摘要：論文介紹了網(wǎng)絡(luò)可信身份相關(guān)概念和主流的網(wǎng)絡(luò)身份認(rèn)證方式，并從技術(shù)角度梳理了身份認(rèn)證技術(shù)的演變史。第一代以靜態(tài)密碼技術(shù)和動(dòng)態(tài)密碼技術(shù)為代表，典型應(yīng)用方式為賬號(hào)+口令、手機(jī)動(dòng)態(tài)驗(yàn)證碼；第二代以PKI技術(shù)為代表，典型應(yīng)用方式為文件證書、USBKey、手機(jī)盾、eID、FIDO等；第三代以生物識(shí)別、大數(shù)據(jù)行為分析、量子加密等技術(shù)為代表，這些新技術(shù)在移動(dòng)互聯(lián)網(wǎng)應(yīng)用高速發(fā)展的背景下誕生。這三代身份認(rèn)證技術(shù)的基本原理、應(yīng)用成本和適用范圍各有不同。

　　關(guān)鍵詞：網(wǎng)絡(luò)可信身份；身份認(rèn)證技術(shù)；發(fā)展趨勢(shì)

　　中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

　　1引言

　　身份是指社會(huì)交往中識(shí)別個(gè)體成員差異的標(biāo)識(shí)或稱謂，它是維護(hù)社會(huì)秩序的基石。網(wǎng)絡(luò)空間中參與各類網(wǎng)絡(luò)活動(dòng)的自然人和法人，都具有網(wǎng)絡(luò)行為的實(shí)體身份，也稱網(wǎng)絡(luò)身份。但并不是所有的網(wǎng)絡(luò)身份都是可信的，網(wǎng)絡(luò)身份的可信一般指兩種情況：一是網(wǎng)絡(luò)身份由現(xiàn)實(shí)社會(huì)的法定身份映射而來(lái)，可被驗(yàn)證及追溯；二是網(wǎng)絡(luò)身份由其網(wǎng)絡(luò)行為或商業(yè)信譽(yù)擔(dān)保，可被驗(yàn)證符合特定場(chǎng)景對(duì)身份信任度的要求。

　　由網(wǎng)絡(luò)主體身份衍生出的電子身份憑證，被稱為網(wǎng)絡(luò)可信身份標(biāo)識(shí)。對(duì)網(wǎng)絡(luò)主體的身份標(biāo)識(shí)進(jìn)行檢驗(yàn)，來(lái)確認(rèn)網(wǎng)絡(luò)主體的身份可信的過(guò)程，稱為網(wǎng)絡(luò)可信身份認(rèn)證，認(rèn)證手段有很多，從使用密碼到智能卡，再到生物特征等，網(wǎng)絡(luò)應(yīng)用場(chǎng)景對(duì)安全要求越高，采用的認(rèn)證手段安全強(qiáng)度也越高。

　　2主流網(wǎng)絡(luò)身份認(rèn)證方式

　　一是賬號(hào)+口令認(rèn)證。它是一種靜態(tài)密碼機(jī)制，用戶的賬號(hào)和口令可以由用戶自己設(shè)定的。

　　二是短信密碼認(rèn)證。它是以手機(jī)短信形式請(qǐng)求包括4-6位隨機(jī)數(shù)的動(dòng)態(tài)密碼，身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機(jī)密碼到客戶的手機(jī)上，客戶在登錄或者交易認(rèn)證時(shí)候輸入此動(dòng)態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。

　　三是動(dòng)態(tài)口令認(rèn)證。它是客戶手持用來(lái)生成動(dòng)態(tài)密碼的終端，主流的是基于時(shí)間同步方式的，每60秒變換一次動(dòng)態(tài)口令，口令一次有效，用戶進(jìn)行身份認(rèn)證的時(shí)候，除輸入賬號(hào)和靜態(tài)密碼之外，還必須輸入動(dòng)態(tài)口令，只有二者全部通過(guò)系統(tǒng)校驗(yàn)，才可以正常登錄。

　　四是基于PKI技術(shù)的數(shù)字證書認(rèn)證。數(shù)字證書是包含電子簽名人的公鑰數(shù)據(jù)和身份信息的數(shù)據(jù)電文或其他電子文件，通過(guò)公鑰與私鑰的一一對(duì)應(yīng)關(guān)系，從而建立起電子簽名人與私鑰之間的聯(lián)系，可以使互不相識(shí)的網(wǎng)絡(luò)主體證明各自簽名的真實(shí)性，是雙方之間建立相互信任的基礎(chǔ)。

　　五是eID（電子身份證）認(rèn)證。它是以密碼技術(shù)為基礎(chǔ)、以智能安全芯片為載體，通過(guò)“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”簽發(fā)給公民的網(wǎng)絡(luò)電子身份標(biāo)識(shí)來(lái)實(shí)現(xiàn)在線遠(yuǎn)程識(shí)別身份和網(wǎng)絡(luò)身份管理。

　　六是二代身份證網(wǎng)上副本認(rèn)證。它是依托于公安部的全國(guó)人口信息庫(kù)和居民辦理二代身份證時(shí)留下來(lái)的信息，將身份證登記項(xiàng)目（姓名、身份證號(hào)碼、有效期限等）作為要素進(jìn)行數(shù)字映射，并賦予唯一編號(hào)，生成一個(gè)終身唯一編號(hào)的身份證網(wǎng)上副本。主要由公安部一所推出。

　　七是人體生物特征識(shí)別認(rèn)證。生物特征是指人體固有的生理特征或行為特征，生理特征有指紋、人臉、虹膜、指靜脈等，行為特征有聲紋、步態(tài)、簽名、按鍵力度等。基于生物特征的身份認(rèn)證是一種可信度高而又難以偽造的認(rèn)證方式，是基于“你具有什么特征”的身份認(rèn)證手段，在應(yīng)用場(chǎng)景上，人體生物特征識(shí)別往往和FIDO技術(shù)結(jié)合使用。

　　八是基于大數(shù)據(jù)用戶行為分析的身份認(rèn)證。它是利用大數(shù)據(jù)的風(fēng)險(xiǎn)識(shí)別可以對(duì)用戶行為進(jìn)行有效分析，從而對(duì)用戶進(jìn)行精準(zhǔn)的分類分層，可實(shí)時(shí)判斷每一個(gè)用戶的認(rèn)證動(dòng)機(jī)，對(duì)不同風(fēng)險(xiǎn)等級(jí)的用戶采取不同的認(rèn)證方式，主要為大型互聯(lián)網(wǎng)公司如騰訊、阿里采納。

　　九是第三方互聯(lián)網(wǎng)賬號(hào)授權(quán)登錄認(rèn)證。這種認(rèn)證方式使用戶在登錄當(dāng)前網(wǎng)站或APP時(shí)無(wú)需注冊(cè)，使用第三方互聯(lián)網(wǎng)賬號(hào)（如騰訊、支付寶、新浪微博等）進(jìn)行授權(quán)登錄，免去賬號(hào)注冊(cè)過(guò)程并完成身份認(rèn)證。目前，OAuth、OpenID、SAML、FIDO等標(biāo)準(zhǔn)已成為該認(rèn)證方式的事實(shí)標(biāo)準(zhǔn)。

　　十是基于區(qū)塊鏈技術(shù)的身份認(rèn)證。區(qū)塊鏈技術(shù)也被稱之為分布式賬本技術(shù)，是一種互聯(lián)網(wǎng)數(shù)據(jù)庫(kù)技術(shù)，其特點(diǎn)是去中心化、公開透明，讓每個(gè)人均可參與數(shù)據(jù)庫(kù)記錄，基于區(qū)塊鏈技術(shù)構(gòu)建的在線身份認(rèn)證系統(tǒng)，具有身份信息更難篡改、系統(tǒng)信息分布式存放、激勵(lì)機(jī)制的存在促使用戶積極維護(hù)整個(gè)區(qū)塊鏈等特征。

　　3網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)演變史

　　3.1第一代身份認(rèn)證技術(shù)

　　第一代身份認(rèn)證技術(shù)以靜態(tài)密碼技術(shù)和動(dòng)態(tài)密碼技術(shù)為代表，在20世紀(jì)60年代左右開始出現(xiàn)并在計(jì)算機(jī)上應(yīng)用，目前相關(guān)技術(shù)發(fā)展已經(jīng)十分成熟，雖然其有種種缺陷，但仍未被完全淘汰。

　　（1）靜態(tài)密碼技術(shù)

　　靜態(tài)密碼技術(shù)的典型身份認(rèn)證應(yīng)用是賬號(hào)+口令。用戶輸入賬號(hào)和靜態(tài)口令后，服務(wù)器查詢口令數(shù)據(jù)庫(kù)進(jìn)行匹配，匹配通過(guò)即完整核驗(yàn)。該方式歷史最為悠久、使用極為簡(jiǎn)單、成本極其低廉、應(yīng)用極其廣泛。但隨著計(jì)算機(jī)運(yùn)算能力的不斷增強(qiáng)，靜態(tài)密碼抗暴力攻擊的能力越來(lái)越差，密碼位數(shù)由早期的4位逐漸升級(jí)的6位、8位、16位、18位，由簡(jiǎn)單數(shù)字組合逐漸升級(jí)為數(shù)字+字母（不區(qū)分大小寫）組合、數(shù)字+字母（區(qū)分大小寫）組合、數(shù)字+字母（區(qū)分大小寫）+特殊字符組合。雖然密碼長(zhǎng)度和強(qiáng)度不斷升級(jí)，靜態(tài)密碼技術(shù)由于先天存在易被字典攻擊、易被監(jiān)聽偷錄等缺陷，在低安全等級(jí)應(yīng)用中可以作為一種主要身份認(rèn)證技術(shù)，但在高安全等級(jí)應(yīng)用中只能作為一種輔助手段。

　?。?）動(dòng)態(tài)密碼技術(shù)

　　鑒于靜態(tài)口令的種種缺陷，安全專家提出采用動(dòng)態(tài)密碼來(lái)進(jìn)行身份驗(yàn)證。根據(jù)動(dòng)態(tài)密碼中采用的“動(dòng)態(tài)因子”不同，該技術(shù)可分為兩大類：同步認(rèn)證技術(shù)和異步認(rèn)證技術(shù)。同步認(rèn)證技術(shù)中主要包括基于時(shí)間同步認(rèn)證技術(shù)；異步認(rèn)證技術(shù)主要包括挑戰(zhàn)/響應(yīng)認(rèn)證技術(shù)（事件響應(yīng)）。同步認(rèn)證技術(shù)最早取得突破，20世紀(jì)80年代，美國(guó)著名加密算法研究實(shí)驗(yàn)室RSA研制成功了基于時(shí)間同步的動(dòng)態(tài)密碼認(rèn)證系統(tǒng)RSASecurID，該系統(tǒng)通過(guò)時(shí)間同步方式，同一時(shí)間令牌認(rèn)證服務(wù)器的認(rèn)證系統(tǒng)每60秒變換一次動(dòng)態(tài)口令，口令一次有效，它產(chǎn)生6位動(dòng)態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。國(guó)內(nèi)中國(guó)銀行、工商銀行早期曾發(fā)行過(guò)一種動(dòng)態(tài)密碼口令牌，就是基于時(shí)間同步原理。由于同步認(rèn)證技術(shù)對(duì)時(shí)間敏感，硬件和操作要求較高，異步認(rèn)證技術(shù)后來(lái)居上。

　　以手機(jī)動(dòng)態(tài)驗(yàn)證碼為例，用戶在登錄時(shí)點(diǎn)擊“發(fā)送手機(jī)驗(yàn)證碼”，服務(wù)器以當(dāng)前時(shí)間或者事件序號(hào)作為動(dòng)態(tài)因子計(jì)算出驗(yàn)證碼并發(fā)送至指定手機(jī)號(hào)，用戶收到后將驗(yàn)證碼輸入，系統(tǒng)完成核驗(yàn)后授權(quán)用戶登錄。整個(gè)驗(yàn)證流程中，驗(yàn)證碼一般5-30分鐘有效，用戶在規(guī)定時(shí)間內(nèi)輸入就可以。此外，國(guó)內(nèi)工商銀行早期曾發(fā)行過(guò)一種紙質(zhì)動(dòng)態(tài)密碼卡，用戶登錄網(wǎng)銀時(shí)，網(wǎng)銀生成二維坐標(biāo)，用戶需刮開密碼卡對(duì)應(yīng)區(qū)域輸入相應(yīng)密碼，此方式也是異步認(rèn)證技術(shù)。隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，動(dòng)態(tài)口令牌、動(dòng)態(tài)口令卡由于攜帶不便，已經(jīng)逐漸被手機(jī)動(dòng)態(tài)驗(yàn)證碼所取代，賬號(hào)+手機(jī)驗(yàn)證碼已經(jīng)成為當(dāng)前最重要的身份認(rèn)證方式之一。

　?。?）第三方互聯(lián)網(wǎng)賬號(hào)授權(quán)技術(shù)

　　該認(rèn)證方式使用戶在登錄當(dāng)前網(wǎng)站或APP時(shí)無(wú)需注冊(cè)，使用第三方互聯(lián)網(wǎng)賬號(hào)（如騰訊、支付寶、新浪微博等）進(jìn)行授權(quán)登錄，免去賬號(hào)注冊(cè)過(guò)程并完成身份認(rèn)證。目前，OAuth、OpenID、SAML、FIDO等標(biāo)準(zhǔn)已成為該認(rèn)證方式的事實(shí)標(biāo)準(zhǔn)。當(dāng)前，大多數(shù)電子商務(wù)、社交網(wǎng)站等都已經(jīng)逐漸接受該認(rèn)證模式，互聯(lián)認(rèn)證登錄普遍存在。在該模式下網(wǎng)站及相關(guān)應(yīng)用不需要對(duì)用戶身份進(jìn)行管理，用戶身份管理及認(rèn)證完全由第三方平臺(tái)進(jìn)行。

　　3.2第二代身份認(rèn)證技術(shù)

　　第二代身份認(rèn)證技術(shù)以PKI技術(shù)為代表，相關(guān)概念于20世紀(jì)80年代提出，其安全性遠(yuǎn)高于一代身份認(rèn)證技術(shù)。近十幾年來(lái)，各國(guó)投入巨資實(shí)施PKI的建設(shè)和研究，PKI理論研究和應(yīng)用在非對(duì)稱密碼算法、雜湊算法、證書載體形式、輕量級(jí)身份認(rèn)證協(xié)議和數(shù)據(jù)的組織記錄形式五個(gè)方面取得了巨大的進(jìn)展。

　　（1）非對(duì)稱加密算法

　　該算法中用戶有兩個(gè)密鑰，一個(gè)公開密鑰，一個(gè)私有密鑰，從公開密鑰推導(dǎo)私有密鑰極其困難。非對(duì)稱加密算法完美解決了對(duì)稱加密算法的密鑰管理分發(fā)難題，在PKI架構(gòu)和數(shù)字簽名中具有重要應(yīng)用，但運(yùn)算效率較低。美國(guó)在1978年首次提出基于大整數(shù)素因子分解的RSA算法，1985年又提出了基于離散對(duì)數(shù)問(wèn)題的ELGamal算法，其中RSA算法是目前應(yīng)用較為廣泛。RSA算法的強(qiáng)度與其算法密鑰長(zhǎng)度有關(guān)，RSA1024已經(jīng)在2012年被美國(guó)密碼學(xué)家攻破，目前最新版本為RSA4096。由于過(guò)長(zhǎng)的RSA密鑰會(huì)導(dǎo)致運(yùn)算效率大大下降，美國(guó)NIST和歐洲NESSIE的專家又提出了橢圓曲線和超橢圓曲線密碼ECC，該算法只需282bit的密鑰長(zhǎng)度即可媲美RSA4096的加密強(qiáng)度，運(yùn)算效率大大提高，是目前非對(duì)稱密碼技術(shù)研究的熱點(diǎn)。目前我國(guó)正在大力推廣國(guó)產(chǎn)SM2橢圓密碼算法在關(guān)系到國(guó)計(jì)民生的重要應(yīng)用系統(tǒng)中的應(yīng)用。

　?。?）雜湊算法

　　雜湊算法又名哈希算法、摘要算法，它能夠?qū)⑷我忾L(zhǎng)度的消息壓縮成固定長(zhǎng)度的摘要，能夠賦予每個(gè)消息唯一的“數(shù)字指紋”。其專門解決信息的非法篡改問(wèn)題，是PKI中數(shù)字簽名和數(shù)據(jù)完整性保護(hù)的基礎(chǔ)，研究進(jìn)展迅速。雜湊算法與對(duì)稱/非對(duì)稱加密算法的區(qū)別是，后兩種算法是用于防止信息被竊取，而雜湊算法的目標(biāo)是用于證明原文的完整性，也就是說(shuō)用于防止信息被篡改。

　　雜湊算法的典型代表是美國(guó)NIST發(fā)布的SHA系列，1995年SHA-1正式發(fā)布，經(jīng)過(guò)二十余年的發(fā)展SHA-1算法逐漸成為互聯(lián)網(wǎng)最基礎(chǔ)的數(shù)字簽名算法。由于SHA家族算法本身的問(wèn)題存在“碰撞”破解的可能性，SHA算法被攻破的時(shí)間僅依賴于所使用的計(jì)算能力，所以歐美密碼學(xué)家不斷調(diào)整改進(jìn)SHA算法，既SHA-1后推出SHA-224、SHA-256、SHA-384和SHA-512。2017年2月23日，谷歌聯(lián)合荷蘭CWI機(jī)構(gòu)給出了SHA-1碰撞實(shí)例，攻破了SHA-1算法。目前，我國(guó)正在大力推進(jìn)國(guó)產(chǎn)SM3雜湊密碼算法對(duì)SHA系列算法的替代升級(jí)工作。

　　（3）證書載體形式

　　PKI證書應(yīng)用的一種外在表現(xiàn)形式，近年來(lái)隨著應(yīng)用環(huán)境的變化，證書載體形式日趨豐富。目前，主流的證書載體分為文件證書、硬件介質(zhì)數(shù)字證書和移動(dòng)數(shù)字證書三大類。

　　文件證書產(chǎn)生和應(yīng)用最早，但安全性低，無(wú)法應(yīng)對(duì)基于內(nèi)存分析以恢復(fù)和調(diào)用用戶密鑰為目的的攻擊，目前只有少數(shù)電商和政務(wù)系統(tǒng)還在使用。為解決文件證書安全性低的問(wèn)題，硬件介質(zhì)數(shù)字證書逐漸興起，其用戶私鑰不可導(dǎo)出，具有高安全性和高可靠性特點(diǎn)，應(yīng)用最為廣泛，如各類USBKey、藍(lán)牙Key、音頻Key、IC卡、eID卡等。

　　隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，基于移動(dòng)數(shù)字證書（手機(jī)盾）的電子簽名技術(shù)于2014年初出現(xiàn)，主要應(yīng)用于移動(dòng)端的電子簽名，基于密鑰分割和協(xié)作簽名技術(shù)，利用軟件方式實(shí)現(xiàn)安全等級(jí)較高的電子簽名功能，彌補(bǔ)了文件證書安全性低、硬件介質(zhì)證書（藍(lán)牙Key、音頻Key等）便攜性差的問(wèn)題，同時(shí)其也可以通過(guò)“掃碼簽名”等方式兼顧PC端電子簽名應(yīng)用場(chǎng)景。

　　（4）輕量級(jí)身份認(rèn)證協(xié)議

　　FIDO線上快速身份驗(yàn)證標(biāo)準(zhǔn)（以下簡(jiǎn)稱FIDO標(biāo)準(zhǔn)）是由FIDO聯(lián)盟（FastIdentityOnlineAlliance）提出的一個(gè)開放的標(biāo)準(zhǔn)協(xié)議，旨在提供一個(gè)高安全性、跨平臺(tái)兼容性、極佳用戶體驗(yàn)與用戶隱私保護(hù)的在線身份驗(yàn)證技術(shù)架構(gòu)。

　　FIDO聯(lián)盟于2012年7月成立，并于2015年推出并完善了1.0版本身份認(rèn)證協(xié)議，提出了U2F與UAF兩種用戶在線身份驗(yàn)證協(xié)議。其中，U2F協(xié)議兼容現(xiàn)有密碼驗(yàn)證體系，在用戶進(jìn)行高安全屬性的在線操作時(shí)，其需提供一個(gè)符合U2F協(xié)議的驗(yàn)證設(shè)備作為第二身份驗(yàn)證因素，即可保證交易足夠安全。而UAF則充分地吸收了移動(dòng)智能設(shè)備所具有的新技術(shù)，更加符合移動(dòng)用戶的使用習(xí)慣。在需要驗(yàn)證身份時(shí)，智能設(shè)備利用生物識(shí)別技術(shù)（如指紋識(shí)別、面部識(shí)別、虹膜識(shí)別等）取得用戶授權(quán)，然后通過(guò)非對(duì)稱加密技術(shù)生成加密的認(rèn)證數(shù)據(jù)供后臺(tái)服務(wù)器進(jìn)行用戶身份驗(yàn)證操作。整個(gè)過(guò)程可完全不需要密碼，真正意義上實(shí)現(xiàn)了“終結(jié)密碼”。

　　根據(jù)UAF協(xié)議，用戶所有的個(gè)人生物數(shù)據(jù)與私有密鑰都只存儲(chǔ)在用戶設(shè)備中，無(wú)需經(jīng)網(wǎng)絡(luò)傳送到網(wǎng)站服務(wù)器，而服務(wù)器只需存儲(chǔ)有用戶的公鑰即可完成用戶身份驗(yàn)證。這樣就大大降低了用戶驗(yàn)證信息暴露的風(fēng)險(xiǎn)。即使網(wǎng)站服務(wù)器被黑客攻擊，他們也得不到用戶驗(yàn)證信息偽造交易，也消除了傳統(tǒng)密碼數(shù)據(jù)泄露后的連鎖式反應(yīng)。

　　目前，谷歌公司已經(jīng)開發(fā)出支持U2F身份認(rèn)證的SecurityKey，該裝置配合Chrome瀏覽器實(shí)現(xiàn)網(wǎng)站身份的自動(dòng)鑒別，當(dāng)用戶登錄的網(wǎng)站是通過(guò)驗(yàn)證時(shí)，用戶無(wú)需輸入密碼，只需根據(jù)瀏覽器提示按下確認(rèn)即可，若網(wǎng)站未通過(guò)驗(yàn)證，則該裝置不會(huì)運(yùn)行。

　　聯(lián)想旗下國(guó)民認(rèn)證科技有限公司推出的基于FIDO框架的UAP統(tǒng)一身份認(rèn)證平臺(tái)，整合指紋識(shí)別和虹膜識(shí)別等功能為中國(guó)銀行、民生銀行、京東錢包等提供身份認(rèn)證服務(wù)。科技公司Egistec推出的基于FIDO框架的Yukey認(rèn)證器可以讓用戶通過(guò)指紋識(shí)別器及生物數(shù)據(jù)識(shí)別腕帶進(jìn)行聯(lián)合身份認(rèn)證。三星公司也在積極研發(fā)推出基于FIDO的身份認(rèn)證解決方案，其安全身份認(rèn)證框架和指紋讀取器均通過(guò)了FIDO認(rèn)證。微軟公司在Windows10中全面支持FIDO2.0版本標(biāo)準(zhǔn)，支持此標(biāo)準(zhǔn)的設(shè)備可以具有豐富的第三方生物識(shí)別功能，如指紋識(shí)別、人臉識(shí)別、虹膜識(shí)別等，大大提升系統(tǒng)安全性和易用性。

　?。?）數(shù)據(jù)的組織記錄形式（區(qū)塊鏈）

　　近年來(lái)，國(guó)內(nèi)外對(duì)去中心化和分布式數(shù)據(jù)庫(kù)研究如火如荼，代表就是區(qū)塊鏈技術(shù)。其去中心化、開放性、自治性、不可篡改性和匿名性決定了其未來(lái)會(huì)對(duì)金融和經(jīng)濟(jì)帶來(lái)巨大的影響。而區(qū)塊鏈的典型應(yīng)用之一就是在線身份驗(yàn)證，其相比傳統(tǒng)中心化的PKI電子認(rèn)證方式，其優(yōu)勢(shì)有三點(diǎn)。

　　一是身份信息更難篡改。每個(gè)人一出生便會(huì)形成自己的數(shù)字身份信息，同時(shí)得到一個(gè)公鑰和一個(gè)私鑰，利用時(shí)間戳技術(shù)形成區(qū)塊鏈，在共識(shí)機(jī)制保證下，數(shù)據(jù)篡改極為困難。

　　二是系統(tǒng)信息分布式存放，系統(tǒng)上的所有節(jié)點(diǎn)均可下載存放最新、最全的身份認(rèn)證信息。從此以后，人們不必再隨時(shí)攜帶自己的身份證，只需要通過(guò)公鑰證明“我是我”，通過(guò)私鑰自由管理自己的身份信息。

　　三是激勵(lì)機(jī)制的存在促使用戶積極維護(hù)整個(gè)區(qū)塊鏈，保證系統(tǒng)長(zhǎng)期良性運(yùn)作，系統(tǒng)穩(wěn)定性更高、維護(hù)成本更低。

　　目前，已經(jīng)有部分區(qū)塊鏈身份認(rèn)證和電子存證產(chǎn)品面世，如2017年，區(qū)塊鏈企業(yè)ShoCard與航空服務(wù)商SITA合作開發(fā)了SITADigitalTravelerIdentityApp的身份認(rèn)證應(yīng)用。該應(yīng)用融合了基于區(qū)塊鏈的數(shù)據(jù)和面部識(shí)別技術(shù)，致力于簡(jiǎn)化航空公司乘客身份驗(yàn)證流程，以及實(shí)現(xiàn)機(jī)場(chǎng)實(shí)時(shí)數(shù)據(jù)流；微軟宣布和BlockstackLabs、ConsenSys合作，推出基于區(qū)塊鏈技術(shù)的身份識(shí)別系統(tǒng)，實(shí)現(xiàn)人、產(chǎn)品、應(yīng)用和服務(wù)的深度交互；IBM與法國(guó)國(guó)民互助信貸銀行合作完成了一個(gè)基于區(qū)塊鏈技術(shù)的身份認(rèn)證系統(tǒng)，該系統(tǒng)采用超級(jí)賬本（Hyperledger）區(qū)塊鏈框架引導(dǎo)客戶向第三方（比如本地公共部門或零售商）提供身份證明。

　　國(guó)內(nèi)在線合同簽署企業(yè)法大大聯(lián)合阿里云郵箱推出了基于區(qū)塊鏈技術(shù)的郵箱存證產(chǎn)品、眾簽科技與中證司法鑒定中心合作推出了“存證云”司法鑒定平臺(tái)、北京合鏈共贏科技開發(fā)的文檔存證系統(tǒng)等都運(yùn)用區(qū)塊鏈技術(shù)對(duì)用戶身份和文件進(jìn)行鑒別和防偽。

　　3.3第二代身份認(rèn)證技術(shù)

　　第三代身份認(rèn)證技術(shù)在21世紀(jì)初移動(dòng)互聯(lián)網(wǎng)高速發(fā)展的背景下興起，主要包括人體生物特征識(shí)別技術(shù)、第三方賬號(hào)授權(quán)技術(shù)、基于大數(shù)據(jù)的用戶行為分析技術(shù)、量子加密技術(shù)、輕量級(jí)加密算法。這些技術(shù)多針對(duì)以智能手機(jī)APP應(yīng)用為代表的輕量級(jí)應(yīng)用場(chǎng)景，發(fā)展較為迅速，展現(xiàn)出勃勃生機(jī)。

　?。?）人體生物特征識(shí)別技術(shù)

　　在當(dāng)前的研究與應(yīng)用領(lǐng)域中，生物特征識(shí)別主要關(guān)系到計(jì)算機(jī)視覺、圖像處理與模式識(shí)別、計(jì)算機(jī)聽覺、語(yǔ)音處理、多傳感器技術(shù)、虛擬現(xiàn)實(shí)、計(jì)算機(jī)圖形學(xué)、可視化技術(shù)、計(jì)算機(jī)輔助設(shè)計(jì)、智能機(jī)器人感知系統(tǒng)等其他相關(guān)的研究，雖然生物識(shí)別技術(shù)早在20世紀(jì)60年代開始研究，但直到近十幾年才廣泛應(yīng)用。已被用于生物識(shí)別的生物特征有手形、指紋、面部、虹膜、視網(wǎng)膜、脈搏、耳廓等，行為特征有簽字、聲音、按鍵力度等。

　　在技術(shù)研究方面，當(dāng)前研究熱點(diǎn)已經(jīng)由單一生物特征轉(zhuǎn)向多生物特征融合。國(guó)際上，國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）已經(jīng)聯(lián)合公布了《信息技術(shù)—生物特征—多模態(tài)和其他多生物特征融合》（ISO/IECTR24722∶2007）標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)不但包含了對(duì)多模態(tài)和多生物特征融合做法的描述和分析，它還研討了需求、可能的路徑和標(biāo)準(zhǔn)化來(lái)支持多生物特征識(shí)別系統(tǒng)，以提高其通用性和實(shí)用性。國(guó)內(nèi)，由清華大學(xué)丁曉青教授組研制的TH-ID系統(tǒng)多模式生物特征（人臉、筆跡、簽字、虹膜）身份認(rèn)證識(shí)別系統(tǒng)已通過(guò)教育部組織的專家鑒定。該系統(tǒng)能夠?qū)崿F(xiàn)在復(fù)雜背景下的圖像和視頻人臉自動(dòng)檢測(cè)、識(shí)別和認(rèn)證，在人臉、筆跡、簽字、虹膜的識(shí)別認(rèn)證技術(shù)上取得了重要進(jìn)展，在整體上達(dá)到了國(guó)際領(lǐng)先水平。

　　在商業(yè)應(yīng)用推廣方面，目前最為成熟的是指紋識(shí)別和面部設(shè)別。在指紋識(shí)別方面，北大高科等對(duì)指紋識(shí)別技術(shù)的研究開發(fā)國(guó)際先進(jìn)水平。已推出多款產(chǎn)品；漢王科技公司在一對(duì)多指紋識(shí)別算法上取得重大進(jìn)展，達(dá)到的性能指標(biāo)中拒識(shí)率小于0.1%，誤識(shí)率小于0.0001%，居國(guó)際先進(jìn)水平。

　　2014年蘋果公司在iPhone5s上首次集成TouchID指紋識(shí)別組件，目前已經(jīng)升級(jí)為2.0版本，識(shí)別精度超過(guò)同類產(chǎn)品。在面部識(shí)別方面，2017年蘋果公司在iPhoneX上首次集成商用化FaceID面部識(shí)別組件，搭載環(huán)境光傳感器、距離感應(yīng)器，還集成了紅外鏡頭、泛光感應(yīng)元件(FloodCamera)和點(diǎn)陣投影器，多種配置共同搭建用戶3D臉部模型。在實(shí)際應(yīng)用中，生物識(shí)別功能和FIDO技術(shù)結(jié)合較為緊密，主流千元級(jí)智能手機(jī)一般都搭載生物識(shí)別模塊（指紋識(shí)別和攝像頭），隨著智能手機(jī)處理器運(yùn)算能力和生物識(shí)別模塊識(shí)別精度的進(jìn)一步提高，生物識(shí)別技術(shù)的應(yīng)用將更加廣泛。

　　（2）用戶行為分析技術(shù)

　　該技術(shù)在2012年之后開始應(yīng)用，主要應(yīng)用場(chǎng)景是電商領(lǐng)域，其基本思想是：一個(gè)固定用戶的購(gòu)物行為總是遵循一定的習(xí)慣，在購(gòu)物站點(diǎn)上則表現(xiàn)為操作中存在的規(guī)律性。身份驗(yàn)證正是通過(guò)對(duì)顧客的消費(fèi)習(xí)慣、瀏覽習(xí)慣甚至在購(gòu)物站點(diǎn)的操作習(xí)慣來(lái)判斷顧客是否為竊用者。

　　該技術(shù)要求系統(tǒng)數(shù)據(jù)庫(kù)跟蹤記錄每個(gè)用戶的歷史行為，并按照一定的算法從中抽取規(guī)律，建立用戶行為模型，當(dāng)用戶突然改變他們的行為習(xí)慣時(shí)，這種異常就會(huì)被檢測(cè)出來(lái)。因此，該技術(shù)也可以歸為網(wǎng)絡(luò)入侵檢測(cè)中的審計(jì)統(tǒng)計(jì)模型，基于審計(jì)信息的攻擊檢測(cè)方法是在證據(jù)模型和跟蹤用戶行為的基礎(chǔ)上建立起來(lái)的。由審計(jì)系統(tǒng)實(shí)時(shí)的檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè)。當(dāng)發(fā)現(xiàn)有可疑的行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為。系統(tǒng)要求根據(jù)每個(gè)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄庫(kù)，當(dāng)用戶改變他們的行為習(xí)慣時(shí)，這種異常就會(huì)被檢測(cè)出來(lái)。

　　目前，國(guó)外已有多個(gè)用戶行為分析產(chǎn)品商業(yè)化，如美國(guó)Heap、Trak公司的產(chǎn)品可以實(shí)時(shí)實(shí)現(xiàn)用戶全程操作行為記錄，一旦發(fā)現(xiàn)異?？梢赃M(jìn)行自動(dòng)郵件提醒。Mouseflow公司的產(chǎn)品可以通過(guò)記錄用戶鼠標(biāo)歷史軌跡進(jìn)而對(duì)用戶操作進(jìn)行分析。

　　國(guó)內(nèi)阿里巴巴和騰訊通過(guò)淘寶、天貓、QQ、微信等應(yīng)用積累了大量用戶行為數(shù)據(jù)，并提取了上萬(wàn)個(gè)行為維度，通過(guò)建立自學(xué)習(xí)的風(fēng)險(xiǎn)控制引擎（RiskEngine）實(shí)現(xiàn)對(duì)用戶異常行為（可疑登錄、轉(zhuǎn)賬）的質(zhì)疑和阻止。

　?。?）量子加密和輕量級(jí)加密算法

　　量子加密技術(shù)重點(diǎn)解決的是密鑰分發(fā)問(wèn)題。其基于量子力學(xué)開發(fā)，如果有人試圖攔截加密的內(nèi)容，查看這個(gè)加密內(nèi)容的行為將會(huì)改變內(nèi)容。入侵者不但無(wú)法獲得加密的內(nèi)容，而且授權(quán)人員會(huì)知道有人試圖獲取或篡改內(nèi)容。

　　目前，主流發(fā)達(dá)國(guó)家都在進(jìn)行量子加密前沿研究，英國(guó)、瑞士均已經(jīng)實(shí)現(xiàn)基于BB84方案的30km距離的量子密鑰分發(fā)實(shí)驗(yàn)；美國(guó)LosAlamos實(shí)驗(yàn)室已經(jīng)進(jìn)行基于B92方案的48km量子密鑰傳送。2016年8月，我國(guó)發(fā)射了首顆量子科學(xué)試驗(yàn)衛(wèi)星“墨子號(hào)”，得益于量子保密通信絕對(duì)安全性，量子通信不僅應(yīng)用于百姓日常通信，也可用于水、電、煤氣等能源供給和民生網(wǎng)絡(luò)基礎(chǔ)設(shè)施的通信保障，還可應(yīng)用于國(guó)防、金融、商業(yè)等領(lǐng)域，勢(shì)必對(duì)產(chǎn)業(yè)界和科技界產(chǎn)生巨大變革。

　　在輕量級(jí)加密算法研制方面，歐美等國(guó)正積極研制針對(duì)RFID訪問(wèn)控制、電子護(hù)照身份識(shí)別的專用壓縮算法，重點(diǎn)解決在計(jì)算能力、存儲(chǔ)能力、能量密度等硬件極度受限情況下的傳統(tǒng)密碼算法應(yīng)用難題。未來(lái)，隨著云計(jì)算和物聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，量子加密和輕量級(jí)加密算法在身份認(rèn)證中的應(yīng)用會(huì)逐漸展開。

　　4結(jié)束語(yǔ)

　　網(wǎng)絡(luò)可信身份具有的主要特征：一是真實(shí)身份的可追溯性，自然人身份用身份證標(biāo)識(shí)、企業(yè)和機(jī)構(gòu)身份用組織機(jī)構(gòu)代碼（工商代碼）標(biāo)識(shí)，都是可以追溯的；二是身份標(biāo)識(shí)的非唯一性，一個(gè)主體可以使用多種屬性來(lái)標(biāo)識(shí)，因此網(wǎng)絡(luò)身份的標(biāo)識(shí)是非唯一的，若在主體的屬性之間建立關(guān)聯(lián)，可以實(shí)現(xiàn)使用一個(gè)身份標(biāo)識(shí)訪問(wèn)多個(gè)應(yīng)用或服務(wù)；三是驗(yàn)證因子的多樣性，可以用用戶口令、軟硬令牌動(dòng)態(tài)口令、數(shù)字證書、問(wèn)題和答案、個(gè)人屬性值等。本文介紹主流的網(wǎng)絡(luò)身份認(rèn)證方式和網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)演變史，未來(lái)網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)將向著更加智能化的方向不斷發(fā)展。

　　參考文獻(xiàn)

　　[1]宋憲榮，張猛.網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)問(wèn)題研究[J].網(wǎng)絡(luò)空間安全，2018(3).

　　[2]原錦明.可信計(jì)算基礎(chǔ)下云計(jì)算安全關(guān)鍵問(wèn)題相關(guān)研究[J].網(wǎng)絡(luò)空間安全，2016，7(11)：65-67.

　　[3]朱泉.PKICA身份認(rèn)證技術(shù)研究[J].網(wǎng)絡(luò)空間安全，2016，7(9-10)：37-39.

　　[4]謝瑾，劉凡保，謝濤.網(wǎng)絡(luò)用戶賬號(hào)密碼安全問(wèn)題調(diào)查[J].信息安全與技術(shù)，2015(3).

　　[5]江偉玉，高能，李敏.網(wǎng)絡(luò)可信身份管理戰(zhàn)略和方法研究[J].信息安全研究，2017，3(9)：803-809.

　　[6]荊繼武.網(wǎng)絡(luò)可信身份管理的現(xiàn)狀與趨勢(shì)[J].信息安全研究，2016，2(7)：666-668.

　?。ū本┪镔Y學(xué)院，北京101149）

　　李小燕

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……