■ 本刊记者  崔光耀 冯雪竹

数字经济时代,前沿新技术和重要经济活动越来越多地向网络信息领域集中,而网络信息技术日新月异、竞争日渐激烈,标准之争向来被各国视为谋求竞争优势的战略制高点。

2018年9月30日至10月4日,ISO/IEC JTC1 SC27(信息安全分技术委员会)工作组会议在挪威约维克召开。本次会议由挪威标准化协会承办,中国信息安全标准化技术委员会组织中国代表团一行33人参加了会议,中央网信办网络安全协调局张胜调研员担任代表团团长。

本次SC27会议内容主要包括:在研标准项目推进、新立标准项目和研究项目讨论等内容。中国代表团重点推动了以下国际标准提案的进展,取得了丰硕的成果:一是包含我国SM4算法的ISO/IEC 18033-3的《加密算法 第3部分:分组密码 补篇2》进入FDIS阶段;二是我国提出的《量子密钥分发设备的安全要求和测评方法》、《基于硬件安全模块的设备与服务之间的可信连接安全建议》完成研究期工作,成功进入NWIP投票阶段;《ZUC祖冲之算法》以补篇形式成功立项纳入ISO/IEC 18033-4;研究项目《网络虚拟化安全》成功立项;三是我国提出的ISO/IEC 27045 《大数据安全与隐私保护过程》、ISO/IEC 27553《移动设备生物特征识别身份认证安全要求》进入第1版WD阶段;ISO/IEC 27070《虚拟化信任根的安全要求》进入第3版WD阶段;《SM9-IBE算法》、《SM9-KA协议》、《ICT可信赖框架评估指南》、《大数据安全与隐私保护实现指南》4项研究项目延长6个月研究期;《数据安全》、《工业互联网平台安全参考模型》、《家庭物联网安全与隐私保护》3项研究项目进行了中期汇报;四是我国专家被任命为JTC1/SC27到JTC1/SC42联络官。

据中国信息安全标准化技术委员会的官方平台发布的消息称,代表团圆满完成了参会预期设定目标,按计划推进了现有国际标准提案进度,有力提升了我国在信息安全国际标准化的贡献度和影响力。

其中,由蚂蚁金服专家牵头推进的ISO/IEC 27553移动设备生物识别认证安全标准被ISO国际标准组织正式立项是此行的一大亮点。该标准的主要内容来自于互联网金融身份认证联盟(IFAA)制定的联盟标准。

互联网金融身份认证联盟,由中国信息通信研究院、蚂蚁金服、华为、三星、中兴等于2015年联合发起,截至目前联合了包括应用厂商、移动终端厂商、芯片厂商、安全解决方案厂商、算法厂商、国家检测机构等在内的逾200家成员单位。这个覆盖全产业链的联盟组织,致力于围绕身份识别技术,推出金融级、全链路、标准化的身份识别认证安全解决方案,即可信连接解决方案。截至2018年11月,已有36个品牌、480多款、超过12亿设备接入了IFAA方案。

超过3亿用户通过各类应用开通并使用了IFAA联盟“金融级安全”的指纹或人脸身份校验功能。淘宝、支付宝、天猫、浦发信用卡、苏宁金融、苏宁易购、上海CA“移证通”、蚂蚁财富、飞猪、淘票票、南京银行等十余款APP应用通过IFAA联盟金融级的核身方案,为用户带来了切实的安全与便利。

随着IFAA联盟的逐步对外开放赋能,包括交通银行、平安银行、中国电信天翼、东方航空、蓝凌软件、小猪短租在内的众多知名企业旗下的APP已经与IFAA联盟展开了技术接入工作。

未来IFAA联盟还将联合国内外更多的金融机构、通信公司、软硬件厂商、标准组织、政府部门、科研院所和检测机构,围绕物联网等创新场景,发展更多元的移动设备、智能设备生物识别技术,打造“立足安全、面向未来、软硬结合”的安全生态圈。

鉴于此次中国专家在ISO国际标准层面成功立项生物识别标准的重要意义,本刊记者日前专程前往杭州蚂蚁金服总部,采访了蚂蚁金服标准化资深专家落红卫,以及标准起草团队的孙曦、谷晨等专家,就该标准国际标准立项的几个关注问题进行深入探讨。

致胜时刻:23国投票支持

记者:蚂蚁金服牵头的移动设备生物识别身份认证安全标准(Security requirements for authentication using biometrics on mobile devices),参与ISO国际标准立项,这不仅是生物识别领域,也是网络安全领域的一件重要事情,大体经历了哪些过程,具体进展情况和动因是什么?

落红卫:今年10月,ISO正式宣布此项标准成功立项,并分配了相应的标准编号,这背后是由国内的产业应用基础做支撑的。2017年,我国在移动设备上的生物识别应用体量就已经很大,比如在手机上使用指纹识别做支付的用户已不低于8000万人,人脸识别应用也日益广泛,具备了牵头进行国际标准研究的基础,也有一些国外专家表态愿意支持。2017年4月,我们在ISO/IEC JTC1 SC27新西兰汉密尔顿会议上正式开展标准研究课题项目,按照SC27的工作流程规定,研究课题项目需要至少半年的研究期。2017年10月,在充分考虑其他国家专家建议的基础上,为更能适应未来发展的需要,我们主动对标准研究课题的范围进行了调整,更加关注安全部分,这个阶段算是调整阶段。从2017年10月到2018年4月是攻坚阶段,我们正式提出立项申请,并最终得到了大部分国外专家的认可。2018年10月,ISO终于正式宣布我们的国际标准立项。

记者:这一标准得到23国的支持和肯定,说明了什么问题,即国际组织看重了它什么独特的地方?

孙曦:按照ISO的标准工作流程,一个正式标准项目的立项成功与否是需要各国投票来决定的,而且要求较为严格。只有表决通过才会分配ISO标准编号并继续后续标准研制。该标准最终投票结果有23个国家表态支持,没有国家反对。在23个投票支持此标准立项国家里面,美国、英国、法国、日本、韩国和芬兰这6个国家在投票表决单里还表示愿意派出专家参与。

这项标准能顺利通过立项并获得认可,我们认为有如下几点原因:第一,标准的选题切入点比较好。生物识别传统的应用场景主要集中在海关、门禁等特定领域所使用的专有机具开展,ISO原有标准体系也主要围绕这些场景和需求进行制定。而伴随着移动互联网的发展,生物识别的应用场景在很大程度上已经往移动终端上进行了迁移,相对应的,目前ISO与生物识别相关的技术委员会也已经开始关注在移动设备上的生物识别标准化。

首先,在移动终端上应用生物特征识别技术时,安全性是产业各方和普通用户都非常关注的话题,也是这个行业健康良性发展的基础。我们团队在这个时间点上选择这样标准课题,是一个较好的切入点;第二,我国已经具备了较为强大的产业基础作为支撑。这几年,我国在生物特征识别技术研发和实际应用上取得了快速发展,尤其是在基于移动设备的互联网金融领域的大规模实际应用,通过实践总结和不断迭代,在部分生物特征识别技术领域上如人脸识别、活体检测等已经在世界范围内取得了领先。以今年淘宝“双11”数据为例,在当日零点后的交易高峰中,通过生物识别认证完成的支付占到了60.3%。

而在标准层面,通过互联网金融身份认证联盟(IFAA)这个平台,产业链上下游的移动终端厂商、芯片厂商、生物特征识别的软硬件厂商、移动应用开发商、系统集成商、检测认证机构等也早已联合起来,从安全和便捷兼顾的角度出发,共同研究制定相应的移动终端生物识别的标准,这都为其上升成为国际标准提供了基础。

蚂蚁精神+协同作战打出一手好牌

记者:此次立项的移动终端的生物识别标准侧重于哪些生物特征,比如人脸、指纹、虹膜或其他?

落红卫:此标准是关于所有基于生物特征识别的身份鉴别。目前身份认证有三大类:第一类是我知道什么,如我记得自己的用户名和口令;第二类是我有什么,如用PC转账会插一个小的U盘类密钥来进行验证;第三类是我是谁,即人本身具备了指纹、虹膜、人脸等生理特征,以及写字笔划、声纹等行为特征。生理特征和行为特征都属于生物特征识别的范畴。

记者:在此标准立项前,蚂蚁金服在生物识别的生态建设方面做过哪些努力?

落红卫:第一,整个阿里巴巴,包括支付宝,原来是服务型的公司,现在转型做科技公司,所以企业内部成立了很多研究团队和研究院,对最前沿的技术做深入的研究和推广。目前,蚂蚁金服确定了“BASIC”的科技创新策略,B是指Blockchain(区块链),A是AI(人工智能),S是Security(安全),I是IoT(物联网),C是Cloud computing(云计算)。可以看出,这些都是针对前沿技术的。第二,是产业基础深厚。支付宝相对国内其他互联网企业来说体量很大,在很多科技应用方面据有特殊的优势。第三,得益于良好的国内生态环境。蚂蚁金服在推进生物识别科技的时候,联合国内产业链头部企业在2015年发起成立了IFAA,即互联网金融身份认证联盟,在这个产业联盟里汇聚了来自产业链上下游的优势力量,不仅有中兴、华为等国内公司,也有三星等国外公司,联盟本身也在做标准化、国际化的内容,标准往国外走,对整个产业来说既是引导也是保护,这也符合我们产业生态发展的需要。总的来说,蚂蚁金服自己具有一定的实力,但依靠一家的力量是没办法实现整个产业链的愿景,还需要整个联盟齐心协力,有策略地支撑和建设生物特征识别的生态环境。

记者:为什么移动生物特征识别的产业生态建设是由蚂蚁金服这样的头部企业来牵头?

孙曦:相对而言,传统的生物特征识别企业主要作为技术服务提供商的角色,站在其自身的角度来考虑如何将其提供的产品和服务做得更安全,这样的企业只能是整个产业链条中的一个点,可能很难站在全局角度去做这个事情。而如蚂蚁金服这个量级,立足于科技服务的企业,是需要站在整个产业链上进行全面的安全考虑,才能有效保护用户的个人隐私和资金安全。因此,我们不仅关心生物识别系统软硬件和算法的安全性,还要从应用场景、移动设备安全、应用软件安全、后台服务安全等进行全方位考虑如何进行各模块的安全防护,并通过“可信连接”串连起整个链条,站在全产业链视角去解决问题。

谷晨:蚂蚁金服牵头做标准也是产业生态建设的重要切入点。国内乃至国际上有很多钻研生物特征识别的公司,他们聚焦在人脸、指纹、虹膜等专业技术领域,在本专业做得很好。蚂蚁一方面有自己很强的研发能力,在这些方面去做技术上的攻关和创新,同时在此基础之上,在核心的生物特征识别技术之外,还有很多系统级的内容需要体系设计,而这种端到端、全链系的安全必须有大量的用户入口和大量的应用实践才能打造起来。蚂蚁金服有支付宝这样“国民级”的应用,所要打造的是一个很大的“可信连接”体系。当我们把这些优势融入标准推向国际的时候,我们整套内容都是领先的——这就是标准的特性。我们不可能用一个标准把所有内容都框进去,我们要找一个最受人关注的、最能引起共鸣的,而且特别能彰显我们实力的点,并且把点锁定在整体安全的框架中。

记者:IFAA联盟成员对这个标准提供了哪些帮助?

落红卫:首先这个标准本身,是IFAA联盟里所有参与其中的成员共同产出的,整个方案里既涉及移动终端本身,也涉及生物特征识别的解决方案、安全方案等各个层面。联盟成员基于一些正在制定的国内标准向国外输出,在国内已经有非常充分的交流、沟通的基础上,认识和行动统一后再往外推进。IFAA联盟相当于把大家汇集到一块形成一个整体方案,相当于大家参与了一个中国国内的标准起草,既代表中国企业,同时也代表着全球生物识别认证产业链的利益,这是因为中国市场很有可能会引领整个国际的发展。这样制定出台的标准将使大家都能看到方向,这也是标准本身的魅力,使大家能够达到多赢的局面。

记者:中国政府和相关机构为身份认证及生物识别标准的推出和普及提供了哪些支持和帮助?

落红卫:政府和指导机构的支持,主要表现在两个方面,一是组织架构,二是流程管理。组织架构方面,全国信息安全标准化技术委员会和全国信息技术委员会专门设立了针对整个身份认证及生物特征识别的专门工作组,这两个工作组把国内的很多相关企业聚集到一起,共同去讨论和推进标准的制定,同时对一些推出的方案提供专门的验证和评价。从流程管理方面,在ISO会前还组织邀请相关的部门来评价这个标准本身的合理性和安全性,做了非常完善的流程管理,而且有特别好的保障机制。从这两个角度来说,政府和指导机构为将这一国内业界产生的标准推到国际上,起到了非常有力的支持和保障作用。

合作共赢为ISO和行业应用贡献中国力量

记者:这个标准走向国际,对中国企业参与国际生物识别领域标准制订和市场应用等方面会产生哪些影响,有什么深远的意义?

落红卫:首先我们在尝试向国际推标准的时候,就在此框架范围内,第一个把生物特征识别的标准立了起来,这意味着接下来会有更多钻研生物特征识别的中国企业,可以顺着这个脉络去拓展出更多内容。

在生物特征识别这个领域,以前中国只是参加一些国际会议或者参与国际某些项目,但直接牵头的其实很少。此次标准立项就好比有句成语,叫“一针见血”,中国在该领域直接扎进了这个产业脉络的动脉血管里边,这样接下来我国很多前沿的产业联盟或头部公司,比如IFAA,就可以往这个血管里去输送更多的国际标准,这是它本身蕴含的价值和意义。

另外,单从蚂蚁金服的角度来说,除了生物特征识别,还有很多科技都和国家战略密切关联,比如区块链、人工智能、大数据等等,这也得益于我们整个中国在这些方面都走得非常靠前。我们提前一步把标准扎入到ISO的血管里,可以把国内更多创新的东西沿着这个路径和模式逐渐地融入ISO,给国内更多产业创建发展的空间和机会。

记者:从发展机遇和挑战角度看,当前新技术应用快速发展,未来生物识别领域的发展趋势将会怎样?有哪些重点值得关注?

落红卫:如果总结成一句话,那就是“建立万物互联的可信连接”。未来万物互联的时候,大家会更加注重安全和便捷的完美结合。我们第一关注的是安全,因为生物特征识别是和保障用户安全紧密相关的。与此同时,我们还希望它更便捷,因为美好生活代表着各方面的效率和舒适度能有进一步的提升。目前的万物互联,包括手机和物联网的各种智能设备,都承载着生物特征识别在身份认证上的功能,而且更重要的是,这个市场会越来越大。再往后来看,生物识别可能就完全回归自然。一个人不用凭借任何核心设备,比如今天的手机,就能由周边环境中的设备链接或某套系统识别出他的指令需求和安全授信。比如在社保体系里,大家只要把指头伸到指掌静脉的设备里面,立刻能识别出你是谁,里面有多少社保金额,以及一些其他数据,为他提供全方位的贴心服务。但,这一切都建立在数据安全和隐私保障的基础之上,没有安全层面的后顾之忧。

记者:关于此次立项的标准,今后蚂蚁金服作为牵头单位还会重点做哪些工作?

孙曦:这个标准按照ISO标准正常的周期是36个月结项,我们会在ISO所要求的正常周期内把标准做得更好、更完善。

落红卫:在这个环节,蚂蚁金服也会邀请更多的中国企业参与进来,在这里面做贡献,同时也会与更多的国外企业和专家沟通交流,让全球更加认可这一中国人牵头的标准,认可中国产业从实际出发所提出的实施方案,使其真正发挥标准的价值和作用。同时,我们希望把标准这件事儿本身继续做大,带动国内真正想进入国际产业市场的企业,实现大家渴望的多方共赢。

(本文刊登于《中国信息安全》杂志2018年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。