汪德嘉:移动互联网身份认证安全发展趋势探析
随着我国经济增长持续降速,经济发展进入新常态,人口红利迎来拐点,劳动力成本不断攀升,借助新技术提高管理效率、控制管理成本成为我国广大企业的必然选择。而随着传统产业的日趋凋零,支持中小创企业进行业务、技术创新发展也日益显得更加重要,但随着宏观经济形势恶化全国中小企业景气指数最近一年来长期徘徊在临界值100以下。在这个经济大背景下,不论是响应国家号召还是从企业自身发展角度,信息化和互联网+战略是众多企业增效和转型的大方向,解决互联网中身份认证安全问题成为社会关注的重要课题。
国内身份认证技术
互联网的发展,带动了信息产业的发展,同时也带来了日益严重的信息安全问题,身份认证作为信息安全防护的第一关,承担了至关重要的作用。提高身份认证水平需要从认证技术和方法着手,采用更加先进的技术和方法。
基于静态口令的认证方式是一种最常见的技术,但是存在严重的安全问题。它是一种单因素的认证,安全性依赖于口令,口令一旦泄露,用户存在被冒充的风险。而双因素认证将两种认证方法结合起来,比单因素认证更为安全,目前广泛使用的双因素有:动态口令牌+静态密码、USBKey+静态密码、二层静态密码等。国内外不少信息系统还在使用用户名/密码的认证方法,存在较大的安全隐患,而身份认证系统可以根据信息保密要求的不同,对不同的用户通过访问控制设置不同的权限,并采用多种身份认证方式(用户名/密码方式、移动PKI体系认证、USBKey、动态口令、IC卡认证、生物特征认证)相结合的方法,与简单的用户名/密码的认证方式相比,安全风险得以降低。身份认证产品已被应用于网上银行、证券、工商税务、电子政务、电子商务以及其他领域。
目前身份认证技术方式有静态口令认证、智能卡认证、动态令牌认证、USBkey、短信验证技术、移动PKI体系技术、生物识别技术等,这几种认证方式在此前发布的文章中已有详细描述,这里不在赘述。
整个互联网仍然在快速发展,物联网、移动终端、云计算、大数据等相关技术的发展对身份认证提出了许多新的要求或挑战。身份认证功能是信息系统中传统且古老的组成部分,未来的身份认证技术仍然拥有巨大的发展空间。
网络身份认证发展有利因素
1.国内庞大的网民数量和网上应用多元化将推动身份认证信息安全市场的发展。随着互联网的发展,网络环境日趋复杂,各种攻击手段层出不穷,专门针对网上银行服务的欺诈和病毒攻击现象与日俱增,互联网信息安全局势依然严峻,庞大的网民数量和网上应用的多元化需求,将推动了网络身份认证信息安全市场的发展。
2.身份识别信息安全业受到国家产业政策的大力扶持。同时,身份认证市场在欧洲、东南亚、南美洲及北美洲等区域快速发展,为我国身份认证企业提供了新的发展机遇。
3.银行卡向EMV(easeofmovementvalue,移动值)迁移将带动年发卡量近3亿张、存量卡40亿张以上的国内银行卡的信息安全、身份认证市场的大发展,将给信息安全设备带来新的市场增长空间。
在上述因素作用下,我国网络身份认证信息安全发展迅猛。据前瞻产业研究院《中国网络身份认证信息安全行业与前景分析报告》统计,2016年我国信息安全行业收入达480亿元人民币,而身份认证领域已超过整体安全市场20%(见图12-2),即市场规模超过80亿元。
图12-2 2011-2016年中国网络身份认证信息安全市场规模(单位:亿元,%)
按照当前发展势头,身份认证领域占整体安全规模的比重将超过30%(见图12-3)。预计到2022年,网络身份认证信息安全市场规模达到291亿元,前景十分可观。
图12-3 2017-2022年中国网络身份认证信息安全市场规模预测(单位:亿元,%)
网络身份认证信息安全发展的趋势分析
目前来看,未来网络身份认证信息安全行业的发展趋势主要体现在以下五个方面。
1、网络安全日益严峻,互联网及移动互联网信息安全急需加强。随着互联网的发展,尤其是商务类应用的快速发展,网络安全问题日益严峻,互联网信息安全急需加强。此外,移动支付的兴起,令移动信息安全问题也随之凸显。
2、网上银行、电子支付快速发展,将推动身份认证信息安全产品的应用。随着电子银行业的迅速发展,业务的安全性也日益受到用户的重视,安全性仍是其选择手机银行品牌时的核心考虑因素。因此,网上银行、电子支付快速发展,将进一步推动身份认证信息安全产品的应用。
3、身份认证信息安全产品的应用范围将从银行业逐步扩展到其他行业。目前,身份认证信息安全产品的应用主要集中在银行业,但其他行业客户对网络身份认证需求日益提高,如电子商务、电子政务、移动支付、云计算等。
4、产品升级换代越来越快。随着应用环境的日益复杂,各种攻击手段层出不穷,客观上将促进身份认证安全产品的不断升级换代。
5、加密算法升级换代、数字证书存在有效期、OTP动态令牌产品电池寿命期有限等将推动存量市场的产品更新换代。
移动互联网身份认证创新
移动互联网大潮来临,将改变所有的商业规则,所有的业务需要支持移动互联网应用已经成为共识,移动优先是许多应用的战略选择。同时,移动互联网的安全问题正在成为日益严峻的问题阻碍着移动互联网业务的发展。
确保用户身份安全是移动互联网业务开展的安全入口,身份认证技术手段居于核心的位置。由于移动设备使用环境复杂,需要从应用环境、身份安全、传输安全、后端能力、应用管理几个方向进行整合治理,才可能有效改善移动互联网的安全问题。移动互联时代身份认证亟需安全保证。
互联网安全性问题一部分来源于公众网络安全意识,一部分来源于黑客攻击以及互联网网络安全技术。提高公众网络安全意识对于"日新月异"的犯罪手段是治标不治本的,要有效降低此类风险事件的发生率,还得改变以意识进行自我防范的思路,运用创新的技术路线对传统安全解决方案进行革新来突破这一瓶颈。
众所周知,银行目前主要的安全校检方式是通过U盾、蓝牙盾和音频盾等这几种硬件工具,携带的不便性是其显著的弊端;而支付宝、微信钱包及P2P等互联网金融产品也是当下最为火热的资金交易、存储工具,这些企业为达到增加用户体量、增强行业竞争力等目的,将产品的重心主要放在用户体验上。尽管这些第三方账户采用一定技术手段解决了互联网准实名身份认证的问题,但安全性仍存在验证不足的缺陷。以P2P平台为例,其身份认证依赖于客户手机号码,一旦户主姓名、身份证号码、银行卡账号、验证预留手机号码等基本信息泄露,犯罪分子可以通过复制手机SIM卡,非法接管控制甚至开通被被害人的开通手机银行,这存在极大的潜在风险。
对此,在2015年互联网安全宣传周上,有参展商提出了"网络安全+"的新概念,即"网络安全+"是一个乘法,安全作为一个乘法因子(最大是接近于1,更多情况下则是小于1),深深影响到企业因"互联网+"带来的业务利益,可以是正向的乘法放大,也可以是灰飞烟灭,让业务彻底崩溃。如何在"互联网+"时代构建一个主动立体的安全防护体系,将安全这个乘法因子做到正向的最大化,这是互联网企业必须聚焦的重点。
目前市场上已经存在为移动互联网金融提供身份认证和安全解决方案的产品,以移动APP为载体,再原有APP的基础上集成身份认证SDK,并结合PKI体系实现身份认证,是较大程度保护交易安全的强认证服务,即通过智能终端进行互联网身份认证及安全保护,全方位的保卫用户的数字生活。
多因素认证技术采用多种认证机制相结合的方式来认证用户身份。通常,用户在网站的登录界面内输入用户名和口令就可以登录互联网应用。这种基于口令的方式是互联网应用身份认证的基本方式,但是用户往往会出于容易记忆、方便输入等原因设置重复、简单或者易泄露的口令。互联网是充满攻击的开放环境,用户自设口令面临多方面的威胁。为了增加安全性,互联网应用在用户口令的基础上再增加不同的认证方式来认证用户,例如,手机验证码、移动PKI体系认证、手势密码、动态令牌等。
因此,如果当下的传统金融机构和互联网服务商能引进此类专业提供安全解决方案的技术,将安全问题托管给第三方安全认证服务商,不仅可以把专注力全身心地放在产品个性化和用户体验上,而且能有效地提高自身产品的安全级别,何乐而不为呢?在智能终端越来越普及的时代,谁先巧弈先手棋,谁先敢于融合新技术,谁就会在市场上取得先发优势。
结束:随着移动互联网、物联网、人工智能等技术的发展和成熟,身份认证将面临更加复杂的环境,如何保证数字空间中数字公民身份的唯一性和安全性是关系现实世界稳定繁荣的关键问题。身份认证是信息安全的第一道门,不管是在现在还是未来身份认证技术都拥有巨大的发展空间。