如何看待TEE成为一种支付产品种类?


来源:移动支付网    作者:安智客    2018-1-10 11:19

近期:

1,央行出台了条码支付规范,要求2018年4月1日起实施。

2,中国支付清算协会明出台了支付产品种类,同时明确了引用的标准。2018年1月1日起实施。

中国支付清算协会业务主管单位为中国人民银行。

金融支付安全已经提示到国家战略层面,目前央行已经在支付产品安全的具体落实方面,包括在安全技术、产品规范、技术标准等方面对TEE、SE等可信执行环境做出了明确的指示。央行下属的支付清算协会则进一步从产品种类、支付产品认证测试等方面明确。

解读的文章众多,今天安智客从技术方面进行学习,欢迎大家留言讨论:

央行发布的《条码支付业务规范(试行)》的通知,包括三个文件:

《条码支付业务规范(试行)》

《条码支付安全技术规范(试行)》

《条码支付受理终端技术规范(试行)》

首先我们来看看, 中国人民银行就发布条码支付规范答记者问中有如下

问:针对条码支付技术风险,提出了哪些针对性要求?

答:一是加强条码安全防护。采取支付标记化(Tokenization)、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力,有效保障条码的可靠性和有效性。

二是提升条码支付交易安全强度。针对不同条码生成方式,提出加密生成、定期更新、终端唯一标识绑定等具有针对性的安全防护措施。要求银行、支付机构和清算机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性。

三是强化条码支付交易风险监测与预警。合理应用大数据分析、用户行为建模等手段建立条码支付风险监控模型和系统,对异常交易及时预警并附加风控措施,对高风险交易及时告知客户资金变化情况。

四是加强客户端软件安全管理。从木马病毒防范、信息加密保护、运行环境可信等方面提升条码支付客户端软件的安全防护能力,要求客户端软件能够监测并向后台系统反馈手机支付环境安全状况并作为风控策略的依据。

这里面明确了提示条码生成、存储、展示、识读、解析等环节的安全防护能力,以及客户端软件的可信环境安全防护能力。

我们知道TEE+SE的基础能力天然具备上述要求,比如应用条码的生成、存储可以在TEE环境中,展示、识读可以在TUI页面完成。

安智客理解的客户端软件的可信环境安全防护能力指的是TEE或者SE,目前Android手机上如果不基于TEE技术是无法“可信”!

再来看看《条码支付受理终端技术规范(试行)》:

也就是说后期的终端设备是强制要求使用TEE或者SE的。

再参照近日中国支付清算协会关于印发《支付技术产品认证自律管理规则》和《支付技术产品认证目录》的通知,我们不难看看出

这里面明确了TEE、TA和条码支付一样是一种产品,必须满足各种的标准、规范。后期安智客将和大家一起读规范,希望大家喜欢!

等了这么多年,原来2018年才是TEE应用的元年!各位同仁看到这里,大家是否有自己的看法?

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2018 移动支付网    粤ICP备11061396号-5     粤公网安备 44030602000994号