中文版 ENGLISH
往届回顾
主办单位
大会议程
会议资料
演讲人介绍
会议报名
 

    Florian Pacquelin:

    我今天的发言题目叫做:“指纹识别的新挑战与商务案例分析”。我会跟大家分享一些我们现在真正的使用案例,所以,我会跟大家介绍一下我们遇到的挑战和我们的解决办法。

    首先我跟大家介绍一下ID传统市场是什么样子的?以及现在的芯片都有什么。我们现在正在从传统的纸质文件发展到数字化的文件过程当中,比如说我们的身份证,我们的健保卡,我们的驾照、护照、政府员工的ID等等,都是我们很好的例子。在传统纸质、塑料的卡转换到现在的智能卡过程当中,很多国家实施了很多项目,以便能够保证这些信息的安全性,以及我们芯片的安全性。

    比如是我们在一些国家做了一些驾照项目,比如说我们希望驾照的项目,以便消除假冒、诈骗、偷窃等行为。同时也有政府雇员ID项目,比如说军队当中人员的ID,或者公务员的ID卡,可能是一些敏感部门,可能会受到攻击,如果丢了就不好办,通过智能卡的方式,安全性就会得到很大的提高。

    我们看到传统的ID卡主要就是知道你到底是谁,比如说你的名字是什么,你在哪里工作。电子化的证件主要是确定你这些信息、这些文件的真实性,你光说你是谁不行,你得证明你是什么人,你所代表的机构。这些问题在发卡的时候就已经存在了,就是我们必须要保证持有人的真实身份,你的身份必须真实,必须验证才行,同时得保证这个人的身份不应该在其它系统当中已经注册了,这样可能会出现一个冲突情况。

    下面我跟大家介绍一些事实,实际上每个人都至少有一张智能卡,所以,大家可以看到,这就是它的应用范围已经非常非常广了。比如说安全性,比如说银行卡,或者工作卡,我们的证件都用到了智能卡。可能现在大部分人还不会用智能卡做一些事情,比如说我们可能不会用智能卡取钱,或者做交通工具,智能卡的应用还不是很多。为什么我们要保证网络的安全,因为卡本身还不在那,为什么呢?我们知道,现在有越来越多人使用到网络(互联网),我们真正的挑战并不是说传统的文件本身有什么问题,比如说你要想认出眼前站的人是谁,我们现在面临的挑战,如果说这个人你认识,当然你很容易(不会出现任何问题),如果不认识的人你怎么相信他的身份,你没见过他,你怎么信他呢?特别是在一些网上,都是不见面的情况下,所以,我们在发卡的时候需要真正的来保证一种数据的方式来保证这些信息的真实性,这样才能够保证各种各样的应用能够得到安全的保护,一会儿再给大家演示一下,我们在安全方面有哪些弱点。

    我们接着往下说,我们知道有很多人使用了(网上购物,或者我们都有网上购物的经历),大概有890万的人是遭受过网上诈骗类似犯罪的影响,或者说他们的身份可能在网上被盗窃等等,这仅仅是去年一年的数据,就有809万人。很多时候在网上购物的时候,我们使用信用卡的数字,这个信用卡的数字很容易被盗用,其他人很容易盗用你的数字,盗用你的身份,来进行网上支付,这就会造成巨大的损失。

    第二个例子也是我想提出来的,就是电子邮件的安全性。所有人都使用电子邮件来沟通,特别是在商界,我们都使用电邮,实际上你很容易制造一个假身份,比如说在雅虎创造一个比尔.盖茨的帐户,假装自己是比尔盖茨,你还创建另外的身份,比如说我的电子邮箱,我发出电邮,你只看到我的电邮,你看不到我的身份,我可以发邮件,然后用我自己造的虚假身份,通过电邮的沟通,我还可以借用别人的身份,没有人会意识到我的真实身份,我们接收邮件的时候,经常一看电邮的名字,就假设他是这个名字所代表的人物,但实际上很多时候是盗用的名字。

    下面我讲一下无线保真安全问题。现在在互联网上的所有通讯都是通过无线保真连接,实际上它的安全性很差,要么毫无安全性可言,要么通过WEP加密,实际上它是很容易破解的,破解之后就意味着可以很轻松的进入一个网络,一个公司的网站,并且可以盗取某人的身份,因为很多网络身份识别是通过钥匙进行的,你破解了WEP之后就能够获得这个钥匙,意思就是说你可以进入互联网上兴风作浪,来盗取别人的身份,或者是通过破解密钥来获取信息。还有一个弱点体现电子银行业务上面,现在大多数人非常熟悉电子银行,我们经常进行汇款或者是汇钱,来查我们的余额,这些活动都是通过登陆帐号(密码)在网上查询的。实际上如果你用密码登陆很容易被窃取,我们进行汇款的时候,如果只是使用登陆的帐号和密码,这实际上是非常虚弱的,很容易被人盗窃的。比如说如果你到ATM,没有卡,只有帐号和密码,每个人都很容易窃取你的钱。说了这么多,我认为安全性的需求是很高的,我们有一个概念,就是说要建立一个真正的互联网身份是非常重要的,因为现在大多数互联网身份都是匿名的,很难去追查的,有很多重要的和私人的活动都在网上进行,比如说汇款、网上购物等,这些都是非常私人化的东西,非常敏感的东西,没有安全性就无从谈起。

    我们怎么解决安全性问题呢?现在行业是不是采取了解决方案呢?首先我想给大家介绍一下,现在数字认证的做法,这叫PKI的做法,就是公钥基础设施,公钥给一个数字证书,这个数字证书就是你的数字身份,你自己还有一个密钥,还接触修改你自己的信息,这个概念并是很新的,实际上PKI在法国用于纳税申报已经很长时间了。这当然也存在一个问题,如果电脑坏了,很多时候(数字)证书就没有了。比如说法国的报税,政府就会发现90%的用户每一年都在要求新的证书,因为他们经常换电脑,一换电脑(他们原来电脑上的证书就丢掉了),还需要重新申请证书,所以这是加重了工作负担,怎么保证证书的可移动性是要重要考虑的。

    另外一个,怎么样保证你电脑当中的密钥(保密性),不让别人窃取,现在这也是一个软肋。针对这些弱点,我们可以使用智能卡,智能卡首先给你带来便捷性,你很容易把一个证书从一个电脑转向另一个电脑。另外有一个数字的(保护),这个PINK非常重要,可以在不同电脑上使用你的证书不会被人盗取。另外,智能卡上的密钥不能被人所窃取的。另外,我们还可以吸取银行、移动和身份证方面的安全做法。

    现在问题就是成本,如果使用智能卡,它的问题就是说还需要一个读卡机,也就是说如果你要拿出一个解决方案给很多人来使用,可能要花费很多的成本,不仅仅是智能卡的成本,还有读卡机的成本,读卡机的成本还要高于智能卡。所以,要大规模的部署智能卡非常困难,主要是读卡机的成本。现在在我们产业当中有一个新形式出现,叫做(TOKEN),就是一个加密装置,就是把智能卡的芯片拿出来放在USB的一个装置里面,便捷使用。如果芯片放在USB里面就变成一个(TOKEN)它比智能卡好得多,因为它在里面可以集成读卡机,成本降低了,另外安全性并不会降低。我们有了TOKEN之后可以加强电邮的保密性,因为当你在使用OUTLOOK的时候可以插入TOKEN可以对文件进行加密、解密,还可以进行电邮的签字,也是用TOKEN进行,签字之后你的电邮就不会被人仿冒,因为通过TOKEN签名之后就会保证证书不会被篡改,还可以确保邮件,如果是签名的邮件,可以保证发邮件人的真实身份。另外还可以通过TOKEN进行邮件加密,加密之后,一般人没有解密TOKEN就无法读取。

    第二个例子叫做EAP TLS,你可以加密,这个设施已经存在了,它主要使用PKI装置。它有一个双向的认证,它仅仅看口令和密钥,另外还需要一个动态的身份验证,EAP验证是非常透明的,对于用户来说,只需要插入TOKEN,然后输入口令就能上网络进行保密性更强的网络上传输和工作。

    在商业方面,我们可以用WIFI做什么工作呢?假如说大的宽带运营商,比如说(澳瑞扣)公司向每个人提供了宽带服务,比如说每个月300块钱就可以包月上网,比如说一个月多花三四十块钱,然后(澳瑞扣)给你一个TOKEN,你可以建立网上身份识别,在家里就可以做到,另外你拿这个移动电脑出去旅行就可以进入所有的(澳瑞扣)提供的热点服务。通过TOKEN可以在互联网上识别你的身份,所以每个月加一点钱,就可以随时随地进行保密程度很高的网络运作,这个是TOKEN带来的无穷力量和好处。

    另外商业的案例对中国也不陌生,因为中国已经在使用这的业务了,它使用TOKEN进行保密的电子银行业务,我们之前也提到了,现在银行有很多银行帐户,主要是通过口令和登陆帐号,这个很容易被盗取,还容易被钓鱼软件袭击,也就是说在识别自己口令和密码的时候,有人用钓鱼软件可以盗窃你的信息,如果用TOKEN就不需要进行网上公开的身份认证,服务器和电脑能够自动的进行互动,来进行身份识别,这样的识别过程就更加保密,不容易被钓鱼软件,或者是黑客所盗取。如果有智能卡,你还可以保密的从ATM上取钱。
如果有人想用你的身份来取钱,来盗窃你网上的帐户,他需要拿到你的TOKEN,就像去银行取钱必须拿到你的银行卡一样,所以TOKEN相当于增加了一层保护。

    下面我们看一下欧洲智能卡的好处,现在很多欧洲国家都在推出一个项目,就是把数字的身份证给所有公民,有了身份证之后可以环行欧洲旅行,不用护照。第二个,能够提供一些公共和私营服务,比如说通过卡片提供的公共服务,包括可以收取个人的文件,比如是出生证明、婚姻证明,不需要再去司政厅,可以上网,把你的身份证输入进去,要求在网上传输这些文件,还可以利用身份证来报税,获取社会服务等,比如说CI的福利,还有找工作,你可以随时在任何地方通过你的身份证获得公共服务,比如说需要警察救助,不用再去警察局了,有了身份证,可以在网络上证明你的身份,然后要求警察过来帮你,或者是要求警方给你提供一些个性化的服务。

    另外你还可以在网上进行汽车的登记,登记车牌号等等。个人私营服务也是包括很多的,它包括所有的信息。比如说有些论坛,或者是博客,他要求你18岁以上才知道,但是不知道你是不是18岁,但是有了身份证以后,你可以很快对管理者认证,表明你是成人了,可以让你参加网上活动。还有一个私营服务,就是订票,比如说订机票、火车票,有时候需要你提供网上个人身份,你通过智能身份证就能确切的证明你的身份,因为服务商能够很快的从你的卡片上提取你的信息。

    我们看看这些项目存在什么问题,第一个,在你使用智能卡(在网络上进行操作的时候),你需要有一个中间件,中间件是必须的,每一个卡片的供应商都有自己的中间件,所以中间件没有统一,当你在部署一种卡片的时候,如果要改变供应商,还要改变中间件,如果你是大规模的部署卡,一旦发生变化,你的中间件变化成本就不得了。有一个好的消息,微软现在已经在考虑这个问题,并且在进入数字身份的业务,他们进入彩页之后,他们提供了一些新的公开技术,比如说你去了微软的OUTLOOK,你可以用微软的分成技术,实际上就是微软是免费的来提供一些驱动器和中间件,比如说有一个智能卡,你就去WindowUPlate,你去新加坡下载支持中间件,这就是一个免费的中间件,能够让你在电脑上使用你的卡片,有了微软免费的中间件之后,政府就不用担心我用智能卡以后的中间件的费用和问题,特别是变化、迁移以后产生的成本,现在微软涉入之后,他的免费中间件就解决了这个问题,它也帮助智能卡提升项目管理。

    我总结一下发言,互联网已经进入了日常生活,每一个人都在上网,这不是一个新鲜事物了。但是安全的数字身份现在还没有完全建立,现在我们使用互联网用于银行业务、信用卡业务,却没有安全性保证,因此安全性问题是很严重的问题,希望通过我的介绍使大家认识到这个问题的严重性。很明显我们产业也在找解决方案,尽管还不成熟。我相信欺诈的成本,以及微软的介入,还有使用信频的国家智能身份证的成功,包括新加坡(欧洲)这一切要素都会帮助我们改变目前网络安全性低的一面。我们现在有很多国家有新的保密项目,我相信会有更多公民受益。

    非常感谢!