文 / IT創事記 祁萌
互聯網金融身份認證聯盟(IFAA)將於6月1日正式發佈《IFAA本地免密技術規範(T/IFAA 0002-2018)》,即本地免密標準2.1版。該版本為聯盟成員單位應用SE安全單元提供了標準規範。
同時,IFAA還預告,“本地人臉識別認證解決方案”即將發佈。
新發布的本地免密技術規範中,關鍵應用和數據將通過SE中進行保護,在用戶使用生物特徵識別或者輸入密碼驗證通過後,即可訪問位於SE中的IFAA 安全應用來實現數字簽名等操作;並實現關鍵信息從存儲、訪問、傳輸、對比等全鏈路安全,可極大降低被黑客竊取或篡改的風險。
目前,安全單元SE已經被越來越多的移動終端所支持,央行在2017年底發佈的移動終端支付可信環境行業標準中,也規定了可信環境的不同等級,其中SE是最高等級的安全環境。
IFAA聯盟創始會員單位,同時擔任本地免密工作組組長和副組長的華為和螞蟻金服對此早有佈局,並積極推動了IFAA本地免密規範對SE的支持。
IFAA聯盟於3年前由中國信息通信研究院、螞蟻金服、阿里巴巴、華為、中興、三星等單位共同發起成立,今天成員單位已超過170名。
2.0標準已覆蓋12億部手機
IFAA在2016年發佈了本地免密標準2.0版本。在那一版本中,本地校驗的核心和敏感數據都存儲和運行在TEE中。
該標準通過整合生物識別技術、安全終端與服務端,建立起了一個生物識別框架和完整安全鏈路。由於生物識別與比對,主要是在用戶的設備本地TEE環境中完成,這種校驗方式有效地保護了用戶的生物特徵數據的安全。
這一標準支持下,當手機等認證設備用戶需要用指紋、聲紋、虹膜等生物識別認證技術進行本地校驗時,校驗結果會通過安全機制傳送到服務器端進行驗證。
這一標準發佈後給產業界帶來的最廣泛的影響是效率提升,它在極短時間內就使得原本呈現碎片化的生態環境,得以在同一標準下運行。
由於加速了產業界指紋識別的接入時間——週期從2個月縮短至2周,手機廠商的適配成本也因此而大幅降低——這一標準在過去的2年中得以迅速普及。
目前,基於該標準,IFAA聯盟推出的、達到金融級的身份識別解決方案,已覆蓋智能手機品牌36 家,機型接近350款,並全面支持蘋果iOS,總覆蓋設備數超過12億——成為了目前國內市場佔有率最高、可擴展性優越的端到端身份認證解決方案標準。
高安全等級滿足金融級應用要求
在2.0標準發佈一年後的2017年,IFAA即預告了本地免密標準2.1版的發佈——支持TEE+SE架構成為一大亮點。
IFAA本地免密驗證模式可以應用於多種場景,用來代替傳統的登錄、支付口令,實現免密支付、免密登錄等業務場景,提升校驗安全性和用戶體驗。
對SE的支持,使得智能終端能夠為消費者提供一個更為安全的存儲和運算環境。作為領域內國內最大規模IFAA聯盟,發佈2.1版標準以支持SE也是必然。
通過SE安全單元這一硬件安全載體,移動終端可以進一步提升應用和系統的安全性:
在移動終端支付可信環境框架中,一般包括REE、TEE和SE三部分應用運行環境。從功能上,REE、TEE和SE逐級降低,而安全性上,則逐級提高。
REE(富執行環境)是運行在移動終端中的開放執行環境,安全保護能力相對較弱。娛樂、遊戲和社交等功能的安全實現,通常構建於其上。
相比之下,TEE(可信執行環境)是運行在移動終端中的隔離執行環境,安全性更高,運行其中的應用程序、敏感數據等,都可以在相對隔離的可信環境中得到存儲、處理和保護。
安全等級最高的,也就是2.1版本中增加的支持對象——SE安全單元,它為移動終端提供了一個高安全的運行環境。
SE是一個物理獨立的運算模塊,可以在硬件與軟件層面上,防禦各種惡意攻擊,能達到金融級的應用安全要求。
SE帶來的安全性至少在三個層面中得以體現。
- 一是運算安全:設備端的核心運算在SE中進行,保證運算過程的安全;
- 二是存儲安全:生物特徵模板和金融業務敏感數據可由通過SE硬件加密安全存儲;
- 三是通訊安全:設備和服務器之間通過加密通道保護,通訊密鑰可使用SE進行保護,通訊協議中可加入挑戰值或隨機數防止重放攻擊。
新標準新增功能模塊
在最新發布的《IFAA本地免密技術規範(T/IFAA 0002-2018)》分為四個部分,分別為總體架構、IFAA安全域配置要求、IFAA安全應用技術要求以及IFAA SE管理操作接口。
為支持SE安全單元,新規範在總體架構中新增了部分功能模塊:
在移動設備端,增加了位於SE 中的IFAA安全域,以及實現IFAA邏輯功能的IFAA安全應用;
在服務器端,新增了可信服務管理平臺,包括負責SE管理的SEI-TSM,以及負責IFAA安全域管理和IFAA應用管理的IFAA SP-TSM。
此外,在鑑別服務器端,新規範還新增了用於簽發IFAA 應用中數字證書的CA機構。
便利性提升指日可待
據悉,除最新發布的2.1版本外,IFAA本地人臉識別相關方案也將於年內發佈。
此前,基於支付寶的電子身份證,已在福建福州、浙江杭州和衢州展開試點。該服務中,包括人臉識別在內的多模態生物識別技術應用已經落地。
在過去的兩年中,考慮到包括移動支付等應用對更安全身份認證的需求,IFAA投入了相當精力在相關標準的制定中。
在2.1版本發佈後,結合了SE的IFAA數字證書應用的普及推廣都將得以加速。
對於普通用戶而言,可以預見的是,未來更多創新身份認證方式以及應用場景的將陸續通過手機終端實現——手機用戶生活安全便捷的進一步改善指日可待。
閱讀更多 IT創事記 的文章
