手机盾

手机盾安装和使用安全便捷，拥有一部有内置安全芯片的手机，下载安装盾、下载安装数字证书即可实现移动端电子签名功能，安全等级与银行二代U盾相同，可广泛应用于电子银行、税务、电子商务、电子合约等业务。用户可通过移动端远程下载手机盾，进行身份验证、电子银行开户、转账、缴费、消费、签订电子合约等实名制业务。

由于手机盾实现了手机端的数字证书电子签名，整个使用过程受到《电子签名法》保护，具有法律效力和可追溯性，避免了责任与纠纷。

?高度安全——多重加密运算，数字证书安全储存技术；

?使用方便——安装和使用过程仅需一部手机而无需依赖任何附加硬件；

?功能全面——可配合手机银行、网上银行、电子商务等进行电子签名；

?空中发证——具备“空中发证”功能，降低经营成本，减轻柜面服务工作量；

?远程业务——不仅支持数字证书的远程审核及发放，也可用于其他远程业务；

?适用广泛——流畅运行于各应用场景。

转账、支付

【手机银行】：

使用手机银行时，调用MKEY手机盾实现转账信息的二次回显，手机盾引入数字证书完成交易签名，安全等级等同于二代U盾，实现安全、便捷的转账和支付消费，同时满足大额转账需求。

【网上银行】：

使用网上银行时，不用去银行柜面可实现U盾向手机盾的远程移植，在进行大额交易或转账，手机盾能实现PC端网银转账的扫码确认操作，替代二代U盾，真正意义上实现移动安全便捷的服务。

【引入安全单元】：

SE是一块独立的芯片，用于用户的账户和支付信息的存储，以及硬件加密算法的实现；手机盾应用中，SE为内置于手机内部的嵌入式安全模块(eSE)，进一步降低了遭受物理攻击的风险；PKI是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术；手机盾应用中，采用基于PKI的“数字证书认证方式”来有效保证用户的身份安全和数据传输安全。

【可信执行环境】：

TEE实现了与Rich OS（通常是Android等）基于硬件的隔离，比Rich OS的安全级别更高；TEE提供了TA（可信应用）的安全执行环境，同时也保护TA的资源和数据的保密性，完整性和访问权限；TEE中的每个TA是相互独立的，而且不能在未授权的情况下不能互相访问；支持多种对称和非对称加解密算法；手机盾方案中，SE(安全模块)只能通过TA进行访问，增强了数据访问的安全性；TUI使用过程中可以确保由TEE控制屏幕，并与REE和其它TA隔离；手机盾应用中，TUI将用于输入PIN码，回显交易信息，并等待用户确认。

手机盾运行在移动终端环境，结构可分解为三种应用，分别是REE应用、TEE应用和SE应用。

REE应用

通常所说的App，运行在普通的执行环境中，存在一定的安全风险，如Android操作系统。只有通过CFCA提供的手机盾SDK，App才可以与TEE应用交互，实现数字证书的申请与应用，以及用户密码和生物特征的个人化操作。

TEE应用

手机盾TA，运行在可信的执行环境中（通常为独立的OS），拥有移动终端中除SE外的最高安全级别。手机盾TA 负责用户证书管理、安全输入和显示、生物特征识别和设备信任秘钥的管理等，通过与SE应用的交互实现用户秘钥应用以及用户密码和生物特征认证。同时，在没有SE环境的终端中，手机盾TA可通过RPMB安全存储实现SE应用的功能。

SE应用

手机盾Applet，运行在安全元件的COS中，拥有移动终端中的最高安全级别，为手机盾TA提供秘钥服务、用户密码和生物特征的认证与管理。Applet托管在手机厂商TSM系统中，无需建立额外系统

手机盾开通

用户登录App，完成App后端对用户的身份审核；用户点击“申请证书”，设置数字证书密钥；App发送证书申请请求并返回证书，开通完成；用户根据自身需要可开通指纹、虹膜、人脸等本地免密的生物特征识别，提升用户体验。

手机盾应用

用户在App填写交易信息，并确认进行交易；根据App提示进行指纹等生物特征认证或者使用数字密码；手机盾在安全模式下显示交易信息，用户直接确认或输入数字密码进行确认；手机盾返回签名结果，App完成交易。