神刀安全网

身份认证漏洞引发安全威胁:亟需建立在线身份认证标准

昨日,由中国密码学会、全国信息安全标准化技术委员会以及联想创投集团共同举办的网络空间可信身份管理技术研讨会暨构建可信空间·共筑标准基石合作签约仪式在京召开。大会围绕进一步推动网络空间可信身份体系建设、统一互联网用户身份认证管理、安全标准化需求,以及国际国内身份认证管理实践等主题共同研讨。

目前,移动互联网的发展,让传统众多线下行为转移到移动互联网上,甚至是对于安全性要求十分高的支付、账号密码登录等。

但与之相应的却是,身份认证手段的落后,例如,用户在手机端通常面临的认证方式便是,“账号+口令+短信验证码”模式,但这一方式只认密码和短信验证码,根本不关心是否是本人操作,安全性难以保证。

身份认证漏洞引发安全威胁:亟需建立在线身份认证标准

而刚刚兴起的生物特征(如指纹、面部、虹膜等)识别认证方式,虽然提升了安全性,但支持终端少,也仍然无法保证究竟是不是本人,同时,在互操作性上也难以实现兼容。

最为关键的是,我国在网络空间可信身份管理领域缺乏三方支付监管办法的标准,缺少政府机关认可,并亟需建立统一的安全技术标准来规范我国在线身份认证市场。

据悉,为了解决身份认证难题,FIDO联盟Fast IDentity Online)应运而生,其将创建行业标准的方式保证各个厂商开发的认证技术之间的互操作性,用简化的双因子甚至多因子认证技术结束多年来消费者记忆密码的烦恼。 目前已经有Google, Visa, MasterCard, BC Card, Microsoft, Intel, PayPal, ARM, NTTDocomo, 联想集团等252家公司与机构参与,同时包括美国国家标准技术研究所(NIST),英国内阁办公室,德国联邦资讯安全局等政府权威机构。

作为FIDO中国工作组主席单位,国民认证基于FIDO联盟UAF/U2F国际标准协议,向中国主流互联网服务商、金融机构、硬件制造商、生物认证技术商提供从客户端到服务端完整的身份认证解决方案。用户使用国民认证方案系统并通过认证后,其设备会使用私钥对认证信息进行签名并发送至登陆服务器,而登陆服务器则使用公钥进行验签从而完成身份认证。通过这种新型身份认证技术,用户不必再担心商家服务器被攻破,导致密码被破解和盗取的问题。

据悉,国民认证科技将用户的指纹、人脸和虹膜等生物特征存储于智能终端设备的安全硬件,对用户身份的识别全部在安全硬件中(独立隔离区域)完成。与传统通过互联网传递用户特征数据不同,验证通过后设备会使用私钥对认证信息进行签名并发送至登陆服务器,而登陆服务器则使用公钥进行验签,从而完成身份认证。国民认证已在多个在线身份认证领域得以应用,包括翼支付、京东钱包、支付宝等主流在线支付技术。

截至2016年4月,已有来自包括高通、三星、LG、华为、谷歌、雅虎、夏普等150多种设备产品获得了FIDO官方认证。这些产品涵盖从数码设备到在线服务的不同领域,譬如运输、安检、交通、银行、门禁等。

国民认证科技(北京)有限公司总经理,FIDO联盟国际拓展委员会主席以及FIDO中国工作组主席柴海新介绍,联想国民认证致力于提供创新的端到端身份认证技术和方案,构建和确保真实的人与虚拟世界的可信连接,为用户打造安全便捷的网络服务基础。此次的网络空间可信身份管理技术研讨会的顺利召开也预示着我国在线身份认证市场标准有望进一步得到规范,我们有责任把中国相应的需求反馈到FIDO组织,推动FIDO整个产业链在全球的健康有序发展,这也是今年初FIDO成立中国工作组的初衷。

京东金融产品总监李鸿表示:“简便的极致支付体验是大家的追求,而安全保障则是用户放心使用的前提。联想国民认证技术帮助京东钱包完成了解锁和指纹支付的产品化实现,为指纹识别的普遍应用打下了坚实的基础。”

据悉,国民认证成立于2015年,是联想创投在联想互联网转型和推动“设备+云”服务的战略下成功孵化的子公司。国民认证致力于利用基于FIDO联盟UAF/U2F国际标准协议,并通过多种技术创新满足国内市场需求与监管要求,向中国主流互联网服务商、金融机构、硬件制造商、生物认证技术商提供从客户端到服务端完整的身份认证解决方案。

目前,国民认证已与支付宝, 京东,翼支付等在指纹认证安全解决方案领域展开了深入的合作,人脸识别和虹膜识别等更加便捷、安全的生物认证安全解决方案也即将面世。国民认证希望和业界同僚一起把可信认证做好,并帮助用户提供认证解决方案。

联想集团高级副总裁、CTO,联想创投集团总裁贺志强在研讨会上表示:“国民认证是联想创投集团成功孵化出的第二个子公司,我们希望和业界同僚一同做好可信认证,建立中国在线身份认证市场的标准。同时,联想创投集团承载着联想互联网转型的战略使命,我们一直在主动寻求核心科技,推动联想未来的创新发展。”

中国银联股份有限公司执行副总裁柴洪峰院士表示:“2015年,我国互联网、移动互联网支付规模已超过14万亿元,是美国市场的4倍多。互联网支付的方式也从单一走向多样化,在线认证支付成为未来的趋势。很高兴联想今天推动身份认证技术的发展,对于我国身份认证支付行业的规范标准的统一起到了推动作用,为广大用户提供安全与便捷兼并的支付体验。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 身份认证漏洞引发安全威胁:亟需建立在线身份认证标准

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址