移动应用安全架构——CFCA手机盾V2.0

字号:

  在互联网时代,网上银行普遍采用“USBKey+数字证书”的方式保障银行用户的登录和交易安全,安全强度高,在十多年的实践中获得了行业的普遍认可。进入移动互联时代,手机银行采用短信验证码或动态口令的认证方式,安全强度低,已无法满足手机银行日益增强的安全需求。

  中国金融认证中心(CFCA)结合多年来在电子认证行业的实践经验,通过整合商业银行、移动终端厂商的优势资源,致力于以移动终端“TEE+SE”、“TEE+安全存储”作为集成式安全认证介质解决手机银行等移动应用安全认证问题,可为银行转账、ATM取现、消费金融、小微贷款等业务提供第三方认证服务。

  一、方案阐述

  基于移动终端TEE和SE等安全环境,CFCA移动产品团队提出了移动应用安全架构解决方案,并以该安全架构为基础,推出CFCA手机盾V2.0系列产品。以下从终端和系统端两个视角予以说明:

  (1)在支持“移动应用安全架构”解决方案的移动终端中存在三种应用:REE应用(App)、TEE应用(TA)、SE应用(Applet)。三者的功能定义和相互关系是:

  · REE应用(App)通过调用安全架构统一接口,执行PKI证书管理;

  · TEE应用(TA)为App提供证书管理、安全输入和显示、生物特征识别等功能;

  · SE应用(Applet)为TA提供密钥管理和用户验证管理(CVM)。

  (2)系统端为符合电子认证的典型架构,包括注册审批系统RA、证书签发系统CA和签名验签服务器。移动端信任根密钥管理中心提供对移动终端设备的验真服务。

  二、方案特点

  在深入分析现有移动证书解决方案的基础上,CFCA产品团队从终端普及度、应用方接入复杂度、用户使用便捷性等三个痛点需求出发,创新性地提出了移动端集成式、金融级硬件安全的数字证书解决方案——“移动应用安全架构”,其特点如下:

移动应用安全架构——CFCA手机盾V2.0

  (1)轻量化SE应用,打造证书应用通用的密钥保险箱(空发SE应用,且支持市场存量机);

  (2)兼容现有的电子认证系统,应用方无需改造即可接入(可选接入移动终端设备验真服务);

  (3)支持指纹、虹膜、人脸等本地免密的生物特征识别,提升用户体验。

  具备如下优势:

  (1)合规:证书、私钥存储在安全环境中

  (2)安全:支持安全输入和显示,达到所见即所签

  (3)兼容:可复用现有电子认证系统,无需改造

  (4)体验:支持指纹、虹膜、人脸等本地免密的生物特征识别

  三、应用场景

  凭借移动应用安全架构解决方案“终端普及,平滑接入”的特点,不仅可为手机银行提供安全服务,也可赋能移动金融、电子政务、移动办公等多种行业,为其提供身份识别、电子签章、证据保全、数据加密等综合服务,打造移动互联时代金融信息安全基础服务。

  (1)金融行业

  金融高风险、强监管的行业特点决定了其对身份认证的强烈需求。移动应用安全架构解决方案可使得PKI数字认证技术平滑迁移到移动互联时代的安全终端上。以手机银行转账交易为例:

移动应用安全架构——CFCA手机盾V2.0

  (2)电子政务

  在电子政务领域的社保申领、预约挂号、个税缴纳、企业年报、电子存证等场景下,基于移动应用安全架构的系列终端产品可提供身份核验、数据加密、证据保全等服务,方便百姓在手机上完成各项事务处理。

  (3)移动办公

  在企业移动办公领域,基于移动应用安全架构的系列终端产品可提供通讯数据加密、流程审批、合同签署、工作汇报、时间戳等服务,满足移动互联时代日益增涨的移动办公需求。 

  作者:鲁欣

//百度统计