前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >IFAA2.1规范中对TEE的安全性要求

IFAA2.1规范中对TEE的安全性要求

作者头像
安智客
发布2018-02-24 14:49:19
1.2K0
发布2018-02-24 14:49:19
举报
文章被收录于专栏:安智客

互联网金融身份认证联盟IFAA即将颁布的IFAA2.1本地免密规范中对TEE有如下安全要求:

规范6.1.2节中TEE的安全要求应符合TAF-WG4-AS0008-V1.0.02017,那么我们来看看,这个规范!

规范的具体内容后面再详细解读,今天我们来看看对应TEE的安全功能要求。

这个规范中定义了4个级别的安全要求。

注:脆弱性分析包括API模糊性测试+源码审核+文档审核,形成渗透性测试计划和测试用例。渗透性测试是针对前期脆弱性分析展开攻击测试,包含软件、硬件攻击。

从上表可以看出,二、三、四安全级别都需要进行渗透性测试。区别在于安全功能不一样。比如在秘钥安全、安全存储这两个方面,四级要求基于物理隔离的安全芯片的实现,也就是说必须要用到SE芯片。

我们再来梳理一下:

2017年08月08日北京移动金融产业联盟发布的《移动终端安全金融盾规范》明确了手机盾中安全技术保证必须是TEE+SE+TUI。

2017年12月29日中国支付清算协会发布央行发布的《支付技术产品认证目录》明确了TEE、TA、SE等作为一种产品种类,并将《移动终端支付可信环境技术规范》作为TEE+SE的技术规范。

同一天以及央行发布《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》明确要求使用TEE、SE来保证受理终端的唯一标识无法被篡改。

现在IFAA又进一步完成的2.1规范,而实质上在2017年华为和蚂蚁金服已经联手实现了IFAA规范2.1版。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-01-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安智客 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
文档审核
文档审核(Document Auditing Service,DAS)是数据万象推出的文档内容安全智能识别服务,能够有效识别文档中出现的可能令人反感、不安全或不适宜内容,协助用户建设绿色健康的社交网络环境。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档