移動互聯網身份認證安全發展趨勢探析
這是德嘉說第035期文章
編者按:當今時代,互聯網、物聯網、移動終端、雲計算、大數據等相關技術飛速發展,對身份認證提出了許多新的要求和挑戰。身份認證功能是信息系統中傳統且古老的組成部分,未來的身份認證技術仍然擁有巨大的發展空間。本文節選汪德嘉博士《身份危機》一書中網路身份認證信息安全發展章節,為大家分享信息安全行業以及網路身份認證技術發展的趨勢!
隨著我國經濟增長持續降速,經濟發展進入新常態,人口紅利迎來拐點,勞動力成本不斷攀升,藉助新技術提高管理效率、控制管理成本成為我國廣大企業的必然選擇。而隨著傳統產業的日趨凋零,支持中小創企業進行業務、技術創新發展也日益顯得更加重要,但隨著宏觀經濟形勢惡化全國中小企業景氣指數最近一年來長期徘徊在臨界值100以下。在這個經濟大背景下,不論是響應國家號召還是從企業自身發展角度,信息化和互聯網+戰略是眾多企業增效和轉型的大方向,解決互聯網中身份認證安全問題成為社會關注的重要課題。
國內身份認證技術
互聯網的發展,帶動了信息產業的發展,同時也帶來了日益嚴重的信息安全問題,身份認證作為信息安全防護的第一關,承擔了至關重要的作用。提高身份認證水平需要從認證技術和方法著手,採用更加先進的技術和方法。
基於靜態口令的認證方式是一種最常見的技術,但是存在嚴重的安全問題。它是一種單因素的認證,安全性依賴於口令,口令一旦泄露,用戶存在被冒充的風險。而雙因素認證將兩種認證方法結合起來,比單因素認證更為安全,目前廣泛使用的雙因素有:動態口令牌+靜態密碼、USBKey+靜態密碼、二層靜態密碼等。國內外不少信息系統還在使用用戶名/密碼的認證方法,存在較大的安全隱患,而身份認證系統可以根據信息保密要求的不同,對不同的用戶通過訪問控制設置不同的許可權,並採用多種身份認證方式(用戶名/密碼方式、移動PKI體系認證、USBKey、動態口令、IC卡認證、生物特徵認證)相結合的方法,與簡單的用戶名/密碼的認證方式相比,安全風險得以降低。身份認證產品已被應用於網上銀行、證券、工商稅務、電子政務、電子商務以及其他領域。
目前身份認證技術方式有靜態口令認證、智能卡認證、動態令牌認證、USBkey、簡訊驗證技術、移動PKI體系技術、生物識別技術等,這幾種認證方式在此前發布的文章中已有詳細描述,這裡不在贅述。
整個互聯網仍然在快速發展,物聯網、移動終端、雲計算、大數據等相關技術的發展對身份認證提出了許多新的要求或挑戰。身份認證功能是信息系統中傳統且古老的組成部分,未來的身份認證技術仍然擁有巨大的發展空間。
網路身份認證發展有利因素
1.國內龐大的網民數量和網上應用多元化將推動身份認證信息安全市場的發展。隨著互聯網的發展,網路環境日趨複雜,各種攻擊手段層出不窮,專門針對網上銀行服務的欺詐和病毒攻擊現象與日俱增,互聯網信息安全局勢依然嚴峻,龐大的網民數量和網上應用的多元化需求,將推動了網路身份認證信息安全市場的發展。
2.身份識別信息安全業受到國家產業政策的大力扶持。同時,身份認證市場在歐洲、東南亞、南美洲及北美洲等區域快速發展,為我國身份認證企業提供了新的發展機遇。
3.銀行卡向EMV (easeofmovementvalue,移動值)遷移將帶動年發卡量近3億張、存量卡40億張以上的國內銀行卡的信息安全、身份認證市場的大發展,將給信息安全設備帶來新的市場增長空間。
在上述因素作用下,我國網路身份認證信息安全發展迅猛。據前瞻產業研究院《中國網路身份認證信息安全行業與前景分析報告》 統計,2016年我國信息安全行業收入達480億元人民幣,而身份認證領域已超過整體安全市場20%(見圖12-2),即市場規模超過80億元。
圖12-2 2011-2016年中國網路身份認證信息安全市場規模(單位:億元,%)
按照當前發展勢頭,身份認證領域佔整體安全規模的比重將超過30%(見圖12-3)。預計到2022年,網路身份認證信息安全市場規模達到291億元,前景十分可觀。
圖12-3 2017-2022年中國網路身份認證信息安全市場規模預測(單位:億元,%)
網路身份認證信息安全發展的趨勢分析
目前來看,未來網路身份認證信息安全行業的發展趨勢主要體現在以下五個方面。
1、網路安全日益嚴峻,互聯網及移動互聯網信息安全急需加強。隨著互聯網的發展,尤其是商務類應用的快速發展,網路安全問題日益嚴峻,互聯網信息安全急需加強。此外,移動支付的興起,令移動信息安全問題也隨之凸顯。
2、網上銀行、電子支付快速發展,將推動身份認證信息安全產品的應用。隨著電子銀行業的迅速發展,業務的安全性也日益受到用戶的重視,安全性仍是其選擇手機銀行品牌時的核心考慮因素。因此,網上銀行、電子支付快速發展,將進一步推動身份認證信息安全產品的應用。
3、身份認證信息安全產品的應用範圍將從銀行業逐步擴展到其他行業。目前,身份認證信息安全產品的應用主要集中在銀行業,但其他行業客戶對網路身份認證需求日益提高,如電子商務、電子政務、移動支付、雲計算等。
4、產品升級換代越來越快。隨著應用環境的日益複雜,各種攻擊手段層出不窮,客觀上將促進身份認證安全產品的不斷升級換代。
5、加密演算法升級換代、數字證書存在有效期、OTP動態令牌產品電池壽命期有限等將推動存量市場的產品更新換代。
移動互聯網身份認證創新
移動互聯網大潮來臨,將改變所有的商業規則,所有的業務需要支持移動互聯網應用已經成為共識,移動優先是許多應用的戰略選擇。同時,移動互聯網的安全問題正在成為日益嚴峻的問題阻礙著移動互聯網業務的發展。
確保用戶身份安全是移動互聯網業務開展的安全入口,身份認證技術手段居於核心的位置。由於移動設備使用環境複雜,需要從應用環境、身份安全、傳輸安全、後端能力、應用管理幾個方向進行整合治理,才可能有效改善移動互聯網的安全問題。移動互聯時代身份認證亟需安全保證。
互聯網安全性問題一部分來源於公眾網路安全意識,一部分來源於黑客攻擊以及互聯網網路安全技術。提高公眾網路安全意識對於"日新月異"的犯罪手段是治標不治本的,要有效降低此類風險事件的發生率,還得改變以意識進行自我防範的思路,運用創新的技術路線對傳統安全解決方案進行革新來突破這一瓶頸。
眾所周知,銀行目前主要的安全校檢方式是通過U盾、藍牙盾和音頻盾等這幾種硬體工具,攜帶的不便性是其顯著的弊端;而支付寶、微信錢包及P2P等互聯網金融產品也是當下最為火熱的資金交易、存儲工具,這些企業為達到增加用戶體量、增強行業競爭力等目的,將產品的重心主要放在用戶體驗上。儘管這些第三方賬戶採用一定技術手段解決了互聯網准實名身份認證的問題,但安全性仍存在驗證不足的缺陷。以P2P平台為例,其身份認證依賴於客戶手機號碼,一旦戶主姓名、身份證號碼、銀行卡賬號、驗證預留手機號碼等基本信息泄露,犯罪分子可以通過複製手機SIM卡,非法接管控制甚至開通被被害人的開通手機銀行,這存在極大的潛在風險。
對此,在2015年互聯網安全宣傳周上,有參展商提出了"網路安全+"的新概念,即"網路安全+"是一個乘法,安全作為一個乘法因子(最大是接近於1,更多情況下則是小於1),深深影響到企業因"互聯網+"帶來的業務利益,可以是正向的乘法放大,也可以是灰飛煙滅,讓業務徹底崩潰。如何在"互聯網+"時代構建一個主動立體的安全防護體系,將安全這個乘法因子做到正向的最大化,這是互聯網企業必須聚焦的重點。
目前市場上已經存在為移動互聯網金融提供身份認證和安全解決方案的產品,以移動APP為載體,再原有APP的基礎上集成身份認證SDK,並結合PKI體系實現身份認證,是較大程度保護交易安全的強認證服務,即通過智能終端進行互聯網身份認證及安全保護,全方位的保衛用戶的數字生活。
多因素認證技術採用多種認證機制相結合的方式來認證用戶身份。通常,用戶在網站的登錄界面內輸入用戶名和口令就可以登錄互聯網應用。這種基於口令的方式是互聯網應用身份認證的基本方式,但是用戶往往會出於容易記憶、方便輸入等原因設置重複、簡單或者易泄露的口令。互聯網是充滿攻擊的開放環境,用戶自設口令面臨多方面的威脅。為了增加安全性,互聯網應用在用戶口令的基礎上再增加不同的認證方式來認證用戶,例如,手機驗證碼、移動PKI體系認證、手勢密碼、動態令牌等。
因此,如果當下的傳統金融機構和互聯網服務商能引進此類專業提供安全解決方案的技術,將安全問題託管給第三方安全認證服務商,不僅可以把專註力全身心地放在產品個性化和用戶體驗上,而且能有效地提高自身產品的安全級別,何樂而不為呢?在智能終端越來越普及的時代,誰先巧弈先手棋,誰先敢於融合新技術,誰就會在市場上取得先發優勢。
結束:隨著移動互聯網、物聯網、人工智慧等技術的發展和成熟,身份認證將面臨更加複雜的環境,如何保證數字空間中數字公民身份的唯一性和安全性是關係現實世界穩定繁榮的關鍵問題。身份認證是信息安全的第一道門,不管是在現在還是未來身份認證技術都擁有巨大的發展空間。在接下來的章節中將同多個角度分析未來身份認證不同的要求,具體需要什麼樣的身份認證體系才能滿足這些要求呢?敬請期待!
the end
TAG:德嘉說 |