前面讲到，TEE方案是当前业界较为认可的终端安全解决方案，甚至在未来一段时期内将是智能终端安全防护的一种趋势。其中，要数GP组织的GP TEE发展得最早且较为成熟，目前业已发布了一部分的功能性规范。但由于GP TEE主要是使用C语言来实现的架构设计，所以导致了GP TEE在开发部署上难度较大;而基于GP TEE的应用在兼容性、可移植性等方面还有所欠缺，因此一定程度上也影响了GP TEE的广泛部署。

　　在对GP TEE存在的问题进行研究分析的基础上，银联电子支付研究院深度结合自身早期关于TEE相关前沿技术的跟踪与研究，在2012年提出了银联自主创新的N3 TEE解决方案。该方案是银联根据自身对TEE所面临市场环境的理解和对当前技术成熟度的认知，在深入分析TEE产业链利益诉求与开放合作的基础上设计出的自有知识产权的TEE实现方案。

　　银联基于N3 TEE研究和开发的主要目标是：为厂商们提供一个可跨平台移植、有着良好隔离性和兼容性且更易部署实施的可信应用执行环境，从而进一步提高现有智能终端的安全性，来保障移动支付的整体安全。

　　N3 TEE架构简介

　　N3 TEE是银联在TEE技术功能理念的基础上进一步结合行业发展与多方合作需求所研究实验得出的一个创新型可信操作系统，它主要使用以N3虚拟机技术为核心构建的TEE内核来实现Java可信应用的搭载和运行，更好地补强了TEE可信应用的兼容性和可移植性。另外，N3 TEE与其他TEE一样都是拥有安全硬件模块的可信操作系统。因此，可信应用程序执行时的一些敏感信息操作都将受到该安全硬件模块的隔离保护从而保证操作的安全性。

　　因此，N3 TEE的组成将主要包括四个部分：为TEE提供安全隔离的硬件安全访问层、以N3虚拟机作为核心的TEE内核、为上层应用提供安全接口的TEE交互API以及使用Java语言开发的TA可信应用等部分。

　　硬件安全访问层

　　该层可以为TEE提供安全访问底层安全硬件模块的能力，对TEE内核而言它就相当于一个安全硬件模块，能够为TEE提供安全隔离环境，并保护TEE内敏感信息的安全。

　　TEE内核

　　N3 TEE内核构建的关键是具有银联自主知识产权的N3虚拟机。N3虚拟机是银联为打破Oracle对于Java技术的垄断且为了更好地满足市场对Java的需求而研发的一门技术，它综合了J2ME的多功能性和Javacard的安全性，同时还结合了Dalvik的开源性与普及性，可以较好地为上层Java应用提供服务。

　　TEE交互API

　　为N3 TEE上的可信应用提供安全交互接口，可信应用能够通过此接口与TEE内核进行通讯，也能够通过此接口与REE(多媒体操作系统)安全通讯，主要包括人机界面、中断、输入输出等功能接口。

　　可信应用TA

　　使用Java语言进行开发的Java程序可信应用。