覆蓋12億手機(jī)的IFAA本地免密標(biāo)準(zhǔn)出新，支持SE安全單元

　　互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟(IFAA)將于6月1日正式發(fā)布《IFAA本地免密技術(shù)規(guī)范(T/IFAA 0002-2018)》，即本地免密標(biāo)準(zhǔn)2.1版。該版本為聯(lián)盟成員單位應(yīng)用SE安全單元提供了標(biāo)準(zhǔn)規(guī)范。

　　同時(shí)，IFAA還預(yù)告，“本地人臉識(shí)別認(rèn)證解決方案”即將發(fā)布。

　　新發(fā)布的本地免密技術(shù)規(guī)范中，關(guān)鍵應(yīng)用和數(shù)據(jù)將通過(guò)SE中進(jìn)行保護(hù)，在用戶使用生物特征識(shí)別或者輸入密碼驗(yàn)證通過(guò)后，即可訪問(wèn)位于SE中的IFAA 安全應(yīng)用來(lái)實(shí)現(xiàn)數(shù)字簽名等操作;并實(shí)現(xiàn)關(guān)鍵信息從存儲(chǔ)、訪問(wèn)、傳輸、對(duì)比等全鏈路安全，可極大降低被黑客竊取或篡改的風(fēng)險(xiǎn)。

　　目前，安全單元SE已經(jīng)被越來(lái)越多的移動(dòng)終端所支持，央行在2017年底發(fā)布的移動(dòng)終端支付可信環(huán)境行業(yè)標(biāo)準(zhǔn)中，也規(guī)定了可信環(huán)境的不同等級(jí)，其中SE是最高等級(jí)的安全環(huán)境。

　　IFAA聯(lián)盟創(chuàng)始會(huì)員單位，同時(shí)擔(dān)任本地免密工作組組長(zhǎng)和副組長(zhǎng)的華為和螞蟻金服對(duì)此早有布局，并積極推動(dòng)了IFAA本地免密規(guī)范升級(jí)，以實(shí)現(xiàn)對(duì)SE的支持。

　　IFAA聯(lián)盟于3年前由中國(guó)信息通信研究院、螞蟻金服、阿里巴巴、華為、中興、三星等單位共同發(fā)起成立，今天成員單位已超過(guò)170名。

　　2.0標(biāo)準(zhǔn)影響12億部手機(jī)

　　IFAA在2016年發(fā)布了本地免密標(biāo)準(zhǔn)2.0版本。在那一版本中，本地校驗(yàn)的核心和敏感數(shù)據(jù)都存儲(chǔ)和運(yùn)行在TEE中。

　　該標(biāo)準(zhǔn)通過(guò)整合生物識(shí)別技術(shù)、安全終端與服務(wù)端，建立起了一個(gè)生物識(shí)別框架和完整安全鏈路。由于生物識(shí)別與比對(duì)，主要是在用戶的設(shè)備本地TEE環(huán)境中完成，這種校驗(yàn)方式有效地保護(hù)了用戶的生物特征數(shù)據(jù)的安全。

　　這一標(biāo)準(zhǔn)支持下，當(dāng)手機(jī)等認(rèn)證設(shè)備用戶需要用指紋、聲紋、虹膜等生物識(shí)別認(rèn)證技術(shù)進(jìn)行本地校驗(yàn)時(shí)，校驗(yàn)結(jié)果會(huì)通過(guò)安全機(jī)制傳送到服務(wù)器端進(jìn)行驗(yàn)證。

　　這一標(biāo)準(zhǔn)發(fā)布后給產(chǎn)業(yè)界帶來(lái)的最廣泛的影響是效率提升，它在極短時(shí)間內(nèi)就使得原本呈現(xiàn)碎片化的生態(tài)環(huán)境，得以在同一標(biāo)準(zhǔn)下運(yùn)行。

　　由于加速了產(chǎn)業(yè)界指紋識(shí)別的接入時(shí)間——周期從2個(gè)月縮短至2周，手機(jī)廠商的適配成本也因此而大幅降低——這一標(biāo)準(zhǔn)在過(guò)去的2年中得以迅速普及。

　　目前，基于該標(biāo)準(zhǔn)，IFAA聯(lián)盟推出的、達(dá)到金融級(jí)的身份識(shí)別解決方案，已覆蓋智能手機(jī)品牌36 家，機(jī)型接近350款，并全面支持蘋(píng)果iOS，總覆蓋設(shè)備數(shù)超過(guò)12億——成為了目前國(guó)內(nèi)市場(chǎng)占有率最高、可擴(kuò)展性優(yōu)越的端到端身份認(rèn)證解決方案標(biāo)準(zhǔn)。

　　高安全等級(jí)滿足金融級(jí)應(yīng)用要求

　　在2.0標(biāo)準(zhǔn)發(fā)布一年后的2017年，IFAA即預(yù)告了本地免密標(biāo)準(zhǔn)2.1版的發(fā)布——支持TEE+SE架構(gòu)成為一大亮點(diǎn)。

　　IFAA本地免密驗(yàn)證模式可以應(yīng)用于多種場(chǎng)景，用來(lái)代替?zhèn)鹘y(tǒng)的登錄、支付口令，實(shí)現(xiàn)免密支付、免密登錄等業(yè)務(wù)場(chǎng)景，提升校驗(yàn)安全性和用戶體驗(yàn)。

　　對(duì)SE的支持，使得智能終端能夠?yàn)橄�費(fèi)者提供一個(gè)更為安全的存儲(chǔ)和運(yùn)算環(huán)境。作為領(lǐng)域內(nèi)國(guó)內(nèi)最大規(guī)模IFAA聯(lián)盟，發(fā)布2.1版標(biāo)準(zhǔn)以支持SE也是必然。

　　通過(guò)SE安全單元這一硬件安全載體，移動(dòng)終端可以進(jìn)一步提升應(yīng)用和系統(tǒng)的安全性：

　　在移動(dòng)終端支付可信環(huán)境框架中，一般包括REE、TEE和SE三部分應(yīng)用運(yùn)行環(huán)境。從功能上，REE、TEE和SE逐級(jí)降低，而安全性上，則逐級(jí)提高。

　　REE(富執(zhí)行環(huán)境)是運(yùn)行在移動(dòng)終端中的開(kāi)放執(zhí)行環(huán)境，安全保護(hù)能力相對(duì)較弱。娛樂(lè)、游戲和社交等功能的安全實(shí)現(xiàn)，通常構(gòu)建于其上。

　　相比之下，TEE(可信執(zhí)行環(huán)境)是運(yùn)行在移動(dòng)終端中的隔離執(zhí)行環(huán)境，安全性更高，運(yùn)行其中的應(yīng)用程序、敏感數(shù)據(jù)等，都可以在相對(duì)隔離的可信環(huán)境中得到存儲(chǔ)、處理和保護(hù)。

　　安全等級(jí)最高的，也就是2.1版本中增加的支持對(duì)象——SE安全單元，它為移動(dòng)終端提供了一個(gè)高安全的運(yùn)行環(huán)境。

　　SE是一個(gè)物理獨(dú)立的運(yùn)算模塊，可以在硬件與軟件層面上，防御各種惡意攻擊，能達(dá)到金融級(jí)的應(yīng)用安全要求。

　　SE帶來(lái)的安全性至少在三個(gè)層面中得以體現(xiàn)。

　　一是運(yùn)算安全：設(shè)備端的核心運(yùn)算在SE中進(jìn)行，保證運(yùn)算過(guò)程的安全;

　　二是存儲(chǔ)安全：生物特征模板和金融業(yè)務(wù)敏感數(shù)據(jù)可由通過(guò)SE硬件加密安全存儲(chǔ);

　　三是通訊安全：設(shè)備和服務(wù)器之間通過(guò)加密通道保護(hù)，通訊密鑰可使用SE進(jìn)行保護(hù)，通訊協(xié)議中可加入挑戰(zhàn)值或隨機(jī)數(shù)防止重放攻擊;

　　新標(biāo)準(zhǔn)新增功能模塊

　　在最新發(fā)布的《IFAA本地免密技術(shù)規(guī)范(T/IFAA 0002-2018)》分為四個(gè)部分，分別為總體架構(gòu)、IFAA安全域配置要求、IFAA安全應(yīng)用技術(shù)要求以及IFAA SE管理操作接口。

　　為支持SE安全單元，新規(guī)范在總體架構(gòu)中新增了部分功能模塊：

　　在移動(dòng)設(shè)備端，增加了位于SE 中的IFAA安全域，以及實(shí)現(xiàn)IFAA邏輯功能的IFAA安全應(yīng)用;

　　在服務(wù)器端，新增了可信服務(wù)管理平臺(tái)，包括負(fù)責(zé)SE管理的SEI-TSM，以及負(fù)責(zé)IFAA安全域管理和IFAA應(yīng)用管理的IFAA SP-TSM。

　　此外，在鑒別服務(wù)器端，新規(guī)范還新增了用于簽發(fā)IFAA 應(yīng)用中數(shù)字證書(shū)的CA機(jī)構(gòu)。

　　便利性提升指日可待

　　據(jù)悉，除最新發(fā)布的2.1版本外，IFAA本地人臉識(shí)別相關(guān)方案也將于年內(nèi)發(fā)布。

　　此前，基于支付寶的電子身份證，已在福建福州、浙江杭州和衢州展開(kāi)試點(diǎn)。該服務(wù)中，包括人臉識(shí)別在內(nèi)的多模態(tài)生物識(shí)別技術(shù)應(yīng)用已經(jīng)落地。

　　在過(guò)去的兩年中，考慮到包括移動(dòng)支付等應(yīng)用對(duì)更安全身份認(rèn)證的需求，IFAA投入了相當(dāng)精力在相關(guān)標(biāo)準(zhǔn)的制定中。

　　在2.1標(biāo)準(zhǔn)發(fā)布后，結(jié)合了SE的IFAA數(shù)字證書(shū)應(yīng)用的普及推廣都將得以加速。

　　對(duì)于普通用戶而言，可以預(yù)見(jiàn)的是，未來(lái)更多創(chuàng)新身份認(rèn)證方式以及應(yīng)用場(chǎng)景的將陸續(xù)通過(guò)手機(jī)終端實(shí)現(xiàn)——手機(jī)用戶生活安全便捷的進(jìn)一步改善指日可待。