他推行新式身份认证方式 手机服务器两把密钥验身份 合作企业78家

◆国民认证创始人、CEO柴海新

文| 铅笔道 记者 汪晨

►导语

网易邮箱过亿数据泄露、雅虎2亿用户信息被盗……近五年，国内外每年都会批露出一起密码拖库撞库事件。

柴海新认为，这样的信息泄露事件说明，传统密码认证的流程需要改变。

基于公钥加密技术原理和生物认证技术（指纹、声纹、人脸、虹膜等），2012年成立的FIDO联盟建立一套技术标准，将原先的一步密码认证改为两步生物信息认证。“如此，用户认证的流程集中在本地终端，黑客在网络传输中途只能截取到部分密码，无法破译全部，提高了安全性。”

◆FIGO标准协议下的新型认证方式流程

2015年底，在FIDO联盟发起者之一——联想集团的支持下，国民认证成立，计划基于FIDO联盟推出的技术标准协议，在国内推行一套本土化身份认证解决方案。

通过整合上游生物识别服务商、安全设施厂商、认证器厂商以及终端设备厂商（主要为手机厂商），国民认证帮助政务系统、传统金融行业、互联网金融平台采纳FIDO技术标准，改造认证方式。中途，国民认证向部署企业收取一定费用。

目前，国民认证与华为、小米、乐视等手机品牌合作，在40余款手机上支持FIDO协议，并帮助支付宝、百度钱包、翼支付等10余家支付平台部署这一套认证解决方案。公司业务覆盖手机厂商、生物识别技术提供商、支付平台、银行、证券、保险等领域，与78家企业达成合作。

注: 柴海新承诺文中数据无误，为其真实性负责，铅笔道已备份录音速记，为内容客观性背书。

传统密码认证方式的缺陷

“如何让我们的密码认证服务更安全？这是FIDO联盟成立的初衷。”国民认证CEO柴海新如此解释FIDO联盟的作用。

传统的字符密码认证流程已使用十几年，每家互联网公司都会在服务器端用中央数据库存储密码，用户在终端输入字符密码，密码传输至中央数据库中作对比匹配，匹配成功即通过认证。

但近五年，国内外每年都会批露出一起密码拖库撞库事件。黑客通过攻击一家大型互联网公司的中央数据库，截取大量用户名、密码，再与其它互联网公司的相同用户名、密码匹配，获取用户资料。

“这不单单是用户安全意识的问题，同时也说明中央数据库密码存储方式不再安全，传统密码认证的流程需要改变。”

2012年，联想、Paypal、Nok Nok Labs等6家企业联合成立FIDO联盟，决定建立新的密码认证流程和行业标准。

基于公钥加密技术原理和物理认证技术的发展（指纹、声纹、人脸、虹膜等），FIDO将原先的一步密码认证改为两步认证。

用户在手机等终端通过指纹等方式认证通过后，存储在手机安全区的私钥会解锁。服务器端，用户有一个单一的对应公钥，它会发至终端，与私钥匹配认证。

如此，用户的私钥和生物认证信息存储在用户终端的安全区内，服务器端仅有公钥，黑客即使在网络传输过程中截取公钥，也无法通过最终认证。

◆FIDO技术标准下的身份认证的流程。

此后，联盟逐渐扩大，谷歌、微软等操作系统平台，三星等手机品牌厂商，Visa、MasterCard、Paypal等支付组织，以及英国政府、美国标准化院等政府组织加入。截至2016年7月已经有252家企业、组织和政府机构参与其中。

技术标准虽然确立，但要在国内落地，需要符合国家监管要求，也需要团队具体执行。

2014年底，FIDO的发起者之一——联想决定将FIDO落地中国，建立专门的业务部门，在国内推行这一标准。该业务交由曾领投开展联想乐支付和乐安全业务的柴海新负责。

去年年底，为了让更多厂商支持FIDO，联想将这一业务独立，注册成立国民认证，柴海新为公司创始人、CEO。

基于FIDO联盟推出的FIDO UAF/U2F协议标准，国民认证研发出一套身份认证系统解决方案。

该方案为应用方提供客户端APP SDK和认证服务端；同时为终端厂商提供了ASM（认证器与FIDO客户端之间的统一接口）以及认证器安全应用模块（预装在手机安全环境中）。

以此，国民认证希望搭建一个统一身份认证平台，基于FIDO标准实名核实验证，并支持各平台终端设备和多种生物识别认证方式（人脸、指纹、声纹等）。中途，国民认证向部署企业收取一定费用。

◆国民认证提供的新式认证解决方案体系图

另外，国民认证在解决方案中增加了辅助的安全管理、策略配置及日志监控功能。前端的生物识别技术，由第三方服务商提供，例如Face++等。

帮助企业部署新式身份认证方案

提供解决方案前，公司需要满足国家对身份认证安全的监管。“中国的安全类产品必须采用国民加密算法，为了让业务运行地更加正规，公司产品需要通过商业密码管理局的产品认证。”

他们的具体做法是：升级FIDO技术标准，使其适应国家监管的要求，支持国民算法。

除了政府，国民认证还需要产业链上下游各家企业的支持。其中尤为重要的两个角色是手机厂商与拥有大规模用户、支付产品的互联网公司。

在硬件厂商这一端，公司遇到的困难是手机厂商的支持力度不足。

2015年初，国内支持FIDO技术的仅有三星NOTE4和S5，本土手机品牌还未支持。“大多数人还是认为这件事不是他们的业务中心，在优先级上没有排到靠前的位置。”

好在手机品牌的上游——国内生物认证服务商加入FIDO联盟，支持这一技术标准。“如果模组厂商不支持FIDO技术标准，手机品牌更难以支持。”

之后，手机厂商开始跟进。国内最早支持FIDO标准的是华为Mate7。“他们要将产品销往海外，因此需要接入这项技术。”

目前，国民认证与生物识别技术提供商汇顶科技、旷世科技、得意音通、释码大华等合作，提供生物识别技术，并华为、小米、魅族、乐视、联想、酷派、zuk等10余家手机品牌建立合作关系，在近40款机型支持FIDO协议。

具体应用到各行业客户时，国民认证选择从第三方金融服务商着手。

做技术部署时，团队需要适配各家的要求，以保证不会为原有的企业的服务、生产环境带来麻烦，同时不会在风险控制上造成漏洞。

第一个应用端试用客户是支付宝。

为支付宝部署FIDO技术时，团队需要满足阿里巴巴对于风险控制和系统安全性的所有要求。

另外还有非核心要求也需要同时满足。“比如技术改造时，服务器的并发量不能增加太多，否则投入成本高且影响其支付速度；在部署时，我们不能随意获取他们的服务日志。”

此后，国民认证陆续与京东钱包、翼支付、百度钱包等近十家支付平台合作，为应用方提供客户端APP SDK和认证服务端。

今年，国民认证开始为传统金融领域和大企业的内网认证系统部署新式认证方法。“一般大企业内部有四五十个系统，都得用密码登录很不安全，而且IT部门的要求是每3个月就得换一次密码，不便捷。”

此外，政府也在今年加强了FIDO技术标准的支持力度。“在中国电子标准化院加入FIDO联盟后，政府层面的支持加大，我们的速度也得以加快。”

未来，国民认证打算提供另一类认证产品。它支持与公安部身份证查验中心联网，以帮助用户实时完成实名认证环节。“这样减少身份被人冒用的问题，快速证明你的身份。”

除了实时之外，该产品的一个重要目标是实现前台匿名、后台实名的目标。“例如实名认证时，系统动态生成一个二维码，认证操作人员扫码后，前台只显示通过，不显示具体信息，但后台通过信息比对完成实名认证。”

目前，该产品正在网吧登系统环境测试使用，日后将在快递等领域推广。团队也正在扩展虹膜、人脸、声纹、等多种认证方式。

/The End/

编辑   薛  婷     校对   张  硕