互联网金融与传统金融的最大区别是互联网属性——虚拟性。网络身份的确认、线上融资信用风险、假冒网站、交易欺诈等一系列问题,都是源于网络的虚拟化而带来的信任问题。随着近年来互联网金融的迅猛发展,国家针对互联网金融的相关政策逐步出台及监管措施的逐步强化,身份认证技术在互联网金融行业的作用和地位日益凸显。
通过对传统的身份认证技术进行创新,从而建立起一个更安全便捷的认证体系和支付环境,对互联网金融的健康发展显得尤为迫切和重要。
传统身份认证方式
身份认证是指对实体和其所声称的身份之间的绑定关系进行充分确认的过程,其重点是为了解决网络通信双方的身份信息是否真实的问题,使各种信息交流可以在一个安全的环境中进行。在信息安全里,身份认证技术在整个安全系统中是重中之重,也是信息安全系统首要“看门人”。
身份认证技术的发展,经历了从软件实现到硬件实现,从单因子认证到多因子认证,从静态认证到动态认证的过程。目前全球金融行业计算机及网络系统中常用的传统身份认证方式主要有以下几种:
1. 用户名/口令方式
这种方式虽然使用简单方便,但是在安全性上有较多问题。
2. 刮刮卡/密码卡
刮刮卡是一种覆盖数字和字母密码等文字的涂层,因此刮刮卡也叫密码覆膜卡。
3. 动态口令牌(Token)
是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。基于该动态口令技术的系统又称一次一密(OTP)系统,即用户的身份验证口令是变化的,口令在使用过一次后就失效,下次登录时的口令是完全不同的新口令。
4. 短信验证码
身份认证系统以短信形式发送随机的4-6位验证码到用户的手机上,用户在登录或者交易认证时候输入此动态验证码,从而完成用户身份认证。
5. 数字证书/USB Key
数字证书是以公钥密码体系为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证。USB Key是一种USB接口的硬件设备,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。经过几代发展已经有:一代USB Key,二代带液晶屏USB Key,三代蓝牙/音频USB Key。
以上各种传统身份认证技术各有所长,也有不足。目前国内金融领域更多是将两种或以上认证方式结合起来,以提高身份认证的安全性和准确性,目前使用最为广泛的是双因素认证。
生物特征识别成身份认证“新宠”
然而,随着互联网日新月异的发展,传统的身份认证方式已不能完全满足互联网安全需求。与传统的身份认证手段相比,基于生物信息特征的识别技术具有以下优点:“随身携带”,不会遗忘或丢失;防伪性能好,不易伪造或被盗。尤其在金融身份认证行业中,生物信息认证手段正成为一个不断发展的领域和研究方向。
生物信息识别认证过程一般由四个基本处理过程组成,分别为采集、解码、对比和匹配。在认证前,首先需要对生物信息进行采样,提取其唯一的特征并转换成特征数据模板存储在认证系统的数据库中。在认证过程中,操作者同终端系统进行身份认证交互,终端系统采集操作者的生物信息并与数据库中的特征数据模板进行对比和匹配,从而决定当前操作者是否具备合法身份。
从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。
目前,生物信息识别认证技术常见的有:
指纹识别
指纹识别的工作原理是机器利用传感器采集指纹,通过一定算法抽取指纹特征,将该指纹特征与库中指纹特征进行对比,只要差异小于一定阀值,就认为指纹识别通过。指纹识别具有技术相对成熟、指纹采集设备小巧、成本相对较低等优点。
虹膜识别
两个人的单眼虹膜特征相同的概率是十万分之一,双眼相同的概率是一千亿分之一。除了疾病等原因外,即使是接受角膜移植手术,虹膜终身都不会改变。这些特点极其适合身份认证对认证信息的唯一性和稳定性的要求。
人脸识别
人脸识别技术具有非接触性,具有对采集信息干扰少和识别手段隐蔽等特点,可用于罪犯查找、医学图像诊断、银行卡支付、证件核对等领域。人脸易受表情、角度、光照和年龄等因素的影响,识别的准确度受到很大限制。
掌形识别
手掌特征一般指手掌的形状及表面纹理特征,其识别原理是采集的手掌三维图像,分析确定每个手指的长度、手指不同部位的宽度以及靠近指节的表面和手指的厚度,并将得到的特征数据与模板进行比较,并得出结果。手掌特征的稳定性较好,不易受外在环境的影响而改变,但受生理状况改变的影响,容易造成生理改变从而影响识别率。
其它生理特征的识别技术
基于生理特征的识别技术研究领域较广,除上述的研究方向外,DNA、手指静脉识别、牙齿识别、唇纹识别、体味识别、人耳识别、红外温谱识别等均属此类,但是在成本、易于推广等方面还存在较大困难。
身份认证标准亟待统一
由于没有统一的标准,不同应用系统采用不同的认证方法,一方面给用户带来不便,不同的系统、终端需要用户提供不同的认证信息,造成用户对这些认证信息管理困难,比如,许多用户为避免记忆困难,对于多个平台、系统均采用一样的用户名和口令,这样一旦其中某个平台遭到袭击,很容易造成连带损失。另外一方面,则使安全产品之间缺乏互操作性。
灵活、可互操作的认证是网络安全发展的关键,是保障互联网金融健康有序发展的重要内容之一。标准化对于认证产品的厂商和用户都至关重要,不仅有利于产品的推广和部署,而且有利于不同厂商产品之间的操作性,可减轻维护成本和升级负担,增强系统可靠度。
基于此,2012年联想集团作为6家创始公司中唯一的一家中国公司,发起成立国际FIDO联盟(全称为Fast Identity Online),旨在通过制定一个开放、可扩展、可互操作的在线身份认证规范,取代依靠口令验证的在线用户身份认证机制。目前已在国际主流互联网服务商、金融机构、产品供应商获得了广泛的认可,联盟成员包括Google、VISA、Mastercard、微软、三星、Paypal、ARM等巨头公司。
出于对中国市场的极度重视,FIDO联盟专门成立中国工作组以推动FIDO标准在国内的落地。如何满足中国庞大的互联网金融用户的需求,适应移动终端的差异性,以及互联网金融对身份认证系统的安全、高效、可控需求是互联网金融发展急待解决的难题,这也是FIDO联盟中国工作组主席单位——国民认证要解决的问题。
国民认证科技(北京)有限公司成立于2015年,是联想创投集团在互联网转型和推动“设备+云”服务的战略下成功孵化的子公司。
国民认证统一身份解决方案在近距离(本地)使用指纹等生物识别技术,采用更加可靠便捷的安全机制,支持国密算法,符合金融行业相关规范。在保证敏感信息和交易信息的机密性、完整性、不可抵赖性、加密安全等方面,国民认证统一身份解决方案是符合相关要求的,同时也实现了多因子认证、多重安全验证等安全机制,可以有效抵御钓鱼网站、木马等常见攻击。
整个架构体系如下图所示:
国民认证统一身份解决方案架构示意图
国民认证统一身份解决方案优势
便捷性:生物特征是人体固有的生理特性和行为特征,不需要像传统口令一样记忆,使用方便快捷,不会丢失,从而将用户从网络时代“多账户,弱密码,重复使用”的窘境中解救出来。
统一性与可扩展性:只要是符合FIDO联盟技术规范的终端设备都可以支持国民认证身份认证解决方案。对于各项生物识别技术或其他认证手段,都可以通过在本地验证转化成公钥密码体制,从而实现支持认证手段多样性和统一性。
安全、高效、可控:主要认证过程采用公钥密码算法的数字签名和签名验证,同时在通讯、客户端、密钥保护等方面采用了多项安全手段。通过配置服务器策略,可以实现对不同设备、不同认证方式等要素管理,也可以根据实际需求,增加相应的安全措施。
总而言之,国民认证统一身份解决方案满足了用户使用的安全性和便捷性,适应多种移动设备和生物识别手段,以及银行等金融安全、高效、可控的需求,实现了快速在线认证的目标。
国民认证统一身份解决方案的市场应用
目前,市面上支持国民认证统一身份解决方案的终端设备:三星、苹果、华为、联想、ZUK、LG、乐视、日本NTT DOCOMO、夏普、松下等NTT旗下所有指纹机型和虹膜机型全部支持;PC端:联想ThinkPad和YOGA笔记本电脑上已经实现对FIDO的支持;WEB 服务商:支付宝、翼支付、百度钱包、京东钱包、微众银行等;在国际范围内,金融行业中支持FIDO协议的有:VISA、万事达、美国银行等。在国内,国民认证已和中国银行、中国建设银行、中信银行和天津银行等开展商务沟通和技术交流,推广国民认证统一身份解决方案。
随着指纹传感器以及其他生物识别技术在移动设备中的集成越来越普及,可信执行环境(TEE)及嵌入式安全芯片(eSE)逐渐被移动设备厂商所采用,以及FIDO联盟的影响力日益增强、FIDO协议日益成熟,支持FIDO的移动设备会越来越多,国民认证统一身份解决方案的市场使用范围也会越来越广。
金融机构的竞争优势之一即保护客户信息安全的能力。作为个人敏感信息的拥有者,也有责任确保客户信息安全的最大化。因此,金融机构有充分的理由去不断创新、开拓新技术以修补信息安全漏洞,因而生物识别已经成为获得用户认可的可行选项,而创新的FIDO身份认证方案则为生物识别技术的安全应用提供了强大的保障。