移動應用安全架構——CFCA手機盾V2.0

在互聯網時代，網上銀行普遍採用「USBKey+數字證書」的方式保障銀行用戶的登錄和交易安全，安全強度高，在十多年的實踐中獲得了行業的普遍認可。進入移動互聯時代，手機銀行採用簡訊驗證碼或動態口令的認證方式，安全強度低，已無法滿足手機銀行日益增強的安全需求。

中國金融認證中心（CFCA）結合多年來在電子認證行業的實踐經驗，通過整合商業銀行、移動終端廠商的優勢資源，致力於以移動終端「TEE+SE」、「TEE+安全存儲」作為集成式安全認證介質解決手機銀行等移動應用安全認證問題，可為銀行轉賬、ATM取現、消費金融、小微貸款等業務提供第三方認證服務。

一、方案闡述

基於移動終端TEE和SE等安全環境，CFCA移動產品團隊提出了移動應用安全架構解決方案，並以該安全架構為基礎，推出CFCA手機盾V2.0系列產品。以下從終端和系統端兩個視角予以說明：

（1）在支持「移動應用安全架構」解決方案的移動終端中存在三種應用：REE應用（App）、TEE應用（TA）、SE應用（Applet）。三者的功能定義和相互關係是：

· REE應用（App）通過調用安全架構統一介面，執行PKI證書管理；

· TEE應用（TA）為App提供證書管理、安全輸入和顯示、生物特徵識別等功能；

· SE應用（Applet）為TA提供密鑰管理和用戶驗證管理(CVM)。

（2）系統端為符合電子認證的典型架構，包括註冊審批系統RA、證書籤發系統CA和簽名驗簽伺服器。移動端信任根密鑰管理中心提供對移動終端設備的驗真服務。

二、方案特點

在深入分析現有移動證書解決方案的基礎上，CFCA產品團隊從終端普及度、應用方接入複雜度、用戶使用便捷性等三個痛點需求出發，創新性地提出了移動端集成式、金融級硬體安全的數字證書解決方案——「移動應用安全架構」，其特點如下：

（1）輕量化SE應用，打造證書應用通用的密鑰保險箱（空發SE應用，且支持市場存量機）；

（2）兼容現有的電子認證系統，應用方無需改造即可接入（可選接入移動終端設備驗真服務）；

（3）支持指紋、虹膜、人臉等本地免密的生物特徵識別，提升用戶體驗。

具備如下優勢：

（1）合規：證書、私鑰存儲在安全環境中

（2）安全：支持安全輸入和顯示，達到所見即所簽

（3）兼容：可復用現有電子認證系統，無需改造

（4）體驗：支持指紋、虹膜、人臉等本地免密的生物特徵識別

三、應用場景

憑藉移動應用安全架構解決方案「終端普及，平滑接入」的特點，不僅可為手機銀行提供安全服務，也可賦能移動金融、電子政務、移動辦公等多種行業，為其提供身份識別、電子簽章、證據保全、數據加密等綜合服務，打造移動互聯時代金融信息安全基礎服務。

（1）金融行業

金融高風險、強監管的行業特點決定了其對身份認證的強烈需求。移動應用安全架構解決方案可使得PKI數字認證技術平滑遷移到移動互聯時代的安全終端上。以手機銀行轉賬交易為例：

（2）電子政務

在電子政務領域的社保申領、預約挂號、個稅繳納、企業年報、電子存證等場景下，基於移動應用安全架構的系列終端產品可提供身份核驗、數據加密、證據保全等服務，方便百姓在手機上完成各項事務處理。

（3）移動辦公

在企業移動辦公領域，基於移動應用安全架構的系列終端產品可提供通訊數據加密、流程審批、合同簽署、工作彙報、時間戳等服務，滿足移動互聯時代日益增漲的移動辦公需求。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！