5G技术推动银行整体网络架构信息化架构升级

5G时代，银行和网点的整体网络架构信息化架构已经发生了变化，也带了相应的安全难题。在以“5G赋能互联，点亮未来之光”为主题的2020北京互联网大会上，梆梆安全解决方案部总监张晋分享了对5G赋能金融行业创新应用中安全问题的思考。

5G推动银行基础架构全面升级

5G定义了三类典型应用场景，而智慧网点的应用则基本涵盖了这三类场景。如何解决终端安全、数据安全、身份可信等，是5G时代需要面临的问题。张晋表示：“3GPP从R15开始研究5G安全架构及安全技术，因此，在5G核心网独立组网的前提下，5G网络本身是安全的，但5G赋能的不同业务场景仍然存在风险，我们谈5G安全，就不可能脱离具体场景”。

5G推动银行基础架构全面升级，在5G智慧网点中，端侧是各类智能设备，边缘是算力，使智慧网点可以借由不同终端实现更多的业务，云端则是各大银行的数据中心，对不同业务数据进行处理。但新业态带来了新问题，终端接入需要解决可信问题，同时，需要对身份进行校验，对接入权限进行细粒度管控，云端则要解决数据隐私和使用权限等问题。

在数据安全存储方面，可以通过区块链技术实现数据的上链存储。张晋谈道：“目前实现全区块链化是不太现实的，主要的问题在于不管是以太坊，还是以EOS为代表的区块链3.0，在TPS（每秒交易量）上都存在效率低的问题，所以海量终端的接入不能通过区块链解决身份认证的问题，建议通过零信任模型来实现。”

在终端可信方面，梆梆安全跟中移动物联网公司携手进行研究，将终端设备中的SIM卡作为存储可信根（RoT）的介质。实现终端可信、环境可信、安全启动、安全升级等功能。

通过区块链等技术保障业务安全

针对5G+智慧网点的安全问题，梆梆安全通过对区块链物联网（BoT）、SDP、SE-SIM、白盒密钥等技术研究针对性的方案。

区块链具有不可篡改、安全可追溯等特点，梆梆安全在做区块链物联网领域的研究，对整体安全架构、设备/数据如何安全上链等进行持续探索。通过DID（分布式身份认证）、DPKI（分布式公钥基础设施）等解决终端上链问题。张晋介绍道：“借助区块链的去中心化，能够降低中心化架构的运维成本。区块链通过哈希链及共识算法，提供了数据永久保存及防篡改特性，可以有效地辅助物联网解决各类安全问题。”

当前，主流的远程接入方式是VPN，但VPN很难对不同用户在权限方面提供精细化管理，传统VPN面临挑战，为此梆梆安全引入了SDP。SDP“基于用户角色的访问策略”、“分离访问控制和数据信道”、“先验证后连接”等特性，能够有效解决身份验证、访问控制等问题。

当前，物联网智能终端设备大多通过接入物联网卡进行联网。梆梆安全基于SIM卡环境，为身份凭证、私钥证书、以及应用相关接口代码等重要信息和代码提供载体，实现终端的可信、身份的可信、启动环境的可信以及安全的升级操作等功能。同时，梆梆安全也基于白盒密钥技术，为涉及加解密的服务提供白盒化保护，为算法和密钥提供高强度保护，保障密码服务的安全性。张晋提到：“终端及应用均处于白盒环境，攻击者可使用调试工具对终端设备发起攻击，在反编译后的程序中寻找加密算法，在运行时的内存中寻找密钥进行破解，如何保障密钥安全，是白盒密钥要解决的问题。”

安全是开放的前提

除了智慧网点，5G赋能金融行业的另一个典型场景是开放银行。目前开放银行主要通过SDK、H5和API三种技术方式连接银行端和场景端，使金融场景、泛金融服务形成了统一的生态，但开放的接口，也带来了相应的安全问题。

安全是开放的前提。梆梆安全认为，未来的开放银行业务将更多采用API的对外接口方式，梆梆安全提出要从技术风险、监管合规、隐私与数据安全等角度对API进行全生命周期的管理。使用令牌技术建立API接口的可信身份，实现对服务和数据资源等进行访问控制；使用加密和数字签名技术，保证数据传输与使用安全。使用检测嗅探器对API进行安全检测，实时追踪API是否被非法攻击以及漏洞被利用；使用API安全网关控制和管理API接口的使用情况，通过对API接口的访问频率进行限制，避免API出现被攻击或拒绝服务等情况。

另外，起源于姚期智教授“百万富翁问题”的安全多方计算具有输入隐私性、计算正确性以及去中心化特征，能使数据既保持隐私又能被使用。在开放银行需要开放数据进行联合分析、数据查询、可信交换等场景下，提供了一种新的计算模式，一方面可以充分实现数据持有节点间互联合作，另一方面又可以保证信息的安全性。
责任编辑：tzh