阿里云優(yōu)惠券 先領券再下單

近日，由安全牛、谷安研究院聯(lián)合通付盾等多家數據安全廠商編寫的《中小銀行數據安全治理研究報告》(以下簡稱《報告》)正式對外發(fā)布，報告通過對數字安全領域技術企業(yè)進行調研，分享了專業(yè)數據安全技術公司在數據安全治理體系建設和技術工具應用方面的知識與經驗，為銀行開展和完善數據安全風險管控提供建設性意見和方案。

《報告》主體架構分為概述、數據安全治理環(huán)境、數據安全治理方法、數據安全治理運維、數據安全防護工具等，力求覆蓋到數據安全治理的主要方面。通付盾重點參與的調研領域為 用戶身份認證 。以下是《報告》中，通付盾關于數字身份認證領域完整解決方案：

1. 身份認證核心需要

中小銀行用戶對該技術的需求大致可分為如下兩個階段：

1) 首次身份認證

主要指銀行在電子渠道針對用戶(特別是非存量用戶)在注冊、開戶、信用卡申請等場景的身份認證行為。防范身份虛假、資料虛假、身份偽冒等風險。

2) 二次身份認證

主要指銀行在其網銀、手機銀行等渠道的登錄、轉賬等場景，針對用戶在移動設備端發(fā)起的關鍵交易信息進行二次確認，以滿足監(jiān)管合規(guī)(如：電子簽名法、261 號文、170 號文等)、安全便捷、國密改造的需求。

2. 技術應用的難點與挑戰(zhàn)

移動互聯(lián)時代的安全是關系到國家和社會穩(wěn)定、經濟穩(wěn)定、民眾安全的重要問題，其中身份安全是核心基礎之一，影響著移動互聯(lián)安全的方方面面。在中小銀行進行數字化轉型過程中，在提升用戶體驗的同時，如何保證用戶的隱私安全和資金安全成為目前的焦點。該技術在中小銀行用戶應用過程中，會遇到多因素認證服務、多種認證方式、統(tǒng)一和多樣化的認證策略等難點。

1) 提供多因素認證服務

用戶身份認證與管理可以為多個不同種類、不同形式的應用提供統(tǒng)一的認證服務，不需要應用系統(tǒng)獨立開發(fā)、設計認證系統(tǒng)，為業(yè)務系統(tǒng)快速推出新的業(yè)務和服務準備基礎條件，用戶身份認證管理系統(tǒng)需為這些應用提供統(tǒng)一的接入形式。

2) 提供多種認證方式

銀行的不同業(yè)務系統(tǒng)的安全級別不同, 使用環(huán)境不同，用戶的習慣和操作熟練程度不同，用戶身份認證管理系統(tǒng)需針對這些不同的應用特點提供不同的認證手段。

3) 提供統(tǒng)一和多樣化的認證策略

用戶身份認證管理系統(tǒng)針對不同的認證方式，需提供統(tǒng)一的策略控制，各個應用系統(tǒng)也可以根據自身的需要進行個性化的策略設置，根據應用或用戶類型的需求，設置個性化的認證策略，提高應用系統(tǒng)的分級管理安全。

3. 技術應用的關鍵指標

用戶身份認證與管理是銀行安全門戶的入口，只有安全的認證機制才可以保證銀行大門不被非法人員進入。通付盾認為，用戶身份認證與管理應包括但不限于如下功能及技術：

1) 時空碼

時空碼技術是一種安全可信的準硬件級動態(tài)多維碼技術。通過動態(tài)算法、P2P(去中心化)校驗等先進技術， 融入時間因子、空間因子、硬件指紋、行為因子、邏輯加密等多重安全因子，有效保護近程憑證安全，防*、防截屏、防劫持;同時也保護遠程憑證安全，防病毒、防木馬，確保憑證安全和交易安全。時空碼技術相當于在開放的移動互聯(lián)網環(huán)境中建立起設備之間的安全通道。

2) 密碼算法

身份認證產品中使用符合國家密碼主管部門要求的安全算法。支持的算法包括SM2、SM3、SM4 和安全隨機數。

3) 設備指紋

設備指紋技術是基于國際領先的網籍庫技術，快速識別和采集設備的上百種軟硬件屬性及行為屬性，為每臺入網設備生成防假冒的、唯一的設備ID，作為虛擬空間的“身份證”，形成開放式平臺的隱形賬號體系。在HUE 產品技術架構中，設備是終端用戶與各業(yè)務系統(tǒng)建立關聯(lián)的載體，設備指紋的精確性確保了用戶設備的唯一性。

4) 安全通訊

•SSL 安全通道(HTTPS)

HUE 服務要求連接的請求都采用HTTPS鏈接，來保障傳輸數據不被泄露和篡改。

• 國密算法加密傳輸

在HTTPS通訊安全的基礎上，使用國密算法加密所有通訊數據，增強安全性，消除安全依賴。

• 完整性校驗

應校驗身份認證產品的完整性，保證連接的是合法的未被劫持篡改的身份認證產品，若完整性校驗未通過， 則連接自動中斷。

• 訪問鑒權

所有訪問身份認證服務的網絡連接都必須通過鑒權后，才允許建立會話。鑒權使用國密SM3算法。

• 帶外通訊

基于特有的設備指紋技術，只有與業(yè)務賬號綁定的設備(移動設備)才能收到推送的確認消息。

5) PKI 體系

采用國密非對稱SM2算法原理和技術實現(xiàn)，使用數字簽名方式提供安全的身份認證服務。

4. 通付盾數字身份認證核心亮點

基于以上幾大方面，通付盾為《某銀行用戶身份項目》提供完整解決方案，滿足了該商業(yè)銀行在“在手機銀行轉賬匯款業(yè)務中，使用數字簽名等安全可靠支付指令驗證方式，提高轉賬匯款安全性”的客觀需求及對應于261號文中明確要求的“采用數字證書或者電子簽名等安全可靠的支付指令驗證方式”和“銀行應當進行大額交易提醒，單位、個人確認后方可轉賬”等“手勢密碼”和“交易信息確認”等功能，實現(xiàn)安全轉賬的同時，為用戶帶來便捷。通付盾數字身份認證方案兼具以下核心三大亮點：

1. 去中心化標識符(Decentralised Identifiers，DIDs)

去中心化標識符(Decentralised Identifiers，DIDs) 是一種新型的可驗證的“自我主權式”的身份標識符，該標識符在全球范圍內是唯一的，DID通常與加密相關的內容關聯(lián)(例如公鑰，服務端點)，以建立安全的通信通道。它能夠完全掌控在DID擁有者手上，獨立于任何中心化的注冊機構，身份提供者，或者證書頒發(fā)機構。對于那些需要進行自我管理，密碼可驗證的身份，例如個人標識符，組織標識符及物聯(lián)網場景都非常有用。

2. 數據安全區(qū)塊鏈

通付盾使用分布式賬本技術，基于區(qū)塊鏈構成整個系統(tǒng)網絡拓撲結構的基礎。使用區(qū)塊鏈可以有效保障系統(tǒng)的安全性、擴展性和去中心化特點。此外，鏈上主要保存的是加密過程中需公開的數據(如公鑰和算法)以及匿名和加密后的行為類數據，并不會要求上傳用戶的隱私數據。密鑰管理及網絡安全的最佳實踐也貫穿了系統(tǒng)的設計，機構和用戶本人將以妥善安全的方式保存自己的密鑰及隱私數據。

數據安全區(qū)塊鏈KeyChain結構圖

3. 國密加密體系

客戶端(電子簽名法要求)使用SM2節(jié)和隨機數算法生成本地公私鑰對，私鑰基于用戶邏輯密碼(手勢密碼)加密存儲在本地(加密后私鑰也會發(fā)往云端一份，便于應用重新安裝后從云端更新，使邏輯完備)，公鑰會發(fā)往云端用于驗簽(身份認證)。安全性源自橢圓曲線公鑰密碼算法，數學基礎保證加密安全。

通付盾數字身份認證解決方案區(qū)別于一般的身份認證產品，主要基于去中心化的區(qū)塊鏈技術，同時結合了通付盾設備指紋、時空碼等多項專利技術，以及PKI、數字簽名等安全技術，實現(xiàn)了安全掃碼、重要信息確認、手勢密碼認證、人臉識別、指紋識別等在內的多種身份認證方式，確保數據保護可信、可追溯，安全強度達到準U盾級，產品技術獲得 國密局商密資質 、 公安部eID接入認證等國家級重要資質認證 。

伴隨著移動互聯(lián)網的快速發(fā)展，用戶身份認證的方式也在不斷演變。從最初的帳號密碼到動態(tài)令牌、U盾、短信驗證碼，再到指紋、面容等生物特征認證，開發(fā)者和用戶對身份認證的需求不再僅僅聚焦于最基礎的安全性需求，便捷、隱私和規(guī)范性的兼顧，也成為重要的身份認證需求，通付盾將不斷加強技術創(chuàng)新和服務完善，為更多中小銀行數據安全治理保駕護航!

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！