手機(jī)盾是基于手機(jī)端TEE+SE結(jié)合PKI技術(shù),在安全模塊(SE)中實(shí)現(xiàn)認(rèn)證、交易,在安全界面(TUI)實(shí)現(xiàn)PIN碼輸入、交易信息回顯和交易確認(rèn),達(dá)到“所見(jiàn)即所簽”的效果,與二代U盾具有相同的安全級(jí)別。

蘋(píng)果手機(jī)使用特殊的操作系統(tǒng)IOS,嚴(yán)格意義上不存在所謂的TEE及SE,但仍可作為手機(jī)盾應(yīng)用的終端產(chǎn)品。國(guó)內(nèi)各手機(jī)盾廠商都在對(duì)蘋(píng)果手機(jī)IOS環(huán)境做積極探索。

中文名

手機(jī)盾

運(yùn)行系統(tǒng)

Android

發(fā)布屬性

軟件

簡(jiǎn)介

手機(jī)盾安裝和使用安全便捷,擁有一部有內(nèi)置安全芯片的手機(jī),下載安裝盾、下載安裝數(shù)字證書(shū)即可實(shí)現(xiàn)移動(dòng)端電子簽名功能,安全等級(jí)與銀行二代U盾相同,可廣泛應(yīng)用于電子銀行、稅務(wù)、電子商務(wù)、電子合約等業(yè)務(wù)。用戶(hù)可通過(guò)移動(dòng)端遠(yuǎn)程下載手機(jī)盾,進(jìn)行身份驗(yàn)證、電子銀行開(kāi)戶(hù)、轉(zhuǎn)賬、繳費(fèi)、消費(fèi)、簽訂電子合約等實(shí)名制業(yè)務(wù)。

由于手機(jī)盾實(shí)現(xiàn)了手機(jī)端的數(shù)字證書(shū)電子簽名,整個(gè)使用過(guò)程受到《電子簽名法》保護(hù),具有法律效力和可追溯性,避免了責(zé)任與糾紛。

產(chǎn)品特點(diǎn)

?高度安全——多重加密運(yùn)算,數(shù)字證書(shū)安全儲(chǔ)存技術(shù);

?使用方便——安裝和使用過(guò)程僅需一部手機(jī)而無(wú)需依賴(lài)任何附加硬件;

?功能全面——可配合手機(jī)銀行、網(wǎng)上銀行、電子商務(wù)等進(jìn)行電子簽名;

?空中發(fā)證——具備“空中發(fā)證”功能,降低經(jīng)營(yíng)成本,減輕柜面服務(wù)工作量;

?遠(yuǎn)程業(yè)務(wù)——不僅支持?jǐn)?shù)字證書(shū)的遠(yuǎn)程審核及發(fā)放,也可用于其他遠(yuǎn)程業(yè)務(wù);

?適用廣泛——流暢運(yùn)行于各應(yīng)用場(chǎng)景。

主要功能

轉(zhuǎn)賬、支付

【手機(jī)銀行】:

使用手機(jī)銀行時(shí),調(diào)用MKEY手機(jī)盾實(shí)現(xiàn)轉(zhuǎn)賬信息的二次回顯,手機(jī)盾引入數(shù)字證書(shū)完成交易簽名,安全等級(jí)等同于二代U盾,實(shí)現(xiàn)安全、便捷的轉(zhuǎn)賬和支付消費(fèi),同時(shí)滿(mǎn)足大額轉(zhuǎn)賬需求。

【網(wǎng)上銀行】:

使用網(wǎng)上銀行時(shí),不用去銀行柜面可實(shí)現(xiàn)U盾向手機(jī)盾的遠(yuǎn)程移植,在進(jìn)行大額交易或轉(zhuǎn)賬,手機(jī)盾能實(shí)現(xiàn)PC端網(wǎng)銀轉(zhuǎn)賬的掃碼確認(rèn)操作,替代二代U盾,真正意義上實(shí)現(xiàn)移動(dòng)安全便捷的服務(wù)。

【引入安全單元】:

  1. SE是一塊獨(dú)立的芯片,用于用戶(hù)的賬戶(hù)和支付信息的存儲(chǔ),以及硬件加密算法的實(shí)現(xiàn);
  2. 手機(jī)盾應(yīng)用中,SE為內(nèi)置于手機(jī)內(nèi)部的嵌入式安全模塊(eSE),進(jìn)一步降低了遭受物理攻擊的風(fēng)險(xiǎn);
  3. PKI是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù);
  4. 手機(jī)盾應(yīng)用中,采用基于PKI的“數(shù)字證書(shū)認(rèn)證方式”來(lái)有效保證用戶(hù)的身份安全和數(shù)據(jù)傳輸安全。

【可信執(zhí)行環(huán)境】:

  1. TEE實(shí)現(xiàn)了與Rich OS(通常是Android等)基于硬件的隔離,比Rich OS的安全級(jí)別更高;
  2. TEE提供了TA(可信應(yīng)用)的安全執(zhí)行環(huán)境,同時(shí)也保護(hù)TA的資源和數(shù)據(jù)的保密性,完整性和訪問(wèn)權(quán)限;
  3. TEE中的每個(gè)TA是相互獨(dú)立的,而且不能在未授權(quán)的情況下不能互相訪問(wèn);
  4. 支持多種對(duì)稱(chēng)和非對(duì)稱(chēng)加解密算法;
  5. 手機(jī)盾方案中,SE(安全模塊)只能通過(guò)TA進(jìn)行訪問(wèn),增強(qiáng)了數(shù)據(jù)訪問(wèn)的安全性;
  6. TUI使用過(guò)程中可以確保由TEE控制屏幕,并與REE和其它TA隔離;
  7. 手機(jī)盾應(yīng)用中,TUI將用于輸入PIN碼,回顯交易信息,并等待用戶(hù)確認(rèn)。

基本形式

手機(jī)盾運(yùn)行在移動(dòng)終端環(huán)境,結(jié)構(gòu)可分解為三種應(yīng)用,分別是REE應(yīng)用、TEE應(yīng)用和SE應(yīng)用。

REE應(yīng)用

通常所說(shuō)的App,運(yùn)行在普通的執(zhí)行環(huán)境中,存在一定的安全風(fēng)險(xiǎn),如Android操作系統(tǒng)。只有通過(guò)CFCA提供的手機(jī)盾SDK,App才可以與TEE應(yīng)用交互,實(shí)現(xiàn)數(shù)字證書(shū)的申請(qǐng)與應(yīng)用,以及用戶(hù)密碼和生物特征的個(gè)人化操作。

TEE應(yīng)用

手機(jī)盾TA,運(yùn)行在可信的執(zhí)行環(huán)境中(通常為獨(dú)立的OS),擁有移動(dòng)終端中除SE外的最高安全級(jí)別。手機(jī)盾TA 負(fù)責(zé)用戶(hù)證書(shū)管理、安全輸入和顯示、生物特征識(shí)別和設(shè)備信任秘鑰的管理等,通過(guò)與SE應(yīng)用的交互實(shí)現(xiàn)用戶(hù)秘鑰應(yīng)用以及用戶(hù)密碼和生物特征認(rèn)證。同時(shí),在沒(méi)有SE環(huán)境的終端中,手機(jī)盾TA可通過(guò)RPMB安全存儲(chǔ)實(shí)現(xiàn)SE應(yīng)用的功能。

SE應(yīng)用

手機(jī)盾Applet,運(yùn)行在安全元件的COS中,擁有移動(dòng)終端中的最高安全級(jí)別,為手機(jī)盾TA提供秘鑰服務(wù)、用戶(hù)密碼和生物特征的認(rèn)證與管理。Applet托管在手機(jī)廠商TSM系統(tǒng)中,無(wú)需建立額外系統(tǒng)

操作指南

手機(jī)盾開(kāi)通

用戶(hù)登錄App,完成App后端對(duì)用戶(hù)的身份審核;用戶(hù)點(diǎn)擊“申請(qǐng)證書(shū)”,設(shè)置數(shù)字證書(shū)密鑰;App發(fā)送證書(shū)申請(qǐng)請(qǐng)求并返回證書(shū),開(kāi)通完成;用戶(hù)根據(jù)自身需要可開(kāi)通指紋、虹膜、人臉等本地免密的生物特征識(shí)別,提升用戶(hù)體驗(yàn)。

手機(jī)盾應(yīng)用

用戶(hù)在App填寫(xiě)交易信息,并確認(rèn)進(jìn)行交易;根據(jù)App提示進(jìn)行指紋等生物特征認(rèn)證或者使用數(shù)字密碼;手機(jī)盾在安全模式下顯示交易信息,用戶(hù)直接確認(rèn)或輸入數(shù)字密碼進(jìn)行確認(rèn);手機(jī)盾返回簽名結(jié)果,App完成交易。