[导读] U盾数字证书是银行用来保证用户线上交易安全的重要手段,安全强度较高。近年来,随着手机银行的日益普及,传统的U盾面临携带不便,与手机交互体验差等问题。同时,采用单独的物理实体来存储数字证书的效费比较低,每年由于遗失或更新的U盾也会带来较大的浪费。
U盾数字证书是银行用来保证用户线上交易安全的重要手段,安全强度较高。近年来,随着手机银行的日益普及,传统的U盾面临携带不便,与手机交互体验差等问题。同时,采用单独的物理实体来存储数字证书的效费比较低,每年由于遗失或更新的U盾也会带来较大的浪费。
目前,我国的电子支付发展迅速,已经成为人们日常生活中不可或缺的一个部分。然而,手机支付通常仅需要密码,缺乏对用户的认证,存在着一定的安全隐患。另一方面,较大额度的资金划转在手机上的实现依然比较繁琐,而且通常存在额度限制,这也给用户的使用带来一定的不便。
为了解决这一问题,已经有各种在手机上实现数字签名的“手机盾”的解决方案被提出。其原理是通过将数字签名写入手机的安全区域(TEE)等方式,使得手机具有U盾的功能,从而极大提升了用户在支付或转账时的便利性。
然而,由于目前缺乏行业标准,不论对于手机厂商还是银行,都难以找到一种通用的解决方案,导致相关技术迟迟无法大规模使用从而惠及大众。
为此,中国信息通信研究院泰尔终端实验室联合北京邮电大学和中科创达公司以及手机厂商、银行和U盾供应商开展了大量的调研,并根据银行业务现状初步完成了“移动智能终端通用U盾开源框架”的构建。
如上图,“通用U盾开源框架”基于TEE技术和eSE硬件安全载体,由平台侧和手机侧构成。其中“通用手机盾应用中间件”部分是该框架的主体部分,提供“通用U盾开源框架”的通用安全组件和开发框架,并定义平台侧和手机侧之间的通用可扩展的数据接口,所有的实现会遵守框架规范。
基于上述开源框架,手机厂商可以快速引入该框架适配具体的硬件芯片。银行、手机厂商或者其他组织都可以基于该框架开发出完整的手机侧和平台侧方案,运行在支持了该框架的终端上。
该框架可以有效满足交易安全的需求、降低U盾的适配成本,同时可以兼容现有的各种终端硬件方案,从而为整个行业打造通用的标准解决方案。
为了更好地服务行业,促进相关技术的推广,现诚邀各方共同参与,发掘移动金融的新场景,完善相关框架的设计,共同推动我国移动支付和移动金融生态的发展。