麒麟960成首个获得双重安全认证的SoC芯片 意义何在？

随着移动互联网的快速发展和智能终端的不断普及，移动金融已渗透到消费者生活的各个领域，在为用户带来便捷体验的同时，安全可靠的应用环境亦成为移动金融能否成功的关键要素。

小额支付，用户可以选择微信、支付宝等APP应用，但对于大额支付，则需要有更高的安全性，毕竟出现一次问题，将损失惨重。况且，当前移动金融安全形势严峻，安全事件层出不穷，仅靠指纹识别和密码，似乎不太够。移动金融保证涉及“云网端”三环节，针对端的环节，从芯片层出发的终端安全保障体系，普遍被认为是最高等级且最为安全。

不过，芯片的安全性，不是靠企业自家宣传，更需权威认证、符合国家标准化检测标准才行。在国内，目前央行（中金国盛）和银联的认证级别极具权威，企业纷纷申请。但其认证的门栏高，难度大，很少有企业可获得认证。

今年10月，华为最新旗舰手机芯片---麒麟960实现突破：相继获得央行和银联认证，成为全球首个获得双重安全认证的SoC芯片，可谓里程碑式成果。目前，业界更多关注的是麒麟960的性能、通信等创新，以及在Mate9旗舰机上的使用成效，而忽略了其获得双重安全认证背后重大意义。为此，笔者针对芯片的安全认证进行详细的了解，希望能够引起更多人的关注。

央行（中金国盛）与银联认证门槛高、难度大

央行和银联分别代表了国家银行和国际化的商业组织，均具备极高金融地位。因此，央行和银联认证的级别高，具有很强权威性。

中金国盛认证中心是根据中国人民银行的决策部署，由中国人民银行直属单位中国金融电子化公司筹建，是中国人民银行履行金融认证职责的重要手段和工具。中金国盛也是目前央行唯一指定的可以提供移动金融服务认证的机构。而中国银联的英联K芯片安全认证依据《英联K芯片安全规范》，委托国家金融IC卡安全检测中心提供国际领先的检测服务，代表了当前国内金融领域芯片安全认证的权威。

正是因为其安全级别高，所以央行和银联认证的门槛也很高，难度大。如银联金融IC卡认证流程包括申请与材料递交、产品检测、现场安全检查、认证以及后续监督管理等，十分严格。特别值得一提的，即使认证通过，后续检测一旦出现第二次不合格，就会取消资质。这让希望认证的企业，必须提供足够安全的产品，且要长期保证产品一直处于高安全级别。

目前，已有部分领先企业获得了单个认证。据悉，英飞凌的超微型NFC安全模块获得中金国盛移动金融安全认证，而国网信息通信产业集团有限公司所属的北京智芯微电子科技有限公司自主研发的双界面金融IC卡芯片SGC1035则获得中国银联颁发的《英联K芯片产品安全认证证书》。技术创新及高效的产品体验将促使更多的企业跨过权威认证的门栏，在移动金融安全领域崭露头角，但其中真正能得到央行和银联双重认证的却是凤毛麟角。

今年，华为麒麟960实现了重大的突破——成为全球首个获得央行和银联双重安全认证的SoC芯片。这意味着麒麟芯片的安全解决方案已达到了双重金融级安全认证的水准，其安全性不仅可以更好地保护消费者权益，更是推进了移动安全领域的发展步伐。

终端芯片安全认证势在必行

当前移动金融安全形势严峻，中金国盛副总经理聂丽琴就曾表示，移动金融涉及到国家金融信息和个人资金信息的安全。安全性是金融的生命线，也是赢得消费者信心的前提。通过相应的技术和管理手段，有效来降低风险，提高可靠的安全保障，才能使移动金融产业健康和快速的发展。因此，为了推动移动金融领域的安全健康发展，国家早已从各种政策上进行了部署。

2012年12月17日，人民银行主导的《移动金融支付标准》出台，确定了联网通用安全可信架构下的多个企业TSM并存的生态环境。

2013年8月，国务院印发《关于促进信息消费扩大内需的若干意见》，将大力发展移动支付，建设移动金融安全可信公共服务平台列入促进信息消费与扩大内需的重要内容。2013年10月，移动金融安全可信公共服务平台，也就是MTPS正式上线试运行，加快了移动金融支付标准的实施落地。

2014年5月，发改委、人民银行联合印发《关于组织开展移动电子商务进科技服务创新试点工作的通知》，明确要加快推动移动金融基础设施建设。

2015年1月，人民银行印发抓关于通过移动金融技术创新健康发展的指导意见》，明确了移动金融技术创新的基本原则。

2016年7月，央行发布的《非银行支付机构网络支付业务管理办法》正式实施，突出了“分类管理”模式，包括对个人支付账户分类和对支付机构分类管理。

从这里可以看出，国家从政策上引导产业发展，除了探索创新的产业模式，还要解决移动金融发展中遇到的各种难点，其中最主要的还是安全问题。而移动金融的安全问题，除了政策上的规范，技术上的保障也是必不可少。金融信息化研究所所长李晓枫就曾表示，为了实现两条腿走路的移动金融与移动支付策略，手机银行除了按压指纹认证，还要解决大额支付、汇划、信贷单据、征信记录安全存储等安全与易用性兼顾的一体化体验。简单支付可以靠支付宝、微信等，但要实现5万块钱以上大额的转帐支付，终极的硬件数字证书和安全终端的要求必不可少。

移动终端的安全性应从芯片底层开始构建，而终端芯片的安全认证势在必行。