網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)問題研究

宋憲榮 張猛

摘 要：網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)是信息安全的核心技術(shù)之一，其任務(wù)是識別、驗證網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)中用戶身份的合法性和真實性以及線上身份和線下身份的一致性。首先明確了網(wǎng)絡(luò)可信身份的內(nèi)涵和分類。其次從網(wǎng)絡(luò)可信身份技術(shù)應(yīng)用中存在問題入手，對生物識別技術(shù)、數(shù)字證書技術(shù)、FIDO技術(shù)、大數(shù)據(jù)行為分析技術(shù)、區(qū)塊鏈技術(shù)等主流和新興的身份認(rèn)證技術(shù)進(jìn)行了梳理分析，并從抗抵賴性、安全性、易用性、成熟度、用戶使用成本等五個維度對各類認(rèn)證技術(shù)進(jìn)行評價。最后給出身份認(rèn)證技術(shù)的發(fā)展趨勢和結(jié)論。

關(guān)鍵詞：網(wǎng)絡(luò)可信身份；身份認(rèn)證技術(shù)； 生物識別技術(shù)；FIDO；大數(shù)據(jù)分析；區(qū)塊鏈

中圖分類號：TP302 文獻(xiàn)標(biāo)識碼：A

1 引言

當(dāng)前公民的行為空間已經(jīng)從線下的實體社會向線上的網(wǎng)絡(luò)空間延伸，隨著人們對網(wǎng)絡(luò)空間的依賴度越來越高，網(wǎng)絡(luò)空間中信息交流和互動越來越多，網(wǎng)絡(luò)已經(jīng)成為推動社會發(fā)展的重要工具，網(wǎng)絡(luò)空間也已經(jīng)成為繼陸、海、空、天之后的“第五疆域”。但是，網(wǎng)絡(luò)空間高速發(fā)展的同時也面臨著網(wǎng)絡(luò)主體身份難以確認(rèn)，網(wǎng)絡(luò)資源非授權(quán)訪問等日益突出的網(wǎng)絡(luò)安全問題。從國家治理角度看，國家對網(wǎng)絡(luò)空間具有主權(quán)，對于網(wǎng)絡(luò)主體行為狀況應(yīng)當(dāng)有全面的感知，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)身份的認(rèn)證和網(wǎng)絡(luò)行為的追溯，有利于構(gòu)建現(xiàn)代化的國家治理體系。從經(jīng)濟(jì)社會發(fā)展角度看，網(wǎng)絡(luò)信息技術(shù)在經(jīng)濟(jì)社會各領(lǐng)域的創(chuàng)新應(yīng)用，加快了電子政務(wù)、電子商務(wù)等信息化服務(wù)普及，識別信息化服務(wù)對象的身份，建立網(wǎng)絡(luò)可信身份，是老百姓享受各項信息服務(wù)的前提和基礎(chǔ)，是數(shù)字經(jīng)濟(jì)發(fā)展的必然要求[1]。

網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)（以下簡稱“身份認(rèn)證技術(shù)”）是網(wǎng)絡(luò)可信身份建設(shè)的技術(shù)基礎(chǔ)和重要保障，其目的是為了解決“線上身份”和“線下身份”的統(tǒng)一。隨著當(dāng)前社會的快速發(fā)展，網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)在應(yīng)用過程中面臨六大問題與挑戰(zhàn)：一是網(wǎng)絡(luò)可信身份內(nèi)涵不清、技術(shù)研究與應(yīng)用脫節(jié)問題；二是網(wǎng)絡(luò)空間身份標(biāo)識與公民法定身份在網(wǎng)絡(luò)空間的映射與綁定安全問題；三是不同網(wǎng)絡(luò)身份認(rèn)證平臺的互聯(lián)互通互信問題；四是移動應(yīng)用場景下的可信身份認(rèn)證問題；五是與身份認(rèn)證相關(guān)的個人隱私泄露問題；六是移動互聯(lián)網(wǎng)、云計算環(huán)境下公鑰密碼證書的應(yīng)用及安全問題。為了解決這些問題，各類新型身份認(rèn)證技術(shù)不斷涌現(xiàn)，推動網(wǎng)絡(luò)可信身份服務(wù)不斷發(fā)展。

2.相關(guān)技術(shù)問題研究

2.1網(wǎng)絡(luò)可信身份的內(nèi)涵與范疇

目前，學(xué)術(shù)界和產(chǎn)業(yè)界對網(wǎng)絡(luò)身份認(rèn)證的定義還是非常明確的：“身份認(rèn)證是指在網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)中確認(rèn)操作者真實身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權(quán)限。身份認(rèn)證技術(shù)則是確認(rèn)操作者真實身份過程中使用的方法或手段。”但必須明確，用戶通過用戶身份認(rèn)證與用戶身份可信沒有絕對必然的關(guān)系。例如，用戶B使用用戶A的論壇賬號密碼登錄，雖然用戶B通過了身份認(rèn)證，但用戶B的身份是不可信的；再如，部分網(wǎng)上論壇服務(wù)使用的賬號不與用戶線下身份進(jìn)行掛鉤，這種身份也是不可信的。

針對“網(wǎng)絡(luò)可信身份”，學(xué)術(shù)界和產(chǎn)業(yè)界尚無統(tǒng)一定義。本研究嘗試給出如下定義：“網(wǎng)絡(luò)身份的可信包含兩層含義：一是通過網(wǎng)絡(luò)身份憑證與現(xiàn)實個體法定身份信息的綁定，實現(xiàn)網(wǎng)絡(luò)主體現(xiàn)實身份真實性認(rèn)證和追溯；二是通過生物特征識別、大數(shù)據(jù)行為分析等技術(shù)，確保網(wǎng)絡(luò)行為的主體就是擁有法定身份信息的現(xiàn)實個體?，F(xiàn)實主體可以根據(jù)網(wǎng)絡(luò)空間中不同業(yè)務(wù)類型、應(yīng)用場景、安全要求具有多種不同的網(wǎng)絡(luò)身份憑證，只有能通過網(wǎng)絡(luò)身份憑證實現(xiàn)對網(wǎng)絡(luò)主體現(xiàn)實身份真實性認(rèn)證和追溯的網(wǎng)絡(luò)身份才是網(wǎng)絡(luò)可信身份，一般在電子政務(wù)等高安全等級業(yè)務(wù)中應(yīng)用；在不需要身份追溯的應(yīng)用中使用的網(wǎng)絡(luò)身份不是網(wǎng)絡(luò)可信身份，如一般網(wǎng)上信息的匿名瀏覽等。網(wǎng)絡(luò)可信身份在簽發(fā)、撤銷、掛起、恢復(fù)、應(yīng)用、服務(wù)和評價等全生命周期過程中其真實性可以得到有效的管理和控制，是國家進(jìn)行網(wǎng)絡(luò)空間治理的基礎(chǔ)?！备鶕?jù)該定義，我們可以把用戶身份劃分為三大層級：法定信任基礎(chǔ)級、第三方作證級和業(yè)務(wù)憑證級。

法定信任基礎(chǔ)級又稱法定網(wǎng)絡(luò)身份或權(quán)威身份，該身份綁定國家賦予主體的法定真實身份，自然人可以用法定身份證件，如身份證、護(hù)照、社保卡等綁定。法定網(wǎng)絡(luò)身份是網(wǎng)絡(luò)空間主體身份的可信源點，其相關(guān)基礎(chǔ)設(shè)施由國家建設(shè)和管理，長期穩(wěn)定不變，其載體需要極高的安全保證，這種身份可以直接追溯到現(xiàn)實主體。

第三方作證級又稱高可信網(wǎng)絡(luò)身份或關(guān)聯(lián)身份，該身份綁定政府部門或商業(yè)機構(gòu)賦予用戶的由法定身份衍生憑證。銀行賬號、數(shù)字證書、手機號碼是由政府監(jiān)管下的第三方商業(yè)機構(gòu)簽發(fā)，在申請過程中一般要求與使用主體的法定身份證件或權(quán)威證件關(guān)聯(lián)，具備有效抵抗篡改、盜用、竊取等威脅的能力，由可靠的安全技術(shù)和嚴(yán)謹(jǐn)?shù)墓芾砹鞒瘫Ｕ希话憧梢宰匪莸缴鐣黧w。該身份存續(xù)期較長，在存續(xù)期內(nèi)，載體可以更換。

業(yè)務(wù)憑證級又稱社交身份，社交身份綁定商業(yè)機構(gòu)、社交場所賦予主體的網(wǎng)絡(luò)屬性。主體的網(wǎng)絡(luò)屬性可以是網(wǎng)站賬號、電子郵箱、URI、信用值等。當(dāng)網(wǎng)絡(luò)屬性關(guān)聯(lián)到法定證件或法定證件衍生憑證時，這類可信身份可以追溯其社會主體；當(dāng)無關(guān)聯(lián)時，可以通過主體的網(wǎng)絡(luò)行為和商業(yè)信譽證明其身份可信程度，不需要知道主體的真實身份，只需要知道主體能干什么。此類可信身份形式上更加多樣，很好地滿足網(wǎng)絡(luò)社交和網(wǎng)絡(luò)業(yè)務(wù)多樣化需求。

三類身份中，法定信任基礎(chǔ)級、第三方作證級和關(guān)聯(lián)法定證件的業(yè)務(wù)憑證級是網(wǎng)絡(luò)可信身份，其他的身份應(yīng)用不屬于網(wǎng)絡(luò)可信身份。理清網(wǎng)絡(luò)可信身份概念是發(fā)展可信身份認(rèn)證技術(shù)的基礎(chǔ)和關(guān)鍵，對研究不同應(yīng)用場景下的身份認(rèn)證技術(shù)具有重要意義。

2.2 網(wǎng)絡(luò)空間身份標(biāo)識與公民法定身份的映射與綁定

網(wǎng)絡(luò)可信身份要求實現(xiàn)網(wǎng)絡(luò)主體現(xiàn)實身份真實性認(rèn)證和追溯，這就要求公民“線上身份”和“線下身份”進(jìn)行綁定。在這方面，我國經(jīng)歷了兩個階段的探索。

第一階段即“網(wǎng)絡(luò)實名制”，實名制要求用戶在辦理某項業(yè)務(wù)時提供個人真實的身份信息，重點是留存資料備查。實名制推出后確實遏制住一部分網(wǎng)絡(luò)暴力犯罪，但是留存用戶實名資料的網(wǎng)絡(luò)服務(wù)提供商安全防護(hù)能力千差萬別，身份資料信息泄露情況較為嚴(yán)峻，如此前的社保信息泄露事件、12306信息泄露事件、京東信息泄漏事件等。韓國此前在忽視公民隱私保護(hù)的情況下，強推網(wǎng)絡(luò)實名制以打擊網(wǎng)絡(luò)暴力犯罪，導(dǎo)致全國70%以上國民身份信息泄露，最后網(wǎng)絡(luò)實名制以失敗告終。

第二階段是以技術(shù)手段實現(xiàn)身份的“前端匿名，后端實名”，公民身份信息不在互聯(lián)網(wǎng)上傳輸。代表方案是公安部第一研究所于2013年提出的“基于二代身份證的網(wǎng)上身份證副本”技術(shù)。二代證網(wǎng)上副本是居民身份證在網(wǎng)絡(luò)上的一種數(shù)字存在形式，依托于公安部的全國人口信息庫和居民辦理二代身份證時留下來的信息，將身份證登記項目（姓名、身份證號碼、有效期限等）作為要素進(jìn)行數(shù)字映射，并賦予唯一編號，生成一個終身唯一編號的身份證網(wǎng)上副本，使用過程中網(wǎng)絡(luò)不傳輸二代證信息，只對DN號進(jìn)行驗證，防止個人信息泄露。由于該方案立足身份證現(xiàn)有條件及成熟技術(shù)，遵循身份證現(xiàn)有安全體制和管理規(guī)則，不在網(wǎng)絡(luò)上傳輸身份證信息，應(yīng)用前景較大。目前該方案仍在試點當(dāng)中，缺乏“殺手級應(yīng)用”，公民若在家使用還需要采購身份證讀卡器和攝像頭。此外該方案不支持社會上尚未完全退出流通的一代證。至于其他身份認(rèn)證方案，如手機號實名認(rèn)證、數(shù)字證書認(rèn)證都是間接進(jìn)行身份證號的綁定。

2.3 不同網(wǎng)絡(luò)身份認(rèn)證平臺的互聯(lián)互通互信

目前，公安、工商、稅務(wù)、質(zhì)檢、人社、銀行等部門的居民身份證、營業(yè)執(zhí)照、組織機構(gòu)代碼證、社?？?、銀行卡等基礎(chǔ)可信身份資源數(shù)據(jù)庫還未實現(xiàn)互通共享，且缺少護(hù)照、臺胞證、駕駛證等有效證件的對比數(shù)據(jù)源，導(dǎo)致數(shù)據(jù)核查成本較高、效率低；現(xiàn)有的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)基本上由各部門、各行業(yè)自行規(guī)劃建設(shè)，各系統(tǒng)各自為戰(zhàn)，網(wǎng)絡(luò)身份重復(fù)認(rèn)證問題突出，并且“地方保護(hù)”“條塊分割”現(xiàn)象嚴(yán)重，阻礙了網(wǎng)絡(luò)可信身份服務(wù)的快速發(fā)展。

針對這種問題，目前主要有兩種解決思路。第一種是建立第三方綜合性的可信身份服務(wù)平臺，由平臺與公安、工商、電信運營商等權(quán)威認(rèn)證源對接進(jìn)行實名驗證，為用戶提供跨系統(tǒng)、跨平臺的可信身份認(rèn)證服務(wù)，平臺作為可信第三方不存儲用戶信息，僅提供相關(guān)應(yīng)用接口。第二種則由權(quán)威第三方直接建立相關(guān)身份數(shù)據(jù)庫，并向其他應(yīng)用依賴方提供登錄授權(quán)服務(wù)。這種服務(wù)本質(zhì)上是采用OpenID和OAuth結(jié)合的互聯(lián)互通的身份服務(wù)和授權(quán)登錄技術(shù)。用戶在使用QQ或微信號登錄第三方網(wǎng)站（如京東商城）的時候，騰訊使用OpenID技術(shù)，充當(dāng)OpenID身份提供商，為用戶提供身份認(rèn)證服務(wù)。而當(dāng)用戶使用第三方應(yīng)用需要使用在QQ或微信中的數(shù)據(jù)的時候，騰訊則在后臺使用OAuth的體系架構(gòu)，支持用戶通過第三方應(yīng)用上獲取自身在QQ或微信上的信息。

兩種方案各有優(yōu)缺點，第一種方案建設(shè)周期快，但本質(zhì)上并沒有改變身份認(rèn)證資源重復(fù)建設(shè)的問題；第二種方案的難點在于建立專門的可信第三方身份數(shù)據(jù)庫。目前，公安部的人口數(shù)據(jù)庫雖然信息最全，但由于安全保護(hù)原因，尚不能對公眾和依賴方開放；而騰訊、阿里巴巴、新浪微博等基于自身用戶群建立的數(shù)據(jù)庫尚不是法律意義的可信數(shù)據(jù)庫，只能滿足用戶的普通社交需求。隨著國家對網(wǎng)絡(luò)可信身份服務(wù)體系建設(shè)的日益重視，身份認(rèn)證平臺資源的互認(rèn)互通互信將是一大趨勢。

2.4 移動應(yīng)用場景下的可信身份認(rèn)證

伴隨著智能手機的快速普及，移動應(yīng)用場景已經(jīng)成為當(dāng)前最重要的應(yīng)用場景之一。移動應(yīng)用環(huán)境最大的特點是便利性。而安全和便利天然是一對矛盾體，因此移動應(yīng)用場景下的進(jìn)行安全可信的身份認(rèn)證便成為一大難題。目前，可在移動應(yīng)用場景下應(yīng)用的身份認(rèn)證技術(shù)研究進(jìn)展有幾項。

（1）生物識別技術(shù)

生物識別技術(shù)是指通過計算機與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計學(xué)原理等高科技手段密切結(jié)合，利用人體固有的生理特性（如指紋、面容、虹膜、掌紋、靜脈紋等）和行為特征（如筆跡、聲音、步態(tài)等）來進(jìn)行個人身份的鑒定。生物特征按照身份認(rèn)證技術(shù)三要素分類屬于“持有什么特征”，其唯一性和終身穩(wěn)定性成為天然的身份認(rèn)證要素。

近10年來，隨著傳感器精度、CPU運算能力的不斷提高和高精度生物識別數(shù)學(xué)模型的不斷涌現(xiàn)，生物識別技術(shù)發(fā)展極其迅速，從早期的指紋、面容、虹膜、筆跡、步態(tài)識別擴(kuò)展至DNA、紅外臉溫譜、耳形、顱骨、牙型等二十余種生物特征。在技術(shù)研究方面，當(dāng)前研究熱點已經(jīng)由單一生物特征轉(zhuǎn)向多生物特征融合。國際上，國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）已經(jīng)聯(lián)合公布了《信息技術(shù)-生物特征-多模態(tài)和其他多生物特征融合》（ISO/IECTR24722∶2007）標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)不但包含了對多模態(tài)和多生物特征融合做法的描述和分析，它還研討了需求、可能的路徑和標(biāo)準(zhǔn)化來支持多生物特征識別系統(tǒng)，以提高其通用性和實用性。

國內(nèi)，由清華大學(xué)丁曉青教授組研制的TH-ID系統(tǒng)多模式生物特征（人臉、筆跡、簽字、虹膜）身份認(rèn)證識別系統(tǒng)已通過教育部組織的專家鑒定。該系統(tǒng)能夠?qū)崿F(xiàn)在復(fù)雜背景下的圖像和視頻人臉自動檢測、識別和認(rèn)證，在人臉、筆跡、簽字、虹膜的識別認(rèn)證技術(shù)上取得了重要進(jìn)展，在整體上達(dá)到了國際領(lǐng)先水平。

在商業(yè)應(yīng)用推廣方面，目前最為成熟的是指紋識別和面部設(shè)別。在指紋識別方面，北大高科等對指紋識別技術(shù)的研究開發(fā)國際先進(jìn)水平，已推出多款產(chǎn)品；漢王科技公司在一對多指紋識別算法上取得重大進(jìn)展，達(dá)到的性能指標(biāo)中拒識率小于0.1%，誤識率小于0.0001%，居國際先進(jìn)水平。2014年蘋果公司在iPhone5s上首次集成Touch ID指紋識別組件，掃描手指的真皮層指紋，目前已經(jīng)升級為2.0版本，識別精度超過同類產(chǎn)品。在面部識別方面，2017年蘋果公司在iPhoneX上首次集成商用化Face ID面部識別組件，搭載環(huán)境光傳感器、距離感應(yīng)器，還集成了TrueDepth紅外鏡頭、泛光感應(yīng)元件（Flood Camera）和點陣投影器，最后由A11處理器對用戶面部形成的3萬多個紅外點進(jìn)行超高精度三維建模。

在實際應(yīng)用中，生物識別功能和FIDO技術(shù)結(jié)合較為緊密，主流千元級智能手機一般都搭載生物識別模塊（指紋識別和攝像頭），隨著智能手機處理器運算能力和生物識別模塊識別精度的進(jìn)一步提高，生物識別技術(shù)的應(yīng)用將更加廣泛[1-4]。在安全風(fēng)險方面，生物識別技術(shù)被攻破的概率較傳統(tǒng)的靜態(tài)口令低，但值得注意的是需要防范“指?！薄澳樐！焙汀罢掌惫簦壳吧锾卣髯R別數(shù)學(xué)模型通過不斷優(yōu)化升級可以抵御相關(guān)攻擊，安全性極高。

（2）FIDO技術(shù)

FIDO線上快速身份驗證標(biāo)準(zhǔn)（以下簡稱FIDO標(biāo)準(zhǔn)）是由FIDO聯(lián)盟（Fast Identity Online Alliance）提出的一個開放的標(biāo)準(zhǔn)協(xié)議。FIDO協(xié)議提供U2F和UAF兩種版本，其中U2F協(xié)議兼容現(xiàn)有密碼驗證體系，在用戶進(jìn)行高安全屬性的在線操作時，其需提供一個符合U2F協(xié)議的驗證設(shè)備作為第二身份驗證因素。UAF則充分地吸收了移動智能設(shè)備所具有的新技術(shù)，在需要驗證身份時，智能設(shè)備利用生物識別技術(shù)（如指紋識別、面部識別、虹膜識別等）取得用戶授權(quán)，然后通過非對稱加密技術(shù)生成加密的認(rèn)證數(shù)據(jù)供后臺服務(wù)器進(jìn)行用戶身份驗證操作。目前，谷歌公司已經(jīng)開發(fā)出支

持U2F身份認(rèn)證的Security Key，該裝置配合Chrome瀏覽器實現(xiàn)網(wǎng)站身份的自動鑒別，當(dāng)用戶登錄的網(wǎng)站是通過驗證時，用戶無需輸入密碼，只需根據(jù)瀏覽器提示按下確認(rèn)即可，若網(wǎng)站未通過驗證，則該裝置不會運行；聯(lián)想旗下國民認(rèn)證科技有限公司推出的基于FIDO框架的UAP統(tǒng)一身份認(rèn)證平臺，整合指紋識別和虹膜識別等功能為中國銀行、民生銀行、京東錢包等提供身份認(rèn)證服務(wù)；科技公司Egistec推出的基于FIDO框架的Yukey認(rèn)證器可以讓用戶通過指紋識別器及生物數(shù)據(jù)識別腕帶進(jìn)行聯(lián)合身份認(rèn)證。三星公司也在積極研發(fā)推出基于FIDO的身份認(rèn)證解決方案，其安全身份認(rèn)證框架和指紋讀取器均通過了FIDO認(rèn)證；微軟公司在Windows10中全面支持FIDO 2.0版本標(biāo)準(zhǔn)，支持此標(biāo)準(zhǔn)的設(shè)備可以具有豐富的第三方生物識別功能，如指紋識別、人臉識別、虹膜識別等，明顯地提升了系統(tǒng)安全性和易用性。此外，以螞蟻金服牽頭的IFAA和騰訊牽頭的TUSI領(lǐng)域守護(hù)計劃與FIDO方案本質(zhì)相同，只是市場定位不同，在此不再展開。

（3）基于大數(shù)據(jù)行為分析的隱式認(rèn)證技術(shù)

隱式認(rèn)證一般指認(rèn)證前臺無需用戶主動參與，由后臺業(yè)務(wù)系統(tǒng)根據(jù)用戶行為表現(xiàn)進(jìn)行分析，將分析結(jié)果與系統(tǒng)中預(yù)設(shè)用戶正常行為模型進(jìn)行匹配的認(rèn)證技術(shù)，該技術(shù)正常情況下對用戶處于隱蔽狀態(tài)。而傳統(tǒng)的身份認(rèn)證多是在身份認(rèn)證過程中要求用戶主動提供登錄憑證（如賬號+口令、USB Key、指紋、短信驗證碼），后臺核驗通過后，準(zhǔn)許該用戶登錄。這種方式存在一種缺陷：當(dāng)用戶完成校驗登錄后，系統(tǒng)后續(xù)不再對用戶進(jìn)行持續(xù)的身份認(rèn)證。部分高級系統(tǒng)或設(shè)定一個用戶無動作時間閾值，待用戶無動作超時后強制用戶重新登錄。這種傳統(tǒng)的身份認(rèn)證方式無法應(yīng)對身份冒用攻擊。隨著大數(shù)據(jù)技術(shù)的快速發(fā)展，隱式認(rèn)證技術(shù)成為當(dāng)前研究的一大熱點，通過對用戶正常行為（如鼠標(biāo)軌跡、鍵盤敲擊力度、登錄IP統(tǒng)計、GPS位置統(tǒng)計等）進(jìn)行建模，業(yè)務(wù)系統(tǒng)一旦發(fā)現(xiàn)用戶行為出現(xiàn)異常，則根據(jù)行為異常等級進(jìn)行適度挑戰(zhàn)或者直接拒絕訪問[5]。

目前，國外已有多個用戶行為分析產(chǎn)品商業(yè)化，如美國Heap、Trak公司的產(chǎn)品可以實時實現(xiàn)用戶全程操作行為記錄，一旦發(fā)現(xiàn)異常可以進(jìn)行自動郵件提醒；Mouseflow公司的產(chǎn)品可以通過記錄用戶鼠標(biāo)歷史軌跡進(jìn)而對用戶操作進(jìn)行分析。國內(nèi)阿里巴巴和騰訊通過淘寶、天貓、QQ、微信等應(yīng)用積累了大量用戶行為數(shù)據(jù)，并提取了上萬個行為維度，利用大數(shù)據(jù)的風(fēng)險識別可以對用戶行為進(jìn)行有效分析，從而對用戶進(jìn)行精準(zhǔn)的分類分層，可實時判斷每一個用戶的認(rèn)證動機，對不同風(fēng)險等級的用戶采取不同的認(rèn)證方式，保障正常用戶的快捷體驗，而風(fēng)險用戶則無法簡單的通過盜用他人信息通過認(rèn)證。通過建立自學(xué)習(xí)的風(fēng)險控制引擎（Risk Engine）實現(xiàn)對用戶異常行為（可疑登錄、轉(zhuǎn)賬）的預(yù)警、質(zhì)疑和阻止，對可能存在被盜或買賣的賬戶進(jìn)行二次認(rèn)證，確保身份信息持續(xù)有效[6，7]。

（4）移動數(shù)字證書技術(shù)

生物識別技術(shù)和大數(shù)據(jù)行為分析技術(shù)等解決的是身份認(rèn)證中“我是我”問題，對于“我是誰”的問題，仍需要數(shù)字證書來解決。目前國內(nèi)主要有兩代產(chǎn)品：第一代移動數(shù)字證書是基于手機SIM卡載體，俗稱SIM盾，用戶的數(shù)字證書集成在專用SIM卡中，只需依賴方APP支持該SIM盾，用戶即可方便的使用其進(jìn)行身份驗證和數(shù)字簽名。該方案本質(zhì)上是傳統(tǒng)優(yōu)盾的微型化，并沒有從根本上解決傳統(tǒng)優(yōu)盾與移動互聯(lián)網(wǎng)應(yīng)用的矛盾，雖然用戶后期使用較為方便，但是前提是用戶必須前往專門的電信運營商處更換專用SIM卡。

目前國內(nèi)浦發(fā)銀行和中國移動推出過相關(guān)產(chǎn)品[8]。第二代移動數(shù)字證書一般被稱為“手機盾”，用手機實現(xiàn)傳統(tǒng)優(yōu)盾（USB Key）的全部功能，它不依賴硬件密碼芯片，用軟件實現(xiàn)可靠的密碼設(shè)備、密碼運算和CA數(shù)字證書等全部功能。為克服傳統(tǒng)文件證書對用戶私鑰保護(hù)力度不夠的問題，手機盾采用密碼分割計算技術(shù)，保證在不重現(xiàn)完整密鑰的前提下完成數(shù)字簽名、加解密等操作，從而規(guī)避密鑰被惡意程序直接跟蹤截取的風(fēng)險。此外，通過手機盾對密鑰進(jìn)行分散存儲（終端和云端），有效地解決終端密鑰的安全存儲管理問題。手機盾方案作為PKI技術(shù)應(yīng)用的最新方案，研究較為火熱，自2016年底開始陸續(xù)有相關(guān)商業(yè)化產(chǎn)品面世，截止2017年底，國內(nèi)已有4家產(chǎn)品獲得國家密碼管理局《商用密碼產(chǎn)品型號證書》，2家產(chǎn)品通過GM/T0028-2014《密碼模塊安全技術(shù)要求》二級要求。該技術(shù)目前存在的問題是，根據(jù)《密碼模塊安全技術(shù)要求》，軟件密碼模塊最高僅可達(dá)到二級要求，而傳統(tǒng)優(yōu)盾最高可達(dá)到三級以上，因此部分高安全等級業(yè)務(wù)系統(tǒng)可能不適合應(yīng)用該方案，且該技術(shù)較新，其穩(wěn)定性、可靠性、高頻交易響應(yīng)程度都有待市場檢驗[9]。

（5）短信驗證碼技術(shù)

短信驗證碼技術(shù)是由依賴方通過驗證碼接入商發(fā)送4-6位驗證碼至用戶手機，在限定時間內(nèi)由用戶輸入驗證的身份認(rèn)證方案。該方案使用極為簡便，安全性較高，但容易遭到偽基站的欺騙攻擊和惡意軟件的短信攔截攻擊。其技術(shù)已經(jīng)非常成熟，在此不再贅述。

移動應(yīng)用廠商在開發(fā)應(yīng)用身份認(rèn)證系統(tǒng)時，往往根據(jù)業(yè)務(wù)的安全需求將業(yè)務(wù)分成基礎(chǔ)級和敏感級，根據(jù)業(yè)務(wù)安全等級的不同采用上述一種或多種身份認(rèn)證技術(shù)，如，社交賬號的登錄和管理操作為基礎(chǔ)級，而對賬號關(guān)聯(lián)的金融賬戶在進(jìn)行轉(zhuǎn)賬、支付交易的操作則劃為敏感級，用戶需要進(jìn)行額外的身份挑戰(zhàn)和校驗，如校驗手機內(nèi)置數(shù)字證書、手機驗證碼、動態(tài)口令牌、指紋等生物信息、支付密碼等方式。

2.5 與身份認(rèn)證技術(shù)相關(guān)的個人隱私泄露

在隱私泄露風(fēng)險防范方面，學(xué)術(shù)界和產(chǎn)業(yè)界的研究主要關(guān)注三方面內(nèi)容：一是用戶的姓名、身份證號、住址等身份證信息泄露；二是用戶的個人生物特征泄露；三是個人行為信息泄露。針對第一點，以二代證網(wǎng)上副本技術(shù)為代表的一批身份認(rèn)證技術(shù)，由于不在互聯(lián)網(wǎng)上傳輸身份證信息，技術(shù)本身一般不會引發(fā)信息泄露。針對第二點，由于自然人個體生物特征的有限性和唯一性，一旦泄露將造成無可挽回的損失，目前相關(guān)技術(shù)標(biāo)準(zhǔn)和廠商已經(jīng)進(jìn)行了防范。如FIDO中，根據(jù)UAF協(xié)議，用戶所有的個人生物數(shù)據(jù)與私有密鑰都只存儲在用戶設(shè)備中，無需經(jīng)網(wǎng)絡(luò)傳送到網(wǎng)站服務(wù)器，而服務(wù)器只需存儲有用戶的公鑰即可完成用戶身份驗證。蘋果手機廣泛使用的TouchID，原始指紋是存在本機安全硬件Secure Enclave中，不可導(dǎo)出，該硬件中的信息只有處理器可以訪問，其他任何軟件無權(quán)訪問，保證生物特征數(shù)據(jù)不外泄。而驗證方法則是基于類似HMAC的算法。（1）服務(wù)端只需存儲用戶指紋信息Hash后的摘要值，而不存儲原始的指紋信息，因此服務(wù)器即使被入侵，也不會泄露用戶的指紋信息。（2）驗證指紋的過程中，用戶的指紋信息不會在網(wǎng)絡(luò)上傳輸，而只是傳輸指紋信息哈希后的摘要值。即使被竊取，也無法還原出原始指紋信息。并且由于 HMAC 具有的防重放攻擊特性，攻擊者也無法憑借該段摘要偽造用戶身份執(zhí)行其他操作[10-12]。對于建立中心化的國家級的生物特征數(shù)據(jù)庫，各國均持審慎態(tài)度。目前已披露的僅有印度的Aadhaar項目，該項目自2009年開始實施，截止2015年底，已對8.2億印度公民實施了生物識別數(shù)據(jù)采集（包括照片、十指指紋和虹膜掃描），同時為每個居民提供唯一的12位身份證明編號并建立關(guān)聯(lián)，據(jù)印度政府宣稱，該系統(tǒng)建有多層隔離系統(tǒng)，安全防護(hù)強度極高。針對第三點，由于部分企業(yè)在進(jìn)行身份認(rèn)證時搜集了用戶的上網(wǎng)行為、GPS位置等行為信息，企業(yè)有可能利用這些信息對用戶進(jìn)行精準(zhǔn)營銷、短信轟炸，這種隱私泄露雖然不可避免，但可以通過法律來對企業(yè)進(jìn)行約束。

2.6 云計算、移動互聯(lián)網(wǎng)環(huán)境下傳統(tǒng)數(shù)字證書的應(yīng)用及安全

傳統(tǒng)數(shù)字證書應(yīng)用歷史悠久，最為一種高安全等級的身份認(rèn)證手段，其表現(xiàn)形式多種多樣，在PC端應(yīng)用較為廣泛。常見形式有USB Key、eID卡、IC卡、支付盾、文件證書、移動證書等。但是，隨著云計算和移動互聯(lián)網(wǎng)時代的到來，傳統(tǒng)數(shù)字證書應(yīng)用也面臨著諸多挑戰(zhàn)。

一是安全性問題。近幾年來RSA1024、SHA-1等應(yīng)用于PKI電子認(rèn)證的經(jīng)典密碼接連被密碼學(xué)家破解，而這些破解無一例外借助了強大的運算能力，云計算的普及使黑客暴力破解逐漸成為現(xiàn)實。除了進(jìn)一步升級密碼強度外，研究人員也在尋找其他能用于身份認(rèn)證的技術(shù)，其中區(qū)塊鏈技術(shù)研究最為火熱，相比傳統(tǒng)中心化的PKI電子認(rèn)證方式，其優(yōu)勢有三點。

（1）身份信息更難篡改。每個人一出生便會形成自己的數(shù)字身份信息，同時得到一個公鑰和一個私鑰，利用時間戳技術(shù)形成區(qū)塊鏈，在共識機制保證下，數(shù)據(jù)篡改極為困難（51%攻擊）。

（2）系統(tǒng)信息分布式存放，系統(tǒng)上的所有節(jié)點均可下載存放最新、最全的身份認(rèn)證信息。人們不必再隨時攜帶自己的身份證，只需要通過公鑰證明“我是我”，通過私鑰自由管理自己的身份信息。

（3）激勵機制的存在促使用戶積極維護(hù)整個區(qū)塊鏈，保證系統(tǒng)長期良性運作，系統(tǒng)穩(wěn)定性更高、維護(hù)成本更低[13，14]。目前，已經(jīng)有部分區(qū)塊鏈身份認(rèn)證和電子存證產(chǎn)品面世，如2017年區(qū)塊鏈企業(yè)ShoCard與航空服務(wù)商SITA合作開發(fā)了SITA Digital Traveler Identity APP的身份認(rèn)證應(yīng)用。該應(yīng)用融合了基于區(qū)塊鏈的數(shù)據(jù)和面部識別技術(shù)，致力于簡化航空公司乘客身份驗證流程，以及實現(xiàn)機場實時數(shù)據(jù)流；微軟宣布和Blockstack Labs、ConsenSys合作，推出基于區(qū)塊鏈技術(shù)的身份識別系統(tǒng)，實現(xiàn)人、產(chǎn)品、應(yīng)用和服務(wù)的深度交互；IBM與法國國民互助信貸銀行（CréditMutuelArkéa）合作完成了一個基于區(qū)塊鏈技術(shù)的身份認(rèn)證系統(tǒng)，該系統(tǒng)采用超級賬本（Hyperledger）區(qū)塊鏈框架引導(dǎo)客戶向第三方（比如本地公共部門或零售商）提供身份證明。

國內(nèi)在線合同簽署企業(yè)法大大聯(lián)合阿里云郵箱推出了基于區(qū)塊鏈技術(shù)的郵箱存證產(chǎn)品、眾簽科技與中證司法鑒定中心合作推出了“存證云”司法鑒定平臺、北京合鏈共贏科技開發(fā)的文檔存證系統(tǒng)等都運用區(qū)塊鏈技術(shù)對用戶身份和文件進(jìn)行鑒別和防偽。

目前，利用區(qū)塊鏈技術(shù)進(jìn)行在線身份認(rèn)證尚不成熟，具有可操作意義的商業(yè)化應(yīng)用較少，但該方案技術(shù)優(yōu)勢明顯，發(fā)展?jié)摿O大[15-17]。

二是證書管理復(fù)雜。傳統(tǒng)PKI技術(shù)存在需要大量交換數(shù)字證書的問題，證書管理和交換十分繁瑣。1984年以色列密碼學(xué)家Shamir提出IBC（Identity-Based Cryptograph，基于標(biāo)識的密碼）體系。該體系是在傳統(tǒng)的PKI體系基礎(chǔ)上發(fā)展而來，除了保有PKI體系的技術(shù)優(yōu)點外，主要解決了在具體安全應(yīng)用中PKI體系需要大量交換數(shù)字證書的問題，使安全應(yīng)用更加易于部署和使用。IBC體系不再依賴數(shù)字證書和證書管理系統(tǒng)，簡化了密鑰和證書管理的復(fù)雜性。在PKI體系中，需要為每一個用戶創(chuàng)建和維護(hù)一張數(shù)字證書，這些與證書相關(guān)的密鑰要不斷更新，舊密鑰和舊證書還不能立刻丟棄，需要進(jìn)行歸檔，人員離開后就要撤銷相關(guān)的證書放入撤銷列表，因此撤銷列表也需要不斷發(fā)布、更新和維護(hù)。這種管理體系十分復(fù)雜。在IBC體系中，可以使用用戶唯一標(biāo)識（比如郵箱地址）+主密鑰+公共參數(shù)代替發(fā)放給用戶的證書，通過每個人的郵箱地址結(jié)合主密鑰和公共參數(shù)就可以為每個用戶創(chuàng)建唯一的私鑰，管理員只需要管理主密鑰+公共參數(shù)即可，這樣就極大地簡化了密鑰的管理，IBC體系中的密鑰管理只包括密鑰產(chǎn)生和密鑰更新[18，19]。

IBC體系雖然解決了PKI體系中復(fù)雜的證書管理問題，但也面臨著私鑰管理等問題的挑戰(zhàn)?；贗BC的密碼系統(tǒng)（如SM9）雖然無需再管理數(shù)字證書，但是其歸根結(jié)底是屬于非對稱密碼算法的，系統(tǒng)的安全性仍然由私鑰的安全性來決定。私鑰存儲介質(zhì)的問題無法回避：在IBC體系中，用戶私鑰雖然是在中央的密鑰服務(wù)器生成的，但是從用戶可控角度來講，其私鑰仍然要下發(fā)給用戶本人保存，如果用戶本人沒有安全的密鑰存儲介質(zhì)，整個安全體系的安全性還是無從談起，這與PKI體系遇到的問題是完全一樣的。所以，即使在基于IBC的密碼系統(tǒng)中，用戶私鑰的安全存儲介質(zhì)依然是必須要解決的問題。

私鑰的分發(fā)安全問題需要考慮：在標(biāo)準(zhǔn)的PKI體系中，用戶私鑰是在終端本地安全生成并存儲的，無需傳輸?shù)胶笈_，不存在私鑰在網(wǎng)絡(luò)中傳送的問題；而在IBC體系中，私鑰在中央的密鑰服務(wù)器生成，私鑰要通過網(wǎng)絡(luò)傳送給終端側(cè)，在傳輸過程中的私鑰安全如何保證成了 IBC 體系相對于 PKI 體系新衍生的問題?；谶@一點，就需要傳輸私鑰的網(wǎng)絡(luò)盡可能是內(nèi)部網(wǎng)絡(luò)以保證私鑰分發(fā)的安全，這也是IBC體系（SM9）不太適用于開放網(wǎng)絡(luò)大規(guī)模應(yīng)用的原因之一。

三是介質(zhì)問題。硬件介質(zhì)設(shè)計之初是為了保證用戶私鑰不可導(dǎo)出，但是隨著移動互聯(lián)網(wǎng)的快速發(fā)展，傳統(tǒng)USB Key無法在手機端應(yīng)用，而改良版的藍(lán)牙Key等依舊容易丟失、損壞，且一旦丟失或損壞，數(shù)字證書需要重新簽發(fā)，使用十分不便，近年來逐漸被移動數(shù)字證書所替代。

2.7 小結(jié)

本章從網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)在應(yīng)用過程中面臨六大問題與挑戰(zhàn)入手，明確了網(wǎng)絡(luò)可信身份的內(nèi)涵與外延，分析了各種不同的身份認(rèn)證技術(shù)在解決上述問題時的基本做法。以下從抗抵賴性、安全性、易用性、成熟度和用戶使用成本五個維度對本章所涉及的身份認(rèn)證技術(shù)進(jìn)行橫向?qū)Ρ?，五個維度定義見表1；劃分結(jié)果按照“高/中/低”進(jìn)行定性，結(jié)果見表2所示。

通過表2可以看出，主流的技術(shù)在關(guān)鍵的抗抵賴性和安全性上，均達(dá)到中等偏上水平。傳統(tǒng)技術(shù)經(jīng)過多年發(fā)展和改良，其成熟度較高；絕大多數(shù)新技術(shù)在安全性上有所突破但在易用性上受限于技術(shù)發(fā)展水平還不理想。

3 發(fā)展趨勢

隨著大數(shù)據(jù)、人工智能、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等技術(shù)的快速發(fā)展，網(wǎng)絡(luò)身份認(rèn)證技術(shù)演進(jìn)呈現(xiàn)出四個發(fā)展趨勢。

（1）由離線數(shù)字證書為主導(dǎo)的證書服務(wù)演化為以在線身份服務(wù)為主導(dǎo)的身份管理。傳統(tǒng)的身份認(rèn)證往往局限于數(shù)字證書服務(wù)，但隨著網(wǎng)絡(luò)社會的快速發(fā)展，公民對身份認(rèn)證的需求會逐漸擴(kuò)大到身份鑒別、行為分析、隱私保護(hù)、行為管理和行為追蹤等綜合性身份管理范圍。

（2）以靜態(tài)認(rèn)證為主導(dǎo)的身份鑒別發(fā)展為以大數(shù)據(jù)風(fēng)控為主導(dǎo)，融合多種技術(shù)的身份鑒別。傳統(tǒng)的身份認(rèn)證往往是單因素或雙因素的靜態(tài)認(rèn)證，如賬號+口令、短信驗證碼、數(shù)字證書等，但隨著云計算、人工智能等新技術(shù)的應(yīng)用，網(wǎng)絡(luò)空間身份冒用形勢空前嚴(yán)峻，靜態(tài)認(rèn)證已經(jīng)力不從心，而以大數(shù)據(jù)風(fēng)控為核心融合多種身份認(rèn)證技術(shù)的身份鑒別模式有望能應(yīng)對挑戰(zhàn)。

（3）簡單的是或否單一模式身份認(rèn)證轉(zhuǎn)變?yōu)榫哂卸嗄Ｊ蕉喟踩墑e的身份認(rèn)證。傳統(tǒng)身份認(rèn)證系統(tǒng)業(yè)務(wù)劃分粒度較粗，甚至沒有劃分。用戶一旦通過校驗便獲得全部操作權(quán)限。隨著網(wǎng)上業(yè)務(wù)系統(tǒng)功能的日趨復(fù)雜，業(yè)務(wù)操作訪問控制權(quán)限將更加細(xì)分。以在線支付系統(tǒng)為例，不同敏感程度的交易信息、不同金額的交易將對應(yīng)不同級別的身份認(rèn)證。

（4）專業(yè)化的共享共用身份管理服務(wù)逐步替代孤島隔離的分散的身份管理。身份管理邊界將逐漸被打破，逐步形成以用戶為中心的身份管理，各類身份認(rèn)證技術(shù)將逐步統(tǒng)一在一個身份管理框架體系中，目前OpenID、Oauth、SAML/FIDO/IFAA/SOTER等身份服務(wù)互聯(lián)互通標(biāo)準(zhǔn)已經(jīng)逐漸形成[20]。

4 結(jié)束語

（1）網(wǎng)絡(luò)可信身份的內(nèi)涵目前學(xué)術(shù)界和產(chǎn)業(yè)界尚未完全統(tǒng)一，其是我國網(wǎng)絡(luò)空間身份管理的理論根基，需要高度重視。

（2）現(xiàn)階段，多種網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)共生共存，大多數(shù)身份認(rèn)證技術(shù)都針對特定的應(yīng)用場景進(jìn)行了優(yōu)化，其中以移動互聯(lián)網(wǎng)應(yīng)用場景較為常見。

（3）身份認(rèn)證技術(shù)的應(yīng)用與業(yè)務(wù)的安全需求相匹配，業(yè)務(wù)安全等級越高，對身份認(rèn)證技術(shù)的要求就越高。

（4）隱私泄露問題是身份認(rèn)證技術(shù)研發(fā)考慮的重要問題之一，相關(guān)技術(shù)在研發(fā)時應(yīng)避免身份信息、生物數(shù)據(jù)在網(wǎng)上傳輸（無論是明文還是加密）。而通過大數(shù)據(jù)分析技術(shù)得到用戶隱私畫像則需要通過法律來對企業(yè)使用進(jìn)行約束。

（5）傳統(tǒng)身份認(rèn)證技術(shù)經(jīng)過多年發(fā)展和改良，其成熟度較高；絕大多數(shù)新技術(shù)在安全性上有所突破但在易用性上受限于技術(shù)發(fā)展水平還不理想。

（6）未來身份認(rèn)證技術(shù)將朝著以大數(shù)據(jù)風(fēng)控為核心、多種身份認(rèn)證技術(shù)互通融合、層次權(quán)限分明的方向發(fā)展。

參考文獻(xiàn)

[1] 曠野，閆曉麗.美國網(wǎng)絡(luò)空間可信身份戰(zhàn)略的真實意圖[J].信息安全與技術(shù)， 2012， 3（11）：3-6.

[2] 田梅靖，杜琳琳.生物特征識別專利技術(shù)綜述[J].科技展望， 2017，27（23）： 303.

[3] 章婧.圖像形成裝置的身份認(rèn)證技術(shù)專利技術(shù)綜述[J].中國新通信， 2016（04）： 156.

[4] 李彥明.多通道生物認(rèn)證關(guān)鍵技術(shù)的研究[D].蘭州理工大學(xué)，2014.

[5] 呂經(jīng)華.基于用戶行為分析的私有云數(shù)據(jù)安全動態(tài)訪問控制模型研究[D].湖北民族學(xué)院，2017.

[6] 何雪海，黃明浩，宋飛.網(wǎng)絡(luò)安全用戶行為畫像方案設(shè)計[J].通信技術(shù)， 2017（04）： 789-794.

[7] 王文釗.基于用戶行為的農(nóng)業(yè)信息云平臺統(tǒng)一身份認(rèn)證技術(shù)研究[D].河北農(nóng)業(yè)大學(xué)，2015.

[8] 《金融科技時代》編輯部.徽商銀行首推基于安全芯片的手機證書業(yè)務(wù)[J].金融科技時代， 2017（11）： 100.

[9] 裴斐.移動數(shù)字簽名平臺的研究與實現(xiàn)[D].北京郵電大學(xué)， 2014.

[10] 于為民，等.全手形特征的生物識別技術(shù)綜述[J].大連民族學(xué)院學(xué)報， 2012（01）： 19-23.

[11] 王曉棟.基于指紋和用戶信息的數(shù)字水印身份認(rèn)證系統(tǒng)的設(shè)計[D].蘇州大學(xué)，2009.

[12] 董立羽.現(xiàn)代生物特征識別技術(shù)發(fā)展綜述[J].電腦與信息技術(shù)， 2007（05）： 11-13+53.

[13] 庹小忠.區(qū)塊鏈在身份認(rèn)證中的應(yīng)用[J].科技經(jīng)濟(jì)導(dǎo)刊， 2017（03）： 26-27.

[14] 鄧迪.區(qū)塊鏈技術(shù)最新的認(rèn)識和成果[J].新經(jīng)濟(jì)， 2016（19）： 90-91.

[15] 李鳳英，何屹峰與齊宇歆.MOOC學(xué)習(xí)者身份認(rèn)證模式的研究——基于雙因子模糊認(rèn)證和區(qū)塊鏈技術(shù)[J].遠(yuǎn)程教育雜志， 2017（04）： 49-57.

[16] 周潔，李文宇，郭剛.區(qū)塊鏈技術(shù)的專利態(tài)勢分析[J].電信網(wǎng)技術(shù)， 2017（03）： 37-42.

[17] 閻軍智，等.基于區(qū)塊鏈的PKI數(shù)字證書系統(tǒng)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化， 2017（11）： 16-20.

[18] 聞慶峰，楊文捷，張永強.SM9及其PKI在電子政務(wù)郵件系統(tǒng)中的應(yīng)用[J].計算機應(yīng)用與軟件， 2017（04）： 105-109.

[19] 袁峰，程朝輝.SM9標(biāo)識密碼算法綜述[J].信息安全研究， 2016（11）： 1008-1027.

[20] 劉權(quán). 2017年網(wǎng)絡(luò)安全十大發(fā)展趨勢[J].網(wǎng)絡(luò)空間安全， 2017，8（1）：32-34.