新闻动态

新闻动态

密码技术与客户业务场景高度融合,为Fintech、IoT保驾护航

苏州双峰会主题演讲干货分享|IoT+FinTech 商用密码应用分析

  • 分类:新闻动态
  • 作者:
  • 来源:
  • 发布时间:2020-09-25 09:34
  • 访问量:

【概要描述】上期“双峰会”之后,小伙伴纷纷留言私信小编想要主题演讲的稿子,必须满足各位小伙伴,分享脱水版干货如下:密码是随着人类战争而发展起来的,尤其在二战中,加密与解密的博弈直接决定了战争的胜负。我们是幸运的一代,经历了很长一段没有战争的和平岁月,在这个阶段,科技进步、经济腾飞,全球一体化协同发展。全球化也引起了一场新的战争——金融战,在坐的各位都是这场战争中的战士。在金融战中,密码仍然继续履行着它的使命,

苏州双峰会主题演讲干货分享|IoT+FinTech 商用密码应用分析

【概要描述】上期“双峰会”之后,小伙伴纷纷留言私信小编想要主题演讲的稿子,必须满足各位小伙伴,分享脱水版干货如下:密码是随着人类战争而发展起来的,尤其在二战中,加密与解密的博弈直接决定了战争的胜负。我们是幸运的一代,经历了很长一段没有战争的和平岁月,在这个阶段,科技进步、经济腾飞,全球一体化协同发展。全球化也引起了一场新的战争——金融战,在坐的各位都是这场战争中的战士。在金融战中,密码仍然继续履行着它的使命,

  • 分类:新闻动态
  • 作者:
  • 来源:
  • 发布时间:2020-09-25 09:34
  • 访问量:
详情

  上期“双峰会”之后,小伙伴纷纷留言私信小编想要主题演讲的稿子,必须满足各位小伙伴,分享脱水版干货如下:

  密码是随着人类战争而发展起来的,尤其在二战中,加密与解密的博弈直接决定了战争的胜负。我们是幸运的一代,经历了很长一段没有战争的和平岁月,在这个阶段,科技进步、经济腾飞,全球一体化协同发展。全球化也引起了一场新的战争——金融战,在坐的各位都是这场战争中的战士。在金融战中,密码仍然继续履行着它的使命,但也摆脱不了它为战争服务的宿命。

  通过安御道合的视角和大家分享一下过去金融战中的密码应用。

  首先我们来看银行卡阶段。银行卡,一张小小的塑料卡片,今天我们已经习惯使用,可在诞生之初,它却改变了用钱必须去银行的传统习惯,最早被人们称为“塑料代币”。根据统计,截至今年上半年,我国发卡总量已经达86亿张,占全球发卡量的40%多,人均持卡6张,2019年全年持卡交易3220亿笔,金额860万亿。有如此成绩,密码居功至伟。

  银行卡推广初期采用的是EMV标准,1999年三大卡商联合制定标准的时候,国际通用商用密码应用已经有20多年的积累,为EMV的推行提供了安全基础,到2007年我国PBOC2.0发布,采用的仍然是国际密码算法。我们国家商用密码起步较晚,1999年发布了《商用密码管理条例》,但商用密码算法还不成熟,仍处于学习和发展阶段,直到2010年SM2、SM3等国产商用密码发布,才有了我们自己的商用密码算法,到今天为止,我国商用密码算法已经有了较完整的体系,并且在算法国际化方面也取得了不错的成绩。在此基础上,2012年发布了PBOC3.0,算法全盘国产化,彻底和EMV告别。

  算法国产化十分必要,密码是国之利器,网络空间安全是国家安全的重要组成部分,“没有网络安全就没有国家安全”,密码是网络空间安全的强力支撑,覆盖网络空间安全的网络基础安全、系统安全、应用安全和业务安全等全部知识领域。2013年“斯诺登”事件就曝光了美国国家安全局与RSA的一份协议,要求RSA公司在公布的算法中留有数学后门,以便于美方在需要的时候能利用。大家可想而知,算法自主性对一个国家的重要意义了。随着互联网技术的发展,金融科技进入“网络银行”时代,网银进一步丰富了金融科技元素,从“塑料代币”进入了“数字代币”时代。

  网银经历了“银行网站”、“简单银行业务”到“线上线下业务融合”几个阶段。互联网因其开放性,网银需要更强大的安全服务。新的安全载体“数字证书”逐渐被用户所接受。PKI作为数字证书的管理体系,同时也是密码技术的一种应用体系,其所生产的数字证书作为密码载体,不仅解决了在网络银行环境下的密码分发问题,还使得密码应用走到了前端,密码成为一种看得见、摸得着的技术,特别是二代key,通过用户的参与,进一步提高了业务安全性。

  “没有永恒的安全,只有未知的风险”。互联网从空间和时间延展了金融服务,同时延展了安全风险;互联网提供了便捷的金融服务,也纵容了对便捷性的无限追求。作为服务提供商,只能不断的在安全与便捷之间寻找着平衡。此时,数字证书又成了业务发展的障碍,数字证书介质无法适应不断更新的移动设备,因为“利益”点不在安全上,数字证书管理变成了用户的“负担”。

  为了“利益”,引流技术不断创新。“二维码”和“刷脸”支付大行其道,从噱头到推广,经历了政策与技术的不断完善。现在用户只管“花钱、约(车)下(单)”,机构在默默守护。方便就会带来更多的安全风险,密码除了做身份认证、保护用户钱的安全,还要提供设备认证、用户隐私数据安全。没有一家金融服务机构希望用了刷脸识别功能后,用户的面部数据成为黑客的目标,因为这太敏感了。敏感到只是一个口误都能带来巨大的麻烦,李开复在一次采访中,谈到早期旷视与阿里合作的时候,不小心说成了“数据共享”,引得两家公司赶紧出来辟谣,李开复本人要马上出来澄清“口误”。但凡真的沾惹了,那就是安全事件。所以作为应用了刷脸、指纹、虹膜等生物识别能力的金融服务公司,一定记得要采用国产商用密码算法对这些数据加以保护。从采集终端开始,到网络传输、存储、比对等各个环节,加密无死角,这才能降低自我风险。

  前面我们从三个场景回顾了金融科技中密码的应用,结合当前金融科技的焦点话题,未来金融行业与IoT的融合将是新的趋势。在这种趋势下,金融科技面临的安全问题就变得更加复杂,除了我们前面分析的已有场景的金融业务安全外,还要深入分析IoT安全问题,以及IoT和金融科技融合的安全问题。

  我们总结有两个核心点:

  一、 操控指令安全。基于存储设备的“数字货币”操作,均通过指令完成,等同于IoT领域中的OT技术。就需要考虑指令本身的机密性、完整性,发送指令者身份合法性、接受指令者身份合法性等问题。

  二、 数据安全。在IoT与FinTech科技融合的场景,数据安全范围就扩大了,不仅仅包括金融业务数据安全,还要包括设备自身数据安全和用户隐私数据安全。

  解决这些问题,其核心基础仍然是密码技术。

  分析过去、展望未来,密码在金融科技中发挥了重要作用,但我们仍然有必要对密码重新认识一下。

  《密码法》对密码的定义“是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”

  这里我们稍微扩展一下:

  我们在谈论密码的时候,有人就会想到口令。登录应用系统就是用口令啊,而且平时直接称呼为密码,也是完成认证,那么和我们这里说的“密码”是不是一回事呢?我们再详细解读《密码法》的定义,需要采用“特点变换的方法”来完成安全认证的才是密码,举个例子,如果你输入的口令,没有被转换,直接发到服务端进行验证,那就不是密码。但如果做了处理,比如采用摘要算法做了转换,然后再发到服务端进行比对,那这个时候就是《密码法》中定义的密码了。

  另外还有一个概念是密钥,很多做业务的朋友总是搞不清楚,什么是密码、什么是密钥?一句话就可以解释清楚:密码包括密钥和算法。算法是规则,密钥是使用规则的钥匙,同样的规则,不一样的钥匙,打开不一样的世界。

  在商用密码体系中,密钥有对称密钥、非对称密钥,同样就有对称算法和非对称算法。

  在概念定义的基础上,我们看《密码法》中定义的密码的作用。“加密保护”和“安全认证”这两个作用也恰好是我们在金融科技中使用密码的原因,银行卡个人化阶段,会把用户密钥、数字证书灌装进去,在使用时,以便验证持卡用户的身份和卡片的合法性,当进行交易时,再使用交易密钥进行加密保护。

  前面提到国产密码算法体系已经基本成熟,法律法规我们国家近几年也在不断完善,除了我们分析的《密码法》,还有2004年发布的《电子签名法》、2016年发布的《网络安全法》,以及处于草案阶段的《数据安全法》等等。

  在法律体系和商用密码标准体系支撑下,未来的商用密码主要工作将聚焦在应用层面,也就是如何用好商用密码,为我国经济发展做出贡献是我们在座的所有战士们应尽的职责。

  密码的应用有两个关键点要关注:一、场景;二、管理

  在标准规范的指导下,密码机、密码模块、密码应用设备已经十分成熟,算法体系也相对稳固,密码从业者更多的是需要探索和研究与业务场景的融合,如何使用商用密码技术满足应用安全需求,如何优化商用密码在业务场景中的应用,一定是近几年商用密码领域的重点问题。

  有了应用场景,例如我们一起讨论的这个题目中,IoT应用在金融科技中,应用环境开放、上亿级的金融用户、请求即答复的低时延要求,这些都是需要考虑的问题,那么就不是单纯的靠一些密码设备和密码模块能满足的。

  综上,一套完善的管理平台就显得十分必要。

  安御道合提出基于云构建“312ᴺ”安全服务平台的解决思路,平台把密码技术应用在计算资源、存储资源和网络资源三大资源中,通过一套平台实现统一管理,平台提供软件和硬件两套集成套件,适配刷脸Pad、摄像头、手机、智能手表、POS机等各种设备,满足N种场景的安全需求。平台主要通过人、物的集中管理,实现针对人、物安全分发密钥,同时提供基于密钥的数据加密、人/物身份认证等安全服务,以及统计监管的能力。

  平台与物联网统一设备管理平台、资产管理平台、智能汽车管理平台、智能家居管理平台、数字货币核心管理平台等进行集成,可满足各种场景的金融业务安全需求,比如前面我们分享过的刷脸支付终端,有了国产密码的赋能,可以保障支付业务数据安全、个人脸部数据机密保护,黑客截获不了、截获了也解不开,甚至国外黑客都没办法。还可以应用在金融体系新的一波智能网点改造中,给智能机器人、智能业务终端、驾驶舱、体验室等众多智能设备,为其颁发标识密钥,进行强身份认证、远程操控指令机密性保护,保证在开放环境下、无人值守环境下金融环境的整体安全性。这对任何一家金融机构来说,都是让用户信任的保障,而不单单是采用技术本身这么简单。

  方案应用问题解决了,但需要有创新性、需要对金融行业有贡献,对密码行业有贡献,这样的方案才更有意义。根据实践,我们也总结了4点:

  应用模式创新,主要体现在基于物联网应用场景落地,并且物联网与金融科技融合;

       应用技术创新,将密码与物联网设备管理业务流程融合,改变传统的分发、使用的单一流程,增加了注册、签到、下载、应用等金融业务特有的细化流程管理。

  密码管理创新,主要针对物联场景下,设备多种多样,需要满足多算法需求、多体系需求,做到一型一密、一机一密、一次一密;

       密码技术创新,基于传统的密钥管理,提升服务平台的管理能力,做到亿级海量的密钥管理和轻量化通讯保密安全服务,满足海量设备管理和低时延请求的高性能要求。

  万物互联,IoT无处不在,安全无处不在,密码无处不在。

相关资讯