助力“互聯網+”行動：解讀聯想集團的網絡安全—— 基于“互聯網+”行動背景下的聯想集團的信息安全戰略與布局

□ 崔傳楨

助力“互聯網+”行動：解讀聯想集團的網絡安全—— 基于“互聯網+”行動背景下的聯想集團的信息安全戰略與布局

□ 崔傳楨

識別和有效管理網絡參與者的身份目前成為各界面臨的最為棘手難題。聯想集團在中國信息安全市場啟動之際，成立了信息安全事業部并加大了投入。聯想網御公司承擔了北京奧組委管理網及奧運轉播網的信息安全保障工作。國民認證科技（北京）有限公司是聯想創投在聯想互聯網轉型和推動“設備+云”服務的戰略下成功孵化的子公司，致力于利用基于FIDO聯盟UAF/U2F國際標準協議的先進技術，并通過多種技術創新，研發符合中國市場及管理規范的身份認證系統，滿足國內市場需求與監管要求，向機構用戶提供從客戶端到服務端完整的身份認證解決方案。聯想創投集團積極進行信息安全產業的投資布局。

為了解聯想集團的信息安全戰略和如何助力“互聯網+”行動計劃，本刊在京走近聯想創投集團和國民認證公司，深入探究聯想集團的信息安全戰略及產業投資布局。

網絡可信身份識別與管理：信息安全的現實課題

2016年4月19日，習近平總書記在京主持召開網絡安全和信息化工作座談會并發表重要講話，強調按照創新、協調、綠色、開放、共享的發展理念推動我國經濟社會發展，是當前和今后一個時期我國發展的總要求和大趨勢。我國網信事業發展要適應這個大趨勢，在踐行新發展理念上先行一步，推進網絡強國建設，推動我國網信事業發展，讓互聯網更好造福國家和人民。網絡空間是億萬民眾共同的精神家園。網絡空間天朗氣清、生態良好，符合人民利益。網絡空間烏煙瘴氣、生態惡化，不符合人民利益。誰都不愿生活在一個充斥著虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的空間?；ヂ摼W不是法外之地。利用網絡鼓吹推翻國家政權，煽動宗教極端主義，宣揚民族分裂思想，教唆暴力恐怖活動，等等，這樣的行為要堅決制止和打擊，決不能任其大行其道。利用網絡進行欺詐活動，散布色情材料，進行人身攻擊，兜售非法物品，等等，這樣的言行也要堅決管控，決不能任其大行其道。沒有哪個國家會允許這樣的行為泛濫開來。

習總書記還指出：互聯網核心技術是我們最大的“命門”，核心技術受制于人是我們最大的隱患。一個互聯網企業即便規模再大、市值再高，如果核心元器件嚴重依賴外國，供應鏈的“命門”掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊。我們要掌握我國互聯網發展主動權，保障互聯網安全、國家安全，就必須突破核心技術這個難題，爭取在某些領域、某些方面實現“彎道超車”。核心技術要取得突破，就要有決心、恒心、重心。有決心，就是要樹立頑強拼搏、刻苦攻關的志氣，堅定不移實施創新驅動發展戰略，把更多人力物力財力投向核心技術研發，集合精銳力量，作出戰略性安排。有恒心，就是要制定信息領域核心技術設備發展戰略綱要，制定路線圖、時間表、任務書，明確近期、中期、遠期目標，遵循技術規律，分梯次、分門類、分階段推進，咬定青山不放松。有重心，就是要立足我國國情，面向世界科技前沿，面向國家重大需求，面向國民經濟主戰場，緊緊圍繞攀登戰略制高點，強化重要領域和關鍵環節任務部署，把方向搞清楚，把重點搞清楚。否則，花了很多錢、投入了很多資源，最后南轅北轍，是難以取得成效的。什么是核心技術？我看，可以從3個方面把握：一是基礎技術、通用技術。二是非對稱技術、“殺手锏”技術。三是前沿技術、顛覆性技術。在這些領域，我們同國外處在同一條起跑線上，如果能夠超前部署、集中攻關，很有可能實現從跟跑并跑到并跑領跑的轉變。我國網信領域廣大企業家、專家學者、科技人員要樹立這個雄心壯志，要爭這口氣，努力盡快在核心技術上取得新的重大突破。正所謂“日日行，不怕千萬里；常常做，不怕千萬事”。我國信息技術產業體系相對完善、基礎較好，在一些領域已經接近或達到世界先進水平，市場空間很大，有條件有能力在核心技術上取得更大進步，關鍵是要理清思路、腳踏實地去干。我們不拒絕任何新技術，新技術是人類文明發展的成果，只要有利于提高我國社會生產力水平、有利于改善人民生活，我們都不拒絕。問題是要搞清楚哪些是可以引進但必須安全可控的，哪些是可以引進消化吸收再創新的，哪些是可以同別人合作開發的，哪些是必須依靠自己的力量自主創新的。核心技術的根源問題是基礎研究問題，基礎研究搞不好，應用技術就會成為無源之水、無本之木。

近年來，互聯網應用已滲透到社會生活的各個領域，廣泛形成了以互聯網為基礎設施和創新要素的經濟社會發展新形態，對經濟社會發展產生著戰略性和全局性的影響。最為明顯、最為緊迫的影響是人類社會千百年來業已形成的成熟社會治理體系難以直接應用于網絡空間，其中如何標識和識別、如何有效管理網絡參與者的身份是安全系統中的第1道屏障，成為各界面臨的最為棘手的難題。

習總書記在網絡安全和信息化工作座談會中強調要“本著對社會負責、人民負責的態度，依法加強網絡空間治理”。鑒于此，有必要整合國內優勢力量，建立一套可信身份提供、可信服務評估、可信隱私保護、可信行為監控的網絡可信身份管理體系，作為我國網絡可信身份戰略資源，服務于國家安全、經濟發展、網絡治理。

網絡空間安全是近幾年世界各國共同關注的戰略和課題。2011年4月，美國政府發布了 “網絡空間可信身份國家戰略（NSTIC）”，重點強調了網絡空間的戰略地位，明確要建立基于網絡安全的身份管理戰略，計劃用10年時間構建“可信網絡身份生態系統”，大力推動個人和組織在網絡上使用安全、高效、易用身份的解決方案；2013年9月，英國政府與5個身份服務提供方簽署了服務協議，英國公民可以從中自由選擇身份服務提供方完成注冊。英國發布身份保障計劃，通過“Document Checking Service”系統保護公民隱私，利用政務服務引導分級的、開放競爭的第三方身份服務市場，旨在創建提供跨部門的身份保障服務；2011年，歐盟就推出了FIDIS計劃，提出建立覆蓋歐盟范圍的“電子身份認證系統”，在電子商務、信息網絡與未來網絡等應用中引入并部署身份管理的相關技術和產品，以加強個人、組織以及實體之間的相互信任，以及強大的身份驗證、數據保護和隱私保護系統，為歐盟成員國所有公共和私人提供具備“互操作性”的服務；亞洲鄰國中，日本2013年6月出臺《網絡安全戰略》，明確提出“網絡安全立國”；印度2013年5月出臺《國家網絡安全策略》，目標是“安全可信的計算機環境”；同樣地，韓國也于2007年開始推行“I-PIN”認證，對網絡業務實施實名制管理。

網絡時代，個人信息的安全成為現實課題。個人信息泄露一般是指不愿意讓外界知道的個人信息被外界知曉。個人信息一旦泄漏，輕則導致被騷擾、個人隱私被曝光，嚴重的會導致個人經濟利益損失，甚至威脅到人身安全和國家安全。 個人在網絡空間中的可信身份和可信體系，至今都還沒有完全建立起來，還存在著冒用身份、傳播欺詐信息、泄露個人信息以及網絡暴力活動等各種問題。這就給網絡消費和資金安全帶來了隱患。

圖1 聯想集團董事長楊元慶在聯想創投集團成立發布會上

構建安全的網絡空間，對每個人的身份有保障的同時又有鑒別，做好網絡身份認證，對我國社會的政治經濟具有重要意義。從市場層面來講，不同的企業之間，尤其是大公司之間，都有不同的利益合作關系。聯想集團積極響應中央的國家網絡安全戰略和“互聯網+”行動計劃，重點在網絡可信身份管理的開發與應用方面進行投入，為此，聯想除了在身份認證領域促進產業融合、布局關鍵技術，還專門成立了國民認證科技（北京）有限公司，完全獨立運作，負責這個領域的工作。

聯想在信息安全領域的深耕與布局

(1)聯想研究院首當其沖

1999年成立聯想研究院之初，聯想就已經將戰略發展的目光投向了網絡安全領域，并組建了聯想信息安全研究室。聯想集團2000年進入信息安全研究領域。據 CCID的調查結果顯示，2001年底，聯想網御防火墻已經在市場位居第三。近期，聯想安全市場捷報頻傳，連續中標國家經貿委、國家計生委、數字福建、中國人壽保險等眾多機構已經連續4個季度銷售額實現300%的增長。

恰逢中國信息安全市場啟動之際，聯想成立了信息安全事業部。聯想在信息安全領域的技術研發下加大了投入，并逐步搭建了聯想研究院信息安全研究室與事業部信息安全應用研究的二級研發體系。技術研發的縱深發展，使得聯想在信息安全領域不斷突破。當時的聯想在信息安全領域已經取得了38項技術專利，其中在防火墻領域，聯想就已申請和授權了20多項網絡安全方面的專利。在產品上，聯想信息安全事業部先從單一產品做起，逐步向完整的解決方案過渡，最終擁有了防火墻、VPN、入侵檢測、安全隔離、安全管理平臺5個系列的信息安全產品及專業安全咨詢服務，并在此基礎上能夠向用戶提供整體的安全解決方案。

圖2 聯想集團高級副總裁、CTO、聯想創投集團總裁賀志強在國民認證發布會上

據IDC當年的報告顯示：2004上半年，聯想防火墻以14.3%的市場占有率排名國內品牌第一，中國市場第二，僅次于思科15.7%。聯想依靠強大的本土化和渠道的優勢，終于在當時占據了整個市場份額的半壁江山，打破了中國信息安全市場被國際廠商一統天下的局面，從而與國外品牌平分秋色。

2004年4月，聯想研究院承擔的課題“網絡安全管理和預警防御系統”接受了國家“八六三”計劃信息安全技術主題專家組的現場驗收，并經專家組充分討論，認為該課題在多項關鍵技術方面有創新，形成的研究成果得到較好的推廣應用，一致同意通過驗收。聯想研究院承擔的是信息安全領域的重要課題研究，同時也是聯想建立可信賴計算環境的重要組成部分。聯想可信賴計算環境（trusted computing environment，TCE）體系由3個關鍵領域構成，包括可信賴主機、可信賴網絡和可信賴管理系統。該課題涵蓋可信賴網絡和可信賴管理系統2個領域。在驗收會議上，來自全國的專家組成員對聯想自主研發的高速入侵檢測產品、安全集中管理產品、拓撲發現技術、安全聯動技術和可信賴計算環境技術等給予了充分肯定，展示了聯想在信息安全領域的實力和技術能力。

(2)聯想網御：專業公司護衛北京奧運會轉播

按照我國政府相關規定，凡是從事國家信息安全業務的公司必須是本土公司，不得有外資背景。因此，在完成了收購IBM個人電腦業務之后的聯想集團，將信息安全事業部分拆出來，成立聯想控股公司旗下的獨立子公司——聯想網御科技有限公司。從而完成與聯想集團的脫離，以便繼續進行國家信息安全的業務。

聯想網御聚集了一支來自于軍隊、中國科學院、著名高校和知名安全企業的信息安全隊伍，其主要任務是“配合國家安全建設的步伐，為客戶構建安全有效的等級化安全體系?！睂τ趪倚畔踩?，即為國家政府部門以及電信、金融等核心領域提供包括防火墻在內的信息安全管理。

2005年，聯想集團正式推出了國內第1款在國家密碼管理局立項，并由企業自主研發成功的安全芯片“恒智”。這一歷經2年不懈努力而獲得的重大成果，意味著聯想集團在國內可信計算領域率先掌握了芯片級核心技術，標志著中國在可信計算技術領域實現了重大突破。

聯想正式推出預裝“恒智”安全芯片的安全PC，滿足了中國市場對可信計算的急迫需求。根據有關規定，我國密碼芯片的設計開發和生產必須依靠國內的力量自主研制，不允許使用國外相關產品。而聯想面向國內市場推出預裝“恒智”芯片的安全PC，將可以為我國政府、軍隊、科研技術機構等信息安全敏感部門，提供完全由中國人自主研發、控制，完全可信的PC計算終端。

在聯想“恒智”安全芯片的整個研發過程中，從立項到最后成功，國家發改委、科技部、國家密碼管理局及北京市政府等部門都給予了大力的支持。聯想發布“恒智”安全芯片，標志著我國企業擁有了在可信計算領域里的核心技術能力，將對整個中國IT產業鏈，對國家經濟和社會信息化的發展進程產生巨大而深遠的影響。

2008年的北京奧運會和殘奧會舉世矚目，伴隨著這2項體育盛事的成功落幕，信息網絡安全保障工作也畫上了圓滿的句號。作為國內信息安全產業的領軍廠商及此次奧運會及殘奧會的信息安全服務主要提供商之一，聯想網御承擔了北京奧組委管理網及奧運轉播網的信息安全保障工作，此外，應主管部門和用戶的要求，對眾多與奧運相關的重要信息系統進行了安全監控，并為CCTV.COM等多個網絡系統提供了7×24 h安全值守服務。通過提供產品、解決方案以及網絡環境監控等多層面的信息安全服務，聯想網御成功完成奧運信息安全保障任務，為實現奧運期間“網絡不斷、信息不癱、賽事正常進行”的安全防護目標作出了貢獻。

隨著信息技術與現代奧運比賽的日益融合，安全、穩定的信息網絡環境成為奧運保障的最重要內容之一，而作為歷史上參與國家最多、參賽運動員最多的一屆奧運會，此次北京奧運會及殘奧會面臨的安全挑戰尤其嚴峻。在數以萬計的奧運網絡系統中，承載北京奧運會組織、統籌、協調工作的奧組委管理網，以及與奧運賽事報道息息相關的奧運新聞轉播網更是這場奧運信息安全保衛戰的重中之重。

憑借精干的技術力量和豐富的安全防護經驗，聯想網御參與到此次龐大而復雜的系統安全防護工作中。眾所周之，奧組委管理網是奧組委工作人員在奧運期間的核心辦公網，與奧運賽事的組織管理、人員調配等工作密切相關，是確保奧運賽事正常舉行的中樞，因此，奧組委管理網的安全防護工作不容一絲差錯。在眾多網絡安全廠商參與、由奧組委和國家相關安全部門牽頭的多次測試和大規模攻防演練中，聯想網御的異常流量管理系統憑借卓越的性能通過了各種嚴苛考驗，最終入選奧組委管理網的安全防護系統。在奧運期間，該系統成功保障了網絡流量的純凈，有效防護了DDOS的攻擊，出色完成使命。

相關統計數據顯示：北京奧運會期間奧運官方網站的訪問量達16.6億次，央視網的總體點擊數達71.49億次。面對前所未有網頁瀏覽量，各奧運轉播網在篩選合作伙伴時，也是慎之又慎，并對信息網絡的穩定性和安全性的提出了更高的要求。在奧運轉播網安全防護考驗中，聯想網御從眾多國內外優秀安全廠商中脫穎而出，承載了央視網、新華網和人民網的安全防護，確保了這3家奧運轉播網對奧運賽事和新聞的及時、順暢轉播。值得一提的是，聯想網御為央視網提供的安全防護整體解決方案，在奧運期間以24 h無間斷服務實現了網絡運行安全零故障，并因此贏得央視的認可，被授予“央視新媒體轉播合作伙伴”稱號。

北京奧運期間的網絡環境復雜，借奧運話題傳播的木馬、病毒等威脅猖獗，據統計，自2008年6月份以來，網絡攻擊數量便開始大幅度遞增，木馬病毒和僵尸網絡的數量與同年5月份相比成倍增長。因此，除了對奧運核心信息系統的安全防護，北京其他重要信息系統的安全也面臨著極大挑戰。聯想網御通過組織精干力量，對網絡與信息安全狀況進行實時監測，對每日信息進行及時匯總和分析，通報相關部門，并及時提出監測預警并快速響應，從而助力“科技奧運”和“數字奧運”，有效保障了奧運會期間國家網絡的安全運行。

(3)專注互聯網軟件生態安全，發起成立國際FIDO聯盟

2012年，聯想參與起草國家標準《GM/T 0012—2012 可信計算 可信密碼模塊接口規范》的相關工作，該標準于2014年5月19日正式公布并開始實施。

2015年11月25日，聯想作為會員單位代表，參加了中關村可信計算產業聯盟標準化工作啟動會。會議啟動了2項主體標準（《可信平臺控制模塊》、《可信基礎支撐軟件》），和4項配套標準（《可信計算規范體系結構》、《可信服務器平臺規范》、《可信存儲規范》、《可信計算機可信性測評規范》）的研究工作，預計2016年上半年將發布聯盟標準，并按信安標委有關要求申報國家標準。

近年來，在信息網絡安全領域移動支付行業快速增長，而安全性方面存在著移動支付環境復雜、安全隱患內外夾擊、移動支付風險難以防范等問題亟待解決。2014年移動支付廠商開始加強支付場景的建設，從微信紅包、移動打車補貼大戰、互聯網理財等方式，全民普及移動支付的啟蒙教育。2014年，第三方移動支付市場交易規模達到59924.7億元，較2013年增長391.3%；而2013年第三方移動支付增長率達到707%，移動支付已經連續2年保持高速增長（根據清科研究中心數據統計）。移動支付的主體從銀行和支付公司，逐漸擴展到電腦、手機制造商甚至物流公司；而二維碼、條碼、聲波支付、指紋支付、人臉識別支付等創新技術的發展催生了新的支付場景。手機系統和軟件自身的漏洞成為手機支付的內部風險，為木馬、病毒及釣魚網站等外部風險的發生提供了土壤，而一旦風險事件發生，手機用戶則面臨著詐騙、支付信息被竊取等移動支付安全事件，遭受巨大的財務損失。與互聯網支付不同，移動支付強調便利性和隨身性，無法像互聯網支付那樣，通過外接移動數字證書和動態口令卡硬件設備的方式去防范風險。移動支付安全問題成為客戶是否接受移動支付的關鍵，目前手機操作系統漏洞較多，容易受病毒木馬的攻擊，此外用戶的安全防范意識較為淡薄，成為導致安全風險發生的潛在因素。

隨著移動支付行業發展的需要以及身份認證技術和應用的成熟，建立起一個更安全的支付體系和支付環境，對整個產業鏈進行有效整合的國家級生物識別安全認證基礎平臺，顯得尤為迫切和重要。通過建立生物在線識別認證技術解決強身份驗證設備間缺乏互通性和消除身份認證過于依賴用戶名和密碼產生的問題，是必然之道。聯想集團在2012年專門成立在線認證部門，已經形成了比較完備的技術解決方案，在市場開始成熟應用。目前，國內最大的第三方支付平臺支付寶、京東錢包等已經部署了聯想在線身份認證方案。

2012年，聯想集團作為6家創始公司中唯一的中國公司，發起成立國際FIDO（Fast Identity Online）聯盟，旨在通過建立生物在線識別認證的行業標準，來解決強身份驗證設備間缺乏互通性和消除身份認證過于依賴用戶名和密碼產生的問題。截至2015年7月21日，FIDO聯盟總計有208家公司或機構加入，包括23家理事會員、63家贊助者會員（含2家政府級別會員）、122家參與者會員。其中，理事會員有3家中國公司：阿里巴巴集團、聯想集團以及中國臺灣公司神盾（由原先的贊助者成員升級為理事會員）；贊助者會員有5家中國公司：飛天誠信、匯頂科技、沃通電子認證、FingerQ和北京天地融；參與者會員有15家中國公司。

目前整個FIDO聯盟中，僅有Nok Nok Labs公司和聯想集團提供了完整的全系列FIDO UAF認證產品。同時，聯想集團與Nok Nok Labs公司成立合資公司，在國內聯合推廣FIDO UAF認證產品。目前，產品已內嵌在谷歌的安卓生態系統、微軟的Windows10.0操作系統、高通的手機芯片系統中。在三星最近發布的旗艦機型S6也已內嵌了我們的身份認證技術。成為國際上事實的在線身份認證技術標準。

聯想云服務集團專注于互聯網服務/軟件生態系統的建立，經過3年多的積累，聯想云服務集團推出的聯想身份認證服務通過采用FIDO UAF協議，以其通過任意應用、任意認證器、任意設備使用統一的協議進行身份認證的技術先進性，已在全球主流互聯網服務商、金融機構、產品供應商獲得了廣泛的認可。包括谷歌、Visa、Mastercard、微軟、三星、PayPal、ARM、阿里、京東、銀聯等國際國內相關企業均已在各自的產品和系統中不同程度地采用了我們的技術方案，并陸續在市場開始應用。

FIDO的使命正是以創建行業標準的方式保證各個廠商開發的認證技術之間的互操作性，用簡化的雙因子甚至多因子認證技術結束多年來消費者記憶密碼的煩惱。FIDO 聯盟, 目前已經有谷歌、Visa、MasterCard、BC Card、微軟、英特爾、PayPal、ARM、NTT Docomo、聯想集團等252家公司與機構參與，同時包括美國國家標準技術研究所（NIST）、英國內閣辦公室、德國聯邦資訊安全局等政府權威機構。

FIDO聯盟作為國際產業聯盟標準組織,有強烈意愿在中國政府的監管下讓這一國際技術為中國服務。隨著FIDO逐步在國際領域得到認可和接受，我們有責任將FIDO這樣一個先進技術標準引進中國市場，擁抱政府監管，做好本地化工作，使之更好地滿足中國市場的獨特需求和監管要求，最終推動網絡身份認證的安全性和應用性，達成統一的規范標準。

背靠強大的新型身份認證技術，基于FIDO協議的用戶則不必再擔心商家服務器被攻破，導致密碼被竊取或泄露，FIDO比市場上的大多數的身份認證體系更便捷、更安全。且FIDO身份認證體系在主推指紋、面部識別和虹膜識別驗證的同時，仍可將該功能暫作輔助屏障，與傳統的密碼支付、圖形鎖、短信驗證等配合使用，實現安全性與應用性的平衡。

聯想投資和布局信息安全產業

中國現在是全世界擁有最多互聯網、移動互聯網用戶的國家，網絡應用環境和安全也相對復雜，網絡安全對技術有強烈需求。聯想作為FIDO創始成員之一，有責任和義務把FIDO的理念介紹到中國，然后聚集政府與行業的共同努力，制定適合中國的技術標準。

從技術發展角度，身份認證關鍵技術正在逐步成熟，如高保障公共身份認證、身份核實服務、令牌服務等等，這些技術都逐步在成熟。從過去的探索期進入了成熟期?，F在指紋識別已經有很多年的應用，也是應用最廣泛的。人臉識別、虹膜識別以及其他的生物特征識別技術越來越成熟，并得到廣泛應用。要建立可靠的、有公信力、高保障的公共身份云服務，必須需要政府參與、授權和普通用戶能夠信任，這兩個問題的解決需要產業界、學術界、監管機構的共同努力。

圖3 2016年5月，聯想創投集團成立

聯想在開展在線身份認證業務的同時，深知建立起一個更安全的支付體系和支付環境，確保互聯網應用、第三方支付、安全元器件、產品終端等產業鏈上下游在技術上的互聯互通，離不開統一的技術標準。目前，國內還未形成像FIDO一樣的國際產業聯盟和技術標準。聯想集團已經積極參與工信部相關技術標準的制定工作。

基于生物特征識別技術對國民進行身份認證，一定要從國家信息安全戰略的高度出發。為此，聯想集團已經積極地與國家網信辦、公安部、工信部等主管部門進行溝通和匯報。目前，聯想集團正在和中國科學院、中國科學院信工所、中國科學院自動化所制定建設國家級生物識別安全身份認證基礎平臺的相關工作規劃，以支撐國家網信辦等相關部委在信息安全方面的工作。

從促進產業發展角度，建立一個第三方中立的市場化技術服務實體，這是快速推進技術標準市場化落地、協調產業聯盟各環節高效運作的必要手段。在國內移動支付領域的第一陣營企業紛紛表示愿意投資支持成立第三方技術服務實體公司。公司主要經營目標是提供建立適用于中國市場的移動支付賬戶安全保護技術，構建和運營中國在線身份認證平臺并最終建立推廣國家生物識別行業標準?；诖?，國民認證科技（北京）有限公司應運而生。

產業投資和布局

聯想創投集團的全價值鏈業務架構包括“風險投資”+“投資管理部+子公司”+“聯想加速器和創業服務”，致力于通過投資和孵化方式布局前沿科技，推動聯想未來的創新發展。聯想創投聚焦于具有高成長性的TMT領域創業公司，主要投資方向包括云計算及大數據、人工智能、智能設備、IoT和機器人、“互聯網+”以及消費升級等領域。

聯想集團高級副總裁、CTO，聯想創投集團總裁賀志強表示：“聯想創投承載著聯想互聯網轉型的戰略使命，聯想集團一直在尋求核心科技，但通過內部創新的力量是有限的。聯想創投希望以投資和孵化為手段為聯想布局前沿科技，推動聯想未來的創新發展；同時依托聯想的全球資源優勢，發揮我們獨到的科技洞察力，創投出優秀的企業，同時輔以資金、人才等方面的幫助，孵化出好技術、好產品、好企業?！?/p>

圖4 聯想集團高級副總裁、CTO、聯想創投集團總裁賀志強

賀志強是一個有深度和內涵的技術專家，目前還在高校帶博士研究生。他說，在聯想創投已投資的40多家優秀企業中，擁有核心技術的企業超過80%。聯想2012年投資曠視科技（Face++），該公司目前估值15億美金以上，作為天使投資已經獲得了數百倍的高回報。聯想在信息安全領域的重點是在生物人特征識別和網上認證，各種生物特征包括指紋、身紋等方面。聯想創投最近投資了水滴科技，通過走路和動作在幾秒鐘內在廣場上對人進行識別，來促進公共安全。賀志強認為未來的信息安全最大的趨勢是：從硬件到軟件、從客戶到云端是一個系統；在資源消耗的成本和安全保護找到一個平衡點；技術手段和政策方面需要一個平衡。聯想在智能手機中嵌入安全系統，以定制、云化的方式置入。在人工智能方面，他認為未來的驅動是應用驅動變為任務驅動，自然交互更加深入自然。聯想研究院目前重點課題是人工智能自然語言理解、建立視覺和環境感知。

聯想創投集團一直致力于通過持續開拓與上下游合作伙伴的廣泛合作，將國民身份認證技術的國際標準應用到更廣泛的行業，從而推動整個在線支付體系的安全構建，為廣大用戶提供安全與便捷兼并的支付體驗。國民認證致力于利用基于FIDO聯盟UAF/U2F國際標準協議，向中國主流互聯網服務商、金融機構、硬件制造商、生物認證技術商提供從客戶端到服務端完整的身份認證解決方案。打造新型互聯網認證技術，通過使用統一的協議，把任意應用、任意設備、任意認證方式結合在一起，統一進行身份驗證，使整個身份認證方案形成一個統一的生態系統，從而順應移動支付業務快速興起以及指紋手機爆發式面世的發展潮流。

無論從企業需求還是市場趨勢來看，在線身份認證標準的進一步規范都勢在必行。國民認證技術在未來將應用于更廣泛的行業，包括運輸、安保、交通等，從而推動整個在線認證體系的安全構建，讓在線身份認證市場得以充分規范和成熟，為廣大用戶提供安全與便捷兼并的體驗，進一步推動未來中國互聯網環境更加健康有序的發展。

聯想國民認證：為用戶提供信息安全服務

根據中國互聯網絡信息中心(CNNIC)發布的《第37次中國互聯網絡發展狀況統計報告》顯示，截至2015年12月，中國網民規模達6.88億，全年共計新增網民3951萬人?；ヂ摼W普及率為50.3%，較2014年底提升了2.4個百分點。其中，中國手機網民規模達6.20億，較2014年底增加6303萬人。網民中使用手機上網人群占比由2014年的85.8%提升至90.1%。從以上數據可以預見，隨著手機網民的增長，手機消費也將迅猛增長，消費者對移動支付方式的多元化、便捷性和安全性的需求日益強烈。

當前消費者所持有的移動終端種類繁多、環境各異，給金融服務商和銀行帶來了很大的挑戰，同時移動終端（手機）作為一個便攜設備，若采用各類操作復雜的認證手段，會使用戶支付體驗降低，又使銀行的用戶認證體系變得更為復雜，增加各類成本（效率低下）。如何滿足用戶便捷性需求，適應移動終端的差異性，以及銀行對身份認證系統的安全、高效、可控需求是移動支付發展亟待解決的難題，而國民認證基于FIDO聯盟UAF協議的身份認證解決方案，能夠解決上述問題。

國民認證科技（北京）有限公司成立于2015年，是聯想創投在聯想互聯網轉型和推動“設備+云”服務的戰略下成功孵化的子公司。

圖5 國民認證公司研討會上業界專家到場合影紀念

國民認證總經理柴海新認為：信息技術發展至今，網絡與社會的銜接更加緊密，影響更加深遠。但網絡空間中的可信身份和可信體系，至今都還沒有完全建立起來，還存在著冒用身份、傳播欺詐信息、泄露個人信息以及網絡暴力活動等各種問題。過去，大家普遍使用的密碼，都很難同時做到易用性和安全性的平衡，簡單的密碼易攻破，復雜的密碼難記住。近年來，指紋、虹膜等等生物特征識別技術不斷成熟，逐漸成為新的驗證手段。但如果用傳統的驗證方式，隱私數據都必須在服務器端有匹配存儲，網站才能夠確認用戶身份，所以，每年都有大量的個人隱私信息和安全信息，被黑客通過“拖庫”、“撞庫”等方式，大規模地攻擊破解。如果用戶的生物特征信息也備份到云端，就會對國家與社會安全帶來巨大風險。所以，從2012年開始，聯想就與谷歌、PayPal等國際巨頭一起，聯合發起成立了快速在線身份識別（Fast IDentity Online，FIDO）聯盟組織，把認證方式和認證協議徹底分離。認證方式只跟設備有關，設備通過公司密鑰再跟服務器端認證，這從根本上解決了隱私安全的問題。這種方式目前已經得到全球產業界的一致認可。FIDO聯盟目前已經有谷歌、微軟、ARM、英特爾、高通、NTT Docomo、聯想等252家公司與機構參與。其中，包括PayPal、阿里等互聯網金融巨頭，以及Visa，MasterCard，BC Card等全球五大銀行卡組織。目前，高通的驍龍810，820等芯片、微軟的Windows10系統等軟件和硬件，都已經全面支持FIDO。隨著指紋傳感器以及其他生物識別技術，在移動設備中越來越普及，支持FIDO的移動設備將會越來越多。

圖6 國民認證總經理柴海新

作為FIDO中國工作組主席單位，國民認證致力于利用基于FIDO聯盟UAF/U2F國際標準協議的先進技術，并通過多種技術創新，研發出的符合中國市場及管理規范的身份認證系統，滿足國內市場需求與監管要求，向中國主流互聯網服務商、金融機構、硬件制造商、生物認證技術商提供從客戶端到服務端完整的身份認證解決方案，構建和確保真實的人與虛擬世界的可信連接，為用戶打造安全便捷的網絡服務基礎。在FIDO標準的基礎上，又增加了輔助的安全管理、策略配置及日志監控功能。

該方案為應用方提供了客戶端APP SDK和認證服務端；同時為終端廠商提供了ASM以及認證器安全應用的模塊。整個架構體系如圖7所示：

圖7 國民認證統一身份解決方案架構示意圖

國民認證統一身份解決方案（UAS）代表了當前身份認證業界的發展趨勢，全球領先的新型身份認證技術使用統一的協議進行身份驗證，使身份認證方案形成統一的生態系統，適用于任意應用、任意認證器、任意設備，使用戶和服務提供者在信息安全與使用體驗上取得了最佳的平衡點。

國民認證科技將用戶的指紋、人臉和虹膜等生物特征存儲于智能終端設備的安全硬件，對用戶身份的識別全部在安全硬件中（獨立隔離區域）完成。與傳統通過互聯網傳遞用戶特征數據不同，驗證通過后設備會使用私鑰對認證信息進行簽名并發送至登錄服務器，而登錄服務器則使用公鑰進行驗簽，從而完成身份認證。通過這種新型身份認證技術，用戶不必再擔心商家服務器被攻破，導致密碼被破解和盜取的問題。國民認證已在多個在線身份認證領域得以應用，包括翼支付、京東錢包、支付寶等主流在線支付技術。除了廣泛主流在線支付應用，截至2016年4月，已有來自包括高通、三星、LG、華為、谷歌、雅虎、夏普等150多種設備產品獲得了FIDO官方認證。這些產品涵蓋從數碼設備到在線服務的不同領域，譬如運輸、安檢、交通、銀行、門禁等。同時，人臉識別和虹膜識別等更加便捷、安全的生物認證安全解決方案也即將面世。國民認證希望和業界同仁一起把可信認證做好，并幫助用戶提供認證解決方案。

(1)國民認證產品特色及亮點

國民認證統一身份解決方案的工作原理是2步式認證：第1步由設備驗證用戶（通過指紋、聲紋、人臉甚至PIN碼等）；第2步由服務端驗證設備。

設備驗證用戶：可以使用個人的生物特征（指紋、虹膜、聲紋、人臉等），或PIN碼（其他非生物特征）等對用戶身份進行確認。通過設備（認證器）本地中的“本地鑒別安全應用”來完成此過程。生物特征關鍵信息被安全存儲在本地設備（認證器）中，不會通過網絡傳輸到服務端。

服務端驗證設備：在用戶注冊時會生成該用戶所對應的密鑰對，密鑰對采用國家允許的非對稱加密算法，在設備（認證器）內部實時、隨機生成并加密，安全地存儲在本地設備（認證器）中，用戶公鑰通過加密信道傳遞至服務端并保存。在認證時，設備端（認證器）調用用戶私鑰對消息進行簽名，服務端使用該用戶對應公鑰進行驗證，從而完成身份認證過程。由于該過程中用戶的密鑰對由設備（認證器）負責管理，該認證過程可視為服務端驗證設備的過程。

此外，服務端還會驗證設備（認證器）本身的合法性。設備（認證器）在出廠前會預置驗證私鑰及公鑰證書，同時提供元數據文件（包含認證器的根證書）給服務端。用戶注冊時產生的用戶公鑰將使用設備（認證器）的驗證私鑰進行簽名，而服務端則使用元數據文件中的根證書對公鑰證書驗證并使用該公鑰來進行驗簽，從而完成服務端對設備（認證器）本身的驗證過程。

便捷性：生物特征是人體固有的生理特性和行為特征，不需要像傳統密碼一樣記憶，使用方便快捷，不會丟失。從而將用戶從網絡時代“多賬戶、弱密碼、重復使用”的窘境中解救出來。

統一性與可擴展性：只要是符合FIDO聯盟技術規范的終端設備都可以支持聯想身份認證解決方案。對于各項生物識別技術或其他認證手段，都可以通過在本地驗證轉化成公私鑰密碼體制，從而實現支持認證手段多樣性和統一性。通過對現有網絡認證機制的高度抽象，創造性地提出了全新的網絡身份認證理念，在安全的前提下，在客戶端統一了多種認證方式，通過統一的交互機制實現了認證服務端的統一。

安全、高效、可控：主要認證過程是公私密碼算法中數字簽名、簽名驗證過程，同時在通信、客戶端、密鑰保護等方面采用了多項安全手段。由于FIDO聯盟統一規范，在服務端只要做簡單配置即可完成對新設備、新認證方式的支持。通過配置服務器可以實現對不同設備、不同認證方式等要素管理，也可以根據實際需求增加相應的安全措施。

圖8 用戶向國民認證公司職員進行咨詢

總而言之，國民認證統一身份解決方案滿足了用戶使用的便捷性，適應多種移動設備和生物識別手段，以及銀行等金融安全、高效、可控的需求，實現了快速在線認證的目標。

(2)主要工作流程介紹

國民認證統一身份解決方案的主要環節為配置策略、用戶注冊、交易認證、用戶注銷等。

1)配置策略

配置策略過程全部在服務端完成。可實現的配置項有：

● 允許支持終端設備的型號；

● 設置允許的認證方式；

● 設置手機銀行App文件的版本檢測；

● 設置手機銀行App訪問地址；

● 設置安全通信策略；

● 設置認證過程隨機數令牌。

2)用戶注冊

用戶注冊主要過程：實現檢測終端設備是否合法；用戶身份校驗；生成注冊對應的用戶公私鑰對等。

● 檢測終端設備。將檢測終端設備的環境是否符合FIDO規范；預置的設備證書是否合法，且終端設備是否在服務器允許的范圍內；所知的認證方式是否被在服務器所允許的范圍內。檢測并采集終端設備的硬件信息，注冊成功后，終端設備硬件信息將與用戶公鑰綁定，若使用過程中發生變化，可以選擇對交易中止，增強認證安全性。

● 用戶現有身份校驗。用戶登錄手機銀行后，使用已有的認證方式（如支付密碼、手機短信驗證碼等）或其他認為安全可行的方式（如授權碼、柜臺辦理等）來確認用戶身份，然后根據認證方式設置用戶的交易額度。身份確認的信息發送過程環節采用TLS加密通信等安全方式，確保信息不會泄露或竊取。此步驟完成后，當前的Web會話ID以及TLS通道ID將被進行綁定，以確保之后產生的用戶公鑰不被非法篡改或替換。

● 生成注冊用戶公私鑰對。通過用戶身份校

驗后才能啟動用戶公私鑰對的生成注冊操作，過程如圖9所示:

圖9 用戶注冊過程

3)認證過程

下面描述的認證過程主要是針對交易確認的場景，其主要流程如圖10所示：

圖10 用戶認證過程

● 用戶發起一個交易請求至服務器。

● 服務器向客戶端發送認證請求、挑戰值、策略、交易報文等。

● 客戶端收到信息并驗證通過后，啟動本地驗證（如指紋、虹膜等）。本地驗證通過后，將安全顯示交易確認界面，點擊確認將使用用戶私鑰對交易報文、挑戰值等信息進行數字簽名。

● 客戶端將發送包含數字簽名信息的報文給服務器。

● 服務器使用用戶公鑰對數字簽名信息進行驗簽操作，同時也將驗證挑戰值等安全信息。

● 發送驗證結果至客戶端。

4)注銷過程

● 在客戶端的用戶主動注銷過程相對比較簡單，用戶發起注銷請求后，用戶終端設備內刪除用戶密鑰對，服務器端將用戶公鑰置為注銷狀態。具體步驟如圖11所示：

圖11 用戶注銷過程

● 服務端注銷過程。由于一些異常原因（如手機丟失等），需要用戶通過銀行現有的渠道，聯系銀行，確定后操作相應的接口即可完成服務器上的用戶公鑰的注銷。(3)指紋及TEE安全可靠性

生物識別技術（指紋）的應用是國民認證統一身份解決方案中便捷安全特征體現之一，僅限在近距離（本地）使用。當前生物識別技術有指紋、虹膜、掌紋、臉譜等多種，指紋識別技術是當前技術中最成熟的，應用最廣泛的。根據指紋識別廠商新思（Synaptics，智能手機市場占有率40%，筆記本電腦占有率65%）提供的數據，當指紋拒真率（FRR）小于萬分之一時，誤識率（FAR）小于百萬分之一。

圖12 國民認證的指紋鑒別操作

國民認證統一身份解決方案的客戶端核心安全程序是運行在可信運行環境（TEE）下的，TEE是目前智能終端上的主流系統安全方案，提供了系統級芯片（SoC）級別的安全，通過在通用CPU上創建隔離的計算環境，確保了常規執行環境無法在非授權的情況下訪問、修改TEE的代碼和數據。

除了TEE隔離運行環境的安全性，國民認證統一身份解決方案也設計了多重安全機制來保護整個客戶端的安全。使用FacetID設計（被后臺服務用來驗證App是否被篡改，若是驗證不通過，App是無法與后臺服務建立連接的）確保了手機App的合法性安全；“密鑰處理訪問令牌”確保ASM與認證器通信安全；attestation key確保認證器自身的合法性安全。對于核心的機密信息，采用了“用戶保護密鑰（wrap key）”、“認證器驗證密鑰（attestion key）”、“認證器驗證證書”等手段來進行保護，其中wrap key是隨機生成且唯一的，即使TEE被攻破，也無法得到wrap key，也就無法解密出private key，而且即使攻擊者竊取了某臺手機的wrap key，由于不同手機之間的wrap key各不相同，也就無法用于大規模攻擊。

聯想在信息安全方面的未來戰略

聯想集團高級副總裁、CTO，聯想創投集團總裁賀志強表示：聯想從2012年開始在身份認證領域進行投入，并且是TCG組織的董事會成員，曾經做過防火墻、TSM安全芯片。在身份認證領域聯想做了3件事:一是促進產業融合。聯想很早意識到認證方式的提升不是一兩家企業或者一兩家學術機構可以驅動的，必須是所有的學術界、企業界、政府共同推進的。所以2013年成為了發起企業之一，加入了FIDO聯盟。短短的3年時間，FIDO聯盟從最初6家發展到現在的252家，幾乎所有大牌的、重要的企業都在內，覆蓋了IT、金融等領域。2015年政府、學術機構也開始參與。相信通過上下游、學術界、產業鏈共同努力，網絡身份認證領域能夠為用戶服務得更好。二是布局關鍵技術。2013年以天使投資的身份投資了Face++，這是人臉識別的一項技術，那時聯想就意識到要扶持這些公司的發展。同年在硅谷投了Nok Nok Labs，它們是FIDO的早期創始成員之一，他們在技術手段上實現了FIDO標準，在客戶端和服務器端，他們是技術方案的提供者。2015年和中國科學院自動化所一起成立了中科身份認證云服務聯合實驗室，中國科學院自動化所是模式識別方面全世界領先的研究機構，希望能夠和他們一起共同推動核心技術的研究，使生物特征和公共空間的身份認證技術，能夠為未來中國身份認證的發展提供持續的支持，以及和中科虹膜識別方面的合作，在未來在云服務上將做得更加高效，這些都是聯合實驗室的目的。

信息技術發展至今，網絡與社會的銜接更加緊密，影響更加深遠。但網絡空間中的可信身份和可信體系，至今都還沒有完全建立起來，還存在著冒用身份、傳播欺詐信息、泄露個人信息以及網絡暴力活動等各種問題。

過去，大家普遍使用的密碼都很難同時做到易用性和安全性的平衡，簡單的密碼易攻破，復雜的密碼難記住。近年來，指紋、虹膜等等生物特征識別技術不斷成熟，逐漸成為新的驗證手段。

但如果用傳統的驗證方式，隱私數據都必須在服務器端有匹配存儲，網站才能夠確認用戶身份，所以，每年都有大量的個人隱私信息和安全信息，被黑客通過“拖庫”、“撞庫”等方式大規模地攻擊破解。如果用戶的生物特征信息也備份到云端，就會對對國家與社會安全帶來巨大風險。

從2012年開始，聯想就與谷歌、PayPal等國際巨頭一起，聯合發起成立了FIDO聯盟組織，把認證方式和認證協議徹底分離。認證方式只和設備有關，設備通過公司密鑰再跟服務器端認證，這從根本上解決了隱私安全的問題。

這種方式目前已經得到全球產業界的一致認可。FIDO聯盟目前已經有谷歌、微軟、ARM、英特爾、高通、NTT Docomo、聯想等252家公司與機構參與。其中，包括PayPal、阿里等互聯網金融巨頭，以及Visa，MasterCard，BC Card等全球五大銀行卡組織。

目前，高通的驍龍810，820等芯片、微軟的Windows10系統等軟件和硬件中，都已經全面支持FIDO。隨著指紋傳感器以及其他生物識別技術在移動設備中越來越普及，支持FIDO的移動設備將會越來越多。FIDO聯盟雖然很好，但聯想最大的目標是在FIDO的基礎上，立足于我國的互聯網應用環境，制定滿足各方面需求的中國標準。

目前，FIDO非常重視中國的發展，已有超過30家的會員單位，29家董事會成員中也有聯想和阿里巴巴2家根植中國的公司。但中國依然需要一套自己的網絡身份認證國家規范。

圖13 FIDO（全球）聯盟主席Michael Barrett在國民認證公司舉辦的研討會上

同時，中國現在也是全世界擁有最多互聯網、移動互聯網用戶的國家，也已經成為全世界最復雜的應用環境，有最強的技術需求。要構建一個安全的網絡空間，對每個人的身份有保障的同時又有鑒別，需要在FIDO的基礎上做更多的本地化工作。

目前，國民認證正在跟產業鏈上下游，包括芯片公司、操作系統公司、支付寶、微信等等這些支付企業合作，在FIDO本地化的同時產學研多方合作，齊心協力為產業鏈的高效供應和互聯網身份認證升級服務作出應有的貢獻。同時，國民認證已經在和其他企業、機構一起，共同起草和推動中國的網絡身份認證國家規范標準。

在移動互聯網時代，任何創新都沒有辦法孤立存在，需要跨行業、跨部門,需要共同推進才能夠解決問題，包括操作系統廠商、設備廠商、服務應用提供商、設備提供商等等，必須要共同努力。

崔傳楨

《信息安全研究》雜志執行主編，主要研究方向為國家戰略、財政金融管理與創新、網絡空間安全、戰略與管理創新。

cctz@vip.sina.com

?本刊評論

身份認證統一生態方案:個人信息安全新守護

網絡消費和移動應用的快速發展，使得個人信息安全面臨新的挑戰: 惡意程序、各類釣魚和欺詐、黑客攻擊和大規模的個人信息泄露事件頻發，大量網民個人信息的泄露與財產損失的不斷增加。消費者對移動支付方式的多元化、便捷性和安全性的需求日益強烈。

普遍使用的密碼都很難同時做到易用性和安全性的平衡，簡單的密碼易攻破，復雜的密碼難記住。近年來，指紋、虹膜等等生物特征識別技術不斷成熟，逐漸成為新的驗證手段。聯想集團的國民認證公司統一身份解決方案（UAS）代表了當前身份認證業界的發展趨勢，全球領先的新型身份認證技術，使用統一的協議進行身份驗證，使身份認證方案形成統一的生態系統，適用于任意應用、任意認證器、任意設備，使用戶和服務提供者在信息安全與使用體驗上取得了最佳的平衡點，也為個人信息安全帶來了新的安全保護。

“Internet +”Power: The Information Security and Strategic Layout of Lenovo on the Basis of “Internet +” Background

Cui Chuanzhen