互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟(IFAA)將于6月1日正式發(fā)布《IFAA本地免密技術(shù)規(guī)范(T/IFAA 0002-2018)》�����,即本地免密標(biāo)準(zhǔn)2.1版。該版本為聯(lián)盟成員單位應(yīng)用SE安全單元提供了標(biāo)準(zhǔn)規(guī)范。
同時,IFAA還預(yù)告,“本地人臉識別認(rèn)證解決方案”即將發(fā)布。
新發(fā)布的本地免密技術(shù)規(guī)范中�����,關(guān)鍵應(yīng)用和數(shù)據(jù)將通過SE中進(jìn)行保護(hù)���,在用戶使用生物特征識別或者輸入密碼驗(yàn)證通過后,即可訪問位于SE中的IFAA 安全應(yīng)用來實(shí)現(xiàn)數(shù)字簽名等操作;并實(shí)現(xiàn)關(guān)鍵信息從存儲�、訪問、傳輸��、對比等全鏈路安全����,可極大降低被黑客竊取或篡改的風(fēng)險����。
目前,安全單元SE已經(jīng)被越來越多的移動終端所支持��,央行在2017年底發(fā)布的移動終端支付可信環(huán)境行業(yè)標(biāo)準(zhǔn)中,也規(guī)定了可信環(huán)境的不同等級����,其中SE是最高等級的安全環(huán)境�����。
IFAA聯(lián)盟創(chuàng)始會員單位��,同時擔(dān)任本地免密工作組組長和副組長的華為和螞蟻金服對此早有布局���,并積極推動了IFAA本地免密規(guī)范升級����,以實(shí)現(xiàn)對SE的支持�。
IFAA聯(lián)盟于3年前由中國信息通信研究院、螞蟻金服���、阿里巴巴����、華為�、中興�、三星等單位共同發(fā)起成立,今天成員單位已超過170名。
2.0標(biāo)準(zhǔn)影響12億部手機(jī)
IFAA在2016年發(fā)布了本地免密標(biāo)準(zhǔn)2.0版本�。在那一版本中��,本地校驗(yàn)的核心和敏感數(shù)據(jù)都存儲和運(yùn)行在TEE中�。
該標(biāo)準(zhǔn)通過整合生物識別技術(shù)�����、安全終端與服務(wù)端�,建立起了一個生物識別框架和完整安全鏈路。由于生物識別與比對�����,主要是在用戶的設(shè)備本地TEE環(huán)境中完成,這種校驗(yàn)方式有效地保護(hù)了用戶的生物特征數(shù)據(jù)的安全��。
這一標(biāo)準(zhǔn)支持下����,當(dāng)手機(jī)等認(rèn)證設(shè)備用戶需要用指紋��、聲紋����、虹膜等生物識別認(rèn)證技術(shù)進(jìn)行本地校驗(yàn)時,校驗(yàn)結(jié)果會通過安全機(jī)制傳送到服務(wù)器端進(jìn)行驗(yàn)證。
這一標(biāo)準(zhǔn)發(fā)布后給產(chǎn)業(yè)界帶來的最廣泛的影響是效率提升����,它在極短時間內(nèi)就使得原本呈現(xiàn)碎片化的生態(tài)環(huán)境,得以在同一標(biāo)準(zhǔn)下運(yùn)行。
由于加速了產(chǎn)業(yè)界指紋識別的接入時間——周期從2個月縮短至2周��,手機(jī)廠商的適配成本也因此而大幅降低——這一標(biāo)準(zhǔn)在過去的2年中得以迅速普及���。
目前����,基于該標(biāo)準(zhǔn),IFAA聯(lián)盟推出的�����、達(dá)到金融級的身份識別解決方案�,已覆蓋智能手機(jī)品牌36 家���,機(jī)型接近350款,并全面支持蘋果iOS�,總覆蓋設(shè)備數(shù)超過12億——成為了目前國內(nèi)市場占有率最高、可擴(kuò)展性優(yōu)越的端到端身份認(rèn)證解決方案標(biāo)準(zhǔn)。
高安全等級滿足金融級應(yīng)用要求
在2.0標(biāo)準(zhǔn)發(fā)布一年后的2017年�����,IFAA即預(yù)告了本地免密標(biāo)準(zhǔn)2.1版的發(fā)布——支持TEE+SE架構(gòu)成為一大亮點(diǎn)���。
IFAA本地免密驗(yàn)證模式可以應(yīng)用于多種場景�����,用來代替?zhèn)鹘y(tǒng)的登錄、支付口令���,實(shí)現(xiàn)免密支付���、免密登錄等業(yè)務(wù)場景����,提升校驗(yàn)安全性和用戶體驗(yàn)�。
對SE的支持,使得智能終端能夠?yàn)橄M(fèi)者提供一個更為安全的存儲和運(yùn)算環(huán)境�。作為領(lǐng)域內(nèi)國內(nèi)最大規(guī)模IFAA聯(lián)盟����,發(fā)布2.1版標(biāo)準(zhǔn)以支持SE也是必然��。
通過SE安全單元這一硬件安全載體,移動終端可以進(jìn)一步提升應(yīng)用和系統(tǒng)的安全性:
在移動終端支付可信環(huán)境框架中����,一般包括REE�、TEE和SE三部分應(yīng)用運(yùn)行環(huán)境。從功能上�,REE�、TEE和SE逐級降低,而安全性上���,則逐級提高����。
REE(富執(zhí)行環(huán)境)是運(yùn)行在移動終端中的開放執(zhí)行環(huán)境��,安全保護(hù)能力相對較弱�����。娛樂、游戲和社交等功能的安全實(shí)現(xiàn),通常構(gòu)建于其上。
相比之下�,TEE(可信執(zhí)行環(huán)境)是運(yùn)行在移動終端中的隔離執(zhí)行環(huán)境���,安全性更高���,運(yùn)行其中的應(yīng)用程序���、敏感數(shù)據(jù)等,都可以在相對隔離的可信環(huán)境中得到存儲�、處理和保護(hù)���。
安全等級最高的,也就是2.1版本中增加的支持對象——SE安全單元����,它為移動終端提供了一個高安全的運(yùn)行環(huán)境�����。
SE是一個物理獨(dú)立的運(yùn)算模塊�,可以在硬件與軟件層面上�,防御各種惡意攻擊,能達(dá)到金融級的應(yīng)用安全要求�。
SE帶來的安全性至少在三個層面中得以體現(xiàn)��。
一是運(yùn)算安全:設(shè)備端的核心運(yùn)算在SE中進(jìn)行�����,保證運(yùn)算過程的安全;
二是存儲安全:生物特征模板和金融業(yè)務(wù)敏感數(shù)據(jù)可由通過SE硬件加密安全存儲;
三是通訊安全:設(shè)備和服務(wù)器之間通過加密通道保護(hù)���,通訊密鑰可使用SE進(jìn)行保護(hù)��,通訊協(xié)議中可加入挑戰(zhàn)值或隨機(jī)數(shù)防止重放攻擊;
新標(biāo)準(zhǔn)新增功能模塊
在最新發(fā)布的《IFAA本地免密技術(shù)規(guī)范(T/IFAA 0002-2018)》分為四個部分,分別為總體架構(gòu)�、IFAA安全域配置要求��、IFAA安全應(yīng)用技術(shù)要求以及IFAA SE管理操作接口��。
為支持SE安全單元,新規(guī)范在總體架構(gòu)中新增了部分功能模塊:
在移動設(shè)備端��,增加了位于SE 中的IFAA安全域��,以及實(shí)現(xiàn)IFAA邏輯功能的IFAA安全應(yīng)用;
在服務(wù)器端��,新增了可信服務(wù)管理平臺��,包括負(fù)責(zé)SE管理的SEI-TSM,以及負(fù)責(zé)IFAA安全域管理和IFAA應(yīng)用管理的IFAA SP-TSM�。
此外�����,在鑒別服務(wù)器端,新規(guī)范還新增了用于簽發(fā)IFAA 應(yīng)用中數(shù)字證書的CA機(jī)構(gòu)��。
便利性提升指日可待
據(jù)悉,除最新發(fā)布的2.1版本外�,IFAA本地人臉識別相關(guān)方案也將于年內(nèi)發(fā)布�����。
此前�����,基于支付寶的電子身份證����,已在福建福州�、浙江杭州和衢州展開試點(diǎn)����。該服務(wù)中���,包括人臉識別在內(nèi)的多模態(tài)生物識別技術(shù)應(yīng)用已經(jīng)落地��。
在過去的兩年中,考慮到包括移動支付等應(yīng)用對更安全身份認(rèn)證的需求�����,IFAA投入了相當(dāng)精力在相關(guān)標(biāo)準(zhǔn)的制定中�。
在2.1標(biāo)準(zhǔn)發(fā)布后��,結(jié)合了SE的IFAA數(shù)字證書應(yīng)用的普及推廣都將得以加速����。
對于普通用戶而言,可以預(yù)見的是�����,未來更多創(chuàng)新身份認(rèn)證方式以及應(yīng)用場景的將陸續(xù)通過手機(jī)終端實(shí)現(xiàn)——手機(jī)用戶生活安全便捷的進(jìn)一步改善指日可待���。
鄂公網(wǎng)安備 42112402000149號