給手機裝個“安全開關” 為你的賬戶加個“安全鎖”

13日，浙江桐鄉，2016中國創新創業大賽互聯網和移動互聯網領域總決賽開鑼。

來誼金科的CTO侯海坤代表團隊、懷揣著參賽作品——“小微封”一路過關斬將、從上海分賽區走到了全國總決賽的現場。就像眾多創新創業的中小企業一樣，他們把這種經歷看成一種榮譽和業界認可。

近年來，隨著移動終端的迅速普及，移動互聯網安全問題進一步凸顯。騰訊安全發布的《2015年度互聯網安全報告》顯示，目前全球網絡安全的主要威脅已經從黑客攻擊模式轉變成犯罪分子的斂財工具。2015年，騰訊手機管家移動安全實驗室新發現的手機病毒數為1670.37萬個，手機病毒感染終端數量達7490萬次。

作為互聯網金融安全服務商，來誼金科團隊早就看到了這片“藍海”。2011年，互聯網金融出身的徐海光開始轉戰“互聯網安全”領域並成立了公司，5年間一直致力於移動互聯網身份認証技術的研發，打造出了以“小微封”為代表的新一代B2C移動互聯網金融安全認証服務。

習以為常的“保護”不夠強大

作為一個普通用戶，CEO徐海光在賬戶資金安全問題上也有過“血淚教訓”。

“前幾年我去澳門旅游時錢包被偷，裡面有身份証和十幾張銀行卡。”徐海光回憶道，由於澳門博彩業發達，信用卡套現問題也很泛濫，“我給銀行打電話挂失的時候，手機就不停地收到銀行信用卡消費的短信通知。回來后跟銀行反復溝通、提交了很多資料才証明那一大筆錢是被盜刷的而不是我消費的。”

盡管如今，這是一個能夠笑著談起的“經歷”，卻給了來誼團隊在移動網絡安全服務領域深耕的信心和緊迫感。

雖然公司成立於2011年，但是2013年之前的兩年間都是技術的積累期。“真正的風口還沒有到來。”在徐海光看來，2013年開始，各種移動應用軟件及電子支付方式的快速興起，對移動互聯網的安全提出了巨大挑戰，也催生了網絡安全認証領域真正的市場需求。

2012年，時任瑞典KeypascoAB亞洲技術支持總經理的侯海坤受邀強勢加入，開啟了來誼金科力攻移動安全“強認証”的新時期。侯海坤在KeypascoAB之前就職於著名的金雅拓任網銀安全事業部研發總監，對各式各樣互聯網黑客攻擊有著非常全面而廣泛的經驗。

“遠程服務中銀行無法判斷電腦、手機等終端設備的操作者是不是持卡人，主要通過持卡人個人信息，包括用戶名、密碼、短信驗証碼等來識別用戶身份”，CTO侯海坤解釋說：“一旦銀行卡遺失，或用戶的賬戶、密碼、手機號碼等信息泄露，違法分子就能通過技術手段劫持銀行發出的驗証碼到自己手機上，很短時間完成資金轉移。”

在移動安全領域，目前國內研究比較熱門的是對生物識別技術，如指紋識別、虹膜識別等。但在國際上，對於這類技術的應用依然存在爭議。一是依賴生物特征的識別方式不可避免的與個人隱私保護沖突，另一方面“從技術上來講，無論是指紋，還是虹膜，最終還是以0101代碼的形式出現，而這些數字一旦被黑客攻破進而復制，在其他設備上操作，依然存在安全風險。”侯海坤說，“這還是存在一定安全隱患的認証方式。”

在手機上裝個“安全開關”

基於設備識別技術的“小微封”就是為解決類似問題而誕生的。

“‘小微封’相當於通過手機給自己的賬戶裝了一個‘安全開關’。”CTO侯海坤比喻說，“一旦銀行卡、身份証或者賬戶密碼丟失，用戶可以用過移動端APP將綁定的各類賬戶鎖定，沒有那把特定的鑰匙，其他人根本動不了資金賬戶，甚至銀行卡也可以通過綁定的手機在設備上設定遙控開關，隨時開啟關閉賬戶。”

既然在高科技面前連生物指紋都變成固定代碼呈現，那麼特定的“鑰匙”又是什麼涉及我們技術實現的細節，不建議公開發布，僅限於交流講述。

每一個軟件、硬件和操作行為都會在一台智能終端上組合形成獨一無二的“特征值”，“小微封”就是通過記錄用戶操作路徑等實時信息以及監測硬件序列號等固定信息，然后傳遞給服務器進行認証和比對的方式來保護賬戶資金安全，同時，這些數據又不涉及個人的隱私。“與服務器中保存的操作行為信息比對成功，通過認証后才能完成后續操作。”侯海坤說。

相比固定的人體生物指紋，這種被稱為“特征值”的設備指紋在保護個人隱私方面要安全得多。因為加入了互聯網因子，能實時採集智能設備上的變動信息，不斷豐富“指紋”的動態變化，防止信息被復制。所以，即使用戶的賬號密碼被盜，在其他設備(非綁定設備)上也是無法操作。

更關鍵的是，“小微封”採用的雙通道認証從根本上改變了現有的認証方式。

傳統方式下，業務功能和認証功能使用同一個通道，用戶發出認証信號到金融機構的服務器，驗証身份后，服務器發出業務(支付)指令按照原路返回，這一來一回就給了黑客足夠多的時間劫持信息。侯海坤進一步解釋道，“小微封”把整個路徑由單通道變成雙通道，“用戶發出驗証信號通過A通道到金融機構服務器，驗証后業務（支付）指令再通過B通道傳遞給用戶，大大增加了黑客截取、比對、篡改的時間和難度。”

“我們曾經跟銀行的朋友開玩笑，在他們那裡在開十個賬戶，每個賬戶中存十萬塊錢，在關閉保護手機銀行賬戶安全的‘小微封’開關之后，把賬戶和密碼對媒體及公眾公布，請銀行專業人士及專業技術人員進行破解，誰破解成功、十萬元就歸誰。”徐海光笑著說。

“安全衛士”的歷史使命

來誼金科對安全身份的“強認証”技術曾被IBM視為未來幾年最具發展潛力的科技應用之一，並將其命名為“數字衛士”技術。

從來誼金科發展的身前身后也能看到，國內互聯網行業發展至今，依靠商業模式創新的路子，已經遇到了瓶頸。為適應國家經濟戰略轉型的需要，技術創新型公司加上好的商業模式將成為政策所扶持的重點對象，同時也成為資本“圍獵”的目標，科創板的推出就是這種趨勢的証明，2015年12月，來誼金科也作為首批挂牌企業成功登陸科創板。

2015年底，與小微封同期推出的還有“認証雲”。“我們的目的就是通過多種方式為互聯網金融平台提供安全保護。”侯海坤說，認証雲以‘小微封’移動身份認証系統為基礎，同時集成公安部身份認証服務、人臉面部識別認証服務、移動數字証書認証等多種認証服務，以雲服務的形式提供對用戶的多維度身份認証，“很多互聯網金融企業不具備對接如公安部身份認証服務等系統的能力和資質，也沒有足夠能力自己開發相關技術，認証雲的出現可以大大降低這部分門檻和成本。”

這是來誼金科在移動互聯網身份認証方面的再一次深入探索。在CEO徐海光看來，安全是個很專業的領域，也很枯燥，大多數企業都有興趣研究應用，隻有少部分才會研究身份認証安全。“但是‘安全認証’不只是企業行為，更應是被重視的國家戰略，近期國家人民銀行、公安部等部委針對互聯網安全出台的相關政策，也証明了這一點。”徐海光說。（記者 李偉）