周可，信息安全工程师，从事电子银行评估及信息安全安全评估工作，实施过国内多家银行的电子银行评估。

经过多年发展，网上银行系统在无论规模上还是新技术的引进和应用上，都发生了较大的变化，新版《网上银行系统信息安全通用规范》（以下简称“新版规范”）于今年2月份正式发布。新版规范是2012版本的替换修订版本，新版规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。

新版规范较2012版本总体新增修订内容较多，笔者就“专用安全机制”部分新增修订部分内容进行浅析。随着网上银行客户端的普及及运行环境的复杂提升，在传统身份认证硬件设备上新增多种认证方式，而网上银行系统客户端程序运行可信计算环境中一部分需要依赖于身份认证要素硬件设备或其他认证手段来实现。以下就新版规范“专用安全机制”新增修订部分进行浅析。

1.智能密码钥匙

由2012版“USB Key”部分修订而来。

随着移动智能终端的普及和移动互联网的快速发展，密码钥匙种类越来越多，新版标准明确智能密码钥匙是指“提供密码运算、密码管理等密码服务的终端密码设备”；本章节修订内容有：完善密钥生命周期管理，新增密钥销毁的要求；修订智能密码钥匙检测要求，智能密码钥匙检测主要依据标准分别有GM/T 0048-2016 《智能密码钥匙密码检测规范》、GM/T0027-2014《智能密码钥匙技术规范》、GM/T0028-2014《密码模块安全技术要求》、GM/T 0029 《密码模块安全检测要求》 、JR/T 0114—2015《网银系统 USBKey 规范安全技术与测评要求》等规范；新增借助SE与TEE技术结合实现的智能密码钥匙类型规范要求，从而确保移动终端支付的可信环境。

2.文件证书

文件证书较于其他存储介质，在证书分发阶段，更容易发生密钥泄密等风险事件，新版规范中新增对证书发放方式及公网传输方式要求，一般来说，网上银行系统企业客户文件证书可以通过专线发放，个人网银必须通过公网发放的，可提供一次性下载链接需要做好身份认证。

3.动态口令令牌

由2012版本“OTP令牌”部分修订而来。

新增挑战应答认证及动态口令令牌解锁机制。

广义上的挑战应答认证包含“挑战认证”和“内部挑战认证”两种方式。其中挑战认证是用户向令牌输入应用服务提供的挑战码的方式，获取相应的动态口令，完成认证；内部挑战认证是用户通过向令牌输入PIN、静态口令等用户私有数据，获取相应的动态口令，完成认证。在挑战码中加入交易信息，可在发生交易信息被篡改的风险事件时，及时发现终止交易。

动态口令令牌解锁机制主要为了防止误操作后需要前往银行柜面进行解锁，从而增加客户和银行方的成本。合理的安全需要在成本和效率之间找到平衡点，一般来说，PIN码输入错误3-5次锁定一定时间（如：10-30分钟）的设置，理论上暴力攻击者一天最多能够尝试720个PIN码组合，按照6位PIN码计算，破解成功的概率约为0.72%，概率较小，基本属于为了业务效率可做的妥协范畴。

4.短信验证码

该安全机制为新版规范新增。

短信验证码在现实应用的十分广泛，我们常见应用场景分别有：新用户注册账户、账号验证、密码找回、个人信息资料修改、网银支付验证等。

短信验证码的使用过程中，中间环境容易面临监听、重放、越权等多重威胁。相较于其他安全机制，短信验证码的安全性较低。短信验证码实际上急需解决的是身份认证的问题，传统身份认证的三要素包括“你拥有的信息”、“你知道的信息”、“你独有的生物信息”，但是在短信验证码在“你知道的信息”还是“你拥有的信息”并没有明显的区别界限，故而可以采用其他辅助措施和手段对客户身份有效性进行验证，如新版规范中提到的“结合外部认证介质、采用挑战应答、运营商免密认证、移动终端主动发送短信验证码”等方式。

5.生物特征

该安全机制为新版规范新增。

生物特征识别技术在可靠性不断提高的同时，成本逐渐降低，指纹、人脸、声纹等识别技术被越来越多的应用到金融业务的身份验证阶段。同时，新技术的引入也带来了新的威胁，一方面，与所有验证手段一样，需要关注验证过程的安全性，如身份鉴别的有效性、防模仿欺诈攻击的能力。另一方面，需要关注生物特征信息自身的安全性，如非法处理生物特征数据。

责任编辑：韩希宇