通付盾:大公司明星产品所构建的“护城河”本身也需要保护

在危机和机遇间穿行。

8年前，2011年中国移动开发者大会上，李开复以“移动大变局下的抉择”开场，背景则是2011年末中国基于Android和iOS的智能移动设备已近5000万台，这是中国移动互联网的一个重要历史节点，意味着市场正在打开。

2011年，通付盾创始人汪德嘉也做出了他的抉择。这一年，他离开待了11年的硅谷，选择回国，在中国新鲜的双创土壤上生根发芽。放在今日，汪德嘉会是资本寒冬下投资机构格外青睐的技术型创业者。

通付盾创始人兼CEO汪德嘉博士

他的履历充满技术范儿，本科毕业于中国科学技术大学，是中科院软件研究所理学硕士，还拥有美国威斯康星大学数学博士学位，在硅谷的11年里他参与了知名软件公司ORACLE、VISA、IBM等的总体设计、产品开发及管理。

彼时，对于在传统互联网时代纵横捭阖的中国互联网大公司们来讲，移动互联网的风潮引发了他们的焦虑，如何通过明星产品建立自己在移动端的话语权是最直接的考虑。这时候的阿里还只是To B业务作为主体在港交所上市的小巨头，电商业务正在上升，但远没有现在鲸吞四海、两分中国互联网的格局。

而大公司明星产品所构建的“护城河”本身也需要保护。

汪德嘉的第一个客户正是阿里。为了应对移动互联网下电商蓬勃发展伴随的欺诈、信息安全问题，阿里在寻求解决方案。汪德嘉回忆：“2008年的时候，我就在美国着手解决在线游戏微交易中的欺诈问题，几美金的小额交易传统支付公司很难覆盖，欺诈分子通过大量的交易频率，可以成为其洗钱的一个渠道。而设备指纹这个技术非常有效，解决了使用代理伪装IP等问题。”

2011年，汪德嘉在这方面的研究已经小有成果，有自己的独立知识产权。恰逢碰上阿里的项目，于是他正式创立了聚焦网络安全问题的创业公司“通付盾”，这也是设备指纹技术首次正式进入国内。

如许多创业故事的开展一样，最开始只是一个满怀好奇心的搅局者进入了一片“蓝海”市场。

数字身份

时至2019年，8年后，很罕见地是通付盾仍然没有背离聚焦网络安全的立足点，虽然它的注解稍有改变。

目前，通付盾成为一家以数字身份认证为核心的智能网络解决方案和数据运营提供商，聚焦网络安全、人工智能、大数据及区块链技术，为金融、公安、军队、通信、电力、教育、医疗等全行业用户提供信任基础服务。

以通付盾为江苏银行塑造的安全壁垒为例，其以滑动验证作为智能身份认证解决方案的核心产品，主要应用于为商业银行PC端、APP端及H5页面的注册和登录场景。

移动滑块验证机制

从滑动行为特征、设备特征等多维度进行风险分析，甄别互联网人机操作行为，防范注册操作过程中的恶意批量自动化注册行为以及登录过程中的账户口令暴力破解行为。

针对银行移动APP 解决方案产品介绍

针对银行移动APP存在的隐私数据泄露风险，其解决方案包括应用检测、应用加固、渠道应用监测及终端态势感知，主动挖掘未知漏洞、发现恶意代码、后门程序等，从这些角度入手解决银行移动应用面临的账号、资金以及信息安全威胁。

这是通付盾数字安全方面解决方案的一个缩影。

而通付盾成立以来已累计获得投资机构的数亿人民币融资，连续四年入选中国网络安全50强，连续两年蝉联毕马威中国金融科技企业50强。

这也是一家低调却有着技术底蕴的公司。外界对通付盾的最广泛印象可能是知识产权产业媒体IPRdaily发布的“2017全球区块链企业专利排行榜”上，通付盾国内排名第四，世界排名第七。

来源：IPRdaily

但深入了解通付盾，你才会发现其中更精彩的历史，它错过的机遇、懊悔的失误与仍在坚持的技术信仰。

"身份"简史

2011年通付盾初创，汪德嘉想到的立足点是反欺诈与信息安全，这是他钻研的设备指纹技术的一个有效应用。

不同于现实中的“身份证”，设备指纹是一种标识技术，通过获取上网设备属性的多层次信息生成唯一的设备ID，具有防篡改、防伪造、不侵犯用户隐私信息的特性，可广泛应用于各类服务应用场景。

而从反欺诈技术起家渗透至网络安全领域，自有时代呼唤的需求。

2011年底，国内最大的程序员网站CSDN被曝600万用户的数据库信息被黑客公开。让人们对互联网公司的疑虑达到高峰——对于互联网公司们来说，用户到底算什么?是否仅仅是用来说服资本的筹码，或是停留在财报上的光鲜数字?互联网公司在应对竞争时，究竟该如何考量用户权益?随着互联网公司掌握越来越多用户核心隐私信息，亿万普通网民在要求行业自律的同时，更关心谁来填补信息安全的“空白”。

汪德嘉发现，越来越多的网络诈骗案出现在日常生活中，这些骚扰电话有股票推荐、金融借贷甚至赤裸裸的诈骗等等。而这些信息是如何泄露的?

其中部分是用户自己不慎丢失，而大部分是因为将自己的手机号和姓名等信息交予了不安全的平台，从而导致个人信息遭到泄露。

“婚恋交友”APP 恶意代码

通付盾移动安全实验室研究人员在进行短信窃取类恶意代码分析时，曾截获了一款叫做“婚恋交友”的APP，发现它存在一些隐私窃取行为，在它的恶意行为逻辑中，会申请短信、电话通讯录等与应用本身功能无关的权限，调用截取用户短信，并将短信列表发送到预设的远端服务器，造成用户隐私泄露。

实际上，类似“婚恋交友”的这类窃取隐私的恶意应用不是个案。

正是因为这些严峻的问题，通付盾初创时期的一个主攻方向是针对移动互联网的APP加固。其以非常大的投入研发了APP的VMP(即虚拟机保护技术)，在当时，这是移动APP安全领域最顶尖的保护技术。

但随着新型安全漏洞不断被发现，这注定是一场漫长、永无止境的战争。

时空码与挫折

移动互联网大潮带来了前所未有的机会，每一个技术开发者都渴望从中攫取更广阔的未来，汪德嘉亦如此。

2013年，汪德嘉发明了时空码，相比于2013年时普遍使用的静态二维码，时空码采用了“动码技术”，即二维码本身处于变化状态，以保证仅能用于一次和即时的支付行为。

在应用于二维码的同时，通付盾的该项技术还可用于条形码、数字码等领域。他有更大的野心，时空码不仅是动态的，并且包含设备信息，是一种网络身份凭证。

“时空码”应用案例北京通APP

从2019年回望，支付宝、微信支付的二维码支付设计都采用了“时空码”动态码的理念。

可这终究是一场失败的尝试。纵使2013年通付盾入局移动支付，尝试了包括时空码支付、高教区手机一卡通、APP虚拟支付卡等措施，且使用户做到一定规模，但最终结果是没有成功破局。

汪德嘉总结，失败的原因包括2014年央行出于安全问题令二维码支付暂停，但最重要的还是支付宝和微信支付的强力推广。他觉得，尽管在技术实现及商业模式上通付盾做得较早，但起源于技术创业的To B厂商在To?C领域确实没有办法与互联网巨头抗衡，尤其在技术的市场推广方面。

这也是他如今格外重视人才队伍搭建的原因之一。

2014年，通付盾的估值达到了2亿美元。可这是汪德嘉认为的最艰难时刻：“我们差一点死掉了，最困难的时候融资不顺利，我把房子也抵押出去，所以在这里得要特别感谢家人的支持。”

他真心觉得做平台公司非常不易，通付盾是从“死人堆”里爬出来的，当时移动支付的方向没走通，还给了竞争对手发展的机会。

反思这段历程，汪德嘉认为创业最容易犯的错误之一，就是低估了现有业务的增长潜力，也低估新兴业务的进入难度。

商业上虽然没有成功，但产品技术上却有收获。这段时间，通付盾推进着数字安全技术在金融领域的发展，比如做手机银行时，安全是重中之重。汪德嘉说：“银行的要求十分严格，逼得我们把产品打磨得非常强壮。”

走过这段弯路之后，通付盾重新回归数字安全的本质并清晰规划产品线，至此，公司的技术产品及发展模式才开始真正地规范和清晰起来。

而充分了解信息安全身份认证问题及解决方案的意义后，展现出的是互联网世界里大众忽略的另一番图景。

黑产战争

根据威瑞森电信公司《2017年的数据泄露调查报告》调查的4万多起安全事件中，内部威胁占25%，75%是外部攻击导致。在行业分布上，金融行业首当其冲，24%的数据泄露事件和金融机构有关;其次是医疗保健行业15%，之后是销售行业15%，以及公共部门12%。

数据泄露的原因方面，62%与黑客攻击有关，81%的数据泄露涉及撞库和弱口令。这说明，直至今日，我们使用密码的习惯、平台对用户信息的隐私保护依然不太好。

威瑞森电信公司《2017年的数据泄露调查报告》

层出不穷的数据安全事件背后隐藏着的是黑色产业链。

通付盾重新聚焦回数字安全领域后，面对的是另一个愈加激烈的战场——黑产战争。

在这场战争中，你或许能对通付盾“以数字身份为核心的智能网络解决方案和数据运营”的意义有更深的了解。

汪德嘉在其《身份危机》一书中提到的身份计算，就是将用户的时间、空间、逻辑、设备、行为等因子综合计算分析，从而确定其真实身份，以此避免身份危机的阴影笼罩互联网世界。

比如“网络毒瘤”之一——早期活跃在O2O或电商平台的“羊毛党”，他们通常集结大量的手机号注册平台，进而获得诸多免费机会，再以低于市场价的价格转卖以牟利。

然而这些基础操作对“羊毛党”来说只是小额收入，2013年起，互联网金融风起，还有哪个领域比金融业利润更丰厚?

在互联网金融疯狂抢夺客户时，甚至部分推广人员会纵容“羊毛党”充当流量中介，帮助平台刷量，因为成交一单就意味着暴利。对内，完成漂亮数据，好向领导交差，对外，拉拢投资公司、用户入局，并给予巨额返现。

他们共同成为流量灰产的推波助澜者，成为利益的汇聚之地，也为近两年互联网金融公司的频繁暴雷埋下伏笔。

以数字身份为核心的解决方案，鉴别具有真实需求和真实交易的客户，对所有入局互联网金融的正规金融机构具备特殊意义。

此外，还有不为人熟知的“打包党”，他们看似不起眼的行为却切实侵蚀着互联网开发者的根基。“打包党”一般出于商业利益盗取其他开发者成果，日常工作就是寻找互联网上最热门应用，破解APP后，插入自己想要发送的东西，如病毒、广告链接、吸费指令等恶意程序，在重新拼装后把二次打包的应用散步到市场中，提供给用户下载，以此牟利。

汪德嘉举例，这条产业链的早期，一个10人的“打包”团队就可以在一个月内靠病毒打包盈利150万元。

他介绍，目前通付盾通过人工智能技术检索病毒的APP数据库中的样本已超过600万个，从设备角度来说，有百亿级的数字身份数据可以挖掘。面对愈加先进的信息攻击技术，必须用现在的数据与未来的技术来应对。

“To?B企业要能存活下来，一定得有核心技术，这也是我们的选择，我们8年抗战大部分投入都是在核心技术方面，目前拥有百余项发明专利。”

从技术角度衍生的话题不止于此。

区块链

很多人第一次知晓通付盾，很可能是源于2017年一份区块链专利申请数量的榜单，通付盾排名国内第四，世界第七。

早在2009年中本聪区块链技术论文面世时，数学专业出身的汪德嘉就已经关注到了当时还十分新奇的技术，“我对货币方向的加密技术本身就非常热爱”。

2017年，加密货币钱包提供商Parity在软件1.5版本中出现了一个漏洞，导致至少150,000ETH被盗，当时价值约3000万美元，掀起业内巨大波澜。汪德嘉却并不感到意外：“像区块链技术在承接金融交易上，目前本身还存在着一些技术缺陷。”

譬如，量子计算的超强算力，给采用非对称加密系统的区块链造成了极大的安全威胁;链上数据公开存储，无法保障用户隐私;频发的智能合约漏洞，会对一些项目造成毁灭性的打击……

通付盾则从数字安全的角度出发，一直专注于区块链关于身份认证方面的拓展。

从2013年起，通付盾已开始布局区块链技术研究，致力于用户数据隐私保护，打造数字经济时代的身份安全基础设施，承接并成功结项央行数字货币重点研究课题。

汪德嘉介绍，通付盾还打造了业界独有的数字身份区块链(KeyChain)，以及基于KeyChain的身份认证DAPP-通付盾，已于2018年3月成功上线。通付盾通过在KeyChain上构建用户的数字身份，统一授权并记录用户在不同APP上发生的身份识别行为，如重要交易、账号登录、实名认证等，形成可追溯、不可篡改的链上身份凭证，目的是让用户真正拥有自己的数字身份主权。