如今移动金融的发展对于安全的要求越来越高，尤其是随着TEE、SE、生物识别等各种技术的兴起，移动终端的安全环境发生了变化。中国银联在移动终端的身份认证方面也进行了相关的规范制定，以下为中国银联《基于本地识别与远程验签的认证技术指引》规范的部分相关内容，仅供参考。

该规范由中国银联股份有限公司提出，阐述了可信身份认证服务框架及接口。同时该规范是在TEE平台及SE上开发可信身份认证服务的主要参考规范。主要针对移动终端上应用软件使用生物特征识别和数字证书进行身份认证进行定义和描述，在技术 框架、接口及数据项、安全体系和安全要求等方面提出相关要求和规定。适用于商业银行、支付机构、终端厂商、电子认证服务商等在移动终端上开展基于生物特征识别和数字证书的安全电子认证服务提供参考。

认证原理：

基于本地识别与远程验签的认证技术，是指利用本地设备所具有的用户身份认证方式(如PIN码、指纹、虹膜等生物识别方法)对用户进行身份认证之后，将远程服务器所发送过来的数据使用本地设备私钥签名之后，将签名数据返回给远程服务器，远程服务器使用对应公钥进行验签。

在这一过程中，本地设备的身份认证方法是在本地设备上对用户身份进行判别之后，作为打开签名操作的开关，用户身份是否通过，是由远程服务器对本地设备上发的签名数据是否验签通过以进行最终用户身份认证结果判定。

整个认证流程中由具体的认证过程和为初始化该认证过程的安全通道初始化过程组成，如图2所示。

根据可信环境类型，基于本地识别与远程验签的认证服务可以三种移动终端硬件配置模式工作，分别为TEE模式、TEE+SE模式与SEE模式。

1、TEE模式：

在该模式下，认证签名器与安全入口服务以TA方式部署在TEE下，所负责的身份识别与交易签名功能由TEE提供运行安全防护，其与对应的认证管理后台与安全入口服务后台建立的安全通道密钥由TEE提供的可信存储区域进行安全保护。如图4所示：

2、TEE+SE模式：

在该模式下，认证签名器与安全入口服务分别分成两部分分散部署在TEE与SE下，如图5所示：

鉴于SE与TEE在安全与功能上的强弱区别，要求：

认证签名器部分1 以TA 方式实现身份识别功能(生物识别与TUI 等)，认证签名器部分2 以 applet方式实现交易签名功能。

安全入口服务1在TEE 下以TA 方式实现支撑认证签名器部分1 的应用下载及其安全通道密钥初始化，安全入口服务2在SE 下以安全域方式实现支撑认证签名器部分2 的应用下载及其安全通道密钥初始化。

3、SEE模式

在该模式下，认证签名器与安全入口服务以applet方式部署在SEE下，所负责的身份识别与交易签名等功能均由SEE提供运行安全防护，其与对应的认证管理后台与安全入口服务后台建立安全通道所需的密钥由SEE提供的安全存储区域进行安全保护。如图6所示：

A、使用本认证技术规范可实现类FIDO服务中的快速用户身份识别登录服务，此种方式下，建议采用TEE模式的硬件配置，要求认证签名器运行在TEE下，其所需的生物识别模块，如指纹模块，由TEE控制，如下图所示：

B、使用本认证技术规范可实现手机盾的数字签名服务，此种方式下，建议采用TEE+SE模式的硬件配置，TEE部分实现认证签名器中的身份识别功能，要求基于TUI的密码验证方式，其他部分则全部以applet 方式运行在SE上，如下图所示：

C、使用本认证技术规范可实现增强型手机盾服务，此种方式下，建议采用SEE模式的硬件配置，要求认证签名器运行在TEE下，其所需的身份识别模块，如指纹模块、触摸屏，都可由SEE控制，如下图所示：

资料来源：中国银联《基于本地识别与远程验签的认证技术指引》