4.1 硬件安全

硬件安全是整个设备安全的基础设施，为设备提供底层安全能力支撑。通过可信执行环境（TEE），设备指纹，安全启动，能够为设备提供基于硬件的加解密服务，敏感信息存储，设备身份验证，启动安全防护等能力。

可信执行环境 可行执行环境全称为Trusted Execution Environment, 是基于ARM Trustzone的保护措施，能够为设备提供可信的运行环境，来保证敏感信息的完整性、机密性和可用性。

小度基于硬件可信技术提供了两个环境，分别是DuerOS环境和TEE环境。两个环境严格隔离，仅能通过受限制的访问控制API进行通信，如图所示。

其中DuerOS环境负责对外的业务逻辑处理，TEE环境负责提供关键资产的保护措施如生物特征、关键认证算法的保护。当DuerOS环境中的关键业务逻辑涉及到用户个人敏感信息的处理时，会通过访问控制API访问TEE环境中的可信应用来进行关键信息的处理操作，如人脸识别的验证，个人敏感信息的加解密等。由于设备关键的认证参数及生物特征是存储在硬件的安全区域，DuerOS环境是无法直接获取，当设备被破坏或被攻击也能够保障设备上的用户敏感数据无法被解密和还原。

安全启动 安全启动是保证系统启动安全的机制。在启动的各个阶段，能够基于设备硬件唯一密钥（Hardware Unique Key）来验证各个分区的完整性。设备硬件唯一密钥是在设备出厂前烧写在芯片安全存储区域的密钥，在出厂后无法被篡改。设备在使用了安全启动后能够防止对设备刷写未经授权的固件或篡改过的固件。

设备指纹 设备指纹是基于硬件唯一密钥（HUK）生成的设备唯一身份验证，能够标识设备的唯一性，具备不可伪造，不可篡改的特点。将设备指纹和可信环境相结合，可保证部分关键请求的来源可信，无法模拟重放关键请求。