在中国系统架构师大会第二天，第9专场互联网安全和风控体系，第三个分享来自蚂蚁金服安全产品技术部专家 孙元博，分享了《基于安全生态的身份认证架构演进》

▲蚂蚁金服安全产品技术部专家 孙元博　　

　　孙元博首先分享了身份认证的发展历程，目前，行业发展状况，短信、口令、虹膜、人脸、指纹，目前身份认证机构IFAA，愿景是构建国家未来发展的身份认证基础设施。成员包括了算法厂商、安全厂商、设备厂商、芯片厂商、标准组织、检测机构、应用厂商。

　　根据各自特点，目前安卓手机都是采用了TEE级认证，孙元博接着分享了TEE架构、调用路径、支付宝认证架构1.0,支付宝第一次跟华为mate7进行联调花费了一个多月时间，也发现了很多问题，边界不清晰，依赖关系太长，导致适配周期长独立进程，更新难度大，体验差。 业务定制，无法行业化，服务化。和操作系统耦合度太高，开发成本高，测试难度大。

　　支付宝架构2.0希望做成行业解决方案，REE、TEE、IFAA等多方分工，其中核心是安全密钥体系，刚开始是一个型号一个密钥，两年内发展迅速，后来担心黑客攻击之后，这个产品型号都会遭殃，后来一个机器一个密钥，后来发现落地很困难，设备厂商无法达到金融级别，为此最后我们提供了证书体系，IFAA给设备厂商提供二级证书，厂商在手机里面内置设备证书，用户用设备证书跟支付宝APP联动时候可以跟IFAA确认。

　　截止目前，IFAA接入了18家OEM厂商，180多款型号，9k多台设备，7K用户，支付宝钱包全场景开通，三人30工作日，降为一人0.5工作日，截止当前，0资损指纹支付支付成功率相比密码更高，目前虹膜支付链路打通。