民生銀行對內對外的身份安全建設實踐
責編:gltian |2019-10-15 14:16:32中國民生銀行是中國第一家主要由民營企業發起設立的全國性股份制商業銀行。成立 23 年來,擁有分支機構 2800 家,員工超 5.8 萬人。分支網點眾多,人員組成復雜,業務系統多樣是銀行業的典型特點,民生銀行也不例外。
之前,網上銀行業務的安全大多依賴基于數字證書的 PC 端安全解決方案。近年,隨著手機銀行業務的快速發展,“用戶名+口令+短信驗證碼” 的身份認證方式被廣泛應用。傳統基于數字證書的安全方案雖然成熟,但無法有效應對諸如偽基站釣魚短信、短信劫持木馬等移動設備側帶來的安全威脅。
基于對經典白盒密碼算法改進,以及設備指紋服務 (DFS)、終端安全環境 (SEE) 等技術的引入,民生銀行與芯盾時代的合作從 2017 年的 “密盾” 項目開始,迄今已在多個應用場景進行項目合作。
安全牛在近期,就密盾、持續自適應認證 (ECP) 項目的概況,采訪了中國民生銀行信息科技部安全運營中心負責人虞剛,并結合案例相關的產品技術內容,將民生銀行對業務安全理解和實踐整理如下。
一、密盾的三大應用場景
2016 年 7 月,中國人民銀行發布的《中國人民銀行關于進一步加強銀行卡風險管理的通知》中明確要求各商業銀行、支付機構、卡清算機構,從強化客戶端軟件安全管理、加強業務開通身份認證安全管理、提升支付交易安全強度、加強互聯網交易風險監控、加大支付風險聯動防控力度五方面,加大對銀行卡互聯網交易的風險防控力度。
中國民生銀行在上述方面的具體實踐,就是密盾項目。
密盾項目有三個主要應用場景,分別是手機銀行、內部員工的統一認證,以及柜面終端的身份認證。
- 手機銀行
移動互聯網、移動支付的流行,手機銀行也開始承載著諸如轉賬、開卡等多種業務。特別是每天總額低于 20 萬的轉賬,虞剛介紹,是民生銀行重要的高頻交易場景(可覆蓋近一半的轉賬需求)。如何有效、盡可能低成本、且最小化對用戶體驗產生影響的確認身份,并保障其不被濫用,是民生銀行身份安全工作的關鍵。
之前,手機銀行對用戶身份的認證主要采用短信驗證碼的方式。這本質是認證交易請求和預留手機號(機主)的匹配關系。作為銀行不可控的智能終端,短信驗證碼在用戶的接收和提交過程中可能面臨多種威脅,例如短信監聽、手機被惡意軟件劫持、仿冒 app、偽基站釣魚短信等。如果僅以短信驗證碼作為單一驗證方式,無疑用戶會暴露在諸多風險中。而根據用戶和交易情況(如交易額度),增加預設的認證方式(額度過大的需要硬件密鑰),又會讓安全工作不得不平衡和用戶體驗的矛盾,讓一方做出妥協。
對于民生銀行的手機銀行而言,密盾的核心價值在于可以通過一次混合多種認證方式的強認證,實現用戶身份與智能手機長期有效的強綁定。同時,基于優化后的白盒加密算法,保障交易通信的安全性。這不僅規避了依賴短信驗證碼單一認證方式所帶來的風險,通過保障認證環節將交易風控前置;此外還節省了民生銀行短信流量成本,保證了用戶在手機銀行后續交易的體驗。
手機銀行是銀行重要的 to C 場景,與之相對應的是銀行對內部員工認證管理需求。
- 內部員工的統一認證管理
據了解,民生銀行內部員工的身份管理從 2013 年就已經開始做,總行-支行-部門,從上至下。但作為員工總數已經超 5.8 萬人的企業,無論是用于辦公系統登錄的虛擬身份還是諸如門禁等具體實體體現的物理身份,這樣龐大繁雜的身份體系,都需要一個統一、支持多種方式、同樣安全效果的身份認證管理能力作為支撐。這也是密盾項目的重要初衷和目標之一。
2013 年,對應的還有民生銀行內部的統一安保平臺。但當時,據虞剛回憶,無論是加密還是認證,都是較為分散的,并不方便管理;技術層面也較為單一,并沒有顧及到實際體驗;同時,身份、行為等數據在設計之初也都沒有做好收集、利用的準備。
2017 年開始合作的密盾項目,是 2018 年民生銀行安保平臺 2.0 的伏筆,也是重要能力支撐。
在密盾 APP 上線前,行內員工的身份認證主要采用靜態口令、短信驗證、一次性口令 (OTP) 等方式。安全性,體驗,還有成本,每種認證方式都有難以忽視的短板。
據虞剛介紹,與手機銀行類似,密盾 APP 也是通過初始化的強認證方式,將員工 OA 的登錄憑證、終端設備(手機)等信息綁定。并基于白盒加密,將員工手機轉換為安全的身份認證工具,保證認證設備的合法性和唯一性。密盾 APP 的另一重要價值就是對多種認證方式的支持,例如動態口令、掃碼、人臉、指紋、正在實施的聲紋等,這保證了員工在認證過程中便捷、幾乎無感知的體驗。但是,密盾 APP 只是認證優化的第一道門檻,實現動態、持續自適應的認證,正是安保平臺 2.0 的重要目標。
除了員工外,內部的身份認證還包括柜面終端的安全。這個角度經常會被忽視。
- 柜面終端的安全管理
民生銀行在柜面終端的安全上,之前主要是基于硬件的終端加密模塊,對包含敏感信息的通信內容進行加密。特定的硬件通信設備,也從側面實現了身份的唯一性。但是,既然是硬件設備,而且又是每臺柜面機必備,所以在日常運維、業務開拓會伴隨大量的安全硬件開支。數千臺的柜面終端,就是近千萬的開銷。各分行在密盾項目實施前,都面臨設備老舊、替代成本高等困難。
此外,加密硬件模塊更多的實現通信安全,以及終端設備的認證,而無法認證使用者,即對內部人員的違規使用和欺詐行為,無論是防范還是追查,都較為吃力。
利用密盾項目中增強的白盒加密技術,通過在系統層構建柜面終端安全、可信的執行環境,民生銀行逐步實現了加密硬件模塊的替換。這不僅可以實現同樣效力的通信安全,而且大幅節約了硬件安全模塊采購、更新以及運維成本。同時,結合設備指紋技術和密盾APP對員工多種身份認證方式的支持,確保了柜面終端和使用者身份的合法性,實現降本增效。
二、關鍵能力:白盒加密與設備指紋
從技術能力角度來看,民生銀行和芯盾時代在密盾項目的合作,純軟件實現的白盒加密技術,以及設備指紋技術,是密盾能力構建的關鍵。
首先介紹下白盒密碼算法。
簡單概括,相對于黑盒加密,白盒加密的優勢在于,即使加密過程完全對攻擊者可見,攻擊者也無法重現運算過程中的密鑰。
加密算法的重要意義在于保護通信密鑰(通過設備指紋產生)存儲和運算過程的安全性。在安全狀況未知的個人移動端設備上,加密算法的安全性至關重要。
密盾項目所采用的白盒算法,是通過查表運算代替數學運算來表達密鑰參與的運算過程,并獲得運算結果,借此來隱藏密鑰。由于計算過程中只進行二進制數據查找,內存中不出現原始密鑰、密碼算法,所以內存窺探、靜態分析等均無法獲取原始密鑰和密碼算法的細節。
此外,此次密盾項目的合作還從非靜態隨機生成(對生成規則隨機化處理,使對查找表攻擊不可行)、非線性隨機查找(單一終端破解不會影響其它白盒)、可證明的算法安全性(使用 AES 算法)、配合相關機制(設備指紋、大數據分析、終端安全執行環境)這四方面對經典的白盒算法能力進行了增強,通過系統層的集成,增強安全性。此外,軟件實現的特性,相較于依賴硬件密鑰的方法,更能滿足對邊界、易用和成本的要求。
白盒密碼保證對篡改、逆向等攻擊有更強的抵抗能力,設備指紋技術則幫助確保設備的唯一性。
白盒算法所保護的通信密鑰,是基于設備指紋技術,結合 SIM 卡、APP、時間、生物信息等多種因素生成用戶唯一的數字憑證。密鑰的生成、更新、失效都與之相關。同時,每臺設備生成密鑰的算法機制是不一樣的,這樣就在防止破譯上增加了保障。
與常規僅采集系統表面的特征值(如 IMEI、IMSA、 MAC 地址等)不同,密盾所采用的設備指紋技術,是通過手機內核層和驅動層特征,采集終端更加完整且無法通過操作系統層偽造的信息,并結合相似度模型,為設備生成確保唯一性的設備指紋 ID,抑制沖突率和漂移率。同時,通過對終端機型、操作系統等環境的適配,在極端條件下(如修改器改串號、系統升級、刷機等),設備指紋技術仍能保證識別的穩定性,基于海量設備信息庫和深度學習找出真實設備的參數信息,進而快速識別仿冒行為。
三、“持續自適應認證”是后續方向
如果說密盾項目是民生銀行在身份認證領域的能力載體,那么 2.0 版的安保平臺則將其囊括其中,并提供了更多底層能力的支撐。
作為民生銀行信息科技近三年規劃內容一部分,安保平臺 2.0 擔負著重要角色。更強的可擴展性,更高的性能,應用行內自研的分布式架構……這些自不必說;對原來相對分散的系統、數據,也會有更多的體系化、規范化管理。這不僅包括安全供應商基于 2.0 安保平臺的二次開發和一體化運營,還包括更多安全數據的收集、分析和利用,甚至融合到業務層面。
如何實現員工和客戶的統一身份認證并提供一致的安全保障,更好的實現 “智能化” 目標——挖掘數據的關聯性并自適應地選擇認證方式,是安保平臺 2.0 在身份這個領域要解決的核心問題。
理想情況,是要確保用戶線上線下的身份體驗要一致;內部員工,無論是機構出入還是系統登錄,要實現一個工具全行通用。這不僅需要第三方供應商的支持,銀行內部的疏通工作也很重要。
密盾項目也基于安保平臺 2.0 的目標,在 2018 年進行了優化,包括對更多認證方式的支持、集成工會系統多種功能、擴展了其它系統對密盾調用的接口等等。
此外,對于 CARTA(持續自適應風險與信任評估)和 UEBA(用戶與實體行為分析)的應用,也是民生銀行后續關注的焦點。之前的認證策略雖然也是梯度設置,但民生銀行認為仍不夠人性化。借助 2.0 安保平臺可以提供更多用于分析的用戶和行為數據,以UEBA和大數據分析技術為基礎,通過機器學習引擎生成判斷規則,并根據不同的綜合風險值,自適應的選擇認證方式,在不影響應用體驗的同時,從身份認證角度進行持續、動態的內控。
據了解,相關平臺產品已在民生銀行內部進入測試階段。持續自適應認證,無論從認證體驗,還是安全工作的效率、效果和成本角度,都不失為一個值得嘗試的方向。后續,虞剛表示,結合內部的實踐成果,持續自適應認證能力也可以逐漸從業務安全角度向員工和客戶開放。
密盾項目是民生銀行在身份認證領域和芯盾時代合作成果的具體體現,也是其對白盒加密、設備指紋等技術的重要應用思路。真正能夠落地的實踐,是不能僅從技術思維來考慮的。從服務內控的甲方視角來看,可以明顯感受到,民生銀行在技術路線選擇時,著重在安全性、體驗、成本間尋求共贏的平衡,同時仍要和行內信息安全規劃的大方向保持一致。這不僅需要從架構高度,從上至下對系統、技術實現有充分理解和認識,還需要協同供應商、內部相關部門的密切配合。這些都是難能可貴的。做好身份認證對于銀行客戶而言,對內可以實現更加細粒度的安全管控,對外可以將欺詐風控前置,對欺詐交易的判定也是一個重要維度的補充。后續結合 CARTA、UEBA 等技術,認證方式也可以更加靈活。