周瑞瑞 王春圓 李華芳
摘要:本文對身份認(rèn)證技術(shù)領(lǐng)域的全國專利申請情況進(jìn)行了統(tǒng)計(jì)分析,根據(jù)所使用的認(rèn)證參數(shù)的特點(diǎn),對使用了靜態(tài)特征、動態(tài)特征以及多因素特征的身份認(rèn)證幾個(gè)方向的主要專利進(jìn)行了詳細(xì)的介紹和分析,以期能夠幫助審查員快速的掌握身份認(rèn)證的技術(shù)脈絡(luò),熟悉該領(lǐng)域的重要技術(shù)手段,提高實(shí)質(zhì)審查過程的審查效率。
關(guān)鍵詞:身份認(rèn)證;口令;驗(yàn)證碼
中圖分類號:TP391.4文獻(xiàn)標(biāo)識碼:A 文章編號:1003-5168(2020)03-0147-06
1 引言
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,人們已經(jīng)逐漸習(xí)慣了通過網(wǎng)絡(luò)來進(jìn)行各項(xiàng)活動,網(wǎng)上銀行、網(wǎng)上購物、網(wǎng)上辦公等極大的簡化了人們的生活方式,提供了方便高效的用戶體驗(yàn)。然而,和現(xiàn)場活動不同,在計(jì)算機(jī)的網(wǎng)絡(luò)世界中,人們無法直接看到自己所交互的對象的真面目,因此網(wǎng)絡(luò)交互過程中通信雙方的可信度問題越來越受到人們的關(guān)注,身份認(rèn)證技術(shù)應(yīng)運(yùn)而生。所謂身份認(rèn)證,就是在計(jì)算機(jī)網(wǎng)絡(luò)的通信過程中有效的確定合法操作者的身份的過程[1],用于保證以某一身份進(jìn)行實(shí)際操作的操作者就是該身份對應(yīng)的合法的操作者本人,實(shí)現(xiàn)真人和數(shù)字身份的統(tǒng)一。身份認(rèn)證是對網(wǎng)絡(luò)資源進(jìn)行安全防護(hù)的第一道防線,在網(wǎng)絡(luò)安全中有著舉足輕重的作用[2]。
2 身份認(rèn)證的原理概述
在現(xiàn)實(shí)世界中,每個(gè)用戶都有一個(gè)唯一的真實(shí)身份;而在網(wǎng)絡(luò)世界中,每個(gè)用戶都有一個(gè)數(shù)字身份來代表其本人。為了保證用戶的真實(shí)身份和數(shù)字身份的一致,需要采用一些技術(shù)上的驗(yàn)證手段進(jìn)行一致性驗(yàn)證,身份認(rèn)證很好的解決了該問題。
通常情況下,一個(gè)用戶的身份可以通過以下一個(gè)或幾個(gè)因素來表征:
①用戶所知道的信息(What you know):如口令、密碼等;
②用戶所擁有的東西(What you have):如印章、智能卡等;
③用戶所獨(dú)有的生物特征(Who you are):如指紋、聲音、視網(wǎng)膜、行為習(xí)慣等。
根據(jù)不同的認(rèn)證要求,可從上述參數(shù)中選擇不同的因素進(jìn)行身份認(rèn)證;當(dāng)某些場景需要提供更高的安全性強(qiáng)度時(shí),可選擇兩種或更多的因素組合起來使用,實(shí)現(xiàn)基于多因素的身份認(rèn)證[3]。
3 身份認(rèn)證的專利布局
目前,電腦和智能手機(jī)等智能終端已經(jīng)成為人們工作生活的重要助手。通過用戶設(shè)備能夠?yàn)橛脩籼峁┓浅1憬莸姆?wù),但是隨之而來的是用戶數(shù)據(jù)和用戶財(cái)產(chǎn)的安全問題,所以用戶設(shè)備端需要解決用戶的身份認(rèn)證問題。
3.1 全國專利申請量趨勢分析
本文采用中國專利文摘數(shù)據(jù)庫(CNABS)對涉及身份認(rèn)證的專利申請情況進(jìn)行分析,并將檢索時(shí)間截止到2018年12月。通過在CNABS數(shù)據(jù)中的檢索數(shù)據(jù)可以看出,截止到2018年12月,涉及用戶終端的身份認(rèn)證的相關(guān)國內(nèi)專利申請量已經(jīng)超過3000件。
從圖2所示的身份認(rèn)證申請量的時(shí)間變化來看,身份認(rèn)證技術(shù)經(jīng)歷了階梯式上升的三個(gè)階段。2006年之前為第一個(gè)階段(技術(shù)萌芽期),國內(nèi)專利申請量僅僅只有幾十件,且申請量逐年小幅度的平穩(wěn)上升;2006是一個(gè)轉(zhuǎn)折點(diǎn),申請量較之前大幅上升,進(jìn)入2006年-2011年的第二個(gè)階段(第一技術(shù)穩(wěn)定期),每年的申請量保持在80件左右;2012年開始,進(jìn)入大幅度上升的第三階段(技術(shù)增長期),每年的申請量呈遞增式增長,至2017年達(dá)到高峰期,之后保持穩(wěn)定。
3.2 重要申請人分析
通過身份認(rèn)證主要申請人的統(tǒng)計(jì)分析,可以看出,一些重要的申請人如阿里巴巴、華為、宇龍等都持續(xù)在身份認(rèn)證技術(shù)方案申請了較多專利。如圖3所示,阿里巴巴集團(tuán)控股有限公司、宇龍計(jì)算機(jī)通信科技(深圳)有限公司、北京飛天誠信科技有限公司、華為技術(shù)有限公司、騰訊科技(深圳)有限公司在身份認(rèn)證技術(shù)領(lǐng)域的申請量居前5位,其中阿里巴巴的申請量達(dá)到了463件,我們可以看出,在可預(yù)見的將來,這些重要的申請人還將在身份認(rèn)證這一領(lǐng)域不斷的競爭、發(fā)展,達(dá)到技術(shù)的新高度。
3.3 主要技術(shù)分支
按照認(rèn)證過程中所使用的安全信息的特點(diǎn),身份認(rèn)證的主要技術(shù)包括靜態(tài)認(rèn)證、動態(tài)認(rèn)證、多因素認(rèn)證等方面,各部分認(rèn)證技術(shù)的關(guān)系如圖4所示。
考慮到用戶對身份認(rèn)證交互過程的安全性要求,在未來的身份認(rèn)證領(lǐng)域中,多因子認(rèn)證將成為本領(lǐng)域的重要研究熱點(diǎn)。
4 重點(diǎn)專利分析
本文基于身份認(rèn)證所采用的認(rèn)證方式的特點(diǎn),對相關(guān)的重點(diǎn)專利進(jìn)行了分析。在身份認(rèn)證的大體系中,可根據(jù)認(rèn)證過程中所采用的認(rèn)證手段的不同側(cè)重點(diǎn),對其進(jìn)行相應(yīng)的分類。例如,從所使用的認(rèn)證參數(shù)的個(gè)數(shù)來分,可以分為基于單個(gè)因素的單因子認(rèn)證和基于多個(gè)因素的多因子認(rèn)證;從認(rèn)證參數(shù)本身的特點(diǎn)來分,可以分為基于靜態(tài)因素的靜態(tài)認(rèn)證和基于動態(tài)因素的動態(tài)認(rèn)證;從認(rèn)證過程所基于的物理媒介來分,可以分為基于硬件的認(rèn)證、基于軟件的認(rèn)證。縱觀身份認(rèn)證技術(shù)的發(fā)展,起經(jīng)歷了從單到多、由靜到動、由軟到硬的發(fā)展流程。
4.1 基于靜態(tài)認(rèn)證的身份認(rèn)證技術(shù)
在身份認(rèn)證發(fā)展的初始階段,計(jì)算機(jī)使用了靜態(tài)參數(shù)來進(jìn)行最基本的身份認(rèn)證,即靜態(tài)身份認(rèn)證。在身份認(rèn)證之前,提前為用戶設(shè)置了表征其合法身份的認(rèn)證信息,如果在登錄網(wǎng)絡(luò)時(shí)能夠提供正確的認(rèn)證信息,計(jì)算機(jī)就認(rèn)可該用戶的身份,接受其訪問操作。
4.1.1 基于軟件口令的身份認(rèn)證技術(shù)。最初的靜態(tài)身份認(rèn)證是基于軟件來實(shí)現(xiàn)的,通過登錄時(shí)輸入的口令來表征用戶身份的合法性,也就是基于“你知道什么”這一驗(yàn)證方式。系統(tǒng)預(yù)先為合法用戶設(shè)置對應(yīng)的口令,該口令僅該用戶知道,如果操作者在進(jìn)入系統(tǒng)之前能夠輸入正確的登錄口令,則允許該用戶成功登錄系統(tǒng),否則,認(rèn)為本次操作不合法,拒絕此次登錄行為。
以康帕克電腦公司申請的CN1195818A為例,該申請公開了一種通過用戶密碼實(shí)現(xiàn)用戶身份認(rèn)證的方法,使用靜態(tài)密碼驗(yàn)證用戶身份的合法性,具體公開的內(nèi)容為:在信息系統(tǒng)中,用戶需要向系統(tǒng)提供其用戶口令,系統(tǒng)通過對用戶口令進(jìn)行驗(yàn)證來對用戶的身份進(jìn)行鑒定。該方法的優(yōu)點(diǎn)在于使用和部署都非常簡單,是早期身份認(rèn)證方案的典型代表,得到了廣泛的應(yīng)用。
為了順利通過驗(yàn)證,用戶需要牢記其密碼,例如將密碼記錄在一個(gè)安全的地方供需要時(shí)查看,或者使用一些常用的具有特殊意義的信息(例如身份證號碼、電話號碼、生日、名字縮寫等)進(jìn)行密碼的設(shè)置,然而,上述方式在便利性的同時(shí)也帶來了很大的安全隱患,容易被偷窺或者猜中,使得密碼的安全性大打折扣;并且由于靜態(tài)的密碼是基于軟件的固定不變的數(shù)據(jù),因此無法避免在通信鏈路的傳輸過程被監(jiān)聽設(shè)備所截獲,可靠性不高。雖然可以通過增加密碼長度、加特殊字符、大小寫等方式提高安全性,卻無法克服容易被破解這一根本性的弱點(diǎn),因此需要一種更加安全的認(rèn)證方式。
4.1.2 基于智能卡的身份認(rèn)證技術(shù)。為了解決軟件口令容易泄露所導(dǎo)致的安全性不高的問題,人們開始考慮通過硬件來保證認(rèn)證的安全性,基于智能卡的身份認(rèn)證逐漸出現(xiàn)在大眾視野。該身份認(rèn)證所使用的智能卡是由專門的廠家所生產(chǎn)的專用硬件設(shè)備,在設(shè)備內(nèi)部燒錄了不可復(fù)制的信息,攻擊者無法對該硬件設(shè)備進(jìn)行復(fù)制,相較于軟件認(rèn)證,安全性大大提高。登錄認(rèn)證時(shí),用戶需要將智能卡插入設(shè)備中由專門的讀卡器對其內(nèi)部信息進(jìn)行讀取才能進(jìn)行身份認(rèn)證。
例如,中國科學(xué)院信息安全技術(shù)工程研究中心的專利申請CN99126670A公開了一種基于智能卡的訪問認(rèn)證系統(tǒng),用戶使用隨身攜帶的智能卡來表征身份的合法性。當(dāng)用戶使用智能卡時(shí),如果智能卡通過認(rèn)證,則用戶獲得相應(yīng)的訪問權(quán)限,反之,將拒絕用戶的訪問。
智能卡通過其硬件上不可復(fù)制的特性在一定程度上提高了認(rèn)證的安全性;但是,起本質(zhì)上仍然是基于靜態(tài)因素的身份認(rèn)證,仍然無法避免卡內(nèi)的身份驗(yàn)證信息在數(shù)據(jù)信道的傳輸過程中被監(jiān)聽或竊取,仍然仍存在安全隱患;此外,智能卡在認(rèn)證時(shí)需要用戶隨身攜帶,一旦遺失或者被盜,非法用戶就可以冒充合法用戶通過驗(yàn)證。
4.1.3 基于生物識別的身份認(rèn)證技術(shù)。為了解決智能卡認(rèn)證時(shí)硬件設(shè)備容易遺失的問題,基于用戶自身固有特征的生物識別身份認(rèn)證逐漸走入了大眾的視野,通過用戶的身體特征或行為特征實(shí)現(xiàn)用戶的身份驗(yàn)證[4],其中身體特征包括:指紋、掌型、視網(wǎng)膜、虹膜等;行為特征包括:簽名、語音、行走步態(tài)等。
CN2143476Y公開了一種活體卡片兩用指紋攝取儀,將光學(xué)成像系統(tǒng)和攝像部件連成一體,實(shí)現(xiàn)對活體指紋圖像的采集,并將指紋圖像輸入計(jì)算機(jī)儲存,供識別比對,以鑒別個(gè)人身份。通過使用個(gè)人典型特征來檢驗(yàn)用戶身份,達(dá)到了較高的安全程度。
和靜態(tài)認(rèn)證所使用的軟件口令和智能卡內(nèi)部信息不同,生物特征識別認(rèn)證所使用的認(rèn)證參數(shù)是和用戶本人密切相關(guān)的,是用戶所獨(dú)有的特征,可以有效防止他人對用戶識別信息進(jìn)行復(fù)制,且由于是用戶自身所獨(dú)有的特征,可隨時(shí)隨地進(jìn)行實(shí)時(shí)采集,不需要用戶可以攜帶硬件媒介進(jìn)行認(rèn)證信息的存儲,因此大大提高了認(rèn)證的安全性和便捷性。但由于其本質(zhì)上還是一種靜態(tài)信息,所以仍然存在截取、仿冒等安全問題。
4.1.4 基于生物特征+靜態(tài)口令的身份認(rèn)證技術(shù)。為了最大可能的避免他人偽造生物特征進(jìn)行驗(yàn)證,出現(xiàn)了在原有生物特征的基礎(chǔ)上嵌入靜態(tài)密碼的身份認(rèn)證技術(shù)。該技術(shù)將靜態(tài)密碼嵌入到生物特征中,從采集的生物特征中分別提取靜態(tài)生物特征和靜態(tài)密碼,然后一一進(jìn)行驗(yàn)證。例如,專利申請CN105138882A公開了一種解鎖方法,接收用戶解鎖請求,采集用戶輸入的語音,用戶的語音信息中包含了所設(shè)置的靜態(tài)密碼,對所述語音進(jìn)行聲紋識別處理得到對應(yīng)的聲紋;識別所述聲紋是否與預(yù)先設(shè)置的用戶聲紋一致,如果一致則進(jìn)一步提取語音包含的靜態(tài)密碼信息進(jìn)行解鎖匹配操作,通過該技術(shù)避免了非授權(quán)的解鎖操作,提高了身份認(rèn)證的安全性。
4.2 基于動態(tài)認(rèn)證的身份認(rèn)證技術(shù)
以上幾種靜態(tài)身份認(rèn)證都存在著共同的缺陷,其所使用的認(rèn)證參數(shù),無論軟件口令、硬件設(shè)備內(nèi)部信息,還是生物特征,都無可避免的存在容易被復(fù)制、仿冒的弱點(diǎn),這是由靜態(tài)認(rèn)證所使用的認(rèn)證信息始終不變這一特點(diǎn)所導(dǎo)致的,也就是說,靜態(tài)認(rèn)證的方式存在根本上的安全隱患。
為了從根本上解決這一安全隱患,動態(tài)認(rèn)證方式逐漸走入大眾的視野。通過其便捷的使用方式和較強(qiáng)的安全性,動態(tài)認(rèn)證逐漸取代靜態(tài)認(rèn)證,成為應(yīng)用最廣的一種身份認(rèn)證方式,所使用的參數(shù)包括動態(tài)密碼、動態(tài)口令、動態(tài)生物特征。
4.2.1 基于動態(tài)密碼的身份認(rèn)證技術(shù)。動態(tài)密碼和靜態(tài)密碼最大的區(qū)別在于密碼不是固定使用的,而是臨時(shí)生成并發(fā)給用戶的。例如,CN131997A公開了一種利用短消息實(shí)現(xiàn)用戶身份認(rèn)證的方法,信息系統(tǒng)將用戶身份識別密碼作為短消息的內(nèi)容,將短消息發(fā)送到用戶的手機(jī)中,用戶通過讀取短消息獲取密碼,輸入到信息系統(tǒng)進(jìn)行身份認(rèn)證,使得系統(tǒng)以此確認(rèn)用戶的真實(shí)身份。由于短信密碼在生成和使用時(shí)是位于不同的場景中,因此大大降低了密碼在傳輸過程中被截獲的概率。
4.2.2 基于動態(tài)口令的身份認(rèn)證技術(shù)。使用動態(tài)口令的認(rèn)證也是一種常見的動態(tài)身份認(rèn)證方法,和動態(tài)密碼相比,動態(tài)口令在生成時(shí)加入了時(shí)間因子作為參數(shù),能夠最大的保證密碼的實(shí)時(shí)性。合法用戶手中手持一個(gè)生成動態(tài)密碼的動態(tài)口令設(shè)備,該設(shè)備常基于時(shí)間同步的方式來保證認(rèn)證的正常執(zhí)行,每隔固定的時(shí)間(例如一分鐘)刷新一次口令,產(chǎn)生固定位數(shù)的動態(tài)密碼進(jìn)行一次一密的身份認(rèn)證,有效的保證了訪問的安全性。如西安海星現(xiàn)代科技股份有限公司的專利申請CN1431591A公開了一種基于軟件令牌的動態(tài)口令身份認(rèn)證系統(tǒng),管理控制臺生成數(shù)據(jù)包,并基于該數(shù)據(jù)包進(jìn)行動態(tài)口令的生成,在驗(yàn)證時(shí)對動態(tài)口令進(jìn)行檢波,完成對用戶的動態(tài)身份認(rèn)證。
4.2.3 基于活體認(rèn)證的身份認(rèn)證技術(shù)。在靜態(tài)身份認(rèn)證技術(shù)中我們提到,通過對用戶所獨(dú)有的特征生物識別能夠大大提高認(rèn)證的安全性,但生物特征也存在被復(fù)制的風(fēng)險(xiǎn),例如在指紋認(rèn)證時(shí),攻擊者可能對用戶的指紋進(jìn)行復(fù)制后套在手指上進(jìn)行認(rèn)證,又如在人臉認(rèn)證時(shí),攻擊者可能使用用戶的人臉圖片代替用戶真實(shí)的人臉進(jìn)行認(rèn)證,從而降低身份認(rèn)證的安全性?;铙w認(rèn)證是對靜態(tài)生物特征的一種改進(jìn),通過采集動態(tài)的生物特征來實(shí)現(xiàn)動態(tài)身份認(rèn)證。