- +1
CFCA鲁欣:金融盾标准2020版解读
7月30日晚,由北京金融科技产业联盟、移动支付网联合举办的《金融科技大讲堂》第十一期开播,中国金融认证中心(CFCA)安全产品负责人鲁欣以《金融盾标准2020版解读》为主题带来了分享。
金融盾标准2020版出台背景
2017年8月8日,《移动终端安全金融盾规范》(以下简称《规范》)正式发布,开启了金融盾的产业化发展之路。
金融盾服务是指在移动终端上实现基于硬件的、交互的、数字证书的电子认证服务,主要由移动终端硬件及金融盾服务应用构成。金融盾服务可在金融机构的手机银行、支付应用、网上银行等金融业务中使用,以及其他有高安全性要求的非金融业务中使用。
《规范》为金融盾的研究和应用落地提供了强有力的支持,在建设银行、中国银行、农业银行、徽商银行、渤海银行、兰州银行在内的多家银行试点和应用了金融盾产品。
经过近三年的发展,在移动终端安全金融盾项目的推广和应用下,市场需求逐渐发生变化,加上移动安全产品的创新升级,金融机构对金融盾服务系统建设的复杂性、终端普及度提出了更高的要求。经市场调研显示,应用场景的多样性需求增加,不同型号的移动终端对金融盾安全方案兼容提出了新的要求,同时,新出台相关监管要求需要通过新版标准推动落地实施。
为此,2019年5月,北京金融科技产业联盟通过了《移动终端安全金融盾规范》团体修订立项提案。2020年4月29日,《移动终端安全金融盾规范》(T/BFIA 001—2020)正式发布。
金融盾标准2020版的内容解读
新版《规范》的修订满足了市场对金融安全产品的四大需求。第一合规性,《规范》满足《中国人民银行办公厅关于加强条码支付安全管理的通知》(银办发〔2017〕242号)扫码支付的要求,符合《移动终端支付可信环境技术规范》(JR/T 0156—2017)对移动终端可信环境安全能力的级别定义,并完全满足《中华人民共和国电子签名法》的安全要求;第二普适性,新版内容的更新提出了轻量化金融盾SE方案以及增补金融盾TEE方案,支持华为、三星、小米、OPPO、vivo等更多品牌的终端设备;第三体验升级,除了改进界面和交互之外还增加了对指纹、人脸、虹膜等本地生物识别认证的支持;第四更易实施,新版内容让金融盾的接入更灵活,并兼容PKI电子认证后台系统。
对于轻量化SE方案,《规范》细分了密钥管理、证书管理、用户PIN、敏感数据、访问控制等5大类12项,其中与轻量化SE方案以及金融盾业务安全强相关的主要是私钥、PIN以及私钥所衍生出来的对称密钥。
通常而言,采用TEE+SE安全能力的金融盾产品,安全应用运行在SE中且只接受TEE的安全访问。安全应用提供密码服务,包括实现签名密钥的生成和私钥存储、实现PIN码管理功能、实现交易信息的签名功能等。
但对于金融盾TEE方案,规范了在没有SE的安全能力情况下,将密码服务从SE转移到TEE的技术要求。
根据移动终端支付可信环境不同能力级别,金融盾在商业银行的实现方式可分为:1、终端能够提供SE安全能力,建议由SE提供密码服务功能,即TEE+SE方式实现金融盾;2、终端不能提供SE安全能力,则应由TEE提供密码服务功能,即TEE方式实现金融盾。
商业银行在本行和跨行转账、单笔和批量转账、对私和对公转账、投资理财、生活服务、跨境汇款等业务场景中,可以金融盾TEE实现或TEE+SE实现方式作为账户风险分级管控的主要因素,辅以其他风险管控手段,提供商业银行账户管理风险管控能力,从源头上遏制更多违法犯罪行为的发生。
移动金融安全产品展望
目前,市面上存在着各式各样的移动金融安全产品,包括口令、短信验证码、蓝牙Key、FIDO/IFAA认证、SIM盾、协同签名、手机盾、IC卡等等。
那么如何做到移动端电子签名的安全性结合生物识别的便捷性,是需要考虑的问题。而金融盾标准提供了解决办法,达到了安全与便捷的平衡统一。
最后,嘉宾与观众就部分问题进行了交流,比如金融盾的跨平台问题以及用户接受度问题。鲁欣表示,正是由于普适性问题所以才在新版的规范中加入了轻量化的SE方案以及非SE终端的TEE方案,以让更多的产业方加入到金融盾的应用中,这样也才能变向解决跨平台的问题。而用户接受度方面,在解决了兼容性和普适性问题之后,就需要整个产业共同努力,改善产品体验、拓展应用场景。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司