近日,由安全牛、谷安研究院聯(lián)合通付盾等多家數(shù)據(jù)安全廠商編寫的《中小銀行數(shù)據(jù)安全治理研究報告》(以下簡稱《報告》)正式對外發(fā)布,報告通過對數(shù)字安全領(lǐng)域技術(shù)企業(yè)進行調(diào)研,分享了專業(yè)數(shù)據(jù)安全技術(shù)公司在數(shù)據(jù)安全治理體系建設(shè)和技術(shù)工具應(yīng)用方面的知識與經(jīng)驗,為銀行開展和完善數(shù)據(jù)安全風(fēng)險管控提供建設(shè)性意見和方案。
《報告》主體架構(gòu)分為概述、數(shù)據(jù)安全治理環(huán)境、數(shù)據(jù)安全治理方法、數(shù)據(jù)安全治理運維、數(shù)據(jù)安全防護工具等,力求覆蓋到數(shù)據(jù)安全治理的主要方面。通付盾重點參與的調(diào)研領(lǐng)域為 用戶身份認(rèn)證 。以下是《報告》中,通付盾關(guān)于數(shù)字身份認(rèn)證領(lǐng)域完整解決方案:
1. 身份認(rèn)證核心需要
中小銀行用戶對該技術(shù)的需求大致可分為如下兩個階段:
1) 首次身份認(rèn)證
主要指銀行在電子渠道針對用戶(特別是非存量用戶)在注冊、開戶、信用卡申請等場景的身份認(rèn)證行為。防范身份虛假、資料虛假、身份偽冒等風(fēng)險。
2) 二次身份認(rèn)證
主要指銀行在其網(wǎng)銀、手機銀行等渠道的登錄、轉(zhuǎn)賬等場景,針對用戶在移動設(shè)備端發(fā)起的關(guān)鍵交易信息進行二次確認(rèn),以滿足監(jiān)管合規(guī)(如:電子簽名法、261 號文、170 號文等)、安全便捷、國密改造的需求。
2. 技術(shù)應(yīng)用的難點與挑戰(zhàn)
移動互聯(lián)時代的安全是關(guān)系到國家和社會穩(wěn)定、經(jīng)濟穩(wěn)定、民眾安全的重要問題,其中身份安全是核心基礎(chǔ)之一,影響著移動互聯(lián)安全的方方面面。在中小銀行進行數(shù)字化轉(zhuǎn)型過程中,在提升用戶體驗的同時,如何保證用戶的隱私安全和資金安全成為目前的焦點。該技術(shù)在中小銀行用戶應(yīng)用過程中,會遇到多因素認(rèn)證服務(wù)、多種認(rèn)證方式、統(tǒng)一和多樣化的認(rèn)證策略等難點。
1) 提供多因素認(rèn)證服務(wù)
用戶身份認(rèn)證與管理可以為多個不同種類、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù),不需要應(yīng)用系統(tǒng)獨立開發(fā)、設(shè)計認(rèn)證系統(tǒng),為業(yè)務(wù)系統(tǒng)快速推出新的業(yè)務(wù)和服務(wù)準(zhǔn)備基礎(chǔ)條件,用戶身份認(rèn)證管理系統(tǒng)需為這些應(yīng)用提供統(tǒng)一的接入形式。
2) 提供多種認(rèn)證方式
銀行的不同業(yè)務(wù)系統(tǒng)的安全級別不同, 使用環(huán)境不同,用戶的習(xí)慣和操作熟練程度不同,用戶身份認(rèn)證管理系統(tǒng)需針對這些不同的應(yīng)用特點提供不同的認(rèn)證手段。
3) 提供統(tǒng)一和多樣化的認(rèn)證策略
用戶身份認(rèn)證管理系統(tǒng)針對不同的認(rèn)證方式,需提供統(tǒng)一的策略控制,各個應(yīng)用系統(tǒng)也可以根據(jù)自身的需要進行個性化的策略設(shè)置,根據(jù)應(yīng)用或用戶類型的需求,設(shè)置個性化的認(rèn)證策略,提高應(yīng)用系統(tǒng)的分級管理安全。
3. 技術(shù)應(yīng)用的關(guān)鍵指標(biāo)
用戶身份認(rèn)證與管理是銀行安全門戶的入口,只有安全的認(rèn)證機制才可以保證銀行大門不被非法人員進入。通付盾認(rèn)為,用戶身份認(rèn)證與管理應(yīng)包括但不限于如下功能及技術(shù):
1) 時空碼
時空碼技術(shù)是一種安全可信的準(zhǔn)硬件級動態(tài)多維碼技術(shù)。通過動態(tài)算法、P2P(去中心化)校驗等先進技術(shù), 融入時間因子、空間因子、硬件指紋、行為因子、邏輯加密等多重安全因子,有效保護近程憑證安全,防*、防截屏、防劫持;同時也保護遠(yuǎn)程憑證安全,防病毒、防木馬,確保憑證安全和交易安全。時空碼技術(shù)相當(dāng)于在開放的移動互聯(lián)網(wǎng)環(huán)境中建立起設(shè)備之間的安全通道。
2) 密碼算法
身份認(rèn)證產(chǎn)品中使用符合國家密碼主管部門要求的安全算法。支持的算法包括SM2、SM3、SM4 和安全隨機數(shù)。
3) 設(shè)備指紋
設(shè)備指紋技術(shù)是基于國際領(lǐng)先的網(wǎng)籍庫技術(shù),快速識別和采集設(shè)備的上百種軟硬件屬性及行為屬性,為每臺入網(wǎng)設(shè)備生成防假冒的、唯一的設(shè)備ID,作為虛擬空間的“身份證”,形成開放式平臺的隱形賬號體系。在HUE 產(chǎn)品技術(shù)架構(gòu)中,設(shè)備是終端用戶與各業(yè)務(wù)系統(tǒng)建立關(guān)聯(lián)的載體,設(shè)備指紋的精確性確保了用戶設(shè)備的唯一性。
4) 安全通訊
•SSL 安全通道(HTTPS)
HUE 服務(wù)要求連接的請求都采用HTTPS鏈接,來保障傳輸數(shù)據(jù)不被泄露和篡改。
• 國密算法加密傳輸
在HTTPS通訊安全的基礎(chǔ)上,使用國密算法加密所有通訊數(shù)據(jù),增強安全性,消除安全依賴。
• 完整性校驗
應(yīng)校驗身份認(rèn)證產(chǎn)品的完整性,保證連接的是合法的未被劫持篡改的身份認(rèn)證產(chǎn)品,若完整性校驗未通過, 則連接自動中斷。
• 訪問鑒權(quán)
所有訪問身份認(rèn)證服務(wù)的網(wǎng)絡(luò)連接都必須通過鑒權(quán)后,才允許建立會話。鑒權(quán)使用國密SM3算法。
• 帶外通訊
基于特有的設(shè)備指紋技術(shù),只有與業(yè)務(wù)賬號綁定的設(shè)備(移動設(shè)備)才能收到推送的確認(rèn)消息。
5) PKI 體系
采用國密非對稱SM2算法原理和技術(shù)實現(xiàn),使用數(shù)字簽名方式提供安全的身份認(rèn)證服務(wù)。
4. 通付盾數(shù)字身份認(rèn)證核心亮點
基于以上幾大方面,通付盾為《某銀行用戶身份項目》提供完整解決方案,滿足了該商業(yè)銀行在“在手機銀行轉(zhuǎn)賬匯款業(yè)務(wù)中,使用數(shù)字簽名等安全可靠支付指令驗證方式,提高轉(zhuǎn)賬匯款安全性”的客觀需求及對應(yīng)于261號文中明確要求的“采用數(shù)字證書或者電子簽名等安全可靠的支付指令驗證方式”和“銀行應(yīng)當(dāng)進行大額交易提醒,單位、個人確認(rèn)后方可轉(zhuǎn)賬”等“手勢密碼”和“交易信息確認(rèn)”等功能,實現(xiàn)安全轉(zhuǎn)賬的同時,為用戶帶來便捷。通付盾數(shù)字身份認(rèn)證方案兼具以下核心三大亮點:
1. 去中心化標(biāo)識符(Decentralised Identifiers,DIDs)
去中心化標(biāo)識符(Decentralised Identifiers,DIDs) 是一種新型的可驗證的“自我主權(quán)式”的身份標(biāo)識符,該標(biāo)識符在全球范圍內(nèi)是唯一的,DID通常與加密相關(guān)的內(nèi)容關(guān)聯(lián)(例如公鑰,服務(wù)端點),以建立安全的通信通道。它能夠完全掌控在DID擁有者手上,獨立于任何中心化的注冊機構(gòu),身份提供者,或者證書頒發(fā)機構(gòu)。對于那些需要進行自我管理,密碼可驗證的身份,例如個人標(biāo)識符,組織標(biāo)識符及物聯(lián)網(wǎng)場景都非常有用。
2. 數(shù)據(jù)安全區(qū)塊鏈
通付盾使用分布式賬本技術(shù),基于區(qū)塊鏈構(gòu)成整個系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)。使用區(qū)塊鏈可以有效保障系統(tǒng)的安全性、擴展性和去中心化特點。此外,鏈上主要保存的是加密過程中需公開的數(shù)據(jù)(如公鑰和算法)以及匿名和加密后的行為類數(shù)據(jù),并不會要求上傳用戶的隱私數(shù)據(jù)。密鑰管理及網(wǎng)絡(luò)安全的最佳實踐也貫穿了系統(tǒng)的設(shè)計,機構(gòu)和用戶本人將以妥善安全的方式保存自己的密鑰及隱私數(shù)據(jù)。
數(shù)據(jù)安全區(qū)塊鏈KeyChain結(jié)構(gòu)圖
3. 國密加密體系
客戶端(電子簽名法要求)使用SM2節(jié)和隨機數(shù)算法生成本地公私鑰對,私鑰基于用戶邏輯密碼(手勢密碼)加密存儲在本地(加密后私鑰也會發(fā)往云端一份,便于應(yīng)用重新安裝后從云端更新,使邏輯完備),公鑰會發(fā)往云端用于驗簽(身份認(rèn)證)。安全性源自橢圓曲線公鑰密碼算法,數(shù)學(xué)基礎(chǔ)保證加密安全。
通付盾數(shù)字身份認(rèn)證解決方案區(qū)別于一般的身份認(rèn)證產(chǎn)品,主要基于去中心化的區(qū)塊鏈技術(shù),同時結(jié)合了通付盾設(shè)備指紋、時空碼等多項專利技術(shù),以及PKI、數(shù)字簽名等安全技術(shù),實現(xiàn)了安全掃碼、重要信息確認(rèn)、手勢密碼認(rèn)證、人臉識別、指紋識別等在內(nèi)的多種身份認(rèn)證方式,確保數(shù)據(jù)保護可信、可追溯,安全強度達(dá)到準(zhǔn)U盾級,產(chǎn)品技術(shù)獲得 國密局商密資質(zhì) 、 公安部eID接入認(rèn)證等國家級重要資質(zhì)認(rèn)證 。
伴隨著移動互聯(lián)網(wǎng)的快速發(fā)展,用戶身份認(rèn)證的方式也在不斷演變。從最初的帳號密碼到動態(tài)令牌、U盾、短信驗證碼,再到指紋、面容等生物特征認(rèn)證,開發(fā)者和用戶對身份認(rèn)證的需求不再僅僅聚焦于最基礎(chǔ)的安全性需求,便捷、隱私和規(guī)范性的兼顧,也成為重要的身份認(rèn)證需求,通付盾將不斷加強技術(shù)創(chuàng)新和服務(wù)完善,為更多中小銀行數(shù)據(jù)安全治理保駕護航!
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!