图解手机盾的安全设计（二）

昨天的文章里，我们聊了手机盾的相关方、手机盾的安全架构以及其生命周期。相对的，我们也必须了解服务方生命周期管理！

手机盾服务的完整生命周期包括：服务申请、服务应用安装、服务应用、服务注销等。

首先用户本人通过银行柜台或者网络自助方式（这个目前还没有吧！）像服务提供商一般是银行提出申请，完成金融盾的初始化，初始化首先要下载客户端APP，手机盾在REE侧的服务一般和客户端APP集成在一起。

那么TEE中相对应的TA理论上是需要服务方TAM系统统一下载的，但是目前也许只能提前预置到手机终端中。

SE中的数据初始化，主要是指安全域的初始化，目前也都只是在出厂前预置进去，应用安装也一般提前预置。应该这一块目前做法都是在产线阶段厂商提前做好了。

最后一部分就是证书管理操作了，从服务端来看，证书下载、证书更新、证书删除等功能都是参照成熟的规范。

从移动终端来看，申请手机盾服务最主要的也就是证书下载，在一台具备TEE&SE以及相关预置服务的手机终端上安装了支持金融盾的客户端APP后，第一步就是发起证书下载到手机SE中的操作。

证书更新、证书删除等等也是类似。

（上述描述省略了服务端对本人身份认证的一大波操作和措施）

完成了以上步骤，就可以开始使用手机盾了。

下面我们在来看看应用手机盾的交易认证流程！

首先是，客户端发起交易请求，比如要转账100万，业务系统收到请求后响应回复，可以开始转账了。用户输入完交易信息后，进入TUI界面，现在正在安全支付，请确认信息正确性。点击提交，这个时候在SE中对交易信息进行签名。返回签名信息和证书。依次返回到业务系统中，服务器进行验证，返回转账成功OK。

是不是觉得这个流程特别简单，没错就是这么简单！

1，用户发起转账申请后，终端系统开始切换到TEE中运行TUI，这个时候是安全的可信执行环境，保证了REE端任何系统服务无法窥探你的转账信息，同时由你本人对交易信息进行确认。然后输入密码，正确后，TEE将交易信息提交SE。SE直接与TEE通过SPI口相连接，保证了物理接口上的安全性。

这里面的关键技术是TUI。

2，用户在TUI中点击确认后，这个时候轮到SE出马了。密码和交易信息通过安全通道进入SE的安全应用中，安全应用进行密码验证，验证通过就对交易数据进行签名。

3，客户端将TEE返回上来的数据发送到服务提供方，进行交易验证，验证通过后交易成功。否则返回失败。

可能有人就要问了，要是这手机丢了，密码也被人知道了，怎么办？那我也问下你，传统USBkey掉了，同时密码也被人知道了怎么办！

移动金融盾的安全设计要考虑的是如何在REE中不安全的操作环境里执行安全的金融操作。安全的问题方方面面。手机盾解决自己环节的问题就可以了。哈哈！

那么安全体现在哪里？

安全体现在要通过国家安全认证。

1，安全技术的关键是密码算法，算法的关键在硬件真随机数，在生成对称和非对称秘钥这方面TEE和SE都有着很好的解决方案。

2，安全保护重在隔离和防御，TEE和SE搭配就是在茫茫的世界中，你回到了家，然后锁住了房门，把一个存折放到保险箱中。

3，私钥的存储必须是安全的，可以存在RPMB中，也可以存在SE中。

4，金融盾也可以配合指纹、虹膜、人脸识别等等生物认证方式进行，但是这增加了风险点，还没有听说有这样做的！