齐鲁银行副董事长、行长 黄家栋
业务线上化,身份认证是难点
银行传统柜面业务对于交易安全的防控技术相对成熟,而各类电子化渠道缺乏类似柜面交易所能采取的安全手段,线上交易的开展面临着较大风险。为此,银行业务的线上交易必须采取更安全和便捷的身份认证手段。
2016年,人民银行“261号文”第九条明确指出,“除本人同行账户转账外,银行个人办理非柜面转账业务,单日累计金额超过5万元的,应当采用数字证书或者电子签名等安全可靠的支付指令验证方式”。目前,满足人行线上交易“安全可靠的”支付指令验证方式主要有两种,一种是软证书认证方式,另一种是UKey硬件证书认证方式。
软证书认证在国内推广较早,用户接受程度较高,但由于私钥完全存储于本地设备,存在被复制和仿冒交易签名的风险;UKey硬件证书认证将密钥或证书存储在UKey芯片内,安全性高,但由于严重依赖UKey设备,一旦丢失或者忘记携带就无法完成交易,限制了交易的便捷性。
分散密钥认证方式的出现,提供了一种全新的身份认证服务,很好地兼顾了易用性及安全性问题。2019年,人民银行主导的金融科技试点项目,引导金融机构探索兼顾安全与便捷的新型网络身份认证技术应用,齐鲁银行积极参与,探索基于分散密钥身份认证在线上化交易中的强身份认证功能。
做好顶层设计,构筑安全堡垒
齐鲁银行基于分散密钥的认证方案引入第三方权威机构,打造了基于客户端、银行机构和“第三方”在内的关联安全认证“铁三角”。
按照密钥分离式管理机制,客户端和“第三方”分别保管不同的用户证书私钥,各私钥之间无直接关连。签名时,客户端向“第三方”发起签名请求,各自采用私钥协同签名,最终组成完整签名信息,银行机构使用“第三方”颁发的公钥证书对完整签名信息进行验证。整个签名验签过程中无完整私钥信息出现,大大降低了私钥被盗用风险,从而满足人民银行发布的《条码支付安全技术规范(试行)》中“采用数字证书、电子签名作为认证要素的,数字证书及生成电子签名过程应符合《中华人民共和国电子签名法》等有关规定,确保数字证书的唯一性、完整性及交易的抗抵赖性等要求。”
为响应国家在金融领域采用国产密码算法的号召,有效保障金融信息安全,分散密钥认证技术严格采用国家密码标准,生成的密钥、数字证书和签名验签操作均用国密算法实现,云端和本地的数据传输采用国密算法加密,降低敏感数据泄露的风险,安全自主可控。
开放自主额度控制,丰富转账限额体系
齐鲁银行电子渠道转账一直遵循人民银行等监管机构指导,执行严格的限额控制策略,原有静态密码、短信口令、动态令牌组成的限额分级跨度小,总体额度较低,无法满足客户日益增长的转账限额需求。针对这种情况,齐鲁银行引入分散密钥认证限额管理机制,由总行根据分散密钥认证行业评估水平,权衡风险,设定分散密钥认证全行统一最高限额,在这个限额下,用户自行设定定制限额,实现转账限额的自主控制。
目前,齐鲁银行电子渠道客户通过签约分散密钥认证方式,可以将转账交易最高限额由5万元逐步提高到50万元,实现无需硬件干预、无繁杂验密交互的快捷大额度支付。新限额体系经过半年试运行,交易的安全性获得验证,目前已在各个电子渠道全面推广。
突破条码支付限额,提升客户扫码无感体验
二维码支付作为一种新兴的支付方式,以其方便、快捷的特点备受消费群体欢迎。由于二维码支付具有单向性,交易不可回退,单纯密码验证或指纹验证存在一定风险,因此单笔交易额度被限制在500元以下。根据人民银行《条码支付业务规范(试行)》办法条款“结合数字证书和支付密码,在扫码支付场景中可适用A级风险防范能力”的指导建议,齐鲁银行在手机银行二维码被扫支付场景中,利用数字证书签名和验签手段,有效地提高了支付的风险防范能力。
在二维码被扫付款场景中,当手机银行APP进行付款码申请及确认付款时,调用证书模块发起交易签名操作,对二维码用户身份进行认证,确保交易的真实性和合法性,再结合指纹、支付密码等混合认证策略,解决了二维码支付500元限额问题,保证支付安全的同时,提升了客户条码支付无感体验。
嵌入电子合同环节,加速线上贷款全流程办理
2020年初“疫情”期间,齐鲁银行践行“服务中小企业,服务实体经济”的社会责任,坚持特事特办、急事急办的原则,建立贷款绿色通道,并积极探索线上贷款“无接触”解决方案。“市民贷”“税融e贷”“轻松e贷”等一批线上贷款正式借助分散密钥认证和验签技术,实现了线上贷款申请、审核、验签和发放的全流程线上化,加速了网贷的线上办理。
此外,基于分散密钥认证的身份核验、电子签章功能结合运用人脸识别、电子存证等科技手段,可将借款人的借还款信息安全不可篡改的进行存证,形成完整证据链,亦能为后续贷款纠纷处理及追偿提供有利保障。
分散密钥助力线上化显成效
齐鲁银行分散密钥身份认证最初用于手机银行大额交易场景,目前已推广至网银、直销银行、小程序等多种交易渠道,实现大额支付、网贷、线上开户等多种交易场景的用户身份认证、数字签名及合同签章功能。新认证功能支持线上、线下两种签约方式。用户可持有效身份证件去柜面办理,也可在网银自助开通,支持手机银行APP结合生物识别方式解约。疫情期间,齐鲁银行开展“非常时期业务线上办”活动,宣传普及我行网上银行、手机银行等渠道业务功能,并适时引导客户开通基于分散密钥的线上身份认证工具。
上线1年多,全行开通线上强认证的客户数量超过10万户,办理大额转账业务约31.6万笔,交易金额达到169亿元。网贷平台使用新认证方式累计发放贷款1.48万笔,放款金额达132亿元,至今无风险事件发生,基于分散密钥的强身份认证方式有效保障了线上资金交易安全。
以试点为契机,加速创新步伐
齐鲁银行基于分散密钥的线上身份认证取得良好成效,配合人民银行济南分行起草了《基于分散密钥的数字证书认证技术规范》,同时加强与同业间的沟通交流,充分发挥试点银行的“探路者”作用,积极推广分散密钥认证的成功经验。
未来,基于分散密钥的数字证书认证技术仍有广泛的应用场景,如:利用区块链签章存证不可篡改,杜绝“萝卜章”和解决债权纠纷问题;利用智能合约控制,确保资金定向支付,打造新型支付模式;利用数字证书防抵赖性,创建“网络身份证”,在“互联网社会”中做到行为可追溯,让网络诈骗无处可逃。齐鲁银行将继续进行新认证技术的研究和拓展,赋能各业务场景,更好服务于经济社会发展。
齐鲁银行将充分利用开放、协作、安全、共享的金融科技创新环境,以金融科技试点为契机,进一步加大科技投入,以科技探索创新为手段,以践行普惠金融为己任,以市场为导向,以客户为中心,服务中小企业,服务地方经济,与各方携手,一起构建金融服务的美好明天!
展开全文
- 移动支付网 | 2018/6/29 9:34:34
- 移动支付网 | 2021/11/2 9:33:59
- 移动支付网 | 2021/8/17 15:00:48
- 移动支付网 | 2021/8/13 14:23:06
- 共同社 | 2021/7/5 15:27:51
- 移动支付网 | 2021/6/30 9:31:08
- 移动支付网 | 2021/6/3 10:35:30
- 未央网 | 2021/5/17 15:05:31
- 移动支付网 | 2021/4/21 9:46:45
- 新浪财经 | 2021/4/20 9:25:17
- 移动支付网 | 2021/3/30 9:09:06
- 苏州日报 | 2021/2/25 14:24:40
- 移动支付网 | 2021/1/29 20:00:53
- 信报 | 2020/12/15 9:19:46
- 金融电子化 | 2020/11/13 10:29:22