13日,浙江桐乡,2016中国创新创业大赛互联网和移动互联网领域总决赛开锣。
来谊金科的CTO侯海坤代表团队、怀揣着参赛作品——“小微封”一路过关斩将、从上海分赛区走到了全国总决赛的现场。就像众多创新创业的中小企业一样,他们把这种经历看成一种荣誉和业界认可。
近年来,随着移动终端的迅速普及,移动互联网安全问题进一步凸显。腾讯安全发布的《2015年度互联网安全报告》显示,目前全球网络安全的主要威胁已经从黑客攻击模式转变成犯罪分子的敛财工具。2015年,腾讯手机管家移动安全实验室新发现的手机病毒数为1670.37万个,手机病毒感染终端数量达7490万次。
作为互联网金融安全服务商,来谊金科团队早就看到了这片“蓝海”。2011年,互联网金融出身的徐海光开始转战“互联网安全”领域并成立了公司,5年间一直致力于移动互联网身份认证技术的研发,打造出了以“小微封”为代表的新一代B2C移动互联网金融安全认证服务。
习以为常的“保护”不够强大
作为一个普通用户,CEO徐海光在账户资金安全问题上也有过“血泪教训”。
“前几年我去澳门旅游时钱包被偷,里面有身份证和十几张银行卡。”徐海光回忆道,由于澳门博彩业发达,信用卡套现问题也很泛滥,“我给银行打电话挂失的时候,手机就不停地收到银行信用卡消费的短信通知。回来后跟银行反复沟通、提交了很多资料才证明那一大笔钱是被盗刷的而不是我消费的。”
尽管如今,这是一个能够笑着谈起的“经历”,却给了来谊团队在移动网络安全服务领域深耕的信心和紧迫感。
虽然公司成立于2011年,但是2013年之前的两年间都是技术的积累期。“真正的风口还没有到来。”在徐海光看来,2013年开始,各种移动应用软件及电子支付方式的快速兴起,对移动互联网的安全提出了巨大挑战,也催生了网络安全认证领域真正的市场需求。
2012年,时任瑞典KeypascoAB亚洲技术支持总经理的侯海坤受邀强势加入,开启了来谊金科力攻移动安全“强认证”的新时期。侯海坤在KeypascoAB之前就职于著名的金雅拓任网银安全事业部研发总监,对各式各样互联网黑客攻击有着非常全面而广泛的经验。
“远程服务中银行无法判断电脑、手机等终端设备的操作者是不是持卡人,主要通过持卡人个人信息,包括用户名、密码、短信验证码等来识别用户身份”,CTO侯海坤解释说:“一旦银行卡遗失,或用户的账户、密码、手机号码等信息泄露,违法分子就能通过技术手段劫持银行发出的验证码到自己手机上,很短时间完成资金转移。”
在移动安全领域,目前国内研究比较热门的是对生物识别技术,如指纹识别、虹膜识别等。但在国际上,对于这类技术的应用依然存在争议。一是依赖生物特征的识别方式不可避免的与个人隐私保护冲突,另一方面“从技术上来讲,无论是指纹,还是虹膜,最终还是以0101代码的形式出现,而这些数字一旦被黑客攻破进而复制,在其他设备上操作,依然存在安全风险。”侯海坤说,“这还是存在一定安全隐患的认证方式。”
在手机上装个“安全开关”
基于设备识别技术的“小微封”就是为解决类似问题而诞生的。
“‘小微封’相当于通过手机给自己的账户装了一个‘安全开关’。”CTO侯海坤比喻说,“一旦银行卡、身份证或者账户密码丢失,用户可以用过移动端APP将绑定的各类账户锁定,没有那把特定的钥匙,其他人根本动不了资金账户,甚至银行卡也可以通过绑定的手机在设备上设定遥控开关,随时开启关闭账户。”
既然在高科技面前连生物指纹都变成固定代码呈现,那么特定的“钥匙”又是什么涉及我们技术实现的细节,不建议公开发布,仅限于交流讲述。
每一个软件、硬件和操作行为都会在一台智能终端上组合形成独一无二的“特征值”,“小微封”就是通过记录用户操作路径等实时信息以及监测硬件序列号等固定信息,然后传递给服务器进行认证和比对的方式来保护账户资金安全,同时,这些数据又不涉及个人的隐私。“与服务器中保存的操作行为信息比对成功,通过认证后才能完成后续操作。”侯海坤说。
相比固定的人体生物指纹,这种被称为“特征值”的设备指纹在保护个人隐私方面要安全得多。因为加入了互联网因子,能实时采集智能设备上的变动信息,不断丰富“指纹”的动态变化,防止信息被复制。所以,即使用户的账号密码被盗,在其他设备(非绑定设备)上也是无法操作。
更关键的是,“小微封”采用的双通道认证从根本上改变了现有的认证方式。
传统方式下,业务功能和认证功能使用同一个通道,用户发出认证信号到金融机构的服务器,验证身份后,服务器发出业务(支付)指令按照原路返回,这一来一回就给了黑客足够多的时间劫持信息。侯海坤进一步解释道,“小微封”把整个路径由单通道变成双通道,“用户发出验证信号通过A通道到金融机构服务器,验证后业务(支付)指令再通过B通道传递给用户,大大增加了黑客截取、比对、篡改的时间和难度。”
“我们曾经跟银行的朋友开玩笑,在他们那里在开十个账户,每个账户中存十万块钱,在关闭保护手机银行账户安全的‘小微封’开关之后,把账户和密码对媒体及公众公布,请银行专业人士及专业技术人员进行破解,谁破解成功、十万元就归谁。”徐海光笑着说。
“安全卫士”的历史使命
来谊金科对安全身份的“强认证”技术曾被IBM视为未来几年最具发展潜力的科技应用之一,并将其命名为“数字卫士”技术。
从来谊金科发展的身前身后也能看到,国内互联网行业发展至今,依靠商业模式创新的路子,已经遇到了瓶颈。为适应国家经济战略转型的需要,技术创新型公司加上好的商业模式将成为政策所扶持的重点对象,同时也成为资本“围猎”的目标,科创板的推出就是这种趋势的证明,2015年12月,来谊金科也作为首批挂牌企业成功登陆科创板。
2015年底,与小微封同期推出的还有“认证云”。“我们的目的就是通过多种方式为互联网金融平台提供安全保护。”侯海坤说,认证云以‘小微封’移动身份认证系统为基础,同时集成公安部身份认证服务、人脸面部识别认证服务、移动数字证书认证等多种认证服务,以云服务的形式提供对用户的多维度身份认证,“很多互联网金融企业不具备对接如公安部身份认证服务等系统的能力和资质,也没有足够能力自己开发相关技术,认证云的出现可以大大降低这部分门槛和成本。”
这是来谊金科在移动互联网身份认证方面的再一次深入探索。在CEO徐海光看来,安全是个很专业的领域,也很枯燥,大多数企业都有兴趣研究应用,只有少部分才会研究身份认证安全。“但是‘安全认证’不只是企业行为,更应是被重视的国家战略,近期国家人民银行、公安部等部委针对互联网安全出台的相关政策,也证明了这一点。”徐海光说。(记者 李伟)