手機(jī)盾是基于手機(jī)端TEE+SE結(jié)合PKI技術(shù),在安全模塊(SE)中實(shí)現(xiàn)認(rèn)證、交易,在安全界面(TUI)實(shí)現(xiàn)PIN碼輸入、交易信息回顯和交易確認(rèn),達(dá)到“所見即所簽”的效果,與二代U盾具有相同的安全級(jí)別。

蘋果手機(jī)使用特殊的操作系統(tǒng)IOS,嚴(yán)格意義上不存在所謂的TEE及SE,但仍可作為手機(jī)盾應(yīng)用的終端產(chǎn)品。國內(nèi)各手機(jī)盾廠商都在對(duì)蘋果手機(jī)IOS環(huán)境做積極探索。

中文名

手機(jī)盾

運(yùn)行系統(tǒng)

Android

發(fā)布屬性

軟件

簡介

手機(jī)盾安裝和使用安全便捷,擁有一部有內(nèi)置安全芯片的手機(jī),下載安裝盾、下載安裝數(shù)字證書即可實(shí)現(xiàn)移動(dòng)端電子簽名功能,安全等級(jí)與銀行二代U盾相同,可廣泛應(yīng)用于電子銀行、稅務(wù)、電子商務(wù)、電子合約等業(yè)務(wù)。用戶可通過移動(dòng)端遠(yuǎn)程下載手機(jī)盾,進(jìn)行身份驗(yàn)證、電子銀行開戶、轉(zhuǎn)賬、繳費(fèi)、消費(fèi)、簽訂電子合約等實(shí)名制業(yè)務(wù)。

由于手機(jī)盾實(shí)現(xiàn)了手機(jī)端的數(shù)字證書電子簽名,整個(gè)使用過程受到《電子簽名法》保護(hù),具有法律效力和可追溯性,避免了責(zé)任與糾紛。

產(chǎn)品特點(diǎn)

?高度安全——多重加密運(yùn)算,數(shù)字證書安全儲(chǔ)存技術(shù);

?使用方便——安裝和使用過程僅需一部手機(jī)而無需依賴任何附加硬件;

?功能全面——可配合手機(jī)銀行、網(wǎng)上銀行、電子商務(wù)等進(jìn)行電子簽名;

?空中發(fā)證——具備“空中發(fā)證”功能,降低經(jīng)營成本,減輕柜面服務(wù)工作量;

?遠(yuǎn)程業(yè)務(wù)——不僅支持?jǐn)?shù)字證書的遠(yuǎn)程審核及發(fā)放,也可用于其他遠(yuǎn)程業(yè)務(wù);

?適用廣泛——流暢運(yùn)行于各應(yīng)用場(chǎng)景。

主要功能

轉(zhuǎn)賬、支付

【手機(jī)銀行】:

使用手機(jī)銀行時(shí),調(diào)用MKEY手機(jī)盾實(shí)現(xiàn)轉(zhuǎn)賬信息的二次回顯,手機(jī)盾引入數(shù)字證書完成交易簽名,安全等級(jí)等同于二代U盾,實(shí)現(xiàn)安全、便捷的轉(zhuǎn)賬和支付消費(fèi),同時(shí)滿足大額轉(zhuǎn)賬需求。

【網(wǎng)上銀行】:

使用網(wǎng)上銀行時(shí),不用去銀行柜面可實(shí)現(xiàn)U盾向手機(jī)盾的遠(yuǎn)程移植,在進(jìn)行大額交易或轉(zhuǎn)賬,手機(jī)盾能實(shí)現(xiàn)PC端網(wǎng)銀轉(zhuǎn)賬的掃碼確認(rèn)操作,替代二代U盾,真正意義上實(shí)現(xiàn)移動(dòng)安全便捷的服務(wù)。

【引入安全單元】:

  1. SE是一塊獨(dú)立的芯片,用于用戶的賬戶和支付信息的存儲(chǔ),以及硬件加密算法的實(shí)現(xiàn);
  2. 手機(jī)盾應(yīng)用中,SE為內(nèi)置于手機(jī)內(nèi)部的嵌入式安全模塊(eSE),進(jìn)一步降低了遭受物理攻擊的風(fēng)險(xiǎn);
  3. PKI是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù);
  4. 手機(jī)盾應(yīng)用中,采用基于PKI的“數(shù)字證書認(rèn)證方式”來有效保證用戶的身份安全和數(shù)據(jù)傳輸安全。

【可信執(zhí)行環(huán)境】:

  1. TEE實(shí)現(xiàn)了與Rich OS(通常是Android等)基于硬件的隔離,比Rich OS的安全級(jí)別更高;
  2. TEE提供了TA(可信應(yīng)用)的安全執(zhí)行環(huán)境,同時(shí)也保護(hù)TA的資源和數(shù)據(jù)的保密性,完整性和訪問權(quán)限;
  3. TEE中的每個(gè)TA是相互獨(dú)立的,而且不能在未授權(quán)的情況下不能互相訪問;
  4. 支持多種對(duì)稱和非對(duì)稱加解密算法;
  5. 手機(jī)盾方案中,SE(安全模塊)只能通過TA進(jìn)行訪問,增強(qiáng)了數(shù)據(jù)訪問的安全性;
  6. TUI使用過程中可以確保由TEE控制屏幕,并與REE和其它TA隔離;
  7. 手機(jī)盾應(yīng)用中,TUI將用于輸入PIN碼,回顯交易信息,并等待用戶確認(rèn)。

基本形式

手機(jī)盾運(yùn)行在移動(dòng)終端環(huán)境,結(jié)構(gòu)可分解為三種應(yīng)用,分別是REE應(yīng)用、TEE應(yīng)用和SE應(yīng)用。

REE應(yīng)用

通常所說的App,運(yùn)行在普通的執(zhí)行環(huán)境中,存在一定的安全風(fēng)險(xiǎn),如Android操作系統(tǒng)。只有通過CFCA提供的手機(jī)盾SDK,App才可以與TEE應(yīng)用交互,實(shí)現(xiàn)數(shù)字證書的申請(qǐng)與應(yīng)用,以及用戶密碼和生物特征的個(gè)人化操作。

TEE應(yīng)用

手機(jī)盾TA,運(yùn)行在可信的執(zhí)行環(huán)境中(通常為獨(dú)立的OS),擁有移動(dòng)終端中除SE外的最高安全級(jí)別。手機(jī)盾TA 負(fù)責(zé)用戶證書管理、安全輸入和顯示、生物特征識(shí)別和設(shè)備信任秘鑰的管理等,通過與SE應(yīng)用的交互實(shí)現(xiàn)用戶秘鑰應(yīng)用以及用戶密碼和生物特征認(rèn)證。同時(shí),在沒有SE環(huán)境的終端中,手機(jī)盾TA可通過RPMB安全存儲(chǔ)實(shí)現(xiàn)SE應(yīng)用的功能。

SE應(yīng)用

手機(jī)盾Applet,運(yùn)行在安全元件的COS中,擁有移動(dòng)終端中的最高安全級(jí)別,為手機(jī)盾TA提供秘鑰服務(wù)、用戶密碼和生物特征的認(rèn)證與管理。Applet托管在手機(jī)廠商TSM系統(tǒng)中,無需建立額外系統(tǒng)

操作指南

手機(jī)盾開通

用戶登錄App,完成App后端對(duì)用戶的身份審核;用戶點(diǎn)擊“申請(qǐng)證書”,設(shè)置數(shù)字證書密鑰;App發(fā)送證書申請(qǐng)請(qǐng)求并返回證書,開通完成;用戶根據(jù)自身需要可開通指紋、虹膜、人臉等本地免密的生物特征識(shí)別,提升用戶體驗(yàn)。

手機(jī)盾應(yīng)用

用戶在App填寫交易信息,并確認(rèn)進(jìn)行交易;根據(jù)App提示進(jìn)行指紋等生物特征認(rèn)證或者使用數(shù)字密碼;手機(jī)盾在安全模式下顯示交易信息,用戶直接確認(rèn)或輸入數(shù)字密碼進(jìn)行確認(rèn);手機(jī)盾返回簽名結(jié)果,App完成交易。