手機盾

字號:

  1 概述

  目前銀行網銀主要采用U盾數字證書的方式保障網銀用戶的登錄安全和交易安全,安全強度高。但在手機銀行中,普遍采用短信驗證碼或動態口令的認證方式,安全強度較低,無法滿足手機銀行的安全需要。

  CFCA移動證書應用平臺通過整合手機運營商、手機廠商及銀行資源,通過支持SIM卡證書、金融IC卡證書、全終端手機證書的應用發放,通過手機作為認證介質有效解決了手機銀行的安全認證問題,同時可以為網上銀行、ATM取現等業務提供數字簽名服務,實現一證多渠道應用。CFCA移動證書應用平臺,使得在移動端的電子認證服務真正達到了安全性、便捷性、經濟性的統一。

  2 SIM卡證書應用方案

  2.1 整體架構

手機盾

  如上圖所示:

  1. 運營商TSM:進行SIM卡的管理,安全域的創建等工作;

  2. CFCA移動證書應用平臺:證書應用的發布、和銀行業務系統的對接、證書信息的管理等功能;

  3. TSM前置機:和運營商的TSM平臺對接,進行數據的傳遞、轉換等工作;

  4. 銀行業務系統:銀行業務系統,包括:網銀系統、手機銀行、直銷銀行等;

  5. RA系統:數字證書發放系統;

  6. 證書應用前置機:和CFCA證書應用平臺對接系統,有信息傳遞、信息加解密、數據轉換等功能;

  7. 移動運營商在SIM卡中提供U盾應用(虛擬U盾);

  8. 用戶在手機銀行App中下載證書到虛擬U盾;

  9. 使用數字證書作為登錄手機銀行的身份憑證和對關鍵交易簽名。

  2.2 U盾應用規范

  2.2.1 U盾應用架構

手機盾

  上圖為SIM卡盾的整體架構圖。移動運營商提供安全插件和U盾應用下載,CFCA提供U盾管理客戶端和移動證書應用工具包接口,方便手機銀行APP統一調用。

  2.2.2 U盾應用硬件規范

手機盾

  2.2.3 U盾管理客戶端

  U盾管理客戶端對SIM卡內的U盾應用進行管理。

手機盾

  2.2.4 U盾應用API接口

  U盾應用在手機平臺上需提供API供APP調用,用來支撐APP實現證書下載、刪除證書、數字簽名/驗證、加密/解密等功能。U盾應用需提供的接口有:

手機盾

  2.2.5 移動證書應用工具包接口

  為統一證書下載和應用接口,制定統一的移動證書應用工具包接口,以方便不同平臺、不同SIM卡的統一調用,方便手機銀行應用集成。移動證書應用工具包接口由CFCA統一定義。

手機盾

  2.2.6 U盾應用安裝

  支持在SIM卡出廠時安裝U盾應用,也支持通過OTA方式在SIM卡中安裝U盾應用。

  2.3 簽約手機銀行和證書下載

  用戶在銀行網點申請開通手機銀行時,銀行柜員需咨詢用戶手機SIM卡是否支持證書應用,如果不支持,需提示用戶更換SIM卡。

  銀行柜員向用戶提供手機銀行APP下載地址和證書下載憑證——二維碼,用戶掃描下載證書。

手機盾

  2.4 手機銀行證書應用

  用戶將數字證書下載到SIM卡后,可使用卡內證書對資金交易進行簽名,關鍵交易簽名的流程如下:

手機盾

  2.5 手機銀行證書應用

  用戶通過電腦操作網上銀行業務,在進行關鍵交易時,網銀系統把重要信息轉化成二維碼,用戶通過手機掃描二維碼,可使用SIM卡內證書對重要交易進行簽名,并通過手機把簽名信息傳輸給網銀后端進行驗證,流程如下:

手機盾

  3 IC卡證書應用方案

  3.1 概述

  為滿足金融IC卡證書多應用需求,系統方案由下面幾部分內容組成:

手機盾

  3.2 業務相關系統說明

  3.2.1 CA系統

  電子認證CA系統是以PKI為技術基礎的安全認證系統。PKI(公共密鑰基礎設施)是以密碼技術為基礎,為上層應用提供安全服務的基礎設施,CA是其核心部件,它是通過為使用者簽發數字證書和管理數字證書來支持業務系統在安全方面的應用。PKI系統主要包括簽發子系統(CA)、密鑰管理子系統(KMC)、注冊子系統(RA)和證書發布系統等。

  CA系統部署在CFCA,由CFCA運維、管理,銀行可以通過證書預植系統連接CA,進行證書的發放等操作。

  1、CA體系結構圖

手機盾

  2、證書類型

  金融IC卡的用戶群體是個人,故所發證書是個人普通證書。

  3.2.2 金融IC卡

  卡片結構圖

手機盾

  說明:

  · 金融IC卡是由商業銀行發行的,采用集成電路技術,遵循國家金融行業標準,具有消費信用、轉賬結算、現金存取全部或部分金融功能,可以具有其他商業服務和社會管理功能的金融工具;

  · 遵循PBOC3.0的標準;

  · 金融IC卡從通信方式看,可以分為接觸式卡和非接觸式卡,以及接觸+非接觸的雙界面卡,該方案中建議使用雙界面卡;

  · 金融IC卡中有數字證書應用區域,可以通過專用設備下載證書,外面應用可以使用該數字證書進行簽名等操作。

  3.2.3 證書發放系統

  為了在金融IC卡中方便地使用證書,證書的發放可有兩種發放模式:

  · 基于SIM卡的模式,可以通過空中下載的方式下載證書;

  · 基于IC卡的模式可采用證書預制方式為銀行提供IC卡制證業務。

手機盾

  3.2.4 手機銀行應用IC卡證書的模式

手機盾

  1. 用戶通過手機下載手機銀行客戶端程序,并且安裝;

  2. 用戶打開手機銀行程序,登錄手機銀行;

  3. 在關鍵交易時,用手機的NFC功能感應金融IC卡,使用IC卡中的證書做數字簽名;

  4. 簽名完成后,手機客戶端把簽名結果發送到后臺系統進行驗證。

  要求

  1. 用戶使用的移動設備要支持NFC功能;

  2. 金融IC卡支持非接觸功能。

  3.3 業務流程

  通過手機開通金融IC卡業務:

  通過手機開通金融IC卡的業務,需要用手機的NFC功能讀取金融IC卡,并輸入實名信息(如姓名、身份證號碼、本人手機號碼等)進行持卡人實名驗證。驗證通過后,金融IC卡才可以正式開通使用。

  具體步驟如下:

  1. 用戶到銀行柜面進行金融IC卡的申請,申請成功后銀行給用戶發放金融IC卡,并且做證書和用戶信息的綁定;

  2. 持卡人用手機下載手機銀行客戶端程序,并安裝;

  3. 用戶登錄指定注冊服務器;

  4. 服務器要求手機讀取金融IC卡的信息,包括:證書信息、用戶信息等;

  5. 服務器驗證客戶端所讀取的信息。如果驗證成功,則進入下一步;如果驗證失敗,則注冊失敗;

  6. 驗證IC卡是否已經和用戶信息綁定。如果驗證成功,則注冊完成;如果驗證失敗,則進入下一步;

  7. 注冊完成。

  交易簽名流程:

手機盾

  4 方案特點

  · 易管理:通過CFCA的移動證書應用平臺可方便接入運營商的TSM、銀行的業務系統,能夠有效管理SIM卡、金融IC卡等設備的證書應用;

  · 安全性:密鑰存儲于SIM卡、金融IC卡、藍牙手環可穿戴設備中,不可導出,安全性高;

  · 便捷性:通過手機可實現一證多渠道應用;

  · 費用低:目前網銀使用的USBKey費用比較高,而復用SIM卡、金融IC卡等現有設備可大幅降低使用成本;

  · 合規性:符合《中國人民共和國電子簽名法》的要求;符合人民銀行《網上銀行系統安全通用規范》要求。 

一零计划和明日方舟