|
在金庸先生的武侠小说中,出于身份是否正统的缘故,各种开撕比比皆是。 比如无量剑派的东宗、西宗,每隔五年便要门下弟子比拼一番,胜者获得「剑湖宫」的居住权。 再比如华山派的剑宗、气宗,谁都看不上对方,于是一场腥风血雨下来,剑宗几乎凋零殆尽,好在剩下个风清扬老爷子,我们也得以《听爷爷讲那过去的故事》…… 话头似乎扯远了,不过这已经充分证明身份认证的重要性。 三个火枪手 21世纪的身份认证当然不用比拼刀剑了,但我们还是要厘清各种认证技术与标准之间的区隔,毕竟这关乎到我们每个人。 每隔一段时间,总有这样的消息传出:某家网站或机构由于不慎泄露用户密码库,造成的结果不仅是用户私密信息和财产的损失,更可能在其他网站上由于「撞库」、「拖库」的缘故,带来更大的负面影响。 之所以出现这样的情况,就在于我们此前的所谓认证,基本是建立在用户名和密匙之上。对多数人来说,一套密码走遍天下的惯常做法,结果就可能造成无止境的损失和伤害。 那么,是不是用户可以在每个网站上采用不同的用户名和密码组合呢? 当然可以。可是姑且不论这样是否真的能够得到保障,单单是一大波的不同用户名和密码的繁杂组合,恐怕就足以令人丧失遨游互联网的基本乐趣了。 基于这样的原因,新时代的统一身份认证就显得弥足重要了。在这种模式下,人们可以通过人脸、指纹、虹膜等多种方式进行登录及各种操作,安全便捷,何乐而不为呢? 当前国内主流的统一身份认证解决方案包括三家,分别是阿里巴巴牵头的互联网金融身份认证联盟(IFAA)、腾讯微信推出的SOTER标准,以及联想创投孵化的国民认证(北京)有限公司代表的FIDO国际联盟标准。 表面上看起来,IFAA和SOTER足够强大,背靠大树好乘凉,而且异常强势,毕竟二者背后都有洪荒之力的应用作为支撑。 于是乎,令旗飘起,应者云集。 实际上呢,IFAA和SOTER多少都借鉴了FIDO的认证框架,均采用了由用户设备本地验证用户,然后采用公钥密码体系完成用户到服务端的验证的技术原理。 不过二者又同时对FIDO框架进行了一些改动。譬如,IFAA规范在整体框架中新增了中心服务器,用于证书的发放和验证;而SOTER方案则新增了 TAM 安全服务器,用于保管设备公钥,同时还引入了应用安全密钥的概念,用于设备和应用之间的双向认证。 国民认证代表的则是原汁原味的FIDO(Fast IDentity Online),其使命是以创建行业标准的方式,保证各个厂商开发的认证技术之间的互操作性——这一点非常重要,我们接下来会逐渐论及。 更加便捷和安全的认证 怎么说呢?由于背后有强大的应用推动,IFAA和SOTER的做法多少有些既做裁判员又做运动员的意思,设备制造商为了迎合应用方,不得不支持其提出的规范标准。 虽然有异类,但毕竟是少数。譬如今年年初微信公布SOTER时,华为和小米两家手机领先厂商便双双缺席。一番思量,两种心思,华为和小米的决定可能也曾经为其他厂商斟酌再三,只是最后这些厂商选择了妥协。 苹果也没有参加SOTER计划,不过面对这个巨无霸,微信却不得不同意苹果使用自家的指纹识别(Touch ID)进行认证与支付,这也是惟一的例外。 与IFAA和SOTER相比,FIDO的阵营显然更加庞大,目前已经拥有252家会员单位(截至2016年7月1日),其中不乏微软、谷歌、英特尔、三星、贝宝、万事达等各个领域的巨头。 作为六家初创成员之一,联想集团在2012年发起和成立国际FIDO联盟,旨在通过建立生物在线识别认证的行业标准,来解决强身份验证设备间缺乏互通性和身份认证过于依赖用户名和密码产生的问题。目前,FIDO已经成为国际上事实的在线身份认证技术标准。 联想在此领域的积累,可能远远超出多数人的想象。从2000年起,联想便进入安全研究领域,其后更是在可信计算、网络认证等方面节节推进,并接受了国家863计划信息安全技术方面的课题研究,参与了可信密码模块接口规范等国家标准的起草等工作。 与联想一道,更多的行业巨头加入到FIDO联盟,FIDO也得以在全球主流互联网服务商、金融机构、产品供应商那里,获得了广泛的认可。而在国内,阿里、京东、银联等企业和机构也纷纷采用了FIDO技术方案,并陆续在市场上开始应用。 背靠强大的FIDO身份认证技术,用户不必再担心商家服务器被攻破,导致密码被窃取或泄露。事实证明,FIDO比市场上大多数的身份认证体系更加便捷和安全。 在推进的过程中,FIDO联盟的做法也更加温和。用户可以将指纹、面部识别和虹膜识别等验证方式作为辅助凭证,与人们传统熟悉的密码支付、图形锁、短信验证等配合使用,从而实现安全性与应用性的平衡。 这种积极而又稳妥的推进模式,显然也更容易得到国内管理机构、企业和用户等方面的认同。 既是世界的 更是中国的 上面我们曾经说到,华为和小米拒绝加入微信SOTER合作伙伴名单,但有意思的是,这两家企业却积极拥抱了FIDO,其最新款手机中均预置了FIDO框架标准,也包括国民认证提供的上层应用方案。 或许有人会奇怪,为什么这两家企业没有支持「民族企业」的标准,反而投入FIDO国际联盟的怀抱呢? 其实,戴着有色眼镜审视FIDO本身就有失偏颇。作为国际产业联盟的标准组织,FIDO有强烈意愿在中国政府的监管下,让这一国际技术更加本地化,使得中国的身份认证技术与国际同步,从而更好地为中国服务。 正是基于这样的理念,从促进产业发展的角度而言,建立一个第三方中立的市场化技术实体,就成为当务之急。作为FIDO六大创始成员之一,联想选择孵化了国民认证科技(北京)有限公司。 作为FIDO中国工作组主席单位,国民认证致力于利用基于FIDO联盟UAF/U2F国际标准协议的先进技术,并通过多种技术创新,研发出符合中国市场及管理规范的身份认证系统,满足国内市场需求与监管要求,向中国主流互联网服务商、金融机构、硬件制造商、生物认证技术商提供从客户端到服务端的完整身份认证解决方案。 与此同时,国民认证构建和确保真实的人与虚拟世界的可信连接,为用户打造安全便捷的网络服务,并且在FIDO标准的基础上,又增加了辅助的安全管理、策略配置及日志监控功能,使之更加吻合国家的监管要求和用户的使用习惯。 我们可以想见,中国的国家规范应该会在兼容FIDO的基础上,做好中国自己的网络安全,这样可以利用已经广泛采用FIDO的各种设备、软件和网站资源,既降低了国家规范的推广难度,也减少了各家厂商的负担,对于统一身份认证在国内的发展与推进,意义重大。 目前,国民认证正在跟产业链上下游,包括芯片公司、操作系统公司、支付企业等方面进行合作。在FIDO本地化的同时,国民认证还在不断加大产学研合作的力度,齐心协力为产业链的高效供应和互联网身份认证升级服务做出应有的贡献。此外,国民认证已经在和其他企业和机构一起,共同起草和推动中国的网络身份认证国家规范。 不止于我们常见的登录和支付,统一身份认证的应用正在向更多的领域挺进。譬如新兴银行的网络业务办理、手机用户的远程实名认证等,也为统一身份认证提供了充分的施展空间。 国民认证,大有可为!  胖头陀 一个老媒体人的观察与守护 本公众号长期致力于科技及数码类产品、技术、品牌、市场等方面的内容传播。除此之外,还能提供到今日头条、百度百家、天天快报、搜狐新闻、一点资讯等国内平台,以及WordPress、汤博乐等海外平台的发布。 |
|
|
