存储在线4月27日,听了一上午的“网络空间可信身份管理技术研讨会”,政府专家、商界大腕一通灌输,但我还是云里雾里。但有一点我听明白了,就是要推广新的可信认证方法。联想创投集团成功孵化的第二个子公司–国民认证科技(北京)有限公司也对外正式亮相,并带来了杀手锏: FIDO。
我的兴趣在于技术,究竟FIDO“牛”在哪里呢?为此,我专程采访了联想高级副总裁、CTO,联想创投集团总裁贺志强先生,以及国民认证科技(北京)有限公司总经理柴海信先生。
什么是FIDO?
FIDO是一个国际联盟——快速身份验证联盟(Fast Identity Online),成立于2013年2月,由6家创始人单位发起,联想是其中之一。如今,包括阿里巴巴在内的252家企业和机构参与推动FIDO认证,得到了包括美、英政府在内的广泛支持。
FIDO联盟执行董事Brett McDowell表示:FIDO拥抱中国政府监管,愿意在中国政府的支持下,将FIDO再这样一个先进的技术标准引进中国。可是在我看来:不管FIDO是什么,联盟也好,标准也好,重要的是:它真的先进吗?
众所周知,中国的移动应用远领先于美国,作为领先者我们的可信认证能力会逊色于FIDO吗?即便技术力所不及,也可以通过“赔付”、“限额”等商务手段来解决,不是吗?
对此,贺志强指出:现有移动应用其可信性认证的缺陷是一定存在的,主要体现在其基于“中央数据库”认证方式。无论如何加密,中央数据库都有被攻破的危险。通过撞库攻击,也就是破获低安全等级的数据库,获取口令。用这个口令入侵高等级的数据库。很多用户为方便记忆,会采用相同口令和密码,让撞库攻击防不胜防。只要采用“中央数据库”认证,威胁几乎是不可避免的。
设备、人的关系
针对“中央数据库”认证方式的缺陷,FIDO提出了一个两阶段认证的思路。
首先它也采用密码界公认的公钥/私钥体系,对设备,如手机、终端、门禁等提供认证。另一方面,可以通过一些独特的技术,如原始的如密码;高级一些的如指纹、虹膜、人脸识别等,来确保设备对人的可信认证。即便设备丢失,陌生人很难破获设备。对于FIDO而言,设备就是人,人就是设备,从而解决了网络空间的可信认证问题。
服务提供商,根据FIDO获取可信认证设备信息来提供服务。从技术上说,当然也存在破获FIDO信息的可能,但这些信息并不包含指纹、人脸、虹膜、甚至口令等关键信息,对于入侵者而言,这是没有价值的。
因此从“中央数据库”认证方式到FIDO,新的身份认证方式为网络空间提供更加快捷、简便的认证方式。截至2016年4月,已有来自包括高通、三星、LG、华为、谷歌、雅虎、夏普等150多种设备产品获得了FIDO官方认证。
国民认证从中看到了商机。“作为一家初创公司,国民认证的第一个职责是将FIDO技术介绍到国内来,如2014年,支付宝第一个试用FIDO技术标准,2015年,京东、中国电信翼支付也开始采用这项技术。因此,我们就是一个技术服务方案的提供商。”柴海新说。
柴海新表示:“如果整个产业链慢慢成熟,能够得到广泛认可,也不排除提供认证服务的可能。”