在数字经济时代,欢迎转载

2020-02-27 作者:威尼斯官网9778818   |   浏览(186)

摘要: 对于数字身份而言,任何单一技术都无法保证其绝对安全,需要多种技术进行优势互补,形成软硬件一体的完整解决方案。如今,区块链概念已经十分火热,但区块链产业的落地应用依旧只闻其声。究其原因,区块链并不能孤立存在,其只能作为底层基础设施的一块拼图,与之相配套的设备与环境还有待进一步完善。随着区块链发展到一定阶段,相关的可信设备和可信环境将成为下一步发展重点,并与区块链数字身份共同构成完整的可信数字生态图景。科技巨头共同瞄向TEE 成为可信基础设施又一块重要拼图Intel平台安全部门副总裁Rick Echevarria认为,硬件可作为一种方式来改善区块链技术及其实施的两大主要弱点:信任和安全性。然而,Intel并不是唯一将硬件定位为发展区块链基础的企业。去年,埃森哲整合法国泰勒斯集团的硬件安全模块产品,作为各种数字密钥的安全仓库,用于解决企业对区块链安全漏洞的争论。IBM也为高安全性区块链商业网络用户提供了硬件安全模块。最近,微软接连发布两项专利申请,其正在研究在区块链产品中使用可信执行环境(Trusted Execution Environments,简称TEE)。不过,并不是所有人都认为硬件解决方案会解决区块链的安全性问题,将区块链数字身份这一软性治理基础设施,与可信执行环境相结合,或许可以提供一个全新的技术思路。作为一种通过隔离的方法保护数据和程序的技术,TEE由Global Platform(GP)提出,旨在构建一个资源丰富的执行环境,能够主动防御来自外部的安全威胁,更有效地保障身份安全。当前的身份认证模型,本质上就是用户向远程的服务端证明“你是你”,以确认在端侧的动作都是用户本人发出并确认的,这个模型的两个端点分别是远程的服务端和用户本身。以传统的账号+密码身份认证为例,用户在手机上输入预设好的账号、密码,密码传输到远程服务端进行比对,如果比对正确,则证明用户就是他自己。这里用户端的端点就是他自身,服务端就是服务器上数据库里存储的密码或是一个哈希值。可信身份认证模型又是怎样的?一般情况下,可信身份认证模型都会在端侧隔离出一个独立的硬件环境建立一个安全区域,理论上这个隔离出来的硬件本身是难于攻破的,比如ARM公司在其处理器上隔离出来的Trust Zone,或者是手机里加了一个独立安全芯片模块。这个安全模型可以保证即使手机客户端整个被攻破也不影响整个系统身份认证的安全可信。安全区域将身份认证链条分割成了两个部分:用户到安全区域、安全区域到服务端,分别保障这两个分路径的可信和安全,就可以保证从用户到服务端的可信身份认证。从用户到安全区域之间的认证也叫本地认证,一般有以下几种方案:PIN码、指纹识别、瞳孔识别等生物特征识别。一方面,由于做了硬件隔离,这些认证信息是直接输入到安全区域,不经过开放的手机软件系统,所以,病毒木马对其起不了作用;另一方面,此认证是本地进行的认证,由于区域本身是可信和安全的,所以这条路径可以保证是安全的。另一段必经的路经,从这个硬隔离出来的安全区域到服务端之间的认证,这其实是大部分的安全威胁所在,因为这个路径要通过开放的、处处充满威胁的、不可信的操作系统并途经开放的互联网才能到达远程的服务端。一个完整的可信身份认证模型要在这个可信的、坚固的安全区域与远程服务端之间建立一条可信的安全通道,这也是可信身份认证协议的主要内容。目前,主流的可信身份协议包括应用于网银U盾的PKI/CA协议,以及近几年比较火热的FIDO、IFAA两大统一身份认证标准。这两个统一身份认证标共同特点,是硬件隔离配合高强度的密码学算法来实现身份认证。其核心思路是在终端侧通过TEE实现硬件隔离,同时结合密钥存储和密码算法运算,避免开放系统上的软件病毒、木马的攻击,在此基础上通过密码学算法为应用服务商和用户之间建立一套端到端的安全认证协议,这是业界公认的可信安全技术框架。数字身份+TEE一体化方案 为可信身份提供全新技术方向TEE本身可以作为一个天然ID,如面部识别、指纹传感器和声音授权等,比PIN码和密码形式更加安全。一般基于TEE的认证可以划分为三个步骤:提取一个样本;在设备TEE存储一个参考模板,供与提取的样本对比;TEE的一个匹配引擎用于对比样本和模板,进行身份认证。由此可见,TEE是存储匹配引擎以及认证用户的相关进程的一个理想空间,其可以与移动设备的主操作系统相互隔离,保证安全运行。FIDO联盟正在和Global Platform合作,一起制定将TEE作为天然ID的规范。搭载TEE的可信硬件可以让设备记录系统或特定程序,一旦代码被更改,痕迹会被记录下来。这种情况下,黑客难以默默攻破软件。同时,TEE就像一个黑盒子,能让节点并不知道自身所处理的代码和数据,假设节点相当于房子,芯片则像里面的保险柜,可是房主没有钥匙,无法读取或者修改保险柜里的数据。围绕TEE的可信身份认证解决方案,从硬件与安全协议的配合使用上主要可以分为两大类:单纯依靠硬件隔离的安全认证方案、硬件隔离结合可信身份认证协议的技术方案。▷ 有安全硬件无安全协议由于搭建一套可信身份认证协议需要一定技术门槛,所以对于一些安全等级要求不高的场景,暂时就仅靠安全硬件隔离来实现安全,而未配合可信身份认证协议。相当于只实现了可信身份认证模型的前一段:本地认证。TEE结合生物特征识别安全认证方案,比如指纹解锁、指纹支付功能就属于这一类型。此类安全方案只做了端的安全,实现了从用户到手机TEE侧的安全,但是不保证从TEE安全区域到服务端之间的身份安全,所以其安全等级并不高,所以至多只能作为密码认证方式的一种补充。▷ 硬件隔离结合可信身份认证协议的方案此类方案,实现了完整的可信身份认证模型,本地认证以及本地安全区域到远端服务器之间的认证。包括传统的网银U盾系统和FIDO(线上快速身份验证联盟)、IFAA(互联网金融身份认证联盟)统一身份认证协议都属于这种类型。另外,还有一些没有建立可信安全区域,仅依靠安全协议的方案,也在广泛使用。比如https协议、区块链技术就是属于有安全认证协议,但是用户端侧没有可信硬件节点支撑。实际上它建立起来的通道的一端还是在开放的操作系统和软件系统里,也就是为什么它还是存在被攻击的可能性,理论上还是有被病毒木马获取的可能。虽然区块链的分布式账本已经是安全级别较高的技术,但黑客会将攻击重点转向用户和设备,一旦这些安全优先事项得到解决,区块链技术将充分发挥其潜力,成为宝贵数字身份的守护者。

图片 1

转自:

文:易柏伶

转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:

编辑:王巧

移动电子商务需求与挑战

         移动手机所到之处可以不再需要钱包、卡等。现在很多移动应用apps支持手机支付功能,如支付宝可以通过在超市进行手机直接扫码支付。但是这些apps的安全如何保证?安全也是很多用户不敢使用的原因。特别是随着支付的场景变得越来越多和复杂,如坐车、喝咖啡、逛商店、超市购物等,必须保证你手机支付环境的可信。

         所有商业活动的最终行为都体现在一个字上面,即Checkout,包含付款的意思。checkout最早在1933年开始使用,当时随着商店开始变大,商家并不信任消费者,通过雇用职员来对消费者进行checkout,以保证他们确实能够付款。Checkout已经流行了几十年,随着互联网的发展,是不是应该作出改变了?无论在网上、大街上或者任何商业区,购物应该有更加快速、简单、方便的方法。

         线下看好商品,线上支付,让消费者享受看到线下的实物,同时享受线上的价格和方便的支付方法,这或许会是今后一段时间移动购物的趋势。小的商家如何保证支付平台的安全。如果商家能够识别用户,可以有利于分析消费者群体及其购物习惯,但同时用户又比较关心自己隐私信息的泄露。手机支付应该比纸币、银行卡刷卡支付方式在隐私性、安全性、方便性、相关性等各个方面提供更好的解决方案。提供一个简单、安全、快速和可靠的支付app,使得无论线上支付或者线下购物都能满足支付要求。

         移动运营商、设备制造商、芯片制造商、操作系统厂商、广告商、银行、支付机制、信誉机制、商家、终端用户等,面对不同的利益相关者和需求,移动商务可能导致大规模复杂的业务动态。在这些商业之间找到共同点是非常困难的,使得移动商务发展比较缓慢。不过,移动领域一些共通的安全技术问题是需要指出的:

         (1)用户认证。认证是为了确定注册过的人或者设备正在访问系统,通常的三类认证因子包含:你拥有什么(What you have)、你知道什么(What you know)和你是什么(What you are)。只要结合其中两类认证因子就可以达到强认证(Strong Authentication)的效果,通常称为双因子认证(Two Factor Authentication,2FA)。安全令牌(如智能卡、U盾)属于What you have,实际使用中人们不可能随身携带这些安全令牌,而且不同的服务都出示不同的安全令牌,也是很不方便的一种形式。密码口令passwords等属于What you know,但是跨不同的站点,往往要记住多个不同的密码是很困难的,特别是密码还要定期修改。生物特征(如指纹、虹膜等)属于What you are,你确实是随身携带这些安全特征的,但生物特征通常很难撤销,而且也无法等同你的身份,采取生物特征还会影响用户的隐私。

         (2)身份管理。你的身份通常取决于谁在要求这种身份信息,如对于你父母,你是子女;对于国家,你是子民;对于公司,你是员工;你的朋友联系你可以通过Facebook、QQ、微信等;你的商业伙伴联系可能通过LinkedIn、电子邮件等......所有这些身份都是描述两个实体之间的关系,将这些身份信息保持相互隔离很非常重要的,例如你可能不希望你的上司或者商业伙伴去骚扰你的父母家人,一个商家没必要知道你的QQ、手机等信息,只需要知道你是一个合法的服务对象即可。隔离身份信息对于维护个人隐私是至关重要的,哪些事件与你的哪个身份关联,应该主要由用户决定,不能让第三方侵犯用户的私人生活。

         (3)隐私。在这个世界上,你以为自己有隐私,实际上你的隐私都控制在他人手中。斯诺登Snowden很好的证明了这一点。你所使用和访问的安全系统(如微软、谷歌等),表面上声称维护隐私,实际上一直在被监视。侵犯隐私当然会影响人们的生活,如层出不穷的艳照门事件就是隐私信息被泄露了,发生在谁身上都无法接受。你唯一能选择的措施是隔离和保护自己的身份,防止任何恶意方的各种非预期的阴谋。大数据的兴起就更加危险了,你的各种数字指纹还不知道已经被记录在哪个数据库中了。不联网就不用担心安全隐私了吗?还有U盘等各种外设接口,还有内部人员泄露等各种防不胜防的攻击存在。

         (4)数据库漏洞。通常数据库越大,其商业价值应该也就越高。数据库会记录你的购买历史、购买偏好,以及存储你的各种支付数据。正因为如此,这些数据库很容易成为攻击的目标,攻击者对这一块更加感兴趣。CSDN数据库的泄密,各大酒店开房信息的泄密等,这些泄露的数据库在地下都是可以销售而且价值不菲。特别是为了方便,很多用户喜欢在不同网站使用相同的用户名和密码,泄露一个,其它也无法保全。脆弱的数据库实际上失去的是用户的信任。

         (5)恶意软件。开心农场、愤怒的小鸟、Flappy Bird、2048、植物大战僵尸等,每一个热门的游戏都会成为恶意应用开发者的目标,可以在应用apps里面植入木马,植入的木马就可以在手机上为所欲为了,获取你的通信记录、短信,获取你的支付信息、邮件等。随着移动支付app使用的增长,恶意软件会更具威胁性。魔高一尺道高一丈,纯软件的保护方法就在比软件编程能力了,谁都无法保证能杀掉所有恶意软件,特别是现在各种apps泛滥成灾的今天。

 

5G到来,万物互联,社会步入数字化经济时代。随着现实社会与网络世界的进一步接轨融合,虚拟和现实早已密不可分。现实中的个体、组织、机构,甚至设备都会将其现实中的本体投射到数字世界中。

五个技术标准

         今天,你的口袋充满了前所未有的处理能力和连通性。你的智能手机拥有8核处理器,拥有4G、WiFI、GPS、蓝牙以及NFC等通信方式都是很平常的事情。你可以武装你的智能设备,让其更加可信,武装的软硬件安全特征可以包括:安全启动secure boot,可信执行环境TEE(如ARM TrustZone),安全元素Secure Element(如各种智能卡),虚拟技术hypervisors,以及各种主机OS上本身就存在的安全特征。

         Trustonic介绍了五个技术标准,可以将简单、快速、安全的支付带个任何环境。这五个技术标准分别为iBeacons,FIDO,Tokenization,Host Card Emulation,TEE(Trusted Execution Environments)。

         (1)低功耗蓝牙- Beacon技术。苹果主要使用该技术iBeacon,全球大部分iOS设备与之兼容,主要用于室内交互,如进行室内导航、移动支付、店内导购、人流分析等。如果说Checkout是一个低可信的模式,那么高可信的模式就应该是Checkin。ibeacon可以精确的将信号广播给室内的智能手机,这一点是室外GPS信号无法达到的。如果你是一个常客,Checkin之后,你会搜到基于位置的各种信息,如新的产品、打折信息等。放心,只有授权的手机apps才能对beacon广播的信息进行响应,商家肯定不希望竞争者或者犯罪分子来获取其客户的购物习惯等信息。Beacon消息会包含随机值,并且可以被加密,只有关联的app能解密消息,密钥的保护就非常关键。

         (1) FIDO认证。FIDO联盟的任务就是使用强密码技术凭证来减少对传统用户名和Passwords的依靠。FIDO的通用认证框架提供了一个标准协议,让多个不同的服务可以使用相同的认证硬件令牌,这样给用户带来便利性,不用针对每个服务商都带一个不同的硬件令牌。每个服务使用相同的硬件令牌,但是使用不同的密钥来维护隔离和隐私;即便一个服务商的用户数据库丢失,攻击者也无法访问服务。数据库只存储公钥,攻击者无法得到你的硬件令牌和私钥,也就无法访问服务。智能手机存在各种传感器(结合生物特征更加方便),可以用作硬件令牌,融入到FIDO框架中。FIDO联盟也在构建交易确认机制的标准,通过可信显示技术来确认你的意图,达到“what you see is what you sign”。

         (3)HCE NFC近域通信。非接触式支付的方式正在增长,这种方式的设备通常称为NFC智能手机,即智能手机上拥有NFC接口。NFC标准在2002年就已经开发出来,然而发展一直比较受阻,主要是其缺少进入商业模式达成商业协议的能力。最重要的一个障碍是安全元素SE(Secure Element),SE是智能手机中比较昂贵的,可以离线长期安全存储私密密钥,属于稀缺资源。不过为了让移动apps在一个SE手机上使用,需要一个可信服务管理器(Trusted Service Manager,TSM)配合一起工作。这并不是很多服务提供商想要的方式,因为SE、TSM都掌握在其发行者手中。HCE(Host Card Emulation)跨越了TSMs和SEs,其不用依赖SE,就可以让智能手机模拟出一个非接触式卡片,不过为apps提供的安全性也要低一些。实际银行卡的有效期可能很长(如签发后两三年还可以使用),不过智能手机的一个支付app不需要这么长,需要与安全性一起进行权衡。HCE在银行服务器涉及一些处理技巧,使得支付终端可以直接发送数据而不用更新已经部署的支付终端。这个处理技巧为Tokenization。

         (4)Tokenization。国际芯片卡标准化组织EMVCo定义了智能卡支付,也定义了一个Token(即令牌),在实际卡应用中作为代用品。商家可以使用同样的方式处理卡和令牌,这意味着没有必要改变已经部署和安装的PoS(Point of Sale)终端。这种巧妙的处理通过一个令牌服务提供商TSP(Token Service Provider)进行,TSP拥有实际的卡信息。签发令牌Tokens时,可以灵活的作出一些限制,如只能供一些特定的商家使用、只能在线使用、只能线下使用,还可以对令牌的值、时间和地点作出限制,如根据设备的安全等级来确定其有效时间。必要时,令牌可以销毁和重新签发。Tokens解决方法可以保证与已有的基础设施兼容,节省开支。和HCE一起工作,令牌可以解决可用性的问题,当移动网络不稳定时,令牌本地存储在移动手机上,可以离线的进行支付。EMVCo支付令牌规范技术框架v1.0提供了在设备上进行令牌安全存储的例子,例如可以存放在一个可信执行环境TEE中。另外,令牌可以通过任何通道进行使用,如NFC HCE、网络交易以及蓝牙Beacons,因此该技术不只限于PoS终端。

         上面介绍的所有四种技术都要求在移动设备上保证安全和可信,一个TEE平台可以达到这一点。

         (5)可信执行环境TEE。GlobalPlatform(GP)提供基于安全芯片技术的应用管理标准,由主流的网络运营商、支付服务、技术提供商提供支持,实现智能连接设备行业。GP的一个重要输出是其可信执行环境TEE(Trusted Execution Environment)。TEE的目的是将高安全敏感的应用与通用的软件环境进行隔离,安全地提供访问硬件资源(如安全存储、安全显示和用户接口等)的能力。TEE为所有的其它标准提供安全支撑,可以加快移动商务的发展速度。

早在互联网时代,人们生活中的游戏、社交、交易等行为已经离不开网络中的各式软件应用。因此,各类不同的应用存储着人们不同属性的信息。在数字经济时代,这些不同属性的信息一旦相连在一起,就会形成个人数字身份,属性越全面,身份便越完整。

Trustonic解决方案

         Trustonic是TEE技术的领先供应商,<t-base是Trustonic提供的TEE解决方案,可以嵌入到移动设备的处理器中,供其它服务提供商通过开放的方式访问现有的高级安全特征。Trustonic将可信服务紧密的连接到可信设备上,如下图所示:

图片 2

         芯片制造商可以集成t-base TEE,为PIN码、指纹和证书等提供隔离和保护,防止来自主操作系统环境的威胁。t-base使用ARM TrustZone安全隔离特征(目前SoC处理器中已经存在),并使用微内核和安全域隔离来保证可信apps的隔离。Trustonic为领先的芯片制造商提供集成的服务和支持,供应智能连接设备市场。

         设备制造商在生产线上设置Trustonic t-kph密钥配置主机系统(t-kph Key Provisioning Host system)。Trustonic为每个设备的每个t-base TEE创建一个信任根(root of trust),并同步记录到Trustonic的t-sek目录中。

         安全应用开发者使用Trustonic提供的t-sdk软件开发工具包(可以通过Trustonic t-dev开发者计划获得)创建可信apps,可以运行在t-base中。

         服务提供商通过Trustonic的t-sek服务许可工具包(Service Enablement Kit)连接到t-base内的安全域,t-sek可以授权部署应用到安全域。

         t-base的用户认证:TEE的能力之一是可以安全连接外设,可以保护用户的输入,如FIDO的UAF认证子(触屏或者指纹传感器)。通过触屏可以输入用户PIN码,通过可信用户接口进行。生物认证可以作为另外一个认证因子,TEE可以安全存储一个注册的指纹信息,并在可信环境中进行指纹的匹配。随着技术的发展,TEE还可以保护更多的认证因子。

         t-base的安全存储:软件保护容易被攻破,需要使用一个基于硬件的信任根来保护设备上的敏感资产。硬件信任根只能通过TEE访问,用来加密存储在其它大规模存储设备上的敏感数据。硬件信任根不会在TEE之外被访问,如主机OS就无法获取访问硬件信任根的接口。其可以存储临时的授权令牌或者存储用于解密beacon消息的密钥。这些主要靠t-base TEE保护设备上的密钥。

         t-base的安全通信:使用一个安全存储的密钥,一个可信app可以构建和云服务的一个可靠安全的连接,也可以构建与本地设备(如安全元素SE)之间的一个安全通道。TEE保护建立这些安全连接的私钥、秘密密钥和随机数生成器,可以和任何终端设备构建安全连接。

         t-base的安全显示:通过控制对显示驱动外设的访问,TEE能够在设备上安全的显示数据。TEE隔离显示缓存和信息,使得其不会被主机OS篡改,真正达到“what you see is what you sign”。

        

既然数据被公认成为数字经济的石油、人工智能的原料、新经济的引擘,数据的可控治理成为了当下的热门话题。而数据治理的首要是数据标准化,标准的第一步便是要明确数据的主体,主体的明确则需要数字身份的安全可信认证。

总结

安全基准是TEE,其它提供安全手段和服务。

Bluetooth Smart – protect user privacy

FIDO - securely capture PINs, biometrics and protect online privacy

HCE - protect identity and connection to Token Service Providers

EMVCo Tokens - protect locally stored tokens and enforce policy on usage

TEE - Protecting all of the above standards

 

参考

[1] Five Standards for One Way to Pay.

[2] Beacon技术:室内交互的新浪潮.

  • ------------------分隔线----------------

数字身份认证的重要性不言而喻。

图片 3

图片来源于摄图网

然而,互联网欺诈事件层出不穷,身份黑市大量存在,个人的隐私遭遇“裸奔”危机等情形依旧存在。

数字经济时代,如何规避、减少互联网欺诈事件?数字身份的安全可信认证的核心技术是什么?如何利用区块链技术结合其他核心技术打造可信安全的数字身份认证?

5与15日,在越你聊“锌”第19期分享会上,锌链接创始人龚海瀚邀请了云之道信息技术有限公司执行董事单慧蔚,将以“数字经济时代的数字身份认证”为主题,来解决上述问题。

图片 4

锌链接:数字身份认证行业都有哪些认证技术或标准?目前大家都需要突破的焦点问题有哪些?

单慧蔚:传统的认证方式基本有三种。第一,根据所知道的信息来证明身份,比如密码口令;第二,根据所拥有的东西来证明身份,比如银行U盾、短信验证码;第三,根据独一无二的身体特征来证明身份,比如指纹、声纹、人脸等。

无论是口令还是指纹等生物特征,几乎都要通过用户和服务器两侧的凭证匹配来完成。

数据泄漏事件频发,我们意识到,依赖互联网企业难以杜绝数据泄漏。口令被盗可以修改,而生物特征一旦泄露则无法擦除。

于是演进出一种可信认证模型,把认证链条分为两部分:人到设备端的认证和设备端到服务端的认证,这两个链条各自保证认证安全就实现了用户到服务端的安全认证。

要解决的核心问题就是如何建立可信根。可信身份认证模型会在设备端隔离出一个独立的硬件环境,建立安全区域。理论上,这个隔离出来的硬件本身是难以攻破的,比如ARM公司在其处理器上隔离出来的Trust Zone,或者是手机里加了一个独立安全芯片模块。

这个安全模型可以保证,手机端被攻破时也不影响整个系统身份认证的安全可信。安全域用来存储指纹识别或者瞳孔识别的样本,以及加密密钥,本地认证保证安全域,这是第一段认证链条。

另一段认证链条是由安全区域与远程服务端之间建立一条可信安全通道,这也是可信身份认证协议的主要内容。因为这个路径要通过互联网才能到达远程服务端。

目前,主流的可信身份协议包括应用于网银U盾的协议,以及近几年比较火热的FIDO、IFAA两大统一身份认证标准。

锌链接:阐述一下云之道的身份认证系统和电子签名平台成立初衷、基本架构和发展逻辑?

单慧蔚:在移动设备中,要实现上述的安全认证,必须要提供一个安全区域把作为身份认证的密钥保护起来,让别人无法偷走你的密钥。而手机作为消费类电子产品,一般没有专门的安全芯片来对加密密钥进行保护。

而手机的操作系统是开放式的环境,如何保护密钥是安全认证的核心难点,这就是我们公司的成立的契机。

如何实现密钥的保护 ?我们研发了JustKey身份认证系统。

图片 5

JustKey采用了创新型的白盒密码技术,根据设备的不同指纹生成独一无二的加密算法,在无需增加硬件安全芯片的前提下,采用软件方式动态生成和有效识别设备身份。

我们通常使用的加密算法是属于黑盒密码:算法公开,个人密钥需要硬件介质提供保护,在运行的时候不能暴露加密密钥,保护加密密钥是核心。

而白盒密码是将密钥和算法融合在一起,使其在运算过程中密钥不会泄露。你分离不了密钥和算法。

图片 6

这是一张简单的架构图:设备端有JustKey的SDK,它采集设备指纹,发送到下载插件服务器,再由加密机根据设备指纹,用主算法动态生成跟这个设备一一对应的加密算法,并编译成可执行插件,下发到设备端,设备端调用这个加密算法插件,跟认证服务器进行双向认证。

有了这个跟手机一一对应的加密算法,手机就可以被模拟成U盾,作为身份认证因子。

基于这个加密算法,我们能认证用户是否合法?设备是否合法?APP客户端应用是否是盗版的?传输的数据是否被篡改过?指令是否是伪造的?

JustSign是一款基于FISCO BCOS的区块链系统以及使用基于白盒密码的JustKey签名系统的电子合同存证链系统,在给予用户方便的前提下,把电子合同的签章信息放在了存证链上,所有节点都保留签名信息,解决电子合同在发生纠纷时举证难,缺乏公信力,防止电子合同文件内容被篡改等问题,保护用户个人安全和利益。

电子缔约场景的移动端身份认证的安全性和便捷性不好;CA证书有兼容性问题,体验不好;软证书在移动端很难保护,易被盗用,可抵赖;移动端APP存在数据完整性隐患,自建系统存证证据公信力不足,发生纠纷时举证难等痛点。

JustSign通过白盒密码算法提供基于设备的身份认证服务,通过白盒密码算法提供数字签名,引入区块链,并由权威机构提供存证服务邀请仲裁机构加入联盟链,作为独立存证节点。

图片 7

锌链接:未来数字身份认证的技术和应用场景的发展趋势是怎样的?数字身份认证与物联网技术的结合会迸发出怎样的火花?

单慧蔚:数字身份的发展阶段大致经历了四个阶段:中心化身份、联盟身份、以用户为中心的身份和自主主权身份。

中心化身份时代的标识符就是个人邮箱账户,邮箱背后代表着真实存在的个体;联盟身份可以类比为微信、微博的跨平台登录;还有就是以用户为中心的身份和自主主权身份。

区块链作为前沿技术,为数字身份认证提供了极高安全性和使用便利性。基于区块链实现自主主权的数字身份,解决了身份和平台之间互操作性。不仅可以保护个人隐私,还能激发相互信任,提供更高的安全性,这也是用户对数字身份掌控度最高的形式自主主权的数字身份大大改善目前的身份安全问题。

在5G时代,商业流程会实现从人的连接到物的连接,在实现万物连接之后,开放性、云物一体等5G特征也使得网络安全问题变得更加重要。

物联网设备身份化是未来重要的安全场景。尤其是超大规模通过NB-IOT/LORA模组连接在一起的廉价物联网设备,他们的身份标识和认证是最大的难点。由于是成本低且功耗低,所以,再用增加硬件芯片的方式进行认证识别,就无法满足应用场景的要求。这里对身份认证手段提出了更高的要求。

万物互联的应用场景,多样化的终端形态与接入技术,移动边缘计算技术,网络切片技术将产生新的安全问题,用户需要从机密性,隐私保护,伪基站防护,网间安全,完整性,认证类型这几个方面,来提升5G背景下的网络安全。5G背景下的数字身份认证市场大有可为。

本文由威尼斯官网9778818发布于威尼斯官网9778818,转载请注明出处:在数字经济时代,欢迎转载

关键词: