Bei aktuellen Projekten werde ich oft gefragt: Ist HCE sicher?
Meine Antwort ist: relativ sicher.
Nachdem sie meine Antwort gehört haben, denken viele vielleicht: Eine bestimmte Bank hat die HCE-Anwendung bereits verwendet. Warum ist sie unsicher?
Tatsächlich gibt es zwei Szenarien für die HCE-Anwendung: Online-Modus und Offline-Modus.
Online-Modus:
Auch wenn Sicherheitsprobleme vorliegen, werden die Prozesse mit zugehörigen Schlüsseln und Berechnungen im Hintergrund ausgeführt, sodass dies in den Bereich der Netzwerksicherheit fällt. Es kommt jedoch nicht zu groß angelegten Schlüssellecks. Derzeit befinden sich alle von Banken gestarteten HCE-Anwendungen im Online-Modus.
Offline-Modus:
Relevante Schlüssel, sensible Daten, Beträge und andere Informationen werden im Telefon gespeichert. Android-Telefone können leicht gerootet werden, was dazu führen kann, dass Daten gelesen und kopiert werden, was schwierig werden kann.
Reine HCE-Sicherheitslösung:
Transaktionsschlüssel: geschützt durch Sitzungsschlüssel. Bei jeder Anmeldung ändert sich der Sitzungsschlüssel und der Transaktionsschlüssel wird verschlüsselt.
Sensible Daten und Mengen: Durch Sitzungsschlüssel geschützt, alle Nullen mit Datenklartext verschlüsseln und bei der Überprüfung sensibler Daten und Mengen einen Prüfwert generieren, zuerst entschlüsseln und dann den Prüfwert vergleichen.
Sicherheitsstufe: Algorithmus ausgeblendet
Nachteile: Kopieren kann nicht verhindert werden.
HCE+TEE-Sicherheitslösung:
HCE-Anwendung realisiert Simulationsindustrieanwendungen.
TEE speichert Schlüssel, sensible Daten, Beträge usw.
Sicherheitsstufe: Kernel-Sicherheit
Nachteile: Die TEE-Anpassungsrate ist niedrig und das Telefon muss neu gestartet werden.
Das obige ist der detaillierte Inhalt vonSo beantworten Sie HCE-Sicherheitsfragen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!