互聯(lián)網(wǎng)金融與傳統金融的最大區別是互聯(lián)網(wǎng)屬性——虛擬性。網(wǎng)絡(luò )身份的確認、線(xiàn)上融資信用風(fēng)險、假冒網(wǎng)站、交易欺詐等一系列問(wèn)題,都是源于網(wǎng)絡(luò )的虛擬化而帶來(lái)的信任問(wèn)題。隨著(zhù)近年來(lái)互聯(lián)網(wǎng)金融的迅猛發(fā)展,國家針對互聯(lián)網(wǎng)金融的相關(guān)政策逐步出臺及監管措施的逐步強化,身份認證技術(shù)在互聯(lián)網(wǎng)金融行業(yè)的作用和地位日益凸顯。
通過(guò)對傳統的身份認證技術(shù)進(jìn)行創(chuàng )新,從而建立起一個(gè)更安全便捷的認證體系和支付環(huán)境,對互聯(lián)網(wǎng)金融的健康發(fā)展顯得尤為迫切和重要。
傳統身份認證方式
身份認證是指對實(shí)體和其所聲稱(chēng)的身份之間的綁定關(guān)系進(jìn)行充分確認的過(guò)程,其重點(diǎn)是為了解決網(wǎng)絡(luò )通信雙方的身份信息是否真實(shí)的問(wèn)題,使各種信息交流可以在一個(gè)安全的環(huán)境中進(jìn)行。在信息安全里,身份認證技術(shù)在整個(gè)安全系統中是重中之重,也是信息安全系統首要“看門(mén)人”。
身份認證技術(shù)的發(fā)展,經(jīng)歷了從軟件實(shí)現到硬件實(shí)現,從單因子認證到多因子認證,從靜態(tài)認證到動(dòng)態(tài)認證的過(guò)程。目前全球金融行業(yè)計算機及網(wǎng)絡(luò )系統中常用的傳統身份認證方式主要有以下幾種:
1. 用戶(hù)名/口令方式
這種方式雖然使用簡(jiǎn)單方便,但是在安全性上有較多問(wèn)題。
2. 刮刮卡/密碼卡
刮刮卡是一種覆蓋數字和字母密碼等文字的涂層,因此刮刮卡也叫密碼覆膜卡。
3. 動(dòng)態(tài)口令牌(Token)
是一種內置電源、密碼生成芯片和顯示屏、根據專(zhuān)門(mén)的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口令的專(zhuān)用硬件。基于該動(dòng)態(tài)口令技術(shù)的系統又稱(chēng)一次一密(OTP)系統,即用戶(hù)的身份驗證口令是變化的,口令在使用過(guò)一次后就失效,下次登錄時(shí)的口令是完全不同的新口令。
4. 短信驗證碼
身份認證系統以短信形式發(fā)送隨機的4-6位驗證碼到用戶(hù)的手機上,用戶(hù)在登錄或者交易認證時(shí)候輸入此動(dòng)態(tài)驗證碼,從而完成用戶(hù)身份認證。
5. 數字證書(shū)/USB Key
數字證書(shū)是以公鑰密碼體系為核心的加密技術(shù),可以對網(wǎng)絡(luò )上傳輸的信息進(jìn)行加密和解密、數字簽名和簽名驗證。USB Key是一種USB接口的硬件設備,可以存儲用戶(hù)的私鑰以及數字證書(shū),利用USB Key內置的公鑰算法實(shí)現對用戶(hù)身份的認證。由于用戶(hù)私鑰保存在密碼鎖中,理論上使用任何方式都無(wú)法讀取,因此保證了用戶(hù)認證的安全性。經(jīng)過(guò)幾代發(fā)展已經(jīng)有:一代USB Key,二代帶液晶屏USB Key,三代藍牙/音頻USB Key。
以上各種傳統身份認證技術(shù)各有所長(cháng),也有不足。目前國內金融領(lǐng)域更多是將兩種或以上認證方式結合起來(lái),以提高身份認證的安全性和準確性,目前使用最為廣泛的是雙因素認證。
生物特征識別成身份認證“新寵”
然而,隨著(zhù)互聯(lián)網(wǎng)日新月異的發(fā)展,傳統的身份認證方式已不能完全滿(mǎn)足互聯(lián)網(wǎng)安全需求。與傳統的身份認證手段相比,基于生物信息特征的識別技術(shù)具有以下優(yōu)點(diǎn):“隨身攜帶”,不會(huì )遺忘或丟失;防偽性能好,不易偽造或被盜。尤其在金融身份認證行業(yè)中,生物信息認證手段正成為一個(gè)不斷發(fā)展的領(lǐng)域和研究方向。
生物信息識別認證過(guò)程一般由四個(gè)基本處理過(guò)程組成,分別為采集、解碼、對比和匹配。在認證前,首先需要對生物信息進(jìn)行采樣,提取其唯一的特征并轉換成特征數據模板存儲在認證系統的數據庫中。在認證過(guò)程中,操作者同終端系統進(jìn)行身份認證交互,終端系統采集操作者的生物信息并與數據庫中的特征數據模板進(jìn)行對比和匹配,從而決定當前操作者是否具備合法身份。
從理論上說(shuō),生物特征認證是最可靠的身份認證方式,因為它直接使用人的物理特征來(lái)表示每一個(gè)人的數字身份,不同的人具有相同生物特征的可能性可以忽略不計,因此幾乎不可能被仿冒。
目前,生物信息識別認證技術(shù)常見(jiàn)的有:
?指紋識別
指紋識別的工作原理是機器利用傳感器采集指紋,通過(guò)一定算法抽取指紋特征,將該指紋特征與庫中指紋特征進(jìn)行對比,只要差異小于一定閥值,就認為指紋識別通過(guò)。指紋識別具有技術(shù)相對成熟、指紋采集設備小巧、成本相對較低等優(yōu)點(diǎn)。
?虹膜識別
兩個(gè)人的單眼虹膜特征相同的概率是十萬(wàn)分之一,雙眼相同的概率是一千億分之一。除了疾病等原因外,即使是接受角膜移植手術(shù),虹膜終身都不會(huì )改變。這些特點(diǎn)極其適合身份認證對認證信息的唯一性和穩定性的要求。
?人臉識別
人臉識別技術(shù)具有非接觸性,具有對采集信息干擾少和識別手段隱蔽等特點(diǎn),可用于罪犯查找、醫學(xué)圖像診斷、銀行卡支付、證件核對等領(lǐng)域。人臉易受表情、角度、光照和年齡等因素的影響,識別的準確度受到很大限制。
?掌形識別
手掌特征一般指手掌的形狀及表面紋理特征,其識別原理是采集的手掌三維圖像,分析確定每個(gè)手指的長(cháng)度、手指不同部位的寬度以及靠近指節的表面和手指的厚度,并將得到的特征數據與模板進(jìn)行比較,并得出結果。手掌特征的穩定性較好,不易受外在環(huán)境的影響而改變,但受生理狀況改變的影響,容易造成生理改變從而影響識別率。
?其它生理特征的識別技術(shù)
基于生理特征的識別技術(shù)研究領(lǐng)域較廣,除上述的研究方向外,DNA、手指靜脈識別、牙齒識別、唇紋識別、體味識別、人耳識別、紅外溫譜識別等均屬此類(lèi),但是在成本、易于推廣等方面還存在較大困難。
身份認證標準亟待統一
由于沒(méi)有統一的標準,不同應用系統采用不同的認證方法,一方面給用戶(hù)帶來(lái)不便,不同的系統、終端需要用戶(hù)提供不同的認證信息,造成用戶(hù)對這些認證信息管理困難,比如,許多用戶(hù)為避免記憶困難,對于多個(gè)平臺、系統均采用一樣的用戶(hù)名和口令,這樣一旦其中某個(gè)平臺遭到襲擊,很容易造成連帶損失。另外一方面,則使安全產(chǎn)品之間缺乏互操作性。
靈活、可互操作的認證是網(wǎng)絡(luò )安全發(fā)展的關(guān)鍵,是保障互聯(lián)網(wǎng)金融健康有序發(fā)展的重要內容之一。標準化對于認證產(chǎn)品的廠(chǎng)商和用戶(hù)都至關(guān)重要,不僅有利于產(chǎn)品的推廣和部署,而且有利于不同廠(chǎng)商產(chǎn)品之間的操作性,可減輕維護成本和升級負擔,增強系統可靠度。
基于此,2012年聯(lián)想集團作為6家創(chuàng )始公司中唯一的一家中國公司,發(fā)起成立國際FIDO聯(lián)盟(全稱(chēng)為Fast Identity Online),旨在通過(guò)制定一個(gè)開(kāi)放、可擴展、可互操作的在線(xiàn)身份認證規范,取代依靠口令驗證的在線(xiàn)用戶(hù)身份認證機制。目前已在國際主流互聯(lián)網(wǎng)服務(wù)商、金融機構、產(chǎn)品供應商獲得了廣泛的認可,聯(lián)盟成員包括Google、VISA、Mastercard、微軟、三星、Paypal、ARM等巨頭公司。
出于對中國市場(chǎng)的極度重視,FIDO聯(lián)盟專(zhuān)門(mén)成立中國工作組以推動(dòng)FIDO標準在國內的落地。如何滿(mǎn)足中國龐大的互聯(lián)網(wǎng)金融用戶(hù)的需求,適應移動(dòng)終端的差異性,以及互聯(lián)網(wǎng)金融對身份認證系統的安全、高效、可控需求是互聯(lián)網(wǎng)金融發(fā)展急待解決的難題,這也是FIDO聯(lián)盟中國工作組主席單位——國民認證要解決的問(wèn)題。
國民認證科技(北京)有限公司成立于2015年,是聯(lián)想創(chuàng )投集團在互聯(lián)網(wǎng)轉型和推動(dòng)“設備+云”服務(wù)的戰略下成功孵化的子公司。
國民認證統一身份解決方案在近距離(本地)使用指紋等生物識別技術(shù),采用更加可靠便捷的安全機制,支持國密算法,符合金融行業(yè)相關(guān)規范。在保證敏感信息和交易信息的機密性、完整性、不可抵賴(lài)性、加密安全等方面,國民認證統一身份解決方案是符合相關(guān)要求的,同時(shí)也實(shí)現了多因子認證、多重安全驗證等安全機制,可以有效抵御釣魚(yú)網(wǎng)站、木馬等常見(jiàn)攻擊。
整個(gè)架構體系如下圖所示:
國民認證統一身份解決方案架構示意圖
國民認證統一身份解決方案優(yōu)勢
便捷性:生物特征是人體固有的生理特性和行為特征,不需要像傳統口令一樣記憶,使用方便快捷,不會(huì )丟失,從而將用戶(hù)從網(wǎng)絡(luò )時(shí)代“多賬戶(hù),弱密碼,重復使用”的窘境中解救出來(lái)。
統一性與可擴展性:只要是符合FIDO聯(lián)盟技術(shù)規范的終端設備都可以支持國民認證身份認證解決方案。對于各項生物識別技術(shù)或其他認證手段,都可以通過(guò)在本地驗證轉化成公鑰密碼體制,從而實(shí)現支持認證手段多樣性和統一性。
安全、高效、可控:主要認證過(guò)程采用公鑰密碼算法的數字簽名和簽名驗證,同時(shí)在通訊、客戶(hù)端、密鑰保護等方面采用了多項安全手段。通過(guò)配置服務(wù)器策略,可以實(shí)現對不同設備、不同認證方式等要素管理,也可以根據實(shí)際需求,增加相應的安全措施。
總而言之,國民認證統一身份解決方案滿(mǎn)足了用戶(hù)使用的安全性和便捷性,適應多種移動(dòng)設備和生物識別手段,以及銀行等金融安全、高效、可控的需求,實(shí)現了快速在線(xiàn)認證的目標。
國民認證統一身份解決方案的市場(chǎng)應用
目前,市面上支持國民認證統一身份解決方案的終端設備:三星、蘋(píng)果、華為、聯(lián)想、ZUK、LG、樂(lè )視、日本NTT DOCOMO、夏普、松下等NTT旗下所有指紋機型和虹膜機型全部支持;PC端:聯(lián)想ThinkPad和YOGA筆記本電腦上已經(jīng)實(shí)現對FIDO的支持;WEB 服務(wù)商:支付寶、翼支付、百度錢(qián)包、京東錢(qián)包、微眾銀行等;在國際范圍內,金融行業(yè)中支持FIDO協(xié)議的有:VISA、萬(wàn)事達、美國銀行等。在國內,國民認證已和中國銀行、中國建設銀行、中信銀行和天津銀行等開(kāi)展商務(wù)溝通和技術(shù)交流,推廣國民認證統一身份解決方案。
隨著(zhù)指紋傳感器以及其他生物識別技術(shù)在移動(dòng)設備中的集成越來(lái)越普及,可信執行環(huán)境(TEE)及嵌入式安全芯片(eSE)逐漸被移動(dòng)設備廠(chǎng)商所采用,以及FIDO聯(lián)盟的影響力日益增強、FIDO協(xié)議日益成熟,支持FIDO的移動(dòng)設備會(huì )越來(lái)越多,國民認證統一身份解決方案的市場(chǎng)使用范圍也會(huì )越來(lái)越廣。
金融機構的競爭優(yōu)勢之一即保護客戶(hù)信息安全的能力。作為個(gè)人敏感信息的擁有者,也有責任確保客戶(hù)信息安全的最大化。因此,金融機構有充分的理由去不斷創(chuàng )新、開(kāi)拓新技術(shù)以修補信息安全漏洞,因而生物識別已經(jīng)成為獲得用戶(hù)認可的可行選項,而創(chuàng )新的FIDO身份認證方案則為生物識別技術(shù)的安全應用提供了強大的保障。
01月07日 18:14
