01移动互联网时代:
不安全感正在与日俱增
移动互联网时代,大家进行各类APP的账号注册,或多或少都要使用到各种验证码。从常规验证码体系(滑动拼图、图中点选、短信上行验证),到新的行为验证码,无一不是为了防止机器大规模注册。歪歪扭扭的图形及字母,数字都是为了增大机器识别难度而设,一句话总结起来,就是为了让服务器一端确认电脑面前的你是人而非机器。
然而基于图灵测试的理念被做成最简单粗暴的形式——验证码,渗透到人们互联网生活的方方面面。验证码虽好,但在移动终端由于普遍安全防御水平较低,非法窃取短信时有发生,假基站覆盖范围内,所有受影响的手机短信都会被监听易于携带就易于丢失,从而导致敏感信息的泄漏,对数据安全构成极大威胁,而所丢失的设备也可能会变成黑客攻击内部网络的跳板。
现阶段,也由于巨额潜在利润的驱动,不法之徒必定不会放弃对验证码的虎视眈眈。因此,不管是移动终端,系统服务端,还是通道(wifi、3G/4G、APN网络)等,让移动互联网时代的不安全感与日俱增。
02 To be or not to be ?
这是一个问题!
具体的说,移动认证技术希望“烦人的验证码”离开我们,朝着更便捷,更安全的互联网身份认证方式前进。但是,看似简单的东西,背后实现起来的技术却是越复杂。12306的验证模式,在启用不久后就被人破解了,而其他的各种验证方式,因为成本安全壁垒等种种原因,也还没有普及。但从整个业界的趋势看,验证的方式将会越来越简单,而安全性将会越来越高。
但即使验证再简单,APP注册依然是一个需要多步骤操作的事情。我们能不能再往下思考一下呢?注册是为了在应用中初始化一个新用户身份,登录则是为了确认这个身份。如果用户在登录的行为时,直接用手机号码作为登录凭证,剔除掉账号密码环节,能否通行各大APP呢?
移动认证技术的初衷正是如此:用手机号码作为互联网应用的通信凭证,基于运营商的底层技术网关确保安全用户身份认证的准确性与安全性。用户在打开移动数据网络以后,不需进行任何多余输入的操作,授权即可实现一键登陆操作。注册、账号、密码、短信验证码等等所有步都省去,最大程度提升用户体验。
总言之,以手机号码作为统一的账号体系,移动认证技术能基于运营商数据与网关能力实现用户身份认证、鉴权、管理,为各类应用提供信任登录及认证,并提供应用与应用连接、号码查询鉴别等增值服务。
03 移动认证的技术亮点及价值所在
目前,移动认证产品体系已基本形成,包括基于网关认证的六大基础产品:一键登录、本机号码校验、二次放号查询、实名认证、防刷单、应用连接器,提供账号使用和用户数据管理解决方案,强调快捷、安全、方便、高效的用户体验。其次还形成了以SIM卡为载体的高安全性身份认证产品SIM盾和数字身份验证。
移动认证产品通过多层措施保障用户账号安全。移动认证系统采用多种安全措施,包括软硬件方式来保证用户信息安全,不存在用户个人信息篡改、泄露、盗用等问题。基于运营商SIM卡、网络、支撑系统等核心资源,以网络自动认证、SIM卡高安全认证、大数据智能风控为核心技术,为移动互联网环境下的安全认证提供多层级、全覆盖的统一解决方案。其重要技术亮点如下:
1. 基于网络鉴权自适应的全方位安全认证技术。这一技术能提供自登录到传输再到平台的全方位安全保障。首先是登录安全保障。一方面,通过在软件中写入防篡改机制,对身份文件内容进行加密,实现认证的安全性和不可复制性;另一方面,在用户凭证中加入哈希值,保证每次取号对应的hash密钥无法伪造,实现认证的安全性和不可抵赖性。其次是传输安全保障,基于网络鉴权自适应机制,本成果试图针对不同的机卡开放、网络接入情况,自适应地选择不同的处理机制确保安全、可信、稳定地实现自动认证。最后是平台安全保障。技术的接口安全,具备白名单、防DDOS、防重放等功能,并采用国密算法对敏感信息进行加密传输,实现全方位的安全认证。
2. 基于SIM卡应用的双向签名技术。SIM卡应用创新性地结合了数字签名技术,密钥存储在SIM卡安全芯片中,实现不可复制不可抵赖的特性, 具体采用了密钥唯一、证书唯一、加密保护、双向认证等安全手段。
3.基于手机号码的互联网开放账号体系。以手机号码为统一账号,为互联网应用构建开放的账号体系,比微信登录、QQ登录等封闭账号体系具有更大的优势。
有了技术加持,其价值能力自然不容小觑。基于移动认证能力,叠加互联网内容,对内整合账号体系,可实现对定向流量业务“任我看”认证登录、业务订购、活动运营等核心模块的技术支持;以手机号码作为各种APP的登录账号,用户使用手机号码登录的APP越多,其粘性越强,有助于用户保有.通过SIM盾和SIMEID等硬件捆绑,用户的粘性更强,这对于客户保有,应对2020年携号转网政策有重大意义。
赋能互联网应用,移动认证使手机号码成为互联网应用生态中账号体系的一部分,为应用提供便捷的安全认证、应用互联服务,为互联网企业提供跨行业、跨平台、跨应用的统一开放账号体系,便捷实现应用与应用(包括APP+APP,APP+H5)、数据与数据间的连接,为用户、为互联网企业创造更大价值,有利于构建更加安全开放的移动互联网生态。
04 移动认证发展,机遇与挑战并存
目前,移动认证紧跟技术前沿,通过“持续优化产品品质、做大认证连接规模、丰富认证产品体系”,纵横双向加快各领域发展。截至2019年3月,接入业务已达到3306个,平均日活用户1.86亿,日均认证次数达9亿次,头部应用如京东、爱奇艺、抖音都接入了移动认证技术,实现了规模化健康化发展。
通过移动大数据提升精准度,调用移动认证技术,通过号码查询数据标签,依据数据标签呈现定制化内容,实现精准营销;更重要的是,在金融领域合作方面同样大有可为,如基于移动认证开发的SIM盾服务。SIM盾做了很多安全措施,因此比动态验证码安全,原因有几点:
- 第一,数据短信通过基带芯片直达SIM卡,不经过操作系统,不易被运行在操作系统层中木马截取。
- 第二用户口令及密钥存于SIM卡安全芯片,加解密运算不出SIM卡,黑客无机可乘。此外,引入双通道安全数据短信,实现安全认证通道与交易通道分离,最大限度规避单通道明文短息被攻击、破解的风险。
现阶段,通过战术和战略的调整与执行,找到终极解决办法越发重要。毕竟,侵犯或泄露公民个人信息案时有发生,动辄数百亿条的隐私数据,包含了手机号、身份证号码,上网基站代码等各项信息要素的新闻时有发生,这些记录了每个手机用户具体的上网行为,甚至部分数据能够直接进入公民个人账号主页。因此,在更加便捷的判断“你就是你”的情况下,加强网络安全显得愈发重要,移动认证面临的是机遇也是挑战。
【本文为51CTO专栏作者“移动Labs”原创稿件,转载请联系原作者】