白話數(shù)字身份系列之二:數(shù)字身份認證技術面面觀
在數(shù)字世界中,一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示,計算機只能識別用戶的數(shù)字身份,所有對用戶的授權也是針對用戶數(shù)字身份的授權。而我們生活的現(xiàn)實世界是一個真實的物理世界,每個人都擁有獨一無二的物理身份。
如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者,也就是說保證操作者的物理身份與數(shù)字身份相對應,就成為一個很重要的問題。身份認證技術的誕生就是為了解決這個問題。
如何通過技術手段保證用戶的物理身份與數(shù)字身份相對應呢?在真實世界中,驗證一個人的身份主要通過三種方式判定,一是根據(jù)你所知道的信息來證明你的身份(What You Know),假設某些信息只有某個人知道,比如暗號等,通過詢問這個信息就可以確認這個人的身份;二是根據(jù)你所擁有的東西來證明你的身份(What You Have),假設某一個東西只有某個人有,比如印章等,通過出示這個東西也可以確認真?zhèn)€人的身份;三是直接根據(jù)你獨一無二的身體特征來證明你的身份(Who You Are),比如指紋、面貌等。
身份認證技術的發(fā)展,經(jīng)歷了從軟件認證到硬件認證,從單因子認證到雙因子認證,從靜態(tài)認證到動態(tài)認證,現(xiàn)在又要經(jīng)歷從中心化到區(qū)塊鏈去中心化技術的過程。
總的來說,市場上的數(shù)字身份認證方式主要有以下七大類:
基于靜態(tài)口令的認證
“用戶名+密碼”是最簡單也是最常用的身份認證方法,它是基于“What You Know”的驗證手段。每個用戶的密碼是由這個用戶自己設定的,只有他自己才知道,因此只要能夠正確輸入密碼,計算機就認為他就是這個用戶。
然而,由于許多用戶為了防止忘記密碼,經(jīng)常采用諸如自己或家人的生日、電話號碼等容易被他人猜測到的有意義的字符串作為密碼,或者把密碼抄在一個自己認為安全的地方,這都存在著許多安全隱患,極易造成密碼泄露。
基于動態(tài)口令的認證
動態(tài)口令,全稱叫One-Time Password(OTP),是根據(jù)專門的算法每隔60秒生成一個與時間相關的、不可預測的隨機數(shù)字組合,每個口令只能使用一次,每天可以產(chǎn)生43200個密碼。采用動態(tài)口令就無需定期更換密碼,安全省心。動態(tài)令牌即是用來生成動態(tài)口令的終端,動態(tài)令牌從終端來分類包含硬件令牌和手機令牌兩種。
在生成動態(tài)口令的過程中,不會產(chǎn)生任何通信及費用,因此不會在通信信道中被截取,欠費和無信號對其不產(chǎn)生任何影響,具有高安全性、零成本、無需攜帶等優(yōu)勢。但如果客戶端與服務器端程序的時間或次數(shù)不能保持良好的同步,就可能發(fā)生合法用戶無法登錄的問題,這使用戶的使用非常不方便。
基于USBKey的認證
USB Key是一種USB接口的硬件設備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證。使用USB Key存放代表用戶唯一身份數(shù)字證書和用戶私鑰。在此基于PKI體系的整體解決方案中,用戶的私鑰是在高安全度的USB Key內(nèi)產(chǎn)生,并且終身不可導出到USB Key外部。
不過USB Key在使用時需要在客戶端安裝軟件,且需要插入到客戶端才能使用,作為一個獨立硬件,攜帶不便,且有內(nèi)置電池失效的問題,更換電池麻煩。另外,近年來網(wǎng)上銀行用戶的爆發(fā),USBKey并非絕對安全,也存在被破解的可能。
基于智能IC卡的認證
IC卡認證是基于“What You Have”的手段,比如金融IC卡,即銀行卡、信用卡等銀行系列產(chǎn)品的應用。通過IC卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的,通過內(nèi)存掃描或網(wǎng)絡監(jiān)聽等技術還是很容易截取到用戶的身份驗證信息。因此,靜態(tài)驗證的方式還是存在根本的安全隱患。
基于數(shù)字證書的認證
數(shù)字證書由權威公正的第三方機構,即CA中心簽發(fā),或由企業(yè)級CA系統(tǒng)進行簽發(fā),是提供在Internet上進行身份驗證的權威性的電子文檔,在互聯(lián)網(wǎng)通訊中用來證明自己的身份和識別對方的身份。
以數(shù)字證書為核心的加密技術可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證,確保網(wǎng)上傳遞信息的機密性、完整性。使用了數(shù)字證書,即使發(fā)送的信息在網(wǎng)上被他人截獲,甚至在丟失個人的賬戶、密碼等信息的情況下,仍可以保證賬戶資金安全。
基于生物識別技術的認證
生物特征具有唯一性,可以測量或可自動識別人類的生理特征和行為特征來進行個人身份認證的鑒定??捎糜谏镒R別的生物特征有手形、指紋、臉形、虹膜、視網(wǎng)膜、脈搏、耳廓等,行為特征有簽字、聲音、按鍵力度等。
采用生物識別技術,可不必再記憶和設置密碼,使用更加安全方便。但生物數(shù)據(jù)一般儲存于中心化系統(tǒng)之中,有被黑客竊取的風險,就像印度國家身份認證系統(tǒng)Aadhaar遭遇黑客攻擊導致泄露,超過210個政府網(wǎng)站上公開暴露了Aadhaar用戶的詳細信息,包括用戶的姓名、家庭住址、Aadhaar號碼、指紋與虹膜掃描以及其他敏感個人信息等。
基于區(qū)塊鏈的數(shù)字身份
互聯(lián)網(wǎng)上的數(shù)字身份,主要解決兩個問題:驗證(Authenticate)與授權(Authorization),也就是你可以做什么?你擁有什么?但互聯(lián)網(wǎng)發(fā)展至今,依然存在一些無法解決的問題:身份信息管理碎片化,用戶需要不斷重復注冊賬號或賬戶,依賴第三方服務商的能力與自律等。
如今,以Civic、uPort、IDHub等為代表的一批區(qū)塊鏈數(shù)字身份公司,通過區(qū)塊鏈技術,為可信數(shù)字身份的發(fā)展提供了更大的技術動力。在區(qū)塊鏈數(shù)字身份方案中,借助非對稱加密,私鑰擁有者可以推導出相應的地址,作為身份的唯一標識符,進而將身份屬性通過智能合約進行關聯(lián)。用戶可以選擇性地公開身份數(shù)據(jù),也可對第三方進行授權使用,同時因為區(qū)塊鏈去中心化的特性,服務商之間不必維護用戶身份存儲,統(tǒng)一從區(qū)塊鏈中公開或授權的方式獲得相關信息即可。
根據(jù)Research & Markets網(wǎng)站上的一份報告顯示,全球區(qū)塊鏈身份管理市場將從2018年的9040萬美元增長到2023年的19.299億美元,預測期內(nèi)復合年增長率(CAGR)為84.5%。與所有新興技術一樣,將區(qū)塊鏈作為身份管理系統(tǒng)的工具也許會在未來五年內(nèi)會產(chǎn)生更顯而易見的作用,但是其具體規(guī)模取決于該行業(yè)是否能解決一些現(xiàn)實的身份問題。
如果把信息安全體系看作一個木桶,那么這些安全技術就是組成木桶的一塊塊木板,而整個系統(tǒng)的安全性取決于最短的一塊木板。而數(shù)字身份中的身份認證模塊就相當于木桶的桶底,由它來保證物理身份和數(shù)字身份的統(tǒng)一,如果桶底是漏的,那桶壁上的木板再長也沒有用。
因此,身份認證是整個數(shù)字身份體系最基礎的模塊,一切應用和業(yè)務都要建立在可信的標準身份接口之上,如今的成績只是一小步,未來在數(shù)字身份領域還有更多未知等待行業(yè)去探索和發(fā)現(xiàn)。