梅庆:场景金融是“互联网+金融”发展的必然趋势
移动支付网 2016/8/1 19:41:16

  7月29日消息,由《当代金融家》杂志社主办的“2016年中国中小银行发展高峰论坛暨第五届最佳中小银行评选颁奖典礼”今日在京举行。论坛主题为“转型·竞争力”。

  上海众人科技和国家安全工程中心身份认证联合实验室总工梅庆在论坛上表示场景金融已经是一个非常现实的问题,基本上任何人的活动都可能成为场景。场景金融是“互联网+金融”发展的必然趋势。综合运用白盒密码技术,可以更安全地融入场景金融,并且让客户体验到场景金融的便捷与安全。

  以下为嘉宾发言实录:

  梅 庆:各位领导,各位嘉宾,上午好。我来谈一下如何用某一种特定的技术来实现一些特定的安全需求。 场景金融已经是一个非常现实的问题,基本上任何人的活动都可能成为场景,如果说这个活动又有交易的需求那可能就产生金融服务的需求,这是一般逻辑。在场景金融环境下,信息泄露是一个非常普遍的问题,这也是导致最近央行发布170号文的原因。

  其实诈骗本质也是因为信息泄露导致的,他获得了一部分信息,然后去诈骗另一部分信息,或者直接诈骗财产。我们现在从电子银行时代进到了场景金融时代,电子银行时代相对来说比较简单,大家看到网银或者是网上购物,对于用户来讲,银行已经变得虚化。

  我们再看看场景金融下和原来电子银行的安全规范发生了一些什么样的变化,由于大量的快捷支付的存在,用户信息加验证短信成为主要的认证方式,所以导致信息泄露日趋严重。另外就是我们传统上的传输,其实并不能保证信息不被泄露,这也是现在和原来的一些差别。

  针对这些问题,最近央行发了170号文,我想具体展开谈几点,一是标记化,二是增强认证,三是加强数据的即时加密。 我们如何去满足这些技术要求?我今天来简单介绍一个技术概念。大家对黑盒密码和白盒密码的概念并不陌生,与黑盒密码不同的是,白盒密码并不需要专门的硬件来隐藏密钥。我今天要讲的是白盒密码算法,与常用的加密算法完全无关的一种算法,具有“一终端一算法”的特性, 白盒密码到底有什么用?怎么来用?这个可能才是用户真正关心的问题。

  一个是动态标记,动态标记EMV定了4种模式,大商户、数字钱包、NFC和二维码,二维码现在已经放开了,标记的里头又有堡垒,银联现在做的是一个堡垒,所谓堡垒他就是用映射表的方式去完成,这个要求央行要求12月1号必须实现,所以我们现在也在跟一家商业银行在做方案。另外现在就是短信验证码大量的使用。

  央行要求以后关连交易必须是双因素双通道,这是选项之一,当然如果是说硬件加交易密码也是选项,但是可能你选择这种方式是不是会比加个硬件再加个密码让用户感觉到方便。再一个就是完整性保护和敏感数据加密。

  另外,“标记化”央行定义了两种,银联的规范里头又把它叫做虚拟卡,就说一次一用的动态标记,一次一用的动态标记有什么好处呢?如果按照静态标记,你会需要控制很多风险,你需要去控制商户,商户的范围,要控制他的使用周期,控制他的安全登记,所以静态标记化是一个选项,但是不是唯一的选项。

  其次,就是短信验证码的增强,这个就是按照央行的要求,三选一的方式假如说你如果要去抛弃硬件,又要满足央行的要求,又要让用户感觉到便捷,我觉得也是一种选项。另外就是完整性以及应用密文的验证,我们现在跟工行在做方案。

  端到端加密的本质你要有动态因素,你如果是静态的端到端是没有意义的。 场景金融是“互联网+金融”发展的必然趋势。综合运用白盒密码技术,可以更安全地融入场景金融,并且让客户体验到场景金融的便捷与安全,谢谢大家。


展开全文
相关阅读
资讯查询取消