白话数字身份系列之二:数字身份认证技术面面观
在数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。
如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。
如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(What You Know),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(What You Have),假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认真个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(Who You Are),比如指纹、面貌等。
身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证,现在又要经历从中心化到区块链去中心化技术的过程。
总的来说,市场上的数字身份认证方式主要有以下七大类:
基于静态口令的认证
“用户名+密码”是最简单也是最常用的身份认证方法,它是基于“What You Know”的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。
然而,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。
基于动态口令的认证
动态口令,全称叫One-Time Password(OTP),是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次,每天可以产生43200个密码。采用动态口令就无需定期更换密码,安全省心。动态令牌即是用来生成动态口令的终端,动态令牌从终端来分类包含硬件令牌和手机令牌两种。
在生成动态口令的过程中,不会产生任何通信及费用,因此不会在通信信道中被截取,欠费和无信号对其不产生任何影响,具有高安全性、零成本、无需携带等优势。但如果客户端与服务器端程序的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题,这使用户的使用非常不方便。
基于USBKey的认证
USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。使用USB Key存放代表用户唯一身份数字证书和用户私钥。在此基于PKI体系的整体解决方案中,用户的私钥是在高安全度的USB Key内产生,并且终身不可导出到USB Key外部。
不过USB Key在使用时需要在客户端安装软件,且需要插入到客户端才能使用,作为一个独立硬件,携带不便,且有内置电池失效的问题,更换电池麻烦。另外,近年来网上银行用户的爆发,USBKey并非绝对安全,也存在被破解的可能。
基于智能IC卡的认证
IC卡认证是基于“What You Have”的手段,比如金融IC卡,即银行卡、信用卡等银行系列产品的应用。通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据还是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。因此,静态验证的方式还是存在根本的安全隐患。
基于数字证书的认证
数字证书由权威公正的第三方机构,即CA中心签发,或由企业级CA系统进行签发,是提供在Internet上进行身份验证的权威性的电子文档,在互联网通讯中用来证明自己的身份和识别对方的身份。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。使用了数字证书,即使发送的信息在网上被他人截获,甚至在丢失个人的账户、密码等信息的情况下,仍可以保证账户资金安全。
基于生物识别技术的认证
生物特征具有唯一性,可以测量或可自动识别人类的生理特征和行为特征来进行个人身份认证的鉴定。可用于生物识别的生物特征有手形、指纹、脸形、虹膜、视网膜、脉搏、耳廓等,行为特征有签字、声音、按键力度等。
采用生物识别技术,可不必再记忆和设置密码,使用更加安全方便。但生物数据一般储存于中心化系统之中,有被黑客窃取的风险,就像印度国家身份认证系统Aadhaar遭遇黑客攻击导致泄露,超过210个政府网站上公开暴露了Aadhaar用户的详细信息,包括用户的姓名、家庭住址、Aadhaar号码、指纹与虹膜扫描以及其他敏感个人信息等。
基于区块链的数字身份
互联网上的数字身份,主要解决两个问题:验证(Authenticate)与授权(Authorization),也就是你可以做什么?你拥有什么?但互联网发展至今,依然存在一些无法解决的问题:身份信息管理碎片化,用户需要不断重复注册账号或账户,依赖第三方服务商的能力与自律等。
如今,以Civic、uPort、IDHub等为代表的一批区块链数字身份公司,通过区块链技术,为可信数字身份的发展提供了更大的技术动力。在区块链数字身份方案中,借助非对称加密,私钥拥有者可以推导出相应的地址,作为身份的唯一标识符,进而将身份属性通过智能合约进行关联。用户可以选择性地公开身份数据,也可对第三方进行授权使用,同时因为区块链去中心化的特性,服务商之间不必维护用户身份存储,统一从区块链中公开或授权的方式获得相关信息即可。
根据Research & Markets网站上的一份报告显示,全球区块链身份管理市场将从2018年的9040万美元增长到2023年的19.299亿美元,预测期内复合年增长率(CAGR)为84.5%。与所有新兴技术一样,将区块链作为身份管理系统的工具也许会在未来五年内会产生更显而易见的作用,但是其具体规模取决于该行业是否能解决一些现实的身份问题。
如果把信息安全体系看作一个木桶,那么这些安全技术就是组成木桶的一块块木板,而整个系统的安全性取决于最短的一块木板。而数字身份中的身份认证模块就相当于木桶的桶底,由它来保证物理身份和数字身份的统一,如果桶底是漏的,那桶壁上的木板再长也没有用。
因此,身份认证是整个数字身份体系最基础的模块,一切应用和业务都要建立在可信的标准身份接口之上,如今的成绩只是一小步,未来在数字身份领域还有更多未知等待行业去探索和发现。