手機盾是基于手機端TEE+SE結(jié)合PKI技術,在安全模塊(SE)中實現(xiàn)認證、交易,在安全界面(TUI)實現(xiàn)PIN碼輸入、交易信息回顯和交易確認,達到“所見即所簽”的效果,與二代U盾具有相同的安全級別。

蘋果手機使用特殊的操作系統(tǒng)IOS,嚴格意義上不存在所謂的TEE及SE,但仍可作為手機盾應用的終端產(chǎn)品。國內(nèi)各手機盾廠商都在對蘋果手機IOS環(huán)境做積極探索。

中文名

手機盾

運行系統(tǒng)

Android

發(fā)布屬性

軟件

簡介

手機盾安裝和使用安全便捷,擁有一部有內(nèi)置安全芯片的手機,下載安裝盾、下載安裝數(shù)字證書即可實現(xiàn)移動端電子簽名功能,安全等級與銀行二代U盾相同,可廣泛應用于電子銀行、稅務、電子商務、電子合約等業(yè)務。用戶可通過移動端遠程下載手機盾,進行身份驗證、電子銀行開戶、轉(zhuǎn)賬、繳費、消費、簽訂電子合約等實名制業(yè)務。

由于手機盾實現(xiàn)了手機端的數(shù)字證書電子簽名,整個使用過程受到《電子簽名法》保護,具有法律效力和可追溯性,避免了責任與糾紛。

產(chǎn)品特點

?高度安全——多重加密運算,數(shù)字證書安全儲存技術;

?使用方便——安裝和使用過程僅需一部手機而無需依賴任何附加硬件;

?功能全面——可配合手機銀行、網(wǎng)上銀行、電子商務等進行電子簽名;

?空中發(fā)證——具備“空中發(fā)證”功能,降低經(jīng)營成本,減輕柜面服務工作量;

?遠程業(yè)務——不僅支持數(shù)字證書的遠程審核及發(fā)放,也可用于其他遠程業(yè)務;

?適用廣泛——流暢運行于各應用場景。

主要功能

轉(zhuǎn)賬、支付

【手機銀行】:

使用手機銀行時,調(diào)用MKEY手機盾實現(xiàn)轉(zhuǎn)賬信息的二次回顯,手機盾引入數(shù)字證書完成交易簽名,安全等級等同于二代U盾,實現(xiàn)安全、便捷的轉(zhuǎn)賬和支付消費,同時滿足大額轉(zhuǎn)賬需求。

【網(wǎng)上銀行】:

使用網(wǎng)上銀行時,不用去銀行柜面可實現(xiàn)U盾向手機盾的遠程移植,在進行大額交易或轉(zhuǎn)賬,手機盾能實現(xiàn)PC端網(wǎng)銀轉(zhuǎn)賬的掃碼確認操作,替代二代U盾,真正意義上實現(xiàn)移動安全便捷的服務。

【引入安全單元】:

  1. SE是一塊獨立的芯片,用于用戶的賬戶和支付信息的存儲,以及硬件加密算法的實現(xiàn);
  2. 手機盾應用中,SE為內(nèi)置于手機內(nèi)部的嵌入式安全模塊(eSE),進一步降低了遭受物理攻擊的風險;
  3. PKI是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術;
  4. 手機盾應用中,采用基于PKI的“數(shù)字證書認證方式”來有效保證用戶的身份安全和數(shù)據(jù)傳輸安全。

【可信執(zhí)行環(huán)境】:

  1. TEE實現(xiàn)了與Rich OS(通常是Android等)基于硬件的隔離,比Rich OS的安全級別更高;
  2. TEE提供了TA(可信應用)的安全執(zhí)行環(huán)境,同時也保護TA的資源和數(shù)據(jù)的保密性,完整性和訪問權限;
  3. TEE中的每個TA是相互獨立的,而且不能在未授權的情況下不能互相訪問;
  4. 支持多種對稱和非對稱加解密算法;
  5. 手機盾方案中,SE(安全模塊)只能通過TA進行訪問,增強了數(shù)據(jù)訪問的安全性;
  6. TUI使用過程中可以確保由TEE控制屏幕,并與REE和其它TA隔離;
  7. 手機盾應用中,TUI將用于輸入PIN碼,回顯交易信息,并等待用戶確認。

基本形式

手機盾運行在移動終端環(huán)境,結(jié)構(gòu)可分解為三種應用,分別是REE應用、TEE應用和SE應用。

REE應用

通常所說的App,運行在普通的執(zhí)行環(huán)境中,存在一定的安全風險,如Android操作系統(tǒng)。只有通過CFCA提供的手機盾SDK,App才可以與TEE應用交互,實現(xiàn)數(shù)字證書的申請與應用,以及用戶密碼和生物特征的個人化操作。

TEE應用

手機盾TA,運行在可信的執(zhí)行環(huán)境中(通常為獨立的OS),擁有移動終端中除SE外的最高安全級別。手機盾TA 負責用戶證書管理、安全輸入和顯示、生物特征識別和設備信任秘鑰的管理等,通過與SE應用的交互實現(xiàn)用戶秘鑰應用以及用戶密碼和生物特征認證。同時,在沒有SE環(huán)境的終端中,手機盾TA可通過RPMB安全存儲實現(xiàn)SE應用的功能。

SE應用

手機盾Applet,運行在安全元件的COS中,擁有移動終端中的最高安全級別,為手機盾TA提供秘鑰服務、用戶密碼和生物特征的認證與管理。Applet托管在手機廠商TSM系統(tǒng)中,無需建立額外系統(tǒng)

操作指南

手機盾開通

用戶登錄App,完成App后端對用戶的身份審核;用戶點擊“申請證書”,設置數(shù)字證書密鑰;App發(fā)送證書申請請求并返回證書,開通完成;用戶根據(jù)自身需要可開通指紋、虹膜、人臉等本地免密的生物特征識別,提升用戶體驗。

手機盾應用

用戶在App填寫交易信息,并確認進行交易;根據(jù)App提示進行指紋等生物特征認證或者使用數(shù)字密碼;手機盾在安全模式下顯示交易信息,用戶直接確認或輸入數(shù)字密碼進行確認;手機盾返回簽名結(jié)果,App完成交易。