项目背景

A.受监管要求影响，动态密码版安全工具的使用范围受限

当前大部分客户在使用手机银行转账汇款时，采用的是短信认证模式，操作简单。但根据2016年9月30日央行下发的《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发〔2016〕261号）（简称261号文）的要求，客户使用动态密码认证方式每日转账限额不超过5万元，超过5万元的部分，必须使用数字证书认证。此文件导致短信认证模式的使用范围受到了限制。

B.U盾/令牌等高级安全工具虽能保证使用安全，但是随身携带不便

在移动端认证和签名方案中，我们针对现有手段做了调研：

1. 短信动态密码虽然方便易用，但安全性较低，大部分移动安全事件均由短信动态密码泄露所致。

2. 很多的商业银行的手机银行比较广泛的以电子令牌作为手机银行的安全认证手段。但电子令牌无法确保交易不被篡改及责任认定。

3. 蓝牙Key安全性较高，但从实际推广中来看，用户需要携带外设，体验度不高且成本高是影响推广的主要因素。

4. 音频口KEY也因为音频口的标准不统一，作为非主流的产品逐步被市场淘汰。

项目目标

我行希望能够找到一种认证方式，既能够符合监管对于认证安全性的要求，又能够满足客户便利性的要求。

项目方案

为提升电子渠道业务的便利性，同时兼顾交易的安全性，深圳农村商业银行（以下简称我行）推出了基于数字签名技术的“云证书”解决方案，通过手机内置数字证书方案，利用统一的后台系统，建立多渠道平台与手机数字证书的信息推送机制。用户只需要携带手机就可以实现跨平台之间的交易，到达跨渠道认证整合和数字证书签名整合的目的，提升的客户体验也符合移动金融场景下的安全、快捷的需要。

这款数字证书解决方案源于中国金融认证中心（CFCA）推出的一种可靠电子签名的“云证通”服务，由手机作为安全认证载体。客户只需要拥有一张HKE证书，便可随时随地签名，完成在云端的认证。客户拥有了这张云证书，无需携带其他硬件，可方便地签名完成各种手机银行交易。

一、总体架构

    云证书服务的整体架构如下：

1. 云证书服务定位为权威、安全及开放的第三方签名服务平台,面向应用(如手机银行)提供互联网数据签名和互联网认证服务。银行各个应用不用单独部署软硬件设备，通过服务接口即可实现业务的数字签名。

2. 用户使用手机作为安全认证载体,用户只需要拥有一张云证书, 不用携带其他外设，就可安全、便捷的使用数字签名服务,做到随时、随地、随签。

二、应用场景

项目创新点

1.提升现有移动安全水平，保障业务健康发展。

目前，在移动金融应用广泛的用户名密码+短信动态码认证手段的安全等级较低。数据显示，在移动金融的诈骗案件中，绝大部分的案件都和密码及短信动态码有关。

从可推广性和安全性综合评估，我们认为云证书是合适的方式，由于和手机型号无关，可作为基础安全手段保护手机银行安全。

2.跨渠道认证整合需求，兼容PC应用。

由于场景移动化，PC和USBKey需求和使用频度下降。采用云证书的用户可将手机作为证书载体，并兼容PC应用（如网银扫码转账）。提高用户体验的同时，银行也可逐步减少USBKey的采购成本。

另外，云证书签名服务是基础签名设施，银行的各个渠道网银、手机银行、直销银行、消费贷款等应用都可统一使用，不用每个渠道各自建立签名验签机制。

3.降低行业安全认证和签名体系建设维护成本。

云证书有别于以往的本地部署的建设方式，降低银行成本：

1.集成部署成本，本地不部署软硬件设备。

2.CFCA负责维护安全云服务基础设施，金融机构不用投入额外的人力、物力。

3.逐步降低传统USBkey等硬件采购成本；

4.代替短信口令验证方式，降低短信服务成本。

5.降低传统网银适配成本，如IE兼容性问题等。

6.降低用户学习成本，零学习成本。

技术实现特点

1.身份安全

对于用户身份的鉴证采取“业务鉴证”结合“在线鉴证”的方式。业务鉴证主要指业务应用方根据自身业务的特点，对用户身份进行有效的鉴证，保证用户身份的真实可靠性。在线鉴证指云证书提供相关功能模块，结合移动互联网特点，通过手机终端采集的用户特征与用户有效证件信息、设备信息进行比对的手段，在鉴别用户身份的可靠性。终通过有效鉴证的用户，云证书将与其专用手机设备的密钥与证书进行绑定，以确保未来用户以数字证书的强身份认证方式来保护自己的身份合法性。

2.密钥安全

不同于本地保存的软证书，亦不同于硬件设备中的证书。云证书服务基于国密算法，创新地采用密钥分散技术以保障密钥安全。在签名的过程中，客户端和服务端均不会有完整密钥出现，极大降低密钥泄露的可能性。

3.客户端环境安全

保证用户密码的输入安全、传输安全；对客户端APP静态代码进行加固、加壳，实现抗反编译、逆向分析等攻击手段。

4.传输、存储安全

系统间的数据交互，全部使用标准的SSL/TLS协议进行加密保护。网络间传输的数据均为密文数据。托管密钥适用硬件加密存储保证密钥安全性。电子证据数据采用分布式数据存储，系统具备冗余机制，确保存储可靠性。

对于银行而言，云证书签名服务比传统PKI本地集成的方式更快速集成到手机银行等移动金融业务系统，各个应用不用各自采购设备，实现签名服务的统一，大大降低了银行的集成建设周期。

项目过程管理

2016年底，我行联合合作方开始推进云证书项目。

2016年12月26日，我行召开业务创新与决策委员会，会议研究讨论通过了“云证书”方案，同意开发立项。

2017年1月—2017年8月，经过多部门通力合作，按计划完成了手机渠道云证书研发、测试等工作。

我行于2017年9月1日起在个人手机银行渠道（包括iPhone版和Android版）试运行“云证书”安全工具，运行情况良好，受到客户欢迎。

2017年9月—2018年1月，经过多部门通力合作，按计划完成了网银渠道云证书研发、测试等工作。

我行于2018年2月6日起推出个人网银版的“云证书”安全工具，运行情况良好，受到客户欢迎。

至此，历时一年，“云证书”认证方案终于2018年完成线上渠道全部布局，正式对外推广。

项目运营情况

我行2017年9月1日起在个人手机银行（苹果和安卓客户端）试用云证书，日对外转账限额设置为20万元，截至2017年末累计签约21006户。鉴于云证书上线后运行平稳，受到客户的欢迎，2018年7月，我行将云证书日对外转账限额从20万调整至50万。截止2018年10月，云证书签约用户量已经超过10万人，日均核心交易笔数3179笔。

项目成效

A.满足了银行业监管要求

云证书可满足现有监管要求。实现方式如下：

1. 云证书用户签名私钥采用分离式托管技术，即一部分在客户端，一部分安全存储与云端。与传统文件型证书私钥在客户端本地的方式，安全级别大大提升。

2. 云证书证书与用户移动设备指纹及APP等信息进行绑定。只有在该用户授权的移动设备上才可进行证书下载及签名操作。

3. 云证书签名由业务端、云端及客户端三方完成签名，签名过程由签名人控制，符合电子签名法的相关政策要求。

B.提升了手机银行业务的便利性，同时兼顾交易的安全性。

综合《银发〔2016〕170号》及《银发〔2016〕261号》监管要求，转账5万元以上只能采取数字证书方式。我行推出云证书，即可提升手机银行业务的便利性，同时兼顾交易的安全性。基于数字签名技术的“云证书”方案，符合移动互联网环境，满足大众便捷安全需要的手机数字证书签名的需求，用户只需要拥有一个“云证书”，无需携带其他硬件，便可随时随地的进行电子签名，实现手机安全交易。目前使用云证书的个人客户，手机银行单日高转账限额可达50万元。

经验总结

传统的Ukey版证书客户需要支付证书年费和KEY的工本费，云证书无需花钱购买硬件USBkey，也不需要支付证书年费，真正的做到了0费用。安装使用简单，携带手机即可随时随地签名。

以往来银行开通手机银行的客户大多数会选择动态密码版高级安全工具，因为证书版需要收费，但是2016年9月30日央行下发了《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发〔2016〕261号）（简称261号文）以后，5万元的转账限额只能满足一部分客户的日常转账需求。云证书上线一举解决了这个问题，相信未来会有越来越多的客户选择云证书。

随着互联网经济的发展，云计算、大数据、AI、生物识别技术等为代表的新一代科技迅猛发展，金融行业的竞争也进一步加剧。深圳农村商业银行站在新的历史起征点，主动寻求出路，着眼未来，创新发展金融业务，致力于在未来金融服务格局中占有一席之地，为客户提供更多、更好的金融服务。

本文由2018年度农村金融科技创新优秀案例评选组委会授权发表，转载请注明出处和本文链接。