互聯(lián)網(wǎng)金融與傳統(tǒng)金融的最大區(qū)別是互聯(lián)網(wǎng)屬性——虛擬性。網(wǎng)絡(luò)身份的確認、線上融資信用風險、假冒網(wǎng)站、交易欺詐等一系列問題,都是源于網(wǎng)絡(luò)的虛擬化而帶來的信任問題。隨著近年來互聯(lián)網(wǎng)金融的迅猛發(fā)展,國家針對互聯(lián)網(wǎng)金融的相關(guān)政策逐步出臺及監(jiān)管措施的逐步強化,身份認證技術(shù)在互聯(lián)網(wǎng)金融行業(yè)的作用和地位日益凸顯。
通過對傳統(tǒng)的身份認證技術(shù)進行創(chuàng)新,從而建立起一個更安全便捷的認證體系和支付環(huán)境,對互聯(lián)網(wǎng)金融的健康發(fā)展顯得尤為迫切和重要。
傳統(tǒng)身份認證方式
身份認證是指對實體和其所聲稱的身份之間的綁定關(guān)系進行充分確認的過程,其重點是為了解決網(wǎng)絡(luò)通信雙方的身份信息是否真實的問題,使各種信息交流可以在一個安全的環(huán)境中進行。在信息安全里,身份認證技術(shù)在整個安全系統(tǒng)中是重中之重,也是信息安全系統(tǒng)首要“看門人”。
身份認證技術(shù)的發(fā)展,經(jīng)歷了從軟件實現(xiàn)到硬件實現(xiàn),從單因子認證到多因子認證,從靜態(tài)認證到動態(tài)認證的過程。目前全球金融行業(yè)計算機及網(wǎng)絡(luò)系統(tǒng)中常用的傳統(tǒng)身份認證方式主要有以下幾種:
1. 用戶名/口令方式
這種方式雖然使用簡單方便,但是在安全性上有較多問題。
2. 刮刮卡/密碼卡
刮刮卡是一種覆蓋數(shù)字和字母密碼等文字的涂層,因此刮刮卡也叫密碼覆膜卡。
3. 動態(tài)口令牌(Token)
是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件。基于該動態(tài)口令技術(shù)的系統(tǒng)又稱一次一密(OTP)系統(tǒng),即用戶的身份驗證口令是變化的,口令在使用過一次后就失效,下次登錄時的口令是完全不同的新口令。
4. 短信驗證碼
身份認證系統(tǒng)以短信形式發(fā)送隨機的4-6位驗證碼到用戶的手機上,用戶在登錄或者交易認證時候輸入此動態(tài)驗證碼,從而完成用戶身份認證。
5. 數(shù)字證書/USB Key
數(shù)字證書是以公鑰密碼體系為核心的加密技術(shù),可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證。USB Key是一種USB接口的硬件設(shè)備,可以存儲用戶的私鑰以及數(shù)字證書,利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證。由于用戶私鑰保存在密碼鎖中,理論上使用任何方式都無法讀取,因此保證了用戶認證的安全性。經(jīng)過幾代發(fā)展已經(jīng)有:一代USB Key,二代帶液晶屏USB Key,三代藍牙/音頻USB Key。
以上各種傳統(tǒng)身份認證技術(shù)各有所長,也有不足。目前國內(nèi)金融領(lǐng)域更多是將兩種或以上認證方式結(jié)合起來,以提高身份認證的安全性和準確性,目前使用最為廣泛的是雙因素認證。
生物特征識別成身份認證“新寵”
然而,隨著互聯(lián)網(wǎng)日新月異的發(fā)展,傳統(tǒng)的身份認證方式已不能完全滿足互聯(lián)網(wǎng)安全需求。與傳統(tǒng)的身份認證手段相比,基于生物信息特征的識別技術(shù)具有以下優(yōu)點:“隨身攜帶”,不會遺忘或丟失;防偽性能好,不易偽造或被盜。尤其在金融身份認證行業(yè)中,生物信息認證手段正成為一個不斷發(fā)展的領(lǐng)域和研究方向。
生物信息識別認證過程一般由四個基本處理過程組成,分別為采集、解碼、對比和匹配。在認證前,首先需要對生物信息進行采樣,提取其唯一的特征并轉(zhuǎn)換成特征數(shù)據(jù)模板存儲在認證系統(tǒng)的數(shù)據(jù)庫中。在認證過程中,操作者同終端系統(tǒng)進行身份認證交互,終端系統(tǒng)采集操作者的生物信息并與數(shù)據(jù)庫中的特征數(shù)據(jù)模板進行對比和匹配,從而決定當前操作者是否具備合法身份。
從理論上說,生物特征認證是最可靠的身份認證方式,因為它直接使用人的物理特征來表示每一個人的數(shù)字身份,不同的人具有相同生物特征的可能性可以忽略不計,因此幾乎不可能被仿冒。
目前,生物信息識別認證技術(shù)常見的有:
?指紋識別
指紋識別的工作原理是機器利用傳感器采集指紋,通過一定算法抽取指紋特征,將該指紋特征與庫中指紋特征進行對比,只要差異小于一定閥值,就認為指紋識別通過。指紋識別具有技術(shù)相對成熟、指紋采集設(shè)備小巧、成本相對較低等優(yōu)點。
?虹膜識別
兩個人的單眼虹膜特征相同的概率是十萬分之一,雙眼相同的概率是一千億分之一。除了疾病等原因外,即使是接受角膜移植手術(shù),虹膜終身都不會改變。這些特點極其適合身份認證對認證信息的唯一性和穩(wěn)定性的要求。
?人臉識別
人臉識別技術(shù)具有非接觸性,具有對采集信息干擾少和識別手段隱蔽等特點,可用于罪犯查找、醫(yī)學圖像診斷、銀行卡支付、證件核對等領(lǐng)域。人臉易受表情、角度、光照和年齡等因素的影響,識別的準確度受到很大限制。
?掌形識別
手掌特征一般指手掌的形狀及表面紋理特征,其識別原理是采集的手掌三維圖像,分析確定每個手指的長度、手指不同部位的寬度以及靠近指節(jié)的表面和手指的厚度,并將得到的特征數(shù)據(jù)與模板進行比較,并得出結(jié)果。手掌特征的穩(wěn)定性較好,不易受外在環(huán)境的影響而改變,但受生理狀況改變的影響,容易造成生理改變從而影響識別率。
?其它生理特征的識別技術(shù)
基于生理特征的識別技術(shù)研究領(lǐng)域較廣,除上述的研究方向外,DNA、手指靜脈識別、牙齒識別、唇紋識別、體味識別、人耳識別、紅外溫譜識別等均屬此類,但是在成本、易于推廣等方面還存在較大困難。
身份認證標準亟待統(tǒng)一
由于沒有統(tǒng)一的標準,不同應(yīng)用系統(tǒng)采用不同的認證方法,一方面給用戶帶來不便,不同的系統(tǒng)、終端需要用戶提供不同的認證信息,造成用戶對這些認證信息管理困難,比如,許多用戶為避免記憶困難,對于多個平臺、系統(tǒng)均采用一樣的用戶名和口令,這樣一旦其中某個平臺遭到襲擊,很容易造成連帶損失。另外一方面,則使安全產(chǎn)品之間缺乏互操作性。
靈活、可互操作的認證是網(wǎng)絡(luò)安全發(fā)展的關(guān)鍵,是保障互聯(lián)網(wǎng)金融健康有序發(fā)展的重要內(nèi)容之一。標準化對于認證產(chǎn)品的廠商和用戶都至關(guān)重要,不僅有利于產(chǎn)品的推廣和部署,而且有利于不同廠商產(chǎn)品之間的操作性,可減輕維護成本和升級負擔,增強系統(tǒng)可靠度。
基于此,2012年聯(lián)想集團作為6家創(chuàng)始公司中唯一的一家中國公司,發(fā)起成立國際FIDO聯(lián)盟(全稱為Fast Identity Online),旨在通過制定一個開放、可擴展、可互操作的在線身份認證規(guī)范,取代依靠口令驗證的在線用戶身份認證機制。目前已在國際主流互聯(lián)網(wǎng)服務(wù)商、金融機構(gòu)、產(chǎn)品供應(yīng)商獲得了廣泛的認可,聯(lián)盟成員包括Google、VISA、Mastercard、微軟、三星、Paypal、ARM等巨頭公司。
出于對中國市場的極度重視,F(xiàn)IDO聯(lián)盟專門成立中國工作組以推動FIDO標準在國內(nèi)的落地。如何滿足中國龐大的互聯(lián)網(wǎng)金融用戶的需求,適應(yīng)移動終端的差異性,以及互聯(lián)網(wǎng)金融對身份認證系統(tǒng)的安全、高效、可控需求是互聯(lián)網(wǎng)金融發(fā)展急待解決的難題,這也是FIDO聯(lián)盟中國工作組主席單位——國民認證要解決的問題。
國民認證科技(北京)有限公司成立于2015年,是聯(lián)想創(chuàng)投集團在互聯(lián)網(wǎng)轉(zhuǎn)型和推動“設(shè)備+云”服務(wù)的戰(zhàn)略下成功孵化的子公司。
國民認證統(tǒng)一身份解決方案在近距離(本地)使用指紋等生物識別技術(shù),采用更加可靠便捷的安全機制,支持國密算法,符合金融行業(yè)相關(guān)規(guī)范。在保證敏感信息和交易信息的機密性、完整性、不可抵賴性、加密安全等方面,國民認證統(tǒng)一身份解決方案是符合相關(guān)要求的,同時也實現(xiàn)了多因子認證、多重安全驗證等安全機制,可以有效抵御釣魚網(wǎng)站、木馬等常見攻擊。
整個架構(gòu)體系如下圖所示:
國民認證統(tǒng)一身份解決方案架構(gòu)示意圖
國民認證統(tǒng)一身份解決方案優(yōu)勢
便捷性:生物特征是人體固有的生理特性和行為特征,不需要像傳統(tǒng)口令一樣記憶,使用方便快捷,不會丟失,從而將用戶從網(wǎng)絡(luò)時代“多賬戶,弱密碼,重復(fù)使用”的窘境中解救出來。
統(tǒng)一性與可擴展性:只要是符合FIDO聯(lián)盟技術(shù)規(guī)范的終端設(shè)備都可以支持國民認證身份認證解決方案。對于各項生物識別技術(shù)或其他認證手段,都可以通過在本地驗證轉(zhuǎn)化成公鑰密碼體制,從而實現(xiàn)支持認證手段多樣性和統(tǒng)一性。
安全、高效、可控:主要認證過程采用公鑰密碼算法的數(shù)字簽名和簽名驗證,同時在通訊、客戶端、密鑰保護等方面采用了多項安全手段。通過配置服務(wù)器策略,可以實現(xiàn)對不同設(shè)備、不同認證方式等要素管理,也可以根據(jù)實際需求,增加相應(yīng)的安全措施。
總而言之,國民認證統(tǒng)一身份解決方案滿足了用戶使用的安全性和便捷性,適應(yīng)多種移動設(shè)備和生物識別手段,以及銀行等金融安全、高效、可控的需求,實現(xiàn)了快速在線認證的目標。
國民認證統(tǒng)一身份解決方案的市場應(yīng)用
目前,市面上支持國民認證統(tǒng)一身份解決方案的終端設(shè)備:三星、蘋果、華為、聯(lián)想、ZUK、LG、樂視、日本NTT DOCOMO、夏普、松下等NTT旗下所有指紋機型和虹膜機型全部支持;PC端:聯(lián)想ThinkPad和YOGA筆記本電腦上已經(jīng)實現(xiàn)對FIDO的支持;WEB 服務(wù)商:支付寶、翼支付、百度錢包、京東錢包、微眾銀行等;在國際范圍內(nèi),金融行業(yè)中支持FIDO協(xié)議的有:VISA、萬事達、美國銀行等。在國內(nèi),國民認證已和中國銀行、中國建設(shè)銀行、中信銀行和天津銀行等開展商務(wù)溝通和技術(shù)交流,推廣國民認證統(tǒng)一身份解決方案。
隨著指紋傳感器以及其他生物識別技術(shù)在移動設(shè)備中的集成越來越普及,可信執(zhí)行環(huán)境(TEE)及嵌入式安全芯片(eSE)逐漸被移動設(shè)備廠商所采用,以及FIDO聯(lián)盟的影響力日益增強、FIDO協(xié)議日益成熟,支持FIDO的移動設(shè)備會越來越多,國民認證統(tǒng)一身份解決方案的市場使用范圍也會越來越廣。
金融機構(gòu)的競爭優(yōu)勢之一即保護客戶信息安全的能力。作為個人敏感信息的擁有者,也有責任確保客戶信息安全的最大化。因此,金融機構(gòu)有充分的理由去不斷創(chuàng)新、開拓新技術(shù)以修補信息安全漏洞,因而生物識別已經(jīng)成為獲得用戶認可的可行選項,而創(chuàng)新的FIDO身份認證方案則為生物識別技術(shù)的安全應(yīng)用提供了強大的保障。
01月07日 18:14
