科蓝CSIIVP eID人证合一网络身份验证平台
所属公司:北京科蓝软件系统股份有限公司
参与奖项:最佳金融科技安全奖
评委票数:
热度 (转发微信朋友圈或群可以帮助增加热度)

方案概述

科蓝CSIIVP eID人证合一网络身份验证平台应用场景涵盖线上、线下一体化,借助eID数字身份,以密码技术为基础、以智能安全芯片为载体。结合金融行业特点,创新的提供了eID数字身份登录、交易授权、免填身份开户、eID身份电子证照授权访问等综合业务能力。科蓝CSIIVP平台对客户身份信息的安全识读、身份信息标记化、数字身份碎片化的方式进行传输和存储,能够在不泄露客户信息的前提下实现远程识别客户身份,从源头全程保护客户信息安全,让客户身份信息零风险的应用在互联网金融各项业务的办理环节,具有权威性、安全性和公信力。全面满足公民在网络活动中保护个人身份信息、虚拟财产安全及交易安全等方面的迫切需求,大幅提升公民网络活动的安全感,并满足金融行业通过合法合规渠道对网络客户实名制验证迫切需求。

科蓝CSIIVP平台是基于公民网络身份(eID)和可信环境(TEE)的银行客户网络身份认证系统。

本系统交易全链路使用国密算法安全保护机制和移动前端应用提交、后台验证的业务流程控制模式,客户端 SDK经过安全加固,具备极高的防护能力。本系统做为基础平台,可为手机银行、直销银行、开放银行、智能POS等多渠道,提供7*24小时的公民身份联网核查、活体检测、人脸识别、身份验证凭证生成等完整网络客户实名制验证的能力。

方案背景

金融科技不断快速提升,互联网金融已成为当下国内金融行业发展的主要趋势。然而,随着互联网金融的快速发展,互联网金融的信息安全问题也日益突出,成为了全社会越来越关注的热点话题。

互联网金融业务发展迅速的同时,也伴随着风险事件不断出现。2018年国家相关金融监管部门排查发现部分银行机构存在网络安全漏洞,被不法分子利用开立个人II、III类虚假账户,且数量众多,相关风险传染性强,严重威胁到客户资金安全和银行业账户体系安全,给银行II、III类账户业务的健康发展造成不利影响。2019年央视315晚会曝光了银联闪付卡被恶意盗刷事件,造成公众对这一非常安全的支付工具产生恐慌,又一次将支付科技创新推到风口浪尖。2019年11月,江苏警方依法打击了7家涉嫌利用互联网侵犯公民个人信息的相关公司,涉及非法缓存的公民个人信息多达1亿多条,提供身份证返照查询近亿次,造成公民身份信息包括身份证照片的大量泄露。纵观近年曝光的一系列公民身份信息泄露的风险事件的根因,实质均是未严格实行客户实名制要求,缺乏安全、权威、易用的客户网络身份验证手段和可信的互联网展业环境所导致的。目前国内互联网行业,违规非法窃取正向规模化发展,并已形成庞大的黑色产业链条,身份信息被非法窃取与使用,已严重威胁到了互联网金融良性健康的发展。如何使公民身份信息在互联网中更加安全的被使用和保存已成为不容忽视的问题。

不断出现的风险事件,也推动着行业风险控制模式的转变,人民银行及银保监会也相继发文,对个人II、III类银行结算账户的风险防范提出要求,确保银行账户体系安全,进一步保障客户的合法权益。同时风险控制的措施也从片面强调以一种账户背书另一种账户的风险防控模式,转变为通过技术创新切实做好网络客户实名制验证,从源头防控风险。

分析银行II、III类账户相关监管政策演变过程,不难看出,从2015年392号文在政策上肯定了“弱实名制电子账户”创新的积极作用,到2016年302号文完整阐述国内银行个人结算账户体系,2018年16号文对III类账户使用场景进行了调整,以及最近支付结算司发布的 55号文,加强对风险的防控,使银行II、III类账户使用更趋于成熟。在互联网展业环境下如何满足2007年四部委联合发布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》落实反洗钱及反恐怖融资等防控要求,依托金融科技创新做好网络客户实名制验证,才是健康发展互联网银行业务的关键。为此科蓝软件联合公安三所合作研发基于公民网络身份(eID)和可信环境(TEE)的银行客户身份认证系统,用于提升我行客户身份识别能力,更好更安全地开展互联网相关业务。

方案目标

通过搭建基于公民网络身份(eID)和可信环境(TEE)的客户网络身份认证系统来提升客户身份认证能力、提升客户体验,夯实金融行业互联网展业基础。

本项目的主要目标有四个方面:

1、确保通过互联网方式获取客户有效身份证件信息,针对互联网客户进行权威的身份识别;

2、通过多种组合认证方式,达到人证合一客户身份信息与办理人的一致性目标;

3、构建互联网展业基础,为各行业数字化、互联网化提供基础保障。

方案特点

一、产品优势及解决网络身份验证的痛点

1、科蓝 eID“人证合一”网络身份验证平台,(CSIIVP: CSII Internet Identity Verification Platform),整合优势资源提供通用型网络身份验证能力,打造互联网金融的底层基础设施;

2、科蓝CSIIVP,完美整合证件读取、活体检测、人脸识别、资料留存于一个业务流程,前台提交、后台验证,极高的防护能力,目前最安全的互联网用户实名制身份验证方案;

3、科蓝 CSIIVP,eID“人证合一”网络身份验证服务,验证能力比较,“人无我有,人有我优”,eID 数字身份凭证签发等级与网络身份验证安全强度;

4、科蓝 CSIIVP根据eID 数字身份体系,提供CIL 1级网络身份验证,使用OCR证件识读技术 、证件要素验证,两次人像比对,人工/自动审核模式,满足各类型平台(包括安卓、iOS、Windows等)下应用系统用户实名制验证需求;

5、科蓝 CSIIVP根据eID 数字身份体系,提供CIL 2 级 网络身份验证 ,“真人实证”人证合一的高强度网络身份验证,具备了完整性、安全性、合规性、权威性的的互联网用户实名制身份验证方案;

6、科蓝 CSIIVP,eID“人证合一”网络身份验证服务,目前最优体验互联网身份验证和业务资料存档服务方案,“快、准、稳”打造极速客户体验;

7、科蓝 CSIIVP,eID“人证合一”网络身份验证平台,应用场景涵盖线上、线下一体化是互联网银行最佳的基础支撑。

二、对互联网金融产业影响力

1、科蓝 CSIIVP eID“人证合一”网络身份验证平台,打造客户互联网身份验证的基础设施,可实现对公民个人、企业的网络身份进行权威识别,有效提升社会各行业的互联网+进程,有效防控互联网展业风险。

2、科蓝 CSIIVP,高可信业务环境促进金融业务创新,采用金融可信运行环境(TEE)、物理证件/金融IC卡、权威网络身份认证,有效提升支付行业网络客户实名制验证能力。

3、科蓝CSIIVP,提供收单机构快速网络识别、智能POS设备的管理能力,有效提升收单机构对商务管理能力和设备管理能力。

方案业务流程图

一、方案架构:

科蓝软件CSIIVP平台分为接入模块、开放平台、应用服务、后管服务4个模块组成,对外与公安部公民网络身份识别系统对接。下面分别说明各个层次对应的功能。

1、接入模块主要提供第三方SDK接入及API接入两种方式。

2、开放平台旨在为开放服务提供商和外部开发者提供一个规范、合作、创新的开放社区平台,构建网络身份验证开放服务API能力中心,支持访问控制机制,构建开放生态环境,为外部开发者提供SDK、OpenAPI接口服务,构建统一的网络身份验证工具,满足监管对金融机构第三方合作中客户实名制要求。

3、CSIIVP人证合一身份验证应用服务提供eID网络客户实名认证、eID电子证照/二代身份证云解码、网络身份验证凭证生成、银行卡识别、营业执照二维码识别及身份证件联网核查、人像比对、企业工商信息检验等数据服务。通过API的方式为SDK及三方系统提供人证合一网络身份验证服务能力,与应用场景结合推动金融业务数字化转型。

4、后管服务为运营管理人员提供管理控制台,通过审核管理功能,可以对接入方、应用、服务、证书、上线等功能审核;此外后管服务还提供权限管理、参数设置、费用统计、报表分析和管理认证等功能。

二、场景流程及功能实现

1、科蓝 CSIIVP,极速授权体验,在APP环境使用eID 授权,直接登录手机APP等渠道系统(如:手机银行、手机钱包、商户服务APP等);

2、科蓝 CSIIVP,极速授权体验,在微信、支付宝、手机浏览器等H5页面,使用eID 进行用户授权,如:依托 eID 为客户提供更安全微信服务环境;

3、科蓝 CSIIVP,高风险交易授权,eID网络身份服务“人证合一”,实现高风险交易在线核身,提供金融机构互联网服务能力;

4、科蓝 CSIIVP,安全进件体验,eID数字身份+身份证云解码,实现极速个人准确识别,“人证合一”实现更合规、更便捷、更安全的业务进件;

5、科蓝 CSIIVP,小微企业服务,“人证合一”网络身份验证平台整合工商数据,实现小微企业的极速服务,构建企业、法人、账户、手机号四位一体证据链和有效凭证保存;

6、科蓝 CSIIVP,智能POS设备服务,可实现智能POS的 人证合一网络身份验证能力,快速完成收单设备的管理,在线设备激活、设备定期巡检等。

实现功能展示

科蓝CSIIVP平台根据公安部三所eID数字身份签发等级,提供两种不同安全强度的网络身份验证能力,分别是基于OCR技术的CIL1级和基于NFC、eID电子证照技术的CIL2级网络身份验证。

CIL1级网络身份验证:使用OCR识别技术,严格执行监管政策要求,通过客户身份证件核查、活体检测、两次人像比对(联网核查+上传身份证件照片)、身份证件信息校验、网络身份验证业务大数据风险监控,实现对证件真伪性判别。系统提供人工/自动审核模式,有效阻断集中、批量开立II、III类账户的异常情形。

产品优势:

1、跨渠道,支持目前网银、手机银行、微信银行、开放银行等服务渠道;

2、跨平台,兼容移动APP(Android、iOS)、小程序等环境的网络身份验证;

3、高合规,两次人像比对(现场采集,联网核查、证件照片),证件信息自动校验,支持自助审批、人工审批模式;

4、高可用,7*24小时在线服务,提供完整网络身份验证凭证;

5、高体验,OCR 98%以上识别率、自动切边、自动正向显示;

CIL2级网络身份验证:使用NFC读取二代身份证、eID电子证照、银行IC卡技术保障客户身份证件及使用账户的真实性,并结合活体检测、人像比对、网络身份验证业务大数据风险监控技术,提供“真人实证、人证合一” 的高强度网络身份验证,是目前业界最完整、安全、合规、权威的网络客户实名制身份验证方案。

产品优势:

1、超高安全,依托公安部公民网络身份识别系统,提供最权威、最安全的公民网络身份验证服务,“真人实证,人证合一”最准确记录客户的真实意愿;

2、超高体验,100%完整信息读取,减少客户操作步骤,可将网络身份验证流程压缩到30秒,极大提升客户体验和留存率;

3、超低成本,利用手机、智能POS等已有设备或成本低廉的读卡设备,节约大量设备投入,适合线上、线下展业的各种环境需求,大幅降低银行各渠道展业成本。

方案案例及效果

一、获得的成绩

1、实现证件有效识别、安全存储及读取、传输

系统采用“我的证件我做主”理念,实现了用户对证件应用场景的自主化、便捷化管理,使金融消费者不再仅仅是银行产品的被动接受者和使用者,而成为个人证件安全管理的主动参与者和实践者,在满足消费者个性化需求的同时,增强用户的参与感,为用户提供自主管理账户风险的有效手段和便捷工具。

2、实现客户信息识别与业务融合

通过系统进行客户身份认证,能有效和各种场景相结合,包括开户时证件获取与eID电子证照签发、转账时eID加强认证、客户资料维护利用eID减轻人工审核工作量、网上申请贷款时利用eID有效提升客户体验和防止假冒证件等。

eID既可以做为可靠、有效的电子证件来使用,也是一种有效的安全认证手段,多种组合,多重认证,打造完善的客户身份主证体系。

3、安全系统防控能力提升

系统在交易信息传输时使用国密算法对全报文进行加密,有效防止客户信息被截获、破解,有效防范中间人攻击;同时实现了对非法请求、获取等问题进行实时监测、管控,避免客户信息的非法盗用。其次,实现了通过大数据技术、人工智能技术对客户交易进行实时风险等级进行评定,并分别采取阻断、确认、提示、放行等举措,实现了风险交易的实时防控和有效预警,提升客户证件防骗、防盗的能力。

4、兼顾了资金安全与客户便捷

通过调用eID,不再需要随身携带证件,即省事又有心,还能防止丢失,也不需要繁琐的拍照和识别;同时eID的安全性也可以防止客户证件或是身份冒用等风险。

二、经典案例

1、西安银行基于公民网络身份(eID)和可信环境(TEE)的银行客户身份认证系统建设 – 突破传统,打造极致流畅金融体验

2、典型案例介绍:东莞农商银行,eID人证合一网络身份验证平台

使用的公民网络电子身份标识(eID)技术,基于移动互联网,采用了近场通信、人脸识别、活体检测和数据加密等技术开立二三类户。

3、典型案例介绍:晋商银行,eID人证合一网络身份验证平台

借助客户eID数字身份标记化、碎片化、授权访问、唯一性等安全优势,能够在不泄露任何客户身份信息的前提下提供安全、便捷、合规、高强度的客户身份识别能力,从源头全程保护客户信息安全。

三、顾客效益

在保护客户身份信息安全,传统线上开户过程多采用手工输入或拍照识别客户身份信息,存在大量的虚假证件和客户身体信息被非法复制风险,建立基于eID的客户身份认证体系后,针对开通eID的客户可以安全注册,减少客户身份信息被非法使用事件发生,同时进一步提升客户网络身份验证便捷性,实现秒级权威身份验证。

方案未来展望

一、提升方向

1、提升设备的兼容性以及体验性。

2、提升产品在TEE环境下的输入安全、显示安全、交易安全等。

二、市场需求预估

1、随着国内智能手机设备的升级换代,具备NFC及TEE安全架构会逐步增加,同时互联网金融风险从应用层安全防护要进一步深入到基本智能终端的安全防护,从源从提升互联网展业的安全性,以银行业为例对网络身份验证需求不低于每年20亿次。

2、缺乏权威、易用的网络身份验证手段和可信网络业务展业环境是目前互联网业务办理的痛点,目前金融、政府等机构进行互联网化、数字化、智能化转型,因此可信的网络身份验证手段和可信网络展业系统的潜在市场价值非常可观。

三、政策预估

建立更安全、便捷、合规的网络身份认证体系是当前互联网金融发展的迫切需求,也是监管机构的明确的指导方向,近期人民银行将网络身份认证体系列为2019-2021年金融科技发展规划的重点落实内容。

1、政策导向,构建适应互联网时代的移动终端可信环境,建立健全兼顾安全与便捷的多元化身份认证体系;

2、国家标准,依据金融行业移动终端可信环境技术规范建立可信的移动金融应用;

3、国家标准,由全国信息安全标准化技术委员会(信安标委)正式发布,并于2019年5月1日正式实施,解决我国公民网络电子身份基础设施缺位的问题。