【創原】防范電信網絡新型違法犯罪—手機盾移動互聯網金融安全解決方案(（42頁）.pptx

1、防范電信網絡新型違法犯罪手機盾移動互聯網金融安全解決方案,劉辛越北京創原天地科技有限公司 董事長全國信息安全標準化技術委員會 委員國家密碼標準化技術委員會 委員2016年11月,CONTENTS,誰能保證安全？,手機盾，我能,1 移動互聯網金融安全風險分析,3 移動互聯網密碼安全體系,6 案例分享,4 手機盾產品與核心技術,5 手機盾銀行安全解決方案,2 安全方案設計目標,北京創原天地科技有限公司成立于2001年，是由信息產業部電信研究院新業務研究開發中心發展起來的高新技術企業。公司致力于信息安全、移動互聯網安全、移動支付、可信服務管理平臺TSM、電子商務平臺與增值業務平臺等領域的軟件產品開發

2、、系統集成、增值業務運營服務等。,公司概況,商用密碼產品生產定點單位商用密碼產品銷售許可單位商用密碼產品技術鑒定證書信息安全服務資質,密碼產品通過了國密局的技術審查和鑒定，獲得了產品型號證書安全產品獲得了公安部產品銷售許可證所有產品均取得了軟件著作權,電信網絡新型違法犯罪對人民群眾財產安全和合法權益造成了重大危害,二個特點：1、用戶信息竊取和騙?。弘娫?、短信、釣魚2、技術性攻擊：網銀、手機銀行、制作偽卡,1、電信詐騙造成的資金損失還只是九牛一毛，都是個案，但造成的社會影響很壞2、更可怕的是網絡專業黑客的攻擊、機構性攻擊，甚至敵對國家行為的攻擊，這種攻擊可能會造成系統的癱瘓和系統性損失。3、當前

3、移動互聯網金融已經普及并成為主流，今年雙11，手機端網購支付比例已經超過了80%4、然而當前移動互聯網金融（包括手機銀行）所面臨的威脅和攻擊也最大，電信詐騙很多發生在手機端，當務之急是解決移動互聯網金融的安全問題。,移動互聯網金融安全威脅分析,移動互聯網金融安全威脅分析,手機客戶端/PC,業務平臺,身份仿冒,偽基站攻擊短信驗證碼攻擊電話詐騙,信息盜用,賬戶/密碼信息盜用撞庫攻擊植入木馬攻擊監聽收集用戶信息,數據篡改,破解移動客戶端，篡改關鍵數據植入木馬攻擊，篡改關鍵數據,偽裝釣魚,客戶端二次打包，偽裝正?？蛻舳藗窝b業務平臺，騙取用戶帳號和密碼,交易抵賴,重放攻擊交易憑證抵賴,央行高度關注用戶個

4、人信息的保護和資金安全,2016年9月30日 銀發 2016261號 關于加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知2016年6月15日 銀發 2016170號 關于進一步加強銀行卡風險管理的通知2015年12月25日 銀發2015392號關于改進個人銀行賬戶服務加強賬戶管理的通知2015年12月28日 中國人民銀行公告2015第43號非銀行支付機構網絡支付業務管理辦法,2015年以來央行針對移動金融安全提出了一系列管理要求和辦法，重點關注：1、個人信息和銀行卡信息的保護2、移動金融交易安全3、電信網絡欺詐的防護,CONTENTS,誰能保證安全？,手機盾，我能,1 移動互聯網金融安

5、全風險分析,3 移動互聯網密碼安全體系,6 案例分享,4 手機盾產品與核心技術,5 手機盾銀行安全解決方案,2 安全方案設計目標,安全方案設計思想符合央行相關政策、法規要求,符合、滿足央行相關政策、法規和文件要求：2016年9月30日 銀發 2016261號 關于加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知2016年6月15日 銀發 2016170號 關于進一步加強銀行卡風險管理的通知中華人民共和國金融行業標準 金融電子認證規范JR/T 0118-2015,安全方案設計思想：全覆蓋、小成本、高安全、大效果,全覆蓋，無死角，包括手機、網銀、二維碼、POS、ATM無卡取款等投入成本小，包

6、括采購成本和維護成本高安全，效果明顯，能從根本上提升移動互聯網金融的安全度實施容易用戶體驗好,安全方案設計思想：防線前移，從用戶端開始布防,手機銀行業務大部分都是增加服務端的安全產品和服務，在用戶側的安全手段還相對較少。安全方案應該：從用戶端開始防護，防患于未然，拒敵于國門之外。前段防護和服務端防護相互配合，實現“1+12”的效果減輕服務端安全防護的壓力，防線前移實施簡單，效果好，成本低用戶主動參與,安全方案應達到的安全效果,黑客不能竊取用戶身份信息，不能假冒用戶身份,即使用戶手機被盜，盜取者也不能使用被盜設備進行交易，系統后臺可以對被盜設備進行遠程鎖定或銷毀,即使用戶手機被控制，黑客也不能控

7、制用戶手機進行資金交易,黑客不能在其它手機上復制用戶手機數據，復制無效,黑客不能通過篡改手機客戶端進行釣魚攻擊，釣魚無效,黑客不能篡改交易數據，篡改無效,即使用戶賬號和PIN碼被盜，盜取者也不能假冒用戶身份在其它終端上進入用戶賬戶系統并獲取利益,移動互聯網金融安全解決方案的設計目標和原則,安全目標用戶安全、移動終端安全、交易安全,用戶體驗好，不增加額外操作步驟 用戶體驗,支持多業務能夠支持多種銀行業務，如手機銀行、二維碼業務、網銀業務、ATM等,用戶能夠自主控制安全，動態調整安全開關 自主控制,使用簡單便捷用戶使用簡單便捷，能夠快速普及,銀行采購成本和維護成本低 低成本,集成快速，實施簡單不改

8、變銀行原有業務流程，系統集成快速，工程實施簡單,CONTENTS,誰能保證安全？,手機盾，我能,1 移動互聯網金融安全風險分析,3 移動互聯網密碼安全體系,6 案例分享,4 手機盾產品與核心技術,5 手機盾銀行安全解決方案,2 安全方案設計目標,解決移動互聯網安全威脅的關鍵技術：PKI公鑰密碼技術,15,1、PKI/CA公鑰密碼技術體系是解決移動互聯網業務安全威脅的有效技術手段,2、在PC上使用U盾、PKI數字證書技術解決互聯網應用的安全問題已經證明是有效的，并得到普遍應用。3、PKI/CA密碼體系同樣適用于移動互聯網業務安全4、難點：如何在手機上用軟件實現U盾功能，并不依賴任何硬件,CONT

9、ENTS,誰能保證安全？,手機盾，我能,1 移動互聯網金融安全風險分析,3 移動互聯網密碼安全體系,6 案例分享,4 手機盾產品與核心技術,5 手機盾銀行安全解決方案,2 安全方案設計目標,手機盾專注于解決互聯網金融的安全問題,手機盾就是用手機實現傳統U盾（USBKEY）功能的手機密碼技術，不依賴硬件密碼芯片，用軟件實現可靠的密碼設備、密碼運算和CA數字證書等全部功能，是實現移動互聯網應用安全的核心技術。手機盾互聯網金融安全系統（簡稱手機盾安全系統）就是綜合采用手機盾核心技術，以及CA數字簽名和身份認證技術、手機終端設備認證技術、用戶安全行為分析和風險控制技術等，實現銀行網絡交易安全的系統，功

10、能包括：用戶身份認證、交易確認、電子簽名、數據加密、防篡改、抗抵賴、抗電信詐騙、交易風險控制等。,用戶安全行為分析和風險控制,手機盾數字證書密碼技術身份認證 交易確認 電子簽名,移動終端設備認證,手機盾安全系統體系架構,核心技術之一：手機盾密碼設備,銀行移動客戶端,手機盾密碼管理系統后臺,密碼運算服務,應用管理,軟件密碼設備,手機盾密碼服務中間件,對外服務接口,簽名驗簽服務,證書管理,安全管理,密碼設備管理,證書管理,密鑰管理,對外服務接口,銀行業務平臺,CA系統,核心技術之一：手機盾密碼設備,手機盾密碼設備,密鑰保護,訪問控制,應用認證,用戶在移動終端上的用戶私鑰、數字證書等，需要進行安全保

11、護，確保用戶密鑰數據存儲和運算安全。,需對用戶密鑰建立訪問控制機制，確保應用經過授權之后才能訪問特定數據，防止非法應用對密鑰數據的非法訪問。,需建立移動互聯網終端應用的認證機制，對應用進行認證之后才能允許應用調用用戶數據進行操作。采用白名單制。,網絡環境、手機環境是開放的永遠都是個不可信環境，命題：要在這不可信的環境中實現可信計算可信交易！技術手段手機盾，將手機打造成具有PKI密碼設備能力的手機盾，不依賴任何硬件。,手機盾和硬件U盾的安全性對比,核心技術之一：產品資質-國密局產品型號證書、獲獎情況,1、手機盾核心技術產品“手機密碼服務平臺（SHT1301）、手機密碼服務中間件平臺（SRT130

12、1）”是國內唯一取得商用密碼產品型號證書的手機軟件實現密碼產品2、采用國產商用密碼算法：SM2、SM3、SM4，高強度、高效率、安全可靠，符合國家信息安全管理政策3、獲得2015年密碼科技進步一等獎4、通過了銀行卡檢測中心的安全檢測,核心技術之二：設備指紋,據移動終端特點采集多種軟硬件信息，并通過特定方式進行終端差異化、隨機化處理，為設備產生全球唯一ID。對設備進行標識后，通過防復制、防刷機處理等一系列技術，并由平臺簽發設備證書，可確保設備唯一性，并能對模擬器、調試修改器、攻擊框架等進行有效識別。,設備唯一ID,基于特有的模型分析，形成移動終端設備、操作系統、非法應用、惡意事件、用戶行為、時間

13、、地點、人機操作、黑產數據多個維度模型，為當前業務行為的用戶身份真實性、合法性提供風控等級判斷，并給出下一步研判建議。在調用手機盾時，識別出惡意行為，及時提示風險，通過對當前設備及用戶行為的分析返回風控安全指數，引導用戶直接認證通過、進行二次認證、甚至阻斷操作。,核心技術之三：用戶安全行為分析和風險控制,CONTENTS,誰能保證安全？,手機盾，我能,1 移動互聯網金融安全風險分析,3 移動互聯網密碼安全體系,6 案例分享,4 手機盾產品與核心技術,5 手機盾銀行安全解決方案,2 安全方案設計目標,手機盾銀行解決方案,銀行業務系統,手機銀行客戶端,以PKI/CA、數字證書、數字簽名等技術為基礎

14、，采用手機盾安全系統，建立“人-設備-應用”三位一體的安全認證體系，為手機銀行等業務提供安全支撐。,手機盾安全系統部署方案,銀行CA 認證系統,終端側,手機盾終端安全組件,Internet,銀行業務系統（手機銀行系統、網銀、）,手機盾安全中心,手機盾可支持的業務,手機銀行業務,二維碼支付業務,網銀業務,ATM業務,拓展型新業務,5.1手機盾應用于手機銀行,手機銀行通過手機盾對交易數據進行簽名認證，解決交易過程中的用戶確認、防篡改、抗抵賴等問題，在不改變用戶任何體驗的前提下，進一步增強安全性，達到和硬件U盾同等的安全級別。同時，滿足人民銀行261號文第九條對“加強銀行非柜面轉賬管理”使用數字證書

15、或電子簽名的監管合規要求。,手機盾安全中心,手機銀行,手機盾認證用戶轉賬交易請求,附加手機盾認證簽名的交易請求,驗證交易的簽名合法性,手機盾終端安全組件,手機銀行業務系統,手機銀行使用手機盾轉賬業務流程,提交支付認證請求,電子銀行業務系統/ATM服務系統,推送付款認證請求,附加用戶確認的支付信息,交易認證請求驗證,手機盾安全中心,商超掃碼付款,5.2應用于手機二維碼支付業務：收款掃碼,用戶確認付款請求，并使用手機盾認證和簽名,用戶提交轉賬信息,展示轉賬信息二維碼,掃描轉賬二維碼,附加手機盾認證和簽名請求的二維碼轉賬信息,手機銀行/手機盾終端安全組件,驗證交易簽名認證請求,手機盾安全中心,電子銀

16、行業務系統,網銀頁面,5.3應用于網銀業務場景1：二維碼掃碼轉賬,可為現有網銀支付確認方式增加一種用戶認證方案，以多種方式（如U盾、手機盾）為客戶服務，滿足用戶多樣化需求。,提交轉賬支付認證請求,電子銀行業務系統,推送轉賬支付認證請求,附加用戶確認簽名的轉賬信息,交易請求驗證,手機盾安全中心,5.3應用于網銀業務場景2：交易請求推送至手機端認證,用戶確認轉賬支付請求，并使用手機盾認證和簽名,提交無卡取款請求,ATM服務系統,推送取款認證請求,附加用戶確認簽名的取款信息,交易請求認證和簽名驗證,ATM無卡取款,手機盾安全中心,5.4應用于ATM業務：無卡取款請求推送至手機端認證,用戶確認取款請求

17、，并使用手機盾認證和簽名,提交代付認證請求,電子銀行業務系統,推送替人代付請求,用戶確認轉賬支付請求，并使用手機盾認證,附加用戶確認簽名的支付信息,交易請求認證和簽名驗證,確認支付,5.5拓展型業務互聯網場景在銀行中的應用1：代人付款,A用戶確認付款請求，并使用手機盾認證和簽名,B用戶確認付款請求，并使用手機盾認證和簽名,C用戶確認付款請求，并使用手機盾認證和簽名,5.5拓展型業務互聯網場景在銀行中的應用2：共管賬戶支付,CONTENTS,誰能保證安全？,手機盾，我能,1 移動互聯網金融安全風險分析,3 移動互聯網密碼安全體系,6 案例分享,4 手機盾產品與核心技術,5 手機盾銀行安全解決方案

18、,2 安全方案設計目標,成功案例分享-支付寶,北京創原天地科技有限公司基于手機盾產品為支付寶系統制定的客戶端交易安全方案通過了國家密碼管理局的評審，手機盾安全系統于2016年6月29日在支付寶正式上線運營。為8億多支付寶用戶提供交易安全支撐；支持iOS、Android兩大主流操作系統；不改變用戶現有體驗，不增加用戶額外操作步驟。承受住了雙11單日約1000億手機交易額的沖擊，每秒約17萬筆支付。,成功案例-支付寶使用截圖,成功案例-中國電信翼支付,手機盾已經在中國電信支付公司翼支付得到了應用，于2015年10月份上線。為翼支付用戶提供支付安全認證服務。為2億多翼支付用戶提供交易安全支撐，手機盾默認開通；支持Android、iOS兩大操作系統；用戶在支付時，會觸發手機盾認證；用戶支付密碼就是手機盾PIN碼，對用戶來說操作簡單，不增加任何操作步驟。,成功案例-中國電信翼支付使用截圖,謝謝！,電話：13901042974郵箱:網站：,