日前信安标委的公布《基于生物特征识别的移动智能终端身份鉴别技术框架》。
本标准中,技术框架也是基于可信环境实现,移动智能终端的身份鉴别协议解析、用户生物特征采集、比对、存储与呈现攻击检测等均应在可信环境中进行。可信环境的具体实现方式可采用TEE或TEE与SE组合使用的方式。如下图所示:
(框架图来自于标准)
这里的依赖方可以理解为APP业务方,利用身份验证完成业务逻辑的一方。可信管理负责对身份鉴别可信应用的生命周期管理,包括下载、安装、更新以及删除等操作。如在移动智能终端侧使用了安全单元,也负责对安全单元中的可信应用的生命周期进行管理。可信管理虽然是可选模块,但是在TEE+SE的安全架构里则是不可或缺。另外文档提到特征采集模块宜具备对呈现攻击检测和防范的能力,这一块目前应该没有实现案例的吧。
下面看看安全要求,其余内容大家可以参照文档。安全要求对框架图中各个部分分别进行了描述,如下图所示:
比如对于生物特征识别器中特征采集模块,标准建议:结合移动智能终端所具有的可信执行环境或安全单元实现特征采集模块、特征存储模块的安全。说白了也就是需要TEE&SE来对其安全进行保护,这也就是目前TEE正在干的活儿!
安智客想说的是,目前大量信息网络安全规范都是基于PC时代的产物,移动互联网时代,物联网时代,终端安全才刚刚开始进入角色!