“互聯網+”時代身份識別與認證安全問題研究

董 霽，國 煒，杜 云/Dong Ji,Guo Wei,Du Yun

（中國信息通信研究院 北京100191）

（China Academy of Information and Communication Technology,Beijing 100191,China）

1 前言

隨著萬物互聯、工業4.0和5G技術等眾多新興概念的提出，互聯網思維已經深入人們的生活，互聯網跨界融合應用創新的浪潮已經席卷各行各業，逐漸推動互聯網與傳統行業的橫向整合和縱向重塑，對企業的生產行為、傳統行業轉型和民眾生活改善產生了深遠影響，互聯網的深度跨界融合意味著“互聯網+”時代的開啟。

民生、工業、金融、信息通信等各領域通過互聯網關聯在一起，用戶和企業等各實體以不同的身份在互聯網這個虛擬的世界中完成各自的角色，各種傳統和新型的身份認證技術借助智能終端、移動互聯網、智能驗證設備、藍牙、NFC技術的快速演進，在“互聯網+”時代迎來了前所未有的發展。同時，安全的身份認證技術涉及互聯網中各實體的切身利益，也逐漸得到了更多關注。

2 技術發展與趨勢

2.1 身份識別與認證技術發展

身份識別和認證技術是指對網絡中的通信實體進行確認的技術，身份信息的識別是確認用戶的真實身份，而認證是確認該身份是否為通信中聲明的身份。互聯網中每層應用系統中的各實體都需要進行身份鑒定，而用戶所關心且安全問題最突出的是應用層上用戶身份的識別與認證。依據識別對象的類型，可以將身份識別和認證方式大體分為3個因素：用戶對某個秘密知曉程度的驗證、用戶對物理介質令牌擁有權的驗證和用戶生理特征的驗證。這3種身份識別類型通過不同的技術方式實現。

傳統的身份識別技術以用戶靜態密碼和智能卡為主。靜態密碼技術依靠用戶對身份識別密碼的記憶能力實現身份認證，存在密碼泄露和密碼遺忘等安全問題；而智能卡模式依賴于射頻技術，也會出現人卡分離、多人一卡的情況。傳統的身份認證模式多用于獨立的互聯網賬戶登錄和門禁系統，基于生物特征識別技術和PKI技術的新型身份認證技術隨著“互聯網+”時代的來臨迅速發展，得到了廣泛應用。

2.2 身份識別與認證技術演進

2.2.1 靜態口令

靜態口令是應用最廣泛、最簡單的一種身份認證技術，它將用戶名和口令作為身份認證信息，在首次登錄系統時，用戶輸入用戶名和口令，認證信息一次性產生并保持不變。在使用過程中，登錄系統將用戶名和口令通過互聯網傳輸給服務器，在服務器端將用戶鍵入的身份信息與保存的身份信息進行對比，信息一致則通過身份驗證。整個認證主要包括用戶名和口令的創建、存儲、輸入、傳輸和驗證過程，用戶名和口令的日常維護和更新相對麻煩。

靜態口令技術多用于簡單賬戶的注冊過程，僅可以實現身份認證的基本需求，無法實現保密性、完整性等更高的安全需求，適用于安全級別較低的信息系統。

2.2.2 動態口令

動態口令技術是對傳統靜態口令基于安全需求的改進。動態口令技術依據特定的算法生成一個不可預測的隨機數字組合，每個密碼只能使用一次，被廣泛應用在電子商務、企業、網游等領域。首先用戶輸入啟用令牌的口令；然后將令牌上顯示的數字作為系統的口令輸入，令牌上的數字與認證服務器同步，保持一定的更新速率；最后用戶實際登錄到應用系統的口令可以做到“一次一密”。

依據令牌產生模式的差異，動態口令技術有同步方式和異步方式兩種解決方案。對于同步方式的動態口令技術，在初始化令牌時，已經實現了客戶端令牌和服務器端軟件間的密鑰、時鐘、時間計數器的同步，在用戶進行身份認證的過程中，客戶端令牌和服務器端軟件基于同步的數據，進行特定的密碼計算，將結果傳送至認證服務器并和服務器保存的身份信息進行比較，兩邊運算結果一致則驗證通過；異步方式的動態口令技術，在初始化同步后，當用戶登錄系統時，認證服務器給用戶發送一個隨機數，用戶將該數字輸入客戶端令牌，令牌經計算返回一個新的數據，用戶將令牌返回的數據發送給認證服務器，認證服務器將返回的數據和計算出的數據進行比較，一致則通過驗證。同步和異步的區別主要在于認證服務器和用戶令牌在身份認證過程中是否交互。認證過程中令牌的形式可以為硬件令牌、短信密碼、手機令牌和軟件令牌4種。硬件令牌產品如圖1所示，令牌上顯示的數字為用戶輸入的動態口令。

動態口令技術解決了靜態口令的安全弱點，具有較高的安全性，使用方便且能保證良好的平臺無關性，已經成為一些行業中采用的主流身份認證技術。

2.2.3 射頻識別技術

射頻識別（Radio Frequency Identification，RFID）技術是一種非接觸式的自動身份識別技術，通過無線電信號識別特定的目標并進行一定的數據讀寫，多應用于門禁管理、校園、物流和公共交通出行。射頻系統的工作范圍可以是低頻、高頻、超高頻和微波，典型的RFID系統一般由電子標簽、讀卡器和后端應用系統構成[1]，電子標簽的核心是芯片和無線通信天線，芯片保存了用戶的身份信息，射頻天線和讀卡器進行通信。RFID的工作流程主要分為3個過程：首先，電子標簽進入讀卡器的感應范圍后，接收讀卡器的射頻信號并將標簽內存儲的相關信息發送給讀卡器；然后，讀卡器接收信息，并將解碼后的信息發送給后端應用系統進行數據處理；最后，后端應用系統對數據進行驗證，完成用戶身份識別。

電子標簽本身可以很薄，材質可彎曲，可以印制在紙張、塑料、木材、玻璃等眾多材料上，標簽內的應用程序可讀取和改寫[2]。在很多應用場景下，電子標簽以智能卡形式由用戶持有，卡片樣式種類豐富，如圖2所示。智能卡通過特殊的結構保證卡內的身份信息不被輕易泄露，每個智能卡ID信息具有唯一性，通過RFID的后端應用系統將卡ID和用戶身份信息綁定，實現身份認證。射頻識別技術具有體積小、掃描快、可重復使用、穿透性強、存儲容量大等特點，在國內各行業被廣泛應用。

2.2.4 USB Key

USB Key（密碼鎖）是一種內置單片機或者芯片的USB接口硬件設備，一般作為硬件數字證書載體，如圖3所示。密碼鎖中存儲了用于識別用戶身份信息的私鑰和數字證書，基于PKI（Public Key Infrastructure，公鑰基礎設施）技術實現互聯網環境中的用戶身份認證。

一個自然人或者一個企業在不同的應用系統中可能擁有不同的角色，但是對于每個獨立的系統都必須擁有一個特定的身份信息，這種身份信息在不同的應用系統中難以互相認證，尤其是在“互聯網+”時代，這種多重的身份認證會造成系統的重復開發和重復投入，產生大量的資源浪費。PKI就可以在一定程度上解決這個問題。不同于對稱密碼算法，在PKI體系中，身份信息的識別和認證基于不可逆的數學算法，通過不同算法的數學復雜度來完成加密和解密以及簽名和驗簽的運算，通過公鑰加密的數據只能由私鑰解密，通過私鑰簽名的文件只能由公鑰驗簽，保證了每個用戶只需要使用一對非對稱密鑰就可以在互聯網中實現基本的身份認證。

PKI的核心是信任鏈體系的建立，主要由數字證書、頒發證書的證書認證中心（CA）、證書持有者、使用證書服務的證書用戶、證書注冊機構（RA）、證書存儲和查詢服務器以及證書狀態查詢和驗證服務器組成，如圖4所示。其中，CA是PKI中的關鍵機構，是互聯網中通信雙方都信任的實體，提供數字證書的發放、管理、廢除等服務，對證書和密鑰進行管理。CA作為身份認證中可信的第三方，實現用戶身份的識別和認證，作為數字證書系統中通信雙方都信任的實體，被稱為可信第三方[3]。

USB Key中的私鑰只有身份擁有者才可以持有，而標準的數字證書結構可以在多種應用場景中進行身份互認，在進行用戶身份認證的同時，也可以為用戶的操作行為進行保障，目前廣泛應用于網上銀行等安全需求較高的應用系統中。用戶登錄系統時，應用系統出示CA為服務器發放的服務器證書，用戶出示USB Key中的用戶數字證書，實現了用戶和系統的雙向認證。基于PKI體系的身份認證和數字簽名，可以對身份信息的傳輸進行加密和簽名，整個認證過程具有保密性、完整性和不可抵賴性。《中華人民共和國電子簽名法》中明確指出，數字簽名和手寫簽名具有同等的法律效力，因此，USB Key及PKI技術為“互聯網+”時代的身份認證提供了強有力的保障。

2.2.5 生物識別技術

生物識別技術是通過驗證人類獨特的生理或行為特征的個人身份鑒別技術，生物特征不同于基于口令和物理介質的認證方式，人的特有屬性不會被遺忘或丟失。選擇具有普遍性、唯一性、穩定性、可采集性的生物特征作為用戶身份信息，目前已經被采用的有人臉識別、指紋識別、虹膜識別、手形識別、掌紋識別、簽名識別和聲音識別[4]。

其中，應用最為廣泛的是指紋識別，指紋識別技術相對于其他生物識別技術來說，占據較大的優勢，算法也相對成熟。指紋是手指末端正面皮膚上的紋路，這些紋路的圖案、端點和交叉點均不相同，這些特征自出生之日便不會再改變，符合生物識別的唯一性和不變性。借助數字圖像處理和模式識別技術，應用系統通過指紋采集設備，依據特定的算法和規則對指紋紋路成像進行處理，提取指紋特征數據，與系統保存的用戶指紋特征數據進行對比，在短時間內實現用戶身份的識別和認證。

目前，生物識別技術已經廣泛應用于智能終端、門禁和金融交易等領域，逐漸發展為一種可靠、便捷、安全的身份識別和認證手段。

2.2.6 雙因素身份認證

前文提到身份識別和認證的3個因素：用戶對某個秘密知曉程度的驗證、用戶對物理介質令牌擁有權的驗證和用戶生理特征的驗證。簡單來說，第一因素是用戶知道的信息，第二因素是用戶擁有的物理介質，第三因素是用戶具備的唯一特征。從安全性和應用成本考慮，這3個因素獨立使用時都會具有一定的短板。雙因素認證是指將前兩種因素結合的身份認證技術，在未過多增加成本的情況下提升了認證系統的安全性。

雙因素認證的安全強度取決于兩個因素的選擇，動態口令技術是一種典型的雙因素認證技術，借助用戶記憶的口令和令牌介質生成的口令實現安全性較強的身份認證，而某些門禁系統采用的“密碼+智能卡”身份認證屬于較弱的用戶身份鑒定。但總體來講，雙因素身份認證相較于獨立的基于口令或物理介質的認證來說，其認證確定性以指數形式遞增[5]。

3 安全問題

3.1 安全問題技術

3.1.1 靜態口令

傳統的“用戶名+口令”身份驗證方式以靜態數據作為用戶的身份信息，在用戶身份鑒定過程中會暴露很多安全缺陷，例如，容易被偷看、猜測、字典攻擊、暴力破解、竊取、監聽、重放攻擊和木馬攻擊等。

（1）口令猜測

早期的應用系統可以在低權限條件下實現用戶名列表的獲取，并允許默認用戶名和內建賬戶的存在，使口令猜測成為可能。依托攻擊者獲取的信息，靜態口令的安全威脅從單點密碼猜解，逐漸推演出單用戶大密碼檔猜測、多用戶常見密碼猜測和目前頻繁曝出的拖庫后的撞庫攻擊。

（2）登錄過程嗅探

在用戶的登錄過程中，由于非加密協議Telnet和FTP的廣泛使用，基于地址解析協議（ARP）欺騙的網絡監聽威脅變得更加普遍。尤其是處于無線網絡的登錄過程，很多網站對登錄頁面采用不安全的HTTP，攻擊者通過網絡抓包可輕易獲得用戶的登錄名和密碼。

靜態口令技術以其簡單方便的部署機制在安全性要求不高的系統中被廣泛使用，但卻無法滿足“互聯網+”時代跨界融合身份識別和認證的安全需求。

3.1.2 動態口令

相比于傳統的靜態密碼，動態密碼具備理論證明級的安全，理論上保證“一次一密”。但是在實際使用中，受到密碼空間的限制，只能做到“偽一次一密”。

以短信令牌動態口令為例，用戶首先向系統請求動態令牌，應用系統將特定位隨機數作為令牌，以短信形式發送到用戶手機上。用戶在登錄或者金融交易時輸入動態令牌和口令，保證身份識別和認證的安全性。但是這種驗證方式也有一些弊端，首先是接收短信有一定滯后性，動態令牌一般都有實效性，但是若用戶處于手機信號較差的區域，往往認證時間已經過了，用戶還沒有收到短信，嚴重影響了用戶對應用系統的使用。另一方面，隨著惡意應用的增多，用戶的手機短信易被攻擊者竊取，損害用戶利益。

不僅是短信動態密碼，硬件令牌、手機令牌和軟件令牌均受限于實際使用環境，存在一定的安全隱患。

3.1.3 射頻識別技術

基于RFID的身份識別和認證過程，用戶的身份信息多存儲于智能卡中，智能卡的硬件不能被復制，可以保護用戶身份不會被仿冒，但是在身份識別過程中，讀卡器從智能卡中讀取的數據是靜態的，通過內存掃描或者網絡監聽等技術也可以截獲用戶的身份認證信息，產生安全威脅。

3.1.4 USB Key

USB Key作為硬件介質存儲了用戶的身份信息，用戶的私鑰存儲在USB Key中，不能被導出，所有的加/解密算法均在密碼鎖的芯片或者單片機中完成，PKI體系在技術實現上是一套比較安全的、成熟的身份認證機制。然而在具體實現中，交互操作和數據傳輸仍存在安全漏洞。攻擊者可通過遠程控制偽造用戶的交互操作，通過交易數據的攔截，篡改用戶交易，造成用戶財產損失。

3.1.5 生物識別技術

生物識別技術是一種強認證的識別技術，基于認證實體不可脫離的特征作為用戶的身份信息，優勢在于身份信息先天具備，但是這種特征是一種可以被獲取卻不能被廢止的憑據，一個自然人只有1張臉、2個虹膜、2個掌紋和10個指紋，與其他身份認證相比，處于明顯的劣勢。同時，由于生物數據采集環境的差異，有可能出現正確用戶被拒絕或者非法用戶被允許的情況。生物特征雖然獨特，但隨著信息技術的發展，這些特征也可以被復制，例如指膜制作和面部3D打印。

以生物識別作為用戶身份識別和認證的系統往往應用于高安全等級的系統，產生的安全風險將會造成重大的安全問題。

3.2 解決方案

通過安全問題介紹可知，單種類的身份識別和認證技術很難保證認證的準確性，而安全性高的技術成本也隨之增高。可以借助多種方式解決互聯網用戶身份鑒定的安全問題，通過雙因素身份認證控制認證成本并提高認證安全性，通過對認證技術的研究推進技術創新，通過對用戶的信息安全教育改善用戶的使用習慣等。

對于實際使用的應用系統，可以采用多種身份認證相互交叉選擇的方式。以支付寶為例，賬戶身份認證包括登錄密碼、手機綁定、實名認證等安全認證技術；支付時用戶身份的認證方式包括支付密碼、數字證書、支付盾和寶令等安全技術。在“互聯網+”時代，除了通過技術演進提升認證安全性外，還可以通過多種身份識別和認證的融合，全面提升應用系統的安全性，保障用戶信息安全。

4 結束語

在“互聯網+”時代，用戶身份認證是安全的第一道大門，是各種安全措施發揮作用的前提。可以預見，身份識別技術會越來越先進，例如指紋、面部、密碼和加密裝置等。一旦加密技術打開大門，網絡認證對現實世界的滲透會越來越廣泛。同時，隨著大數據的發展、兩化融合的普及，互聯網承擔信息生活的大部分業務，網絡中存儲了用戶和企業的大量行為數據，網絡安全和隱私也會變得越來越受重視。

[1]段永峰.智能卡身份認證系統的設計與實現[D].電子科技大學,2013.

[2]章軼.射頻識別系統及其認證協議的研究[D].解放軍信息工程大學,2007.

[3] 董霽,袁廣翔,馬鑫.數字認證在移動互聯網中的應用研究[J].互聯網天地,2014,3:41-44.

[4] 孫冬梅,裘正定.生物特征識別技術綜述[J].電子學報,2001, S1:1744-1748.

[5] 寧璇.基于指紋識別與智能卡的身份認證系統設計[D].北京郵電大學,2009.