從華為的手機盾面世以來，移動終端上的手機盾概念漸漸的火了起來，其實手機盾就是金融盾，也就是俗稱的USBkey，是一個很老的概念了！

　　手機盾是基于手機端TEE+SE結合PKI技術，在安全模塊（SE）中實現認證、交易，在安全界面（TUI）實現PIN碼輸入、交易信息回顯和交易確認，達到“所見即所簽”的效果。

　　央行《關于進一步加強銀行卡風險管理的通知》(銀發〔2016〕170號)要求嚴格手機客戶端軟件安全管理，打造可信手機支付執行環境，央行鼓勵手機廠商綜合應用SE、TEE等新技術提供硬件級安全保護，提升支付敏感信息防護能力和支付交易安全強度。

　　手機盾安安全等級與銀行二代U盾相同，可廣泛應用于電子銀行、稅務、電子商務、電子合約等業務。用戶可通過移動端遠程下載手機盾，進行身份驗證、電子銀行開戶、轉賬、繳費、消費、簽訂電子合約等實名制業務。由于手機盾實現了手機端的數字證書電子簽名，整個使用過程受到《電子簽名法》保護，具有法律效力和可追溯性，避免了責任與糾紛。

　　因此我們認為手機盾迎來了發展的春天！

　　今天我們開始圖聊聊手機盾！

　　從下圖我們來了解下移動終端手機盾相關方！

　　和傳統手機盾架構一樣，手機盾只不過以前從USBkey的實體變成了手機終端上的一個硬件SE模塊。

　　首先看看架構圖：

　　在REE中的客戶端模塊，主要是平臺提供商服務的管理接口包括應用的下載、安裝、更新、刪除等功能入口，也是實現證書管理，包括申請、下載、更新及刪除等操作的入口。

　　在TEE中的可信模塊，主要是實現用戶的PIN碼輸入及管理；實現交易信息的顯示和確認也就是TUI功能，還需要提供SE安全訪問通道。

　　在SE中的安全模塊完成簽名密鑰的生成和私鑰存儲，實現交易信息簽名功能，和傳統金融盾一樣，手機盾也有生命周期管理。

　　生產過程主要是指終端的生產和數據預制過程，這一部分一般由廠商和服務提供商共同完成。甚至還涉及到TEEOS方案商和COS提供商。

　　使用主要是在手機終端上提供手機盾的入口以及開關操作，類似與U盾插入電腦和拔出。同時手機作為載體必須由管理金融盾的客戶端應用。

　　其他狀態如轉讓、丟失、維護主要是注銷操作。

　　涉及到安全的產品，認證是第一關，傳統的UKey比較容易通過，那么現在在移動終端上，也就是手機上實現金融盾就面臨這諸多安全問題。

　　另外，從服務提供商來說也有一系列的服務生命周期管理。

責任編輯：韓希宇