图解《移动终端支付可信环境技术规范》

前面我们知道中国支付清算协会将TEE、SE作为一种产品类别，并将《移动终端支付可信环境技术规范》作为其技术规范。因为准确、全面的理解规范非常重要，本篇安智客将所读之心得体会展现出来，望各位行业老师指导！

1，一个目标

规范明确了通过业务使用场景不同，REE、TEE与SE在软件上各成相对独立的体系，从功能上，REE、TEE、SE逐级降低；从安全上，REE、TEE、SE逐级提高。通过REE、TEE、SE三者之间的可控相互访问机制，为移动终端支付提供功能与安全上的全方位服务体系。

2，两种应用场景

手机银行应用场景主要说的手机盾的应用，明确了手机盾电子认证流程，简单说来明确了必须用到SE和TUI。

互联网身份认证应用场景，明确了SE是可选的。

3，三个组件定义

规范中，对REE、TEE、SE进行了明确。对于支持TEE的终端，REE包括 TEE 的通信驱动和 TEE 外部 API，支持其上运行的应用访问 TEE 应用；

TEE中需要关注的是规范说可信应用以机构控制下部署为主，这也就是说TEE可信管理平台也许会多种多样。

4，四类安全能力

规范中明确根据所支持的运行环境的不同，将移动终端支付可信环境分成四个大类别。在每一类别定义了该类别应具备的安全能力的最小集合，移动终端只有具备了该类别所要求的全部安全能力项，才可以被标为该类别的移动终端支付可信环境。

也就是说后期各厂商生成的基于TEE、SE的产品必须满足上述规定。这部分内容值得大家详细研究。这些能力集合规范上只罗列的非常详细，至于如何测试，相信后续相关测试认证机构也会紧锣密鼓的开展工作。

这里强调一点的是，如果需要具备四类B级安全能力的话，则必须满足REE+TEE的基础能力+扩展能力集合，比如 TEE 对 SE 的访问控制机制的实施的能力、 TEE与SE之间创建安全通道的能力，相应的需要TEE 侧对 SE 进行访问控制机制的实施，需要SE侧有做相应配合的能力。也就是说如果一个手机盾产品，用了自家的TEE产品但是用了别家的SE产品，则存在一定安全能力风险。

5，五大可信生产环境要求

这里需要注意一点，硬件加密管理，境内企业应使用国家密码管理部门许可的硬件加密设备。境外企业应使用国家密码管理部门许可的硬件加密设备，或通过国际权威机构认证且符合行业管理要求的硬件加密设备。也就是说目前各大手机产线上的工具需要国家管理部门许可，而不是自己做的工具直接提供给客户。

6，六种基本安全功能检测项

这6种基本能力安全涵盖内容是重点，TEE扩展功能检测主要是指TUI和生物识别。同时也保护功能和安全两部分。

7，七大安全目标

这几大安全目标实质就是TEE的主要功能点，需要注意的是访问控制，规范上说是通过访问控制权限的严格控制手段保证功能和数据不被非法访问或者不恰当的访问。这里我的理解是包括TA直接的数据隔离与访问、REE端与TEE端的访问控制。这些在GP规范中已经有明确定义。

8，八种基础可信服务

这八大可信服务也都是TEE的基础功能，需要注意的是，REE监测，规范上要求监测REE的安全性。

最后提一个疑问？

规范上说，TUI可信用户接口中，输入要求：接受生物识别信息，例如指纹等。这一点，安智客不明白，目前通行的做法是指纹输入直接在TEE中处理，TUI界面与指纹并不存在关联，如果要做到TUI界面中进行指纹管理，那岂不要修改Google指纹框架？恳求各位大咖给予指导，谢谢！