最近的项目中每每都会被问到:hce安全吗?
我的答复是:相对安全。
听到我这样的回答,很多人可能会开始说了,某某银行都上HCE应用了,怎么不安全了?
其实,HCE应用的场景有两种:在线模式与离线模式。
在线模式:
即便存在安全问题,涉及到相关密钥和运算的过程都在后台完成,因此属于网络安全范畴。但,不会发生大规模密钥泄露问题。目前,银行上线的HCE应用都是属于在线模式。
离线模式:
相关密钥、敏感数据、金额等信息都会存储在手机内部。Android手机很容易被root,这会导致数据被读取和复制,因此情况会变得棘手。
纯HCE的安全方案:
交易密钥:通过会话密钥进行保护,每次登陆会话密钥会进行变化,对交易密钥进行转加密。
Shopxp网上购物系统下载Shopxp购物系统历经多年的考验,并在推出shopxp免费购物系统下载之后,收到用户反馈的各种安全、漏洞、BUG、使用问题进行多次修补,已经从成熟迈向经典,再好的系统也会有问题,在完善的系统也从在安全漏洞,该系统完全开源可编辑,当您下载这套商城系统之后,可以结合自身的技术情况,进行开发完善,当然您如果有更好的建议可从官方网站提交给我们。Shopxp网上购物系统完整可用,无任何收费项目。该系统经过
敏感数据以及金额:通过会话密钥进行保护,用数据明文对全0进行加密,产生校验值;在验证敏感数据与金额时,先进行解密,然后进行比较校验值。
安全级别:算法隐藏
缺点:无法实现防复制。
HCE+TEE的安全方案:
HCE应用实现模拟行业应用。
TEE存储密钥、敏感数据、金额等。
安全级别:内核安全
缺点:TEE适配率低,而且需要重新启动手机。
