手機盾是以手機TEE(可信執行環境)和SE(安全元件)為載體實現的二代USBKEY,完全不依賴任何外部硬體設備,也無需用戶安裝任何額外的軟體,主要服務對象為工農中建等商業銀行和非銀行的金融企業。
需要注意的是,純粹依賴軟體無法滿足盾級安全性的要求,手機盾必須基於手機安全元件或可信執行環境,由高通、華為海思等晶片商提供硬體層面的安全保護,手機盾服務商在TEE中為要保護的程式創建安全域,才可實現硬體級安全性。
蘋果手機使用特殊的作業系統IOS,嚴格意義上不存在所謂的TEE及SE,但仍可作為手機盾套用的終端產品。國內各手機盾廠商都在對蘋果手機IOS環境做積極探索。
當前市場上有部分企業偷換概念,僅依賴PKI證書和電子簽名的身份認證方式,以純軟體的形式實現的所謂“手機盾”,其安全性完全依賴證書保護,可以被輕易攻破,是不滿足中國人民銀行及北京移動安全產業聯盟對“盾”的定義和安全性要求的,也不被工、農、中、建、交、郵儲六大行及招商、興業等商業股份制銀行認可。
基本介紹
定義,原理,系統特點,基本形式,套用流程,
定義
原理
基於手機晶片的TEE和SE,在方便大眾在手機上實現大額轉賬、身份認證等功能的同時,實現硬體級的安全性,達到金融業務對安全性的要求,並滿足人民銀行、銀保監會的監管要求。
系統特點
保障業務全流程數據安全
基於大數據套用的身份核驗
支持移動業務場景
保障業務合法合規
基本形式
手機盾運行在移動終端環境,結構可分解為三種套用,分別是REE套用、TEE套用和SE套用。
REE套用
通常所說的App,運行在普通的執行環境中,存在一定的安全風險,如Android作業系統。只有通過廠商提供 的手機盾SDK,App才可以與TEE套用互動,實現數字證書的申請與套用,以及用戶密碼和生物特徵的個人化 操作。
TEE套用
手機盾TA,運行在可信的執行環境中(通常為獨立的OS),擁有移動終端中除SE外的最高安全級別。手機盾TA 負責用戶證書管理、安全輸入和顯示、生物特徵識別和設備信任秘鑰的管理等,通過與SE套用的互動實現用 戶秘鑰套用以及用戶密碼和生物特徵認證。同時,在沒有SE環境的終端中,手機盾TA可通過RPMB安全存儲實 現SE套用的功能。
SE套用
手機盾Applet,運行在安全元件的COS中,擁有移動終端中的最高安全級別,為手機盾TA提供秘鑰服務、用戶 密碼和生物特徵的認證與管理。Applet託管在手機廠商TSM系統中,無需建立額外系統
套用流程
手機盾開通
用戶登錄App,完成App後端對用戶的身份審核; 用戶點擊“申請證書”,設定數字證書密鑰; App傳送證書申請請求並返回證書,開通完成; 用戶根據自身需要可開通指紋、虹膜、人臉等本地免密的生物特徵識別,提升用戶體驗。
手機盾套用
用戶在App填寫交易信息,並確認進行交易; 根據App提示進行指紋等生物特徵認證或者使用數字密碼; 手機盾在安全模式下顯示交易信息,用戶直接確認或輸入數字密碼進行確認; 手機盾返回簽名結果,App完成交易。
