抢夺千亿级市场 巨头博弈身份认证标准

抢夺千亿级市场 巨头博弈身份认证标准

9月6日讯,据悉,中国移动支付公司对于技术、安全、场景的需求都领先于全球,对技术要求也更多,同时与身份认证相关的监管机构有十几个,大家的关注点和侧重点都各不相同。这给国内基于生物识别的身份认证领域带来了极大的挑战。

伴随着首个刷脸商用支付试点正式落地,基于生物识别的身份认证标准的话语权之争,也逐渐拉开帷幕。

9月1日,支付宝在杭州肯德基K Pro餐厅推出刷脸支付,意味着这项由阿里巴巴在2015年初推出的技术正式启动首个商用试点。这个历时两年半酝酿而成的项目只是生物识别技术的起点,支付宝的目标是把生物识别这种身份认证技术在金融行业普及。

毕竟,金融行业才有足够的身份认证需求,且具备最广阔的市场前景,被预估为“千亿级”市场。不过,目前金融行业暂无生物识别相关的标准,人民银行对于生物识别技术的定位也只是“作为核验身份信息的辅助手段”。

但习惯于“倒逼监管改革”的互联网行业早已开始筹备自己的标准,并形成了在国际市场获得普遍认可的FIDO、支付宝主导的IFAA,以及微信支付的SOTER三大认证体系。随着近期IFAA、SOTER先后宣布开放身份认证能力,三大认证体系开始正面博弈。

新型身份认证系统

事实上,互联网公司普遍使用的生物识别认证,很大程度上借鉴了金融领域的U盾验证体系。

由于普遍使用密码存储形式的“对称加密体系”,互联网行业在愈发频繁的泄密事件中爆发了大量拖库、撞库等愈演愈烈的安全问题。而相比之下,采用非对称加密体系U盾验证的金融行业,却从根本上杜绝了拖库现象。

“所以,移动互联网时代,大家就想把U盾思维引入到手机中,用非对称秘钥密体系打造在线身份认证系统”,FIDO联盟中国工作组主席柴海新向记者介绍,“在这一背景下,FIDO联盟成立。”2012年,PayPal、联想、新思科技等6家公司发起成立FIDO(即线上快速身份验证联盟)。

其后,Google、微软、ARM、高通、华为、三星、阿里巴巴、NTT、Visa、万事达等公司陆续加入FIDO。柴海新介绍,“联盟如今已经有近300家成员,2/3是手机产业链公司,覆盖了从最底层操作系统、芯片到手机厂商的完整产业链,打通了整个指纹识别体系,另外1/3的是诸如Visa、NTT等应用公司。”在日本,几乎所有移动互联网应用都支持FIDO认证体系。

在移动支付产业迅速崛起之后,生物识别规范也开始反哺金融行业。“从去年开始,全球支付规范标准组织EMVCo和FIDO讨论如何把手机提升为金融级安全设备。”

目前,按照国际CC标准(信息技术安全评价通用准则),手机安全等级在EAL2级,而金融设备则要求在EAL4+级以上。也正是因此,目前基于手机的消费、支付均以小额支付为主,基本万元以上的支付、转账等行为仍然要求进行U盾认证,或者在银行营业厅操作。

国内每年U盾需求接近1亿台,把手机变成U盾,是每一个手机厂商、移动支付企业的追求,尤其在中国市场,中国的手机产业、移动支付产业已经领先于全球。2016年,全球前十大手机厂商中,中国占据7席,且华为、OPPO、vivo位列前五。与此同时,2016年,中国移动支付发生交易257.10亿笔,金额157.55万亿元,同比分别增长85.82%和45.59%,移动支付交易笔数在电子支付业务中占比已达18%。

当然,与此同时,中国的身份认证市场也远比全球复杂,柴海新介绍:“中国移动支付公司对于技术、安全、场景的需求都领先于全球,对技术要求也更多,同时与身份认证相关的监管机构有十几个,大家的关注点和侧重点都各不相同。”这给中国的身份认证领域带来了极大挑战。

博弈指纹识别

进入中国伊始,FIDO就引发了身份认证的控制权之争。

“支付宝是FIDO在中国第一个试用客户,但试用之后,支付宝就参考FIDO做了一套认证体系,IFAA。”柴海新介绍,与支付宝类似,微信也参考FIDO的体系打造了SOTER认证体系。与FIDO体系的最大不同之处在于,IFAA、SOTER均增加了中央认证服务器,该体系中的身份认证均要到支付宝或者微信的服务器中进行认证。同时,IFAA在FIDO之外增加了二维码、远程验证等功能。

而且,得益于庞大的用户体量,支付宝、微信在手机产业链中均已建立无与伦比的话语权。根据IFAA公开数据,2015年6月发起成立至今,IFAA发展超过100个会员,覆盖超过36个品牌与200款手机设备,设备超过10亿台。就SOTER而言,超过30个厂家、数亿设备支持SOTER。

当然,控制权之争不仅局限于支付宝、微信之间,手机巨头华为也参与其中。柴海新介绍,“华为是中国手机厂商中第一个加入FIDO的,起初华为曾计划在FIDO中加入白名单机制,但因不符合FIDO规范,没有落实。”除此之外,华为麒麟960芯片已经获得央行《中国金融移动支付》标准和中国银联《银联卡芯片(集成电路)安全认证》标准,华为称搭载960的手机Mate 9具备与U盾相同的安全等级。不过,目前国内暂无评定手机是否达到金融级安全的标准。

关于控制权的争议在手机厂商与支付机构中酝酿出矛盾,迄今为止仍有部分手机的指纹识别不支持支付宝、微信。据悉,华为、三星均不支持微信的指纹支付,小米手机则从小米5开始支持支付宝,从小米6开始支持微信。多位业内人士告诉记者,“要求手机厂商在出厂时预制腾讯的秘钥,且由腾讯自由调用,这是手机厂商与微信产生分歧的主要原因。”除此之外,对于手机厂商而言,出厂前同时取得FIDO、IFAA、SOTER的认证也意味着大量的沟通、认证成本。

“国外与国内处理争议的情况完全不同”,柴海新向记者介绍,“最初,FIDO、Google、微软都做自己的体系,但后来,Google加入FIDO,Google的认证体系也成为了FIDO U2F的基础。微软的Windows Hello也贡献给FIDO,Edge也成为全球首个支持FIDO的浏览器。”Google、微软加入FIDO之后先后当选为FIDO主席。在国内,虽然FIDO曾尝试与IFAA合作,但目前尚未取得进展。

在各方割裂身份认证标准的情况下,身份认证在金融行业也并未取得太多进展。目前,SOTER仅用于微信,IFAA在金融行业的公开用户只有刚刚签约的浦发银行。在国内,FIDO的主席单位“国民认证”以及成员单位“飞天诚信”、CFCA已经在中国银行、民生银行、平顶山银行多家银行开始打造FIDO认证体系,但与畅想中的“千亿级市场”仍相去甚远。其中,飞天诚信副总经理闫岩认为,“身份认证的‘千亿级’更多是指千亿级使用量,但真正为认证付费的市场并没有这么大。”

需要指出,诸如FIDO之类的新型身份认证体系的应用场景远不止金融领域,还有更多存在市场需求的互联网应用场景,但目前行业推广者尚未把目光集中在金融以外的领域。

“国内指纹识别领域,标准碎片化严重”,手机中国联盟秘书长老杳也告诉记者:“虽然大家都知道需要有一个统一的标准,但每个人都有自己的想法,而且都不想妥协,严重制约了产业发展。”

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-09-06
抢夺千亿级市场 巨头博弈身份认证标准
据悉,中国移动支付公司对于技术、安全、场景的需求都领先于全球,对技术要求也更多,同时与身份认证相关的监管机构有十几个,大家的关注点和侧重点都各不相同。这给国内基于生物识别的身份认证领域带来了极大的挑战。

长按扫码 阅读全文