齐鲁银行行长黄家栋:探索线上身份认证新模式
2020/11/13 10:24:43

齐鲁银行副董事长、行长 黄家栋

业务线上化,身份认证是难点

银行传统柜面业务对于交易安全的防控技术相对成熟,而各类电子化渠道缺乏类似柜面交易所能采取的安全手段,线上交易的开展面临着较大风险。为此,银行业务的线上交易必须采取更安全和便捷的身份认证手段。

2016年,人民银行“261号文”第九条明确指出,“除本人同行账户转账外,银行个人办理非柜面转账业务,单日累计金额超过5万元的,应当采用数字证书或者电子签名等安全可靠的支付指令验证方式”。目前,满足人行线上交易“安全可靠的”支付指令验证方式主要有两种,一种是软证书认证方式,另一种是UKey硬件证书认证方式。

软证书认证在国内推广较早,用户接受程度较高,但由于私钥完全存储于本地设备,存在被复制和仿冒交易签名的风险;UKey硬件证书认证将密钥或证书存储在UKey芯片内,安全性高,但由于严重依赖UKey设备,一旦丢失或者忘记携带就无法完成交易,限制了交易的便捷性。

分散密钥认证方式的出现,提供了一种全新的身份认证服务,很好地兼顾了易用性及安全性问题。2019年,人民银行主导的金融科技试点项目,引导金融机构探索兼顾安全与便捷的新型网络身份认证技术应用,齐鲁银行积极参与,探索基于分散密钥身份认证在线上化交易中的强身份认证功能。

做好顶层设计,构筑安全堡垒

齐鲁银行基于分散密钥的认证方案引入第三方权威机构,打造了基于客户端、银行机构和“第三方”在内的关联安全认证“铁三角”。

按照密钥分离式管理机制,客户端和“第三方”分别保管不同的用户证书私钥,各私钥之间无直接关连。签名时,客户端向“第三方”发起签名请求,各自采用私钥协同签名,最终组成完整签名信息,银行机构使用“第三方”颁发的公钥证书对完整签名信息进行验证。整个签名验签过程中无完整私钥信息出现,大大降低了私钥被盗用风险,从而满足人民银行发布的《条码支付安全技术规范(试行)》中“采用数字证书、电子签名作为认证要素的,数字证书及生成电子签名过程应符合《中华人民共和国电子签名法》等有关规定,确保数字证书的唯一性、完整性及交易的抗抵赖性等要求。”

为响应国家在金融领域采用国产密码算法的号召,有效保障金融信息安全,分散密钥认证技术严格采用国家密码标准,生成的密钥、数字证书和签名验签操作均用国密算法实现,云端和本地的数据传输采用国密算法加密,降低敏感数据泄露的风险,安全自主可控。

开放自主额度控制,丰富转账限额体系

齐鲁银行电子渠道转账一直遵循人民银行等监管机构指导,执行严格的限额控制策略,原有静态密码、短信口令、动态令牌组成的限额分级跨度小,总体额度较低,无法满足客户日益增长的转账限额需求。针对这种情况,齐鲁银行引入分散密钥认证限额管理机制,由总行根据分散密钥认证行业评估水平,权衡风险,设定分散密钥认证全行统一最高限额,在这个限额下,用户自行设定定制限额,实现转账限额的自主控制。

目前,齐鲁银行电子渠道客户通过签约分散密钥认证方式,可以将转账交易最高限额由5万元逐步提高到50万元,实现无需硬件干预、无繁杂验密交互的快捷大额度支付。新限额体系经过半年试运行,交易的安全性获得验证,目前已在各个电子渠道全面推广。

突破条码支付限额,提升客户扫码无感体验

二维码支付作为一种新兴的支付方式,以其方便、快捷的特点备受消费群体欢迎。由于二维码支付具有单向性,交易不可回退,单纯密码验证或指纹验证存在一定风险,因此单笔交易额度被限制在500元以下。根据人民银行《条码支付业务规范(试行)》办法条款“结合数字证书和支付密码,在扫码支付场景中可适用A级风险防范能力”的指导建议,齐鲁银行在手机银行二维码被扫支付场景中,利用数字证书签名和验签手段,有效地提高了支付的风险防范能力。

在二维码被扫付款场景中,当手机银行APP进行付款码申请及确认付款时,调用证书模块发起交易签名操作,对二维码用户身份进行认证,确保交易的真实性和合法性,再结合指纹、支付密码等混合认证策略,解决了二维码支付500元限额问题,保证支付安全的同时,提升了客户条码支付无感体验。

嵌入电子合同环节,加速线上贷款全流程办理

2020年初“疫情”期间,齐鲁银行践行“服务中小企业,服务实体经济”的社会责任,坚持特事特办、急事急办的原则,建立贷款绿色通道,并积极探索线上贷款“无接触”解决方案。“市民贷”“税融e贷”“轻松e贷”等一批线上贷款正式借助分散密钥认证和验签技术,实现了线上贷款申请、审核、验签和发放的全流程线上化,加速了网贷的线上办理。

此外,基于分散密钥认证的身份核验、电子签章功能结合运用人脸识别、电子存证等科技手段,可将借款人的借还款信息安全不可篡改的进行存证,形成完整证据链,亦能为后续贷款纠纷处理及追偿提供有利保障。

分散密钥助力线上化显成效

齐鲁银行分散密钥身份认证最初用于手机银行大额交易场景,目前已推广至网银、直销银行、小程序等多种交易渠道,实现大额支付、网贷、线上开户等多种交易场景的用户身份认证、数字签名及合同签章功能。新认证功能支持线上、线下两种签约方式。用户可持有效身份证件去柜面办理,也可在网银自助开通,支持手机银行APP结合生物识别方式解约。疫情期间,齐鲁银行开展“非常时期业务线上办”活动,宣传普及我行网上银行、手机银行等渠道业务功能,并适时引导客户开通基于分散密钥的线上身份认证工具。

上线1年多,全行开通线上强认证的客户数量超过10万户,办理大额转账业务约31.6万笔,交易金额达到169亿元。网贷平台使用新认证方式累计发放贷款1.48万笔,放款金额达132亿元,至今无风险事件发生,基于分散密钥的强身份认证方式有效保障了线上资金交易安全。

以试点为契机,加速创新步伐

齐鲁银行基于分散密钥的线上身份认证取得良好成效,配合人民银行济南分行起草了《基于分散密钥的数字证书认证技术规范》,同时加强与同业间的沟通交流,充分发挥试点银行的“探路者”作用,积极推广分散密钥认证的成功经验。

未来,基于分散密钥的数字证书认证技术仍有广泛的应用场景,如:利用区块链签章存证不可篡改,杜绝“萝卜章”和解决债权纠纷问题;利用智能合约控制,确保资金定向支付,打造新型支付模式;利用数字证书防抵赖性,创建“网络身份证”,在“互联网社会”中做到行为可追溯,让网络诈骗无处可逃。齐鲁银行将继续进行新认证技术的研究和拓展,赋能各业务场景,更好服务于经济社会发展。

齐鲁银行将充分利用开放、协作、安全、共享的金融科技创新环境,以金融科技试点为契机,进一步加大科技投入,以科技探索创新为手段,以践行普惠金融为己任,以市场为导向,以客户为中心,服务中小企业,服务地方经济,与各方携手,一起构建金融服务的美好明天!

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消