身份核验风险与账户管理课件.pptx

1、ICFNR 2016核身风险与账户管理金融信息化研究所 李晓枫中金国盛认证中心 汪东艳 2016-3-23身份核验风险评估研究与账户分类政策的实施建议TM主要内容25.推动个人移动终端可信环境的检测认证4.基于确信等级的远程开户实施2.远程开户与身份核验实践3.威胁分析与对策研讨1.移动金融进展6.实施完善的个人信息保护能力评估27.政策实施与建议TM移动互联网的金融服务正在成为全球关注的经济增长点 2016年2月，巴塞罗那“移动世界大会”预测，2020年全球范围内移动端电商服务占比将达到电商服务总量的45%，约2840亿美金。根据阿里巴巴集团官方数据，2015年双十一的移动端交易占比已达到6

2、8%。2015年，阿里电商交易量达到3万亿元，比肩零售商业巨头沃尔玛。中国在移动支付领域的发展势头强劲。欧盟区凭借着良好的安全芯片技术储备，在过去一年内移动端电商服务增长率达到14%，并预计在未来5年内实现6%的GDP占比。3TM兼顾交易安全与便捷是移动金融发展的关键 金融交易安全形势严峻（根据BankInfo Security的2015年北美的数据）无卡交易欺诈增长迅速，2015年第一季度增长30%有卡（含磁条卡）支付交易欺诈与无卡支付交易欺诈比为1:3 为了平衡交易安全与便捷，基于交易风险评估的身份认证成为主流方案 2015年8月EBA-European Banking Authority

3、（欧洲银行管理局）开始在欧盟框架内推动实施SCA(Strong Customer Authentication)，为促进产业发展，继发布PSD2(Payment Service Directive)之后，EBA计划对低风险的交易免除实施SCA 2013年8月，NIST-National Institute of Standards and Technology（美国国家标准与技术研究院）修订了电子身份认证标准，完善了身份认证确信等级的定义，被广泛用于基于互联网领域的身份认证 2015年12月25日，中国人民银行发布中国人民银行关于改进个人银行账户服务 加强账户管理的通知。通知规定，银行应建立银

4、行账户分类管理机制4TM账户分类平准商业银行与支付机构的账户监管差异 根据中国人民银行关于改进个人银行账户服务加强账户管理的通知的意见，个人银行账户分为类、类和类。通过网上银行和手机银行等电子渠道受理银行账户开户申请的，银行可为开户申请人开立类户或类户。通过电子渠道开立类账户 银行应通过绑定开户申请人的同名类账户（以下简称绑定账户，信用卡除外），作为核验开户申请人身份信息的手段之一，确认绑定账户的所有人是开户申请人本人，绑定账户的开户银行名称和账号与开户申请人提供的信息一致。通过电子渠道开立类账户 银行应通过开户申请人从同名类账户向类户转入任意金额的方式激活账户，并确认开户申请人是同名类账户的

5、所有人。5TM主要内容65.推动个人移动终端可信环境的检测认证4.基于确信等级的远程开户的实施2.远程开户身份核验的实践3.威胁分析与对策研讨1.移动金融的进展6.实施完善的个人信息保护能力评估67.政策实施与建议TM账户分类管理-远程开户现状近日,部分银行宣布手机银行从4月1日起开放兼容他行卡开立类账户，银行远程开户正逐步落地实施身份核验方式如下：通过人行的联网核查系统在线核验手机终端所输入的用户姓名、身份证件号、身份证件照片、手持身份证件本人照片 核验手机终端所输入的用户同名他行卡号、手机号、附加码 完成以上内容的核验，即完成注册账户7央行网银跨行清算系统在线核验手机终端所输入的用户姓名、

6、身份证号，手持身份证件照片银行A的手机银行客户端核验用户同名银行B卡号等银行A的手机银行客户端银行A身份证件核验权威机构银行BTM商业银行手机银行开放兼容他行同名银行卡 建行e账户开户流程8TM主要内容95.推动个人移动终端可信环境的检测认证4.基于确信等级的远程开户的实施2.远程开户身份核验的实践3.威胁分析与对策研讨1.移动金融的进展6.实施完善的个人信息保护能力评估97.政策实施与建议TM身份核验过程可能面临的安全问题过程过程安全威胁安全威胁典型安全问题举例典型安全问题举例注册注册假冒攻击一个攻击者使用一个伪造的他人证件或者银行卡信息进行注册抵赖一个成功注册的用户否认注册过程，不承认曾经

7、注册过发行发行泄露凭证服务提供方（银行A）生成提供给注册用户使用的凭证在传输过程中被复制篡改一个注册用户设置的密码在提交到凭证服务提供方（银行A）的过程中被攻击者篡改不应授权的发行 一个非注册用户的人通过冒充注册用户成功从凭证服务提供方（银行A）得到对应的凭证10身份注册，凭证发行和管理1.近年来，由于身份证件，银行卡信息泄漏情况严重，照片信息的主动和被动泄漏也呈上升趋势，信息买卖事件时有发生，为身份核验带来较大的风险。我们的研究表明，以上身份 核验方法能够基本防范安全威胁风险，但仍存在不足、需进一步加固，以防范强中间人攻击。2.其次，如果个人移动终端的安全运行环境不能保证，弱中间人攻击的风险

8、仍然存在。潜在安全威胁TM中间人攻击与防范 中间人攻击：存在让攻击者获得注册用户的凭证验证值，以用于假扮注册用户并能通过验证方的验证。弱级别中间人攻击防范目标：应提供措施，供注册用户判断其是否在与真实的验证方之间进行通讯。强级别中间人攻击的防范目标：应能够完全避免注册用户向攻击者泄露了任何可以供攻击者用于假扮注册用户的信息，让攻击者不能够利用该信息假扮注册用户通过验证方验证。个人生物特征附带活性检测内容核验，是反映个人意愿表达、防范中间人攻击最好的技术措施。11TM加强防范核身份风险的中间人攻击12 用户身份证实的确信等级达到AAL3，可有效的防范中间人攻击发生。身份认证安全组件保护流程-明确

9、身份认证安全组件意外丢失情况下可挂失的流程；-身份认证安全组件信息泄漏的评估。对于成批量的或者因个人行为导致身份认证安全组件（例如，身份证件信息和银行卡信息）信息泄漏事件可能带来的影响，应有风险评估；-关注因流程设计和执行环节中的安全组件泄漏风险点。例如，禁止工作人员个人手机为客户拍照手持身份照片等；为了证实操作者是用户本人意愿，可采用生物识别信息作为用户本人意愿的核验，使用本地或者远程生物识别信息采集与比对的方式 由于生物识别信息具有不可撤销性，因此，应以明确的个人信息保护评估为基础，构建可共享的生物信息比对数据库 必要时，可采用用户私钥签名机制 保护身份认证安全组件和身份凭证，加强个人移动

10、终端可信环境的制定TM身份认证确信等级AAL3 身份认证确信等级AAL3：用户真实身份信息验证，有效确认用户的意愿。在远程开户或大额支付过程中，采用本地或者远程生物识别信息采集与比对方式.身份鉴别过程中，采用加密安全验证协议，采取加解密算法实现对凭证密钥或者凭证生成的有效验证值的保护 长时有效的认证密钥，不能泄露给除注册用户和凭证服务提供方之外的任何第三方 临时会话密钥，可由注册用户或凭证服务提供方，提供给身份认证服务提供方；验证过程中的数据传输采用加解密算法保护；采用客户端证书技术。为了保护身份认证安全组件和身份凭证，移动终端应采用可信计算处理核身业务。13TM主要内容145.推动个人移动终

11、端可信环境的检测认证4.基于确信等级的远程开户的实施2.远程开户身份核验的实践3.威胁分析与对策研讨1.移动金融的进展6.实施完善的个人信息保护能力评估147.政策实施与建议TM账户分类管理机制助力银行业互联网化经营 对于II类和III类账户可实现远程开户15TM远程身份认证的流程用户登录A银行手机银行客户端软件并提交远程开立A银行或B银行、类账户开立请求；16若开立B银行、类账户，A银行手机银行客户端将远程开户请求，经央行网银跨行清算系统提交至B银行备案；步骤二步骤一A银行后台系统与用户客户端进行交互，对用户身份进行核验步骤三根据核验结果，A银行将远程开户结果反馈给用户，如果开户成功，则为用

12、户生成一个新的账户。若B银行作为该用户的凭证服务提供方，A银行手机银行开立B银行卡、类账户，A银行有义务告知B银行，同时，A银行手机客户端也可以对B银行卡绑定的、账户进行管理。步骤四有效身份证件核验用户本人意愿或者用户授权核验绑定银行卡验证TM远程身份注册过程简要分析 用户身份核验的信息包括持有的有效身份证件、个人生物特征以及所持有的其他银行发行的银行卡；参与银行同时承担了注册机构和凭证服务提供方的角色，它们之间需签订互认义务协议；用户选取的发卡银行承担了凭证服务提供方的角色；核验身份信息的身份信息权威机构通常由身份证件发行方或权威第三方机构等承担；用户所使用的手机银行客户端软件应在个人移动终

13、端可信环境中运行；身份认证确信等级分析：身份证件联网核查、生物特征识别体现本人意愿是身份注册过程中两类必要身份证实方式。绑定同名他行卡验证，则是将用户已经拥有的凭证与此次注册过程关联起来，开展 的用户身份验证。通过对以上身份证实强度、身份证实渠道、身份验证方式与渠道、能抵御的安全威胁、可信环境等要求情况的分析，确定远程开户实名认证符合身份认证确信等级AAL3的要求。17TM主要内容185.推动个人移动终端可信环境的检测认证4.基于确信等级的远程开户的实施2.远程开户身份核验的实践3.威胁分析与对策研讨1.移动金融的进展6.实施完善的个人信息保护能力评估187.政策实施与建议TM远程身份认证应在

14、个人移动终端的可信环境中执行 个人移动终端的可信环境-分级模式 TEE OR SE：具有信息采集配置，支持用户安全准确地提供身份证件或身份凭证信息，避免被中间人意外获取 支持信息的安全存储、使用和传输 支持安全通信传输，银行能够获取服务所对应的客户身份信息，准确辨识身份证件或凭证的有效性 提供软硬件的安全加固手段，防止攻击、植入、伪造、篡改、侧录等恶意行为19TM个人移动终端可信环境的安全生命周期管理与金融IC卡业务相比，移动金融应用承载在个人移动终端上，实时在线，运行环境复杂很多借助个人移动终端的空中接口的通信能力，可实现对个人移动终端的安全生命周期的远程管理个人移动终端的安全性不仅仅是对S

15、E或者TEE的分立式安全性的检测认证，其整体安全控制策略需要系统化定义；以保障移动金融系统安全20应用层金融应用层安全能力用户数据保护安全能力应用OS层个人终端操作系统安全能力个人终端外围接口安全能力可信应用执行环境层个人终端可信应用隔离运行安全能力安全硬件层个人终端硬件安全能力安全启动安全权限安全存储安全时钟安全人机接口安全传输TM主要内容215.推动个人移动终端可信环境的检测认证4.账户分类管理与远程开户的实施2.基于风险评估的身份认证技术趋势3.身份认证威胁分析与身份认证确信等级1.移动金融的进展6.实施完善的个人信息保护能力评估217.政策实施与建议TM个人信息保护对于可靠实施大数据风

16、控具有重要地位 个人信息是金融活动中的重要基础数据，应从立法、业务运营、技术三方面来规范。个人信息保护技术标准与规范：指导和规范利用金融信息系统处理个人信息的活动，在个人信息处理的整个生命周期，包括数据收集、传输、存储、使用、销毁等各个环节实施可追溯的个人信息保护管理 对跨境数据应实施严格管理与备案 应着手开展个人信息保护的金融行业IT基础设施与评估体系建设，包括生物特征基础信息库的建设、共享及比对服务 逐步实施个人信息保护技术框架，促进共享，推进相关技术标准的成熟落地22TM主要内容235.推动个人移动终端可信环境的检测认证4.账户分类管理与远程开户的实施2.基于风险评估的身份认证技术趋势3

17、.身份认证威胁分析与身份认证确信等级1.移动金融的进展6.实施完备的个人信息保护能力评估237.政策实施与建议TM研究结论 账户分类管理政策是商业银行移动金融发展变化的奇点。我们研究表明，基于安全威胁风险评估来确立核身技术组件、明确相关标准与规范，是国际主流共识与做法。我们还欠缺交易安全威胁风险评估基础上，身份核验确信等级技术标准与规范。值得关注的是，在非面对面的身份核验过程中进行的意愿核验时往往会涉及用户生物识别信息采集与保护。我们的研究表明，需要同时明确1）银行用户生物识别基础信息库的建设与共享机制；2）个人信息保护技术标准与规范；3）个人移动终端可信环境标准与规范，以及必要的检测与认证。亟需在行业内统筹上述工作，以便于保障账户分类管理政策的进一步可靠实施，促进我国银行移动金融的快速发展。24TM区域性银行政策实施与建议25为了深化区域性商业银行移动金融发展，建议着手开展的核身验证工作应注意：