手机防护软件 华为与建行共同发布了手机金融盾越来越受到大家的关注

近期，华为与建行共同发布了手机金融盾，大家都开始逐渐关注这个移动支付领域的新兴产品。手机金融盾其实就是传统U盾在手机上的延伸，由于它很好的解决了移动支付的安全性问题和传统U盾携带不便的缺点，因此越来越受到大家的关注。

1. USB Key，即U盾，是一种USB接口的硬件设备。它内置一块智能卡芯片，可以存储用户的私钥及数字证书，进行特定的加解密运算，并且具有很强的防物理攻击能力，防止用户私钥和和证书泄露。当用户使用USB Key进行网上交易时，由USB Key内置的密钥算法实现对用户身份的认证。由于用户私钥保存在高安全级别智能卡芯片中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。

2. 传统U盾的发展经历过两代：一代U盾，可安全存储用户的密钥和证书，解决了数字证书的存储安全问题，但无法与用户进行交互，无法防止黑客通过远程控制非法调用；二代U盾，增加了按键和屏幕显示，可与用户进行交互，客户在通过网上银行办理支付等业务时，二代U盾上的液晶显示屏会自动回显交易金额、账号等信息，客户确认无误后按下“确认”按钮才可完成交易。手机防护软件

3. 传统U盾用户在使用时需通过USB接口插入电脑，完成用户身份的认证。但随着移动支付的普及，用户在手机上转账和支付的频率越来越高，传统U盾的弊端逐渐显融等级的软硬件安全条件，手机金融盾应运而生。

4. 手机金融盾是手机终端、TEE和SE等技术相结合的产物。在TEE的安全界面(TUI)实现了PIN码输入、交易信息回显和交易确认等，达到“所见即所签”的效果，在SE中完成认证和交易，与二代U盾具有相同的安全级别。它的出现很好地解决了传统U盾的弊端，并且在使用上更加便捷和安全。

手机金融盾的架构基本上由REE、TEE和SE中的功能模块组成。

REE一般就是手机中的Android操作系统，可以安装手机金融盾APP(即UKey APP)，提供丰富的操作界面，以完成与用户的交互操作(安全要求不高)；并且实现证书管理，包括申请、下载、更新及删除等操作入口。

TEE是可信执行环境，一般运行在ARM trustzone环境的安全世界(也称为Secure World)中，与android运行环境(也称为Non-secure World)进行安全隔离。手机金融盾在TEE中主要实现Ukey TA、eSE服务、TUI服务三大功能模块。

1. Ukey TA主要完成与android端Ukey app的交互；

2. SE处于TEE的控制之下，eSE服务提供了在TEE环境中访问SE的接口，并且通过与SE之间建立安全通道，保证与SE之间的安全通信；

3. TUI服务提供与用户的安全交互，主要实现PIN码的输入及管理，以及交易信息的显示和确认，防止用户密码被恶意程序和窃取，保证交易信息不被非法篡改。手机防护软件

SE即安全模块，具有金融等级安全，可完成密钥的生成和私钥存储、用户证书存储、交易信息签名等功能。

手机金融盾生产、开盾和交易基本过程如下：

1. 手机金融盾的生产过程包含在手机的生产过程当中，包括TEE和SE在手机上的集成，通常TEE中的Ukey TA和SE中安全域初始化也是在生产阶段完成；

2. 手机金融盾的开盾过程主要完成用户安全证书的生成和下载。当通过对用户身份认证之后，SE中会产生一对公私钥对，私钥会永久保存在SE中无法被读出，公钥会发送给认证中心CA进行签名以生成用户的证书，并下载到SE中，完成手机金融盾和用户身份的绑定；

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-58242-1.html