□ 白 潔 李 勇

在身份認證安全方面，全球面臨新的挑戰(zhàn)。經歷了認證安全的變革，今天人工智能為身份認證安全提供了全新助力，優(yōu)勢顯著。蘇州錦佰安信息技術有限公司（以下簡稱錦佰安）從2016年開始，進行基于行為識別的身份認證產品開發(fā),目前已經積累了大量客戶案例，包括在金融行業(yè)的成功應用。未來，人工智能與安全的結合也是大勢所趨。

身份認證安全面臨挑戰(zhàn)錦佰安專注于AI安全

不久前，Ac Fun彈幕視頻網（以下簡稱“A站”）發(fā)布公告稱網站受到黑客攻擊，近千萬條用戶數據遭泄露。隨后，有網友陸續(xù)曬出從2018年3—6月不同時期，暗網兜售A站用戶數據的信息及價目表，近千萬條用戶數據外泄，其中包含用戶ID、用戶昵稱、加密存儲的密碼等信息，類似于這樣觸目驚心的數據泄露事件在過去幾年已經發(fā)生了多起。在遇到這類事件后，專家的建議是盡快修改密碼，如果用戶在其他網站使用相同密碼，也應及時修改。

對于重要信息系統和關鍵基礎設施領域來說，電子政務、互聯網金融、智慧醫(yī)療、企業(yè)辦公等等，所有業(yè)務的實現、業(yè)務的運作都離不開信息系統。一旦信息系統出現問題，業(yè)務的可用性就會受到很大的影響，甚至是致命的影響。另一方面，數據的集中存儲，也造成了風險的高度集中。

類似于A站的數據泄露事件全球頻發(fā)。必勝客系統被黑，6萬用戶信息泄露；希拉里因郵件門無緣美國總統；德勤500萬數據泄露……其中數據泄露及身份管理不到位，高居云安全聯盟（Cloud Security Alliance，CSA）發(fā)布的安全排行榜的第1名和第2名。數據的安全和個人賬戶的安全一再敲響了警鐘。解決數據泄露風險，最關鍵的是，如果有一種辦法能夠保證登錄者是本人，用戶就不會過于恐慌，而這關鍵的一道安全防線便是身份認證。

當然，身份認證的重要性對于安全行業(yè)的專家和從業(yè)者來說，也是在日積月累的工作中體會出來的，錦佰安科技創(chuàng)始人兼CEO馮繼強先生就是這樣。很多年前，他跟所有安全從業(yè)者一樣，輾轉于很多大公司，在長期與客戶的交流和工作中他體會到，身份安全是網絡安全的基礎，在機遇到來時，他毫不猶豫地投身到高效、便捷、精準的解決身份認證的方向上，創(chuàng)辦了公司，專注于AI安全——身份認證領域。

可信身份認證是網絡安全的基礎

美國咨詢公司Cybersecurity Ventures 發(fā)布的《2017年網絡犯罪報告》中有幾組數字：2020年，全世界需要保護3 000億個口令；2020年，全世界Io T聯網物體增至2 000億，這是一個龐大的數據，也就意味著身份認證的問題每天每時都在發(fā)生?！禖SA2018十二大頂級云安全威脅：行業(yè)見解報告》《2017年數據泄露調查報告》Verizon威瑞森電信等報告中指出：網絡安全問題榜首是數據泄露和身份問題，81%的數據泄露與身份被竊取有關。而對于黑客來說，一般的用戶名和密碼的身份認證形式保護力度不夠，在黑客眼中形同虛設，很容易就可以用撞庫、密碼泄露、網絡釣魚、木馬病毒、社會工程學等方式破解。黑客攻擊手段分析：黑客或者內部人員利用弱口令、撞庫、釣魚郵件、木馬、數據庫和系統漏洞、SQL注入等攻擊手段，竊取數據、破壞系統，甚至遠程操控設備。網絡安全問題的榜首是數據泄露和身份問題，可信的身份認證是網絡安全的基礎。

曾經有一個說法：隔著網絡，你永遠搞不清對面是一個人還是一條狗，身份認證不僅要解決是人是“狗”的問題，更要解決是不是操作者本人的問題，如圖1所示。只有首先確認操作者身份，才能確定該用戶是否具有對某種資源的訪問和使用權限，進而使計算機和網絡系統的訪問策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問權限，保證系統和數據的安全以及授權訪問者的合法利益。保證操作者的物理身份與數字身份相對應，一直就是網絡安全的第1道關口，身份認證有著舉足輕重的作用。其實身份認證古已有之，中國古代的虎符就是身份認證的一種，隨著科學技術的發(fā)展，在網絡世界中，身份認證手段也在逐漸優(yōu)化，身份認證也經過了幾個不同的發(fā)展階段。

圖1 身份證認證安全的關鍵環(huán)節(jié)

身份認證方式的歷史變革

隨著科技的發(fā)展，身份認證技術也經歷了幾個迭代過程，大致上可以劃分為以下幾個時代：

1）1981 —2006年：PC時代

（1）靜態(tài)密碼

這期間主要使用的是靜態(tài)密碼，用戶的密碼是由用戶自己設定的。在網絡登錄時輸入正確的密碼，計算機就認為操作者就是合法用戶，靜態(tài)密碼的弊端非常明顯，面臨弱口令、密碼復用、撞庫、釣魚、暴力破解等高風險問題。另外對于用戶來說，應用多、密碼多，也會有經常忘記密碼的問題。有很多人設置非常簡單的密碼，比如12345，00000等，有的甚至就把密碼抄寫下來貼在電腦顯示器前，基本沒有安全可言。

（2）U盾等硬件設備

U盾實際上是一種內置集成電路的芯片，芯片中存有與用戶身份相關的數據，智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。

這時期的安全機制有了一定程度的提高，在身份認證中開始大量使用PKI/CA證書系統，智能卡認證是通過智能卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數據是靜態(tài)的，通過內存掃描或網絡監(jiān)聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。對于企事業(yè)單位來說，使用U盾技術方案復雜，建設維護成本高，用戶體驗不佳，因為總是要攜帶U盾等硬件設備，使用不夠方便。U盾解決了網銀以及一些重要系統、機構的安全認證問題，但隨著云計算、移動互聯網以及物聯網越來越普及，U盾早已不能滿足手機登錄應用的認證。此時擺在安全認證面前的是既要快速又要便捷，更不能影響用戶體驗。

（3）動態(tài)口令

動態(tài)口令認證采用的是雙因素認證的理念，動態(tài)口令是客戶手持用來生成動態(tài)密碼的終端，主流的是基于時間同步方式的，每60 s變換一次動態(tài)口令，口令一次有效，它產生6位動態(tài)數字進行一次一密的方式認證。

但是由于基于時間同步方式的動態(tài)口令牌存在60 s的時間窗口，導致該密碼在這60 s內存在風險，現在已有基于事件同步的、雙向認證的動態(tài)口令牌?；谑录降膭討B(tài)口令，是以用戶動作觸發(fā)的同步原則，真正做到了一次一密，并且由于是雙向認證，即：服務器驗證客戶端，并且客戶端也需要驗證服務器，從而達到了徹底杜絕木馬網站的目的。

由于動態(tài)口令使用起來非常便捷，85%以上的世界500強企業(yè)運用它保護登錄安全，廣泛應用在VPN、網上銀行、電子政務、電子商務等領域。但這種驗證方式適用于安全保密等級要求比較高的場景，比如網銀登錄等，對于日常的身份認證而言，成本高，操作不方便，經濟成本高，需要定期更換令牌，不適用于一般的身份認證場景。

2）2007 —2015年：移動時代

（1）短信驗證碼

進入移動時代后，手機的普及程度和與生活的緊密程度大大加強，成為了人們必不可少的物品，手機和人們生活的邊界正在消融，所以利用短信驗證碼進行身份認證開始變得可靠而且方便。短信密碼以手機短信形式請求包含6位隨機數的動態(tài)密碼，身份認證系統以短信形式發(fā)送隨機的6位密碼到客戶的手機上?？蛻粼诘卿浕蛘呓灰渍J證時輸入此動態(tài)密碼，從而確保系統身份認證的安全性。但短信驗證碼的驗證方式也有明顯的缺點，很容易被劫持和竊取。一是技術上短信協議本身存在著已被證實且可以成功利用的漏洞，并且大量出現的LTE/4G偽基站加上GSM中間人攻擊可以攻破所有短信驗證；二是實際應用中任何智能手機的應用都可以申請讀取短信的權限，安全性依賴于用戶自己的安全意識。

（2）生物識別

隨著科技的進步，越來越多的生物識別的方式開始廣泛應用，比如指紋、人臉、聲紋等。生物識別是科技的巨大飛躍，人們體驗到了不需要繁瑣的驗證方式就可以進行認證，利用生物識別方式進行認證優(yōu)勢明顯，符合安全性高、輕量級、統一、體驗好的身份認證標準，但是普通的生物識別有明顯的短板，通過紙片翻拍，打印用戶照片、屏幕翻拍、3D打印面具、合成活體視頻等方式能容易繞過。并且指紋和人臉容易被盜取，可以偽造，經證實，導電硅膠以及膠帶+導電漆筆制作的假指紋可以輕松破解各種手機指紋密碼；指紋復制工具可以很容易買到。聲紋也容易被復制，部分聲紋可以通過錄音的方式破解，針對更成熟的聲紋識別系統，通過機器學習的方式也是可以破解的。而個人特征一旦被破解，幾乎所有的身份都可以被盜取。盡管如此，由FIDO，IFAA，TUSI等聯盟推薦的硬件隔離配合高強度的密碼學算法，利用生物識別進行身份認證在一段時間內依然是低安全等級身份認證的首要選擇。

通過行為識別的身份認證優(yōu)勢

生物識別作為身份認證的方式目前已經被廣泛應用，但弊端顯而易見。隨著科技的進步，人工智能（AI）技術的快速發(fā)展，再加上國內在AI技術方面起步早、應用多、發(fā)展迅速，這為通過AI技術進行身份認證提供了非常好的條件。

隨著網絡攻防用AI對抗AI情況的增多，人臉識別甚至能被100%秒破。人工智能與身份認證技術的結合，可以有效解決身份認證問題。未來20年，AI行為認證是大勢所趨，身份認證的無密時代很快就會到來。

基于行為的身份認證技術實現，主要是依靠傳感器多維度、多規(guī)則地對用戶日常登錄系統的操作行為和使用習慣，在用戶無感知狀態(tài)下持續(xù)深度地學習其特征，建立識別模型，并與用戶本人進行相似度匹配，即可對用戶身份進行準確確認。在用戶輸入密碼時，后端進行用戶AI 行為模型相似度匹配，同時完成密碼驗證及用戶行為驗證，1步操作=2步驗證，安全和便捷可以兼得，用戶全程無感知。基于人的行為習慣建立的行為模型特征也是生物特征的一種，有2個最大優(yōu)勢：一是無感知身份驗證，在不知不覺中就完成了身份識別，體驗很好；二是行為特征不會被盜，形似神不似也能識別出來，因為人的行為模式一旦形成就很難改變，更無法被模仿。AI行為識別身份認證基于人工智能技術，使用貝葉斯、條件隨機場機器學習算法，對用戶日常登錄的操作行為和使用習慣數據（敲擊鍵盤的頻率、強度、時間等），在用戶無感知狀態(tài)下，持續(xù)深度學習其行為特征，建立單獨的用戶數據畫像，并與用戶本人進行相似度匹配，即可對用戶身份進行確認。通過將AI的行為感知技術和安全機制結合，基于行為的身份認證產品可實現以下功能：

1）通過AI行為識別技術，能精確辨別操作者是否為用戶本人，而且有效過濾虛假機器操作。通過基于AI 行為識別的雙因素身份認證，過濾不合法用戶的登錄、支付等請求。避免因弱口令、木馬程序、釣魚攻擊、密碼泄露等引起的身份冒用，增強身份鑒別能力。

2）基于AI人機行為識別技術，可以攔截機器人主動頻繁網絡請求，攔截羊毛黨的群控操作，保護活動資金的安全；預防暴力破解、撞庫等自動化程序攻擊，增強風控體系。

3）通過行為識別，疊加多因素身份認證，可以滿足要求等級高的身份認證需要。多因素身份認證是通過結合至少2個以上獨立的身份憑證因素進行訪問控制，目的是建立一個多層次的防御，使未經授權的人訪問應用、系統或網絡更加困難。行為認證可以集成多種身份驗證功能——人臉識別、指紋識別、圖片密碼、一鍵確認、OTP 動態(tài)口令等身份識別解決方案，政府和企業(yè)可以根據不同的安全場景指定相應的登錄驗證方式。

通過行為感知來進行身份認證，不僅對于個人，對于需要管理眾多終端的行業(yè)用戶來說，優(yōu)點明顯，通過疊加多因素身份認證技術，更可以實現場景式多元化的驗證方式，滿足不同等級、不同方式的需要。以錦佰安的產品Sec ID來說，可滿足以下需求：

1）合法合規(guī)檢測用戶異常登錄，精準區(qū)分正常用戶與惡意訪問，杜絕弱口令、密碼泄露、撞庫、釣魚、暴力破解等惡意攻擊，提供軍用級賬號保護。

2）智能后臺提供一站式批量化管理，將IT員工從枯燥重復的身份管理工作中解放出來，專注于IT研發(fā)與創(chuàng)新。支持Windows、Linux、麒麟等各類操作系統，包括國產操作系統。支持AD域、LDAP、RADIUS 等各種認證協議。支持各類Web語言應用及各類網絡設備。

3）滿足等保2.0時代密碼管理標準，啟用用戶身份標識唯一性檢查以及登錄失敗處理功能，并根據安全策略配置相關參數，提供覆蓋到每個用戶的安全審計功能，對應用系統中重要的安全事件進行審計。

4）Sec ID快速身份認證基于FIDO UAF1.0協議標準實現，在用戶名和密碼的基礎上，結合日趨成熟的生物特征識別技術（如指紋識別）與系統鎖屏（密碼、九宮格、PIN碼）等完成本地身份認證，可用于增強登錄、驗證、支付等敏感性操作的身份準入。采用即插即用的本地身份認證，用戶的隱私、生物特征信息及其產生的私鑰保存在可信設備手機之中，具有更好的安全性、便捷性、適配性以及隱私保護性。

基于行為識別的多因素身份認證典型場景

錦佰安團隊從2016年開始進行基于行為識別的身份認證產品開發(fā),目前已經積累了百余項客戶案例。Sec ID在實際應用中，進行優(yōu)化并形成了更好的體驗方式（見圖2），主要有以下幾類：

1）管理員后臺功能

用戶全生命周期管理，提供用戶全生命周期管理，支持單個及批量用戶的創(chuàng)建、修改、刪除等操作，支持用戶分組管理模式，可基于組織結構或角色對用戶進行分組管理。為員工入職、離職等角色變更提供一站式身份管理，避免因為員工離職、權限不明帶來的安全隱患。

2）統一身份一鍵接入

用戶管理可實現多應用環(huán)境下的統一用戶身份管理，支持SSO單點登錄，支持AD同步，一鍵批量導入，實現賬號統一管理。

3）豐富的安全策略

身份識別管理后臺可以配置用戶訪問控制策略，針對應用系統及用戶組的不同安全需求，定義不同的二次驗證方式；設置用戶訪問間隔，防止暴力破解。

4）安全策略

配置用戶訪問控制策略，針對應用系統及用戶組的不同安全需求，定義不同的二次驗證方式；設置用戶訪問間隔，防止暴力破解。

5）安全審計

身份識別管理后臺的日志包括管理員操作日志以及用戶登錄認證日志，日志中記錄了用戶、應用、操作時間、事件、安全設備等信息，方便安全審計和追溯，可以實現責任到人。精準識別風險，快速集成工作效率高。

圖2 AI無感知認證示意圖

行為識別在關鍵信息基礎設施領域的應用

金融、交通、能源是關鍵基礎設施領域遭受網絡攻擊的重災區(qū)。所以錦佰安團隊和其產品Sec ID在國內率先應用于金融行業(yè)，可以防范釣魚欺詐、暴力破解、群控操作、木馬支持及API濫用等與用戶身份鑒別相關的場景。如圖3所示。

另外，隨著政務信息化工作的持續(xù)深化，云計算在支撐政務信息系統向更加集中、集約、高效、開放的方向發(fā)展。政務應用是國家關鍵基礎設施的一部分，保障安全是政務云的一項基本要求，也是錦佰安著力要保障的領域。

在傳統身份認證技術基礎上，Sec ID基于行為識別的多因素身份認證系統為政務云主機賬號添加安全高效的二次驗證，確保合法可信任的人才能登錄和操作云主機及應用等相關資源。相對傳統的短信、動態(tài)口令二次驗證方式，Sec ID的認證方式能唯一確定到人，防止短信和動態(tài)口令等可能泄露或多人使用的問題。

圖3 基于行為感知的身份認證在金融領域的應用

SecID的解決方案可有效防范與身份鑒別相關的數據泄露、暴力破解、外包人員惡意行為等安全風險。

目前，人工智能已經成為我國科技發(fā)展中重要發(fā)展戰(zhàn)略。調查表明，到2030年，我國人工智能核心產業(yè)規(guī)模將達1萬億，帶動相關產業(yè)規(guī)模超10萬億。人工智能的風口期已經到來，人工智能與安全的結合也是大勢所趨。目前還要警惕一些“偽人工智能”，比如，市面上的行為識別產品將“行為”定義為：用戶的地點、消費金額、購買類別等，這種“偽行為識別”識別精度不高，可以作為風控的一部分，無法直接用來進行身份認證；涉及到用戶的隱私，具有法律風險。對于身份認證領域來說，“行為”應當定義為用戶真實的操作習慣，如：敲擊鍵盤的頻率、強度、時間等，不涉及到用戶敏感的個人隱私。

今天，網絡安全正在越來越接近每一個人，安全的泛化趨勢讓人工智能迅速走向實際應用。同時，使用人工智能手段的攻擊也將會發(fā)展壯大。在網絡安全領域，只有永遠的對抗，沒有永久的安全。一次次的安全事件警示我們，網絡安全風險永遠存在，安全產品并不能解決所有問題，持續(xù)性安全服務是必不可少的，安全產品與安全服務“雙劍合璧”，才能更好地做好信息安全。