齐鲁银行副董事长、行长 黄家栋

业务线上化，身份认证是难点

银行传统柜面业务对于交易安全的防控技术相对成熟，而各类电子化渠道缺乏类似柜面交易所能采取的安全手段，线上交易的开展面临着较大风险。为此，银行业务的线上交易必须采取更安全和便捷的身份认证手段。

2016年，人民银行“261号文”第九条明确指出，“除本人同行账户转账外，银行个人办理非柜面转账业务，单日累计金额超过5万元的，应当采用数字证书或者电子签名等安全可靠的支付指令验证方式”。目前，满足人行线上交易“安全可靠的”支付指令验证方式主要有两种，一种是软证书认证方式，另一种是UKey硬件证书认证方式。

软证书认证在国内推广较早，用户接受程度较高，但由于私钥完全存储于本地设备，存在被复制和仿冒交易签名的风险；UKey硬件证书认证将密钥或证书存储在UKey芯片内，安全性高，但由于严重依赖UKey设备，一旦丢失或者忘记携带就无法完成交易，限制了交易的便捷性。

分散密钥认证方式的出现，提供了一种全新的身份认证服务，很好地兼顾了易用性及安全性问题。2019年，人民银行主导的金融科技试点项目，引导金融机构探索兼顾安全与便捷的新型网络身份认证技术应用,齐鲁银行积极参与，探索基于分散密钥身份认证在线上化交易中的强身份认证功能。

做好顶层设计，构筑安全堡垒

齐鲁银行基于分散密钥的认证方案引入第三方权威机构，打造了基于客户端、银行机构和“第三方”在内的关联安全认证“铁三角”。

按照密钥分离式管理机制，客户端和“第三方”分别保管不同的用户证书私钥，各私钥之间无直接关连。签名时，客户端向“第三方”发起签名请求，各自采用私钥协同签名，最终组成完整签名信息，银行机构使用“第三方”颁发的公钥证书对完整签名信息进行验证。整个签名验签过程中无完整私钥信息出现，大大降低了私钥被盗用风险，从而满足人民银行发布的《条码支付安全技术规范（试行）》中“采用数字证书、电子签名作为认证要素的，数字证书及生成电子签名过程应符合《中华人民共和国电子签名法》等有关规定，确保数字证书的唯一性、完整性及交易的抗抵赖性等要求。”

为响应国家在金融领域采用国产密码算法的号召，有效保障金融信息安全，分散密钥认证技术严格采用国家密码标准，生成的密钥、数字证书和签名验签操作均用国密算法实现，云端和本地的数据传输采用国密算法加密，降低敏感数据泄露的风险，安全自主可控。

开放自主额度控制，丰富转账限额体系

齐鲁银行电子渠道转账一直遵循人民银行等监管机构指导，执行严格的限额控制策略，原有静态密码、短信口令、动态令牌组成的限额分级跨度小，总体额度较低，无法满足客户日益增长的转账限额需求。针对这种情况，齐鲁银行引入分散密钥认证限额管理机制，由总行根据分散密钥认证行业评估水平，权衡风险，设定分散密钥认证全行统一最高限额，在这个限额下，用户自行设定定制限额，实现转账限额的自主控制。

目前，齐鲁银行电子渠道客户通过签约分散密钥认证方式，可以将转账交易最高限额由5万元逐步提高到50万元，实现无需硬件干预、无繁杂验密交互的快捷大额度支付。新限额体系经过半年试运行，交易的安全性获得验证，目前已在各个电子渠道全面推广。

突破条码支付限额，提升客户扫码无感体验

二维码支付作为一种新兴的支付方式，以其方便、快捷的特点备受消费群体欢迎。由于二维码支付具有单向性，交易不可回退，单纯密码验证或指纹验证存在一定风险，因此单笔交易额度被限制在500元以下。根据人民银行《条码支付业务规范（试行）》办法条款“结合数字证书和支付密码，在扫码支付场景中可适用A级风险防范能力”的指导建议，齐鲁银行在手机银行二维码被扫支付场景中，利用数字证书签名和验签手段，有效地提高了支付的风险防范能力。

在二维码被扫付款场景中，当手机银行APP进行付款码申请及确认付款时，调用证书模块发起交易签名操作，对二维码用户身份进行认证，确保交易的真实性和合法性，再结合指纹、支付密码等混合认证策略，解决了二维码支付500元限额问题，保证支付安全的同时，提升了客户条码支付无感体验。

嵌入电子合同环节，加速线上贷款全流程办理

2020年初“疫情”期间，齐鲁银行践行“服务中小企业，服务实体经济”的社会责任，坚持特事特办、急事急办的原则，建立贷款绿色通道，并积极探索线上贷款“无接触”解决方案。“市民贷”“税融e贷”“轻松e贷”等一批线上贷款正式借助分散密钥认证和验签技术，实现了线上贷款申请、审核、验签和发放的全流程线上化，加速了网贷的线上办理。

此外，基于分散密钥认证的身份核验、电子签章功能结合运用人脸识别、电子存证等科技手段，可将借款人的借还款信息安全不可篡改的进行存证，形成完整证据链，亦能为后续贷款纠纷处理及追偿提供有利保障。

分散密钥助力线上化显成效

齐鲁银行分散密钥身份认证最初用于手机银行大额交易场景，目前已推广至网银、直销银行、小程序等多种交易渠道，实现大额支付、网贷、线上开户等多种交易场景的用户身份认证、数字签名及合同签章功能。新认证功能支持线上、线下两种签约方式。用户可持有效身份证件去柜面办理，也可在网银自助开通，支持手机银行APP结合生物识别方式解约。疫情期间，齐鲁银行开展“非常时期业务线上办”活动，宣传普及我行网上银行、手机银行等渠道业务功能，并适时引导客户开通基于分散密钥的线上身份认证工具。

上线1年多，全行开通线上强认证的客户数量超过10万户，办理大额转账业务约31.6万笔，交易金额达到169亿元。网贷平台使用新认证方式累计发放贷款1.48万笔，放款金额达132亿元，至今无风险事件发生，基于分散密钥的强身份认证方式有效保障了线上资金交易安全。

以试点为契机，加速创新步伐

齐鲁银行基于分散密钥的线上身份认证取得良好成效，配合人民银行济南分行起草了《基于分散密钥的数字证书认证技术规范》，同时加强与同业间的沟通交流，充分发挥试点银行的“探路者”作用，积极推广分散密钥认证的成功经验。

未来，基于分散密钥的数字证书认证技术仍有广泛的应用场景，如：利用区块链签章存证不可篡改，杜绝“萝卜章”和解决债权纠纷问题；利用智能合约控制，确保资金定向支付，打造新型支付模式；利用数字证书防抵赖性，创建“网络身份证”，在“互联网社会”中做到行为可追溯，让网络诈骗无处可逃。齐鲁银行将继续进行新认证技术的研究和拓展，赋能各业务场景，更好服务于经济社会发展。

齐鲁银行将充分利用开放、协作、安全、共享的金融科技创新环境，以金融科技试点为契机，进一步加大科技投入，以科技探索创新为手段，以践行普惠金融为己任，以市场为导向，以客户为中心，服务中小企业，服务地方经济，与各方携手，一起构建金融服务的美好明天！