在北京数字证书认证中心(简称CA)副总经理林雪焰看来,移动互联网的关键是打造能够交易的互联网,而交易互联网有三大信任需求:其一,明确用户的实名身份;其二,明确得到用户对操作的确认并不可否认;其三,面向大众市场,以用且足够安全。
基于以上需求,当前网银大行其道。林雪焰指出,网银普遍使用USB Key或动态令牌双因子认证,但依然面临木马劫持和钓鱼+中间人攻击等安全威胁。另一种方式交互式USB Key采用双因子+密码运算+显示+按键的方式,在银行与Key之间建立第二条安全通道,由于用户直接对Key中的数据进行判断并确认,使钓鱼或中间人攻击变为不可能;但是,这种方式成本高昂,且只能针对待定应用,往往一个银行一个Key。鉴于此,市场急需一种能适用于多个银行的Key,且实现第二渠道的显示、输入与用户身份绑定的安全策略。
在此情势下,如手机这种移动终端的PKI(WPKI)成为一种理想的认证和签名解决方案。林雪焰表示,面临木马、病毒、恶意软件等终端安全问题,运营商可基于SIM卡产生密钥对并进行签名,由于运营商拥有SIM卡,第三方无法直接操作。而私钥由运营商产生,证书则可以由多家CA(如运营商、银行、第三方等)产生,因此,这种通过移动签名和数字证书的方式可以用户打造更加安全的策略。
他认为,手机是可以代表实名身份的信任工具,可以随时随地基于个人或商业机密,实现轻松交易,手机认证安全服务潜力巨大。
