【中國安防展覽網 視點跟蹤】 2016年12月8日,由中國金融認證中心(CFCA)舉辦的2016“科技+金融,啟創銀行未來”高峰論壇暨第十二屆中國電子銀行年會在北京舉行。近四百位商業銀行電子銀行的負責人蒞臨此次年會,就區塊鏈、金融大數據、銀行機器人、移動金融、直銷銀行新業態等熱點進行深入探討與交流。《2016中國電子銀行調查報告》和中國電子銀行金榜獎同步對外公布。中國電子銀行網全程直播此次盛會。
中國金融認證中心技術支持部總經理馬春旺
中國金融認證中心技術支持部總經理馬春旺從四個方面介紹了生物識別與PKI技術保護移動金融安全,分別為“生物識別技術簡介”、“PKI技術簡介”、“生物識別與PKI技術在支付應用中的安全探討”以及“生物PKI技術展望”。
馬春旺表示,隨著生物識別技術的不斷發展,應用場景也越來越多,生物識別不僅僅是出現在好萊塢大片中,在我們日常生活中出現的也是越來越多,比如:“指紋門禁、刷臉門禁、還有近的火車站刷臉進站以及在金融領域也有通過人臉識別遠程開戶等”。
但同時,他指出單單通過生物識別技術還是無法完*互聯網交易中存在的問題,而PKI技術恰恰能更好的解決交易中的安全問題。PKI技術已經在金融領域得到了廣泛的應用。從PC時代的U盾到移動時代的藍牙盾、手機盾、云盾,產品形態不斷發生變化。從傳統的網上銀行應用到手機銀行應用、電子回單應用、網上借貸合同應用等,應用范圍廣泛。而且隨著國家“互聯網業+”戰略的推廣,PKI的應用范圍會越來越廣,而且越來越重要。
以下是馬春旺的發言實錄:
各位領導、各位嘉賓下午好,很高興與大家相聚在首都北京,能夠與這么領導和專家在這里交流,我也感到非常榮幸。
我今天跟大家交流的題目是“生物識別與PKI技術保護移動金融安全”。那么我今天交流的內容有四個方面:“生物識別技術簡介”、“PKI技術簡介”、“生物識別與PKI技術在支付應用中的安全探討”、“生物PKI技術展望”。
首先我們來看看生物識別。我相信大家對生物識別都不陌生,我先快速從概念上介紹一下生物識別,“生物識別技術指的是通過計算機與光學、聲學、生物傳感器和生物統計學原理等高科技手段密切結合,利用人體固有的生理特性和行為特征來進行個人身份的鑒定。”從生物識別技術的分類來看,分為:利用生理特性的識別、利用行為特征的識別,“利用生理特性的識別技術包括:人臉、指紋、掌紋、虹膜識別、DNA快速測序等等;利用行為特征的識別技術包括:筆跡、聲音、步態、瀏覽興趣、擊鍵識別等等”。從生物識別技術的實現來看,生物識別是“利用采樣設備將生物特征轉化為數字特征并與原始數據記錄進行比照分析的過程,依托于計算機技術將生物信息數字化”。其實,生物識別不是一個新的概念,國內從80年代就已經開始研究生物識別技術,當時還主要是以指紋識別為主。從90年代開始,對生物識別的研究拓展到“靜脈識別、人臉識別、虹膜識別”等。隨著生物識別技術的不斷發展,應用場景也越來越多,生物識別不僅僅是出現在好萊塢大片中,在我們日常生活中出現的也是越來越多,比如:“指紋門禁、刷臉門禁、還有我們的電腦和手機的指紋解鎖、近還有火車站刷臉進站、在金融領域也有通過人臉識別遠程開戶等”。
在眾多的生物識別技術中,人臉識別技術由于具備:“良好的用戶體驗、低成本、政策支持”等優勢而被金融領域廣泛接受。人臉識別技術所依賴的攝像頭硬件已經非常普及,在我們的工作和生活中隨處可見,如:普通的電腦攝像頭,筆記本、平板電腦、手機上的內嵌攝像頭,隨處可見的監控攝像頭等。尤其是手機上的攝像頭,目前大家的手機上基本都有攝像頭。這么好的硬件基礎,使得人臉識別這種技術的覆蓋范圍滿足業務開展的需求,同時由于有這么好的硬件基礎,使得采用人臉識別技術不需要增加額外的硬件,從而降低了成本。人臉識別技術也有很好的人機交互性,可以通過這個特性來設計產品,解決生物識別技術中的活體檢測問題。同時,在一些政策上對人臉識別技術也提供了支持,比如人行發布的《關于銀行業金融機構遠程開立人民幣賬戶的指導意見》中就提到“人臉識別技術等身份識別機制可作為身份核實的輔助手段”。目前,人臉識別技術已經在很多銀行的多種場景中得到了應用,比如:柜面的人臉識別、自助機具上的人臉識別、智慧廳堂的人臉識別、互聯網金融業務中的遠程開戶人臉識別等。
利用生物識別技術能夠很好地解決實名、實人的身份認證問題,但是單單通過生物識別技術還無法解決互聯網業務中的:“交易防竄改、防抵賴、合法合規”的問題。而PKI技術恰恰能解決這些交易安全問題,接下來,我再簡單跟大家介紹一下PKI技術。
PKI技術是公認的安全體系之一,是當今信息安全的核心技術。PKI體系包括非對稱密碼算法、第三方CA機構、數字證書、電子簽名等內容。非對稱密碼算法是PKI的理論支撐,目前主流使用是RSA、ECC算法,國內正在推廣SM2算法。在我們金融業務中就有很多PKI的應用,比如網上銀行的U盾、SSL服務器證書等。其中,SSL服務器證書是用來保障數據傳輸的機密性,像Google、蘋果等大公司就對網站使用SSL證書有嚴格要求,比如蘋果公司要求在2017年的1月1日之后所有的應用必須使用SSL服務器證書。在這呢,我也跟各位領導匯報一下,CFCA的根證書已經預埋在了主流瀏覽器中,包括微軟、GOOGLE、蘋果、火狐等,CFCA也是目前國內一家支持所有的主流瀏覽器的SSL證書的簽發機構。也希望在服務證書方面我們能夠給大家提供幫助。
PKI體系的一個重要組成部分就是合法的第三方CA機構,那么企業通過引入合法的第三方CA機構能夠解決什么問題呢?主要解決四方面的問題:身份認證問題、傳輸安全問題、交易完整性問題、交易的法律效力問題。CA機構頒發的數字證就像用戶在網上的*一樣,能夠證明用戶的身份。通過采用SSL服務器證書,可以建立加密的傳輸通道,保證信息傳輸的安全。通過PKI體系中的密碼算法可以很容易發現被篡改的交易信息,從而保證交易信息的完整性。根據《電子簽名法》的要求,采用電子簽名的交易就像按了手印和蓋了印章的交易一樣,具有法律效力。
PKI技術已經在金融領域得到了廣泛的應用。從PC時代的U盾到移動時代的藍牙盾、手機盾、云盾,產品形態不斷發生變化。從傳統的網上銀行應用到手機銀行應用、電子回單應用、網上借貸合同應用等,應用范圍廣泛。而且隨著國家“互聯網業+”戰略的推廣,PKI的應用范圍會越來越廣,而且越來越重要。
前面跟大家分別介紹了生物識別和PKI,每種技術都有自己的優勢,兩者的組合會更好地解決互聯網金融中的安全問題。接下來呢,我簡單跟大家介紹一下生物識別與PKI的組合在網絡支付中的應用。
正如我在前邊介紹的,在互聯網業務蓬勃發展的同時,幾個關鍵的安全問題需要解決:身份認證問題、交易安全問題、業務的法律合規問題,這些是從傳統的臨柜業務、有紙業務向互聯網業務、無紙化業務發展必然面臨的問題。隨著生物識別技術的不斷發展和完善,生物識別與PKI的組合方案,可以很好的解決互聯網金融業務中面臨的安全挑戰。在生物識別和PKI的組合中,兩種技術相互關聯,互相保護。
在CFCA的手機盾產品中就很好的體現了生物識別與PKI的結合。CFCA的手機盾產品就是利用手機的TEE+SE技術結合生物識別技術,在手機中實現了一個獨立的二代U盾,實現了所見即所簽功能。在手機盾產品中通過數字證書技術保護交易的安全,保護生物特征的安全采集、傳輸及存儲,同時,通過生物識別技術保護密鑰的安全,生物識別與PKI相互關聯、互相保護。生物識別與PKI的結合在安全的同時,也提升了用戶體驗,用戶不用輸密碼,通過生物特征來解鎖密鑰,就可以完成后邊的交易,方便、快捷。
在CFCA的網絡身份認證產品中,也體現了生物識別與PKI的另一種組合場景。銀行的業務系統可以通過人臉識別技術與其他認證方式的組合,實現了證書申請過程中的實名、實人認證,從而實現了CFCA云盾證書的在線申請和發放,更加符合互聯網金融業務的發展需求。同時,與手機盾產品相同,生物識別技術與PKI技術相互配合、互相保護。
為了進一步加強生物識別技術與PKI技術的融合,CFCA在下一代云盾產品中做了深入的研究和探索,我這里也向大家做個匯報。在新一代云盾產品中,我們將采用先進的數學算法對用戶的密鑰進行處理,終把用戶密鑰存儲在用戶的生物特征數據中,就好比實現了一個生物盾。
移動版
智慧城市網APP
智慧城市網小程序
微信公眾號
