ICS 35.240.40 A11 团 体 标 准 T/BFIA 002—2018 移动终端基于TEE可信人机 界面技术规范 Technical specification for mobile terminal based on TEE's trusted user interface 2018-10-22发布 2018-10-22实施 北京金融科技产业联盟 发布 T/BFIA 002—2018 目 次 前言 引言 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5 可信人机界面概述 6 TUI基础控件 7 安全指示器 8 TUI屏幕显示及布局 9 安全要求 10 其他要求 10 11 安全密码键盘 10 附录A（资料性附录） 基于TUI的安全增强条码 T/BFIA002—2018 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由北京金融科技产业联盟提出并归口。 本标准负责起草单位：北京金融科技产业联盟、中国银联股份有限公司、中国工商银行股份有限公 司、银行卡检测中心。 本标准参加起草单位：中国银行股份有限公司、中国建设银行股份有限公司、中国金融电子化公司、 华为技术有限公司、北京中金国盛认证有限公司、北京握奇数据股份有限公司、恒宝股份有限公司、北京 豆英科技有限公司、北京小米支付技术有限公司。 本标准主要起草人：班廷伦、聂丽琴、胡达川、郭伟、李定洲、安思宇、王鑫、李欧、王晨、刘杰琪、 谢依夫、张朋、高居甲、黄江、张健、石玉平、鲁洪成、赵李明、罗广文、张志坚、王磊。 I T/BFIA002—2018 引言 随着移动终端支付业务的快速普及和移动互联网相关产业的创新发展，移动支付的需求已经向安 全、便捷、高效方向发展。由于现有终端操作系统本身主要解决便捷性、功能性不足的问题，基于终端操 作系统的传统人机界面已无法适应当前移动终端支付业务的安全需求。 为提升移动终端在金融交易中的安全性，有效防范恶意软件监听、改、截屏等行为在移动金融交 易中的发生，有必要依托现有移动终端设备中TEE可信执行环境技术的安全性和严格的安全服务管理 显示等安全行为的重要手段。故而需对业界使用基于TEE可信人机界面开展移动金融业务的行为进 行有效定义、规范和指导，并进一步提高行业应用安全水平，促进移动金融产业发展，特制定本标准。 本标准根据金融行业的特点参考金融行业相关标准规范而制定。 行业主管部门另有规定的，则遵循主管部门的相关规定。 Ⅱ T/BFIA 002—2018 移动终端基于TEE可信人机 界面技术规范 1范围 本标准规定了移动终端上基于TEE的可信人机界面概述、TUI基础控件、安全指示器、TUI屏幕 显示及布局、安全要求、其他要求和安全密码键盘。 本标准适用于商业银行、支付机构、终端厂商等在终端上使用可信人机界面技术能力的机构和单 位，为其在移动终端上实现开展安全信息输入/输出服务提供参考。 注：本标准仅对基于TEE可信执行环境的可信人机界面技术进行了抽象和规范，对商业银行的手机银行、网上银 行或其他支付类业务通过可信人机界面进行安全信息输入输出提供技术指导。 2 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件 GB2312 信息交换用汉字编码字符集基本集 JR/T0156—2017 移动终端支付可信环境技术规范 3术语和定义 下列术语和定义适用于本文件。 3.1 移动终端 mobileterminal 具有移动通信能力的终端设备。 3.2 富执行环境 rich execution environment;REE 在移动终端内，由通用操作系统管理和控制的环境，通用操作系统及运行在其中的应用程序具有不 可信的特点。 注：如安卓等操作系统。 3.3 可信执行环境 trusted executionenvironment,TEE 在移动终端内，与富执行环境相隔离的安全环境，保证数据在其中被安全传输、存储、处理等，并为 其中的可信应用提供一个安全的执行环境。 3.4 安全单元secureelementSE 负责金融盾服务的密钥和数字证书等关键数据的存储和运算的高安全性硬件部件，包括移动终端 集成的安全芯片或外置的安全芯片。 注：在本标准中可负责密钥、安全指示器信息等关键数据的运算和存储操作。 1 T/BFIA 002—2018 3.5 共享内存 share memory CA和TA间可以直接共享访问的同一块内存区域，可用于实现在CA、TA间的数据共享和互传。 4缩略语 下列缩略语适用于本文件。 CA：客户端应用（ClientApplication） TA：可信应用（TrustedApplication） TUI：可信人机界面（TrustedUserInterface 5 可信人机界面概述 5.1功能概述 TUI是指在移动终端上具备屏幕输入/输出能力的整个区域中，基于移动终端上TEE实现，为用 户提供用于安全交互的界面，在特定使用中也称为可信用户接口。 通过TUI输出给用户的信息不能被REE或TEE中的TA非法访问、算改截屏和掩盖。TUI主 要应用在手机银行、第三方支付业务等金融业务及对移动终端有高安全性要求的业务中，TUI可实现 交易关键信息回显确认、安全密码键盘实现、条码安全显示实现（参考附录A的相关内容）应用场景。 TUI由TA提供商或TEE提供商提供并部署在TEE环境中。 5.2 2能力目标 5.2.1 安全输出 确保输出给用户的信息不能被REE或TEE中的非授权TA，进行访问、篡改、截屏和掩盖，包括： 显示文本、图像等； 展示LED、声音等。 5.2.2安全输入 确保用户输入的信息不能被REE或TEE中的非授权TA，进行访问、篡改，包括： 接收键盘输入信息； 接收触摸屏输人信息； 接收生物特征识别信息，例如指纹等。 5.2.3安全指示 提示用户当前安全输入/输出行为由TEE保护控制。 为满足以上能力目标的要求，TUI会调用移动终端上的相关部件来进行用户交互，这些部件包括 但不限于移动终端上的摄像头、键盘、触摸屏、LED指示灯和指纹传感器等。 5.3一般结构 一般结构如图1所示。 2 T/BFIA002—2018 REE TEE 共享内存 共享内存 可信应用 客户端应用 TEE内部API TUIAPI TEE外部API TUI模块 按钮控件 文本控件 标签控件 图像控件 安全指示器控件 通用OS框架和服务 可信OS基础服务 通用内核和驱动 可信OS内核框架 可信OS 安全运算 消息 SE 系统软硬件平台 说明： TEE外部API：运行在REE中应用程序调用的接口； TEE内部API：运行在TEE中应用程序使用的接口； 可选； 隔离。 图1 一般结构图 REE侧包括： 客户端应用（CA：运行在REE环境，可以访问TA的应用程序 TEE外部API：供CA进行调用，对应TEE内接口为TEE内部API TEE侧包括： 可信应用（TA）：运行在TEE环境，由TEE提供保护的应用程序。 TUIAPI:为TUI提供相关接口及方法。TUI作为TEE内部API中的一部分，应作为实现 TUI的主要功能接口提供。 TUI模块：用于实现安全输人/输出和TUI布局等功能，至少包括按钮、标签、图像、文本和安 全指示器控件，一般由TEE厂商进行实现。 SE：可用于存储敏感信息或进行加解密计算。如：存储安全指示器信息、对TUI输入输出信 息进行加解密运算等。按业务要求，SE配置可选。 6TUI基础控件 6.1按钮（button） 6.1.1功能概述 允许用户通过点击来执行操作。 3 T/BFIA 002—2018 6.1.2使用说明 一般而言，TUI应至少包括以下按钮：更正（CORRECTION）、确认（OK）、取消（CANCEL）、验证 （VALIDATE）、上一页（PREVIOUS）和下一页（NEXT）。 其中，“更正”按钮在有至少一个输入框的情况下是强制性的。 6.2标签（label) 6.2.1功能概述 用于向用户展示信息，如标识、交易信息等。 6.2.2 使用说明 标签由背景画布构造，并覆盖有两个额外的显示： a) 可设置和可发现的整体标签区域画布颜色。 b） 可选的图像，图像大小小于或等于画布，可定位在标签内的任意位置区域。通常情况下，它会 包含一个服务提供商的标识。 可选的文本，可放置在标签区域内的任意位置，该图像的顶部。 G 图像 文本 标签 图2标签结构 标签结构如图2所示，标签区内图像和文本区域的屏幕坐标是左上角：由（0，0）偏移值增大朝向标 签区域的右下角，这些偏移值表示相关的图像或文本区的左上角。这三个区域的组合给出一个简单但 灵活的显示区域。具体应用示例如图3所示，由标签、图像和文本组成的交易信息显示区域与按钮等其 他控件组合构成了一个完整的TUI输入输出界面。 4 T/BFIA 002—2018 1Packet HedgeHogCrisps TotalPriceS0.50 1Packet HedgeHog Crisps Total Price S0.50 <更正 确认 北京金 图3标签组合示例 6.3图像（image） 6.3.1功能概述 8 将图像文件转换为屏幕显示。 6.3.2 使用说明 本标准要求图像格式至少支持PortableNetworkGraphics（PNG）格式，且应预缩放至适合标签 的画布区域内。 本标准并不强制要求实现支持PNG格式标准的全部功能，但至少有以下功能： a) 两种颜色类型如下： 1）灰