手机盾

字号:

  1 概述

  目前银行网银主要采用U盾数字证书的方式保障网银用户的登录安全和交易安全,安全强度高。但在手机银行中,普遍采用短信验证码或动态口令的认证方式,安全强度较低,无法满足手机银行的安全需要。

  CFCA移动证书应用平台通过整合手机运营商、手机厂商及银行资源,通过支持SIM卡证书、金融IC卡证书、全终端手机证书的应用发放,通过手机作为认证介质有效解决了手机银行的安全认证问题,同时可以为网上银行、ATM取现等业务提供数字签名服务,实现一证多渠道应用。CFCA移动证书应用平台,使得在移动端的电子认证服务真正达到了安全性、便捷性、经济性的统一。

  2 SIM卡证书应用方案

  2.1 整体架构

手机盾

  如上图所示:

  1. 运营商TSM:进行SIM卡的管理,安全域的创建等工作;

  2. CFCA移动证书应用平台:证书应用的发布、和银行业务系统的对接、证书信息的管理等功能;

  3. TSM前置机:和运营商的TSM平台对接,进行数据的传递、转换等工作;

  4. 银行业务系统:银行业务系统,包括:网银系统、手机银行、直销银行等;

  5. RA系统:数字证书发放系统;

  6. 证书应用前置机:和CFCA证书应用平台对接系统,有信息传递、信息加解密、数据转换等功能;

  7. 移动运营商在SIM卡中提供U盾应用(虚拟U盾);

  8. 用户在手机银行App中下载证书到虚拟U盾;

  9. 使用数字证书作为登录手机银行的身份凭证和对关键交易签名。

  2.2 U盾应用规范

  2.2.1 U盾应用架构

手机盾

  上图为SIM卡盾的整体架构图。移动运营商提供安全插件和U盾应用下载,CFCA提供U盾管理客户端和移动证书应用工具包接口,方便手机银行APP统一调用。

  2.2.2 U盾应用硬件规范

手机盾

  2.2.3 U盾管理客户端

  U盾管理客户端对SIM卡内的U盾应用进行管理。

手机盾

  2.2.4 U盾应用API接口

  U盾应用在手机平台上需提供API供APP调用,用来支撑APP实现证书下载、删除证书、数字签名/验证、加密/解密等功能。U盾应用需提供的接口有:

手机盾

  2.2.5 移动证书应用工具包接口

  为统一证书下载和应用接口,制定统一的移动证书应用工具包接口,以方便不同平台、不同SIM卡的统一调用,方便手机银行应用集成。移动证书应用工具包接口由CFCA统一定义。

手机盾

  2.2.6 U盾应用安装

  支持在SIM卡出厂时安装U盾应用,也支持通过OTA方式在SIM卡中安装U盾应用。

  2.3 签约手机银行和证书下载

  用户在银行网点申请开通手机银行时,银行柜员需咨询用户手机SIM卡是否支持证书应用,如果不支持,需提示用户更换SIM卡。

  银行柜员向用户提供手机银行APP下载地址和证书下载凭证——二维码,用户扫描下载证书。

手机盾

  2.4 手机银行证书应用

  用户将数字证书下载到SIM卡后,可使用卡内证书对资金交易进行签名,关键交易签名的流程如下:

手机盾

  2.5 手机银行证书应用

  用户通过电脑操作网上银行业务,在进行关键交易时,网银系统把重要信息转化成二维码,用户通过手机扫描二维码,可使用SIM卡内证书对重要交易进行签名,并通过手机把签名信息传输给网银后端进行验证,流程如下:

手机盾

  3 IC卡证书应用方案

  3.1 概述

  为满足金融IC卡证书多应用需求,系统方案由下面几部分内容组成:

手机盾

  3.2 业务相关系统说明

  3.2.1 CA系统

  电子认证CA系统是以PKI为技术基础的安全认证系统。PKI(公共密钥基础设施)是以密码技术为基础,为上层应用提供安全服务的基础设施,CA是其核心部件,它是通过为使用者签发数字证书和管理数字证书来支持业务系统在安全方面的应用。PKI系统主要包括签发子系统(CA)、密钥管理子系统(KMC)、注册子系统(RA)和证书发布系统等。

  CA系统部署在CFCA,由CFCA运维、管理,银行可以通过证书预植系统连接CA,进行证书的发放等操作。

  1、CA体系结构图

手机盾

  2、证书类型

  金融IC卡的用户群体是个人,故所发证书是个人普通证书。

  3.2.2 金融IC卡

  卡片结构图

手机盾

  说明:

  · 金融IC卡是由商业银行发行的,采用集成电路技术,遵循国家金融行业标准,具有消费信用、转账结算、现金存取全部或部分金融功能,可以具有其他商业服务和社会管理功能的金融工具;

  · 遵循PBOC3.0的标准;

  · 金融IC卡从通信方式看,可以分为接触式卡和非接触式卡,以及接触+非接触的双界面卡,该方案中建议使用双界面卡;

  · 金融IC卡中有数字证书应用区域,可以通过专用设备下载证书,外面应用可以使用该数字证书进行签名等操作。

  3.2.3 证书发放系统

  为了在金融IC卡中方便地使用证书,证书的发放可有两种发放模式:

  · 基于SIM卡的模式,可以通过空中下载的方式下载证书;

  · 基于IC卡的模式可采用证书预制方式为银行提供IC卡制证业务。

手机盾

  3.2.4 手机银行应用IC卡证书的模式

手机盾

  1. 用户通过手机下载手机银行客户端程序,并且安装;

  2. 用户打开手机银行程序,登录手机银行;

  3. 在关键交易时,用手机的NFC功能感应金融IC卡,使用IC卡中的证书做数字签名;

  4. 签名完成后,手机客户端把签名结果发送到后台系统进行验证。

  要求

  1. 用户使用的移动设备要支持NFC功能;

  2. 金融IC卡支持非接触功能。

  3.3 业务流程

  通过手机开通金融IC卡业务:

  通过手机开通金融IC卡的业务,需要用手机的NFC功能读取金融IC卡,并输入实名信息(如姓名、身份证号码、本人手机号码等)进行持卡人实名验证。验证通过后,金融IC卡才可以正式开通使用。

  具体步骤如下:

  1. 用户到银行柜面进行金融IC卡的申请,申请成功后银行给用户发放金融IC卡,并且做证书和用户信息的绑定;

  2. 持卡人用手机下载手机银行客户端程序,并安装;

  3. 用户登录指定注册服务器;

  4. 服务器要求手机读取金融IC卡的信息,包括:证书信息、用户信息等;

  5. 服务器验证客户端所读取的信息。如果验证成功,则进入下一步;如果验证失败,则注册失败;

  6. 验证IC卡是否已经和用户信息绑定。如果验证成功,则注册完成;如果验证失败,则进入下一步;

  7. 注册完成。

  交易签名流程:

手机盾

  4 方案特点

  · 易管理:通过CFCA的移动证书应用平台可方便接入运营商的TSM、银行的业务系统,能够有效管理SIM卡、金融IC卡等设备的证书应用;

  · 安全性:密钥存储于SIM卡、金融IC卡、蓝牙手环可穿戴设备中,不可导出,安全性高;

  · 便捷性:通过手机可实现一证多渠道应用;

  · 费用低:目前网银使用的USBKey费用比较高,而复用SIM卡、金融IC卡等现有设备可大幅降低使用成本;

  · 合规性:符合《中国人民共和国电子签名法》的要求;符合人民银行《网上银行系统安全通用规范》要求。