关于我们
CTID平台
CTID网证
行业故事
合作共赢
新闻动态
行业洞察
随着数字经济时代的来临,数字化发展已成为全球共识。数字身份作为数字信任体系中的核心基石,在数字经济中至关重要。现如今人们对个人隐私的保护以及对数据“非明文”的需求日益强烈,如何构建符合数字经济时代的新型数字身份信任体系,做好网络安全风险防范,有效保护公民个人隐私,是我们面临的新一轮重要挑战。
01 从身份到数字身份
数字身份的雏形最早可以追溯到1960年代初,麻省理工学院的Fernando Corbato(费尔南多·科尔巴托,1990年获得图灵奖)参与到一个名为CTSS兼容分时系统的项目,该系统可以让多位用户在不同地点,通过电话线同时访问一台计算机。当时,这个系统为每个用户提供了一组私有文件,但没有任何保护措施,用户可以随便阅读别人的文件。科尔巴托想出如下方案:为每个用户设置一个密码,由此诞生了最初的而且到今天还在广泛使用的用户名密码形态—第一代数字身份认证技术。
图1 分时系统与计算机密码之父科尔巴托[1]
纵观数字身份技术的演进发展,可以看到其主要具有两大功能:“区分”和“证明”。“区分”是通过唯一的身份标识符如身份证号码来区分不同身份主体。“证明”是通过权威部门对这个身份标识符做出的一系列属性声明。该声明一般采用防伪技术,配套相应的法律法规增强其权威性,对于伪造身份的行为,可通过法律途径进行惩戒。
02 数字身份认证技术的迭代
世界银行在2018年发布《数字身份认证的技术景观》报告中指出,“数字身份是电子化采集和存储的、可唯一性的标识某个实体的属性和凭证的集合”。该报告中还进一步定义了数字身份的生命周期。它将数字身份从诞生到使用,划分为五个阶段:注册、签发、鉴别、授权和管理,并界定了三个参与方:用户、身份提供方(简称IdP)和依赖方(简称RP)。
图2 世界银行《数字身份认证的技术景观》报告[2]
数字身份认证技术是随着计算机科学、密码学和互联网的发展而持续迭代的。在PC和互联网时代,数字身份认证技术的代表是静态的用户名密码技术、企业级的U盾、智能卡、硬件令牌和PKI/CA证书系统等等;智能手机和移动互联网时代,数字身份认证技术的典型代表包括短信验证码、手机令牌、生物特征识别以及多因素认证等等;从PC和互联网时代到智能手机和移动互联网时代、再到现在已经迈入的智能时代,数字身份认证技术与生物识别、区块链、物联网、人工智能、量子计算这些新兴技术将不断地进行融合创新。
图3 身份认证技术发展历史
不同的认证方式的成本、安全性以及部署难度都不一样,分别适用于不同的场景,根据身份认证过程中采用的凭证种类的不同,数字身份认证技术又可以分为三类:基于知识认证因素、基于拥有认证因素和基于固有认证因素。知识认证因素相对容易泄露,但远程攻击者通常不太容易获取用户的拥有和固有认证因素。
表1 身份认证技术分类
知识认证因素是根据“你知道什么”来认证你,如用户口令、PIN 码、安全保护问题等;拥有认证因素是根据“你拥有什么”来认证你,包括智能卡、U盾、动态令牌(硬件令牌或手机令牌)、SIM卡(短信验证码)、数字证书等等;固有认证因素是根据“你固有什么”来认证你,主要基于个人生物特征。
生物识别技术是目前最为方便与比较安全的识别技术,它不需要记住复杂的密码,操作比较方便,且可以验证真人,更容易实现实名认证。在人脸识别系统中,为防止恶意者伪造和窃取他人的人脸特征用于身份认证(比如采用照片、视频、面具),人脸识别系统还需具有活体检测功能,即判断提交的人脸特征是否来自有生命的个体。值得注意的是,人脸识别的广泛应用也给个人隐私和数据保护带来了巨大的挑战。
不同的认证方式的成本、部署难度、安全性都不一样,适用不同的场景。结合不同认证因素的多因素身份认证方式正在成为主流趋势。静态弱口令安全性低,复杂的口令安全性高但又不易记忆维护,而且容易受窃听窥探、字典攻击、社交工程等形式的安全攻击。动态口令牌和U盾两种方案也易于部署,安全程度高,和用户口令结合,是目前应用较广的企业级的双因素认证方案。用户口令+短信验证码是互联网目前比较流行的双因素认证方案,“人脸识别+用户口令”的双因素则用于对安全性要求更高的场合。
此外,若想获得更高级别的安全保护,还应结合异常行为监测等风险控制方式对用户身份进行持续的监控,对产品使用行为进行分析,包括常用的活跃时间段、登陆设备的信息即设备指纹、常用登陆地等等,从而判断用户是否异常。
表2 数字身份认证技术之活体检测[3]
03 总结
回顾数字身份的发展我们可以看到,数字身份技术是伴随着计算机科学和互联网的应用而快速发展的,是一个不断发现问题解决问题、又发现新问题解决新问题的螺旋式上升的发展过程。发展到今天,仍然面临着很多挑战和问题:一是我国网络犯罪案件量和占比均呈逐年上升趋势,由于缺少网络可信身份导致的网络诈骗占比最高,达到30%以上。二是网民直接使用真实身份信息认证身份,网络平台存在非法收集或过度收集用户隐私信息的情况,公民个人信息泄露问题日渐加剧。三是网络实体和网络应用爆炸式增长,各类网络应用服务商分散独立建立网民身份(比如账号),缺少权威的信任根,不仅增加了网民负担,也使得公民身份信息等国家战略数据资源存在泄露风险。四是线下业务大量快速向线上迁移,原来在线下通过实体证来证明身份的方式已无法满足各种线上身份认证的场景需求。
综上,可信数字身份已经成为维护国家网络安全和社会稳定的重要基础。如何在数字化快速发展的今天规避和防范因身份验证所带来的挑战,成为全社会值得深思的问题。