■ 互联网金融身份认证联盟IFAA高级安全专家 刘晨

早在2013年苹果iPhone 5S推出指纹识别功能之前,相关技术其实在中国已经趋于成熟,部分场景已开始小规模采用指纹识别,只差应用在智能手机上。

那一年,手机产业的另一个“平行宇宙”——整个安卓界却表现得悄无声息。生物识别认证并没有因为iPhone的引领而迅速在安卓阵营推开。

当时的安卓阵营,弥漫着莫名的焦虑。人们发现,即便业界对指纹识别技术已经有所储备,但要真正落实到具体的手机产品上,庞杂且“各自为政”的产业链根本难以协同,一切仍显得遥不可及。

如今我们恐怕已经无法理解当时的窘境——当年安卓用了约1年时间才完成了在指纹识别这项功能上的落地,从而“追平”苹果。

不过,回顾当时iPhone 5S给市场带来的刺激却是良性的。在5S推出之后,安卓阵营普遍开始意识到,围绕指纹识别,乃至生物识别认证即将出现一轮新的竞争,大家不进则退,而破局的关键是:面对整个产业链“碎片化”的挑战,如何统一标准,真正达到“金融级”的安全。

一、诞生于“缺憾”

应用方看到了生物识别认证的巨大发展空间,对新技术乐见其成。蚂蚁金服是当时国内深度理解生物识别认证技术应用场景的公司之一。早在市场未热之时,蚂蚁金服就已经在指纹支付领域有所探索,所以在iPhone 5S问世之后,便立即与有志于此的三星展开了合作,率先尝试在支付宝上应用指纹支付。

此时IFAA尚未成立,一切技术协同都要在标准缺失的情况下展开,难度之大可以想见。

而在美国,以Paypal为代表,谷歌、微软和Facebook等巨头公司此时已经推出了FIDO联盟,试图为全球的生物识别认证产业制定标准。

当年蚂蚁金服与三星的合作就选择了FIDO提供的标准和服务。也是在这时候,“最早吃螃蟹的人”切身感受到了问题所在:FIDO提供的服务部署在香港,因为缺少必要的维护,终端用户开通指纹识别后,会在一定程度出现指纹功能无法使用的问题,投诉随之而来。

这时的主要矛盾,还不在“标准由谁制定”本身,而是在于FIDO的“自我定位”天然带来的问题——FIDO只负责标准制定,而用户体验和各环节的协调需要应用方甚至整个产业链自己解决,至于具体的“技术服务”则交由各国本地服务商“代办”。

没有良好的用户体验、没有成熟的应用场景、也没有到位的技术服务和产业链协同⋯⋯这种无处可诉的苦衷不停积累,最终导致了中国在生物识别认证领域早期探索的缺憾;但从另一个角度来看“经验教训也是财富”——当年这种由“舶来的联盟和标准”所带来的缺憾,最终却形成了有益的启示:“产业联盟必须适配市场需求,真心实意为产业发展服务”。

应用方居于产业链的顶端,一个鲜明的特点就是“用户导向”。将“客户第一”作为价值观,几乎必然地引发了蚂蚁金服对眼前问题的思考和行动:找到志同道合的伙伴,首倡发起真心服务于中国生物识别认证产业的联盟,推行符合中国市场需求的标准——这也是此后生物识别认证能够在中国移动终端高效推广的关键。

从后续进程来看,IFAA联盟之后的诞生与蓬勃发展在很大程度上还有赖于一个绝佳的市场基础——在移动互联网和移动支付领域,中国市场的发展在当时已领先于全球,庞大的用户群体和丰富的应用场景让本土联盟的成长与壮大成为了可能。事实上,即便当时没有美国来的FIDO为中国市场带来的启发,中国相关产业的高速发展也必须靠自己解决问题。

2015年6月,互联网金融身份认证联盟(IFAA)成立,它由中国信息通信研究院、蚂蚁金服、华为、阿里巴巴、三星、中兴等单位共同发起。同年7月,IFAA 1.0标准发布。

借鉴了FIDO带来的经验尤其是教训,IFAA联盟的诞生和发展很快吸引了全产业链的目光。如今,在经历了近4年的发展后,市场做出了自己的判断——目前IFAA方案在国内安卓领域的几乎实现了全覆盖。

二、“窗口期”不等人

IFAA的成立为产业界带来了革命性的变化。在IFAA之前,整个产业界需要坐等国外标准制定;而在IFAA之后,在用户驱动、场景驱动下,标准可以直接从原生需求中产生。这就让整个产业链,无论是手机厂商、芯片厂商,还是应用厂商等,都可以直接瞄准用户需求来推动和探索自身的业务创新,而不用再做等待。

在这个大背景下突然“掉头转向”,行业内普遍“并不乐观”地预测:安卓至少需要1.5〜2年时间才能跟上。而IFAA事实上仅用了9个月就在全球范围内率先推出了面向整个安卓领域的“本地3D安全人脸识别方案”,即IFAA Face ID,并支持OPPO推出了全球首款支持人脸支付的安卓手机。

此举“技惊四座”的同时,整个安卓阵营意识到:这是IFAA在技术探索、用户体验以及应用安全等方面,为整个产业带来的实实在在“可见”的成就。

这种成就不仅存在于技术层面,更体现在IFAA所积极推动的“产业思维和行为方式”的转变——告别了以往“前沿技术-应用场景-市场需求-标准建立”四者之间“互相等待”的怪圈。

鉴于这种“务实”的特性,市场做出了选择——IFAA的成员群体迅速壮大,从最初十余家创始成员,发展到今天覆盖全产业链,超过200家成员的规模。仅以手机供应商为例,从最初的华为、三星,到之后陆续对接IFAA的OPPO、VIVO和小米,所呈现出的“滚雪球”式的增长,恰恰证明了IFAA的价值。

传统行业标准或者国际标准的制定,可能需要数年时间来协调;但在移动互联网领域,传统产业标准制定的节奏明显无法跟上技术迭代和市场需求的演进。在这一点上,FIDO的标准制定模式就是一个鲜明的对比,没有与中国本土用户以及应用场景的普遍互动基础,凭美国的几个产业巨头“高端俱乐部”式的规划,很难迅速抓住中国市场快速更迭的机遇窗口。而不管在哪个国家,市场的“窗口期”从来不会为产业链及方案标准的自然成熟停滞或等待。

从IFAA联盟的角度看,过去近四年的成长经验说明了一个朴素的道理:“产业联盟必须倾听用户场景的呼声,标准制定必须根植产业发展的需求,解决方案必须紧跟市场变化的动态。”

不论是正在走向全球的IFAA,还是来自美国的FIDO,对于一个产业联盟而言,具有诚意的态度和行动,远比仅盯着眼前的市场竞争重要得多。而对于那些在市场上有远大抱负的公司而言,在加入什么样的联盟这个问题上,道理同样如此。

三、难题“解决者”

如果说,最初中国的生物识别认证产业链“自然选择”推出IFAA联盟,只是为了推动技术落地与产业协同,那么随着智能物联网时代的到来,IFAA的价值将进一步放大。

作为数字身份安全的基础,生物识别认证如今已经成为现实世界与网络空间不可或缺的纽带。因为担负了“新型密码”的角色,其核心技术在信息安全领域的重要性,也随着移动互联网和智能物联网的发展而凸显出来。正因如此,它不止与网络安全、信息安全和金融安全等领域密切相关,也成为了国家安全战略中一个重要的组成部分。

这是历史赋予IFAA的新使命:从最初产业链协同,推动生物支付高效推广;到通过标准迭代,推动安全性持续提升,并积极尝试解决一系列新出现的产业难题。

TEE(可信执行环境)是运行在移动终端中的隔离执行环境,运行其中的应用程序、敏感数据等,都可以在相对隔离的可信环境中得到存储、处理和保护。

当进入“刷脸时代”时,这一可信执行环境遇到了来自计算力的挑战。3D人脸方案有“双芯”模式支持,在确保计算力和安全性的基础上,旗舰机型可以较好地消化硬件成本。但在“刷脸”日渐普及的当下,价格较低的主流机型也需要普及人脸识别,只是它们的成本范围无法支持3D人脸识别所需的硬件条件,其中包括3D摄像头等等。

目前IFAA正在协同联盟中各类产业角色的成员单位,聚合优势技术力量,尝试通过大幅提升2D人脸的安全性来解决这一问题。一方面,这是产业环境发展带来的变化;另一方面,这也说明了产业界对IFAA的信任程度日渐加深。后者意味着IFAA的角色正在从产业合作的“协调者”向产业难题的“解决者”逐步升级。

“2D安全人脸解决方案”仅仅是目前IFAA多个“重点技术攻坚”中的一个。此外,例如身份证数字化的落地等应用需求,也都是IFAA正在努力实现的方向。

四、标准“出海”

在重视技术探索,以制定标准来满足产业发展需求的同时,标准的“国际化”是IFAA另一个重点关注的方向。

2018年底,ISO将ISO/IEC 27553《移动设备生物特征识别身份认证安全要求》标准的制定交由IFAA理事单位蚂蚁金服牵头,这里一个重要原因就在于,IFAA已经在联盟标准的制定上走在了国际前端,其标准制定经验可以代表全球生物识别认证产业发展的方向。

此次中国在“生物识别认证安全” 国际标准方面的突破,IFAA依然功不可没。这是数年来中国“产业联盟”这种组织形态协作、创新、积淀并集中发力的一次国际化呈现:在过去的3年间,通过IFAA联盟成员的协作,已经牵头制定了5项国家标准,参与了1项国家重大专项,同时还推动了2项国际标准的制定。这为中国企业掌握该领域内的发展主动权奠定了基础。

2018年7月,IEEE-SA主席Don Wright就亲自带队到中国了解了IFAA的标准化进展,并给予了一些建议:“我建议IFAA回顾已经完成的工作,并去思考判断IFAA所依赖和开发的创新技术是否能通过一个全球的平台发挥更大的价值。”

此外,Don Wright也释放了重要信号,一旦IFAA希望在全球推广某项技术,就可以借助于IEEE-SA的平台,进一步精炼这些技术和标准,使之成为全球范围的共识。这一信号也表明,无论对于中国企业出海,还是全球产业的健康发展,IFAA的国际化都将带来崭新的市场机遇。

IFAA大事记

  • 2015年6月,互联网金融身份认证联盟 IFAA 宣布成立。

  • 2015年7月,IFAA 1.0标准发布。

  • 2015年9月,召开第一次全体成员大会。

  • 2015年10月,本地免密工作组第一次会议。

  • 2016年2月,IFAA 2.0标准发布。

  • 2016年8月,支持IFAA协议的终端设备达到10亿。

  • 2016年10月,IFAA联盟标准被ITU国际电联吸收成为国际标准的一部分。

  • 2016年11月,与GlobalPlatform正式签署合作备忘录。

  • 2017年1月,开通IFAA指纹支付的用户数超过1亿。

  • 2017年4月,启动IFAA本地免密2.1标准制定。

  • 2017年9月,恩智浦半导体支持IFAA本地免密2.1标准。

  • 2017年10月,联合CCF(中国计算机学会)发布身份认证领域科研基金。

  • 2018年1月,发布年度规划,向“新技术、新场景、新标准”进发。

  • 2018年2月,CCF-IFAA科研基金评选结果揭晓,8位申报学者脱颖而出。

  • 2018年3月,助力“指纹、人脸、虹膜”三项国标立项。

  • 2018年4月,IFAA指纹识别接入“蓝凌”,打造金融级安全的智慧办公。

  • 2018年5月,IFAA本地免密标准2.1问世,全面支持SE安全单元。

  • 2018年6月,IFAA“3D安全人脸方案”全球首发,安卓机也能“人脸支付”。

  • 2018年7月,刷脸就行!IFAA联手“小猪短租”开启“智慧入住”新场景。

  • 2018年8月,发布“3D安全人脸快速接入平台”,为厂商提供“订制化”服务;与ISO建立联络关系,以实现标准互通和共建。

  • 2018年9月,2018IFAA大会在北京召开,大会发布《物联网身份认证白皮书》;与IEEE签署MoU展开合作;授权中国泰尔实验室为测试实验室,并发布相关测试标准。

  • 2018年10月,IFAA指纹+人脸识别用户总数突破3亿, 覆盖设备超过14亿台,联盟成员超过200家。

  • 2018年11月,交通银行上线IFAA指纹认证。

  • 2018年12月,平安银行APP上线IFAA指纹支付。

(本文刊登于《中国信息安全》杂志2019年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。