访谈︱专注移动身份认证领域的芯盾时代
作者: 日期:2017年06月21日 阅:10,970

在今年RSA的创新沙盒活动中,一家名为UnifyID的公司成为优胜者。也是在今年,全球第一家也是唯一一家完全靠订阅付费为营收的云服务公司Okta,在纳斯达克上市。前者专注于行为识别,后者致力于单点登录,两者的技术核心都属于移动身份认证。

近期安全牛走访了国内一家优秀的移动身份认证安全产品与解决方案提供商——芯盾时代

孙悦

个人简历

孙悦,北京芯盾时代联合创始人兼CTO。曾长期担任中国移动通信研究院安全产品部总经理,主管产品和技术工作,在移动安全、认证安全、技术团队建设等方面有丰富的从业经验。2015年联合创办了移动互联网企业——北京芯盾时代科技有限公司,专注于移动身份认证的产品和解决方案。

一、个性化时代是身份认证的切入点

安全牛:为什么要做移动身份认证?

孙悦:网络安全行业是随着互联网的发展而发展起来的,那时的网络攻击针对的是网站服务器或是主机,所以应运而生了一批基于网络边界设备的安全厂商。

到了移动互联网时代,情况发生了变化。最大的变化就是互联网上的内容变得非常个性化,个人的身份和在网络上发生的行为越来越重要,甚至对于面向大众提供服务的互联网公司来说,无论是新闻阅读,还是游戏社交,还是购物支付,离开针对每个人的业务个性化,几乎难以生存发展。而且这种个性化趋势会越来越明显。

在这种个性化的趋势下,每个人的身份识别和认证就变得非常重要,并成为一个最基础的安全问题。我们知道,安全往往跟随着信息技术的发展。虽然业内人士已经意识到这个问题,但并没有比较成熟的产品来解决这个问题。这就是我们之所以成立芯盾时代,这家移动身份认证公司的切入点。

安全牛:目前的安全发展趋势,就是围绕着数据和人这两大核心安全问题展开的。

孙悦:没错,与数据安全联系最紧密的就是人,人的安全问题不解决,数据安全就无从谈起。这也是为什么现在针对获取身份信息的攻击,越来越成为黑客或网络不法分子的重要目标。

安全牛:能否介绍一下你们的核心成员?

孙悦:团队上,芯盾时代创始人兼CEO郭晓鹏,长期担任国内信息安全上市企业绿盟科技副总裁,主管市场和销售工作,也是该公司股东之一,对国内安全市场有广阔的视野和深入的理解。我们是一支具备深厚技术创新实力和丰富行业销售经验的团队,这在To B安全市场上是难能可贵的。芯盾时代聚集了来自清华、中科院、北邮、山大、绿盟、中国移动、华为、百度、360等知名高校和企业的资深专家和顶尖人才。团队总人数80多人,80%是在信息安全领域经验丰富的顶级专家。

二、口令、短信和硬件为三大主流验证手段

安全牛:身份验证的主流方式都有哪些?

孙悦:实际上身份认证的技术一直都有,从最早的口令认证到动态口令、令牌、手机短信、图像验证码等技术,主流的手段可分为口令、短信和硬件,在一定程度上解决了身份认证问题。但随着云计算、物联网等信息技术的发展,这些传统技术已经逐渐跟不上用户的实际需求。

说得直白点,早期的互联网用户对个人身份信息并不十分敏感,简单的认证技术已足够。但是当个人信息的价值变得很大的时候,强身份认证的方式就会被接受,而且同时还需要简单高效。传统的身份认证技术面临改革,人们需要一种既安全又便利的认证技术。

安全牛:移动时代,要求大家身上都带着U盾的确不方便,但手机短信验证不也是一种既安全也便利的方式吗?

孙悦:短信最初的设计目的是为了点对点通信,并不是用来验证身份,天然缺乏安全性。在两个点的通道之间,存在着很多漏洞。

比如,用户使用某个互联网服务时需要短信验证。首先,服务器上要生成验证码,然后通知运营商的短信中心,短信中心再通过手机基站发送给用户。

在这条通道中,手机会中木马,基站可能是伪基站,2G网络通讯是明文的,短信业务可能被入侵等等。

安全牛:短信业务被入侵具体是指?

孙悦:是这样,黑客可以通过盗来的登录凭证,进入用户的短信业务,甚至强行替用户开通短信保管箱之类的业务,然后获取短信验证码,这样实际上就绕开了必须从用户手机上盗取验证码的方式。

所以,上述短信发送整个流程的每个环节都可能会被黑客劫持。实际上,手机短信可称之为伪双因素验证,它只适用于安全性要求不高的过度时期。而U盾之类的硬件设备虽然属于真正的双因素验证,但由于携带不便的问题,在移动互联时代逐渐地失去了市场。

安全牛:方便与安全是一个矛盾体,如何解决这个矛盾体,或说如何在二者之间取得较好的平衡?

孙悦:刚才介绍了一下各种身份验证方式,其理论本质上可归为三种性质:“所知”、“所持”与“所有”。

你头脑里知道的,如口令,就是“所知”,不知道的人无法输入正确的口令。你拿的U盾、令牌,甚至是古代的虎符,都属于“所持”,只有持有者才被认可。“所有”是指个人天生拥有的,如指纹、声纹、虹膜等生物特征,是独一无二的。

现有的认证方式无论是灵活性还是安全性已经开始无法满足现代发展的需要,因此如何把这三者有效地结合起来,打通人与设备之间的通路,并使之完全可信、高效,则是芯盾时代的目标。

三、智能身份认证的动态可调性

安全牛:能否谈一下你们的技术思路?

孙悦:我们的技术核心称为三类智能:生物智能、设备智能和行为智能。这三类智能结合在一起,形成智能身份凭证,并保存到设备中,以保证用户的唯一性。

传统认证方式存在几个问题,第一是静态不变。一种方式固定下来,不会轻易去做改变,因此黑客可以不停地去尝试。第二个是被动发现。当安全事件发生后人们才得知,而此时黑客可能已经得手。第三个问题是扩散性。比如银行卡信息被泄露,银行无法制止信息的扩散,能做的只是通知客户更改口令,没通知到的客户只能等着被盗。最后,传统认证方式的不方便,体验很差。

芯盾时代的三类智能技术,其背后蕴含了20多个维度和2000多个特征,可做到智能化的、动态的调整,完全解决上述传统认证方式的问题。

安全牛:生物和设备特征容易理解,行为特征都有哪些?

孙悦:比如用户使用设备的时间、地点、操作的对象、频次、路径等个人操作习惯等。国外有的初创公司,还研究了人走路的步态。

因为有了各种各样的特征,所以我们的技术能够做到,在安全事件发生前,发现攻击行为的蛛丝马迹,而不仅仅是事中,甚至事后。同时,由于验证方式是动态可调的,黑客攻击的成本会很高,也不存在扩散的问题。

安全牛:如何理解动态可调?

孙悦:比如银行转账,传统的方式就是输入六位数密码,这就是静态的,谁知道密码都可以操作。但基于动态的方式,如果是在常去的场所,用常用的手机,给亲人转账,可能连密码都无需输入。但如果是陌生的环境,甚至是换一台设备,验证机制就会自动补充强制手段,多重验证操作者的身份,甚至客服人员都有可能介入。

四、一个数学公式的故事

安全牛:行为、设备和生物三大类技术中蕴含的2000多个特征,是实现事前发现、动态可调的保证,也就意味着达到了灵活与安全的平衡。

孙悦:技术上可以这样解释,但实际上它里面也蕴藏着一个信任模型,一个基于三个变量的数学公式。

能力×历史÷重要性=可信度

我举个例子,让一个人把一台电视从A房间搬到B房间,他完成这样一个任务的可信度取决于什么?第一个是能力,这个人是个成年人还是个小孩,决定着他的能力。第二个是历史,他有没有盗窃前科?是守法公民还是小偷?第三个是重要性,电视的价值几何?如果几百块钱无所谓,如果是几十万的话,前面两个变量必须很大,可信度才能提供。

其实,这不仅是身份认证的问题,这个公式模型可以把整个安全领域的问题都套进去。厂商的安全能力和成功案例,以及客户资产的重要程度,决定着资产是否能够得到安全防护的可信度。

五、行为识别的难点在于数据积累

安全牛:非常有意思的公式。简单明了的解释了安全可靠度的要素。具体到你们的产品,应用场景都有哪些?

孙悦:现在是五个产品线,除了最后一个是咨询服务以外,其他四种产品线均面向不同的应用场景。

第一个就是我们最早针对金融行业打造的多维联合认证产品,通过设备、身份、协议等生成唯一的数字身份凭证,主要解决交易欺诈和身份欺诈问题。目前这个产品已经非常成熟,有了四五十家客户,市场占有率超过80%,帮助我们的移动身份认证技术很好的切进安全领域。

第二个产品线的核心是行为认证技术,可以做到用户完全无感知的情况下来判断用户身份,无需输入口令等需要用户主动验证的操作。

安全牛:这个比较高大上,今年RSA创新沙盒的优胜者UnifyID做的就是类似的东西。你们的产品推出来了吗?

孙悦:我们的产品已经推出来了,而且已经在游戏、证券等几个行业开始应用。主要是做聚类,对好人、坏人、以及机器人和正常用户的区分,具备很强的商业价值。

安全牛:还只是聚类,没有到个人吧?

孙悦:目前还没有,但接下来我们现在正在研发的,就是把它聚焦到个人。UnifyID也在做这样的事情,但它的产品也处于超前的阶段,还没有完全商业化。

安全牛:这里面的主要技术难点在哪里?

孙悦:一个数据积累,二是算法模型。虽然各种传感器技术已经比较成熟,如走路姿势,拿手机的角度,习惯性地操作、点击力度等,可以识别得很准确。但如果要求精确到一定地步,如99.99%,才能真正准确唯一的识别出某一个人,这种行为模型是需要积累的。

目前的无感知验证不需要百分百准确,因为客户实际的需要是风险控制,只要能大规模地降低欺诈,就已经帮助客户节约大量的成本,具备很大的商业价值了。

六、To B 打法尝试解决“鸡生蛋与蛋生鸡”的问题

第三个场景面向的是企业内部,类似于国外的Okta,解决的是单点登录问题,拥有多套账号的用户只需要登录一次就可以访问所有信任的应用系统。目前已经有不少的客户在用,包括我们自己。

安全牛:据我所知,Okta是全球唯一一家完全靠订阅付费为营收,只提供云服务的上市公司。实际上,之前国内的创业公司洋葱做的也是这个产品,但他们没有成功。

孙悦:这种技术应用推广的最大问题,不在于技术实现,如果直接推向to C用户,则是一个“鸡生蛋,蛋生鸡”的问题。如果你不能接入更多的应用,那就不会有更多的用户,如果你没有更多的用户,包括网站等各种服务平台就没有接入的动力。

因此,我们的做法是 to B to E(指员工),先在企业中推广,让企业内部的员工使用登录企业本身的各种应用,以避免一开始没有用户的问题。当企业端的用户数量足够大时,再去与各种服务平台对接就容易多了。

安全牛:企业对这种产品的需求会很大么?

孙悦:不用说大企业,咱们就拿中小公司来看。几乎任何一家公司,都有自己的办公系统、邮箱账号和业务系统等需要身份验证的系统,每种系统设置不同的用户名密码是件很头痛的事。就拿有些公司来说,为了便于访问,一些资料放在公网服务器上,如果在访问的人中只要有一个人密码被盗,后果是非常严重的。

最后一个产品线面向的是物联网,如智能家居、智能汽车。现在很多高档社区,已经开始用手机来开锁。同样,这个开锁的手机应用也是用密码来登录的,安全性可想而知。目前,我们已经在一些小区试用。

七、行为认证是未来 但产品要实用、实际

安全牛:最后,能否谈一谈你们的融资情况?

孙悦:去年的A轮融资有几千万人民币,前不久结束了B轮融资,近 1亿人民币。

安全牛:这些融资主要会用在哪些方面?

孙悦:主要还是用在研发和销售上,把产品做深做扎实,同时扩大行业规模。

芯盾时代从成立之初到现在为止全是直销,没有渠道。之所以形成这种模式,是因为我们的产品创新性比较强,而且上来就能解决客户的实际问题。

由于第一个多维度联合认证产品的接受程度较高,因此后续的两个新产品,即刚才介绍的行为认证和统一认证,也较容易被客户理解和接受。

再想远一点,未来的人工智能机器人时代,行为认证会越来越重要。智能机器人不会根据口令行动,而是通过生物和行为识别精确无误地核实人的身份。

安全牛:有人认为,人工智能还早,UnifyID做的行为认证,真正实现起来很难,并不实用。你怎么看这个问题?

孙悦:我觉得这种科技的大方向应该没什么问题,而且离我们还真不一定会很远。但对于做企业来说,太超前于市场肯定是不合适的。企业要生存,要解决现阶段的问题,有了生存才能发展。

所以我们的技术产品也是围绕着这个思想来实现的。首先你要看得远,但是还要落实,要把产品与当下实际的场景应用结合起来。任何一项技术,或者说任何一个产品都需要考虑现实应用场景,甚至是与之关联的上下产业链是否支持。太超前没有办法落到实处,是不科学的,至少不是商业科学。

安全牛评

数字化时代已经到来,万物互联不再遥远,移动身份认证技术必然大有可为,Okta和UnifyID均属于其中的佼佼者。芯盾时代不仅从技术上结合了两者的特点,还选择了适合中国本土的商业模式,并从企业端切入稳扎稳打,解决了新技术发展难点。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章