从徽商银行手机盾说起

我们今天来了解下手机盾的设计，TEE、SE、证书体系等等是如何在手机上的协作！

先来看看徽商银行手机盾产品介绍资料：

手机盾统一认证系统就是用手机来实现传统U盾功能，采用CA密码技术实现，为银行、第三方支付、电子商务、移动办公、电子政务等提供安全身份认证和交易确认服务。手机盾统一认证系统通过银行卡检测中心检测、通过国家密码管理局认证。

产品特点:

手机+数字证书+签名认证=手机盾 手机盾产品采用国产密码算法，无需业务密码，可实现移动互联网安全认证。具有携带方便、安装快捷、使用简单的特点。

产品功能

登陆认证：可用于办公系统登陆、网游登陆、电商网站登陆等场景。

支付确认：可用于银行支付、第三方支付、电商网站快捷支付、游戏运营商支付、虚拟币支付等支付确认场景。

共管账户认证：可用于银行、互联网金融的共管账户确认场景。

应用领域

可广泛应用于金融、电子商务、电子政务、企业信息化、网游、网上报税、网上招投标等领域。

手机盾和U盾一样，也有2个流程，简要如上图所示：

1，手机盾的发行管理。

主要是指手机盾证书的管理，也就是证书如何下载到SE中。

目前做法是，手机厂商必须提前预制TEE、SE等基础能力，以及相关TA、APPLET应用。

不同芯片平台的TEE不一样，比如高通TEE平台是QSEE。

同一芯片平台TEE也会不一样，比如MTK平台有许多家TEEOS。

基于不同SE厂商有不同COS系统。

正是基于此，徽商银行TEE-SE证书目前支持部分华为手机（华为mate10、华为mate9、华为mate9 Pro、华为P10、华为P10 plus、华为荣耀V9）。手机证书的下载，通过手机银行APP进行操作。主要有：短信下载、电子令牌下载、数字证书下载。

这一部分银行主要完成手机+人+证书的绑定。目前手机证书管理主要是通过重新下载证书来处理各种事件，比如下面：

2，交易过程安全保障。

主要是银行APP中交易转账信息、确认信息、PIN码信息的TUI显示。

手机证书转账限额如下表所示：

注：云证书是指与设备无关的证书，安全级别无法和TEE-SE证书媲美！

这一部分主要与TEE相关的主要是TUI。