手机软盾和手机TEE+SE盾的差异浅述

除了手机云盾或者软盾适配起来更容易，更方便的优势之外。我们今天来看看手机软（云）盾与手机盾（硬盾、TEE+SE）的区别。首先来看一看，某厂商的手机软盾产品介绍：

从上述介绍来说，手机软盾，与基于TEE+SE的手机盾产品保护对象差不多是一样的，那两者到底有什么区别呢？本文侧重于技术层面的比较，尽量不带偏向性，如有错漏之处，请指出!

1，安全要求差异，国密局关于《密码模块若干问题的说明》中明确指出：软件密码模块能够达到的最大整体安全等级限定为安全二级，也可以等价于等保等级最多只能达到三级。安全要求差异在于是否采用硬件SE模块和TEE环境。手机软盾或手机云盾采用的是软件SDK方式集成到应用中，因此终端安全强度是无法达到高等级安全要求。也许有人会问，TEE不也是软件吗，的确TEE是一个软件功能模块，但是TEE在手机盾产品中更突出的是执行环境的作用，SE才是其安全保障的最重要部分，而SE的安全等级则更高。

除此之外，手机软盾和手机硬盾在标准上的区别有：

团体标准《移动终端安全金融盾规范》，规范明确了TEE+SE在手机盾中的基础作用。

金融行业标准《移动终端支付可信环境技术规范》，规范明确了移动终端TEE技术要求。

2，应用功能差异，主要体现在安全需求上，上图中手机云盾介绍的两大功能：签名和加密。手机硬盾也可以满足，同时实现了操作环境安全，执行界面安全。比如基于TEE+inSE的华为手机建行手机盾实现了安全价值较高的企业业务功能。手机云盾则无法实现金融应用中的资产价值较高等级要求的功能。下面所示某公司手机软盾的行业解决方案，手机硬盾也可以应用，这也其实也表明了手机盾的巨大行业应用价值。

另外在业务开通时，手机软盾实质是一个安全软件模块集成到应用中，而TEE+SE手机盾的开通需要柜台面签或者实体U盾。

3，技术实现差异。手机软盾的实现不依赖于具体的手机，手机云盾的巨大优势也体现在此。手机硬盾，特别是基于TEE+SE技术的手机盾，对手机终端则有着非常严格的要求，技术实现也复杂得多，同时落地存在较为困难。但是“所见即所签”是手机软件所无法具备的。随着TEE、SE越来越成为Android上的一种必需模块，详见:Android 9.0的新增安全特性与TEE与SE 中提到Android9.0版本对于TEE、SE的要求。

相信不久的将来，SE如TEE一样成为手机的标配，那么许多问题将迎刃而解，将迎来手机安全的普世价值。