这次采访的是深圳市文鼎创数据科技有限公司,该公司作为南方地区为数不多的线上身份认证解决方案提供商,为广大金融用户和银行提供了大量技术支持和保护,在金融数据安全方面具有一定的话语权。同时,该公司的产品早已普及到普通用户,为普通用户提供了强大的金融安防护盾!
受访人:深圳市文鼎创数据科技有限公司营销总监 倪力立
用户心中的金融安全
金融安全是整个货币资金融通和金融体系的安全,是全流程、全体系的安全。他与金融风险和金融危机也是紧密联系在一起的。
对于国家来说,金融风险和金融危机是需要重点防范的方面。因为一旦发生,社会危害是非常大,而金融安全则需要建立在社会稳定的基础上。这两者之间的关系相辅相成,共同构建稳定的社会环境。
而在上述的风险和危机不存在的情况下,企业和个人关心的则是为银行安全、货币安全、股市安全等。而普通用户更多的是关心银行里的货币的安全,以及其在流通时候的安全。
病毒,移动端的隐患
随着信息技术的应用和电子商务的快速发展,金融行业对信息技术的依赖也越来越大,金融安全保障的难度也不断加大。而互联网的应用加大了风险的扩散效应,使得金融业务面临网络攻击、病毒侵扰、非法窃取账户信息和交易信息等的挑战。
2016年,全球移动互联网用户总量将在当前基础上增长两倍多,即增至29亿,其中将近10亿来自中国市场,占总数的34%。第三方安卓商店数量已经有数百家。与此同时,移动端恶意软件数量暴增。2015年上半年,安卓系统安全形势持续严峻,腾讯移动安全实验室上半年数据显示,上半年新增Android病毒包数达到596.7万,同比增长1741%。2015年上半年,安卓系统病毒感染用户人次达到1.4亿,同比增长58%。其中,手机支付病毒感染用户总数达到1145.5万。
2015年,随着移动支付产业的持续推进,互联网+概念火爆,移动支付迅速发展,手机支付病毒盯上了这块热门的蛋糕。2015年上半年,手机支付病毒病毒新增29762个。支付类病毒多半与窃取隐私相关,偷取短信、拦截验证码、上传转发隐私数据等行为是2015年上半年手机支付类病毒的典型特征。
手机支付病毒依然是依靠读取并转发用户手机支付类短信验证码的病毒行为,再通第三方网络支付工具发起快捷支付,从而实现对绑定银行卡的盗刷。
为此,国家发改委先后发文,组织和实施对于信息安全产业的产品支持。并建立了以“一行三会”为主的信息安全保障机制。
银行如何保障个人信息安全?
首先,金融机构通过基于PKI机制实现用户身份的鉴别,基于PKI技术的数字证书已经成为保障网络金融交易的主要工具。通过PKI技术加强身份认证、严格控制登录者的操作权限,实现对操作系统和应用系统的严格授权管理和访问控制机制。
其次,通过采用服务器证书可实现对网站的可信性认证,有效防范网站钓鱼等金融诈骗。
第三,手机短信验证、安全令牌等安全产品也在一定程度上保障了金融交易安全,并得到了广泛应用。
第四,人民银行针对RSA1024被破解、云备灾安全风险、支付空间的漏洞、银行卡交易信息被截取等方面的风险都开展了研究。
PKI机制,信息安全的守护者
目前在银行安全中,级别较高的是PKI技术,在这里主要谈该技术如何保障个人用户的信息和交易安全。
PKI是建立在公钥加密技术之上的,那么要了解PKI则首先要看一下公钥加密技术。加密是保护数据的科学方法。加密算法在数学上结合了输入的文本数据和一个加密密钥,产生加密的数据(密文)。通过一个好的加密算法,通过密文进行反向加密过程,产生原文就不是那么容易了,需要一个解密密钥来执行相应的转换。
密码技术按照加解密所使用的密钥相同与否,分为对称密码学和非对称密码学,前者加解密所使用的密钥是相同的,而后者加解密所使用的密钥是不相同的,即一个秘密的加密密钥(签字密钥)和一个公开的解密密钥(验证密钥)。在传统密码体制中,用于加密的密钥和用于解密的密钥完全相同,通过这两个密钥来共享信息。这种体制所使用的加密算法比较简单,但高效快速,密钥简短,破译困难。然而密钥的传送和保管是一个问题。例如,通讯双方要用同一个密钥加密与解密,首先,将密钥分发出去是一个难题,在不安全的网络上分发密钥显然是不合适的;另外,任何一方将密钥泄露,那么双方都要重新启用新的密钥。
1976年,美国的密码学专家Diffie和Hellman为解决上述密钥管理的难题,提出一种密钥交换协议,允许在不安全的媒体上双方交换信息,安全地获取相同的用于对称加密的密钥。在此新思想的基础上,很快出现了非对称密钥密码体制,即公钥密码体制(PKI)。自1976年第一个正式的公共密钥加密算法提出后,又有几个算法被相继提出。如Ralph Merkle猜谜法、Diffie-Hellman指数密钥交换加密算法、RSA加密算法、Merkle-Hellman背包算法等。目前,结合使用传统与现代加密算法的具体应用有很多,例如PGP、RIPEM等加密软件,是当今应用非常广的加密与解密软件。公共密钥算法的基本特性是加密和解密密钥是不同的,其中一个公共密钥被用来加密数据,而另一个私人密钥被用来解密数据。这两个密钥在数字上相关,但即便使用许多计算机协同运算,要想从公共密钥中逆算出对应的私人密钥也是不可能的。这是因为两个密钥生成的基本原理根据一个数学计算的特性,即两个对位质数相乘可以轻易得到一个巨大的数字,但要是反过来将这个巨大的乘积数分解为组成它的两个质数,即使是超级计算机也要花很长的时间。此外,密钥对中任何一个都可用于加密,其另外一个用于解密,且密钥对中称为私人密钥的那一个只有密钥对的所有者才知道,从而人们可以把私人密钥作为其所有者的身份特征。根据公共密钥算法,已知公共密钥是不能推导出私人密钥的。最后使用公钥时,要安装此类加密程序,设定私人密钥,并由程序生成庞大的公共密钥。使用者向与其联系的人发送公共密钥的拷贝,同时请他们也使用同一个加密程序。之后他人就能向最初的使用者发送用公共密钥加密成密码的信息。仅有使用者才能够解码那些信息,因为解码要求使用者知道公共密钥的口令,那是惟有使用者自己才知道的私人密钥。在这些过程当中,信息接受方获得对方公共密钥有两种方法:一是直接跟对方联系以获得对方的公共密钥;另一种方法是向第三方即可靠的验证机构(如Certification Authority,CA),可靠地获取对方的公共密钥。
现在,我们可以看PKI的定义:PKI(Public Key Infrastructure)是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施,是一种遵循标准的利用公钥加密技术为网上电子商务、电子政务的开展,提供一整套安全的基础平台。PKI,公钥基础设施,顾名思义,PKI技术就是利用公钥理论和技术建立的提供网络信息安全服务的基础设施。PKI管理平台能够为网络中所有需要采用加密和数字签名等密码服务的用户提供所需的密钥和证书管理,用户可以利用PKI平台提供的安全服务进行安全通信。
PKI公开密钥基础设施能够让应用程序增强自己的数据和资源的安全,以及与其他数据和资源交换中的安全。使用PKI安全基础设施像将电器插入墙上的插座一样简单。
目前,我国金融机构使用的PKI产品,核心的安全芯片已经全部国产化,嵌入式软件和应用软件均已全部国产化,同样,在流程中,金融机构的柜面也为这个技术保障了初始化的安全。所有这些组合在一起,保障了整个金融交易系统和流程的安全。
安全,防范大于未然
移动互联网应用的不断发展,用户对体验的期望不断提升。金融安全的保障方案也会越来越细分。
深圳市文鼎创数据科技有限公司营销总监倪力立称:我们需要关注其中的两大趋势,首先是标准,国际标准已经走在前面。国际FIDO联盟(线上快速身份验证联盟)已经建立并致力于推广全球统一的在线验证标准。该联盟已有200多家分布在全球、涉及整个产业链的企业加入,其中包括Google,ARM,Intel,Lenovo等。这个标准确立后,不仅金融安全,涉及未来的智能家居,自动驾驶以及各种人工智能等领域,都可使用该标准进行身份认证和接入控制,从而保障移动互联网各种应用的安全。我司已经成为该组织的成员并获得了该组织颁发的产品认证。而实际应用该技术最多、发售产品规模最大的中国,在相关国际标准的制定和引导方面相对落后。
其次,根据应用场景,匹配最佳的用户体验和安全方案将是未来的趋势。其中将包括各种生物因素的认证介入,辅助以其他方式达到既安全又便捷的体验。然而,生物识别是稳定不变的识别方式,用于识别个人是最好的方式之一,但对于互联网化的今天,如果生物数据在传输过程中被黑客盗取,生物识别将成为不安全的因素之一,所以生物识别通常起辅助识别作用。
在软件安全方面,文鼎创作为研发制造智能密码钥匙、移动支付设备、IC卡、IC卡读写设备以及各类智能卡应用系统的科技型企业,对设备安全管理较为严格。据了解,在设备研发过程中,企业自身技术团队会对设备软件系统进行恶意攻击,寻找软件漏洞,从而做到软件系统安全稳定。