双11移动支付占比首超90%,IFAA联盟揭秘如何让移动支付更安全
年初,有一则哭笑不得的新闻:杭州两男子连抢3家便利店后,感慨你们这怎么没现金?!随着移动支付技术的发展,缴电费、搭公交、买淘宝、叫外卖,现金失势, 手机 上位。连景区门口卖水果的大妈都会说,“亲,支付宝付款,顺丰包邮哦”!
刚刚过去的天猫双11,破纪录的成交额1682亿中,90%来自手机端,“剁手党”们惊呼手机支付已经成为网购中“无痛截肢”的神器。而安全支付的前提是正确的身份识别,只有确定了你是钱包真正的主人,才能让你妥妥地花钱。便捷又安全的移动支付,有赖于身份识别这一关键安全环节的技术进步。
那么,移动支付中的身份识别、特别是基于指纹、人脸的生物识别究竟是怎么完成的呢?11月15日,在深圳举办的“第二届中国移动 金融 安全大会”上,IFAA联盟副秘书长、蚂蚁金服高级安全专家黄冕博士,为大家揭开了神秘的面纱。
拿当下流行的指纹识别来说,从传感器采集到系统生成指纹特征文件,再到指纹支付的验证比对结果,需要硬件厂商、芯片厂商、系统厂商、应用厂商、甚至安全解决方案厂商的共同配合,牵涉到一条长长的产业链路……链路中环节多了,就容易出现标准不统一、接口差异、碎片化严重的问题,大家各玩各的,同一战线却没有一致的安全框架,存储安全和传输安全都有问题,风险怎么会不大?
为了更好地提高身份识别的安全性,保障移动支付安全,2015年,在蚂蚁金服、中国通信研究院、华为、三星、中兴的联合倡议下, 互联网金融 身份认证联盟(以下简称IFAA)成立。联盟汇集了应用厂商、OEM厂商、芯片厂商、安全解决方案厂商、算法厂商、国家检测机构等全产业角色机构超过140家。大家共同致力于围绕身份识别技术,建立了一个达到金融级别的,从整个硬件层到操作系统再到应用层的全链路安全解决方案,帮助用户安全地证明你是你。
用户得了好,厂商也不吃亏。在IFAA未成立之前,应用方苦于如何让产品适配市面上五花八门的机型,过程漫长且耗费大。即使像银行这样财大气粗的应用方,也会顾虑不适配背后的安全风险,进而延迟生物识别支付方式的使用。系统厂商和算法厂商则抱怨设备厂商跟不上革新的节奏,新程序诞生了,硬件却不支持。上新了,可能浪费开发成本;不上新,又容易错过市场先机。IFAA通过组建工作组,为不同层级厂商提供了在研发阶段交流的机会,并制定了统一的协议标准。应用方按照标准开发,产品就会自然匹配联盟内所有设备厂商的硬件,降低适配成本,便捷又安全;芯片厂商、算法厂商将有什么大动作,设备厂商心里有个预判,便可以迅速更新配件和UI。
在IFAA的全链条体系中,推进一个新设计,获取一项新功能都变得更简单,不同角色的厂商都能更迅速地了解和顺应行业新动向,甚至成为动向的发起者,同时极大地降低接入的时间成本。如今,已有超过36个品牌230款手机接入,支持浦发、苏宁以及阿里巴巴 经济 体旗下的各大主流应用,覆盖Android设备超过6.88亿台,并全面兼容iOS系统,是目前国内市场占有率最高的身份认证解决标准。
作为国内目前主流的身份识别认证联盟,IFAA也在探索更加先进的身份识别认证安全保障技术。黄冕博士表示,IFAA内部通过技术合作,正着手进行本地免密2.1解决方案和标准的研发工作。新协议将支持TEE+SE架构的解决方案,进一步提升应用和系统的安全性。届时,手机应用层、手机系统框架、TEE执行环境、应用商服务器、生物识别认证后台都将有IFAA的身份识别行业解决方案来保驾护航。
移动支付的健康发展,离不开以生物识别为代表的身份识别技术的不断升级。今天是指纹、人脸识别,未来也许还有虹膜、静脉识别,甚至其他新技术。全产业链都希望不断提高安全性和接入效率。在IFAA内,来自芯片厂商、应用厂商、OEM厂商、算法厂商、安全解决方案厂商、安全评测机构的力量将汇集为联盟行动。集全链条之力推动生物识别技术发展,建立更安全高效的本地免密协议,将最终助力移动支付更加安全。