【導(dǎo)言】
10月21日,手機(jī)報在線和FIDO中國工作組聯(lián)合主辦,國民認(rèn)證協(xié)辦的主題為《FIDO中國-之本土化標(biāo)準(zhǔn)產(chǎn)業(yè)配套研討會》的高峰論壇在深圳大中華國際交易廣場六樓舉行。來自國民認(rèn)證的聯(lián)合創(chuàng)始人崔忠勇先生在此次演講中表示,在當(dāng)前移動支付環(huán)境下,隨著生物特征識別技術(shù)的日趨成熟,身份認(rèn)證的普世公用標(biāo)準(zhǔn)是實現(xiàn)移動支付安全和便捷的重要條件。
以下是演講內(nèi)容:
我們先來談?wù)剬σ苿又Ц渡矸菡J(rèn)證的需求,俗話說“屁股決定腦袋”,不同身份、角色的人想法一定是不一樣的,關(guān)心的內(nèi)容一定是不同的,我們由此總結(jié)歸納出來,關(guān)于移動支付對身份認(rèn)證的需求通常分為四點(diǎn)。
1、對于服務(wù)提供商來說,最關(guān)心的是安全性問題;
2、對于一個終端用戶來說,最關(guān)心的是便捷性;
3、還有用戶同樣關(guān)心的隱私保護(hù)問題。
4、最后,從整個產(chǎn)業(yè)鏈上下游來說,適配性問題很重要。
目前,客戶以使用指紋支付為主,后期如果推出虹膜支付,我們?nèi)绾巫尳K端客戶使用更便捷,這是產(chǎn)業(yè)鏈中每一個角色都要考慮的問題,最終我們把它歸納出來放在這里。
行業(yè)現(xiàn)狀是怎樣的呢?絕大多數(shù)所有身份識別、身份登陸,包括靜態(tài)密碼方式,它帶來的問題其實不用贅述。2014年600多萬攜程用戶被明碼保存的密碼,被從服務(wù)器中拿走,再到陸陸續(xù)續(xù)類似的問題。比如,某公司要求我們每一個人每三個月要換一次落地密碼,每一次密碼里面一定要包含數(shù)字和字母的大寫與小寫,每一次更換的地方和前四次是不能相同不能重復(fù)的,這些要求從公司角度看是合理的,但卻讓很多員工非常崩潰,同時也造成了大量的成本支出,因為它幾萬員工都有超過一次的密碼重復(fù),不但增加了人工成本,還有密碼重置的成本。
再后來出現(xiàn)了動態(tài)口令的模式,現(xiàn)在用得越來越多了,但它的安全性和便捷問題依然存在。比如,在進(jìn)行短信動態(tài)密碼處理過程中,輸入前要心里默念幾遍那串?dāng)?shù)字,更令人崩潰的是有時候密碼無法在短信提示里一次性顯示出來,就還要點(diǎn)到短信的界面去查看,然后再回到APP,再重新輸入動態(tài)密碼,這時候可能我又忘記了這一串?dāng)?shù)字,這些痛點(diǎn)我覺得在座各位或多或少遇到過。
隨著安全漏洞越來越嚴(yán)重,生物識別方式隨著蘋果的5S進(jìn)入視野,被越來越多的手機(jī)廠商采納,也為更多的終端用戶所喜愛。剛才我請教了來自魅族的朱先生,魅族現(xiàn)在上市的智能手機(jī)都支持指紋。人臉識別精確度及活體檢測能力正日益提高。虹膜識別由于非接特性和唯一性,也越來越受到重視。雖然前一陣隨著手機(jī)爆炸,虹膜熱用時間又滯后了,但我們相信虹膜識別會得到越來越廣泛的使用。
這些越來越多的方式得到應(yīng)用之后,支付應(yīng)用方希望推出自己的標(biāo)準(zhǔn)和技術(shù)規(guī)范,這是中國的現(xiàn)狀和國際現(xiàn)狀不同的地方,造成產(chǎn)業(yè)鏈廠商的復(fù)雜化和碎片化。
上周五正好是(10月14日)國際標(biāo)準(zhǔn)日,國際標(biāo)準(zhǔn)日關(guān)于標(biāo)準(zhǔn)的定義是,首先它應(yīng)該是代表業(yè)界發(fā)展趨勢,它一定能夠跨平臺、跨設(shè)備,這是標(biāo)準(zhǔn)的最基本表征。其次在制訂標(biāo)準(zhǔn)的過程中,依據(jù)標(biāo)準(zhǔn)的普世性。
但是現(xiàn)狀是企業(yè)更愿意把企業(yè)自己的標(biāo)準(zhǔn),作為業(yè)界的標(biāo)準(zhǔn)推出,這樣會造成一些不公正性。
還有一個比較重要的,就是中國的企業(yè)在立足于國內(nèi)的同時,開始走到國外去。比如,華為有一半以上的收入來自海外市場,海外市場的應(yīng)用如何支持?就要用普世公用的標(biāo)準(zhǔn)來做這件事情。
因而,F(xiàn)IDO UAF標(biāo)準(zhǔn)在移動端的應(yīng)用,正考慮了以上兩點(diǎn)。在這個認(rèn)證過程中,本人的生物特征不會上傳到服務(wù)器端,相當(dāng)于從根本上保證了個人的生物特征只在用戶個人的手機(jī)上保存,隱私不會泄漏。其次手機(jī)廠商做了很多的工作保障終端用戶的隱私,在終端設(shè)備和服務(wù)器端采用了國家商用密碼局頒行的標(biāo)準(zhǔn),用通行的非對稱算法來保證每一次認(rèn)證,每一次登陸,每一次交易,交易內(nèi)容不會被破解或者是被釣魚拿走。
從原理角度而言,F(xiàn)IDO能夠代表未來的發(fā)展趨勢。所謂未來的發(fā)展趨勢就是越來越便捷和安全,這兩件事情合二為一。對手機(jī)廠商和最終的服務(wù)提供商來說,比如,我們跟翼支付合作的虹膜登陸支付,這里面我們只要把手機(jī)認(rèn)證器的元數(shù)據(jù),提供給服務(wù)提供商,放在翼支付的后臺去,翼支付就完成了終端用戶可以直接用虹膜進(jìn)行支付的過程。對于終端用戶來說只要打開手機(jī),就可以識別翼支付已經(jīng)提供了虹膜支付的功能,打開刷一刷就可以。在此過程中,不需要大量的開發(fā),只是基于FIDO標(biāo)準(zhǔn)進(jìn)行的統(tǒng)一。
FIDO標(biāo)準(zhǔn)的優(yōu)勢之一是沒有第三方的參與。沒有一個人站在上帝的視角來看全局,平等地看整個產(chǎn)業(yè)鏈,國民認(rèn)證消化吸收了FIDO標(biāo)準(zhǔn),然后落地FIDO標(biāo)準(zhǔn)的實現(xiàn)。其一是將設(shè)置終端服務(wù)器、產(chǎn)線認(rèn)證等干擾因素降到最低;第二個就是服務(wù)端不保留用戶秘密,生物特征數(shù)據(jù)從不離開設(shè)備;服務(wù)和每個帳號之間都是分割開的,這就保障了它的安全。
FIDO就是滿足了移動支付的認(rèn)證需求,它對于在線的服務(wù)提供商來說,它是能夠提供更高的安全性的要求,同時又減少了使用者的成本。比如說百度最早做第一款指紋支付的時候,是由自己做的一款,想做第二款的時候,如果不采用公開的標(biāo)準(zhǔn)的話,第二款的投入還是同樣的,采用公開標(biāo)準(zhǔn)之后,它的時間和成本的投入大大降低。對使用者來說意味著安全和統(tǒng)一。
FIDO生態(tài)系統(tǒng)大概分為三類,在國際上大的金融機(jī)構(gòu)都參與到FIDO聯(lián)盟,像VISA、MasterCard等清算機(jī)構(gòu),美洲銀行、花旗銀行等銀行都加入了FIDO聯(lián)盟。
FIDO聯(lián)盟落地的情況,在國際范疇是,日本NTT的強(qiáng)力介入下,日本所有手機(jī)全部支持FIDO;在韓國的銀聯(lián)機(jī)構(gòu),BCcard,的力推下,韓國的銀行都開始支持FIDO的認(rèn)證登陸和支付了。在中國,我相信再有不長時間,會有更多好消息告訴大家,就是在中國金融領(lǐng)域,會有更多的應(yīng)用來使用到FIDO的技術(shù)和標(biāo)準(zhǔn)。也特別特別地歡迎各位,在這個產(chǎn)業(yè)鏈里面能夠用投入最少的成本,服務(wù)更多的客戶。將來,我們的目標(biāo)除了在線的支付之外,一些和手機(jī)結(jié)合的應(yīng)用也會把FIDO加進(jìn)去,把密碼干掉,把生物識別的認(rèn)證加進(jìn)去。
01月07日 18:14
