘制、輔助駕駛等多個(gè)域的控制器。企業(yè)一方面需要考慮產(chǎn)品開發(fā)和上市滿足相3)安全診斷：對(duì)診斷接口接入進(jìn)行鑒權(quán)，并在4)數(shù)據(jù)機(jī)密性和完整性：數(shù)據(jù)在采集、處理、存儲(chǔ)和通信過程中5)功能可用性：通過冗余設(shè)計(jì)和魯棒性設(shè)計(jì)，確?硬件4)安全子系統(tǒng)：包括密碼算法、密鑰管理、隨機(jī)數(shù)和可選?固件?軟件3)應(yīng)用軟件：包括普通應(yīng)用軟件和運(yùn)行在可安全目標(biāo)是產(chǎn)品期望采取安全防護(hù)設(shè)計(jì)達(dá)到的保護(hù)目的。不同安全等?設(shè)備唯一標(biāo)識(shí)：設(shè)備唯一標(biāo)識(shí)是安全管理的基礎(chǔ)，設(shè)備入網(wǎng)注冊(cè)與退網(wǎng)管理、軟件?設(shè)備啟動(dòng)完整性：指設(shè)備啟動(dòng)過程中運(yùn)行的程序與關(guān)鍵參數(shù)未被篡改，是設(shè)備可信?設(shè)備運(yùn)行完整性：指設(shè)備正常運(yùn)行時(shí)的程序與關(guān)鍵參數(shù)未被篡改，是設(shè)備可持續(xù)提?數(shù)據(jù)完整性與私密性：指設(shè)備業(yè)務(wù)與應(yīng)用軟件采集、處理、存儲(chǔ)與傳輸?shù)臄?shù)據(jù)不被?關(guān)鍵數(shù)據(jù)完整性與私密性：指用于數(shù)據(jù)加密或簽名的密鑰、隨機(jī)數(shù)等關(guān)鍵數(shù)據(jù)不被設(shè)備在啟動(dòng)與運(yùn)行過程中，存在著各種各樣對(duì)安全目?惡意軟件攻擊：設(shè)備軟件程序包可能在安裝或升級(jí)過程中被植入木馬或間諜軟件，在設(shè)備正常運(yùn)行時(shí)破壞設(shè)備提供的服務(wù)或竊取數(shù)據(jù)；也可能在用戶使用設(shè)備的操作過程中觸發(fā)惡意程序執(zhí)行，推送非法廣告、破壞設(shè)備提供的服務(wù)或竊取數(shù)?遠(yuǎn)程網(wǎng)絡(luò)攻擊：設(shè)備軟硬件可能存在能夠被利用的漏洞，通過運(yùn)行少量的代碼或修改特定的數(shù)據(jù)，即可獲得設(shè)備的控制權(quán)，從而劫持設(shè)備或竊取數(shù)據(jù)；也可能通?中間人攻擊：設(shè)備在與其他設(shè)備通信時(shí)，可能被中間人獲取雙方通信的信息，竊聽?近端硬件攻擊：攻擊者可物理接近設(shè)備，通過硬件外設(shè)接口、軟件程序替換、硬件故障注入等手段獲得設(shè)備的控制權(quán)，從而劫持設(shè)備或竊安全啟動(dòng)是設(shè)備啟動(dòng)環(huán)節(jié)的重要安全保障機(jī)制，通過驗(yàn)證啟動(dòng)路徑上簽名，以識(shí)別和阻斷未經(jīng)驗(yàn)證的惡意軟件加載和運(yùn)行。作為保護(hù)設(shè)備安全的第一道防安全啟動(dòng)一旦缺失或被破壞，可使惡意攻擊者獲取最高訪問權(quán)限、進(jìn)而完全控制設(shè)備個(gè)固件組件都必須經(jīng)過前一組件的驗(yàn)證，從而建立起一個(gè)完整的信任鏈。驗(yàn)證機(jī)制包括驗(yàn)證固件的數(shù)字簽名，確保其來源真實(shí)可信，沒有被篡改。如果驗(yàn)證失敗，將拒絕加行該固件，從而防止惡意軟件的攻擊和植入，保護(hù)系統(tǒng)啟動(dòng)安全算法：安全算法既可以用于對(duì)固件進(jìn)行簽名和驗(yàn)為了高效地進(jìn)行固件驗(yàn)證，RISC-V安全啟動(dòng)可能會(huì)設(shè)計(jì)特定的安全算法。例如Codasip公司為RISC-V處理器系列增加的Veridify安全完整性保護(hù)：RISC-V安全啟動(dòng)過程的完整性保護(hù)技術(shù)主過的攻擊。攻擊手段包括安全啟動(dòng)相關(guān)配置篡改和針對(duì)處理器運(yùn)行的故障注入攻擊啟動(dòng)相關(guān)的配置包括校驗(yàn)使能配置、密鑰算法配置等，通過修改配置可繞過安全啟或降低安全級(jí)別。故障注入攻擊則是通過電壓、電磁、時(shí)鐘、激光等手段在處理器行時(shí)注入故障毛刺，使處理器繞過關(guān)鍵代碼的執(zhí)行或出現(xiàn)異常跳轉(zhuǎn)而繞過安全啟動(dòng)護(hù)。相應(yīng)的保護(hù)技術(shù)包括冗余校驗(yàn)、隨機(jī)延時(shí)、訪問控制、sensor檢測等。冗余過增加冗余配置信息和多次校驗(yàn)可增加攻擊難度。隨機(jī)延時(shí)可使得處理器運(yùn)行時(shí)間不測，從而增加故障注入攻擊實(shí)施的工程難度。訪問控制通過配置安全啟動(dòng)代碼運(yùn)行空權(quán)限，可縮小攻擊面。Sensor檢測技術(shù)通過檢測芯片電壓、時(shí)鐘等環(huán)境參數(shù)異片受到故障注入攻擊時(shí)告警并采取對(duì)應(yīng)的防護(hù)訪問控制是一種對(duì)處理器訪問系統(tǒng)資源進(jìn)行保護(hù)的技術(shù)，使處理器在系統(tǒng)軟件控制下特權(quán)模式：RISC-V支持多種特權(quán)模式，包括機(jī)器模式(擁有最高級(jí)別的權(quán)限，可以操作所有的控制狀態(tài)寄存器，是系統(tǒng)設(shè)計(jì)中必須實(shí)現(xiàn)的模式。用戶模式擁有最低的權(quán)限，通常用于執(zhí)行來自用戶的操作，因其程序來源復(fù)雜多度低。通過用戶模式操作權(quán)限進(jìn)行限制，如讀寫內(nèi)存、訪問文件、訪問外設(shè)資源等添限控制，可降低系統(tǒng)風(fēng)險(xiǎn)。管理模式比用戶模式有更高的權(quán)限，可以在機(jī)器模式的允區(qū)域可以授予不同的訪問權(quán)限，包括讀、寫和可執(zhí)行權(quán)限。其中讀權(quán)限可用于代碼和的私密性保護(hù)，寫權(quán)限可用于代碼和數(shù)據(jù)被非法篡改的保護(hù)，可執(zhí)行權(quán)限可用于代碼限單獨(dú)配置，從而實(shí)現(xiàn)M模式與U模式下的訪問權(quán)限控制隔離，其中M模式擁有最高權(quán)限步提供管理模式和用戶模式下讀、寫和可執(zhí)行權(quán)限獨(dú)立配置的技術(shù)，從而實(shí)現(xiàn)管理模運(yùn)行完整性保護(hù)技術(shù)主要用于抵抗代碼注入和代碼重用類攻擊，包括堆棧溢出攻擊、ROP(堆棧返回指針程序利用)攻擊、JOP(跳轉(zhuǎn)指針程序利用）攻擊等。攻擊者通過使影子堆棧技術(shù)是一種常用的防止堆棧溢出和ROP攻擊技術(shù)，該技術(shù)通過在處理器執(zhí)行壓棧操作時(shí)備份出棧需要用到的影子返回指針，在執(zhí)行出棧操作時(shí)檢查出棧指針和備影子指針是否一致，若一致說明程序執(zhí)行正常，若不一致可判定為受到攻擊。影子堆術(shù)既可以通過軟件在編譯時(shí)添加編譯選項(xiàng)實(shí)現(xiàn)，也可以通過處理器硬件自動(dòng)備份和檢展、處理器微架構(gòu)設(shè)計(jì)和編譯工具鏈修改適配，將原來的指針和通用寄存器以提供更加精細(xì)的指針控制粒度，達(dá)到防止堆棧溢出、ROP/JO所有的指針和通用寄存器長度的擴(kuò)展也帶來一定的硬件和軟件成本技術(shù)通過指令集擴(kuò)展、處理器微架構(gòu)設(shè)計(jì)和編譯工具鏈修改適配，在軟件代碼編譯時(shí)別出代碼和代碼指針并進(jìn)行加密，然后在處理器執(zhí)行指令時(shí)進(jìn)行解密，可實(shí)現(xiàn)代碼和指針在整個(gè)存儲(chǔ)和運(yùn)行過程中一直保持密文，從而有效阻斷遠(yuǎn)程代碼執(zhí)行和代碼注入的風(fēng)險(xiǎn)。Morpheus技術(shù)已發(fā)展出兩代硬件可信根指的是系統(tǒng)可以一直信任的一組硬件安全單元，是構(gòu)建系統(tǒng)安全可礎(chǔ)。硬件可信根的安全等級(jí)也直接決定了系統(tǒng)可達(dá)到的最高安全等級(jí)。硬件可信根為其它組件提供基礎(chǔ)安全服務(wù)，如基于非對(duì)稱密碼算法的驗(yàn)簽服務(wù)、數(shù)據(jù)完整性校驗(yàn)服數(shù)據(jù)加解密服務(wù)、敏感數(shù)據(jù)的安全存儲(chǔ)服務(wù)等。硬件可信根至少要能夠提供系統(tǒng)啟動(dòng)的驗(yàn)簽服務(wù)、完整性校驗(yàn)服務(wù)和啟動(dòng)相關(guān)密鑰的安全存儲(chǔ)服務(wù)，部分專用的硬件可信啟動(dòng)結(jié)束后還能夠繼續(xù)為系統(tǒng)提供安全存儲(chǔ)、可信證明、完整性保護(hù)等服硬件可信根的組成如圖6所示，包括安全處理器、可信服務(wù)碼算法、密鑰管理、安全時(shí)鐘和安全存儲(chǔ)等模塊。安全處理器是獨(dú)立于芯片主處理器用處理單元，為減小攻擊面通常只用來運(yùn)行硬件可信根程序。可信服務(wù)固件運(yùn)行在與軟件隔離的存儲(chǔ)區(qū)域，可以是ROM和專用的RAM。硬件真隨機(jī)數(shù)提供基于硬高質(zhì)量物理真隨機(jī)數(shù)。密碼算法提供加解密、簽名驗(yàn)簽和Hash計(jì)算能力。密鑰管供密鑰派生能力。安全時(shí)鐘提供不受系統(tǒng)其他處理單元控制的時(shí)鐘。安全存儲(chǔ)提供硬硬件可信根的形態(tài)包括獨(dú)立安全芯片和主芯片內(nèi)置安全子系統(tǒng)兩種，手機(jī)與嵌RISC-V處理器可以作為硬件可信根的安全處理器特性，如內(nèi)部指令流水線和寄存器的Parity或CRC校驗(yàn)、存儲(chǔ)空間讀/寫/執(zhí)控制、存儲(chǔ)單元數(shù)據(jù)加擾與CRC校驗(yàn)、指令隨著計(jì)算技術(shù)的發(fā)展，業(yè)務(wù)系統(tǒng)的復(fù)雜度不斷提升，的漏洞風(fēng)險(xiǎn)，給業(yè)務(wù)和數(shù)據(jù)安全帶來挑戰(zhàn)。為解決這一問題，采用隔離機(jī)制為安全敏業(yè)務(wù)構(gòu)建獨(dú)立的可信執(zhí)行環(huán)境以降低安全業(yè)務(wù)的風(fēng)險(xiǎn)，成為安全技術(shù)發(fā)展方向之一。與基于特權(quán)模式的權(quán)限控制機(jī)制不同的是，TESifiveWorldguardTEE【3】方案使用理下，可同時(shí)實(shí)現(xiàn)多個(gè)可信執(zhí)行環(huán)境。處理器在特權(quán)軟件的管北京奕斯偉計(jì)算RVM-TEE支持Normal和SecureDomain，通過擴(kuò)展安全指令支持硬件快速切換，具有低切換延時(shí)、低占用空間、高響應(yīng)速度的特征，可以滿足物聯(lián)網(wǎng)場成本產(chǎn)品的安全需求。該方案實(shí)現(xiàn)了一種安全擴(kuò)展模式，用以指示硬件線程當(dāng)前處于模式或普通模式；對(duì)標(biāo)準(zhǔn)定義的PMP功能進(jìn)行了擴(kuò)展中斷的操作模式，以實(shí)現(xiàn)硬件中斷隔離功能；為實(shí)現(xiàn)硬件安全調(diào)試功能增加了調(diào)試的狀態(tài)；擴(kuò)展了新指令和影子寄存器，支持硬件切換安全模式；定義了可配置的域標(biāo)識(shí)DomainID，用以將運(yùn)行的狀態(tài)發(fā)送至機(jī)密計(jì)算聯(lián)盟(ConfidentialComputingConsortium)從機(jī)密計(jì)算的角信執(zhí)行環(huán)境，確保數(shù)據(jù)在使用階段的機(jī)密性、完整性與可隨著數(shù)字化轉(zhuǎn)型的加速，數(shù)據(jù)安全成為企業(yè)和政府機(jī)保護(hù)信息安全的核心技術(shù)，其性能和效率直接影響整個(gè)系統(tǒng)的安全性和響應(yīng)速度。法通常分為對(duì)稱加密算法、非對(duì)稱加密算法和哈希函數(shù)三大類。每類算法都有其獨(dú)用場景和面臨的技術(shù)挑戰(zhàn)，如對(duì)稱加密算法的密鑰管理和分發(fā)問題、非對(duì)稱加密算硬件密碼加速是使用定制的硬件來實(shí)現(xiàn)密碼算法，提高密碼算法的執(zhí)行速度和效率。這些硬件實(shí)現(xiàn)的密碼算法相比軟件實(shí)現(xiàn)的密碼算法通常具有更高的執(zhí)行速度、更高基于RISC-V架構(gòu)的安全芯片可提供硬路，對(duì)特定的密碼算法（如AES、SM4、RSA、ECC、載和芯片功耗。硬件加速實(shí)現(xiàn)的密碼算法通常具備防側(cè)信道攻擊的特性，通過特殊），密碼算法的執(zhí)行。K擴(kuò)展是專為加密算法設(shè)計(jì)提高這些算法的執(zhí)行速度和效率。在現(xiàn)代處理器架構(gòu)種，可通過如多級(jí)緩存、預(yù)取RISC-V架構(gòu)的模塊化設(shè)計(jì)允許在不改變基本架構(gòu)的情況下對(duì)特定的應(yīng)用場景優(yōu)化加密性能，從而滿足從嵌入式系統(tǒng)到高性能計(jì)算環(huán)境的不同需求。例如，在嵌入式設(shè)備領(lǐng)域，可以優(yōu)化能耗和執(zhí)行速度，而在數(shù)據(jù)中心則可能更關(guān)注于數(shù)據(jù)塊，極大提高哈希算法和對(duì)稱加密算法的處理速度。此外，持?jǐn)?shù)據(jù)的并行處理，適用于現(xiàn)代加密算法中的并行數(shù)據(jù)流，提高加密任務(wù)的吞吐量。法中的并行數(shù)據(jù)處理。使用接近硬件層面的理器的并行能力和內(nèi)存訪問，這種底層的訪問允許開發(fā)者優(yōu)化加密算法的內(nèi)存使用模減少緩存未命中的情況，從而提高整體的執(zhí)行效率。這種靈活性與擴(kuò)展性在保持架構(gòu)側(cè)信道攻擊是被廣泛使用的一種信息竊取手段，攻擊者并不直接攻擊算法可能存在的傳統(tǒng)側(cè)信道攻擊的軟硬件防御技術(shù)研究已有它們的衍生變體。它們利用處理器微架構(gòu)的分支預(yù)測、亂序執(zhí)行等高性能技術(shù)，令流的執(zhí)行繞過軟硬件安全檢查、竊取用戶信通過對(duì)需要保護(hù)的數(shù)據(jù)進(jìn)行加密，從而重點(diǎn)防御這部分信息遭受側(cè)信道攻擊。具該技術(shù)需要在軟件編程的時(shí)候?qū)?shù)據(jù)打上標(biāo)簽以區(qū)分加密數(shù)據(jù)和普通數(shù)集進(jìn)行擴(kuò)展增加秘密訪存指令、加密指令和解密指令等。秘密訪存指令只能訪問指定儲(chǔ)區(qū)域，可以將密文存儲(chǔ)其中，通過加密指令對(duì)數(shù)據(jù)加上加密標(biāo)簽，而解密指令則去在RISC-V架構(gòu)中，許多側(cè)信道攻擊的手段都需要用到rdcycle和rdinstretCSR指令去讀取執(zhí)行時(shí)間信息，并且標(biāo)準(zhǔn)規(guī)范允許用戶模式下使用這兩條指令?？梢酝ㄟ^增加模式權(quán)限控制或增加保護(hù)開關(guān)等方式，對(duì)使用這兩條指令的場景進(jìn)行嚴(yán)格限制從而降低側(cè)許多側(cè)信道攻擊都是針對(duì)訪存操作攻擊，其假設(shè)數(shù)據(jù)和存儲(chǔ)地址存在一一對(duì)應(yīng)關(guān)系，通過地址信息來破解數(shù)據(jù)?？梢酝ㄟ^改變這種一一對(duì)應(yīng)的映射關(guān)系使得攻擊者在訪存的時(shí)候?qū)⒌刂放cCSR-m進(jìn)行哈希運(yùn)算，得到一個(gè)軟件不可知的地址，從而改變?cè)械牡刂放c數(shù)據(jù)映射關(guān)系。CSR-m可以根據(jù)軟件的需要進(jìn)行選擇側(cè)信道攻擊通過推測執(zhí)行的訪存和分支跳轉(zhuǎn)等執(zhí)行時(shí)間差異獲取指令執(zhí)行時(shí)的信息。的指令，通過設(shè)置特定的條件禁止部分推測指令執(zhí)行，達(dá)到防御側(cè)信道攻擊的目的。比如件環(huán)境安全保障。安全啟動(dòng)是一個(gè)關(guān)鍵的安全機(jī)制，它確保設(shè)備僅執(zhí)行驗(yàn)證過的、可是安全啟動(dòng)過程中驗(yàn)證軟件完整性和真實(shí)性的基礎(chǔ)。在設(shè)備啟動(dòng)時(shí)，使用這些預(yù)置的組件進(jìn)行數(shù)字簽名驗(yàn)證。只有當(dāng)軟件組件的簽名驗(yàn)證通過，該組件才被允許執(zhí)行。這程確保設(shè)備從啟動(dòng)固件到應(yīng)用程序的每一部分都是可信的，未被篡改4)操作系統(tǒng)驗(yàn)證：引導(dǎo)程序使用校驗(yàn)過的公鑰，進(jìn)證通過后，加載并運(yùn)行操作系統(tǒng)。根據(jù)操作系統(tǒng)的需要，處理器可能切換到管理模的遠(yuǎn)程獲取、加密傳輸、本地安全存儲(chǔ)等安全問題。通過在工廠產(chǎn)線部署K戶端提供的功能接口獲取支付憑證，對(duì)支付憑證解密后進(jìn)行完整性校驗(yàn)，再注安全芯片內(nèi)，最后通過調(diào)用安全芯片的校驗(yàn)接口對(duì)注入的憑證里的證書進(jìn)行（如手機(jī)）通過安全通訊（藍(lán)牙或Wi-Fi）進(jìn)行支付賬號(hào)綁戴支付設(shè)備使用支付憑證里的私鑰進(jìn)行數(shù)據(jù)簽名，通過支付應(yīng)用APP轉(zhuǎn)發(fā)給支付服進(jìn)行關(guān)聯(lián)，完成設(shè)備激活。設(shè)備激活以后，穿戴支付設(shè)備后續(xù)的支付金額都會(huì)由綁3)支付設(shè)備安全支付：在利用穿戴支付設(shè)備進(jìn)行支付算法生成支付二維碼。支付二維碼生成環(huán)境應(yīng)在硬件隔離的安全執(zhí)行環(huán)境保證生成支付憑證的密鑰和算法的安全性。收款設(shè)備成功掃描支付二維碼后可以獲付服務(wù)器會(huì)校驗(yàn)支付憑證和設(shè)備身份，然后在其關(guān)聯(lián)的支付賬戶里扣除對(duì)應(yīng)的支付4)支付設(shè)備安全注銷：用戶可能存在更換支付賬號(hào)進(jìn)行注銷，用戶可以通過穿戴支付設(shè)備上的應(yīng)用功能菜單進(jìn)行注銷，其會(huì)刪有和已有賬戶綁定的支付數(shù)據(jù)和文件，只保留原始的支付憑證。這樣注銷用戶又可以通過支付設(shè)備激活流程重新進(jìn)行新的支付賬號(hào)支付寶校園一臉通行是支付寶為線下校園社區(qū)場景推出的應(yīng)用服務(wù)，通過對(duì)學(xué)體卡、二維碼等身份載體進(jìn)行人臉升級(jí)，實(shí)現(xiàn)刷臉考勤、刷臉吃飯等功能，讓校園校園一臉通行方案如圖10所示。為解決網(wǎng)絡(luò)環(huán)境差，刷上刷臉支付方式響應(yīng)慢、耗時(shí)久，難以提供好的體驗(yàn)問題，該方案將刷臉核驗(yàn)身份環(huán)節(jié)前置到終端設(shè)備。通過將校園社區(qū)的人臉特征庫提前加密預(yù)置到終端設(shè)備，可充分發(fā)揮終端為設(shè)備的可信因子，結(jié)合其他設(shè)備硬件信息，派生出安全通道密鑰和業(yè)務(wù)建立與設(shè)備關(guān)聯(lián)的一機(jī)一密密鑰體系。后續(xù)業(yè)務(wù)基于安全通道進(jìn)行云端與敏感數(shù)據(jù)傳遞，并使用設(shè)備唯一密鑰進(jìn)行業(yè)務(wù)報(bào)文加密或者簽名，在云端密或者驗(yàn)簽，確保業(yè)務(wù)發(fā)起的真實(shí)性和傳輸過程的機(jī)密性與2)人臉數(shù)據(jù)采集使用活體檢測技術(shù)，3)預(yù)置在終端設(shè)備的人臉特征使用一4)隨著特征模版庫向端側(cè)下發(fā)，檢索決策的模型數(shù)據(jù)也必須隨之下發(fā)到端側(cè)進(jìn)理運(yùn)算。模型數(shù)據(jù)是重要的數(shù)據(jù)資產(chǎn)，也是人臉數(shù)據(jù)被逆向的突破口安全性非常關(guān)鍵。端側(cè)模型數(shù)據(jù)同樣采用加參考文獻(xiàn)【1】