如何解决移动互联网应用与服务的信任难题?
汪德嘉移动支付网2018/3/22 11:12:19

安全问题的本质是信任问题。捍卫移动互联网的健康发展,打造安全和谐的网络环境需要全方面地构建维护信任体系。

事实上,网络空间的信任问题在网络安全领域的探讨由来已久。早在2012年底,全国人大审议通过的《关于加强网络信息保护的决定》和国务院发布的《互联网信息服务管理办法》,就为采用安全有效的技术措施识别和验证互联网上公民真实身份,解决互联网身份信任问题提供了基本法律依据。

2014年,在中央网络安全和信息化领导小组第一次会议上,习近平总书记以“没有网络安全就没有国家安全,没有信息化就没有现代化”的清晰战略,提出了建设网络强国的战略目标。在其后一系列国际国内相关会议上,习近平总书记还多次强调“要树立正确的网络安全观”。网络安全问题已经上升到国家层面,也为解决互联网产品与服务的信任问题提出了新的要求。

我们所要做的,就是结合区块链、人工智能、大数据分析及移动安全等新兴技术,对移动互联网应用场景中的用户、设备、应用以及行为进行可信度判断。进而构建一种全方位的移动互联网应用与服务信任基础体系。

网络安全事件中不可信问题凸显

想象一下日常生活中的移动互联网使用场景:一个用户将自己的手机连上Wi-Fi或4G网,下载安装一个应用;通过扫描二维码完成支付、乘车、注册、社交等服务;所有这些都是大家习以为常的、非常便捷的手机操作,但却隐藏着诸多安全风险。

近年来移动互联网在移动终端、网络接入、应用服务、安全与隐私保护等方面已不断暴露出各种各样的安全问题,如账号盗用、资金盗取、虚假交易、仿冒盗版等恶意行为已层出不穷。

这些安全问题很大程度都是由移动互联网应用与服务的不可信引发的。网络黑产在利益的驱使下对用户个人信息的盗取和售卖在很大程度上加剧了这种信任危机。

根据央视近期曝光的银行卡信息网上买卖黑市的调查中,在黑市上,只需5分钟便可买到上千条银行卡信息,包括卡主的姓名、卡号、身份证、电话号码、银行卡密码等,并且准确率极高,这让所有人感到不可思议的同时也倍感不安。

在网络上,其实存在着一个规模庞大的盗取银行卡的黑色产业链。这些对外售卖的信息,大多来自于一些非法钓鱼网站。不法分子会冒充正规企业炮制恶意网站,而用户一旦在此类网站上填写了姓名、身份证号、银行卡号、密码等信息,将会直接导致个人信息泄露,被不法分子搜集起来通过贩卖或直接设法转走钱财获取利益。而这一切,都时时刻刻削弱网民对互联网企业的信任度,消减他们在网络上消费时的信心。

安全问题的本质是信任问题

安全问题的本质是信任问题。在我看来,一切的安全方案设计的基础都是建立在信任关系上的,我们必须相信一些东西,必须有一些最基本的假设,安全方案才能得以建立。如果我们否定一切,安全方案就会如无源之水、无本之木,无法设计也无法完成。

举例来说,假设我们有份很重要的文件要好好保管起来,能想到的一个方案是把文件“锁“到抽屉里。这里就包含了几个基本的假设:首先,制作这把锁的工匠是可以信任的,他没有私藏一把钥匙;其次,制作抽屉的工匠没有私自给抽屉装一个后门;最后,钥匙还必须要保管在一个不会出问题的地方,或者交给值得信任的人保管。反之,如果我们一切都不信任,那么也就不可能认为文件放在抽屉里是安全的。

与之类似,要解决移动互联网应用与服务的安全问题,就要从安全的本质——信任问题出发。一种可行的途径是,通过将网络安全技术(如:区块链、人工智能、大数据分析及移动安全等)的有机结合,对移动互联网应用场景中的用户、设备、移动应用环境以及用户行为等进行可信度判断,从而构建一种全方位的移动互联网应用与服务信任基础体系。

解读移动互联网应用与服务信任基础体系

事实上,移动互联网应用与服务的风险点主要集中在四个方面,暨身份识别风险、设备识别风险、软件环境风险和业务行为风险。与此同时,在移动互联网服务的各个场景,如APP安全、云身份识别与管理、风控反欺诈、金融大数据应用等场景中,都存在上述风险,导致移动互联网环境中的信任基础薄弱。

打造安全和谐的网络环境,构建移动互联网应用与服务信任基础体系,需要从四个方面入手。首先是对身份的信任。需要确保是用户本人而非其他人在操作这台设备,而且用户扫描的二维码需对应真实的互联网服务提供商,而不是含有恶意网络链接的二维码;第二是对设备的信任。需要确保用于支付设备确实是用户本人的设备、且是安全合法的设备。在黑客使用的不被信任的设备上将无法伪造用户的服务请求;第三是对应用的信任。需要确保用户下载安装的移动应用是安全并且合法的。这里包含两点,一是该应用并非仿冒和盗版应用,二是该应用本身不存在已知的安全漏洞;第四是对用户业务行为的信任。需要确保用户的网络操作是基于完成正常业务需求的意愿,而不是出于欺诈、误导或隐瞒事实的意愿。这四大关键环节的信任问题直接决定了移动互联网应用和服务的安全现状。

此外,构建移动互联网信任基础体系,有两个关键点,其一是确认信息的可信度,其二是保障信息节点的安全性。在这方面,区块链等前沿网络安全技术的应用则显得至关重要。

在移动互联网应用与服务信任基础体系中,区块链技术是作为底层技术支撑,其作用是确认信息的可信度。这种去中心化的分布式数据存储技术,通过节点间的信息检验,能够将那些真实有效的信息永久保存下来,并且不可篡改。因此,我们可以通过区块链的功能实现对所有的身份信息、设备信息、应用信息及用户行为的记录和可信性筛选;不仅如此、在此基础上,通过机器学习、数据挖掘等人工智能技术对用户、设备、应用及行为进行历史行为分析,可以做出更精准、可靠的可信度判断。

构建移动互联网应用与服务信任基础体系的另一个关键点是区块链节点的安全性需要得到保障。对此,先进的移动安全技术可以在用户的手机上创建一个安全可信的计算环境,黑客难以入侵或操纵用户的区块链客户端,从而保障用户能够通过手机来可靠地获取我们这个信任基础体系提供的服务。

一个完整的移动互联网应用与服务信任基础体系,还需要具备两项基本功能,暨生成风险分与信任分。对于B端用户来说,风险分有助于辅助企业评估自己的用户是不是有风险行为或风险意向;而对于C端用户来说,信任分则能够帮助用户评估自己在信任基础体系中所处的位置,了解自己是不是被信任。

在构建移动互联网应用与服务信任基础体系上的尝试

笔者在区块链身份认证、移动安全与大数据反欺诈领域进行了持续多年的尝试,在构建移动互联网应用与服务信任基础体系方面,也有了一定的技术和行业积累。

在服务政府、公安以及SAAS企业时,我和我的团队注意到:各行各业都涵盖流程审批、权限分配、账号登录等诸多涉及身份认证的环节,更有甚者,在金融和支付业务较多的场景中,无论是传统金融、互联网金融、还是电子商务、第三方支付,均涉及大量用户登录、支付、交易、充值、提现、借贷放贷、信息修改等环节,无一不对身份认证提出强需求。

因此,我们尝试将时空码、设备指纹、区块链等多项核心安全技术整合运用于身份认证领域,通过人工智能的方式,在毫秒内综合判断时间、空间、设备、生物、行为等多重因子,以期帮助企业客户解决平台用户账号登录、管理授权、转账汇款、支付交易、资金提现等关键环节的二次身份确认问题。

我们研究发现,在身份认证需求相对较弱,但使用场景更加广泛的注册和登录环节,批量注册、账号撞库、恶意登录和灌水行为等安全问题普遍存在。这些问题,在我看来,通过人工智能、机器学习、设备指纹等技术对软、硬件属性和行为特征的快速风险分析,可以高效识别人机特征,从而有效规避注册登录风险。

在保证信息节点安全性这一环节上,我的经验是:要在尽可能多的移动设备上完成对可信计算环境的创建,要实现移动设备全兼容、运行性能零损耗、安全防破解,高效防逆向、防篡改、防窃取的移动应用加固效果。从这个角度来说,将虚拟机保护技术应用于移动应用加固或许是一个有效的尝试。

此外,在对用户业务行为风险防范方面,及时动态预警风险和阻断欺诈操作是关键。在我看来,整合运用人工智能与大数据、设备指纹、规则引擎、深度学习等技术,有助于全方位实时监控风险、实现多维度关联分析和可信度分析,防范业务行为风险。

目前来看,虽然构建一个基于技术创新的、全方位的信任基础体系仍然存在着一些技术挑战,但这将是我和我的团队努力的方向,我们将致力于把习近平总书记“让互联网更好造福国家和人民”的号召真正落到实处。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消