7月30日晚，由北京金融科技產業聯盟、移動支付網聯合舉辦的《金融科技大講堂》第十一期開播，中國金融認證中心(CFCA)安全產品負責人魯欣以《金融盾標準2020版解讀》為主題帶來了分享。

金融盾標準2020版出臺背景

2017年8月8日，《移動終端安全金融盾規范》（以下簡稱《規范》）正式發布，開啟了金融盾的產業化發展之路。

金融盾服務是指在移動終端上實現基于硬件的、交互的、數字證書的電子認證服務，主要由移動終端硬件及金融盾服務應用構成。金融盾服務可在金融機構的手機銀行、支付應用、網上銀行等金融業務中使用，以及其他有高安全性要求的非金融業務中使用。

《規范》為金融盾的研究和應用落地提供了強有力的支持，在建設銀行、中國銀行、農業銀行、徽商銀行、渤海銀行、蘭州銀行在內的多家銀行試點和應用了金融盾產品。

經過近三年的發展，在移動終端安全金融盾項目的推廣和應用下，市場需求逐漸發生變化，加上移動安全產品的創新升級，金融機構對金融盾服務系統建設的復雜性、終端普及度提出了更高的要求。經市場調研顯示，應用場景的多樣性需求增加，不同型號的移動終端對金融盾安全方案兼容提出了新的要求，同時，新出臺相關監管要求需要通過新版標準推動落地實施。

為此，2019年5月，北京金融科技產業聯盟通過了《移動終端安全金融盾規范》團體修訂立項提案。2020年4月29日，《移動終端安全金融盾規范》（T/BFIA 001—2020）正式發布。

金融盾標準2020版的內容解讀

新版《規范》的修訂滿足了市場對金融安全產品的四大需求。第一合規性，《規范》滿足《中國人民銀行辦公廳關于加強條碼支付安全管理的通知》（銀辦發〔2017〕242號）掃碼支付的要求，符合《移動終端支付可信環境技術規范》（JR/T 0156—2017）對移動終端可信環境安全能力的級別定義，并完全滿足《中華人民共和國電子簽名法》的安全要求；第二普適性，新版內容的更新提出了輕量化金融盾SE方案以及增補金融盾TEE方案，支持華為、三星、小米、OPPO、vivo等更多品牌的終端設備；第三體驗升級，除了改進界面和交互之外還增加了對指紋、人臉、虹膜等本地生物識別認證的支持；第四更易實施，新版內容讓金融盾的接入更靈活，并兼容PKI電子認證后臺系統。

對于輕量化SE方案，《規范》細分了密鑰管理、證書管理、用戶PIN、敏感數據、訪問控制等5大類12項，其中與輕量化SE方案以及金融盾業務安全強相關的主要是私鑰、PIN以及私鑰所衍生出來的對稱密鑰。

通常而言，采用TEE+SE安全能力的金融盾產品，安全應用運行在SE中且只接受TEE的安全訪問。安全應用提供密碼服務，包括實現簽名密鑰的生成和私鑰存儲、實現PIN碼管理功能、實現交易信息的簽名功能等。

但對于金融盾TEE方案，規范了在沒有SE的安全能力情況下，將密碼服務從SE轉移到TEE的技術要求。

根據移動終端支付可信環境不同能力級別，金融盾在商業銀行的實現方式可分為：1、終端能夠提供SE安全能力，建議由SE提供密碼服務功能，即TEE+SE方式實現金融盾；2、終端不能提供SE安全能力，則應由TEE提供密碼服務功能，即TEE方式實現金融盾。

商業銀行在本行和跨行轉賬、單筆和批量轉賬、對私和對公轉賬、投資理財、生活服務、跨境匯款等業務場景中，可以金融盾TEE實現或TEE+SE實現方式作為賬戶風險分級管控的主要因素，輔以其他風險管控手段，提供商業銀行賬戶管理風險管控能力，從源頭上遏制更多違法犯罪行為的發生。

移動金融安全產品展望

目前，市面上存在著各式各樣的移動金融安全產品，包括口令、短信驗證碼、藍牙Key、FIDO/IFAA認證、SIM盾、協同簽名、手機盾、IC卡等等。

那么如何做到移動端電子簽名的安全性結合生物識別的便捷性，是需要考慮的問題。而金融盾標準提供了解決辦法，達到了安全與便捷的平衡統一。

最后，嘉賓與觀眾就部分問題進行了交流，比如金融盾的跨平臺問題以及用戶接受度問題。魯欣表示，正是由于普適性問題所以才在新版的規范中加入了輕量化的SE方案以及非SE終端的TEE方案，以讓更多的產業方加入到金融盾的應用中，這樣也才能變向解決跨平臺的問題。而用戶接受度方面，在解決了兼容性和普適性問題之后，就需要整個產業共同努力，改善產品體驗、拓展應用場景。

其他精彩內容歡迎請關注直播回看：