在今年RSA的創新沙盒活動中,一家名為的公司成為優勝者。也是在今年,全球第一家也是唯一一家完全靠訂閱付費為營收的云服務公司Okta,在納斯達克上市。前者專注于行為識別,后者致力于單點登錄,兩者的技術核心都屬于移動身份認證。
近期安全牛走訪了國內一家優秀的移動身份認證安全產品與解決方案提供商——芯盾時代。
孫悅
個人簡歷
孫悅,北京芯盾時代聯合創始人兼CTO。曾長期擔任中國移動通信研究院安全產品部總經理,主管產品和技術工作,在移動安全、認證安全、技術團隊建設等方面有豐富的從業經驗。2015年聯合創辦了移動互聯網企業——北京芯盾時代科技有限公司,專注于移動身份認證的產品和解決方案。
一、個性化時代是身份認證的切入點
安全牛
為什么要做移動身份認證?
孫悅:網絡安全行業是隨著互聯網的發展而發展起來的,那時的網絡攻擊針對的是網站服務器或是主機,所以應運而生了一批基于網絡邊界設備的安全廠商。
到了移動互聯網時代,情況發生了變化。最大的變化就是互聯網上的內容變得非常個性化,個人的身份和在網絡上發生的行為越來越重要,甚至對于面向大眾提供服務的互聯網公司來說,無論是新聞閱讀,還是游戲社交,還是購物支付,離開針對每個人的業務個性化,幾乎難以生存發展。而且這種個性化趨勢會越來越明顯。
在這種個性化的趨勢下,每個人的身份識別和認證就變得非常重要,并成為一個最基礎的安全問題。我們知道,安全往往跟隨著信息技術的發展。雖然業內人士已經意識到這個問題,但并沒有比較成熟的產品來解決這個問題。這就是我們之所以成立芯盾時代,這家移動身份認證公司的切入點。
安全牛
目前的安全發展趨勢,就是圍繞著數據和人這兩大核心安全問題展開的。
孫悅:沒錯,與數據安全聯系最緊密的就是人,人的安全問題不解決,數據安全就無從談起。這也是為什么現在針對獲取身份信息的攻擊,越來越成為黑客或網絡不法分子的重要目標。
安全牛
能否介紹一下你們的核心成員?
孫悅:團隊上,芯盾時代創始人兼CEO郭曉鵬,長期擔任國內信息安全上市企業綠盟科技副總裁,主管市場和銷售工作,也是該公司股東之一,對國內安全市場有廣闊的視野和深入的理解。我們是一支具備深厚技術創新實力和豐富行業銷售經驗的團隊,這在To B安全市場上是難能可貴的。芯盾時代聚集了來自清華、中科院、北郵、山大、綠盟、中國移動、華為、百度、360等知名高校和企業的資深專家和頂尖人才。團隊總人數80多人,80%是在信息安全領域經驗豐富的頂級專家。
二、口令、短信和硬件為三大主流驗證手段
安全牛
身份驗證的主流方式都有哪些?
孫悅:實際上身份認證的技術一直都有,從最早的口令認證到動態口令、令牌、手機短信、圖像驗證碼等技術,主流的手段可分為口令、短信和硬件,在一定程度上解決了身份認證問題。但隨著云計算、物聯網等信息技術的發展,這些傳統技術已經逐漸跟不上用戶的實際需求。
說得直白點,早期的互聯網用戶對個人身份信息并不十分敏感,簡單的認證技術已足夠。但是當個人信息的價值變得很大的時候,強身份認證的方式就會被接受,而且同時還需要簡單高效。傳統的身份認證技術面臨改革,人們需要一種既安全又便利的認證技術。
安全牛
移動時代,要求大家身上都帶著U盾的確不方便,但手機短信驗證不也是一種既安全也便利的方式嗎?
孫悅:短信最初的設計目的是為了點對點通信,并不是用來驗證身份,天然缺乏安全性。在兩個點的通道之間,存在著很多漏洞。
比如,用戶使用某個互聯網服務時需要短信驗證。首先,服務器上要生成驗證碼,然后通知運營商的短信中心,短信中心再通過手機基站發送給用戶。
在這條通道中,手機會中木馬,基站可能是偽基站,2G網絡通訊是明文的,短信業務可能被入侵等等。
安全牛
短信業務被入侵具體是指?
孫悅:是這樣,黑客可以通過盜來的登錄憑證,進入用戶的短信業務,甚至強行替用戶開通短信保管箱之類的業務,然后獲取短信驗證碼,這樣實際上就繞開了必須從用戶手機上盜取驗證碼的方式。
所以,上述短信發送整個流程的每個環節都可能會被黑客劫持。實際上,手機短信可稱之為偽雙因素驗證,它只適用于安全性要求不高的過度時期。而U盾之類的硬件設備雖然屬于真正的雙因素驗證,但由于攜帶不便的問題,在移動互聯時代逐漸地失去了市場。
安全牛
方便與安全是一個矛盾體,如何解決這個矛盾體,或說如何在二者之間取得較好的平衡?
孫悅:剛才介紹了一下各種身份驗證方式,其理論本質上可歸為三種性質:“所知”、“所持”與“所有”。
你頭腦里知道的,如口令,就是“所知”,不知道的人無法輸入正確的口令。你拿的U盾、令牌,甚至是古代的虎符,都屬于“所持”,只有持有者才被認可。“所有”是指個人天生擁有的,如指紋、聲紋、虹膜等生物特征,是獨一無二的。
現有的認證方式無論是靈活性還是安全性已經開始無法滿足現代發展的需要,因此如何把這三者有效地結合起來,打通人與設備之間的通路,并使之完全可信、高效,則是芯盾時代的目標。
三、智能身份認證的動態可調性
安全牛
能否談一下你們的技術思路?
孫悅:我們的技術核心稱為三類智能:生物智能、設備智能和行為智能。這三類智能結合在一起,形成智能身份憑證,并保存到設備中,以保證用戶的唯一性。
傳統認證方式存在幾個問題,第一是靜態不變。一種方式固定下來,不會輕易去做改變,因此黑客可以不停地去嘗試。第二個是被動發現。當安全事件發生后人們才得知,而此時黑客可能已經得手。第三個問題是擴散性。比如銀行卡信息被泄露,銀行無法制止信息的擴散,能做的只是通知客戶更改口令,沒通知到的客戶只能等著被盜。最后,傳統認證方式的不方便,體驗很差。
芯盾時代的三類智能技術,其背后蘊含了20多個維度和2000多個特征,可做到智能化的、動態的調整,完全解決上述傳統認證方式的問題。
安全牛
生物和設備特征容易理解,行為特征都有哪些?
孫悅:比如用戶使用設備的時間、地點、操作的對象、頻次、路徑等個人操作習慣等。國外有的初創公司,還研究了人走路的步態。
因為有了各種各樣的特征,所以我們的技術能夠做到,在安全事件發生前,發現攻擊行為的蛛絲馬跡,而不僅僅是事中,甚至事后。同時,由于驗證方式是動態可調的,黑客攻擊的成本會很高,也不存在擴散的問題。
安全牛
如何理解動態可調?
孫悅:比如銀行轉賬,傳統的方式就是輸入六位數密碼,這就是靜態的,誰知道密碼都可以操作。但基于動態的方式,如果是在常去的場所,用常用的手機,給親人轉賬,可能連密碼都無需輸入。但如果是陌生的環境e盾網絡驗證個人版,甚至是換一臺設備,驗證機制就會自動補充強制手段,多重驗證操作者的身份,甚至客服人員都有可能介入。
四、一個數學公式的故事
安全牛
行為、設備和生物三大類技術中蘊含的2000多個特征,是實現事前發現、動態可調的保證,也就意味著達到了靈活與安全的平衡。
孫悅:技術上可以這樣解釋,但實際上它里面也蘊藏著一個信任模型,一個基于三個變量的數學公式。
“
能力×歷史÷重要性=可信度
我舉個例子,讓一個人把一臺電視從A房間搬到B房間,他完成這樣一個任務的可信度取決于什么?第一個是能力,這個人是個成年人還是個小孩,決定著他的能力。第二個是歷史,他有沒有盜竊前科?是守法公民還是小偷?第三個是重要性,電視的價值幾何?如果幾百塊錢無所謂,如果是幾十萬的話,前面兩個變量必須很大,可信度才能提供。
其實,這不僅是身份認證的問題,這個公式模型可以把整個安全領域的問題都套進去。廠商的安全能力和成功案例,以及客戶資產的重要程度,決定著資產是否能夠得到安全防護的可信度。
五、行為識別的難點在于數據積累
安全牛
非常有意思的公式。簡單明了的解釋了安全可靠度的要素。具體到你們的產品,應用場景都有哪些?
孫悅:現在是五個產品線,除了最后一個是咨詢服務以外,其他四種產品線均面向不同的應用場景。
第一個就是我們最早針對金融行業打造的多維聯合認證產品,通過設備、身份、協議等生成唯一的數字身份憑證,主要解決交易欺詐和身份欺詐問題。目前這個產品已經非常成熟,有了四五十家客戶,市場占有率超過80%,幫助我們的移動身份認證技術很好的切進安全領域。
第二個產品線的核心是行為認證技術,可以做到用戶完全無感知的情況下來判斷用戶身份,無需輸入口令等需要用戶主動驗證的操作。
安全牛
這個比較高大上,今年RSA創新沙盒的優勝者做的就是類似的東西。你們的產品推出來了嗎?
孫悅:我們的產品已經推出來了,而且已經在游戲、證券等幾個行業開始應用。主要是做聚類,對好人、壞人、以及機器人和正常用戶的區分,具備很強的商業價值。
安全牛
還只是聚類,沒有到個人吧?
孫悅:目前還沒有,但接下來我們現在正在研發的,就是把它聚焦到個人。也在做這樣的事情,但它的產品也處于超前的階段,還沒有完全商業化。
安全牛
這里面的主要技術難點在哪里?
孫悅:一個數據積累,二是算法模型。雖然各種傳感器技術已經比較成熟,如走路姿勢,拿手機的角度,習慣性地操作、點擊力度等,可以識別得很準確。但如果要求精確到一定地步,如99.99%,才能真正準確唯一的識別出某一個人,這種行為模型是需要積累的。
目前的無感知驗證不需要百分百準確,因為客戶實際的需要是風險控制,只要能大規模地降低欺詐,就已經幫助客戶節約大量的成本,具備很大的商業價值了。
六、To B 打法嘗試解決“雞生蛋與蛋生雞”的問題
第三個場景面向的是企業內部,類似于國外的Okta,解決的是單點登錄問題,擁有多套賬號的用戶只需要登錄一次就可以訪問所有信任的應用系統。目前已經有不少的客戶在用,包括我們自己。
安全牛
據我所知,Okta是全球唯一一家完全靠訂閱付費為營收,只提供云服務的上市公司。實際上,之前國內的創業公司洋蔥做的也是這個產品,但他們沒有成功。
孫悅:這種技術應用推廣的最大問題,不在于技術實現,如果直接推向to C用戶,則是一個“雞生蛋,蛋生雞”的問題。如果你不能接入更多的應用,那就不會有更多的用戶,如果你沒有更多的用戶,包括網站等各種服務平臺就沒有接入的動力。
因此,我們的做法是 to B to E(指員工),先在企業中推廣,讓企業內部的員工使用登錄企業本身的各種應用,以避免一開始沒有用戶的問題。當企業端的用戶數量足夠大時,再去與各種服務平臺對接就容易多了。
安全牛
企業對這種產品的需求會很大么?
孫悅:不用說大企業,咱們就拿中小公司來看。幾乎任何一家公司,都有自己的辦公系統、郵箱賬號和業務系統等需要身份驗證的系統,每種系統設置不同的用戶名密碼是件很頭痛的事。就拿有些公司來說,為了便于訪問,一些資料放在公網服務器上e盾網絡驗證個人版,如果在訪問的人中只要有一個人密碼被盜,后果是非常嚴重的。
最后一個產品線面向的是物聯網,如智能家居、智能汽車。現在很多高檔社區,已經開始用手機來開鎖。同樣,這個開鎖的手機應用也是用密碼來登錄的,安全性可想而知。目前,我們已經在一些小區試用。
七、行為認證是未來 但產品要實用、實際
安全牛
最后,能否談一談你們的融資情況?
孫悅:去年的A輪融資有幾千萬人民幣,前不久結束了B輪融資,近 1億人民幣。
安全牛
這些融資主要會用在哪些方面?
孫悅:主要還是用在研發和銷售上,把產品做深做扎實,同時擴大行業規模。
芯盾時代從成立之初到現在為止全是直銷,沒有渠道。之所以形成這種模式,是因為我們的產品創新性比較強,而且上來就能解決客戶的實際問題。
由于第一個多維度聯合認證產品的接受程度較高,因此后續的兩個新產品,即剛才介紹的行為認證和統一認證,也較容易被客戶理解和接受。
再想遠一點,未來的人工智能機器人時代,行為認證會越來越重要。智能機器人不會根據口令行動,而是通過生物和行為識別精確無誤地核實人的身份。
安全牛
有人認為,人工智能還早,做的行為認證,真正實現起來很難,并不實用。你怎么看這個問題?
孫悅:我覺得這種科技的大方向應該沒什么問題,而且離我們還真不一定會很遠。但對于做企業來說,太超前于市場肯定是不合適的。企業要生存,要解決現階段的問題,有了生存才能發展。
所以我們的技術產品也是圍繞著這個思想來實現的。首先你要看得遠,但是還要落實,要把產品與當下實際的場景應用結合起來。任何一項技術,或者說任何一個產品都需要考慮現實應用場景,甚至是與之關聯的上下產業鏈是否支持。太超前沒有辦法落到實處,是不科學的,至少不是商業科學。
安全牛評
數字化時代已經到來,萬物互聯不再遙遠,移動身份認證技術必然大有可為,Okta和均屬于其中的佼佼者。芯盾時代不僅從技術上結合了兩者的特點,還選擇了適合中國本土的商業模式,并從企業端切入穩扎穩打,解決了新技術發展難點。
