IFAA2.1规范中对TEE的安全性要求
互联网金融身份认证联盟IFAA即将颁布的IFAA2.1本地免密规范中对TEE有如下安全要求:
规范6.1.2节中TEE的安全要求应符合TAF-WG4-AS0008-V1.0.02017,那么我们来看看,这个规范!
规范的具体内容后面再详细解读,今天我们来看看对应TEE的安全功能要求。
这个规范中定义了4个级别的安全要求。
注:脆弱性分析包括API模糊性测试+源码审核+文档审核,形成渗透性测试计划和测试用例。渗透性测试是针对前期脆弱性分析展开攻击测试,包含软件、硬件攻击。
从上表可以看出,二、三、四安全级别都需要进行渗透性测试。区别在于安全功能不一样。比如在秘钥安全、安全存储这两个方面,四级要求基于物理隔离的安全芯片的实现,也就是说必须要用到SE芯片。
我们再来梳理一下:
2017年08月08日北京移动金融产业联盟发布的《移动终端安全金融盾规范》明确了手机盾中安全技术保证必须是TEE+SE+TUI。
2017年12月29日中国支付清算协会发布央行发布的《支付技术产品认证目录》明确了TEE、TA、SE等作为一种产品种类,并将《移动终端支付可信环境技术规范》作为TEE+SE的技术规范。
同一天以及央行发布《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》明确要求使用TEE、SE来保证受理终端的唯一标识无法被篡改。
现在IFAA又进一步完成的2.1规范,而实质上在2017年华为和蚂蚁金服已经联手实现了IFAA规范2.1版。
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
展开全文
展开全文
相关阅读
- 移动支付网 | 2019/10/10 9:03:20
- 中国新闻网 | 2019/1/11 18:07:45
- 移动支付网 | 2018/11/27 19:20:12
- IFAA联盟 | 2018/11/22 14:02:31
- 移动支付网 | 2018/9/28 9:16:02
- 移动支付网 | 2018/9/28 9:10:32
- 移动支付网 | 2018/9/28 9:05:09
- 移动支付网 | 2018/9/27 19:38:01
- 移动支付网 | 2018/9/27 19:15:20
- 移动支付网 | 2018/9/22 18:01:38
- 移动支付网 | 2021/3/29 17:23:29
- 移动支付网 | 2020/12/9 18:48:13
- 微众银行区块链 | 2020/6/18 14:04:51
- 移动支付网 | 2019/12/25 9:04:35
- 移动支付网 | 2019/12/23 14:41:56