數字信用卡:TEE+SE+eID+OCR等技術結合

今年7月，深圳金融科技創新監管試點工作組在廣泛徵集項目的基礎上，對外公示首批4個創新應用。4個創新應用每一個都大有來頭，但是其中「基於TEE解決方案的智能數字信用卡」應用卻格外的引人注意。

根據公布的《金融科技創新應用聲明書》，「基於TEE解決方案的智能數字信用卡」的關鍵技術是TEE、SE、eID、OCR與大數據等技術。簡單的說，該應用主要是用TEE+SE保證數據安全與應用安全，通過eID、OCR技術實現遠程身份認證，最後完成數字信用卡開卡業務。

鴻蒙TEE：通過CC EAL5+認證

「基於TEE解決方案的智能數字信用卡」這個名字看起來普普通通但是其中的門道卻非常多。首先，「基於TEE」準確來說應該是「基於華為TEE」。

去年9月，在華為2019年度旗艦新品發布會上，華為消費者業務CEO餘承東宣布，Mate 30系列搭配的TEE通過了CC EAL5+認證。

TEE是基於硬體隔離的可信執行環境，和RichOS（Android、iOS）一起運行，功能為隔離Rich OS及其應用程式對硬體和軟體安全資源的訪問，從而保證安全。但是由於TEE技術本身的局限性，其安全性能認證一般只能達到CC EAL2+，TEE+SE方案能通過CC EAL5+認證。CC EAL5+甚至於6+一般屬於安全晶片性能認證。

而華為通過CC EAL5+的檢測的系統叫做鴻蒙V1.2，這也是目前華為唯一叫做鴻蒙的系統。該系統使用了微內核技術，通過形式化方法(Formal Method)完成了TEE設計。所謂形式化方法，是使用數學方法解決軟體問題，主要包括建立精確的數學模型以及對模型的分析活動，具體可以理解為是運用形式化語言，進行形式化的規格描述、模型推理和驗證的方法。

根據公布的《金融科技創新應用聲明書》，TEE將會配合SE（安全晶片）同時使用，保護帳號、密碼、隱私信息等個人金融信息安全，提供從硬體、系統、應用到雲端的端對端安全服務。

eID：再次落地到金融領域

2018年8月，華為聯合公安部第三研究所宣布啟動了eID載入手機的試點，此次試點是首次將eID直接載入手機。從華為開始，公安三所不斷地和手機廠商合作，eID載入的手機品牌也越來越多，目前已經基本覆蓋國內主流安卓手機品牌。

eID（即Electronic Identity）,其官方的定義解釋是以密碼技術為基礎、以智能安全晶片為載體、由「公安部公民網絡身份識別系統」籤發給公民的網絡電子身份標識，能夠在不洩露身份信息的前提下在線遠程識別身份。

eID在籤發時會以用戶個人身份信息和隨機數計算出一個唯一代表用戶身份的編碼，即用戶的網絡身份標識編碼（eIDcode）。該編碼不含任何個人身份信息，且不可逆推出個人身份信息。

用戶使用eID通過網絡向應用方自證身份時，應用方會通過連接「公安部公民網絡身份識別系統」的運營和服務機構，請求驗證核實用戶網絡身份的真實性和有效性。

華為手機+eID在金融領域有過多次實踐案例，比如西安銀行手機銀行大額轉帳，用戶在進行手機轉帳前，需事先在手機華為錢包App中開通eID，使用指紋授權後即可在西安銀行實現手機銀行客戶端7*24小時500萬轉帳。

另外，公安三所與東莞農村商業銀行合作，率先在直銷銀行個人II、III類帳戶開立業務中使用eID技術，結合近場通信、人臉識別、活體檢測和數據加密等手段，將用戶eID數字身份融合於直銷銀行開戶流程中。

客戶在直銷銀行遠程開戶時，需事先在手機華為錢包App中開通eID，經過客戶授權及活體、人像識別後，即可在東莞農村商業銀行直銷銀行App「D+Bank」中完成開戶所需的身份核驗流程。

此次公布的「基於TEE解決方案的智能數字信用卡」在本質上與上述兩個落地項目沒有區別，但是在實際應用表現上卻大有不同。

「基於TEE解決方案的智能數字信用卡」=Huawei Card？

4月8日，在2020華為春季新品發布會上Huawei Card正式面世，作為一款自帶光環的數字金融產品，Huawei Card一經推出便受到了用戶和行業的關注。

從眾測的體驗來看，Huawei Card的申領非常便捷，簡單來說可以分為兩步：一、申請審批；二、在線激活（深圳以外地區需線下激活）。

在「在線激活」環節（深圳地區），主要分為四步，包括上傳身份證、人臉識別、協議籤名、視頻連線。人臉識別需要申請人跟隨提示作出張嘴、搖頭等動作，而視頻連線則需要申請人手持身份證原件進行人證合一的視頻確認。

整個環節與《金融科技創新應用聲明書》對「基於TEE解決方案的智能數字信用卡」的描述基本一致，發卡銀行也是「基於TEE解決方案的智能數字信用卡」申請機構之一中信銀行。

但是「基於TEE解決方案的智能數字信用卡」應用和Huawei Card當中有一個非常大的區別，雖然都是由TEE+SE保證數據安全與端對端安全，由OCR技術實現遠程身份認證，最後通過遠程視頻落實「三親」（親見申請人本人、親見身份證原件、親見申請人本人籤名），但是在Huawei Card實際體驗中與eID相關功能沒有得到體現。

銀行業務線上化與電子身份證

「基於TEE解決方案的智能數字信用卡」本質上是一張信用卡聯名卡，在國內類似的聯名卡落地案例很多，早在2017年，中國銀行就攜手中國移動聯合推出「中國移動&中國銀行聯名卡」。

但是「基於TEE解決方案的智能數字信用卡」實現全流程線上申領依舊是極具創新意義的。這裡的創新意義來自兩個方面：

一是隨著網際網路技術的進一步發展，銀行業務大量線上化的同時，信用卡開卡等傳統業務也需要往線上發展，「基於TEE解決方案的智能數字信用卡」在這方面做出了積極的探索。

二是關於電子身份證應用落地實踐。在網際網路時代的大潮之下，大量業務線上化的同時，沒有電子身份證已經成為了很多業務線上化的制約。雖然已經出現了eID、CTID等具有強力身份認證的電子證件，但是一直處於小心翼翼的嘗試階段，比如上文提到的西安銀行手機銀行大額轉帳與東莞農商銀行線上辦理II、III類帳戶開戶。

而「基於TEE解決方案的智能數字信用卡」對於eID的應用則是突破了這一限制，可以說是直接將eID作為了信用卡開戶的身份認證憑證，其意義不亞於入住酒店不需要身份證只需要一部手機。

當然，「基於TEE解決方案的智能數字信用卡」也有一定的小小遺憾。目前eID已經基本支持國內所有主流安卓手機品牌，而各大手機廠商也幾乎都推出了自己的手機錢包應用，但是目前只有華為可以開卡，不免限制了此類應用的推廣。

另外，在開卡時只支持中信銀行，沒有給用戶更多的可選擇銀行，另外暫時沒有消費積分系統等等問題也讓人抱有遺憾。