1月25~26日,作为北京国际金融博览会的重要品牌活动,“2017中国金融年度论坛”在北京召开。中国金融认证中心(CFCA)助理总经理赵宇先生以“新趋势下移动金融安全技术的实践”为题,发表重要演讲。赵宇从信息安全的角度,结合CFCA多年来的实践,向与会嘉宾进行了精彩的分享。
CFCA助理总经理赵宇发表演讲
所谓“新趋势”,赵宇解释到,在金融领域,PC端向移动端的发展已经成为一个不可逆转的大趋势。
以手机银行为例,中国电子银行网2017年底发布的《2017中国电子银行调查报告》显示,2017年网上银行和手机银行用户占比分别提升5个百分点和9个百分点,手机银行用户比例首度与网银持平。
“我们金融领域的合作伙伴也普遍反应,2017年一个深切的感受是,不少网银客户在向移动端转移。” 赵宇分析指出,第一是因为移动应用使用便捷,比如手机银行、移动支付;第二,移动智能设备本身的技术发展也为移动金融服务奠定了基础;第三,也是比较突出的,就是现在用户日益年轻化,他们则更倾向于移动端金融服务。
而随着移动应用的迅速发展,一些问题也开始凸显出来:方案多、标准多、组织多、挑战多。如何兼顾移动交易过程中的“便捷”与“安全”,一度成为此前备受热议的话题。
移动金融时代,什么样的创新产品有机会在金融创新竞争中脱颖而出?
赵宇建议企业可以根据以下几个原则进行筛选:①是否满足低成本需求;②是否满足易用性需求;③是否满足安全性需求;④是否满足兼容性需求;⑤是否满足合规性需求;⑥是否满足风控需求。
而在这样的需求下,赵宇认为企业还有几个问题待解决:初次识别中证明我们的客户“你是谁”;交易过程中证明我们的客户“你是你”“你还是你”;权限管理,授权我们的客户“你能做什么”;事后行为追溯,证明我们的客户“你做过什么”。
在这一层面,CFCA也进行了有益的实践与创新,并形成“多元化的移动安全认证框架”。
你是谁?
基于移动互联网的远程业务办理,尤其在用户首次开户等场景中,由于不能像线下面对面来核实身份,业务风险相对容易发生。如何确保用户提交的身份证明资料是真实的,成为移动金融要解决的首要问题。同时,《中华人民共和国网络安全法》的颁布实施,将网络实名制要求上升到法律层面,从法律上确认网络实名制要求的正当性。
为了满足在线业务平台的电子身份认证需求,推动多种电子身份认证技术的融合互认,CFCA于2012年就建设了网络身份认证平台。
该平台利用大数据分析、生物识别、可信身份标识等先进身份认证技术,提供多维度的在线身份认证产品,广泛应用于互联网金融、供应链金融、互联网征信、传统金融(银行、基金、信托)、电子政务、电子商务等行业,可满足多层次、多场景的网络实名认证服务需求。
你是你?你还是你?
完成对用户身份的初次鉴别后,当用户今后在移动端登录、交易,身份认证仍是不必或缺的重要一环。
目前,身份的多次认证可通过各种手段来实现,如基于口令、PIN码、短信验证码、设备绑定、手势验证、指纹识别、声纹识别、人脸识别、虹膜识别……但实现的渠道一多,问题也随之而来:标准不统一、接口不统一、设备支持度不统一、安全级别差异明显、升级改造工作多。
演讲中,赵宇表示,“CFCA FIDO+移动端电子认证解决方案可以很好地解决身份的多次认证问题。”
该方案完美结合了FIDO技术和电子认证技术,采用人体的生物特征识别,结合密钥体系机制,实现了快速可靠的安全身份认证;兼顾便捷性与高安全性,保障司法取证,且完全支持国密、国际算法;可以提供标准的SDK应用接口,支持多应用场景,便于应用集成及用户操作。该方案可应用于手机银行、第三方支付、理财消费等互联网金融和政府机构领域,目前已在多家银行机构落地实施。
你能做什么?
在日常的工作中,用户的身份会被应用在各种场景里:移动应用中大额转账交易确认,移动营销中移动设备身份认证、业务签名,网贷应用中身份认证、合同签署等,但问题是,往往业务流程多,安全防护还不够。
以在线签署合同为例,CFCA旗下的安心签电子合同平台,面向中国广大企事业单位间的商务合作提供了一个高效、安全的电子合同安全订立和认证平台。
安心签主要利用PKI加密技术对电子合同本身进行电子签名,确保签名后的电子合同无法篡改;通过身份验证方式确定签约主体,保证签名后的电子合同无法抵赖;通过验证签名和司法鉴定等方式提供法律支撑。在此功能的保障下,安心签可以实现企业与企业、企业与个人、个人与个人之间进行线上的电子合同签署。
你做过什么?
如今,用户正面对着种种场景复杂的交易环境。而现实是解决方案过多,安全级别有区分却没有明确规定,银行或互金领域出现纠纷的案例也屡见不鲜。
赵宇表示,针对不同额度、场景、频度,可以设计多元化的解决方案,控制安全风险,便于事后行为追溯。对此,CFCA专门推出覆盖了全场景和各种需求的多元化移动端产品:云证通、SE证书、蓝牙盾等。
作为国内领先的信息安全服务提供商,CFCA在用户终端和服务器、安全软件及硬件产品方面拥有着深厚的技术沉淀。随着移动互联网对人们生活的日益渗透,CFCA将继续在移动金融安全领域深耕细作,发挥自身优势,不遗余力地为行业提供全方位的移动安全保障。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。