通信世界网消息(CWW) 为了更好的推动移动支付产业的发展,人民邮电出版社、中国通信学会普及教育工作委员会将于2016年1月12—13日,联合在京主办“2016中国移动支付年会”,年会以“互联网+时代的移动支付”为主题,关注互联网+驱动下的移动支付技术、模式创新带来的市场、生态的变革,重点关注应用落地的产业创新与跨界协作。通信世界网对本次大会进行直播。
上海众人网络安全技术有限公司首席战略官 周强
上海众人网络安全技术有限公司首席战略官周强在会上表示,目前我国的互联网用户基数已经十分巨大,在过去的一年里,网民受各种安全事件影响损失超过805亿,尤其在支付领域,平均每人损失1000元。这昭示了个人信息安全的重要性,尤其在互联网金融领域,个人信息存在系统级别的风险。SOTP安全技术通过把算法和密钥融合重构,实现了一人、一机、一设备,从而在低成本、高便捷的情况下,实现安全防护。
以下为演讲实录:我讲讲我们众人在支付领域做的一些创新的理念和技术。我们今天的演讲主题目就是怎么样在低成本、高便捷的情况下,实现我们的安全防护。
刚才很多朋友都讲了,咱们国家有非常多的在线的用户,包括互联网用户和移动相关的用户。从2015年7月份发布了一个网民权益的一个报告,说咱们国家这么多的网民在一年的知道里,受到了各种安全事件的影响,总体的损失要超过了805亿,平均到各人身上,也就是说一年内每个人最少要丢失124块钱。其中更为顶尖的支付用户,在相关的领域上面,在4500万人当中每个人可能要损失1000块钱,这种巨量的数字告诉我们,实际上我们的互联网金融,或者说我们在互联网生态上面所有的东西,目前来看都是极其宝贵的。
在这儿巨大的经济利益,催生了我们在个人信息安全上面来看,实际上是有很大风险。这种系统级的风险,不是单一一个技术环节的突破能够完全涵盖,所解决的。
特别是在很多黑客在实施攻击的角度来讲,他并不是通过后台应用相关的技术手段,更多的是通过对C端的用户,他对信息安全本身的个体化防护的知识的欠缺,而造成这种规则,或者说一种社会公平的角度,他去攻击个体客户。
我们知道一个大系统,实际上并不代表的只是单一的后台的强大的服务设备,更多的是在个体的C端这一块,有很多的业务支撑,要把它防护起来。所以我们说,数据是个人信息的一个主要的载体。这种主要载体就造成了数据的安全,实际上是个人信息安全本质的内容。如果个人数据不能安全,在系统当中所承载的数据,本身也是有高风险的。看似很便捷的使用,大家都在拿手机,不管从厂商买来的,还是通过三大运营商的门店来购买的,还是通过一些其他的代理途径够的。这些购买的手机首先都会有一些初期植入的一些APP,一些专业的应用,这些应用看似帮你证了你的个体安全,但是这些个体安全,如果我们使用着本身并不了解,他不会使。很多安全是应用的过程当中把它变成不安全了。有点像某各机构或者某个大学说,说花了很多钱装了一道监控门,这个门看起来很结实很坚固,但是它根本没有防护起来,它是给了犯罪分子或者说有破坏性分子一个旁边的管道进入。
很多人说那不行,我装更多的防护软件,可能在手机上的不滚是360还是腾讯,还是阿里等等相关的厂商会出安全的设施设备,装进去之后手机怎么使,移动支付怎么用,我们从全面系统的角度来看,实际上便捷和安全就产生矛盾了。这样的矛盾我们发觉,那就是新的移动支付的这些新挑战,告诉我们,首先移动终高端得计算能力,肯定不如现行通行的笔记本这样的设备,它的能力是有限的。而且他是不均匀的,有人可能使很高端的苹果高端的手机,可能还有人使几百块钱的智能机,他可能运算设备,运算的能力类型非常小。我们要实行比较强的算法,比如说RC或者ECC这种比较强的,大的比特率的算法就很难实现。
同时,我们看到移动端的软件本身很多时候,特别是浏览器都是简化的,这些简化的浏览器如果想给它植入一些东西是很难的,因为本身并不是我们国内很多的企业自己,很多还是要基于Google、安卓原生态的东西打造,这一块它的安全植入能力也是非常差的。
最大的一点,我刚才听了前几位领导的朋友也讲了,手机上面我们要加入一些外围的配件。比如说刚才说的,有安全的手段,这些手段在某些设备上很难加载的,比如说苹果,苹果是很难加载的,他要对接外部的设备,比如说U盾这些也很难加入的,不同的家每一个安全设备本身的兼容又有很大的影响。所以说在外接各类硬件设备的时候,也是存在很大的问题。
其实我们看到最多的问题是什么呢,就是移动的这些平台很多是开放的,我们是互联网我们心态是开放的,我们有非常多的共享性。大家可以从各种应用商店下载各种APP应用,这些应用不能完全保证它是安全的,没有后门的。所以这些功能性永远是道高一尺魔高一丈。
遇到这些诸多的挑战告诉我们一个事实,现在移动终端的安全提出一个新的挑战,就是没法用以前的传统的思维,去看待这个事件。
传统思维是什么,我用一个固定的算法,用公开的固定的算法,把密钥保护好,我就能保证一部分安全。现实告诉我们光重硬件,轻软件的这种传统模式,有可能造成密钥没法保护了,但凡现在很多用户要把设备越狱。这些危险行为的发生之后,就会造成了很多的安全隐患。
所以,我们公司联合国家信息安全工程技术研究中心,就一起推出了我们称之为SOTP这样安全的技术,这个新的技术就要绕开我们原有的这种绑定硬件的这种重硬件、轻软件思路的安全理念,我们创造了一个全新的安全理念。我们通过这种基于把算法和密钥一起融合重构的技术,实现了一人、一机、一设备的思路。这个密名不是但要的密钥,或者会访密钥这样的,我们更多的是说每一个个体都有它的唯一独立的算法。这种新技术,我们就说这是我们新的解决之道,我们要把算法的、密钥的融在一起,我们要让算法,每个人有自己的个性化,他与其他人全面的有差异。
这种软实现,一种新密钥的多样化,才是我们觉得未来移动支付需要有的安全技术。这个体系首先是我们自己研发和设计的。不受国外的一些主导技术左右,我们知道在国外很多芯片技术里面是留有一些不被我们所知的后门,这个反而是我们利用一些纯的硬件和产品当中非常麻烦的阻碍。
第二点,就是我们是有非常独特的,它可以通行于任何场合,这个系统本身是完全软件,完全动态重构的,就非常方便的让大家把密钥分散开、云端法。同时因为是软的,所以他具有非常好的普适性,不光是我们刚才说到的手机这样的地方可以用。同时可以用在很多不同领域,包括我们说未来的工业4.0,咱们国家的工业的智能化这一块领域,包括物联网等等可穿戴设备,因为他很小型,非常易于装载各类型不同场景当中。
从功能角度来讲,他具有双向功能,可以建立安全通道。同样,我们有核心地方它又利用了多因素相关的认证机制,这种机制其实不光是在支付领域里面,可以帮他进行保障安全的认证,同时,在其他的相关领域,还可以为未来更多的,特别是大数据里面更多的应用。
刚才我讲了一下我们的东西非常好,但是大家不一定完全能够体会我们技术的核心点,核心点实际上我们建立了一套类似于辞海和文库的这种模式,文库指的是不同的文学名著。我们形象的来说一下我们这个技术,形象的角度来提出问题,我们看到很多文学名著里面都有提大师兄,大师兄是谁,如果在笑傲江湖里面有可能是令狐冲,可是我们的现在答案是孙悟空,因为马上是猴年了,唯一的安全保证是由中心所致的,这种传统的原来的单一芯片的解决方案是有本质的区别。通过这种手段,我们可以利用博弈的方法,来让黑客提高他攻击的成本。