推动物联网“芯”安全技术,四方联手获得国内首家TEE eSIM证书

10月19日,中天微、阿里云IoT、果通科技、中兴微电子联合举办"国产自主物联网SiT芯片安全技术产业研讨会”,会上发布了中天微CK CPU架构基于TEE的SiT(SIM in TEE)安全模组ezUICC on ZX297100。并已通过泰尔实验室的安全认证检测,于本次研讨会上联合颁发国内首家TEE eSIM证书。



基于TEE的SiT独占安全、成本两大优势

今年9月苹果发布双卡双待支持eSIM的新iPhone让eSIM技术引发市场高度关注。实际上eSIM早在多年前就已经开始了技术演进,并发展出实体卡方案(标准eUICC)、无实体卡方案(vSIM、eSE、SiT)、纯软件方案(softSIM)等多种方向。其中成本低的softSIM已被应用在多家国内手机厂商漫游应用中,然而纯软件方案因为Ki(鉴权密钥)和COS(Chip Operating System)都存在APK中,安全度极低很容易被攻击而被主流运营商放弃,目前全球范围内只有MVNOs(虚拟运营商)支持softSIM。

 

实体卡eUICC是被GSMA认可的标准eSIM方案,2016年起GSMA就公布了基于eUICC的远程eSIM配置规范,苹果正是在终端设备中采用,但是标准eUICC由于成本和部署难度的原因并不适合所有终端设备。

在此背景下,基于TEE的eSIM方案逐步被提出讨论。TEE(Trusted Execution Environment)是在移动设备的主芯片上创立一个可信执行环境,再通过对机密性、完整性的保护和数据访问权限的控制,确保端到端的安全(且成本低于eUICC方案)。2017年,泰尔实验室、信通院发起并联合TAF(电信终端产业协会)及多家模组/芯片厂商、解决方案商,集行业之力共同撰写《基于TEE的eSIM技术要求》(以下简称“要求”),并在今年完成定稿。本次四家企业联合推出基于TEE的SiT安全模组ezUICC on ZX297100(第一个支持SiT技术的中兴微电子芯片),成为首款获得TEE eSIM证书的模组产品。


无需插卡即可连接NB-IoT网络

作为eSIM的分支之一,基于TEE的SiT意味着在安全性、成本、便捷性、低功耗的一系列优势,和NB-IoT网络的结合更有利于其在共享单车、智能抄表、可穿戴设备、智能门锁等消费电子领域的商业化落地。

此次通过检测的ezUICC on ZX297100以中兴微电子芯片为载体,采用中天微CPU CK802配置可信执行环境(TEE),集合阿里云IoT提供的Link TEE安全套件和果通科技自主知识产权的可编程eSIM技术SIM2free。共同联合通过了TEE的eSIM技术要求,达到安全标准,一起获得泰尔实验室颁发的首家TEE eSIM安全认证证书。


多方联手打造SiT安全技术

在研讨会上,泰尔终端实验室信息安全部主任工程师国炜肯定了TEE在物联网安全应用领域的前景和意义,并介绍了ezUICC on ZX297100受检的过程以及接下来信通院即将进行的一系列eSIM标准体系制定计划(包括SE、eSE、eUICC等,softSIM因安全级别低不在考虑范围内)


国炜老师表示:“经过泰尔实验室、中国移动、中国联通、中国电信联合验证得出结论,SIM in TEE有低成本、防硬件攻击强的优势,适用于工程检测、农业环境检测等设备安置在危险区域,以及设备具备防拆等安全措施保护下的场景。


中天微副总经理李春强表示:“CK802T是中天微针对物联网研发的极低功耗、极低成本、支持可信执行环境TEE的物联网安全CPU,同时,我们在硬件层面构建了物联网多层次安全芯片平台,在支撑软件方面构建了端云一体的物联网极简开发生态,从而为用户提供软硬件深度磨合优化的物联网端云一体安全套件TrustWare。目前已经在危房监控、环境监测、智能消防、安全门控、物联网DTU等多个领域得到应用。本次发布的SiT,是我们多方经过努力,基于TrustWare研发的又一重大成果,将为物联网终端产品带来成本、功耗、体积和开发便捷等优势,为终端厂家快速推出有特色,有竞争力的物联网产品打下坚实基础。


果通科技CEO施成斌表示:“ezUICC on ZX297100只是一个开始,今后将与合作伙伴共同完成更多能通过第三方认证的物联网安全芯片。

果通科技技术副总裁吴俊表示:“SIM2free为SiT提供符合GSMA RSP规范的LPA,适配TEE安全环境,已对接国内三大运营商及海外Tier1运营商空发接口。此外,果通eSIM数据空发管理平台ezUICC为其提供运营商数据空发,使模组迅速具备网络连接能力。作为参与要求编写的企业之一,有能力提供多种“硬件+软件服务”的eSIM turnkey solution。


SiT搭载NB-IoT网络,大有可为

作为eSIM(嵌入式SIM卡)技术的分支之一,SiT芯片方案基于TEE实现SIM功能,将SIM卡信息内置于处理器中,无需插卡即可独立连接运营商NB-IoT网络,并实现数据空中升级(OTA)和对设备远程配置管理。本次四家企业的强强联手,也预示着SiT安全技术会在物联网领域大有作为。