互聯(lián)網(wǎng)金融與傳統(tǒng)金融的最大區(qū)別是互聯(lián)網(wǎng)屬性——虛擬性。網(wǎng)絡(luò)身份的確認(rèn)、線上融資信用風(fēng)險(xiǎn)、假冒網(wǎng)站、交易欺詐等一系列問題,都是源于網(wǎng)絡(luò)的虛擬化而帶來的信任問題。隨著近年來互聯(lián)網(wǎng)金融的迅猛發(fā)展,國家針對互聯(lián)網(wǎng)金融的相關(guān)政策逐步出臺(tái)及監(jiān)管措施的逐步強(qiáng)化,身份認(rèn)證技術(shù)在互聯(lián)網(wǎng)金融行業(yè)的作用和地位日益凸顯。
通過對傳統(tǒng)的身份認(rèn)證技術(shù)進(jìn)行創(chuàng)新,從而建立起一個(gè)更安全便捷的認(rèn)證體系和支付環(huán)境,對互聯(lián)網(wǎng)金融的健康發(fā)展顯得尤為迫切和重要。
傳統(tǒng)身份認(rèn)證方式
身份認(rèn)證是指對實(shí)體和其所聲稱的身份之間的綁定關(guān)系進(jìn)行充分確認(rèn)的過程,其重點(diǎn)是為了解決網(wǎng)絡(luò)通信雙方的身份信息是否真實(shí)的問題,使各種信息交流可以在一個(gè)安全的環(huán)境中進(jìn)行。在信息安全里,身份認(rèn)證技術(shù)在整個(gè)安全系統(tǒng)中是重中之重,也是信息安全系統(tǒng)首要“看門人”。
身份認(rèn)證技術(shù)的發(fā)展,經(jīng)歷了從軟件實(shí)現(xiàn)到硬件實(shí)現(xiàn),從單因子認(rèn)證到多因子認(rèn)證,從靜態(tài)認(rèn)證到動(dòng)態(tài)認(rèn)證的過程。目前全球金融行業(yè)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的傳統(tǒng)身份認(rèn)證方式主要有以下幾種:
1. 用戶名/口令方式
這種方式雖然使用簡單方便,但是在安全性上有較多問題。
2. 刮刮卡/密碼卡
刮刮卡是一種覆蓋數(shù)字和字母密碼等文字的涂層,因此刮刮卡也叫密碼覆膜卡。
3. 動(dòng)態(tài)口令牌(Token)
是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口令的專用硬件?;谠搫?dòng)態(tài)口令技術(shù)的系統(tǒng)又稱一次一密(OTP)系統(tǒng),即用戶的身份驗(yàn)證口令是變化的,口令在使用過一次后就失效,下次登錄時(shí)的口令是完全不同的新口令。
4. 短信驗(yàn)證碼
身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機(jī)的4-6位驗(yàn)證碼到用戶的手機(jī)上,用戶在登錄或者交易認(rèn)證時(shí)候輸入此動(dòng)態(tài)驗(yàn)證碼,從而完成用戶身份認(rèn)證。
5. 數(shù)字證書/USB Key
數(shù)字證書是以公鑰密碼體系為核心的加密技術(shù),可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證。USB Key是一種USB接口的硬件設(shè)備,可以存儲(chǔ)用戶的私鑰以及數(shù)字證書,利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對用戶身份的認(rèn)證。由于用戶私鑰保存在密碼鎖中,理論上使用任何方式都無法讀取,因此保證了用戶認(rèn)證的安全性。經(jīng)過幾代發(fā)展已經(jīng)有:一代USB Key,二代帶液晶屏USB Key,三代藍(lán)牙/音頻USB Key。
以上各種傳統(tǒng)身份認(rèn)證技術(shù)各有所長,也有不足。目前國內(nèi)金融領(lǐng)域更多是將兩種或以上認(rèn)證方式結(jié)合起來,以提高身份認(rèn)證的安全性和準(zhǔn)確性,目前使用最為廣泛的是雙因素認(rèn)證。
生物特征識(shí)別成身份認(rèn)證“新寵”
然而,隨著互聯(lián)網(wǎng)日新月異的發(fā)展,傳統(tǒng)的身份認(rèn)證方式已不能完全滿足互聯(lián)網(wǎng)安全需求。與傳統(tǒng)的身份認(rèn)證手段相比,基于生物信息特征的識(shí)別技術(shù)具有以下優(yōu)點(diǎn):“隨身攜帶”,不會(huì)遺忘或丟失;防偽性能好,不易偽造或被盜。尤其在金融身份認(rèn)證行業(yè)中,生物信息認(rèn)證手段正成為一個(gè)不斷發(fā)展的領(lǐng)域和研究方向。
生物信息識(shí)別認(rèn)證過程一般由四個(gè)基本處理過程組成,分別為采集、解碼、對比和匹配。在認(rèn)證前,首先需要對生物信息進(jìn)行采樣,提取其唯一的特征并轉(zhuǎn)換成特征數(shù)據(jù)模板存儲(chǔ)在認(rèn)證系統(tǒng)的數(shù)據(jù)庫中。在認(rèn)證過程中,操作者同終端系統(tǒng)進(jìn)行身份認(rèn)證交互,終端系統(tǒng)采集操作者的生物信息并與數(shù)據(jù)庫中的特征數(shù)據(jù)模板進(jìn)行對比和匹配,從而決定當(dāng)前操作者是否具備合法身份。
從理論上說,生物特征認(rèn)證是最可靠的身份認(rèn)證方式,因?yàn)樗苯邮褂萌说奈锢硖卣鱽肀硎久恳粋€(gè)人的數(shù)字身份,不同的人具有相同生物特征的可能性可以忽略不計(jì),因此幾乎不可能被仿冒。
目前,生物信息識(shí)別認(rèn)證技術(shù)常見的有:
指紋識(shí)別的工作原理是機(jī)器利用傳感器采集指紋,通過一定算法抽取指紋特征,將該指紋特征與庫中指紋特征進(jìn)行對比,只要差異小于一定閥值,就認(rèn)為指紋識(shí)別通過。指紋識(shí)別具有技術(shù)相對成熟、指紋采集設(shè)備小巧、成本相對較低等優(yōu)點(diǎn)。
?虹膜識(shí)別
兩個(gè)人的單眼虹膜特征相同的概率是十萬分之一,雙眼相同的概率是一千億分之一。除了疾病等原因外,即使是接受角膜移植手術(shù),虹膜終身都不會(huì)改變。這些特點(diǎn)極其適合身份認(rèn)證對認(rèn)證信息的唯一性和穩(wěn)定性的要求。
?人臉識(shí)別
人臉識(shí)別技術(shù)具有非接觸性,具有對采集信息干擾少和識(shí)別手段隱蔽等特點(diǎn),可用于罪犯查找、醫(yī)學(xué)圖像診斷、銀行卡支付、證件核對等領(lǐng)域。人臉易受表情、角度、光照和年齡等因素的影響,識(shí)別的準(zhǔn)確度受到很大限制。
?掌形識(shí)別
手掌特征一般指手掌的形狀及表面紋理特征,其識(shí)別原理是采集的手掌三維圖像,分析確定每個(gè)手指的長度、手指不同部位的寬度以及靠近指節(jié)的表面和手指的厚度,并將得到的特征數(shù)據(jù)與模板進(jìn)行比較,并得出結(jié)果。手掌特征的穩(wěn)定性較好,不易受外在環(huán)境的影響而改變,但受生理狀況改變的影響,容易造成生理改變從而影響識(shí)別率。
?其它生理特征的識(shí)別技術(shù)
基于生理特征的識(shí)別技術(shù)研究領(lǐng)域較廣,除上述的研究方向外,DNA、手指靜脈識(shí)別、牙齒識(shí)別、唇紋識(shí)別、體味識(shí)別、人耳識(shí)別、紅外溫譜識(shí)別等均屬此類,但是在成本、易于推廣等方面還存在較大困難。
身份認(rèn)證標(biāo)準(zhǔn)亟待統(tǒng)一
由于沒有統(tǒng)一的標(biāo)準(zhǔn),不同應(yīng)用系統(tǒng)采用不同的認(rèn)證方法,一方面給用戶帶來不便,不同的系統(tǒng)、終端需要用戶提供不同的認(rèn)證信息,造成用戶對這些認(rèn)證信息管理困難,比如,許多用戶為避免記憶困難,對于多個(gè)平臺(tái)、系統(tǒng)均采用一樣的用戶名和口令,這樣一旦其中某個(gè)平臺(tái)遭到襲擊,很容易造成連帶損失。另外一方面,則使安全產(chǎn)品之間缺乏互操作性。
靈活、可互操作的認(rèn)證是網(wǎng)絡(luò)安全發(fā)展的關(guān)鍵,是保障互聯(lián)網(wǎng)金融健康有序發(fā)展的重要內(nèi)容之一。標(biāo)準(zhǔn)化對于認(rèn)證產(chǎn)品的廠商和用戶都至關(guān)重要,不僅有利于產(chǎn)品的推廣和部署,而且有利于不同廠商產(chǎn)品之間的操作性,可減輕維護(hù)成本和升級(jí)負(fù)擔(dān),增強(qiáng)系統(tǒng)可靠度。
基于此,2012年聯(lián)想集團(tuán)作為6家創(chuàng)始公司中唯一的一家中國公司,發(fā)起成立國際FIDO聯(lián)盟(全稱為Fast Identity Online),旨在通過制定一個(gè)開放、可擴(kuò)展、可互操作的在線身份認(rèn)證規(guī)范,取代依靠口令驗(yàn)證的在線用戶身份認(rèn)證機(jī)制。目前已在國際主流互聯(lián)網(wǎng)服務(wù)商、金融機(jī)構(gòu)、產(chǎn)品供應(yīng)商獲得了廣泛的認(rèn)可,聯(lián)盟成員包括Google、VISA、Mastercard、微軟、三星、Paypal、ARM等巨頭公司。
出于對中國市場的極度重視,F(xiàn)IDO聯(lián)盟專門成立中國工作組以推動(dòng)FIDO標(biāo)準(zhǔn)在國內(nèi)的落地。如何滿足中國龐大的互聯(lián)網(wǎng)金融用戶的需求,適應(yīng)移動(dòng)終端的差異性,以及互聯(lián)網(wǎng)金融對身份認(rèn)證系統(tǒng)的安全、高效、可控需求是互聯(lián)網(wǎng)金融發(fā)展急待解決的難題,這也是FIDO聯(lián)盟中國工作組主席單位——國民認(rèn)證要解決的問題。
國民認(rèn)證科技(北京)有限公司成立于2015年,是聯(lián)想創(chuàng)投集團(tuán)在互聯(lián)網(wǎng)轉(zhuǎn)型和推動(dòng)“設(shè)備+云”服務(wù)的戰(zhàn)略下成功孵化的子公司。
國民認(rèn)證統(tǒng)一身份解決方案在近距離(本地)使用指紋等生物識(shí)別技術(shù),采用更加可靠便捷的安全機(jī)制,支持國密算法,符合金融行業(yè)相關(guān)規(guī)范。在保證敏感信息和交易信息的機(jī)密性、完整性、不可抵賴性、加密安全等方面,國民認(rèn)證統(tǒng)一身份解決方案是符合相關(guān)要求的,同時(shí)也實(shí)現(xiàn)了多因子認(rèn)證、多重安全驗(yàn)證等安全機(jī)制,可以有效抵御釣魚網(wǎng)站、木馬等常見攻擊。
整個(gè)架構(gòu)體系如下圖所示:
國民認(rèn)證統(tǒng)一身份解決方案架構(gòu)示意圖
國民認(rèn)證統(tǒng)一身份解決方案優(yōu)勢
便捷性:生物特征是人體固有的生理特性和行為特征,不需要像傳統(tǒng)口令一樣記憶,使用方便快捷,不會(huì)丟失,從而將用戶從網(wǎng)絡(luò)時(shí)代“多賬戶,弱密碼,重復(fù)使用”的窘境中解救出來。
統(tǒng)一性與可擴(kuò)展性:只要是符合FIDO聯(lián)盟技術(shù)規(guī)范的終端設(shè)備都可以支持國民認(rèn)證身份認(rèn)證解決方案。對于各項(xiàng)生物識(shí)別技術(shù)或其他認(rèn)證手段,都可以通過在本地驗(yàn)證轉(zhuǎn)化成公鑰密碼體制,從而實(shí)現(xiàn)支持認(rèn)證手段多樣性和統(tǒng)一性。
安全、高效、可控:主要認(rèn)證過程采用公鑰密碼算法的數(shù)字簽名和簽名驗(yàn)證,同時(shí)在通訊、客戶端、密鑰保護(hù)等方面采用了多項(xiàng)安全手段。通過配置服務(wù)器策略,可以實(shí)現(xiàn)對不同設(shè)備、不同認(rèn)證方式等要素管理,也可以根據(jù)實(shí)際需求,增加相應(yīng)的安全措施。
總而言之,國民認(rèn)證統(tǒng)一身份解決方案滿足了用戶使用的安全性和便捷性,適應(yīng)多種移動(dòng)設(shè)備和生物識(shí)別手段,以及銀行等金融安全、高效、可控的需求,實(shí)現(xiàn)了快速在線認(rèn)證的目標(biāo)。
國民認(rèn)證統(tǒng)一身份解決方案的市場應(yīng)用
目前,市面上支持國民認(rèn)證統(tǒng)一身份解決方案的終端設(shè)備:三星、蘋果、華為、聯(lián)想、ZUK、LG、樂視、日本NTT DOCOMO、夏普、松下等NTT旗下所有指紋機(jī)型和虹膜機(jī)型全部支持;PC端:聯(lián)想ThinkPad和YOGA筆記本電腦上已經(jīng)實(shí)現(xiàn)對FIDO的支持;WEB 服務(wù)商:支付寶、翼支付、百度錢包、京東錢包、微眾銀行等;在國際范圍內(nèi),金融行業(yè)中支持FIDO協(xié)議的有:VISA、萬事達(dá)、美國銀行等。在國內(nèi),國民認(rèn)證已和中國銀行、中國建設(shè)銀行、中信銀行和天津銀行等開展商務(wù)溝通和技術(shù)交流,推廣國民認(rèn)證統(tǒng)一身份解決方案。
隨著指紋傳感器以及其他生物識(shí)別技術(shù)在移動(dòng)設(shè)備中的集成越來越普及,可信執(zhí)行環(huán)境(TEE)及嵌入式安全芯片(eSE)逐漸被移動(dòng)設(shè)備廠商所采用,以及FIDO聯(lián)盟的影響力日益增強(qiáng)、FIDO協(xié)議日益成熟,支持FIDO的移動(dòng)設(shè)備會(huì)越來越多,國民認(rèn)證統(tǒng)一身份解決方案的市場使用范圍也會(huì)越來越廣。
金融機(jī)構(gòu)的競爭優(yōu)勢之一即保護(hù)客戶信息安全的能力。作為個(gè)人敏感信息的擁有者,也有責(zé)任確保客戶信息安全的最大化。因此,金融機(jī)構(gòu)有充分的理由去不斷創(chuàng)新、開拓新技術(shù)以修補(bǔ)信息安全漏洞,因而生物識(shí)別已經(jīng)成為獲得用戶認(rèn)可的可行選項(xiàng),而創(chuàng)新的FIDO身份認(rèn)證方案則為生物識(shí)別技術(shù)的安全應(yīng)用提供了強(qiáng)大的保障。
01月07日 18:14
