聚焦安全芯片高通骁龙8 Gen1 SPU定制版移动平台

智能手机的安全风险

如今的智能手机早就摆脱了“手机”的固有身份，成为了用户接入互联网的重要载体，每天都会产生大量的隐私信息，比如聊天内容、浏览历史、交易记录等等（图1）。此外，通过手机就能随时开通各种金融服务、生活缴费、投资理财，它在方便我们生活之余也存在着巨大的安全风险。

特别是以开放著称的Android系统，没有统一的（谷歌）官方应用商店，哪怕是正规的APP也存在过度获取系统权限（如开启MIC、相机、地理位置）、频繁收集用户使用习惯的行为（如剪切板、购买记录、聊天信息）（图2），它们收集的庞大用户数据，也是很多互联网企业重要的生财之道。

一旦手机遗失，或是没注意点开了短信里的地址链接，抑或安装了内藏木马病毒的APP，细思极恐。

金立手机的安全试水

在移动支付流行之前，手机安全并不受太多人的关注，设定锁屏密码，能将隐私应用和文件隐藏起来就足够了。随着人们对支付安全和个人隐私的需求日益提升，2016年金立首次提出了内置安全芯片的概念。

当年上市的金立M6就首发内置安全芯片（图3），而金立也針对这个芯片开发了私密空间2.0 APP。在这个APP里添加的通话记录、联系人、短信、图片、文件等内容都会被安全芯片进行一番加密。想对这些加密的文件进行解码，必须由对其加密的安全芯片才能进行，而每一台手机的安全加密芯片具有唯一性，一块芯片仅对应一部手机（就是和CPU编号绑定）（图4）。换句话说，哪怕有人将M 6里加密过的文件拷贝到PC，或是复制到另外一台M 6手机里，即使能通过暴力破解打开，所看到的也只是一堆乱码而已。

2017年，金立又发布了内置双安全芯片的M7手机，除了安全加密芯片以外，还新增了一颗“支付安全加密芯片”，通过双安全芯片和N FC+金立钱包，构建了更安全和方便的支付渠道（图5）。金立M7的加密原理流程大致如下：在交易环节，金立钱包产品有3重安全保护措施，第1重受金融IC卡本身的安全机制保护，它具有防复制、防攻击等多种安全特性;第2重受Token标记化安全机制保护，设备卡全面采用了To ke n机制，Token号由发卡银行或者银联随机分配，一旦激活即不再重用，Token信息脱离手机设备无法单独使用，保障了持卡人真实银行帐号的安全;第3重受密码或指纹保护，没有通过指纹验证确认（或输入Passc ode），外界也无法访问安全芯片（包括其中的安全域）。即便手机设备丢失，也不会存在被盗刷的风险。

而金立M7新添的支付安全加密芯片，就是为第3步保驾护航的。这款芯片通过权威机构检测认证、E AL6+（中国信息安全认证中心）、银联、中金国盛，为支付信息处理提供安全运行环境及存储环境。可以说，金立M7手机就是你的银行卡、公交卡和手机U盾。

在金立之后，360也曾推出过内置安全芯片的手机。可惜，无论金立还是360，在手机领域都属于小众品牌，影响力有限，而且这类安全芯片只能适配手机厂商开发的指定APP和功能。手机的安全生态，还是离不开更加通用的解决方案，比如基于SoC移动平台的原生安全属性。

荣耀Magic4重回安全芯片

2022年，安全芯片的概念再度回归，荣耀全新的Magic 4系列就主打“两锁一芯”隐私保护机制，即通过独立安全芯片、双TEE安全系统为用户提供隐私保护方案（图6）。

简单来说，荣耀Magic4系列针对用户的隐私安全打造了一套全新的，基于软件加硬件协同设计的隐私安全保障体系。硬件方面依托于独立安全芯片，它直接与主芯片进行通信，将相关密码数据直接存储其中，和物理保险柜相似。这颗独立芯片内部数据无法被外部破解，加密解密过程也都在芯片内部完成，并且达到了CC E AL 5+级安全认证。

软件方面，荣耀则与高通合作，基于新骁龙8移动平台打造了双T E E安全系统，该系统独立于Android操作系统之外，对于各类的隐私安全信息进行了一系列的加密，防止泄露。基于这套隐私安全保障体系，能对用户的各类敏感信息进行守护，包含生物识别信息（指纹、人脸）、账号、密码，还包括最基础的照片、应用数据等。此外，荣耀Magic4 Pro还对用户日常使用带来了一些非常有针对性的解决方案，比如智慧隐私通话功能，通过创新的音频技术和独特的音频通道设计，极大程度减少用户接打电话时的漏音问题，哪怕身处封闭的电梯中接电话，也不怕身边人听见听筒里的声音（图7）。

来自SoC移动平台的底层进化

想提升Android手机生态的安全，光靠OEM厂商单打独斗肯定是不成的，还是需要上游厂商持续发力。

骁龙安全模块的迭代史

早在2012年，高通便在骁龙S4系列处理器内加入了SecureMSM算法，以便对早期的生物识别装置、企业级安全网络连接协议、多媒体版权保护，以及手机中内容硬件加密功能等一系列安全特性给予支持。早期很多支持指纹识别的手机，都是建立在SecureMSM算法的基础上得以实现。骁龙810开始引入的SafeSwitch功能也值得记录，通过它可以将丢失的手机远程锁机并删除个人数据，让传统刷机破解账号的方法不再适用。

2015年底高通发布了骁龙820处理器，除了主打纯自研的第三代Kryo内核，骁龙820还第一次引入了名为“Zeroth”的单元。我们可以将Zeroth理解为现在意义上的NPU，能够长期模拟大脑和神经元的功能，而骁龙820也因此成为了高通旗下首款搭载AI引擎的处理器。通过这个Zeroth单元（图8），骁龙820能自动阻止已知恶意软件的运行，实时监测手机的后台并做出异常警告。

到了骁龙835时期，高通规范了对“移动平台”的定义，首次提出融合了硬件、软件和生物识别技术的QualcommHaven安全平台概念（图9），将生物识别设备的支持从指纹扩展到了虹膜、眼球和更广泛的面部识别。也是从骁龙835开始（2017年），支持人脸识别技术的手机才变得好用，且大范围普及开来。

从骁龙845开始，高通终于在移动平台内整合了“SPU”（SecureProcessingUnit，安全处理单元），至此SPU便成为了后续历代骁龙8系芯片的标配（图10）。我们可以将SPU理解为一套完整的软硬生态，它包括独立的CPU、内存、存储空间和OS系统，可以独立于SoC运行（图11）。没错，SPU就是骁龙移动平台内的“安全芯片”，只需将所有的加密、认证计算，以及密钥存储工作全部转移到了SPU中独立运行，就能最大限度确保安全，还能解放CPU的算力。

到了骁龙855，其集成的SPU单元首次通过EAL4+级安全认证，彻底砸碎了独立安全芯片的饭碗。随后的骁龙865凭借对Android11安全凭证API的支持，可以实现软硬兼顾的个人隐私信息安全存储。大家可以回忆一下，是不是从骁龙865时期开始电子驾照、健康卡等涉及到深度个人信息的数字凭证才慢慢得以推广？

骁龙888更进一步，首次将PC领域流行的Type-1Hypervisor技术引入其中，能够以全新方式在同一手机身上，在不同应用和多个操作系统之间进行数据的保护和隔离（图12）。华为是最早实现“系统分身”功能的手机厂商，两套系统完全隔离，可随时切换。借助骁龙888的Type-1Hypervisor技术，骁龙平台手机也终于可以实现硬件级的系统分身，OEM厂商也能在此基础上开发出更多功能，比如vivoOriginOSOcean系统新增的“原子隐私系统”就能带来数据最小化、隐私端侧处理、生物识别等功能——只要是移入到原子隐私系统中的文件、照片等信息，就不会被上传到云端，也没办法通过主系统进行访问。而且浏览文件后，系统也会及时地清除掉痕迹，同时，只要我们一旦离开隐私系统后，所有后台应用会全部隐藏（图13），能更好的保障用户的隐私和安全。

作为高通在2022年度旗舰，新骁龙8将Hypervisor技术开源，并允许其访问和调用SoC内的更多部件，这就给了OEM厂商更大的发挥空间，比如在被“隔离”的独立系统中实现更丰富和有趣的功能。此外，新骁龙8还首次采用专用信任管理引擎（TrustManagementEngine），也是全球首个符合AndroidReadySE标准（面向数字车钥匙、驾照等领域的新标准）的移动平台（图14），可以被应用于数字车钥匙、电子驾照、虚拟货币等的新标准，还能直接（通过SPU）虚拟iSIM，用户无需SIM卡即可轻松且安全地连接蜂窝网络，更加利于携号转网。

骁龙8 SPU定制芯片的本质

看到这里大家想必已经很清楚了，SPU是骁龙移动平台的标配，而且早在骁龙845时期就已被集成。但是，长期以来却没有哪个OEM厂商对SPU进行针对性的开发定制，而vivo官方对骁龙8 Gen1 SPU定制旗舰芯片的描述也是——配合软件端对骁龙8 Gen1的SPU进行首家深度挖掘与适配，实现全功能设计。

其中的关键词是“首家深度挖掘与适配”以及“全功能”，翻译过来就是其他竞品都没有很好的利用SPU单元，无法通过软硬结合的方式为手机建立一套最稳固的底层保护。

在SPU安全處理单元的基础上，vivo带来了可构建全链路全场景隐私保护的千镜可信引擎（图15），它遍布于设备的每次运算中，从芯片、内核、框架和应用4个层级，全方位覆盖手机的运行安全。比如在应用层vivo提供了数十种隐私功能，包括原子隐私系统、模糊地理位置等，构建起了可信环境交互、隐私防跟踪、隐私防泄漏三大能力，让用户做到可感、可知、可控。在此之上的内核层和框架层，千镜可信引擎也能实时对应用行为进行管制和记录，利用独立的数据隔离沙盒，保证用户信息不被泄漏。vivo还基于SPU定制开发了密码保险箱功能，凡是开启密码自动填充功能的密码，均可受到SPU级密码守护。

小结

随着生物识别、移动支付、电子身份证、数字货币等数字化生活方式的持续渗透，手机安全已经成为了继性能、显示、影像和续航，消费者在选购手机时的另一大主要因素。未来谁能在安全性上做足文章，便能掌握高端手机市场的主动权。继vivo之后，相信未来会有更多OEM厂商针对骁龙移动平台内的SPU单元进行“挖矿”，进一步提升现有业务的安全性，让我们拭目以待吧。