網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)演變史及發(fā)展趨勢研究

李小燕

（北京物資學(xué)院，北京101149）

1 引言

身份是指社會交往中識別個體成員差異的標(biāo)識或稱謂，它是維護(hù)社會秩序的基石。網(wǎng)絡(luò)空間中參與各類網(wǎng)絡(luò)活動的自然人和法人，都具有網(wǎng)絡(luò)行為的實體身份，也稱網(wǎng)絡(luò)身份。但并不是所有的網(wǎng)絡(luò)身份都是可信的，網(wǎng)絡(luò)身份的可信一般指兩種情況：一是網(wǎng)絡(luò)身份由現(xiàn)實社會的法定身份映射而來，可被驗證及追溯；二是網(wǎng)絡(luò)身份由其網(wǎng)絡(luò)行為或商業(yè)信譽(yù)擔(dān)保，可被驗證符合特定場景對身份信任度的要求。

由網(wǎng)絡(luò)主體身份衍生出的電子身份憑證，被稱為網(wǎng)絡(luò)可信身份標(biāo)識。對網(wǎng)絡(luò)主體的身份標(biāo)識進(jìn)行檢驗，來確認(rèn)網(wǎng)絡(luò)主體的身份可信的過程，稱為網(wǎng)絡(luò)可信身份認(rèn)證，認(rèn)證手段有很多，從使用密碼到智能卡，再到生物特征等，網(wǎng)絡(luò)應(yīng)用場景對安全要求越高，采用的認(rèn)證手段安全強(qiáng)度也越高。

2 主流網(wǎng)絡(luò)身份認(rèn)證方式

一是賬號+口令認(rèn)證。它是一種靜態(tài)密碼機(jī)制，用戶的賬號和口令可以由用戶自己設(shè)定的。

二是短信密碼認(rèn)證。它是以手機(jī)短信形式請求包括4-6位隨機(jī)數(shù)的動態(tài)密碼，身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機(jī)密碼到客戶的手機(jī)上，客戶在登錄或者交易認(rèn)證時候輸入此動態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。

三是動態(tài)口令認(rèn)證。它是客戶手持用來生成動態(tài)密碼的終端，主流的是基于時間同步方式的，每60秒變換一次動態(tài)口令，口令一次有效，用戶進(jìn)行身份認(rèn)證的時候，除輸入賬號和靜態(tài)密碼之外，還必須輸入動態(tài)口令，只有二者全部通過系統(tǒng)校驗，才可以正常登錄。

四是基于PKI技術(shù)的數(shù)字證書認(rèn)證。數(shù)字證書是包含電子簽名人的公鑰數(shù)據(jù)和身份信息的數(shù)據(jù)電文或其他電子文件，通過公鑰與私鑰的一一對應(yīng)關(guān)系，從而建立起電子簽名人與私鑰之間的聯(lián)系，可以使互不相識的網(wǎng)絡(luò)主體證明各自簽名的真實性，是雙方之間建立相互信任的基礎(chǔ)。

五是eID（電子身份證）認(rèn)證。它是以密碼技術(shù)為基礎(chǔ)、以智能安全芯片為載體，通過“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”簽發(fā)給公民的網(wǎng)絡(luò)電子身份標(biāo)識來實現(xiàn)在線遠(yuǎn)程識別身份和網(wǎng)絡(luò)身份管理。

六是二代身份證網(wǎng)上副本認(rèn)證。它是依托于公安部的全國人口信息庫和居民辦理二代身份證時留下來的信息，將身份證登記項目（姓名、身份證號碼、有效期限等）作為要素進(jìn)行數(shù)字映射，并賦予唯一編號，生成一個終身唯一編號的身份證網(wǎng)上副本。主要由公安部一所推出。

七是人體生物特征識別認(rèn)證。生物特征是指人體固有的生理特征或行為特征，生理特征有指紋、人臉、虹膜、指靜脈等，行為特征有聲紋、步態(tài)、簽名、按鍵力度等?；谏锾卣鞯纳矸菡J(rèn)證是一種可信度高而又難以偽造的認(rèn)證方式，是基于“你具有什么特征”的身份認(rèn)證手段，在應(yīng)用場景上，人體生物特征識別往往和FIDO技術(shù)結(jié)合使用。

八是基于大數(shù)據(jù)用戶行為分析的身份認(rèn)證。它是利用大數(shù)據(jù)的風(fēng)險識別可以對用戶行為進(jìn)行有效分析，從而對用戶進(jìn)行精準(zhǔn)的分類分層，可實時判斷每一個用戶的認(rèn)證動機(jī)，對不同風(fēng)險等級的用戶采取不同的認(rèn)證方式，主要為大型互聯(lián)網(wǎng)公司如騰訊、阿里采納。

九是第三方互聯(lián)網(wǎng)賬號授權(quán)登錄認(rèn)證。這種認(rèn)證方式使用戶在登錄當(dāng)前網(wǎng)站或A P P 時無需注冊，使用第三方互聯(lián)網(wǎng)賬號（如騰訊、支付寶、新浪微博等）進(jìn)行授權(quán)登錄，免去賬號注冊過程并完成身份認(rèn)證。目前，OAuth、OpenID、SAML、FIDO等標(biāo)準(zhǔn)已成為該認(rèn)證方式的事實標(biāo)準(zhǔn)。

十是基于區(qū)塊鏈技術(shù)的身份認(rèn)證。區(qū)塊鏈技術(shù)也被稱之為分布式賬本技術(shù)，是一種互聯(lián)網(wǎng)數(shù)據(jù)庫技術(shù)，其特點是去中心化、公開透明，讓每個人均可參與數(shù)據(jù)庫記錄，基于區(qū)塊鏈技術(shù)構(gòu)建的在線身份認(rèn)證系統(tǒng)，具有身份信息更難篡改、系統(tǒng)信息分布式存放、激勵機(jī)制的存在促使用戶積極維護(hù)整個區(qū)塊鏈等特征。

3 網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)演變史

3.1 第一代身份認(rèn)證技術(shù)

第一代身份認(rèn)證技術(shù)以靜態(tài)密碼技術(shù)和動態(tài)密碼技術(shù)為代表，在20世紀(jì)60年代左右開始出現(xiàn)并在計算機(jī)上應(yīng)用，目前相關(guān)技術(shù)發(fā)展已經(jīng)十分成熟，雖然其有種種缺陷，但仍未被完全淘汰。

（1）靜態(tài)密碼技術(shù)

靜態(tài)密碼技術(shù)的典型身份認(rèn)證應(yīng)用是賬號+口令。用戶輸入賬號和靜態(tài)口令后，服務(wù)器查詢口令數(shù)據(jù)庫進(jìn)行匹配，匹配通過即完整核驗。該方式歷史最為悠久、使用極為簡單、成本極其低廉、應(yīng)用極其廣泛。但隨著計算機(jī)運算能力的不斷增強(qiáng)，靜態(tài)密碼抗暴力攻擊的能力越來越差，密碼位數(shù)由早期的4位逐漸升級的6位、8位、16位、18位，由簡單數(shù)字組合逐漸升級為數(shù)字+字母（不區(qū)分大小寫）組合、數(shù)字+字母（區(qū)分大小寫）組合、數(shù)字+字母（區(qū)分大小寫）+特殊字符組合。雖然密碼長度和強(qiáng)度不斷升級，靜態(tài)密碼技術(shù)由于先天存在易被字典攻擊、易被監(jiān)聽偷錄等缺陷，在低安全等級應(yīng)用中可以作為一種主要身份認(rèn)證技術(shù)，但在高安全等級應(yīng)用中只能作為一種輔助手段。

（2）動態(tài)密碼技術(shù)

鑒于靜態(tài)口令的種種缺陷，安全專家提出采用動態(tài)密碼來進(jìn)行身份驗證。根據(jù)動態(tài)密碼中采用的“動態(tài)因子”不同，該技術(shù)可分為兩大類：同步認(rèn)證技術(shù)和異步認(rèn)證技術(shù)。同步認(rèn)證技術(shù)中主要包括基于時間同步認(rèn)證技術(shù)；異步認(rèn)證技術(shù)主要包括挑戰(zhàn)/響應(yīng)認(rèn)證技術(shù)（事件響應(yīng)）。同步認(rèn)證技術(shù)最早取得突破，20世紀(jì)80年代，美國著名加密算法研究實驗室R S A 研制成功了基于時間同步的動態(tài)密碼認(rèn)證系統(tǒng)R S A SecurID,該系統(tǒng)通過時間同步方式，同一時間令牌認(rèn)證服務(wù)器的認(rèn)證系統(tǒng)每60秒變換一次動態(tài)口令，口令一次有效，它產(chǎn)生6位動態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。國內(nèi)中國銀行、工商銀行早期曾發(fā)行過一種動態(tài)密碼口令牌，就是基于時間同步原理。由于同步認(rèn)證技術(shù)對時間敏感，硬件和操作要求較高，異步認(rèn)證技術(shù)后來居上。

以手機(jī)動態(tài)驗證碼為例，用戶在登錄時點擊“發(fā)送手機(jī)驗證碼”，服務(wù)器以當(dāng)前時間或者事件序號作為動態(tài)因子計算出驗證碼并發(fā)送至指定手機(jī)號，用戶收到后將驗證碼輸入，系統(tǒng)完成核驗后授權(quán)用戶登錄。整個驗證流程中，驗證碼一般5-30分鐘有效，用戶在規(guī)定時間內(nèi)輸入就可以。此外，國內(nèi)工商銀行早期曾發(fā)行過一種紙質(zhì)動態(tài)密碼卡，用戶登錄網(wǎng)銀時，網(wǎng)銀生成二維坐標(biāo)，用戶需刮開密碼卡對應(yīng)區(qū)域輸入相應(yīng)密碼，此方式也是異步認(rèn)證技術(shù)。隨著移動互聯(lián)網(wǎng)時代的到來，動態(tài)口令牌、動態(tài)口令卡由于攜帶不便，已經(jīng)逐漸被手機(jī)動態(tài)驗證碼所取代，賬號+手機(jī)驗證碼已經(jīng)成為當(dāng)前最重要的身份認(rèn)證方式之一。

（3）第三方互聯(lián)網(wǎng)賬號授權(quán)技術(shù)

該認(rèn)證方式使用戶在登錄當(dāng)前網(wǎng)站或APP時無需注冊，使用第三方互聯(lián)網(wǎng)賬號（如騰訊、支付寶、新浪微博等）進(jìn)行授權(quán)登錄，免去賬號注冊過程并完成身份認(rèn)證。目前，OAuth、OpenID、SAML、FIDO等標(biāo)準(zhǔn)已成為該認(rèn)證方式的事實標(biāo)準(zhǔn)。當(dāng)前，大多數(shù)電子商務(wù)、社交網(wǎng)站等都已經(jīng)逐漸接受該認(rèn)證模式，互聯(lián)認(rèn)證登錄普遍存在。在該模式下網(wǎng)站及相關(guān)應(yīng)用不需要對用戶身份進(jìn)行管理，用戶身份管理及認(rèn)證完全由第三方平臺進(jìn)行。

3.2 第二代身份認(rèn)證技術(shù)

第二代身份認(rèn)證技術(shù)以P K I 技術(shù)為代表，相關(guān)概念于20世紀(jì)80年代提出，其安全性遠(yuǎn)高于一代身份認(rèn)證技術(shù)。近十幾年來，各國投入巨資實施PKI的建設(shè)和研究，PKI理論研究和應(yīng)用在非對稱密碼算法、雜湊算法、證書載體形式、輕量級身份認(rèn)證協(xié)議和數(shù)據(jù)的組織記錄形式五個方面取得了巨大的進(jìn)展。

（1）非對稱加密算法

該算法中用戶有兩個密鑰，一個公開密鑰，一個私有密鑰，從公開密鑰推導(dǎo)私有密鑰極其困難。非對稱加密算法完美解決了對稱加密算法的密鑰管理分發(fā)難題，在P K I 架構(gòu)和數(shù)字簽名中具有重要應(yīng)用，但運算效率較低。美國在1978年首次提出基于大整數(shù)素因子分解的R S A 算法，1 9 8 5 年又提出了基于離散對數(shù)問題的E L G a m a l 算法，其中R S A 算法是目前應(yīng)用較為廣泛。R S A 算法的強(qiáng)度與其算法密鑰長度有關(guān)，R S A 1 0 2 4 已經(jīng)在2 0 1 2 年被美國密碼學(xué)家攻破，目前最新版本為R S A 4 0 9 6。由于過長的R S A 密鑰會導(dǎo)致運算效率大大下降，美國N I S T 和歐洲N E S S I E 的專家又提出了橢圓曲線和超橢圓曲線密碼ECC，該算法只需282bit的密鑰長度即可媲美R S A 4 0 9 6 的加密強(qiáng)度，運算效率大大提高，是目前非對稱密碼技術(shù)研究的熱點。目前我國正在大力推廣國產(chǎn)SM2橢圓密碼算法在關(guān)系到國計民生的重要應(yīng)用系統(tǒng)中的應(yīng)用。

（2）雜湊算法

雜湊算法又名哈希算法、摘要算法，它能夠?qū)⑷我忾L度的消息壓縮成固定長度的摘要，能夠賦予每個消息唯一的“數(shù)字指紋”。其專門解決信息的非法篡改問題，是PKI中數(shù)字簽名和數(shù)據(jù)完整性保護(hù)的基礎(chǔ)，研究進(jìn)展迅速。雜湊算法與對稱/非對稱加密算法的區(qū)別是，后兩種算法是用于防止信息被竊取，而雜湊算法的目標(biāo)是用于證明原文的完整性，也就是說用于防止信息被篡改。

雜湊算法的典型代表是美國N I S T 發(fā)布的SHA系列，1995年SHA-1正式發(fā)布，經(jīng)過二十余年的發(fā)展SH A-1算法逐漸成為互聯(lián)網(wǎng)最基礎(chǔ)的數(shù)字簽名算法。由于S H A 家族算法本身的問題存在“碰撞”破解的可能性，S H A 算法被攻破的時間僅依賴于所使用的計算能力，所以歐美密碼學(xué)家不斷調(diào)整改進(jìn)S H A 算法，既S H A-1 后推出S H A-2 2 4、 S H A-2 5 6、S H A-384和SHA-512。2017年2月23日，谷歌聯(lián)合荷蘭C W I 機(jī)構(gòu)給出了S H A-1 碰撞實例，攻破了SH A-1 算法。目前，我國正在大力推進(jìn)國產(chǎn)SM3雜湊密碼算法對SHA系列算法的替代升級工作。

（3）證書載體形式

PKI證書應(yīng)用的一種外在表現(xiàn)形式，近年來隨著應(yīng)用環(huán)境的變化，證書載體形式日趨豐富。目前，主流的證書載體分為文件證書、硬件介質(zhì)數(shù)字證書和移動數(shù)字證書三大類。

文件證書產(chǎn)生和應(yīng)用最早，但安全性低，無法應(yīng)對基于內(nèi)存分析以恢復(fù)和調(diào)用用戶密鑰為目的的攻擊，目前只有少數(shù)電商和政務(wù)系統(tǒng)還在使用。為解決文件證書安全性低的問題，硬件介質(zhì)數(shù)字證書逐漸興起，其用戶私鑰不可導(dǎo)出，具有高安全性和高可靠性特點，應(yīng)用最為廣泛，如各類USB Key、藍(lán)牙Key、音頻Key、IC卡、eID卡等。

隨著移動互聯(lián)網(wǎng)的快速發(fā)展，基于移動數(shù)字證書（手機(jī)盾）的電子簽名技術(shù)于2014年初出現(xiàn)，主要應(yīng)用于移動端的電子簽名，基于密鑰分割和協(xié)作簽名技術(shù)，利用軟件方式實現(xiàn)安全等級較高的電子簽名功能，彌補(bǔ)了文件證書安全性低、硬件介質(zhì)證書（藍(lán)牙Key、音頻Key等）便攜性差的問題，同時其也可以通過“掃碼簽名”等方式兼顧PC端電子簽名應(yīng)用場景。

（4）輕量級身份認(rèn)證協(xié)議

FIDO 線上快速身份驗證標(biāo)準(zhǔn)（以下簡稱FIDO 標(biāo)準(zhǔn)）是由FIDO 聯(lián)盟（Fast Identity On line Alliance）提出的一個開放的標(biāo)準(zhǔn)協(xié)議，旨在提供一個高安全性、跨平臺兼容性、極佳用戶體驗與用戶隱私保護(hù)的在線身份驗證技術(shù)架構(gòu)。

FIDO 聯(lián)盟于2012年7月成立，并于2015年推出并完善了1.0 版本身份認(rèn)證協(xié)議，提出了U2 F與UAF兩種用戶在線身份驗證協(xié)議。其中，U2F協(xié)議兼容現(xiàn)有密碼驗證體系，在用戶進(jìn)行高安全屬性的在線操作時，其需提供一個符合U2F協(xié)議的驗證設(shè)備作為第二身份驗證因素，即可保證交易足夠安全。而UAF則充分地吸收了移動智能設(shè)備所具有的新技術(shù)，更加符合移動用戶的使用習(xí)慣。在需要驗證身份時，智能設(shè)備利用生物識別技術(shù)（如指紋識別、面部識別、虹膜識別等）取得用戶授權(quán)，然后通過非對稱加密技術(shù)生成加密的認(rèn)證數(shù)據(jù)供后臺服務(wù)器進(jìn)行用戶身份驗證操作。整個過程可完全不需要密碼，真正意義上實現(xiàn)了“終結(jié)密碼”。

根據(jù)UAF協(xié)議，用戶所有的個人生物數(shù)據(jù)與私有密鑰都只存儲在用戶設(shè)備中，無需經(jīng)網(wǎng)絡(luò)傳送到網(wǎng)站服務(wù)器，而服務(wù)器只需存儲有用戶的公鑰即可完成用戶身份驗證。這樣就大大降低了用戶驗證信息暴露的風(fēng)險。即使網(wǎng)站服務(wù)器被黑客攻擊，他們也得不到用戶驗證信息偽造交易，也消除了傳統(tǒng)密碼數(shù)據(jù)泄露后的連鎖式反應(yīng)。

目前，谷歌公司已經(jīng)開發(fā)出支持U2F身份認(rèn)證的Security Key ，該裝置配合Chrome瀏覽器實現(xiàn)網(wǎng)站身份的自動鑒別，當(dāng)用戶登錄的網(wǎng)站是通過驗證時，用戶無需輸入密碼，只需根據(jù)瀏覽器提示按下確認(rèn)即可，若網(wǎng)站未通過驗證，則該裝置不會運行。

聯(lián)想旗下國民認(rèn)證科技有限公司推出的基于FIDO框架的UAP統(tǒng)一身份認(rèn)證平臺，整合指紋識別和虹膜識別等功能為中國銀行、民生銀行、京東錢包等提供身份認(rèn)證服務(wù)。科技公司Egistec推出的基于FIDO框架的Yukey認(rèn)證器可以讓用戶通過指紋識別器及生物數(shù)據(jù)識別腕帶進(jìn)行聯(lián)合身份認(rèn)證。三星公司也在積極研發(fā)推出基于FIDO的身份認(rèn)證解決方案，其安全身份認(rèn)證框架和指紋讀取器均通過了FIDO認(rèn)證。微軟公司在Windows10中全面支持FIDO 2.0版本標(biāo)準(zhǔn)，支持此標(biāo)準(zhǔn)的設(shè)備可以具有豐富的第三方生物識別功能，如指紋識別、人臉識別、虹膜識別等，大大提升系統(tǒng)安全性和易用性。

（5）數(shù)據(jù)的組織記錄形式（區(qū)塊鏈）

近年來，國內(nèi)外對去中心化和分布式數(shù)據(jù)庫研究如火如荼，代表就是區(qū)塊鏈技術(shù)。其去中心化、開放性、自治性、不可篡改性和匿名性決定了其未來會對金融和經(jīng)濟(jì)帶來巨大的影響。而區(qū)塊鏈的典型應(yīng)用之一就是在線身份驗證，其相比傳統(tǒng)中心化的PKI電子認(rèn)證方式，其優(yōu)勢有三點。

一是身份信息更難篡改。每個人一出生便會形成自己的數(shù)字身份信息，同時得到一個公鑰和一個私鑰，利用時間戳技術(shù)形成區(qū)塊鏈，在共識機(jī)制保證下，數(shù)據(jù)篡改極為困難。

二是系統(tǒng)信息分布式存放，系統(tǒng)上的所有節(jié)點均可下載存放最新、最全的身份認(rèn)證信息。從此以后，人們不必再隨時攜帶自己的身份證，只需要通過公鑰證明“我是我”，通過私鑰自由管理自己的身份信息。

三是激勵機(jī)制的存在促使用戶積極維護(hù)整個區(qū)塊鏈，保證系統(tǒng)長期良性運作，系統(tǒng)穩(wěn)定性更高、維護(hù)成本更低。

目前，已經(jīng)有部分區(qū)塊鏈身份認(rèn)證和電子存證產(chǎn)品面世，如2017年，區(qū)塊鏈企業(yè)ShoCard與航空服務(wù)商S I T A 合作開發(fā)了S I T A D i g i t a l Traveler Identity App的身份認(rèn)證應(yīng)用。該應(yīng)用融合了基于區(qū)塊鏈的數(shù)據(jù)和面部識別技術(shù)，致力于簡化航空公司乘客身份驗證流程，以及實現(xiàn)機(jī)場實時數(shù)據(jù)流；微軟宣布和Blockstack Labs、ConsenSys合作，推出基于區(qū)塊鏈技術(shù)的身份識別系統(tǒng)，實現(xiàn)人、產(chǎn)品、應(yīng)用和服務(wù)的深度交互；IBM與法國國民互助信貸銀行合作完成了一個基于區(qū)塊鏈技術(shù)的身份認(rèn)證系統(tǒng)，該系統(tǒng)采用超級賬本（Hyperledger）區(qū)塊鏈框架引導(dǎo)客戶向第三方（比如本地公共部門或零售商）提供身份證明。

國內(nèi)在線合同簽署企業(yè)法大大聯(lián)合阿里云郵箱推出了基于區(qū)塊鏈技術(shù)的郵箱存證產(chǎn)品、眾簽科技與中證司法鑒定中心合作推出了“存證云”司法鑒定平臺、北京合鏈共贏科技開發(fā)的文檔存證系統(tǒng)等都運用區(qū)塊鏈技術(shù)對用戶身份和文件進(jìn)行鑒別和防偽。

3.3 第二代身份認(rèn)證技術(shù)

第三代身份認(rèn)證技術(shù)在21世紀(jì)初移動互聯(lián)網(wǎng)高速發(fā)展的背景下興起，主要包括人體生物特征識別技術(shù)、第三方賬號授權(quán)技術(shù)、基于大數(shù)據(jù)的用戶行為分析技術(shù)、量子加密技術(shù)、輕量級加密算法。這些技術(shù)多針對以智能手機(jī)APP應(yīng)用為代表的輕量級應(yīng)用場景，發(fā)展較為迅速，展現(xiàn)出勃勃生機(jī)。

（1）人體生物特征識別技術(shù)

在當(dāng)前的研究與應(yīng)用領(lǐng)域中，生物特征識別主要關(guān)系到計算機(jī)視覺、圖像處理與模式識別、計算機(jī)聽覺、語音處理、多傳感器技術(shù)、虛擬現(xiàn)實、計算機(jī)圖形學(xué)、可視化技術(shù)、計算機(jī)輔助設(shè)計、智能機(jī)器人感知系統(tǒng)等其他相關(guān)的研究，雖然生物識別技術(shù)早在2 0 世紀(jì)6 0 年代開始研究，但直到近十幾年才廣泛應(yīng)用。已被用于生物識別的生物特征有手形、指紋、面部、虹膜、視網(wǎng)膜、脈搏、耳廓等，行為特征有簽字、聲音、按鍵力度等。

在技術(shù)研究方面，當(dāng)前研究熱點已經(jīng)由單一生物特征轉(zhuǎn)向多生物特征融合。國際上，國際標(biāo)準(zhǔn)化組織（I S O）和國際電工委員會（I E C）已經(jīng)聯(lián)合公布了《信息技術(shù)—生物特征—多模態(tài)和其他多生物特征融合》（I S O/IECTR24722∶2007）標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)不但包含了對多模態(tài)和多生物特征融合做法的描述和分析，它還研討了需求、可能的路徑和標(biāo)準(zhǔn)化來支持多生物特征識別系統(tǒng)，以提高其通用性和實用性。國內(nèi)，由清華大學(xué)丁曉青教授組研制的TH-ID系統(tǒng)多模式生物特征（人臉、筆跡、簽字、虹膜）身份認(rèn)證識別系統(tǒng)已通過教育部組織的專家鑒定。該系統(tǒng)能夠?qū)崿F(xiàn)在復(fù)雜背景下的圖像和視頻人臉自動檢測、識別和認(rèn)證，在人臉、筆跡、簽字、虹膜的識別認(rèn)證技術(shù)上取得了重要進(jìn)展，在整體上達(dá)到了國際領(lǐng)先水平。

在商業(yè)應(yīng)用推廣方面，目前最為成熟的是指紋識別和面部設(shè)別。在指紋識別方面，北大高科等對指紋識別技術(shù)的研究開發(fā)國際先進(jìn)水平。已推出多款產(chǎn)品；漢王科技公司在一對多指紋識別算法上取得重大進(jìn)展，達(dá)到的性能指標(biāo)中拒識率小于0.1%，誤識率小于0.0001%，居國際先進(jìn)水平。

2014 年蘋果公司在iPhone5s上首次集成Touch ID指紋識別組件，目前已經(jīng)升級為2.0版本，識別精度超過同類產(chǎn)品。在面部識別方面，2017年蘋果公司在iPhoneX上首次集成商用化Face D 面部識別組件，搭載環(huán)境光傳感器、距離感應(yīng)器，還集成了紅外鏡頭、泛光感應(yīng)元件(Flood Camera)和點陣投影器，多種配置共同搭建用戶3D 臉部模型。在實際應(yīng)用中，生物識別功能和FIDO技術(shù)結(jié)合較為緊密，主流千元級智能手機(jī)一般都搭載生物識別模塊（指紋識別和攝像頭），隨著智能手機(jī)處理器運算能力和生物識別模塊識別精度的進(jìn)一步提高，生物識別技術(shù)的應(yīng)用將更加廣泛。

（2）用戶行為分析技術(shù)

該技術(shù)在2012年之后開始應(yīng)用，主要應(yīng)用場景是電商領(lǐng)域，其基本思想是：一個固定用戶的購物行為總是遵循一定的習(xí)慣，在購物站點上則表現(xiàn)為操作中存在的規(guī)律性。身份驗證正是通過對顧客的消費習(xí)慣、瀏覽習(xí)慣甚至在購物站點的操作習(xí)慣來判斷顧客是否為竊用者。

該技術(shù)要求系統(tǒng)數(shù)據(jù)庫跟蹤記錄每個用戶的歷史行為，并按照一定的算法從中抽取規(guī)律,建立用戶行為模型，當(dāng)用戶突然改變他們的行為習(xí)慣時,這種異常就會被檢測出來。因此，該技術(shù)也可以歸為網(wǎng)絡(luò)入侵檢測中的審計統(tǒng)計模型，基于審計信息的攻擊檢測方法是在證據(jù)模型和跟蹤用戶行為的基礎(chǔ)上建立起來的。由審計系統(tǒng)實時的檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計模型進(jìn)行檢測。當(dāng)發(fā)現(xiàn)有可疑的行為發(fā)生時，保持跟蹤并監(jiān)測、記錄該用戶的行為。系統(tǒng)要求根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫,當(dāng)用戶改變他們的行為習(xí)慣時，這種異常就會被檢測出來。

目前，國外已有多個用戶行為分析產(chǎn)品商業(yè)化，如美國Heap、Trak公司的產(chǎn)品可以實時實現(xiàn)用戶全程操作行為記錄，一旦發(fā)現(xiàn)異?？梢赃M(jìn)行自動郵件提醒。Mouseflow公司的產(chǎn)品可以通過記錄用戶鼠標(biāo)歷史軌跡進(jìn)而對用戶操作進(jìn)行分析。

國內(nèi)阿里巴巴和騰訊通過淘寶、天貓、QQ、微信等應(yīng)用積累了大量用戶行為數(shù)據(jù)，并提取了上萬個行為維度，通過建立自學(xué)習(xí)的風(fēng)險控制引擎（Risk Engine）實現(xiàn)對用戶異常行為（可疑登錄、轉(zhuǎn)賬）的質(zhì)疑和阻止。

（3）量子加密和輕量級加密算法

量子加密技術(shù)重點解決的是密鑰分發(fā)問題。其基于量子力學(xué)開發(fā)，如果有人試圖攔截加密的內(nèi)容，查看這個加密內(nèi)容的行為將會改變內(nèi)容。入侵者不但無法獲得加密的內(nèi)容，而且授權(quán)人員會知道有人試圖獲取或篡改內(nèi)容。

目前，主流發(fā)達(dá)國家都在進(jìn)行量子加密前沿研究，英國、瑞士均已經(jīng)實現(xiàn)基于B B 8 4方案的3 0 k m 距離的量子密鑰分發(fā)實驗；美國L o s A l a m o s 實驗室已經(jīng)進(jìn)行基于B 9 2 方案的48km量子密鑰傳送。2016年8月，我國發(fā)射了首顆量子科學(xué)試驗衛(wèi)星“墨子號”，得益于量子保密通信絕對安全性，量子通信不僅應(yīng)用于百姓日常通信，也可用于水、電、煤氣等能源供給和民生網(wǎng)絡(luò)基礎(chǔ)設(shè)施的通信保障，還可應(yīng)用于國防、金融、商業(yè)等領(lǐng)域，勢必對產(chǎn)業(yè)界和科技界產(chǎn)生巨大變革。

在輕量級加密算法研制方面，歐美等國正積極研制針對RFID訪問控制、電子護(hù)照身份識別的專用壓縮算法，重點解決在計算能力、存儲能力、能量密度等硬件極度受限情況下的傳統(tǒng)密碼算法應(yīng)用難題。未來，隨著云計算和物聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，量子加密和輕量級加密算法在身份認(rèn)證中的應(yīng)用會逐漸展開。

4 結(jié)束語

網(wǎng)絡(luò)可信身份具有的主要特征：一是真實身份的可追溯性，自然人身份用身份證標(biāo)識、企業(yè)和機(jī)構(gòu)身份用組織機(jī)構(gòu)代碼（工商代碼）標(biāo)識，都是可以追溯的；二是身份標(biāo)識的非唯一性，一個主體可以使用多種屬性來標(biāo)識，因此網(wǎng)絡(luò)身份的標(biāo)識是非唯一的，若在主體的屬性之間建立關(guān)聯(lián)，可以實現(xiàn)使用一個身份標(biāo)識訪問多個應(yīng)用或服務(wù)；三是驗證因子的多樣性，可以用用戶口令、軟硬令牌動態(tài)口令、數(shù)字證書、問題和答案、個人屬性值等。本文介紹主流的網(wǎng)絡(luò)身份認(rèn)證方式和網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)演變史，未來網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)將向著更加智能化的方向不斷發(fā)展。