1. 身份認(rèn)證核心需要

中小銀行用戶對(duì)該技術(shù)的需求大致可分為如下兩個(gè)階段：

1) 首次身份認(rèn)證

主要指銀行在電子渠道針對(duì)用戶(特別是非存量用戶)在注冊(cè)、開(kāi)戶、信用卡申請(qǐng)等場(chǎng)景的身份認(rèn)證行為。防范身份虛假、資料虛假、身份偽冒等風(fēng)險(xiǎn)。

2) 二次身份認(rèn)證

主要指銀行在其網(wǎng)銀、手機(jī)銀行等渠道的登錄、轉(zhuǎn)賬等場(chǎng)景，針對(duì)用戶在移動(dòng)設(shè)備端發(fā)起的關(guān)鍵交易信息進(jìn)行二次確認(rèn)，以滿足監(jiān)管合規(guī)(如：電子簽名法、261 號(hào)文、170 號(hào)文等)、安全便捷、國(guó)密改造的需求。

2. 技術(shù)應(yīng)用的難點(diǎn)與挑戰(zhàn)

移動(dòng)互聯(lián)時(shí)代的安全是關(guān)系到國(guó)家和社會(huì)穩(wěn)定、經(jīng)濟(jì)穩(wěn)定、民眾安全的重要問(wèn)題，其中身份安全是核心基礎(chǔ)之一，影響著移動(dòng)互聯(lián)安全的方方面面。在中小銀行進(jìn)行數(shù)字化轉(zhuǎn)型過(guò)程中，在提升用戶體驗(yàn)的同時(shí)，如何保證用戶的隱私安全和資金安全成為目前的焦點(diǎn)。該技術(shù)在中小銀行用戶應(yīng)用過(guò)程中，會(huì)遇到多因素認(rèn)證服務(wù)、多種認(rèn)證方式、統(tǒng)一和多樣化的認(rèn)證策略等難點(diǎn)。

1) 提供多因素認(rèn)證服務(wù)

用戶身份認(rèn)證與管理可以為多個(gè)不同種類、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨(dú)立開(kāi)發(fā)、設(shè)計(jì)認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出新的業(yè)務(wù)和服務(wù)準(zhǔn)備基礎(chǔ)條件，用戶身份認(rèn)證管理系統(tǒng)需為這些應(yīng)用提供統(tǒng)一的接入形式。

2) 提供多種認(rèn)證方式

銀行的不同業(yè)務(wù)系統(tǒng)的安全級(jí)別不同, 使用環(huán)境不同，用戶的習(xí)慣和操作熟練程度不同，用戶身份認(rèn)證管理系統(tǒng)需針對(duì)這些不同的應(yīng)用特點(diǎn)提供不同的認(rèn)證手段。

3) 提供統(tǒng)一和多樣化的認(rèn)證策略

用戶身份認(rèn)證管理系統(tǒng)針對(duì)不同的認(rèn)證方式，需提供統(tǒng)一的策略控制，各個(gè)應(yīng)用系統(tǒng)也可以根據(jù)自身的需要進(jìn)行個(gè)性化的策略設(shè)置，根據(jù)應(yīng)用或用戶類型的需求，設(shè)置個(gè)性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級(jí)管理安全。

3. 技術(shù)應(yīng)用的關(guān)鍵指標(biāo)

用戶身份認(rèn)證與管理是銀行安全門戶的入口，只有安全的認(rèn)證機(jī)制才可以保證銀行大門不被非法人員進(jìn)入。通付盾認(rèn)為，用戶身份認(rèn)證與管理應(yīng)包括但不限于如下功能及技術(shù)：

1) 時(shí)空碼

時(shí)空碼技術(shù)是一種安全可信的準(zhǔn)硬件級(jí)動(dòng)態(tài)多維碼技術(shù)。通過(guò)動(dòng)態(tài)算法、P2P(去中心化)校驗(yàn)等先進(jìn)技術(shù)， 融入時(shí)間因子、空間因子、硬件指紋、行為因子、邏輯加密等多重安全因子，有效保護(hù)近程憑證安全，防*、防截屏、防劫持;同時(shí)也保護(hù)遠(yuǎn)程憑證安全，防病毒、防木馬，確保憑證安全和交易安全。時(shí)空碼技術(shù)相當(dāng)于在開(kāi)放的移動(dòng)互聯(lián)網(wǎng)環(huán)境中建立起設(shè)備之間的安全通道。

2) 密碼算法

身份認(rèn)證產(chǎn)品中使用符合國(guó)家密碼主管部門要求的安全算法。支持的算法包括SM2、SM3、SM4 和安全隨機(jī)數(shù)。

3) 設(shè)備指紋

設(shè)備指紋技術(shù)是基于國(guó)際領(lǐng)先的網(wǎng)籍庫(kù)技術(shù)，快速識(shí)別和采集設(shè)備的上百種軟硬件屬性及行為屬性，為每臺(tái)入網(wǎng)設(shè)備生成防假冒的、唯一的設(shè)備ID，作為虛擬空間的“身份證”，形成開(kāi)放式平臺(tái)的隱形賬號(hào)體系。在HUE 產(chǎn)品技術(shù)架構(gòu)中，設(shè)備是終端用戶與各業(yè)務(wù)系統(tǒng)建立關(guān)聯(lián)的載體，設(shè)備指紋的精確性確保了用戶設(shè)備的唯一性。

4) 安全通訊

•SSL 安全通道(HTTPS)

HUE 服務(wù)要求連接的請(qǐng)求都采用HTTPS鏈接，來(lái)保障傳輸數(shù)據(jù)不被泄露和篡改。

• 國(guó)密算法加密傳輸

在HTTPS通訊安全的基礎(chǔ)上，使用國(guó)密算法加密所有通訊數(shù)據(jù)，增強(qiáng)安全性，消除安全依賴。

• 完整性校驗(yàn)

應(yīng)校驗(yàn)身份認(rèn)證產(chǎn)品的完整性，保證連接的是合法的未被劫持篡改的身份認(rèn)證產(chǎn)品，若完整性校驗(yàn)未通過(guò)， 則連接自動(dòng)中斷。

• 訪問(wèn)鑒權(quán)

所有訪問(wèn)身份認(rèn)證服務(wù)的網(wǎng)絡(luò)連接都必須通過(guò)鑒權(quán)后，才允許建立會(huì)話。鑒權(quán)使用國(guó)密SM3算法。

• 帶外通訊

基于特有的設(shè)備指紋技術(shù)，只有與業(yè)務(wù)賬號(hào)綁定的設(shè)備(移動(dòng)設(shè)備)才能收到推送的確認(rèn)消息。

5) PKI 體系

采用國(guó)密非對(duì)稱SM2算法原理和技術(shù)實(shí)現(xiàn)，使用數(shù)字簽名方式提供安全的身份認(rèn)證服務(wù)。

4. 通付盾數(shù)字身份認(rèn)證核心亮點(diǎn)

基于以上幾大方面，通付盾為《某銀行用戶身份項(xiàng)目》提供完整解決方案，滿足了該商業(yè)銀行在“在手機(jī)銀行轉(zhuǎn)賬匯款業(yè)務(wù)中，使用數(shù)字簽名等安全可靠支付指令驗(yàn)證方式，提高轉(zhuǎn)賬匯款安全性”的客觀需求及對(duì)應(yīng)于261號(hào)文中明確要求的“采用數(shù)字證書或者電子簽名等安全可靠的支付指令驗(yàn)證方式”和“銀行應(yīng)當(dāng)進(jìn)行大額交易提醒，單位、個(gè)人確認(rèn)后方可轉(zhuǎn)賬”等“手勢(shì)密碼”和“交易信息確認(rèn)”等功能，實(shí)現(xiàn)安全轉(zhuǎn)賬的同時(shí)，為用戶帶來(lái)便捷。通付盾數(shù)字身份認(rèn)證方案兼具以下核心三大亮點(diǎn)：

1. 去中心化標(biāo)識(shí)符(Decentralised Identifiers，DIDs)

去中心化標(biāo)識(shí)符(Decentralised Identifiers，DIDs) 是一種新型的可驗(yàn)證的“自我主權(quán)式”的身份標(biāo)識(shí)符，該標(biāo)識(shí)符在全球范圍內(nèi)是唯一的，DID通常與加密相關(guān)的內(nèi)容關(guān)聯(lián)(例如公鑰，服務(wù)端點(diǎn))，以建立安全的通信通道。它能夠完全掌控在DID擁有者手上，獨(dú)立于任何中心化的注冊(cè)機(jī)構(gòu)，身份提供者，或者證書頒發(fā)機(jī)構(gòu)。對(duì)于那些需要進(jìn)行自我管理，密碼可驗(yàn)證的身份，例如個(gè)人標(biāo)識(shí)符，組織標(biāo)識(shí)符及物聯(lián)網(wǎng)場(chǎng)景都非常有用。

2. 數(shù)據(jù)安全區(qū)塊鏈

通付盾使用分布式賬本技術(shù)，基于區(qū)塊鏈構(gòu)成整個(gè)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)。使用區(qū)塊鏈可以有效保障系統(tǒng)的安全性、擴(kuò)展性和去中心化特點(diǎn)。此外，鏈上主要保存的是加密過(guò)程中需公開(kāi)的數(shù)據(jù)(如公鑰和算法)以及匿名和加密后的行為類數(shù)據(jù)，并不會(huì)要求上傳用戶的隱私數(shù)據(jù)。密鑰管理及網(wǎng)絡(luò)安全的最佳實(shí)踐也貫穿了系統(tǒng)的設(shè)計(jì)，機(jī)構(gòu)和用戶本人將以妥善安全的方式保存自己的密鑰及隱私數(shù)據(jù)。

數(shù)據(jù)安全區(qū)塊鏈KeyChain結(jié)構(gòu)圖

3. 國(guó)密加密體系

客戶端(電子簽名法要求)使用SM2節(jié)和隨機(jī)數(shù)算法生成本地公私鑰對(duì)，私鑰基于用戶邏輯密碼(手勢(shì)密碼)加密存儲(chǔ)在本地(加密后私鑰也會(huì)發(fā)往云端一份，便于應(yīng)用重新安裝后從云端更新，使邏輯完備)，公鑰會(huì)發(fā)往云端用于驗(yàn)簽(身份認(rèn)證)。安全性源自橢圓曲線公鑰密碼算法，數(shù)學(xué)基礎(chǔ)保證加密安全。

通付盾數(shù)字身份認(rèn)證解決方案區(qū)別于一般的身份認(rèn)證產(chǎn)品，主要基于去中心化的區(qū)塊鏈技術(shù)，同時(shí)結(jié)合了通付盾設(shè)備指紋、時(shí)空碼等多項(xiàng)專利技術(shù)，以及PKI、數(shù)字簽名等安全技術(shù)，實(shí)現(xiàn)了安全掃碼、重要信息確認(rèn)、手勢(shì)密碼認(rèn)證、人臉識(shí)別、指紋識(shí)別等在內(nèi)的多種身份認(rèn)證方式，確保數(shù)據(jù)保護(hù)可信、可追溯，安全強(qiáng)度達(dá)到準(zhǔn)U盾級(jí)，產(chǎn)品技術(shù)獲得 國(guó)密局商密資質(zhì) 、 公安部eID接入認(rèn)證等國(guó)家級(jí)重要資質(zhì)認(rèn)證 。

伴隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，用戶身份認(rèn)證的方式也在不斷演變。從最初的帳號(hào)密碼到動(dòng)態(tài)令牌、U盾、短信驗(yàn)證碼，再到指紋、面容等生物特征認(rèn)證，開(kāi)發(fā)者和用戶對(duì)身份認(rèn)證的需求不再僅僅聚焦于最基礎(chǔ)的安全性需求，便捷、隱私和規(guī)范性的兼顧，也成為重要的身份認(rèn)證需求，通付盾將不斷加強(qiáng)技術(shù)創(chuàng)新和服務(wù)完善，為更多中小銀行數(shù)據(jù)安全治理保駕護(hù)航!

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！