随着智能手机和移动互联网的普及,手机银行成为了金融交易的重要渠道。银行在借助手机银行提升业务效率、丰富产品形态的同时,也不得不面临随之而来的身份盗用、盗转盗刷等安全挑战。为了保障自身的业务安全、消费者的财产安全,保证手机银行App安全运行,提升交易反欺诈能力,成为了银行数字化转型的“必答题”。
为了给用户提供方便快捷的金融服务,农商银行A推出了手机银行App,并采用了“用户名口令+短信验证码”这一移动金融领域广泛采用的身份认证方式。但随着伪基站钓鱼短信、手机短信劫持木马、空中拦截等攻击方式的出现,短信验证码的安全性受到了挑战。
针对这一问题,农商银行A没有局限于“验证码安全”之上,而是直击核心的“终端安全”,提出通过建设“三个能力”,保障三个点(人、设备、应用)、两个链接(人与设备、设备与应用)的安全可信,为金融交易构建安全基座。
需求一:终端标识能力
对终端设备的标识能力是终端安全的底层技术。通过为设备生成唯一的识别码,银行的业务系统和风控系统能构建出用户身份与终端设备之间的对应关系,进而识别非常用设备登录等风险行为。
需求二:信息加密能力
手机银行客户端与服务端之间的通信(如验证码等身份认证信息)容易遭到劫持,因此必须采用密码技术对信息进行加密,同时保证密钥在移动终端这一白盒环境中被安全的存储和调用。
需求三:终端威胁感知能力
为了保障手机银行App在安全的终端环境内运行,需要对终端的安全状况进行扫描,识别手机模拟器等风险环境。