5G時(shí)代，銀行和網(wǎng)點(diǎn)的整體網(wǎng)絡(luò)架構(gòu)信息化架構(gòu)已經(jīng)發(fā)生了變化，也帶了相應(yīng)的安全難題。在以“5G賦能互聯(lián)，點(diǎn)亮未來之光”為主題的2020北京互聯(lián)網(wǎng)大會(huì)上，梆梆安全解決方案部總監(jiān)張晉分享了對(duì)5G賦能金融行業(yè)創(chuàng)新應(yīng)用中安全問題的思考。

5G推動(dòng)銀行基礎(chǔ)架構(gòu)全面升級(jí)

5G定義了三類典型應(yīng)用場(chǎng)景，而智慧網(wǎng)點(diǎn)的應(yīng)用則基本涵蓋了這三類場(chǎng)景。如何解決終端安全、數(shù)據(jù)安全、身份可信等，是5G時(shí)代需要面臨的問題。張晉表示：“3GPP從R15開始研究5G安全架構(gòu)及安全技術(shù)，因此，在5G核心網(wǎng)獨(dú)立組網(wǎng)的前提下，5G網(wǎng)絡(luò)本身是安全的，但5G賦能的不同業(yè)務(wù)場(chǎng)景仍然存在風(fēng)險(xiǎn)，我們談5G安全，就不可能脫離具體場(chǎng)景”。

5G推動(dòng)銀行基礎(chǔ)架構(gòu)全面升級(jí)，在5G智慧網(wǎng)點(diǎn)中，端側(cè)是各類智能設(shè)備，邊緣是算力，使智慧網(wǎng)點(diǎn)可以借由不同終端實(shí)現(xiàn)更多的業(yè)務(wù)，云端則是各大銀行的數(shù)據(jù)中心，對(duì)不同業(yè)務(wù)數(shù)據(jù)進(jìn)行處理。但新業(yè)態(tài)帶來了新問題，終端接入需要解決可信問題，同時(shí)，需要對(duì)身份進(jìn)行校驗(yàn)，對(duì)接入權(quán)限進(jìn)行細(xì)粒度管控，云端則要解決數(shù)據(jù)隱私和使用權(quán)限等問題。

在數(shù)據(jù)安全存儲(chǔ)方面，可以通過區(qū)塊鏈技術(shù)實(shí)現(xiàn)數(shù)據(jù)的上鏈存儲(chǔ)。張晉談道：“目前實(shí)現(xiàn)全區(qū)塊鏈化是不太現(xiàn)實(shí)的，主要的問題在于不管是以太坊，還是以EOS為代表的區(qū)塊鏈3.0，在TPS（每秒交易量）上都存在效率低的問題，所以海量終端的接入不能通過區(qū)塊鏈解決身份認(rèn)證的問題，建議通過零信任模型來實(shí)現(xiàn)。”

在終端可信方面，梆梆安全跟中移動(dòng)物聯(lián)網(wǎng)公司攜手進(jìn)行研究，將終端設(shè)備中的SIM卡作為存儲(chǔ)可信根（RoT）的介質(zhì)。實(shí)現(xiàn)終端可信、環(huán)境可信、安全啟動(dòng)、安全升級(jí)等功能。

通過區(qū)塊鏈等技術(shù)保障業(yè)務(wù)安全

針對(duì)5G+智慧網(wǎng)點(diǎn)的安全問題，梆梆安全通過對(duì)區(qū)塊鏈物聯(lián)網(wǎng)（BoT）、SDP、SE-SIM、白盒密鑰等技術(shù)研究針對(duì)性的方案。

區(qū)塊鏈具有不可篡改、安全可追溯等特點(diǎn)，梆梆安全在做區(qū)塊鏈物聯(lián)網(wǎng)領(lǐng)域的研究，對(duì)整體安全架構(gòu)、設(shè)備/數(shù)據(jù)如何安全上鏈等進(jìn)行持續(xù)探索。通過DID（分布式身份認(rèn)證）、DPKI（分布式公鑰基礎(chǔ)設(shè)施）等解決終端上鏈問題。張晉介紹道：“借助區(qū)塊鏈的去中心化，能夠降低中心化架構(gòu)的運(yùn)維成本。區(qū)塊鏈通過哈希鏈及共識(shí)算法，提供了數(shù)據(jù)永久保存及防篡改特性，可以有效地輔助物聯(lián)網(wǎng)解決各類安全問題。”

當(dāng)前，主流的遠(yuǎn)程接入方式是VPN，但VPN很難對(duì)不同用戶在權(quán)限方面提供精細(xì)化管理，傳統(tǒng)VPN面臨挑戰(zhàn)，為此梆梆安全引入了SDP。SDP“基于用戶角色的訪問策略”、“分離訪問控制和數(shù)據(jù)信道”、“先驗(yàn)證后連接”等特性，能夠有效解決身份驗(yàn)證、訪問控制等問題。

當(dāng)前，物聯(lián)網(wǎng)智能終端設(shè)備大多通過接入物聯(lián)網(wǎng)卡進(jìn)行聯(lián)網(wǎng)。梆梆安全基于SIM卡環(huán)境，為身份憑證、私鑰證書、以及應(yīng)用相關(guān)接口代碼等重要信息和代碼提供載體，實(shí)現(xiàn)終端的可信、身份的可信、啟動(dòng)環(huán)境的可信以及安全的升級(jí)操作等功能。同時(shí)，梆梆安全也基于白盒密鑰技術(shù)，為涉及加解密的服務(wù)提供白盒化保護(hù)，為算法和密鑰提供高強(qiáng)度保護(hù)，保障密碼服務(wù)的安全性。張晉提到：“終端及應(yīng)用均處于白盒環(huán)境，攻擊者可使用調(diào)試工具對(duì)終端設(shè)備發(fā)起攻擊，在反編譯后的程序中尋找加密算法，在運(yùn)行時(shí)的內(nèi)存中尋找密鑰進(jìn)行破解，如何保障密鑰安全，是白盒密鑰要解決的問題?！?br />
安全是開放的前提

除了智慧網(wǎng)點(diǎn)，5G賦能金融行業(yè)的另一個(gè)典型場(chǎng)景是開放銀行。目前開放銀行主要通過SDK、H5和API三種技術(shù)方式連接銀行端和場(chǎng)景端，使金融場(chǎng)景、泛金融服務(wù)形成了統(tǒng)一的生態(tài)，但開放的接口，也帶來了相應(yīng)的安全問題。

安全是開放的前提。梆梆安全認(rèn)為，未來的開放銀行業(yè)務(wù)將更多采用API的對(duì)外接口方式，梆梆安全提出要從技術(shù)風(fēng)險(xiǎn)、監(jiān)管合規(guī)、隱私與數(shù)據(jù)安全等角度對(duì)API進(jìn)行全生命周期的管理。使用令牌技術(shù)建立API接口的可信身份，實(shí)現(xiàn)對(duì)服務(wù)和數(shù)據(jù)資源等進(jìn)行訪問控制；使用加密和數(shù)字簽名技術(shù)，保證數(shù)據(jù)傳輸與使用安全。使用檢測(cè)嗅探器對(duì)API進(jìn)行安全檢測(cè)，實(shí)時(shí)追蹤API是否被非法攻擊以及漏洞被利用；使用API安全網(wǎng)關(guān)控制和管理API接口的使用情況，通過對(duì)API接口的訪問頻率進(jìn)行限制，避免API出現(xiàn)被攻擊或拒絕服務(wù)等情況。

另外，起源于姚期智教授“百萬富翁問題”的安全多方計(jì)算具有輸入隱私性、計(jì)算正確性以及去中心化特征，能使數(shù)據(jù)既保持隱私又能被使用。在開放銀行需要開放數(shù)據(jù)進(jìn)行聯(lián)合分析、數(shù)據(jù)查詢、可信交換等場(chǎng)景下，提供了一種新的計(jì)算模式，一方面可以充分實(shí)現(xiàn)數(shù)據(jù)持有節(jié)點(diǎn)間互聯(lián)合作，另一方面又可以保證信息的安全性。
責(zé)任編輯：tzh