宋憲榮，張猛

（1.南京理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇南京210094；2.賽迪智庫(kù)網(wǎng)絡(luò)空間研究所，北京100846）

1 引言

身份認(rèn)證的關(guān)鍵技術(shù)經(jīng)歷了三代的發(fā)展，第一代以靜態(tài)密碼技術(shù)和動(dòng)態(tài)密碼技術(shù)為代表，典型應(yīng)用方式為賬號(hào)+口令、手機(jī)動(dòng)態(tài)驗(yàn)證碼；第二代以PKI技術(shù)為代表，典型應(yīng)用方式為文件證書(shū)、USB Key、手機(jī)盾、eID、FIDO等；第三代以生物識(shí)別、大數(shù)據(jù)行為分析、量子加密等技術(shù)為代表，這些新技術(shù)在移動(dòng)互聯(lián)網(wǎng)應(yīng)用高速發(fā)展的背景下誕生。三代身份認(rèn)證技術(shù)的基本原理、應(yīng)用成本和適用范圍各有不同，以下從技術(shù)發(fā)展角度進(jìn)行梳理。

2 第一代身份認(rèn)證技術(shù)

第一代身份認(rèn)證技術(shù)以靜態(tài)密碼技術(shù)和動(dòng)態(tài)密碼技術(shù)為代表，在20世紀(jì)60年代左右開(kāi)始出現(xiàn)并在計(jì)算機(jī)上應(yīng)用，目前相關(guān)技術(shù)發(fā)展已經(jīng)十分成熟，雖然其有種種缺陷，但仍未被完全淘汰。

2.1 靜態(tài)密碼技術(shù)

靜態(tài)密碼技術(shù)的典型身份認(rèn)證應(yīng)用是賬號(hào)+口令。用戶輸入賬號(hào)和靜態(tài)口令后，服務(wù)器查詢口令數(shù)據(jù)庫(kù)進(jìn)行匹配，匹配通過(guò)即完整核驗(yàn)。該方式歷史最為悠久、使用極為簡(jiǎn)單、成本極其低廉、應(yīng)用極其廣泛。但隨著計(jì)算機(jī)運(yùn)算能力的不斷增強(qiáng)，靜態(tài)密碼抗暴力攻擊的能力越來(lái)越差，密碼位數(shù)由早期的4位逐漸升級(jí)的6位、8位、16位、18位，由簡(jiǎn)單數(shù)字組合逐漸升級(jí)為數(shù)字+字母（不區(qū)分大小寫(xiě)）組合、數(shù)字+字母（區(qū)分大小寫(xiě)）組合、數(shù)字+字母（區(qū)分大小寫(xiě)）+特殊字符組合。雖然密碼長(zhǎng)度和強(qiáng)度不斷升級(jí)，靜態(tài)密碼技術(shù)由于先天存在易被字典攻擊、易被監(jiān)聽(tīng)偷錄等缺陷，在低安全等級(jí)應(yīng)用中可以作為一種主要身份認(rèn)證技術(shù)，但在高安全等級(jí)應(yīng)用中只能作為一種輔助手段。

2.2 動(dòng)態(tài)密碼技術(shù)

鑒于靜態(tài)口令的種種缺陷，安全專家提出采用動(dòng)態(tài)密碼來(lái)進(jìn)行身份驗(yàn)證。根據(jù)動(dòng)態(tài)密碼中采用的“動(dòng)態(tài)因子”不同，該技術(shù)可分為兩大類：同步認(rèn)證技術(shù)和異步認(rèn)證技術(shù)。同步認(rèn)證技術(shù)中主要包括基于時(shí)間同步認(rèn)證技術(shù)；異步認(rèn)證技術(shù)主要包括挑戰(zhàn)/響應(yīng)認(rèn)證技術(shù)（事件響應(yīng)）。同步認(rèn)證技術(shù)最早取得突破，20世紀(jì)80年代，美國(guó)著名加密算法研究實(shí)驗(yàn)室RSA研制成功了基于時(shí)間同步的動(dòng)態(tài)密碼認(rèn)證系統(tǒng)RSA SecurID,該系統(tǒng)通過(guò)時(shí)間同步方式，同一時(shí)間令牌認(rèn)證服務(wù)器的認(rèn)證系統(tǒng)每60秒變換一次動(dòng)態(tài)口令，口令一次有效，它產(chǎn)生6位動(dòng)態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證[1]。

國(guó)內(nèi)中國(guó)銀行、工商銀行早期曾發(fā)行過(guò)一種動(dòng)態(tài)密碼口令牌，就是基于時(shí)間同步原理。由于同步認(rèn)證技術(shù)對(duì)時(shí)間敏感，硬件和操作要求較高，異步認(rèn)證技術(shù)后來(lái)居上。以手機(jī)動(dòng)態(tài)驗(yàn)證碼為例，用戶在登錄時(shí)點(diǎn)擊“發(fā)送手機(jī)驗(yàn)證碼”，服務(wù)器以當(dāng)前時(shí)間或者事件序號(hào)作為動(dòng)態(tài)因子計(jì)算出驗(yàn)證碼并發(fā)送至指定手機(jī)號(hào)，用戶收到后將驗(yàn)證碼輸入，系統(tǒng)完成核驗(yàn)后授權(quán)用戶登錄。整個(gè)驗(yàn)證流程中，驗(yàn)證碼一般5-30分鐘有效，用戶在規(guī)定時(shí)間內(nèi)輸入就可以。此外，國(guó)內(nèi)工商銀行早期曾發(fā)行過(guò)一種紙質(zhì)動(dòng)態(tài)密碼卡，用戶登錄網(wǎng)銀時(shí)，網(wǎng)銀生成二維坐標(biāo)，用戶需刮開(kāi)密碼卡對(duì)應(yīng)區(qū)域輸入相應(yīng)密碼，此方式也是異步認(rèn)證技術(shù)。隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，動(dòng)態(tài)口令牌、動(dòng)態(tài)口令卡由于攜帶不便，已經(jīng)逐漸被手機(jī)動(dòng)態(tài)驗(yàn)證碼所取代，賬號(hào)+手機(jī)驗(yàn)證碼已經(jīng)成為當(dāng)前最重要的身份認(rèn)證方式之一。

2.3 第三方互聯(lián)網(wǎng)賬號(hào)授權(quán)技術(shù)

該認(rèn)證方式使用戶在登錄當(dāng)前網(wǎng)站或APP時(shí)無(wú)需注冊(cè)，使用第三方互聯(lián)網(wǎng)賬號(hào)（如騰訊、支付寶、新浪微博等）進(jìn)行授權(quán)登錄，免去賬號(hào)注冊(cè)過(guò)程并完成身份認(rèn)證。目前，OAuth、OpenID、SAML、FIDO等標(biāo)準(zhǔn)已成為該認(rèn)證方式的事實(shí)標(biāo)準(zhǔn)。當(dāng)前大多數(shù)電子商務(wù)、社交網(wǎng)站等都已經(jīng)逐漸接受該認(rèn)證模式，互聯(lián)認(rèn)證登錄普遍存在。在該模式下網(wǎng)站及相關(guān)應(yīng)用不需要對(duì)用戶身份進(jìn)行管理，用戶身份管理及認(rèn)證完全由第三方平臺(tái)進(jìn)行。

3 第二代身份認(rèn)證技術(shù)

第二代身份認(rèn)證技術(shù)以PKI技術(shù)為代表，相關(guān)概念于20世紀(jì)80年代提出，其安全性遠(yuǎn)高于一代身份認(rèn)證技術(shù)。近十幾年來(lái)，各國(guó)投入巨資實(shí)施PKI的建設(shè)和研究，PKI理論研究和應(yīng)用在非對(duì)稱密碼算法、雜湊算法、證書(shū)載體形式、輕量級(jí)身份認(rèn)證協(xié)議和數(shù)據(jù)的組織記錄形式五個(gè)方面取得了巨大的進(jìn)展。

3.1 非對(duì)稱加密算法

該算法中用戶有兩個(gè)密鑰，一個(gè)公開(kāi)密鑰，一個(gè)私有密鑰，從公開(kāi)密鑰推導(dǎo)私有密鑰極其困難。非對(duì)稱加密算法完美解決了對(duì)稱加密算法的密鑰管理分發(fā)難題，在PKI架構(gòu)和數(shù)字簽名中具有重要應(yīng)用，但運(yùn)算效率較低。美國(guó)在1978年首次提出基于大整數(shù)素因子分解的RSA算法，1985又提出了基于離散對(duì)數(shù)問(wèn)題的ELGamal算法，其中RSA算法是目前應(yīng)用較為廣泛[2]。RSA算法的強(qiáng)度與其算法密鑰長(zhǎng)度有關(guān)，RSA1024已經(jīng)在2012年被美國(guó)密碼學(xué)家攻破，目前最新版本為RSA4096。由于過(guò)長(zhǎng)的RSA密鑰會(huì)導(dǎo)致運(yùn)算效率大大下降，美國(guó)NIST和歐洲NESSIE的專家又提出了橢圓曲線和超橢圓曲線密碼ECC，該算法只需282bit的密鑰長(zhǎng)度即可媲美RSA4096的加密強(qiáng)度，運(yùn)算效率大大提高，是目前非對(duì)稱密碼技術(shù)研究的熱點(diǎn)。目前，我國(guó)正在大力推廣國(guó)產(chǎn)SM2橢圓密碼算法在關(guān)系到國(guó)計(jì)民生的重要應(yīng)用系統(tǒng)中的應(yīng)用。

3.2 雜湊算法

雜湊算法又名哈希算法、摘要算法，它能夠?qū)⑷我忾L(zhǎng)度的消息壓縮成固定長(zhǎng)度的摘要，能夠賦予每個(gè)消息唯一的“數(shù)字指紋”[3]。其專門解決信息的非法篡改問(wèn)題，是PKI中數(shù)字簽名和數(shù)據(jù)完整性保護(hù)的基礎(chǔ)，研究進(jìn)展迅速。雜湊算法與對(duì)稱/非對(duì)稱加密算法的區(qū)別是，后兩種算法是用于防止信息被竊取，而雜湊算法的目標(biāo)是用于證明原文的完整性，也就是說(shuō)用于防止信息被篡改。

雜湊算法的典型代表是美國(guó)NIST發(fā)布的SHA系列，1995年SHA-1正式發(fā)布，經(jīng)過(guò)二十余年的發(fā)展，SHA-1算法逐漸成為互聯(lián)網(wǎng)最基礎(chǔ)的數(shù)字簽名算法。由于SHA家族算法本身的問(wèn)題存在“碰撞”破解的可能性，SHA算法被攻破的時(shí)間僅依賴于所使用的計(jì)算能力，所以歐美密碼學(xué)家不斷調(diào)整改進(jìn)SHA算法，既SHA-1后推出SHA-224、SHA-256、SHA-384和SHA-512。2017年2月23日，谷歌聯(lián)合荷蘭CWI機(jī)構(gòu)給出了SHA-1碰撞實(shí)例，攻破了SHA-1算法。目前，我國(guó)正在大力推進(jìn)國(guó)產(chǎn)SM3雜湊密碼算法對(duì)SHA系列算法的替代升級(jí)工作。

3.3 證書(shū)載體形式

PKI證書(shū)應(yīng)用的一種外在表現(xiàn)形式，近年來(lái)隨著應(yīng)用環(huán)境的變化，證書(shū)載體形式日趨豐富。目前主流的證書(shū)載體分為文件證書(shū)、硬件介質(zhì)數(shù)字證書(shū)和移動(dòng)數(shù)字證書(shū)三大類。文件證書(shū)產(chǎn)生和應(yīng)用最早，但安全性低，無(wú)法應(yīng)對(duì)基于內(nèi)存分析以恢復(fù)和調(diào)用用戶密鑰為目的的攻擊，目前只有少數(shù)電商和政務(wù)系統(tǒng)還在使用。為解決文件證書(shū)安全性低的問(wèn)題，硬件介質(zhì)數(shù)字證書(shū)逐漸興起，其用戶私鑰不可導(dǎo)出，具有高安全性和高可靠性特點(diǎn)，應(yīng)用最為廣泛，如各類USB Key、藍(lán)牙Key、音頻Key、IC卡、eID卡等。隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，基于移動(dòng)數(shù)字證書(shū)（手機(jī)盾）的電子簽名技術(shù)于2014年初出現(xiàn)，主要應(yīng)用于移動(dòng)端的電子簽名，基于密鑰分割和協(xié)作簽名技術(shù)，利用軟件方式實(shí)現(xiàn)安全等級(jí)較高的電子簽名功能，彌補(bǔ)了文件證書(shū)安全性低、硬件介質(zhì)證書(shū)（藍(lán)牙Key、音頻Key等）便攜性差的問(wèn)題，同時(shí)其也可以通過(guò)“掃碼簽名”等方式，兼顧PC端電子簽名應(yīng)用場(chǎng)景。

3.4 輕量級(jí)身份認(rèn)證協(xié)議

FIDO線上快速身份驗(yàn)證標(biāo)準(zhǔn)（以下簡(jiǎn)稱FIDO標(biāo)準(zhǔn)）是由FIDO聯(lián)盟（Fast Identity Online Alliance）提出的一個(gè)開(kāi)放的標(biāo)準(zhǔn)協(xié)議，旨在提供一個(gè)高安全性、跨平臺(tái)兼容性、極佳用戶體驗(yàn)與用戶隱私保護(hù)的在線身份驗(yàn)證技術(shù)架構(gòu)[4]。FIDO聯(lián)盟于2012年7月成立，并于2015年推出并完善了1.0版本身份認(rèn)證協(xié)議，提出了U2F與UAF兩種用戶在線身份驗(yàn)證協(xié)議。其中U2F協(xié)議兼容現(xiàn)有密碼驗(yàn)證體系，在用戶進(jìn)行高安全屬性的在線操作時(shí)，其需提供一個(gè)符合U2F協(xié)議的驗(yàn)證設(shè)備作為第二身份驗(yàn)證因素，即可保證交易足夠安全。而UAF則充分地吸收了移動(dòng)智能設(shè)備所具有的新技術(shù)，更加符合移動(dòng)用戶的使用習(xí)慣。

在需要驗(yàn)證身份時(shí)，智能設(shè)備利用生物識(shí)別技術(shù)（如指紋識(shí)別、面部識(shí)別、虹膜識(shí)別等）取得用戶授權(quán)，然后通過(guò)非對(duì)稱加密技術(shù)生成加密的認(rèn)證數(shù)據(jù)供后臺(tái)服務(wù)器進(jìn)行用戶身份驗(yàn)證操作。整個(gè)過(guò)程可完全不需要密碼，真正意義上實(shí)現(xiàn)了“終結(jié)密碼”。根據(jù)UAF協(xié)議，用戶所有的個(gè)人生物數(shù)據(jù)與私有密鑰都只存儲(chǔ)在用戶設(shè)備中，無(wú)需經(jīng)網(wǎng)絡(luò)傳送到網(wǎng)站服務(wù)器，而服務(wù)器只需存儲(chǔ)有用戶的公鑰即可完成用戶身份驗(yàn)證。這樣就大大降低了用戶驗(yàn)證信息暴露的風(fēng)險(xiǎn)。即使網(wǎng)站服務(wù)器被黑客攻擊，他們也得不到用戶驗(yàn)證信息偽造交易，也消除了傳統(tǒng)密碼數(shù)據(jù)泄露后的連鎖式反應(yīng)。

目前，谷歌公司已經(jīng)開(kāi)發(fā)出支持U2F身份認(rèn)證的Security Key。該裝置配合Chrome瀏覽器實(shí)現(xiàn)網(wǎng)站身份的自動(dòng)鑒別，當(dāng)用戶登錄的網(wǎng)站是通過(guò)驗(yàn)證時(shí)，用戶無(wú)需輸入密碼，只需根據(jù)瀏覽器提示按下確認(rèn)即可，若網(wǎng)站未通過(guò)驗(yàn)證，則該裝置不會(huì)運(yùn)行。聯(lián)想旗下國(guó)民認(rèn)證科技有限公司推出的基于FIDO框架的UAP統(tǒng)一身份認(rèn)證平臺(tái)，整合指紋識(shí)別和虹膜識(shí)別等功能為中國(guó)銀行、民生銀行、京東錢包等提供身份認(rèn)證服務(wù)?？萍脊綞gistec推出的基于FIDO框架的Yukey認(rèn)證器，可以讓用戶通過(guò)指紋識(shí)別器及生物數(shù)據(jù)識(shí)別腕帶進(jìn)行聯(lián)合身份認(rèn)證。三星公司也在積極研發(fā)推出基于FIDO的身份認(rèn)證解決方案，其安全身份認(rèn)證框架和指紋讀取器均通過(guò)了FIDO認(rèn)證[5]。微軟公司在Windows10中全面支持FIDO 2.0版本標(biāo)準(zhǔn)，支持此標(biāo)準(zhǔn)的設(shè)備可以具有豐富的第三方生物識(shí)別功能，如指紋識(shí)別、人臉識(shí)別、虹膜識(shí)別等，大大提升系統(tǒng)安全性和易用性[6]。

3.5 數(shù)據(jù)的組織記錄形式

近年來(lái)，國(guó)內(nèi)外對(duì)去中心化和分布式數(shù)據(jù)庫(kù)研究如火如荼，代表就是區(qū)塊鏈技術(shù)。其去中心化、開(kāi)放性、自治性、不可篡改性和匿名性，決定了其未來(lái)會(huì)對(duì)金融和經(jīng)濟(jì)帶來(lái)巨大的影響[7]。而區(qū)塊鏈的典型應(yīng)用之一就是在線身份驗(yàn)證，其相比傳統(tǒng)中心化的PKI電子認(rèn)證方式，其優(yōu)勢(shì)有三點(diǎn)。一是身份信息更難篡改，每個(gè)人一出生便會(huì)形成自己的數(shù)字身份信息，同時(shí)得到一個(gè)公鑰和一個(gè)私鑰，利用時(shí)間戳技術(shù)形成區(qū)塊鏈，在共識(shí)機(jī)制保證下，數(shù)據(jù)篡改極為困難。二是系統(tǒng)信息分布式存放，系統(tǒng)上的所有節(jié)點(diǎn)均可下載存放最新、最全的身份認(rèn)證信息。從此以后，人們不必再隨時(shí)攜帶自己的身份證，只需要通過(guò)公鑰證明“我是我”，通過(guò)私鑰自由管理自己的身份信息。三是激勵(lì)機(jī)制的存在促使用戶積極維護(hù)整個(gè)區(qū)塊鏈，保證系統(tǒng)長(zhǎng)期良性運(yùn)作，系統(tǒng)穩(wěn)定性更高、維護(hù)成本更低[8-11]。

目前，已經(jīng)有部分區(qū)塊鏈身份認(rèn)證和電子存證產(chǎn)品面世，如2017年區(qū)塊鏈企業(yè)ShoCard與航空服務(wù)商SITA合作開(kāi)發(fā)了SITA Digital Traveler Identity App的身份認(rèn)證應(yīng)用。該應(yīng)用融合了基于區(qū)塊鏈的數(shù)據(jù)和面部識(shí)別技術(shù)，致力于簡(jiǎn)化航空公司乘客身份驗(yàn)證流程，以及實(shí)現(xiàn)機(jī)場(chǎng)實(shí)時(shí)數(shù)據(jù)流。微軟宣布和Blockstack Labs、ConsenSys合作，推出基于區(qū)塊鏈技術(shù)的身份識(shí)別系統(tǒng)，實(shí)現(xiàn)人、產(chǎn)品、應(yīng)用和服務(wù)的深度交互。IBM與法國(guó)國(guó)民互助信貸銀行合作完成了一個(gè)基于區(qū)塊鏈技術(shù)的身份認(rèn)證系統(tǒng)，該系統(tǒng)采用超級(jí)賬本（Hyperledger）區(qū)塊鏈框架引導(dǎo)客戶向第三方（比如本地公共部門或零售商）提供身份證明。國(guó)內(nèi)在線合同簽署企業(yè)法大大聯(lián)合阿里云郵箱推出了基于區(qū)塊鏈技術(shù)的郵箱存證產(chǎn)品、眾簽科技與中證司法鑒定中心合作推出了“存證云”司法鑒定平臺(tái)、北京合鏈共贏科技開(kāi)發(fā)的文檔存證系統(tǒng)等，都運(yùn)用區(qū)塊鏈技術(shù)對(duì)用戶身份和文件進(jìn)行鑒別和防偽。

4 第三代身份認(rèn)證技術(shù)

第三代身份認(rèn)證技術(shù)在21世紀(jì)初移動(dòng)互聯(lián)網(wǎng)高速發(fā)展的背景下興起，主要包括人體生物特征識(shí)別技術(shù)、第三方賬號(hào)授權(quán)技術(shù)、基于大數(shù)據(jù)的用戶行為分析技術(shù)、量子加密技術(shù)、輕量級(jí)加密算法。這些技術(shù)多針對(duì)以智能手機(jī)APP應(yīng)用為代表的輕量級(jí)應(yīng)用場(chǎng)景，發(fā)展較為迅速，展現(xiàn)出勃勃生機(jī)。

4.1 人體生物特征識(shí)別技術(shù)

在當(dāng)前的研究與應(yīng)用領(lǐng)域中，生物特征識(shí)別主要關(guān)系到計(jì)算機(jī)視覺(jué)、圖像處理與模式識(shí)別、計(jì)算機(jī)聽(tīng)覺(jué)、語(yǔ)音處理、多傳感器技術(shù)、虛擬現(xiàn)實(shí)、計(jì)算機(jī)圖形學(xué)、可視化技術(shù)、計(jì)算機(jī)輔助設(shè)計(jì)、智能機(jī)器人感知系統(tǒng)等其他相關(guān)的研究，雖然生物識(shí)別技術(shù)早在20世紀(jì)60年代開(kāi)始研究，但直到近十幾年才廣泛應(yīng)用。已被用于生物識(shí)別的生物特征有手形、指紋、面部、虹膜、視網(wǎng)膜、脈搏、耳廓等，行為特征有簽字、聲音、按鍵力度等[12]。在技術(shù)研究方面，當(dāng)前研究熱點(diǎn)已經(jīng)由單一生物特征轉(zhuǎn)向多生物特征融合。

國(guó)際上，國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）已經(jīng)聯(lián)合公布了《信息技術(shù)—生物特征—多模態(tài)和其他多生物特征融合》（ISO/IECTR24722∶2007）標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)不但包含了對(duì)多模態(tài)和多生物特征融合做法的描述和分析，它還研討了需求、可能的路徑和標(biāo)準(zhǔn)化來(lái)支持多生物特征識(shí)別系統(tǒng)，以提高其通用性和實(shí)用性。國(guó)內(nèi)，由清華大學(xué)丁曉青教授組研制的TH-ID系統(tǒng)多模式生物特征（人臉、筆跡、簽字、虹膜）身份認(rèn)證識(shí)別系統(tǒng)已通過(guò)教育部組織的專家鑒定。該系統(tǒng)能夠?qū)崿F(xiàn)在復(fù)雜背景下的圖像和視頻人臉自動(dòng)檢測(cè)、識(shí)別和認(rèn)證，在人臉、筆跡、簽字、虹膜的識(shí)別認(rèn)證技術(shù)上取得了重要進(jìn)展，在整體上達(dá)到了國(guó)際領(lǐng)先水平。

在商業(yè)應(yīng)用推廣方面，目前最為成熟的是指紋識(shí)別和面部識(shí)別。在指紋識(shí)別方面，北大高科等對(duì)指紋識(shí)別技術(shù)的研究開(kāi)發(fā)國(guó)際先進(jìn)水平，已推出多款產(chǎn)品。漢王科技公司在一對(duì)多指紋識(shí)別算法上取得重大進(jìn)展，達(dá)到的性能指標(biāo)中拒識(shí)率小于0.1%，誤識(shí)率小于0.0001%，居國(guó)際先進(jìn)水平；2014年蘋果公司在iPhone5s上首次集成Touch ID指紋識(shí)別組件，目前已經(jīng)升級(jí)為2.0版本，識(shí)別精度超過(guò)同類產(chǎn)品。在面部識(shí)別方面，2017年蘋果公司在iPhoneX上首次集成商用化Face ID面部識(shí)別組件，搭載環(huán)境光傳感器、距離感應(yīng)器，還集成了紅外鏡頭、泛光感應(yīng)元件(Flood Camera)和點(diǎn)陣投影器，多種配置共同搭建用戶3D 臉部模型。

在實(shí)際應(yīng)用中，生物識(shí)別功能和FIDO技術(shù)結(jié)合較為緊密，主流千元級(jí)智能手機(jī)一般都搭載生物識(shí)別模塊（指紋識(shí)別和攝像頭），隨著智能手機(jī)處理器運(yùn)算能力和生物識(shí)別模塊識(shí)別精度的進(jìn)一步提高，生物識(shí)別技術(shù)的應(yīng)用將更加廣泛。

4.2 用戶行為分析技術(shù)

該技術(shù)在2012年之后開(kāi)始應(yīng)用，主要應(yīng)用場(chǎng)景是電商領(lǐng)域，其基本思想是:一個(gè)固定用戶的購(gòu)物行為總是遵循一定的習(xí)慣,在購(gòu)物站點(diǎn)上則表現(xiàn)為操作中存在的規(guī)律性。身份驗(yàn)證正是通過(guò)對(duì)顧客的消費(fèi)習(xí)慣、瀏覽習(xí)慣甚至在購(gòu)物站點(diǎn)的操作習(xí)慣來(lái)判斷顧客是否為竊用者。該技術(shù)要求系統(tǒng)數(shù)據(jù)庫(kù)跟蹤記錄每個(gè)用戶的歷史行為,并按照一定的算法從中抽取規(guī)律,建立用戶行為模型,當(dāng)用戶突然改變他們的行為習(xí)慣時(shí),這種異常就會(huì)被檢測(cè)出來(lái)。因此,該技術(shù)也可以歸為網(wǎng)絡(luò)入侵檢測(cè)中的審計(jì)統(tǒng)計(jì)模型。

基于審計(jì)信息的攻擊檢測(cè)方法是在證據(jù)模型和跟蹤用戶行為的基礎(chǔ)上建立起來(lái)的。由審計(jì)系統(tǒng)實(shí)時(shí)的檢測(cè)用戶對(duì)系統(tǒng)的使用情況,根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè)。當(dāng)發(fā)現(xiàn)有可疑的行為發(fā)生時(shí),保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為。系統(tǒng)要求根據(jù)每個(gè)用戶以前的歷史行為,生成每個(gè)用戶的歷史行為記錄庫(kù),當(dāng)用戶改變他們的行為習(xí)慣時(shí),這種異常就會(huì)被檢測(cè)出來(lái)。

目前國(guó)外已有多個(gè)用戶行為分析產(chǎn)品商業(yè)化，如美國(guó)Heap、Trak公司的產(chǎn)品可以實(shí)時(shí)實(shí)現(xiàn)用戶全程操作行為記錄，一旦發(fā)現(xiàn)異?？梢赃M(jìn)行自動(dòng)郵件提醒。Mouseflow公司的產(chǎn)品可以通過(guò)記錄用戶鼠標(biāo)歷史軌跡進(jìn)而對(duì)用戶操作進(jìn)行分析。國(guó)內(nèi)阿里巴巴和騰訊通過(guò)淘寶、天貓、QQ、微信等應(yīng)用積累了大量用戶行為數(shù)據(jù)，并提取了上萬(wàn)個(gè)行為維度，通過(guò)建立自學(xué)習(xí)的風(fēng)險(xiǎn)控制引擎（Risk Engine）實(shí)現(xiàn)對(duì)用戶異常行為（可疑登錄、轉(zhuǎn)賬）的質(zhì)疑和阻止[13,14]。

4.3 量子加密和輕量級(jí)加密算法

量子加密技術(shù)重點(diǎn)解決的是密鑰分發(fā)問(wèn)題。其基于量子力學(xué)開(kāi)發(fā)，如果有人試圖攔截加密的內(nèi)容，查看這個(gè)加密內(nèi)容的行為將會(huì)改變內(nèi)容。入侵者不但無(wú)法獲得加密的內(nèi)容，而且授權(quán)人員會(huì)知道有人試圖獲取或篡改內(nèi)容。目前主流發(fā)達(dá)國(guó)家都在進(jìn)行量子加密前沿研究，英國(guó)、瑞士均已經(jīng)實(shí)現(xiàn)基于BB84方案的30km距離的量子密鑰分發(fā)實(shí)驗(yàn)。美國(guó)LosAlamos實(shí)驗(yàn)室已經(jīng)進(jìn)行基于B92方案的48km量子密鑰傳送。

2016年8月，我國(guó)發(fā)射了首顆量子科學(xué)試驗(yàn)衛(wèi)星“墨子號(hào)”，得益于量子保密通信絕對(duì)安全性，量子通信不僅應(yīng)用于百姓日常通信，也可用于水、電、煤氣等能源供給和民生網(wǎng)絡(luò)基礎(chǔ)設(shè)施的通信保障，還可應(yīng)用于國(guó)防、金融、商業(yè)等領(lǐng)域，勢(shì)必對(duì)產(chǎn)業(yè)界和科技界產(chǎn)生巨大變革。

在輕量級(jí)加密算法研制方面，歐美等國(guó)正積極研制針對(duì)RFID訪問(wèn)控制、電子護(hù)照身份識(shí)別的專用壓縮算法，重點(diǎn)解決在計(jì)算能力、存儲(chǔ)能力、能量密度等硬件極度受限情況下的傳統(tǒng)密碼算法應(yīng)用難題。未來(lái)，隨著云計(jì)算和物聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，量子加密和輕量級(jí)加密算法在身份認(rèn)證中的應(yīng)用會(huì)逐漸展開(kāi)[15,16]。

5 結(jié)束語(yǔ)

（1）隨著網(wǎng)絡(luò)空間安全形勢(shì)的日趨復(fù)雜，簡(jiǎn)單的靜態(tài)口令身份認(rèn)證方式已經(jīng)不能滿足人們的生活、工作需要，人們急需適應(yīng)當(dāng)前移動(dòng)互聯(lián)網(wǎng)應(yīng)用形勢(shì)下的安全可靠易用的身份認(rèn)證技術(shù)[17,18]。

（2）網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)的演進(jìn)，除受技術(shù)發(fā)展本身的制約外，還受到一國(guó)國(guó)情、法律政策、民眾習(xí)慣等多種非技術(shù)因素影響。

（3）不同的身份認(rèn)證技術(shù)要與應(yīng)用場(chǎng)景相匹配，不合適的匹配輕則降低效率、造成不好的用戶體驗(yàn)，重則導(dǎo)致業(yè)務(wù)安全風(fēng)險(xiǎn)和個(gè)人業(yè)務(wù)信息泄露。