移动金融身份认证技术演进

2016年2月，全球移动互联网领域的巨擘们齐聚在巴塞罗那召开的GSMA MWC(Mobile World Congress)。出席MWC一度被看作是移动互联网领域的“麦加朝圣”。姑且不论这种比喻是否恰当，但其影响力和盛况可见一斑。其中引人注目的是，MWC预测2020年全球范围内移动端电商服务占比将达到电商服务总量的45％，约2840亿美元。根据阿里巴巴集团官方数据，2015年“双十一”的移动端交易占比已达到68％。不难理解，中国在移动支付领域的发展势头强劲。与此同时，欧盟区凭借着良好的安全芯片技术储备，在过去1年内移动端电商服务增长率达到了14％，并预计在未来5年中实现6％的GDP占比。由此可见，基于移动互联网的金融服务正在成为全球关注的经济增长点。

　　为了保障移动金融的健康发展，兼顾交易安全与便捷成为业内普遍关注的核心问题，从全球金融监管与标准层面来看，在身份认证环节，主要呈现出基于交易风险评估选择身份认证方法的趋势，即对于风险较低的交易，可采用更为便捷的用户身份认证方式。

　　2015年8月EBA—European Banking Authority(欧洲银行管理局)开始在欧盟框架内推动实施SCA(Strong Customer Authentication)，为促进产业发展，继发布PSD2(Payment Service Directive)之后，EBA计划对低风险的交易免除实施SCA。

　　2013年8月，NIST—National Institute ofStandards and technology(美国国家标准与技术研究院)修订了电子身份认证标准，完善了身份认证确信等级的定义，被广泛用于基于互联网领域的身份认证。

　　无独有偶，2015年12月，中国人民银行日前发布的《中国人民银行关于改进个人银行账户服务，加强账户管理的通知》充分体现了针对不同风险的银行账户实行分类管理的主导思想，在身份认证渠道上采用了更为灵活的机制。

身份认证基本框架

　　在基于互联网的金融服务领域中，用户的身份认证过程通常包含身份注册、Token/凭证发行与管理、身份鉴别等3个环节。首先，用户需要完成身份注册，在注册过程中注册机构收集并验证用户的身份信息以确认用户身份，即身份证实。当用户身份证实成功，可申请凭证服务提供方向用户发行Token/凭证，有效的Token/凭证可被用于后续的身份鉴别过程中，即由凭证服务提供方根据用户所持有的Token/凭证来确认用户身份，以完成用户的身份鉴别。

　　图1描述了基于互联网实现金融服务时用户身份认证的整体框架，包含了两部分内容：第一部分如框1所示的身份注册、Token/凭证发行和管理流程；第二部分如框2所示的身份鉴别流程。

　　为保证身份认证过程的安全性和认证结果的可靠性，身份认证需要在可信环境中执行，应具备必要的采集设备，能够支持用户安全准确地提供身份证件或身份凭证信息，避免被他人意外获取；支持信息的安全存储、使用和传输；支持金融机构能够获取服务所应的客户身份信息，准确辨识身份证件或凭证的有效性；提供软硬件的安全加固手段，防止攻击、植入、伪造、篡改、侧录等恶意行为。

身份认证过程的安全威胁与防范措施

　　身份认证过程中常常会面临着攻击者通过不同攻击途径造成的安全威胁。

　　在身份注册过程中，主要面临着两类安全威胁。一类是身份仿冒，一类是对注册机构或凭证服务管理方系统进行的系统攻击。在凭证发行过程中，安全威胁包括身份伪冒和对Token/凭证的发行传输过程中进行攻击(详见表1所示)。

　　在身份鉴别过程，安全威胁主要形式包括认证通讯过程中的在线猜测、假扮身份认证服务提供方(如钓鱼攻击或网域欺骗)、窃听攻击、重放攻击、会话劫持和中间人攻击等，此外还有可能针对身份认证服务提供方系统的拒绝服务攻击和恶意代码注入攻击等。一般来说，攻击者对身份鉴别过程中的攻击目标是为了获取用户所持有能够用以证明其身份的Token/凭证密钥或者由Token生成的有效验证值等，攻击者在获取到Token/凭证密钥或Token生成的有效验证值后，可向身份认证服务提供方假扮成合法的注册用户，在通过身份鉴别后造成危害。通常，更长有效期的Token/凭证密钥被泄露后，所造成的危害影响会大于较短有效期的Token/凭证密钥泄露或者会话密钥泄露(详见表2所示)。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文