互联网金融身份认证联盟IFAA即将颁布的IFAA2.1本地免密规范中对TEE有如下安全要求:
规范6.1.2节中TEE的安全要求应符合TAF-WG4-AS0008-V1.0.02017,那么我们来看看,这个规范!
规范的具体内容后面再详细解读,今天我们来看看对应TEE的安全功能要求。
这个规范中定义了4个级别的安全要求。
注:脆弱性分析包括API模糊性测试+源码审核+文档审核,形成渗透性测试计划和测试用例。渗透性测试是针对前期脆弱性分析展开攻击测试,包含软件、硬件攻击。
从上表可以看出,二、三、四安全级别都需要进行渗透性测试。区别在于安全功能不一样。比如在秘钥安全、安全存储这两个方面,四级要求基于物理隔离的安全芯片的实现,也就是说必须要用到SE芯片。
我们再来梳理一下:
2017年08月08日北京移动金融产业联盟发布的《移动终端安全金融盾规范》明确了手机盾中安全技术保证必须是TEE+SE+TUI。
2017年12月29日中国支付清算协会发布央行发布的《支付技术产品认证目录》明确了TEE、TA、SE等作为一种产品种类,并将《移动终端支付可信环境技术规范》作为TEE+SE的技术规范。
同一天以及央行发布《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》明确要求使用TEE、SE来保证受理终端的唯一标识无法被篡改。
现在IFAA又进一步完成的2.1规范,而实质上在2017年华为和蚂蚁金服已经联手实现了IFAA规范2.1版。