5G時代，銀行和網點的整體網絡架構信息化架構已經發生了變化，也帶了相應的安全難題。在以“5G賦能互聯，點亮未來之光”為主題的2020北京互聯網大會上，梆梆安全解決方案部總監張晉分享了對5G賦能金融行業創新應用中安全問題的思考。

5G推動銀行基礎架構全面升級

5G定義了三類典型應用場景，而智慧網點的應用則基本涵蓋了這三類場景。如何解決終端安全、數據安全、身份可信等，是5G時代需要面臨的問題。張晉表示：“3GPP從R15開始研究5G安全架構及安全技術，因此，在5G核心網獨立組網的前提下，5G網絡本身是安全的，但5G賦能的不同業務場景仍然存在風險，我們談5G安全，就不可能脫離具體場景”。

5G推動銀行基礎架構全面升級，在5G智慧網點中，端側是各類智能設備，邊緣是算力，使智慧網點可以借由不同終端實現更多的業務，云端則是各大銀行的數據中心，對不同業務數據進行處理。但新業態帶來了新問題，終端接入需要解決可信問題，同時，需要對身份進行校驗，對接入權限進行細粒度管控，云端則要解決數據隱私和使用權限等問題。

在數據安全存儲方面，可以通過區塊鏈技術實現數據的上鏈存儲。張晉談道：“目前實現全區塊鏈化是不太現實的，主要的問題在于不管是以太坊，還是以EOS為代表的區塊鏈3.0，在TPS（每秒交易量）上都存在效率低的問題，所以海量終端的接入不能通過區塊鏈解決身份認證的問題，建議通過零信任模型來實現。”

在終端可信方面，梆梆安全跟中移動物聯網公司攜手進行研究，將終端設備中的SIM卡作為存儲可信根（RoT）的介質。實現終端可信、環境可信、安全啟動、安全升級等功能。

通過區塊鏈等技術保障業務安全

針對5G+智慧網點的安全問題，梆梆安全通過對區塊鏈物聯網（BoT）、SDP、SE-SIM、白盒密鑰等技術研究針對性的方案。

區塊鏈具有不可篡改、安全可追溯等特點，梆梆安全在做區塊鏈物聯網領域的研究，對整體安全架構、設備/數據如何安全上鏈等進行持續探索。通過DID（分布式身份認證）、DPKI（分布式公鑰基礎設施）等解決終端上鏈問題。張晉介紹道：“借助區塊鏈的去中心化，能夠降低中心化架構的運維成本。區塊鏈通過哈希鏈及共識算法，提供了數據永久保存及防篡改特性，可以有效地輔助物聯網解決各類安全問題。”

當前，主流的遠程接入方式是VPN，但VPN很難對不同用戶在權限方面提供精細化管理，傳統VPN面臨挑戰，為此梆梆安全引入了SDP。SDP“基于用戶角色的訪問策略”、“分離訪問控制和數據信道”、“先驗證后連接”等特性，能夠有效解決身份驗證、訪問控制等問題。

當前，物聯網智能終端設備大多通過接入物聯網卡進行聯網。梆梆安全基于SIM卡環境，為身份憑證、私鑰證書、以及應用相關接口代碼等重要信息和代碼提供載體，實現終端的可信、身份的可信、啟動環境的可信以及安全的升級操作等功能。同時，梆梆安全也基于白盒密鑰技術，為涉及加解密的服務提供白盒化保護，為算法和密鑰提供高強度保護，保障密碼服務的安全性。張晉提到：“終端及應用均處于白盒環境，攻擊者可使用調試工具對終端設備發起攻擊，在反編譯后的程序中尋找加密算法，在運行時的內存中尋找密鑰進行破解，如何保障密鑰安全，是白盒密鑰要解決的問題。”

安全是開放的前提

除了智慧網點，5G賦能金融行業的另一個典型場景是開放銀行。目前開放銀行主要通過SDK、H5和API三種技術方式連接銀行端和場景端，使金融場景、泛金融服務形成了統一的生態，但開放的接口，也帶來了相應的安全問題。

安全是開放的前提。梆梆安全認為，未來的開放銀行業務將更多采用API的對外接口方式，梆梆安全提出要從技術風險、監管合規、隱私與數據安全等角度對API進行全生命周期的管理。使用令牌技術建立API接口的可信身份，實現對服務和數據資源等進行訪問控制；使用加密和數字簽名技術，保證數據傳輸與使用安全。使用檢測嗅探器對API進行安全檢測，實時追蹤API是否被非法攻擊以及漏洞被利用；使用API安全網關控制和管理API接口的使用情況，通過對API接口的訪問頻率進行限制，避免API出現被攻擊或拒絕服務等情況。

另外，起源于姚期智教授“百萬富翁問題”的安全多方計算具有輸入隱私性、計算正確性以及去中心化特征，能使數據既保持隱私又能被使用。在開放銀行需要開放數據進行聯合分析、數據查詢、可信交換等場景下，提供了一種新的計算模式，一方面可以充分實現數據持有節點間互聯合作，另一方面又可以保證信息的安全性。
責任編輯：tzh