10月21日,手机报在线和FIDO中国工作组联合主办,国民认证协办的主题为《FIDO中国-之本土化标准产业配套研讨会》的高峰论坛在深圳大中华国际交易广场六楼举行。来自国民认证的联合创始人崔忠勇先生在此次演讲中表示,在当前移动支付环境下,随着生物特征识别技术的日趋成熟,身份认证的普世公用标准是实现移动支付安全和便捷的重要条件。
以下是演讲内容:
我们先来谈谈对移动支付身份认证的需求,俗话说“屁股决定脑袋”,不同身份、角色的人想法一定是不一样的,关心的内容一定是不同的,我们由此总结归纳出来,关于移动支付对身份认证的需求通常分为四点。
1、对于服务提供商来说,最关心的是安全性问题;
2、对于一个终端用户来说,最关心的是便捷性;
3、还有用户同样关心的隐私保护问题。
4、最后,从整个产业链上下游来说,适配性问题很重要。
目前,客户以使用指纹支付为主,后期如果推出虹膜支付,我们如何让终端客户使用更便捷,这是产业链中每一个角色都要考虑的问题,最终我们把它归纳出来放在这里。
行业现状是怎样的呢?绝大多数所有身份识别、身份登陆,包括静态密码方式,它带来的问题其实不用赘述。2014年600多万携程用户被明码保存的密码,被从服务器中拿走,再到陆陆续续类似的问题。比如,某公司要求我们每一个人每三个月要换一次落地密码,每一次密码里面一定要包含数字和字母的大写与小写,每一次更换的地方和前四次是不能相同不能重复的,这些要求从公司角度看是合理的,但却让很多员工非常崩溃,同时也造成了大量的成本支出,因为它几万员工都有超过一次的密码重复,不但增加了人工成本,还有密码重置的成本。
再后来出现了动态口令的模式,现在用得越来越多了,但它的安全性和便捷问题依然存在。比如,在进行短信动态密码处理过程中,输入前要心里默念几遍那串数字,更令人崩溃的是有时候密码无法在短信提示里一次性显示出来,就还要点到短信的界面去查看,然后再回到APP,再重新输入动态密码,这时候可能我又忘记了这一串数字,这些痛点我觉得在座各位或多或少遇到过。
随着安全漏洞越来越严重,生物识别方式随着苹果的5S进入视野,被越来越多的手机厂商采纳,也为更多的终端用户所喜爱。刚才我请教了来自魅族的朱先生,魅族现在上市的智能手机都支持指纹。人脸识别精确度及活体检测能力正日益提高。虹膜识别由于非接特性和唯一性,也越来越受到重视。虽然前一阵随着手机爆炸,虹膜热用时间又滞后了,但我们相信虹膜识别会得到越来越广泛的使用。
这些越来越多的方式得到应用之后,支付应用方希望推出自己的标准和技术规范,这是中国的现状和国际现状不同的地方,造成产业链厂商的复杂化和碎片化。
上周五正好是(10月14日)国际标准日,国际标准日关于标准的定义是,首先它应该是代表业界发展趋势,它一定能够跨平台、跨设备,这是标准的最基本表征。其次在制订标准的过程中,依据标准的普世性。
但是现状是企业更愿意把企业自己的标准,作为业界的标准推出,这样会造成一些不公正性。
还有一个比较重要的,就是中国的企业在立足于国内的同时,开始走到国外去。比如,华为有一半以上的收入来自海外市场,海外市场的应用如何支持?就要用普世公用的标准来做这件事情。
因而,FIDO UAF标准在移动端的应用,正考虑了以上两点。在这个认证过程中,本人的生物特征不会上传到服务器端,相当于从根本上保证了个人的生物特征只在用户个人的手机上保存,隐私不会泄漏。其次手机厂商做了很多的工作保障终端用户的隐私,在终端设备和服务器端采用了国家商用密码局颁行的标准,用通行的非对称算法来保证每一次认证,每一次登陆,每一次交易,交易内容不会被破解或者是被钓鱼拿走。
从原理角度而言,FIDO能够代表未来的发展趋势。所谓未来的发展趋势就是越来越便捷和安全,这两件事情合二为一。对手机厂商和最终的服务提供商来说,比如,我们跟翼支付合作的虹膜登陆支付,这里面我们只要把手机认证器的元数据,提供给服务提供商,放在翼支付的后台去,翼支付就完成了终端用户可以直接用虹膜进行支付的过程。对于终端用户来说只要打开手机,就可以识别翼支付已经提供了虹膜支付的功能,打开刷一刷就可以。在此过程中,不需要大量的开发,只是基于FIDO标准进行的统一。
FIDO标准的优势之一是没有第三方的参与。没有一个人站在上帝的视角来看全局,平等地看整个产业链,国民认证消化吸收了FIDO标准,然后落地FIDO标准的实现。其一是将设置终端服务器、产线认证等干扰因素降到最低;第二个就是服务端不保留用户秘密,生物特征数据从不离开设备;服务和每个帐号之间都是分割开的,这就保障了它的安全。
FIDO就是满足了移动支付的认证需求,它对于在线的服务提供商来说,它是能够提供更高的安全性的要求,同时又减少了使用者的成本。比如说百度最早做第一款指纹支付的时候,是由自己做的一款,想做第二款的时候,如果不采用公开的标准的话,第二款的投入还是同样的,采用公开标准之后,它的时间和成本的投入大大降低。对使用者来说意味着安全和统一。
FIDO生态系统大概分为三类,在国际上大的金融机构都参与到FIDO联盟,像VISA、MasterCard等清算机构,美洲银行、花旗银行等银行都加入了FIDO联盟。
FIDO联盟落地的情况,在国际范畴是,日本NTT的强力介入下,日本所有手机全部支持FIDO;在韩国的银联机构,BCcard,的力推下,韩国的银行都开始支持FIDO的认证登陆和支付了。在中国,我相信再有不长时间,会有更多好消息告诉大家,就是在中国金融领域,会有更多的应用来使用到FIDO的技术和标准。也特别特别地欢迎各位,在这个产业链里面能够用投入最少的成本,服务更多的客户。将来,我们的目标除了在线的支付之外,一些和手机结合的应用也会把FIDO加进去,把密码干掉,把生物识别的认证加进去。
01月07日 18:14
