伴随着首个刷脸商用支付试点正式落地,基于生物识别的身份认证标准的话语权之争,也逐渐拉开帷幕。
9月1日,支付宝在杭州肯德基K Pro餐厅推出刷脸支付,意味着这项由阿里巴巴在2015年初推出的技术正式启动首个商用试点。这个历时两年半酝酿而成的项目只是生物识别技术的起点,支付宝的目标是把生物识别这种身份认证技术在金融行业普及。
毕竟,金融行业才有足够的身份认证需求,且具备最广阔的市场前景,被预估为“千亿级”市场。不过,目前金融行业暂无生物识别相关的标准,人民银行对于生物识别技术的定位也只是“作为核验身份信息的辅助手段”。
但习惯于“倒逼监管改革”的互联网行业早已开始筹备自己的标准,并形成了在国际市场获得普遍认可的FIDO、支付宝主导的IFAA,以及微信支付的SOTER三大认证体系。随着近期IFAA、SOTER先后宣布开放身份认证能力,三大认证体系开始正面博弈。
新型身份认证系统
事实上,互联网公司普遍使用的生物识别认证,很大程度上借鉴了金融领域的U盾验证体系。
由于普遍使用密码存储形式的“对称加密体系”,互联网行业在愈发频繁的泄密事件中爆发了大量拖库、撞库等愈演愈烈的安全问题。而相比之下,采用非对称加密体系U盾验证的金融行业,却从根本上杜绝了拖库现象。
“所以,移动互联网时代,大家就想把U盾思维引入到手机中,用非对称秘钥密体系打造在线身份认证系统”,FIDO联盟中国工作组主席柴海新向记者介绍,“在这一背景下,FIDO联盟成立。”2012年,PayPal、联想、新思科技等6家公司发起成立FIDO(即线上快速身份验证联盟)。
其后,Google、微软、ARM、高通、华为、三星、阿里巴巴、NTT、Visa、万事达等公司陆续加入FIDO。柴海新介绍,“联盟如今已经有近300家成员,2/3是手机产业链公司,覆盖了从最底层操作系统、芯片到手机厂商的完整产业链,打通了整个指纹识别体系,另外1/3的是诸如Visa、NTT等应用公司。”在日本,几乎所有移动互联网应用都支持FIDO认证体系。
在移动支付产业迅速崛起之后,生物识别规范也开始反哺金融行业。“从去年开始,全球支付规范标准组织EMVCo和FIDO讨论如何把手机提升为金融级安全设备。”
目前,按照国际CC标准(信息技术安全评价通用准则),手机安全等级在EAL2级,而金融设备则要求在EAL4+级以上。也正是因此,目前基于手机的消费、支付均以小额支付为主,基本万元以上的支付、转账等行为仍然要求进行U盾认证,或者在银行营业厅操作。
国内每年U盾需求接近1亿台,把手机变成U盾,是每一个手机厂商、移动支付企业的追求,尤其在中国市场,中国的手机产业、移动支付产业已经领先于全球。2016年,全球前十大手机厂商中,中国占据7席,且华为、OPPO、vivo位列前五。与此同时,2016年,中国移动支付发生交易257.10亿笔,金额157.55万亿元,同比分别增长85.82%和45.59%,移动支付交易笔数在电子支付业务中占比已达18%。
当然,与此同时,中国的身份认证市场也远比全球复杂,柴海新介绍:“中国移动支付公司对于技术、安全、场景的需求都领先于全球,对技术要求也更多,同时与身份认证相关的监管机构有十几个,大家的关注点和侧重点都各不相同。”这给中国的身份认证领域带来了极大挑战。
博弈指纹识别
进入中国伊始,FIDO就引发了身份认证的控制权之争。
“支付宝是FIDO在中国第一个试用客户,但试用之后,支付宝就参考FIDO做了一套认证体系,IFAA。”柴海新介绍,与支付宝类似,微信也参考FIDO的体系打造了SOTER认证体系。与FIDO体系的最大不同之处在于,IFAA、SOTER均增加了中央认证服务器,该体系中的身份认证均要到支付宝或者微信的服务器中进行认证。同时,IFAA在FIDO之外增加了二维码、远程验证等功能。
而且,得益于庞大的用户体量,支付宝、微信在手机产业链中均已建立无与伦比的话语权。根据IFAA公开数据,2015年6月发起成立至今,IFAA发展超过100个会员,覆盖超过36个品牌与200款手机设备,设备超过10亿台。就SOTER而言,超过30个厂家、数亿设备支持SOTER。
当然,控制权之争不仅局限于支付宝、微信之间,手机巨头华为也参与其中。柴海新介绍,“华为是中国手机厂商中第一个加入FIDO的,起初华为曾计划在FIDO中加入白名单机制,但因不符合FIDO规范,没有落实。”除此之外,华为麒麟960芯片已经获得央行《中国金融移动支付》标准和中国银联《银联卡芯片(集成电路)安全认证》标准,华为称搭载960的手机Mate 9具备与U盾相同的安全等级。不过,目前国内暂无评定手机是否达到金融级安全的标准。
关于控制权的争议在手机厂商与支付机构中酝酿出矛盾,迄今为止仍有部分手机的指纹识别不支持支付宝、微信。据悉,华为、三星均不支持微信的指纹支付,小米手机则从小米5开始支持支付宝,从小米6开始支持微信。多位业内人士告诉记者,“要求手机厂商在出厂时预制腾讯的秘钥,且由腾讯自由调用,这是手机厂商与微信产生分歧的主要原因。”除此之外,对于手机厂商而言,出厂前同时取得FIDO、IFAA、SOTER的认证也意味着大量的沟通、认证成本。
“国外与国内处理争议的情况完全不同”,柴海新向记者介绍,“最初,FIDO、Google、微软都做自己的体系,但后来,Google加入FIDO,Google的认证体系也成为了FIDO U2F的基础。微软的Windows Hello也贡献给FIDO,Edge也成为全球首个支持FIDO的浏览器。”Google、微软加入FIDO之后先后当选为FIDO主席。在国内,虽然FIDO曾尝试与IFAA合作,但目前尚未取得进展。
在各方割裂身份认证标准的情况下,身份认证在金融行业也并未取得太多进展。目前,SOTER仅用于微信,IFAA在金融行业的公开用户只有刚刚签约的浦发银行(13.010, 0.23,1.80%)。在国内,FIDO的主席单位“国民认证”以及成员单位“飞天诚信(18.450, -0.50,-2.64%)”、CFCA已经在中国银行(4.270,0.06, 1.43%)、民生银行(8.430, 0.05,0.60%)、平顶山银行多家银行开始打造FIDO认证体系,但与畅想中的“千亿级市场”仍相去甚远。其中,飞天诚信副总经理闫岩认为,“身份认证的‘千亿级’更多是指千亿级使用量,但真正为认证付费的市场并没有这么大。”
需要指出,诸如FIDO之类的新型身份认证体系的应用场景远不止金融领域,还有更多存在市场需求的互联网应用场景,但目前行业推广者尚未把目光集中在金融以外的领域。
“国内指纹识别领域,标准碎片化严重”,手机中国联盟秘书长老杳也告诉记者:“虽然大家都知道需要有一个统一的标准,但每个人都有自己的想法,而且都不想妥协,严重制约了产业发展。”