9月6日訊，據(jù)悉，中國移動支付公司對于技術(shù)、安全、場景的需求都領(lǐng)先于全球，對技術(shù)要求也更多，同時與身份認證相關(guān)的監(jiān)管機構(gòu)有十幾個，大家的關(guān)注點和側(cè)重點都各不相同。這給國內(nèi)基于生物識別的身份認證領(lǐng)域帶來了極大的挑戰(zhàn)。

伴隨著首個刷臉商用支付試點正式落地，基于生物識別的身份認證標準的話語權(quán)之爭，也逐漸拉開帷幕。

9月1日，支付寶在杭州肯德基K Pro餐廳推出刷臉支付，意味著這項由阿里巴巴在2015年初推出的技術(shù)正式啟動首個商用試點。這個歷時兩年半醞釀而成的項目只是生物識別技術(shù)的起點，支付寶的目標是把生物識別這種身份認證技術(shù)在金融行業(yè)普及。

畢竟，金融行業(yè)才有足夠的身份認證需求，且具備最廣闊的市場前景，被預(yù)估為“千億級”市場。不過，目前金融行業(yè)暫無生物識別相關(guān)的標準，人民銀行對于生物識別技術(shù)的定位也只是“作為核驗身份信息的輔助手段”。

但習(xí)慣于“倒逼監(jiān)管改革”的互聯(lián)網(wǎng)行業(yè)早已開始籌備自己的標準，并形成了在國際市場獲得普遍認可的FIDO、支付寶主導(dǎo)的IFAA，以及微信支付的SOTER三大認證體系。隨著近期IFAA、SOTER先后宣布開放身份認證能力，三大認證體系開始正面博弈。

新型身份認證系統(tǒng)

事實上，互聯(lián)網(wǎng)公司普遍使用的生物識別認證，很大程度上借鑒了金融領(lǐng)域的U盾驗證體系。

由于普遍使用密碼存儲形式的“對稱加密體系”，互聯(lián)網(wǎng)行業(yè)在愈發(fā)頻繁的泄密事件中爆發(fā)了大量拖庫、撞庫等愈演愈烈的安全問題。而相比之下，采用非對稱加密體系U盾驗證的金融行業(yè)，卻從根本上杜絕了拖庫現(xiàn)象。

“所以，移動互聯(lián)網(wǎng)時代，大家就想把U盾思維引入到手機中，用非對稱秘鑰密體系打造在線身份認證系統(tǒng)”，F(xiàn)IDO聯(lián)盟中國工作組主席柴海新向記者介紹，“在這一背景下，F(xiàn)IDO聯(lián)盟成立。”2012年，PayPal、聯(lián)想、新思科技等6家公司發(fā)起成立FIDO(即線上快速身份驗證聯(lián)盟)。

其后，Google、微軟、ARM、高通、華為、三星、阿里巴巴、NTT、Visa、萬事達等公司陸續(xù)加入FIDO。柴海新介紹，“聯(lián)盟如今已經(jīng)有近300家成員，2/3是手機產(chǎn)業(yè)鏈公司，覆蓋了從最底層操作系統(tǒng)、芯片到手機廠商的完整產(chǎn)業(yè)鏈，打通了整個指紋識別體系，另外1/3的是諸如Visa、NTT等應(yīng)用公司。”在日本，幾乎所有移動互聯(lián)網(wǎng)應(yīng)用都支持FIDO認證體系。

在移動支付產(chǎn)業(yè)迅速崛起之后，生物識別規(guī)范也開始反哺金融行業(yè)。“從去年開始，全球支付規(guī)范標準組織EMVCo和FIDO討論如何把手機提升為金融級安全設(shè)備。”

目前，按照國際CC標準(信息技術(shù)安全評價通用準則)，手機安全等級在EAL2級，而金融設(shè)備則要求在EAL4+級以上。也正是因此，目前基于手機的消費、支付均以小額支付為主，基本萬元以上的支付、轉(zhuǎn)賬等行為仍然要求進行U盾認證，或者在銀行營業(yè)廳操作。

國內(nèi)每年U盾需求接近1億臺，把手機變成U盾，是每一個手機廠商、移動支付企業(yè)的追求，尤其在中國市場，中國的手機產(chǎn)業(yè)、移動支付產(chǎn)業(yè)已經(jīng)領(lǐng)先于全球。2016年，全球前十大手機廠商中，中國占據(jù)7席，且華為、OPPO、vivo位列前五。與此同時，2016年，中國移動支付發(fā)生交易257.10億筆，金額157.55萬億元，同比分別增長85.82%和45.59%，移動支付交易筆數(shù)在電子支付業(yè)務(wù)中占比已達18%。

當然，與此同時，中國的身份認證市場也遠比全球復(fù)雜，柴海新介紹：“中國移動支付公司對于技術(shù)、安全、場景的需求都領(lǐng)先于全球，對技術(shù)要求也更多，同時與身份認證相關(guān)的監(jiān)管機構(gòu)有十幾個，大家的關(guān)注點和側(cè)重點都各不相同。”這給中國的身份認證領(lǐng)域帶來了極大挑戰(zhàn)。

博弈指紋識別

進入中國伊始，F(xiàn)IDO就引發(fā)了身份認證的控制權(quán)之爭。

“支付寶是FIDO在中國第一個試用客戶，但試用之后，支付寶就參考FIDO做了一套認證體系，IFAA。”柴海新介紹，與支付寶類似，微信也參考FIDO的體系打造了SOTER認證體系。與FIDO體系的最大不同之處在于，IFAA、SOTER均增加了中央認證服務(wù)器，該體系中的身份認證均要到支付寶或者微信的服務(wù)器中進行認證。同時，IFAA在FIDO之外增加了二維碼、遠程驗證等功能。

而且，得益于龐大的用戶體量，支付寶、微信在手機產(chǎn)業(yè)鏈中均已建立無與倫比的話語權(quán)。根據(jù)IFAA公開數(shù)據(jù)，2015年6月發(fā)起成立至今，IFAA發(fā)展超過100個會員，覆蓋超過36個品牌與200款手機設(shè)備，設(shè)備超過10億臺。就SOTER而言，超過30個廠家、數(shù)億設(shè)備支持SOTER。

當然，控制權(quán)之爭不僅局限于支付寶、微信之間，手機巨頭華為也參與其中。柴海新介紹，“華為是中國手機廠商中第一個加入FIDO的，起初華為曾計劃在FIDO中加入白名單機制，但因不符合FIDO規(guī)范，沒有落實。”除此之外，華為麒麟960芯片已經(jīng)獲得央行《中國金融移動支付》標準和中國銀聯(lián)《銀聯(lián)卡芯片(集成電路)安全認證》標準，華為稱搭載960的手機Mate 9具備與U盾相同的安全等級。不過，目前國內(nèi)暫無評定手機是否達到金融級安全的標準。

關(guān)于控制權(quán)的爭議在手機廠商與支付機構(gòu)中醞釀出矛盾，迄今為止仍有部分手機的指紋識別不支持支付寶、微信。據(jù)悉，華為、三星均不支持微信的指紋支付，小米手機則從小米5開始支持支付寶，從小米6開始支持微信。多位業(yè)內(nèi)人士告訴記者，“要求手機廠商在出廠時預(yù)制騰訊的秘鑰，且由騰訊自由調(diào)用，這是手機廠商與微信產(chǎn)生分歧的主要原因。”除此之外，對于手機廠商而言，出廠前同時取得FIDO、IFAA、SOTER的認證也意味著大量的溝通、認證成本。

“國外與國內(nèi)處理爭議的情況完全不同”，柴海新向記者介紹，“最初，F(xiàn)IDO、Google、微軟都做自己的體系，但后來，Google加入FIDO，Google的認證體系也成為了FIDO U2F的基礎(chǔ)。微軟的Windows Hello也貢獻給FIDO，Edge也成為全球首個支持FIDO的瀏覽器。”Google、微軟加入FIDO之后先后當選為FIDO主席。在國內(nèi)，雖然FIDO曾嘗試與IFAA合作，但目前尚未取得進展。

在各方割裂身份認證標準的情況下，身份認證在金融行業(yè)也并未取得太多進展。目前，SOTER僅用于微信，IFAA在金融行業(yè)的公開用戶只有剛剛簽約的浦發(fā)銀行。在國內(nèi)，F(xiàn)IDO的主席單位“國民認證”以及成員單位“飛天誠信”、CFCA已經(jīng)在中國銀行、民生銀行、平頂山銀行多家銀行開始打造FIDO認證體系，但與暢想中的“千億級市場”仍相去甚遠。其中，飛天誠信副總經(jīng)理閆巖認為，“身份認證的‘千億級’更多是指千億級使用量，但真正為認證付費的市場并沒有這么大。”

需要指出，諸如FIDO之類的新型身份認證體系的應(yīng)用場景遠不止金融領(lǐng)域，還有更多存在市場需求的互聯(lián)網(wǎng)應(yīng)用場景，但目前行業(yè)推廣者尚未把目光集中在金融以外的領(lǐng)域。

“國內(nèi)指紋識別領(lǐng)域，標準碎片化嚴重”，手機中國聯(lián)盟秘書長老杳也告訴記者：“雖然大家都知道需要有一個統(tǒng)一的標準，但每個人都有自己的想法，而且都不想妥協(xié)，嚴重制約了產(chǎn)業(yè)發(fā)展。”

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。