5月25日,在《手機報》舉辦;合力泰獨家冠名的“指紋支付‘安全’決定未來——暨指紋識別下一個風口‘印度’”論壇上,來自果核科技的總經理陳吉向大家分享了TEE+eSE標準下的移動支付解決方案。
果核科技總經理陳吉
陳吉表示,果核科技也是IFAA的成員之一,他本人也在2007年左右就開始在做移動支付。早期他在天喻信息任職,這是一家移動支付概念股企業,后來為了在移動支付領域做一些延伸,于是成立了果核科技。
說到指紋支付的普及,陳吉表示,蘋果的ApplePay是始作俑者。ApplePay在2014年做了指紋支付,之后支付寶和微信也做了自己的指紋支付,另外銀聯也在布局,實際上今年進軍國內的ApplePay、三星Pay,以及今年發布的華為Pay和即將發布的小米Pay等等,都是屬于銀聯系的指紋支付。銀聯三大王牌,ApplePay、三星Pay和云閃付,三個都跟NFC有關系,其中ApplePay和三星Pay是指紋支付。NFC、指紋成了手機的標準配置,支付寶、微信、銀聯支付成為了手機必備應用。
那么指紋的意義是什么呢?它有兩個作用,一個是代替了密碼輸入,一個是起到身份識別的作用。它要解決手機上進行支付的兩個問題:便捷與安全。但是,指紋本身并不是一個安全外設,因為指紋的信息很容易被獲取,所以說指紋主要是解決了一個輸入的問題。指紋是一種代替密碼的便捷輸入方式,是一種友好的人機本地認證手段。所以現在做指紋識別的時候是一種人與設備之間的認證,不是把指紋放到后臺去做認證。如果把指紋放到后臺去做認證,安全性會降低。
陳吉認為,做指紋支付的時候需要三個技術來作為安全支撐:使用SE保護指紋數據及認證密鑰;使用TEE保護指紋認證邏輯;最重要的是使用TSM來對SE、TEE以及指紋應用生命周期進行管理。要進行管理我們就要考慮到安全要素,包括密鑰、身份信息和安全策略。把這些安全要素整合起來,會形成我們自己的安全邏輯。
要做安全管理我們需要做以下幾件事:1.建立TSM(可信服務管理)系統。與指紋支付相關應用、數據在被加載時可被驗證其來源安全。2.所有的數據要放到TEE(可信執行環境)和SE(安全芯片)里面,這些數據都是跟個人息息相關的,有一個個性化的過程,所以要進行個性化管理。3.需要有一個TEE的環境,對指紋支付相關代碼運行隔離、安全通道、可追溯等等特性進行配置。4.進行生命周期管理,進行指紋支付相關應用、數據可升級、可掛失、可凍結、可銷毀等管理。
所以我們的安全層次分為4個層次,第一個只要講安全就有密鑰,需要考慮密鑰是放在TEE里還是SE里。如果安全性不高的話就放在TEE里,沒有什么安全性的就直接放在安卓系統下也行。但如果要安全性高的就一定要放在SE里,這就是為什么現在的金融和城市一卡通是一定要有SE。所以密鑰安全就一定要有SE。
第二個是算法安全,現在國內的很多應用會要求國產算法。
第三個是邏輯安全,如何設計我們的協議,我們的業務邏輯等。
第四個是最重要的管理安全,要有一個規章制度、法律法規來規范標準。IFAA標準出臺也是從管理安全的角度去考慮的。
所以說指紋支付的安全需要從系統層面進行部署。而不是說把一個指紋芯片放上去,或把一個SE芯片放上去就行了。所以一定是指紋、NFC、SE、TEE、TSM全部整合成一個系統才算把指紋支付的安全體系構建得比較完整。
陳吉稱,移動互聯網上的每個APP都有自己的安全需求,所有的APP都不希望自己的數據被別人獲取,所以它一定要跟自己的安全后臺去建立安全連接。所以這就有個問題:我的安全基礎設施是可以給所有APP用的,而不僅僅只是針對指紋支付。那么,如果所有的APP都要用到這個安全基礎設施,對安全的管理就會變得十分重要,所以TSM平臺變得很重要。
因此,需要為終端和應用設計規劃完整的密鑰體系;為終端和應用生命周期管理建設管理平臺;參照合適的標準規范構建安全管理的策略。只有把這三個技術全部支撐起來,整個指紋支付才能真正的支撐好。
01月07日 18:14
