在互联网时代，网上银行普遍采用“USBKey+数字证书”的方式保障银行用户的登录和交易安全，安全强度高，在十多年的实践中获得了行业的普遍认可。进入移动互联时代，手机银行采用短信验证码或动态口令的认证方式，安全强度低，已无法满足手机银行日益增强的安全需求。
    中国金融认证中心（CFCA）结合多年来在电子认证行业的实践经验，通过整合商业银行、移动终端厂商的优势资源，致力于以移动终端“TEE+SE”、“TEE+安全存储”作为集成式安全认证介质解决手机银行等移动应用安全认证问题，可为银行转账、ATM取现、消费金融、小微贷款等业务提供第三方认证服务。

一、方案阐述
    基于移动终端TEE和SE等安全环境，CFCA移动产品团队提出了移动应用安全架构解决方案，并以该安全架构为基础，推出CFCA手机盾V2.0系列产品。以下从终端和系统端两个视角予以说明：
    （1）在支持“移动应用安全架构”解决方案的移动终端中存在三种应用：REE应用（App）、TEE应用（TA）、SE应用（Applet）。三者的功能定义和相互关系是：
    · REE应用（App）通过调用安全架构统一接口，执行PKI证书管理；
    · TEE应用（TA）为App提供证书管理、安全输入和显示、生物特征识别等功能；
    · SE应用（Applet）为TA提供密钥管理和用户验证管理(CVM)。
    （2）系统端为符合电子认证的典型架构，包括注册审批系统RA、证书签发系统CA和签名验签服务器。移动端信任根密钥管理中心提供对移动终端设备的验真服务。

二、方案特点
    在深入分析现有移动证书解决方案的基础上，CFCA产品团队从终端普及度、应用方接入复杂度、用户使用便捷性等三个痛点需求出发，创新性地提出了移动端集成式、金融级硬件安全的数字证书解决方案——“移动应用安全架构”，其特点如下：


    （1）轻量化SE应用，打造证书应用通用的密钥保险箱（空发SE应用，且支持市场存量机）；
    （2）兼容现有的电子认证系统，应用方无需改造即可接入（可选接入移动终端设备验真服务）；
    （3）支持指纹、虹膜、人脸等本地免密的生物特征识别，提升用户体验。
    具备如下优势：
    （1）合规：证书、私钥存储在安全环境中
    （2）安全：支持安全输入和显示，达到所见即所签
    （3）兼容：可复用现有电子认证系统，无需改造
    （4）体验：支持指纹、虹膜、人脸等本地免密的生物特征识别

三、应用场景
    凭借移动应用安全架构解决方案“终端普及，平滑接入”的特点，不仅可为手机银行提供安全服务，也可赋能移动金融、电子政务、移动办公等多种行业，为其提供身份识别、电子签章、证据保全、数据加密等综合服务，打造移动互联时代金融信息安全基础服务。
    （1）金融行业
    金融高风险、强监管的行业特点决定了其对身份认证的强烈需求。移动应用安全架构解决方案可使得PKI数字认证技术平滑迁移到移动互联时代的安全终端上。以手机银行转账交易为例：

    （2）电子政务
    在电子政务领域的社保申领、预约挂号、个税缴纳、企业年报、电子存证等场景下，基于移动应用安全架构的系列终端产品可提供身份核验、数据加密、证据保全等服务，方便百姓在手机上完成各项事务处理。
    （3）移动办公
    在企业移动办公领域，基于移动应用安全架构的系列终端产品可提供通讯数据加密、流程审批、合同签署、工作汇报、时间戳等服务，满足移动互联时代日益增涨的移动办公需求。　

  作者：鲁欣