随着移动互联网的发展,移动终端金融业务得到了快速普及,用户对移动金融提出了安全、便捷、高效的新发展需求。基于数字证书电子认证方式的传统网银智能密码钥匙设备有效地满足了网银系统的安全需求,但无法适应当前移动终端金融业务对安全产品便携易用、体验平滑和场景深度嵌入的需求。
近年来,在移动终端上采用数字证书的电子认证方式逐渐成为保障金融交易安全和客户资金安全的重要手段。为规范在移动终端上开展数字证书电子认证服务,提升金融行业业务安全水平,在中国人民银行科技司指导下,由北京金融科技产业联盟和中国金融认证中心(CFCA)牵头编制了《基于数字证书的移动终端金融安全身份认证规范》(JR/T 0285-2024)(以下简称《规范》)。
一、标准介绍
《规范》对基于可信执行环境(TEE)和安全单元(SE)的移动终端安全身份认证服务进行了抽象和规范,对商业银行的手机银行或其他支付类业务提供电子身份认证服务提供技术指导,主要内容包括移动终端金融安全身份认证服务概述、一般结构、服务说明、生命周期管理、生产流程、移交流程、服务申请流程等,以及数字证书加载、删除、注销、挂失等流程,并对交易流程、管理要求、安全要求进行了描述和定义。
二、顺应金融移动化的转变
早前,金融交易身份认证机制在金融业务中经历了从简单到复杂、从软件到硬件的发展过程,如今正向着便捷、易用的方向发展。目前使用较多的认证方式有:账号密码方式、短信验证码方式、数字软证书方式、U-Key方式。以U-Key为载体的数字证书身份认证方式,在网上银行业务中有效解决了用户身份认证安全性和交易不可抵赖性,有效促进了金融业务的发展。但随着移动终端技术的发展,移动终端成为用户日常交易的主要发起方式,其既可以作为业务的发起端,又可以作为数字证书的安全载体(eSE、SIM、蓝牙手环等),满足了交易的便捷性和高安全性需求。
另外,针对电信网络新型违法犯罪活动,人民银行印发《中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)文件,要求进一步提升支付结算安全性,筑牢支付结算安全防线。文件提出在加强银行非柜面转账管理中,应当采用数字证书或者电子签名等安全可靠的支付指令验证方式。同时在人民银行印发的《中国人民银行关于进一步加强银行卡风险管理通知》(银发〔2016〕170号)文件中,也多次强调强化App软件安全管理、加强业务开通身份认证安全管理、提升支付交易安全强度、加强互联网交易风险监控等方面问题。
三、提升金融安全身份认证兼容性
《规范》对基于可信执行环境(TEE)和安全单元(SE)的移动终端安全服务进行了抽象和规范,建立基于移动终端安全身份认证的技术框架、安全要求,以及单一介质多数字证书管理机制,并提出基于可信环境TEE(即移动终端仅支持TEE、无SE的情况)的安全身份认证标准,从服务整体描述、终端生命周期管理、服务生命周期管理、密钥管理、安全及功能要求和风险控制要求等方面规范安全身份认证服务,在《移动终端支付可信环境技术规范(JR/T 0156—2017)》的基础上,促进金融安全身份认证的产品化。区别于基于终端操作系统或App的软件类产品,该《规范》中金融安全身份认证产品避免了牺牲安全性、倒向兼容性的单边行为,做到了安全与便捷的平衡,保留了技术演进的可扩展性。
四、移动终端安全能力赋能金融生态
移动金融是网络经济与电子商务、金融创新与信息技术发展融合的产物,移动终端已经成为跨渠道、跨行业、跨网络的金融创新平台和融合载体。伴随《规范》的落地实施,其中使用到的设备指纹、安全摄像头、加密消息等安全可信技术能力也将促进金融生态的重大转变。
(1)以设备指纹技术为基础,融合金融科技与反诈工作,应用机器学习、知识图谱、智能决策引擎等技术,构建覆盖全渠道的设备风险态势感知、风险识别、风险处置、团伙挖掘等新型设备反欺诈防控系统,提升了电信网络诈骗防控能力。
(2)以安全摄像头为基础,增强人脸识别、证件识别、远程视频等身份核验场景的安全性,建立起移动终端反诈的第一道防线,提升对AI换脸等安全风险的防御能力。
(3)以可信环境TEE加密消息为基础,建立起端到端的消息加解密系统,消息只能在发送者和接收者之间进行解密,中间服务器无法解密或篡改消息,确保消息在传输和接收过程中的机密性和完整性,并具备数字签名的抗抵赖性。
CFCA作为我国重要的金融信息安全基础设施之一,专注于信息安全风险管理领域,打造全面完善的信息安全服务体系,提供贯穿信息系统全生命周期的安全保障。CFCA密码服务团队以扎实的知识技能、丰富的实践经验和多年积累的知识库,服务于众多金融机构、政府机构和大中型企事业单位,帮助各主体构建安全可靠的信息系统。
未来,CFCA将充分发挥信息安全行业领头羊优势,以高度的责任心、使命感、紧迫感,坚定不移地推动密码应用创新与发展,更好地为我国数字经济夯基垒台。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
