今年7月,深圳金融科技創新監管試點工作組在廣泛徵集項目的基礎上,對外公示首批4個創新應用。4個創新應用每一個都大有來頭,但是其中“基於TEE解決方案的智能數字信用卡”應用卻格外的引人注意。
根據公布的《金融科技創新應用聲明書》,“基於TEE解決方案的智能數字信用卡”的關鍵技術是TEE、SE、eID、OCR與大數據等技術。簡單的說,該應用主要是用TEE+SE保證數據安全與應用安全,通過eID、OCR技術實現遠程身份認證,最後完成數字信用卡開卡業務。
鴻濛TEE:通過CC EAL5+認證
“基於TEE解決方案的智能數字信用卡”這個名字看起來普普通通但是其中的門道卻非常多。首先,“基於TEE”準確來說應該是“基於華為TEE”。
去年9月,在華為2019年度旗艦新品發布會上,華為消費者業務CEO餘承東宣布,Mate 30係列搭配的TEE通過瞭CC EAL5+認證。
TEE是基於硬件隔離的可信執行環境,和RichOS(Android、iOS)一起運行,功能為隔離Rich OS及其應用程序對硬件和軟件安全資源的訪問,從而保證安全。但是由於TEE技術本身的局限性,其安全性能認證一般隻能達到CC EAL2+,TEE+SE方案能通過CC EAL5+認證。CC EAL5+甚至於6+一般屬於安全芯片性能認證。
而華為通過CC EAL5+的檢測的係統叫做鴻濛V1.2,這也是目前華為唯一叫做鴻濛的係統。該係統使用瞭微內核技術,通過形式化方法(Formal Method)完成瞭TEE設計。所謂形式化方法,是使用數學方法解決軟件問題,主要包括建立精確的數學模型以及對模型的分析活動,具體可以理解為是運用形式化語言,進行形式化的規格描述、模型推理和驗證的方法。
根據公布的《金融科技創新應用聲明書》,TEE將會配閤SE(安全芯片)同時使用,保護賬號、密碼、隱私信息等個人金融信息安全,提供從硬件、係統、應用到雲端的端對端安全服務。
eID:再次落地到金融領域
2018年8月,華為聯閤公安部第三研究所宣布啓動瞭eID載入手機的試點,此次試點是首次將eID直接載入手機。從華為開始,公安三所不斷地和手機廠商閤作,eID載入的手機品牌也越來越多,目前已經基本覆蓋國內主流安卓手機品牌。
eID(即Electronic Identity),其官方的定義解釋是以密碼技術為基礎、以智能安全芯片為載體、由“公安部公民網絡身份識彆係統”簽發給公民的網絡電子身份標識,能夠在不泄露身份信息的前提下在綫遠程識彆身份。
eID在簽發時會以用戶個人身份信息和隨機數計算齣一個唯一代錶用戶身份的編碼,即用戶的網絡身份標識編碼(eIDcode)。該編碼不含任何個人身份信息,且不可逆推齣個人身份信息。
用戶使用eID通過網絡嚮應用方自證身份時,應用方會通過連接“公安部公民網絡身份識彆係統”的運營和服務機構,請求驗證核實用戶網絡身份的真實性和有效性。
華為手機+eID在金融領域有過多次實踐案例,比如西安銀行手機銀行大額轉賬,用戶在進行手機轉賬前,需事先在手機華為錢包App中開通eID,使用指紋授權後即可在西安銀行實現手機銀行客戶端7*24小時500萬轉賬。
另外,公安三所與東莞農村商業銀行閤作,率先在直銷銀行個人II、III類賬戶開立業務中使用eID技術,結閤近場通信、人臉識彆、活體檢測和數據加密等手段,將用戶eID數字身份融閤於直銷銀行開戶流程中。
客戶在直銷銀行遠程開戶時,需事先在手機華為錢包App中開通eID,經過客戶授權及活體、人像識彆後,即可在東莞農村商業銀行直銷銀行App“D+Bank”中完成開戶所需的身份核驗流程。
此次公布的“基於TEE解決方案的智能數字信用卡”在本質上與上述兩個落地項目沒有區彆,但是在實際應用錶現上卻大有不同。
“基於TEE解決方案的智能數字信用卡”=Huawei Card?
4月8日,在2020華為春季新品發布會上Huawei Card正式麵世,作為一款自帶光環的數字金融産品,Huawei Card一經推齣便受到瞭用戶和行業的關注。
從眾測的體驗來看,Huawei Card的申領非常便捷,簡單來說可以分為兩步:一、申請審批;二、在綫激活(深圳以外地區需綫下激活)。
在“在綫激活”環節(深圳地區),主要分為四步,包括上傳身份證、人臉識彆、協議簽名、視頻連綫。人臉識彆需要申請人跟隨提示作齣張嘴、搖頭等動作,而視頻連綫則需要申請人手持身份證原件進行人證閤一的視頻確認。
整個環節與《金融科技創新應用聲明書》對“基於TEE解決方案的智能數字信用卡”的描述基本一緻,發卡銀行也是“基於TEE解決方案的智能數字信用卡”申請機構之一中信銀行。
但是 “基於TEE解決方案的智能數字信用卡”應用和Huawei Card當中有一個非常大的區彆,雖然都是由TEE+SE保證數據安全與端對端安全,由OCR技術實現遠程身份認證,最後通過遠程視頻落實“三親”(親見申請人本人、親見身份證原件、親見申請人本人簽名),但是在Huawei Card實際體驗中與eID相關功能沒有得到體現。
銀行業務綫上化與電子身份證
“基於TEE解決方案的智能數字信用卡”本質上是一張信用卡聯名卡,在國內類似的聯名卡落地案例很多,早在2017年,中國銀行就攜手中國移動聯閤推齣“中國移動&中國銀行聯名卡”。
但是 “基於TEE解決方案的智能數字信用卡”實現全流程綫上申領依舊是極具創新意義的。這裏的創新意義來自兩個方麵:
一是隨著互聯網技術的進一步發展,銀行業務大量綫上化的同時,信用卡開卡等傳統業務也需要往綫上發展,“基於TEE解決方案的智能數字信用卡”在這方麵做齣瞭積極的探索。
二是關於電子身份證應用落地實踐。在互聯網時代的大潮之下,大量業務綫上化的同時,沒有電子身份證已經成為瞭很多業務綫上化的製約。雖然已經齣現瞭eID、CTID等具有強力身份認證的電子證件,但是一直處於小心翼翼的嘗試階段,比如上文提到的西安銀行手機銀行大額轉賬與東莞農商銀行綫上辦理II、III類賬戶開戶。
而“基於TEE解決方案的智能數字信用卡”對於eID的應用則是突破瞭這一限製,可以說是直接將eID作為瞭信用卡開戶的身份認證憑證,其意義不亞於入住酒店不需要身份證隻需要一部手機。
當然,“基於TEE解決方案的智能數字信用卡”也有一定的小小遺憾。目前eID已經基本支持國內所有主流安卓手機品牌,而各大手機廠商也幾乎都推齣瞭自己的手機錢包應用,但是目前隻有華為可以開卡,不免限製瞭此類應用的推廣。
另外,在開卡時隻支持中信銀行,沒有給用戶更多的可選擇銀行,另外暫時沒有消費積分係統等等問題也讓人抱有遺憾。
歡迎與作者交流:
微信:lifesfire,備注公司+姓名+職務
金融信息安全討論群,請添加群主微信:lifesfire,備注:姓名+公司+職務+入群。
