无论是我们早已熟悉的指纹解锁/支付,还是去年以苹果为首,智能手机厂商对3D人脸识别技术的探索,可以明确的是,传统意义上的字符串口令,正在离我们远去。
利用生物特征进行身份认证,无疑比记忆和输入冗长的强口令要方便的多。除了体验的便捷性外,更要重视的认证过程的安全性。作为一种“有限不可再生资源”,无论是指纹、人脸、或是未来可预见的虹膜、声纹,因泄露带来的安全隐患,不可小觑。
如何保证利用生物特征进行身份认证全过程的安全性?如何降低业内,包括手机厂商、应用开发方以及相关硬件支持厂商适配、协作的成本和门槛?
从先天更重视安全的移动支付等金融场景出发,这就是IFAA(互联网金融身份认证联盟)成立的初衷。
188家成员 12亿设备 3亿用户
2015年成立的IFAA,由信通院、蚂蚁金服、华为、三星、中兴等单位联合发起,目前成员单位总数达188家,覆盖包括多个国家应用厂商、移动终端厂商、芯片厂商、算法厂商、安全解决方案提供商以及国家检测机构等全产业链角色。
围绕利用生物特征进行的身份认证技术,IFAA致力于提供“金融级、全链路、标准化”的行业安全解决方案。
IFAA理事长冯春培,在这周四IFAA2018年度大会,向参会嘉宾介绍IFAA成立三周年所取得的成绩时谈到,IFAA成立的初心,是整合联盟所搭建的生态力量,从技术方案、产品、标准等多角度,解决行业关注的身份认证的问题。
IFAA理事长、蚂蚁金服大安全资深总监 冯春培
目前,有36个安卓手机品牌得到了IFAA的支持,覆盖设备超12亿,近3亿用户享受到IFAA的保驾护航,安全、便捷的指纹和人脸服务。我们支持的应用,也从一开始的支付宝,到阿里系,再到现在包括银行、航运、租赁等更多垂直场景。
此次IFAA大会,安全牛认为,从技术、标准和未来方向角度,下面三点成绩,值得一提:
1. 安卓系统下的3D安全人脸
首先,从技术层面,不得不提此次作为IFAA先锋成员之一的OPPO,9个月内快速实现了安卓的3D人脸支付。
据OPPO研究院软件中心负责人陈岩介绍,从传统的“PIN码&图案”,到“指纹”,再到“人脸”,身份认证的技术不断更迭,无论从安全,还是使用的便捷性,亦或是抗干扰能力,人脸识别都是更好的。目前可以看到人脸方案的一个难点,就是成本。
在安全人脸识别方面,需要攻克下面四个技术难题:
- 摄像头信息传输的安全
- 安全计算能力整合
- 3D活体检测算法评估体系
- 全链路的安全
而基于联盟所开放的“3D安全人脸快速接入平台”,IFAA为整个安卓生态(包括中低端机型)都创造了“快速复制标准化人脸支付功能”的机会。
IFAA是个符合移动互联网发展特点的开放联盟,应用先行,边走边沉淀,所以(安全人脸)标准的发布会滞后些。这也是为了联盟的标准和应用,都可以更快地更迭。
IFAA向OPPO、华为、高通、联发科技以及奥比中光5家企业颁发3D安全人脸技术先锋奖
2. IFAA&IEEE,IFAA&泰尔终端实验室
标准化、国际化是互联互通保障。所以标准工作也一直都是IFAA的工作重点。
据了解,IFAA在联盟标准方面,已经推出了IFAA本地免密的技术和检测规范;在国家标准的参与制定方面,也在信标委、信安标委、金标委、公安部等方面输出联盟的力量。
在标准的国际化方面,IFAA选择联手合作对象,是全球领先的标准制定机构——IEEE(电子与电气工程师协会)。
IEEE亚洲高级总监华宁在介绍时表示,IEEE在一年前便开始和IFAA接触,商讨在标准、学术层面的合作。标准制定工作,标准生态的健全,最重要的是参与单位要广泛且具有代表性。
对于此次IFAA和IEEE合作谅解备忘录(MoU)的签署,IEEE标准化主席Don Wright表示,此次建立的通用层面的合作,会涵盖包括标准工作的诸多内容。Mou签署后,重要的是双方的团队一起梳理之后落地的合作机会。
Mou只是一个骨架,我们需要用一些实际可落地的东西来填充它,它才会真正为双方带来巨大价值。
认证实验室是标准落地工作的重要方面。大会现场,IFAA向中国泰尔实验室颁发了IFAA检测实验室授权证书,正式授权泰尔实验室进行相关技术标准的检测与认证,推进标准的普及。
3. IoT身份认证安全框架发布
支付类金融的安全身份认证是IFAA的起点,物联网的身份认证则是IFAA的未来。这也是题目“从F到IoT”的蕴义所在。
在IFAA看来,物联网角色复杂(传感器、芯片、OS、云端平台)、场景/厂商碎片化严重、且缺乏统一的身份认证标准的现状,使得“产业链长,合作低效”已经成为未来可见的重要问题。安全性会给物联网时代的用户体验,带来严重的隐患。
物联网设备身份化,是未来重要的安全场景。
基于此,IFAA在今年5月,成立了物联网安全工作组,以银行卡检测中心BCTC、蚂蚁金服为组长,华为、小米、ARM中国、握奇、上海交大、汇顶科技、飞天诚信等近20家成员单位参与,并在这周四IFAA年度大会正式对外发布了《物联网身份认证白皮书》。
该报告对物联网身份认证产业链进行了分析,明确了物联网身份认证的安全需求与威胁挑战,并提出了物联网可信身份认证的整体安全框架。
物联网身份认证架构
下一步,IFAA物联网安全工作组将进一步收集物联网身份认证领域的需求和方案,推动产业链合作和方案落地,并制定技术标准和产品认证体系。
此外,在本次大会上,IFAA新一届理事单位也正式亮相:其中除了中国信息通信研究院、蚂蚁金服、三星、华为、阿里巴巴和中兴之外,还新增了平安科技、得意音通和北京一砂。
白皮书下载:
http://www.ifaa.org.cn/whitebook