如今移動金融的發展對于安全的要求越來越高，尤其是隨著TEE、SE、生物識別等各種技術的興起，移動終端的安全環境發生了變化。中國銀聯在移動終端的身份認證方面也進行了相關的規范制定，以下為中國銀聯《基于本地識別與遠程驗簽的認證技術指引》規范的部分相關內容，僅供參考。

　　該規范由中國銀聯股份有限公司提出，闡述了可信身份認證服務框架及接口。同時該規范是在TEE平臺及SE上開發可信身份認證服務的主要參考規范。主要針對移動終端上應用軟件使用生物特征識別和數字證書進行身份認證進行定義和描述，在技術 框架、接口及數據項、安全體系和安全要求等方面提出相關要求和規定。適用于商業銀行、支付機構、終端廠商、電子認證服務商等在移動終端上開展基于生物特征識別和數字證書的安全電子認證服務提供參考。

　　認證原理：

　　基于本地識別與遠程驗簽的認證技術，是指利用本地設備所具有的用戶身份認證方式(如PIN碼、指紋、虹膜等生物識別方法)對用戶進行身份認證之后，將遠程服務器所發送過來的數據使用本地設備私鑰簽名之后，將簽名數據返回給遠程服務器，遠程服務器使用對應公鑰進行驗簽。

　　在這一過程中，本地設備的身份認證方法是在本地設備上對用戶身份進行判別之后，作為打開簽名操作的開關，用戶身份是否通過，是由遠程服務器對本地設備上發的簽名數據是否驗簽通過以進行最終用戶身份認證結果判定。

　　整個認證流程中由具體的認證過程和為初始化該認證過程的安全通道初始化過程組成，如圖2所示。

　　根據可信環境類型，基于本地識別與遠程驗簽的認證服務可以三種移動終端硬件配置模式工作，分別為TEE模式、TEE+SE模式與SEE模式。

　　1、TEE模式：

　　在該模式下，認證簽名器與安全入口服務以TA方式部署在TEE下，所負責的身份識別與交易簽名功能由TEE提供運行安全防護，其與對應的認證管理后臺與安全入口服務后臺建立的安全通道密鑰由TEE提供的可信存儲區域進行安全保護。如圖4所示：

　　2、TEE+SE模式：

　　在該模式下，認證簽名器與安全入口服務分別分成兩部分分散部署在TEE與SE下，如圖5所示：

　　鑒于SE與TEE在安全與功能上的強弱區別，要求：

　　認證簽名器部分1 以TA 方式實現身份識別功能(生物識別與TUI 等)，認證簽名器部分2 以 applet方式實現交易簽名功能。

　　安全入口服務1在TEE 下以TA 方式實現支撐認證簽名器部分1 的應用下載及其安全通道密鑰初始化，安全入口服務2在SE 下以安全域方式實現支撐認證簽名器部分2 的應用下載及其安全通道密鑰初始化。

　　3、SEE模式

　　在該模式下，認證簽名器與安全入口服務以applet方式部署在SEE下，所負責的身份識別與交易簽名等功能均由SEE提供運行安全防護，其與對應的認證管理后臺與安全入口服務后臺建立安全通道所需的密鑰由SEE提供的安全存儲區域進行安全保護。如圖6所示：

　　A、使用本認證技術規范可實現類FIDO服務中的快速用戶身份識別登錄服務，此種方式下，建議采用TEE模式的硬件配置，要求認證簽名器運行在TEE下，其所需的生物識別模塊，如指紋模塊，由TEE控制，如下圖所示：

　　B、使用本認證技術規范可實現手機盾的數字簽名服務，此種方式下，建議采用TEE+SE模式的硬件配置，TEE部分實現認證簽名器中的身份識別功能，要求基于TUI的密碼驗證方式，其他部分則全部以applet 方式運行在SE上，如下圖所示：

　　C、使用本認證技術規范可實現增強型手機盾服務，此種方式下，建議采用SEE模式的硬件配置，要求認證簽名器運行在TEE下，其所需的身份識別模塊，如指紋模塊、觸摸屏，都可由SEE控制，如下圖所示：

　　資料來源：中國銀聯《基于本地識別與遠程驗簽的認證技術指引》　　

責任編輯：韓希宇