TEE可信执行环境的安全业务保护方案

基于硬件隔离技术，安全业务可在**TEE（可信执行环境）**中运行，以保障安全资产的完整性。TEE具备以下核心特点：

跨平台兼容：已集成于多款芯片平台（MTK、NXP、RK、Samsung、TI、JLQ、Spreadtrum等）。权威认证：通过TEE安全认证及GP功能性测试认证。大规模应用：全球已有**15亿+**终端设备搭载，广泛应用于智能汽车（IVI、T-Box、RSE、CGW等ECU）。完善生态：提供配套工具、技术支持、现场服务，保障系统稳定性和安全性。

---

1. 智能终端设备安全

豆荚EMM服务解决方案可帮助企业便捷管理Android移动设备，提升安全性并优化运维流程。

主要功能 远程配置与策略管理 在EMM管理控制台，IT管理员可远程部署网络、安全策略、应用及交互规则，以确保设备符合业务需求。快速初始化 设备可通过后台快速完成初始化部署。应用分发 仅需后台配置，即可自动在设备端安装Google Play应用。功能限制 可控制摄像头、麦克风、外置存储、截屏、通话权限及应用卸载等操作。网络管理 远程推送配置，限制蓝牙、Wi-Fi等网络功能。密码安全 设定高安全等级的密码策略，确保数据安全。设备合规性检查 发现违规或丢失设备，可远程擦除数据，防止信息泄露。用户分组管理 通过分组管理设备和用户，实现策略批量部署。远程消息推送 在后台向指定设备发送通知或警告信息。

---

2. 智能终端资产保护

Secure Space 是设备中的私密存储空间，提供强大的隐私保护功能：

数据隔离：文件、图片、视频、音频存储于Secure Space，无法被普通方式访问，即使ROOT也无法解密。生物识别认证：支持指纹、密码、人脸验证，确保数据仅限授权用户访问。安全防护：即使设备丢失或被二手转卖，Secure Space仍可有效防止回滚攻击，保障数据安全。

---

3. 生物识别保护 3.1 人脸识别

基于ARM TrustZone技术的豆荚人脸识别模块，通过摄像头采集人脸数据，并存储于TEE可信环境，用于：

身份认证：用于解锁设备及安全应用登录。高安全性匹配：比对数据存储于TEE，防止篡改与泄露。 3.2 指纹识别 支持IFAA、FIDO、Soter指纹支付协议，确保支付安全。通过Google CTS测试，支持指纹解锁功能。

---

4. 数字版权保护（DRM）

DRM（数字版权管理）可有效保护数字内容，防止盗版，特别适用于高清视频、音乐、电子书等领域。

广泛兼容：支持主流标准，如OMA DRM、Marlin DRM、Fairplay、Widevine DRM等。应用场景： 保护**Amazon Prime Video、BBC、Hulu、Netflix、Spotify、Disney+**等平台的内容安全。支持DRM L1，确保移动设备符合院线同步播放要求。 量产支持：豆荚科技已与MTK合作预集成Widevine DRM L1，覆盖所有MTK平台，并已获得Netflix认证（详情可参考Netflix官方认证）。

---

5. SIM卡保护 5.1 eSIM（嵌入式SIM）

基于TEE的eSIM软件模块，提供虚拟SIM功能，无需实体SIM卡：

支持OTA远程管理，可随时切换运营商网络。安全存储SIM数据，防止SIM克隆或篡改。 5.2 远程SIM解锁（Remote SIM Unlock）

支持运营商远程锁定/解锁SIM卡，以提升安全性并防止盗刷。

---

6. 数字货币与电子支付安全

手机金融盾基于TEE+SE（安全芯片），为金融业务提供高安全性的电子认证服务：

支持应用场景： 手机银行电子商务支付物联网支付保险营销 解决方案： 用户端：通过手机金融盾确保交易安全。手机厂商：提供符合金融盾安全标准的设备及配套服务。银行：借助手机金融盾提供身份认证服务，确保金融业务安全合规。豆荚科技：提供金融盾技术组件及技术支持。 6.1 主要优势 卓越的用户体验：手机金融盾与设备深度集成，无需额外硬件，使用便捷。降低成本：采用按需灵活付费模式，省去实体U盾的制造、分发及库存管理成本。更高的安全性：基于TEE+SE的安全架构，结合数字证书与安全TUI，确保每笔交易可视可控（“所见即所签”）。丰富的安全扩展能力：支持生物识别（指纹、人脸）、安全二维码、安全输入、安全消息等增强型安全功能。更广阔的发展空间：手机金融盾可进一步扩展至身份认证、风控管理等业务领域，为未来数字金融提供强有力的支持。