民生银行对内对外的身份安全建设实践

中国民生银行是中国第一家主要由民营企业发起设立的全国性股份制商业银行。成立 23 年来，拥有分支机构 2800 家，员工超 5.8 万人。分支网点众多，人员组成复杂，业务系统多样是银行业的典型特点，民生银行也不例外。

之前，网上银行业务的安全大多依赖基于数字证书的 PC 端安全解决方案。近年，随着手机银行业务的快速发展，“用户名+口令+短信验证码” 的身份认证方式被广泛应用。传统基于数字证书的安全方案虽然成熟，但无法有效应对诸如伪基站钓鱼短信、短信劫持木马等移动设备侧带来的安全威胁。

基于对经典白盒密码算法改进，以及设备指纹服务 (DFS)、终端安全环境 (SEE) 等技术的引入，民生银行与芯盾时代的合作从 2017 年的 “密盾” 项目开始，迄今已在多个应用场景进行项目合作。

安全牛在近期，就密盾、持续自适应认证 (ECP) 项目的概况，采访了中国民生银行信息科技部安全运营中心负责人虞刚，并结合案例相关的产品技术内容，将民生银行对业务安全理解和实践整理如下。

一、密盾的三大应用场景

2016 年 7 月，中国人民银行发布的《中国人民银行关于进一步加强银行卡风险管理的通知》中明确要求各商业银行、支付机构、卡清算机构，从强化客户端软件安全管理、加强业务开通身份认证安全管理、提升支付交易安全强度、加强互联网交易风险监控、加大支付风险联动防控力度五方面，加大对银行卡互联网交易的风险防控力度。

中国民生银行在上述方面的具体实践，就是密盾项目。

密盾项目有三个主要应用场景，分别是手机银行、内部员工的统一认证，以及柜面终端的身份认证。

• 手机银行

移动互联网、移动支付的流行，手机银行也开始承载着诸如转账、开卡等多种业务。特别是每天总额低于 20 万的转账，虞刚介绍，是民生银行重要的高频交易场景（可覆盖近一半的转账需求）。如何有效、尽可能低成本、且最小化对用户体验产生影响的确认身份，并保障其不被滥用，是民生银行身份安全工作的关键。

之前，手机银行对用户身份的认证主要采用短信验证码的方式。这本质是认证交易请求和预留手机号（机主）的匹配关系。作为银行不可控的智能终端，短信验证码在用户的接收和提交过程中可能面临多种威胁，例如短信监听、手机被恶意软件劫持、仿冒 app、伪基站钓鱼短信等。如果仅以短信验证码作为单一验证方式，无疑用户会暴露在诸多风险中。而根据用户和交易情况（如交易额度），增加预设的认证方式（额度过大的需要硬件密钥），又会让安全工作不得不平衡和用户体验的矛盾，让一方做出妥协。

对于民生银行的手机银行而言，密盾的核心价值在于可以通过一次混合多种认证方式的强认证，实现用户身份与智能手机长期有效的强绑定。同时，基于优化后的白盒加密算法，保障交易通信的安全性。这不仅规避了依赖短信验证码单一认证方式所带来的风险，通过保障认证环节将交易风控前置；此外还节省了民生银行短信流量成本，保证了用户在手机银行后续交易的体验。

手机银行是银行重要的 to C 场景，与之相对应的是银行对内部员工认证管理需求。

• 内部员工的统一认证管理

据了解，民生银行内部员工的身份管理从 2013 年就已经开始做，总行-支行-部门,从上至下。但作为员工总数已经超 5.8 万人的企业，无论是用于办公系统登录的虚拟身份还是诸如门禁等具体实体体现的物理身份，这样庞大繁杂的身份体系，都需要一个统一、支持多种方式、同样安全效果的身份认证管理能力作为支撑。这也是密盾项目的重要初衷和目标之一。

2013 年，对应的还有民生银行内部的统一安保平台。但当时，据虞刚回忆，无论是加密还是认证，都是较为分散的，并不方便管理；技术层面也较为单一，并没有顾及到实际体验；同时，身份、行为等数据在设计之初也都没有做好收集、利用的准备。

2017 年开始合作的密盾项目，是 2018 年民生银行安保平台 2.0 的伏笔，也是重要能力支撑。

在密盾 APP 上线前，行内员工的身份认证主要采用静态口令、短信验证、一次性口令 (OTP) 等方式。安全性，体验，还有成本，每种认证方式都有难以忽视的短板。

据虞刚介绍，与手机银行类似，密盾 APP 也是通过初始化的强认证方式，将员工 OA 的登录凭证、终端设备（手机）等信息绑定。并基于白盒加密，将员工手机转换为安全的身份认证工具，保证认证设备的合法性和唯一性。密盾 APP 的另一重要价值就是对多种认证方式的支持，例如动态口令、扫码、人脸、指纹、正在实施的声纹等，这保证了员工在认证过程中便捷、几乎无感知的体验。但是，密盾 APP 只是认证优化的第一道门槛，实现动态、持续自适应的认证，正是安保平台 2.0 的重要目标。

除了员工外，内部的身份认证还包括柜面终端的安全。这个角度经常会被忽视。

• 柜面终端的安全管理

民生银行在柜面终端的安全上，之前主要是基于硬件的终端加密模块，对包含敏感信息的通信内容进行加密。特定的硬件通信设备，也从侧面实现了身份的唯一性。但是，既然是硬件设备，而且又是每台柜面机必备，所以在日常运维、业务开拓会伴随大量的安全硬件开支。数千台的柜面终端，就是近千万的开销。各分行在密盾项目实施前，都面临设备老旧、替代成本高等困难。

此外，加密硬件模块更多的实现通信安全，以及终端设备的认证，而无法认证使用者，即对内部人员的违规使用和欺诈行为，无论是防范还是追查，都较为吃力。

利用密盾项目中增强的白盒加密技术，通过在系统层构建柜面终端安全、可信的执行环境，民生银行逐步实现了加密硬件模块的替换。这不仅可以实现同样效力的通信安全，而且大幅节约了硬件安全模块采购、更新以及运维成本。同时，结合设备指纹技术和密盾APP对员工多种身份认证方式的支持，确保了柜面终端和使用者身份的合法性，实现降本增效。

二、关键能力：白盒加密与设备指纹

从技术能力角度来看，民生银行和芯盾时代在密盾项目的合作，纯软件实现的白盒加密技术，以及设备指纹技术，是密盾能力构建的关键。

首先介绍下白盒密码算法。

简单概括，相对于黑盒加密，白盒加密的优势在于，即使加密过程完全对攻击者可见，攻击者也无法重现运算过程中的密钥。

加密算法的重要意义在于保护通信密钥（通过设备指纹产生）存储和运算过程的安全性。在安全状况未知的个人移动端设备上，加密算法的安全性至关重要。

密盾项目所采用的白盒算法，是通过查表运算代替数学运算来表达密钥参与的运算过程，并获得运算结果，借此来隐藏密钥。由于计算过程中只进行二进制数据查找，内存中不出现原始密钥、密码算法，所以内存窥探、静态分析等均无法获取原始密钥和密码算法的细节。

此外，此次密盾项目的合作还从非静态随机生成（对生成规则随机化处理，使对查找表攻击不可行）、非线性随机查找（单一终端破解不会影响其它白盒）、可证明的算法安全性（使用 AES 算法）、配合相关机制（设备指纹、大数据分析、终端安全执行环境）这四方面对经典的白盒算法能力进行了增强，通过系统层的集成，增强安全性。此外，软件实现的特性，相较于依赖硬件密钥的方法，更能满足对边界、易用和成本的要求。

白盒密码保证对篡改、逆向等攻击有更强的抵抗能力，设备指纹技术则帮助确保设备的唯一性。

白盒算法所保护的通信密钥，是基于设备指纹技术，结合 SIM 卡、APP、时间、生物信息等多种因素生成用户唯一的数字凭证。密钥的生成、更新、失效都与之相关。同时，每台设备生成密钥的算法机制是不一样的，这样就在防止破译上增加了保障。

与常规仅采集系统表面的特征值（如 IMEI、IMSA、 MAC 地址等）不同，密盾所采用的设备指纹技术，是通过手机内核层和驱动层特征，采集终端更加完整且无法通过操作系统层伪造的信息，并结合相似度模型，为设备生成确保唯一性的设备指纹 ID，抑制冲突率和漂移率。同时，通过对终端机型、操作系统等环境的适配，在极端条件下（如修改器改串号、系统升级、刷机等），设备指纹技术仍能保证识别的稳定性，基于海量设备信息库和深度学习找出真实设备的参数信息，进而快速识别仿冒行为。

三、”持续自适应认证“是后续方向

如果说密盾项目是民生银行在身份认证领域的能力载体，那么 2.0 版的安保平台则将其囊括其中，并提供了更多底层能力的支撑。

作为民生银行信息科技近三年规划内容一部分，安保平台 2.0 担负着重要角色。更强的可扩展性，更高的性能，应用行内自研的分布式架构……这些自不必说；对原来相对分散的系统、数据，也会有更多的体系化、规范化管理。这不仅包括安全供应商基于 2.0 安保平台的二次开发和一体化运营，还包括更多安全数据的收集、分析和利用，甚至融合到业务层面。

如何实现员工和客户的统一身份认证并提供一致的安全保障，更好的实现 “智能化” 目标——挖掘数据的关联性并自适应地选择认证方式，是安保平台 2.0 在身份这个领域要解决的核心问题。

理想情况，是要确保用户线上线下的身份体验要一致；内部员工，无论是机构出入还是系统登录，要实现一个工具全行通用。这不仅需要第三方供应商的支持，银行内部的疏通工作也很重要。

密盾项目也基于安保平台 2.0 的目标，在 2018 年进行了优化，包括对更多认证方式的支持、集成工会系统多种功能、扩展了其它系统对密盾调用的接口等等。

此外，对于 CARTA（持续自适应风险与信任评估）和 UEBA（用户与实体行为分析）的应用，也是民生银行后续关注的焦点。之前的认证策略虽然也是梯度设置，但民生银行认为仍不够人性化。借助 2.0 安保平台可以提供更多用于分析的用户和行为数据，以UEBA和大数据分析技术为基础，通过机器学习引擎生成判断规则，并根据不同的综合风险值，自适应的选择认证方式，在不影响应用体验的同时，从身份认证角度进行持续、动态的内控。

据了解，相关平台产品已在民生银行内部进入测试阶段。持续自适应认证，无论从认证体验，还是安全工作的效率、效果和成本角度，都不失为一个值得尝试的方向。后续，虞刚表示，结合内部的实践成果，持续自适应认证能力也可以逐渐从业务安全角度向员工和客户开放。

安全牛评：密盾项目是民生银行在身份认证领域和芯盾时代合作成果的具体体现，也是其对白盒加密、设备指纹等技术的重要应用思路。真正能够落地的实践，是不能仅从技术思维来考虑的。从服务内控的甲方视角来看，可以明显感受到，民生银行在技术路线选择时，着重在安全性、体验、成本间寻求共赢的平衡，同时仍要和行内信息安全规划的大方向保持一致。这不仅需要从架构高度，从上至下对系统、技术实现有充分理解和认识，还需要协同供应商、内部相关部门的密切配合。这些都是难能可贵的。做好身份认证对于银行客户而言，对内可以实现更加细粒度的安全管控，对外可以将欺诈风控前置，对欺诈交易的判定也是一个重要维度的补充。后续结合 CARTA、UEBA 等技术，认证方式也可以更加灵活。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。