5G推动银行基础架构全面升级
5G定义了三类典型应用场景,而智慧网点的应用则基本涵盖了这三类场景。如何解决终端安全、数据安全、身份可信等,是5G时代需要面临的问题。张晋表示:“3GPP从R15开始研究5G安全架构及安全技术,因此,在5G核心网独立组网的前提下,5G网络本身是安全的,但5G赋能的不同业务场景仍然存在风险,我们谈5G安全,就不可能脱离具体场景”。
5G推动银行基础架构全面升级,在5G智慧网点中,端侧是各类智能设备,边缘是算力,使智慧网点可以借由不同终端实现更多的业务,云端则是各大银行的数据中心,对不同业务数据进行处理。但新业态带来了新问题,终端接入需要解决可信问题,同时,需要对身份进行校验,对接入权限进行细粒度管控,云端则要解决数据隐私和使用权限等问题。
在数据安全存储方面,可以通过区块链技术实现数据的上链存储。张晋谈道:“目前实现全区块链化是不太现实的,主要的问题在于不管是以太坊,还是以EOS为代表的区块链3.0,在TPS(每秒交易量)上都存在效率低的问题,所以海量终端的接入不能通过区块链解决身份认证的问题,建议通过零信任模型来实现。”
在终端可信方面,梆梆安全跟中移动物联网公司携手进行研究,将终端设备中的SIM卡作为存储可信根(RoT)的介质。实现终端可信、环境可信、安全启动、安全升级等功能。
通过区块链等技术保障业务安全
针对5G+智慧网点的安全问题,梆梆安全通过对区块链物联网(BoT)、SDP、SE-SIM、白盒密钥等技术研究针对性的方案。
区块链具有不可篡改、安全可追溯等特点,梆梆安全在做区块链物联网领域的研究,对整体安全架构、设备/数据如何安全上链等进行持续探索。通过DID(分布式身份认证)、DPKI(分布式公钥基础设施)等解决终端上链问题。张晋介绍道:“借助区块链的去中心化,能够降低中心化架构的运维成本。区块链通过哈希链及共识算法,提供了数据永久保存及防篡改特性,可以有效地辅助物联网解决各类安全问题。”
当前,主流的远程接入方式是VPN,但VPN很难对不同用户在权限方面提供精细化管理,传统VPN面临挑战,为此梆梆安全引入了SDP。SDP“基于用户角色的访问策略”、“分离访问控制和数据信道”、“先验证后连接”等特性,能够有效解决身份验证、访问控制等问题。
当前,物联网智能终端设备大多通过接入物联网卡进行联网。梆梆安全基于SIM卡环境,为身份凭证、私钥证书、以及应用相关接口代码等重要信息和代码提供载体,实现终端的可信、身份的可信、启动环境的可信以及安全的升级操作等功能。同时,梆梆安全也基于白盒密钥技术,为涉及加解密的服务提供白盒化保护,为算法和密钥提供高强度保护,保障密码服务的安全性。张晋提到:“终端及应用均处于白盒环境,攻击者可使用调试工具对终端设备发起攻击,在反编译后的程序中寻找加密算法,在运行时的内存中寻找密钥进行破解,如何保障密钥安全,是白盒密钥要解决的问题。”
安全是开放的前提
除了智慧网点,5G赋能金融行业的另一个典型场景是开放银行。目前开放银行主要通过SDK、H5和API三种技术方式连接银行端和场景端,使金融场景、泛金融服务形成了统一的生态,但开放的接口,也带来了相应的安全问题。
安全是开放的前提。梆梆安全认为,未来的开放银行业务将更多采用API的对外接口方式,梆梆安全提出要从技术风险、监管合规、隐私与数据安全等角度对API进行全生命周期的管理。使用令牌技术建立API接口的可信身份,实现对服务和数据资源等进行访问控制;使用加密和数字签名技术,保证数据传输与使用安全。使用检测嗅探器对API进行安全检测,实时追踪API是否被非法攻击以及漏洞被利用;使用API安全网关控制和管理API接口的使用情况,通过对API接口的访问频率进行限制,避免API出现被攻击或拒绝服务等情况。
另外,起源于姚期智教授“百万富翁问题”的安全多方计算具有输入隐私性、计算正确性以及去中心化特征,能使数据既保持隐私又能被使用。在开放银行需要开放数据进行联合分析、数据查询、可信交换等场景下,提供了一种新的计算模式,一方面可以充分实现数据持有节点间互联合作,另一方面又可以保证信息的安全性。