網絡可信身份認證技術問題研究

宋憲榮 張猛

摘 要：網絡可信身份認證技術是信息安全的核心技術之一，其任務是識別、驗證網絡業務系統中用戶身份的合法性和真實性以及線上身份和線下身份的一致性。首先明確了網絡可信身份的內涵和分類。其次從網絡可信身份技術應用中存在問題入手，對生物識別技術、數字證書技術、FIDO技術、大數據行為分析技術、區塊鏈技術等主流和新興的身份認證技術進行了梳理分析，并從抗抵賴性、安全性、易用性、成熟度、用戶使用成本等五個維度對各類認證技術進行評價。最后給出身份認證技術的發展趨勢和結論。

關鍵詞：網絡可信身份；身份認證技術； 生物識別技術；FIDO；大數據分析；區塊鏈

中圖分類號：TP302 文獻標識碼：A

1 引言

當前公民的行為空間已經從線下的實體社會向線上的網絡空間延伸，隨著人們對網絡空間的依賴度越來越高，網絡空間中信息交流和互動越來越多，網絡已經成為推動社會發展的重要工具，網絡空間也已經成為繼陸、海、空、天之后的“第五疆域”。但是，網絡空間高速發展的同時也面臨著網絡主體身份難以確認，網絡資源非授權訪問等日益突出的網絡安全問題。從國家治理角度看，國家對網絡空間具有主權，對于網絡主體行為狀況應當有全面的感知，能夠實現對網絡身份的認證和網絡行為的追溯，有利于構建現代化的國家治理體系。從經濟社會發展角度看，網絡信息技術在經濟社會各領域的創新應用，加快了電子政務、電子商務等信息化服務普及，識別信息化服務對象的身份，建立網絡可信身份，是老百姓享受各項信息服務的前提和基礎，是數字經濟發展的必然要求[1]。

網絡可信身份認證技術（以下簡稱“身份認證技術”）是網絡可信身份建設的技術基礎和重要保障，其目的是為了解決“線上身份”和“線下身份”的統一。隨著當前社會的快速發展，網絡可信身份認證技術在應用過程中面臨六大問題與挑戰：一是網絡可信身份內涵不清、技術研究與應用脫節問題；二是網絡空間身份標識與公民法定身份在網絡空間的映射與綁定安全問題；三是不同網絡身份認證平臺的互聯互通互信問題；四是移動應用場景下的可信身份認證問題；五是與身份認證相關的個人隱私泄露問題；六是移動互聯網、云計算環境下公鑰密碼證書的應用及安全問題。為了解決這些問題，各類新型身份認證技術不斷涌現，推動網絡可信身份服務不斷發展。

2.相關技術問題研究

2.1網絡可信身份的內涵與范疇

目前，學術界和產業界對網絡身份認證的定義還是非常明確的：“身份認證是指在網絡設施和信息系統中確認操作者真實身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限。身份認證技術則是確認操作者真實身份過程中使用的方法或手段。”但必須明確，用戶通過用戶身份認證與用戶身份可信沒有絕對必然的關系。例如，用戶B使用用戶A的論壇賬號密碼登錄，雖然用戶B通過了身份認證，但用戶B的身份是不可信的；再如，部分網上論壇服務使用的賬號不與用戶線下身份進行掛鉤，這種身份也是不可信的。

針對“網絡可信身份”，學術界和產業界尚無統一定義。本研究嘗試給出如下定義：“網絡身份的可信包含兩層含義：一是通過網絡身份憑證與現實個體法定身份信息的綁定，實現網絡主體現實身份真實性認證和追溯；二是通過生物特征識別、大數據行為分析等技術，確保網絡行為的主體就是擁有法定身份信息的現實個體。現實主體可以根據網絡空間中不同業務類型、應用場景、安全要求具有多種不同的網絡身份憑證，只有能通過網絡身份憑證實現對網絡主體現實身份真實性認證和追溯的網絡身份才是網絡可信身份，一般在電子政務等高安全等級業務中應用；在不需要身份追溯的應用中使用的網絡身份不是網絡可信身份，如一般網上信息的匿名瀏覽等。網絡可信身份在簽發、撤銷、掛起、恢復、應用、服務和評價等全生命周期過程中其真實性可以得到有效的管理和控制，是國家進行網絡空間治理的基礎。”根據該定義，我們可以把用戶身份劃分為三大層級：法定信任基礎級、第三方作證級和業務憑證級。

法定信任基礎級又稱法定網絡身份或權威身份，該身份綁定國家賦予主體的法定真實身份，自然人可以用法定身份證件，如身份證、護照、社保卡等綁定。法定網絡身份是網絡空間主體身份的可信源點，其相關基礎設施由國家建設和管理，長期穩定不變，其載體需要極高的安全保證，這種身份可以直接追溯到現實主體。

第三方作證級又稱高可信網絡身份或關聯身份，該身份綁定政府部門或商業機構賦予用戶的由法定身份衍生憑證。銀行賬號、數字證書、手機號碼是由政府監管下的第三方商業機構簽發，在申請過程中一般要求與使用主體的法定身份證件或權威證件關聯，具備有效抵抗篡改、盜用、竊取等威脅的能力，由可靠的安全技術和嚴謹的管理流程保障，一般可以追溯到社會主體。該身份存續期較長，在存續期內，載體可以更換。

業務憑證級又稱社交身份，社交身份綁定商業機構、社交場所賦予主體的網絡屬性。主體的網絡屬性可以是網站賬號、電子郵箱、URI、信用值等。當網絡屬性關聯到法定證件或法定證件衍生憑證時，這類可信身份可以追溯其社會主體；當無關聯時，可以通過主體的網絡行為和商業信譽證明其身份可信程度，不需要知道主體的真實身份，只需要知道主體能干什么。此類可信身份形式上更加多樣，很好地滿足網絡社交和網絡業務多樣化需求。

三類身份中，法定信任基礎級、第三方作證級和關聯法定證件的業務憑證級是網絡可信身份，其他的身份應用不屬于網絡可信身份。理清網絡可信身份概念是發展可信身份認證技術的基礎和關鍵，對研究不同應用場景下的身份認證技術具有重要意義。

2.2 網絡空間身份標識與公民法定身份的映射與綁定

網絡可信身份要求實現網絡主體現實身份真實性認證和追溯，這就要求公民“線上身份”和“線下身份”進行綁定。在這方面，我國經歷了兩個階段的探索。

第一階段即“網絡實名制”，實名制要求用戶在辦理某項業務時提供個人真實的身份信息，重點是留存資料備查。實名制推出后確實遏制住一部分網絡暴力犯罪，但是留存用戶實名資料的網絡服務提供商安全防護能力千差萬別，身份資料信息泄露情況較為嚴峻，如此前的社保信息泄露事件、12306信息泄露事件、京東信息泄漏事件等。韓國此前在忽視公民隱私保護的情況下，強推網絡實名制以打擊網絡暴力犯罪，導致全國70%以上國民身份信息泄露，最后網絡實名制以失敗告終。

第二階段是以技術手段實現身份的“前端匿名，后端實名”，公民身份信息不在互聯網上傳輸。代表方案是公安部第一研究所于2013年提出的“基于二代身份證的網上身份證副本”技術。二代證網上副本是居民身份證在網絡上的一種數字存在形式，依托于公安部的全國人口信息庫和居民辦理二代身份證時留下來的信息，將身份證登記項目（姓名、身份證號碼、有效期限等）作為要素進行數字映射，并賦予唯一編號，生成一個終身唯一編號的身份證網上副本，使用過程中網絡不傳輸二代證信息，只對DN號進行驗證，防止個人信息泄露。由于該方案立足身份證現有條件及成熟技術，遵循身份證現有安全體制和管理規則，不在網絡上傳輸身份證信息，應用前景較大。目前該方案仍在試點當中，缺乏“殺手級應用”，公民若在家使用還需要采購身份證讀卡器和攝像頭。此外該方案不支持社會上尚未完全退出流通的一代證。至于其他身份認證方案，如手機號實名認證、數字證書認證都是間接進行身份證號的綁定。

2.3 不同網絡身份認證平臺的互聯互通互信

目前，公安、工商、稅務、質檢、人社、銀行等部門的居民身份證、營業執照、組織機構代碼證、社保卡、銀行卡等基礎可信身份資源數據庫還未實現互通共享，且缺少護照、臺胞證、駕駛證等有效證件的對比數據源，導致數據核查成本較高、效率低；現有的網絡身份認證系統基本上由各部門、各行業自行規劃建設，各系統各自為戰，網絡身份重復認證問題突出，并且“地方保護”“條塊分割”現象嚴重，阻礙了網絡可信身份服務的快速發展。

針對這種問題，目前主要有兩種解決思路。第一種是建立第三方綜合性的可信身份服務平臺，由平臺與公安、工商、電信運營商等權威認證源對接進行實名驗證，為用戶提供跨系統、跨平臺的可信身份認證服務，平臺作為可信第三方不存儲用戶信息，僅提供相關應用接口。第二種則由權威第三方直接建立相關身份數據庫，并向其他應用依賴方提供登錄授權服務。這種服務本質上是采用OpenID和OAuth結合的互聯互通的身份服務和授權登錄技術。用戶在使用QQ或微信號登錄第三方網站（如京東商城）的時候，騰訊使用OpenID技術，充當OpenID身份提供商，為用戶提供身份認證服務。而當用戶使用第三方應用需要使用在QQ或微信中的數據的時候，騰訊則在后臺使用OAuth的體系架構，支持用戶通過第三方應用上獲取自身在QQ或微信上的信息。

兩種方案各有優缺點，第一種方案建設周期快，但本質上并沒有改變身份認證資源重復建設的問題；第二種方案的難點在于建立專門的可信第三方身份數據庫。目前，公安部的人口數據庫雖然信息最全，但由于安全保護原因，尚不能對公眾和依賴方開放；而騰訊、阿里巴巴、新浪微博等基于自身用戶群建立的數據庫尚不是法律意義的可信數據庫，只能滿足用戶的普通社交需求。隨著國家對網絡可信身份服務體系建設的日益重視，身份認證平臺資源的互認互通互信將是一大趨勢。

2.4 移動應用場景下的可信身份認證

伴隨著智能手機的快速普及，移動應用場景已經成為當前最重要的應用場景之一。移動應用環境最大的特點是便利性。而安全和便利天然是一對矛盾體，因此移動應用場景下的進行安全可信的身份認證便成為一大難題。目前，可在移動應用場景下應用的身份認證技術研究進展有幾項。

（1）生物識別技術

生物識別技術是指通過計算機與光學、聲學、生物傳感器和生物統計學原理等高科技手段密切結合，利用人體固有的生理特性（如指紋、面容、虹膜、掌紋、靜脈紋等）和行為特征（如筆跡、聲音、步態等）來進行個人身份的鑒定。生物特征按照身份認證技術三要素分類屬于“持有什么特征”，其唯一性和終身穩定性成為天然的身份認證要素。

近10年來，隨著傳感器精度、CPU運算能力的不斷提高和高精度生物識別數學模型的不斷涌現，生物識別技術發展極其迅速，從早期的指紋、面容、虹膜、筆跡、步態識別擴展至DNA、紅外臉溫譜、耳形、顱骨、牙型等二十余種生物特征。在技術研究方面，當前研究熱點已經由單一生物特征轉向多生物特征融合。國際上，國際標準化組織（ISO）和國際電工委員會（IEC）已經聯合公布了《信息技術-生物特征-多模態和其他多生物特征融合》（ISO/IECTR24722∶2007）標準，該標準不但包含了對多模態和多生物特征融合做法的描述和分析，它還研討了需求、可能的路徑和標準化來支持多生物特征識別系統，以提高其通用性和實用性。

國內，由清華大學丁曉青教授組研制的TH-ID系統多模式生物特征（人臉、筆跡、簽字、虹膜）身份認證識別系統已通過教育部組織的專家鑒定。該系統能夠實現在復雜背景下的圖像和視頻人臉自動檢測、識別和認證，在人臉、筆跡、簽字、虹膜的識別認證技術上取得了重要進展，在整體上達到了國際領先水平。

在商業應用推廣方面，目前最為成熟的是指紋識別和面部設別。在指紋識別方面，北大高科等對指紋識別技術的研究開發國際先進水平，已推出多款產品；漢王科技公司在一對多指紋識別算法上取得重大進展，達到的性能指標中拒識率小于0.1%，誤識率小于0.0001%，居國際先進水平。2014年蘋果公司在iPhone5s上首次集成Touch ID指紋識別組件，掃描手指的真皮層指紋，目前已經升級為2.0版本，識別精度超過同類產品。在面部識別方面，2017年蘋果公司在iPhoneX上首次集成商用化Face ID面部識別組件，搭載環境光傳感器、距離感應器，還集成了TrueDepth紅外鏡頭、泛光感應元件（Flood Camera）和點陣投影器，最后由A11處理器對用戶面部形成的3萬多個紅外點進行超高精度三維建模。

在實際應用中，生物識別功能和FIDO技術結合較為緊密，主流千元級智能手機一般都搭載生物識別模塊（指紋識別和攝像頭），隨著智能手機處理器運算能力和生物識別模塊識別精度的進一步提高，生物識別技術的應用將更加廣泛[1-4]。在安全風險方面，生物識別技術被攻破的概率較傳統的靜態口令低，但值得注意的是需要防范“指模”“臉模”和“照片”攻擊，目前生物特征識別數學模型通過不斷優化升級可以抵御相關攻擊，安全性極高。

（2）FIDO技術

FIDO線上快速身份驗證標準（以下簡稱FIDO標準）是由FIDO聯盟（Fast Identity Online Alliance）提出的一個開放的標準協議。FIDO協議提供U2F和UAF兩種版本，其中U2F協議兼容現有密碼驗證體系，在用戶進行高安全屬性的在線操作時，其需提供一個符合U2F協議的驗證設備作為第二身份驗證因素。UAF則充分地吸收了移動智能設備所具有的新技術，在需要驗證身份時，智能設備利用生物識別技術（如指紋識別、面部識別、虹膜識別等）取得用戶授權，然后通過非對稱加密技術生成加密的認證數據供后臺服務器進行用戶身份驗證操作。目前，谷歌公司已經開發出支

持U2F身份認證的Security Key，該裝置配合Chrome瀏覽器實現網站身份的自動鑒別，當用戶登錄的網站是通過驗證時，用戶無需輸入密碼，只需根據瀏覽器提示按下確認即可，若網站未通過驗證，則該裝置不會運行；聯想旗下國民認證科技有限公司推出的基于FIDO框架的UAP統一身份認證平臺，整合指紋識別和虹膜識別等功能為中國銀行、民生銀行、京東錢包等提供身份認證服務；科技公司Egistec推出的基于FIDO框架的Yukey認證器可以讓用戶通過指紋識別器及生物數據識別腕帶進行聯合身份認證。三星公司也在積極研發推出基于FIDO的身份認證解決方案，其安全身份認證框架和指紋讀取器均通過了FIDO認證；微軟公司在Windows10中全面支持FIDO 2.0版本標準，支持此標準的設備可以具有豐富的第三方生物識別功能，如指紋識別、人臉識別、虹膜識別等，明顯地提升了系統安全性和易用性。此外，以螞蟻金服牽頭的IFAA和騰訊牽頭的TUSI領域守護計劃與FIDO方案本質相同，只是市場定位不同，在此不再展開。

（3）基于大數據行為分析的隱式認證技術

隱式認證一般指認證前臺無需用戶主動參與，由后臺業務系統根據用戶行為表現進行分析，將分析結果與系統中預設用戶正常行為模型進行匹配的認證技術，該技術正常情況下對用戶處于隱蔽狀態。而傳統的身份認證多是在身份認證過程中要求用戶主動提供登錄憑證（如賬號+口令、USB Key、指紋、短信驗證碼），后臺核驗通過后，準許該用戶登錄。這種方式存在一種缺陷：當用戶完成校驗登錄后，系統后續不再對用戶進行持續的身份認證。部分高級系統或設定一個用戶無動作時間閾值，待用戶無動作超時后強制用戶重新登錄。這種傳統的身份認證方式無法應對身份冒用攻擊。隨著大數據技術的快速發展，隱式認證技術成為當前研究的一大熱點，通過對用戶正常行為（如鼠標軌跡、鍵盤敲擊力度、登錄IP統計、GPS位置統計等）進行建模，業務系統一旦發現用戶行為出現異常，則根據行為異常等級進行適度挑戰或者直接拒絕訪問[5]。

目前，國外已有多個用戶行為分析產品商業化，如美國Heap、Trak公司的產品可以實時實現用戶全程操作行為記錄，一旦發現異常可以進行自動郵件提醒；Mouseflow公司的產品可以通過記錄用戶鼠標歷史軌跡進而對用戶操作進行分析。國內阿里巴巴和騰訊通過淘寶、天貓、QQ、微信等應用積累了大量用戶行為數據，并提取了上萬個行為維度，利用大數據的風險識別可以對用戶行為進行有效分析，從而對用戶進行精準的分類分層，可實時判斷每一個用戶的認證動機，對不同風險等級的用戶采取不同的認證方式，保障正常用戶的快捷體驗，而風險用戶則無法簡單的通過盜用他人信息通過認證。通過建立自學習的風險控制引擎（Risk Engine）實現對用戶異常行為（可疑登錄、轉賬）的預警、質疑和阻止，對可能存在被盜或買賣的賬戶進行二次認證，確保身份信息持續有效[6，7]。

（4）移動數字證書技術

生物識別技術和大數據行為分析技術等解決的是身份認證中“我是我”問題，對于“我是誰”的問題，仍需要數字證書來解決。目前國內主要有兩代產品：第一代移動數字證書是基于手機SIM卡載體，俗稱SIM盾，用戶的數字證書集成在專用SIM卡中，只需依賴方APP支持該SIM盾，用戶即可方便的使用其進行身份驗證和數字簽名。該方案本質上是傳統優盾的微型化，并沒有從根本上解決傳統優盾與移動互聯網應用的矛盾，雖然用戶后期使用較為方便，但是前提是用戶必須前往專門的電信運營商處更換專用SIM卡。

目前國內浦發銀行和中國移動推出過相關產品[8]。第二代移動數字證書一般被稱為“手機盾”，用手機實現傳統優盾（USB Key）的全部功能，它不依賴硬件密碼芯片，用軟件實現可靠的密碼設備、密碼運算和CA數字證書等全部功能。為克服傳統文件證書對用戶私鑰保護力度不夠的問題，手機盾采用密碼分割計算技術，保證在不重現完整密鑰的前提下完成數字簽名、加解密等操作，從而規避密鑰被惡意程序直接跟蹤截取的風險。此外，通過手機盾對密鑰進行分散存儲（終端和云端），有效地解決終端密鑰的安全存儲管理問題。手機盾方案作為PKI技術應用的最新方案，研究較為火熱，自2016年底開始陸續有相關商業化產品面世，截止2017年底，國內已有4家產品獲得國家密碼管理局《商用密碼產品型號證書》，2家產品通過GM/T0028-2014《密碼模塊安全技術要求》二級要求。該技術目前存在的問題是，根據《密碼模塊安全技術要求》，軟件密碼模塊最高僅可達到二級要求，而傳統優盾最高可達到三級以上，因此部分高安全等級業務系統可能不適合應用該方案，且該技術較新，其穩定性、可靠性、高頻交易響應程度都有待市場檢驗[9]。

（5）短信驗證碼技術

短信驗證碼技術是由依賴方通過驗證碼接入商發送4-6位驗證碼至用戶手機，在限定時間內由用戶輸入驗證的身份認證方案。該方案使用極為簡便，安全性較高，但容易遭到偽基站的欺騙攻擊和惡意軟件的短信攔截攻擊。其技術已經非常成熟，在此不再贅述。

移動應用廠商在開發應用身份認證系統時，往往根據業務的安全需求將業務分成基礎級和敏感級，根據業務安全等級的不同采用上述一種或多種身份認證技術，如，社交賬號的登錄和管理操作為基礎級，而對賬號關聯的金融賬戶在進行轉賬、支付交易的操作則劃為敏感級，用戶需要進行額外的身份挑戰和校驗，如校驗手機內置數字證書、手機驗證碼、動態口令牌、指紋等生物信息、支付密碼等方式。

2.5 與身份認證技術相關的個人隱私泄露

在隱私泄露風險防范方面，學術界和產業界的研究主要關注三方面內容：一是用戶的姓名、身份證號、住址等身份證信息泄露；二是用戶的個人生物特征泄露；三是個人行為信息泄露。針對第一點，以二代證網上副本技術為代表的一批身份認證技術，由于不在互聯網上傳輸身份證信息，技術本身一般不會引發信息泄露。針對第二點，由于自然人個體生物特征的有限性和唯一性，一旦泄露將造成無可挽回的損失，目前相關技術標準和廠商已經進行了防范。如FIDO中，根據UAF協議，用戶所有的個人生物數據與私有密鑰都只存儲在用戶設備中，無需經網絡傳送到網站服務器，而服務器只需存儲有用戶的公鑰即可完成用戶身份驗證。蘋果手機廣泛使用的TouchID，原始指紋是存在本機安全硬件Secure Enclave中，不可導出，該硬件中的信息只有處理器可以訪問，其他任何軟件無權訪問，保證生物特征數據不外泄。而驗證方法則是基于類似HMAC的算法。（1）服務端只需存儲用戶指紋信息Hash后的摘要值，而不存儲原始的指紋信息，因此服務器即使被入侵，也不會泄露用戶的指紋信息。（2）驗證指紋的過程中，用戶的指紋信息不會在網絡上傳輸，而只是傳輸指紋信息哈希后的摘要值。即使被竊取，也無法還原出原始指紋信息。并且由于 HMAC 具有的防重放攻擊特性，攻擊者也無法憑借該段摘要偽造用戶身份執行其他操作[10-12]。對于建立中心化的國家級的生物特征數據庫，各國均持審慎態度。目前已披露的僅有印度的Aadhaar項目，該項目自2009年開始實施，截止2015年底，已對8.2億印度公民實施了生物識別數據采集（包括照片、十指指紋和虹膜掃描），同時為每個居民提供唯一的12位身份證明編號并建立關聯，據印度政府宣稱，該系統建有多層隔離系統，安全防護強度極高。針對第三點，由于部分企業在進行身份認證時搜集了用戶的上網行為、GPS位置等行為信息，企業有可能利用這些信息對用戶進行精準營銷、短信轟炸，這種隱私泄露雖然不可避免，但可以通過法律來對企業進行約束。

2.6 云計算、移動互聯網環境下傳統數字證書的應用及安全

傳統數字證書應用歷史悠久，最為一種高安全等級的身份認證手段，其表現形式多種多樣，在PC端應用較為廣泛。常見形式有USB Key、eID卡、IC卡、支付盾、文件證書、移動證書等。但是，隨著云計算和移動互聯網時代的到來，傳統數字證書應用也面臨著諸多挑戰。

一是安全性問題。近幾年來RSA1024、SHA-1等應用于PKI電子認證的經典密碼接連被密碼學家破解，而這些破解無一例外借助了強大的運算能力，云計算的普及使黑客暴力破解逐漸成為現實。除了進一步升級密碼強度外，研究人員也在尋找其他能用于身份認證的技術，其中區塊鏈技術研究最為火熱，相比傳統中心化的PKI電子認證方式，其優勢有三點。

（1）身份信息更難篡改。每個人一出生便會形成自己的數字身份信息，同時得到一個公鑰和一個私鑰，利用時間戳技術形成區塊鏈，在共識機制保證下，數據篡改極為困難（51%攻擊）。

（2）系統信息分布式存放，系統上的所有節點均可下載存放最新、最全的身份認證信息。人們不必再隨時攜帶自己的身份證，只需要通過公鑰證明“我是我”，通過私鑰自由管理自己的身份信息。

（3）激勵機制的存在促使用戶積極維護整個區塊鏈，保證系統長期良性運作，系統穩定性更高、維護成本更低[13，14]。目前，已經有部分區塊鏈身份認證和電子存證產品面世，如2017年區塊鏈企業ShoCard與航空服務商SITA合作開發了SITA Digital Traveler Identity APP的身份認證應用。該應用融合了基于區塊鏈的數據和面部識別技術，致力于簡化航空公司乘客身份驗證流程，以及實現機場實時數據流；微軟宣布和Blockstack Labs、ConsenSys合作，推出基于區塊鏈技術的身份識別系統，實現人、產品、應用和服務的深度交互；IBM與法國國民互助信貸銀行（CréditMutuelArkéa）合作完成了一個基于區塊鏈技術的身份認證系統，該系統采用超級賬本（Hyperledger）區塊鏈框架引導客戶向第三方（比如本地公共部門或零售商）提供身份證明。

國內在線合同簽署企業法大大聯合阿里云郵箱推出了基于區塊鏈技術的郵箱存證產品、眾簽科技與中證司法鑒定中心合作推出了“存證云”司法鑒定平臺、北京合鏈共贏科技開發的文檔存證系統等都運用區塊鏈技術對用戶身份和文件進行鑒別和防偽。

目前，利用區塊鏈技術進行在線身份認證尚不成熟，具有可操作意義的商業化應用較少，但該方案技術優勢明顯，發展潛力極大[15-17]。

二是證書管理復雜。傳統PKI技術存在需要大量交換數字證書的問題，證書管理和交換十分繁瑣。1984年以色列密碼學家Shamir提出IBC（Identity-Based Cryptograph，基于標識的密碼）體系。該體系是在傳統的PKI體系基礎上發展而來，除了保有PKI體系的技術優點外，主要解決了在具體安全應用中PKI體系需要大量交換數字證書的問題，使安全應用更加易于部署和使用。IBC體系不再依賴數字證書和證書管理系統，簡化了密鑰和證書管理的復雜性。在PKI體系中，需要為每一個用戶創建和維護一張數字證書，這些與證書相關的密鑰要不斷更新，舊密鑰和舊證書還不能立刻丟棄，需要進行歸檔，人員離開后就要撤銷相關的證書放入撤銷列表，因此撤銷列表也需要不斷發布、更新和維護。這種管理體系十分復雜。在IBC體系中，可以使用用戶唯一標識（比如郵箱地址）+主密鑰+公共參數代替發放給用戶的證書，通過每個人的郵箱地址結合主密鑰和公共參數就可以為每個用戶創建唯一的私鑰，管理員只需要管理主密鑰+公共參數即可，這樣就極大地簡化了密鑰的管理，IBC體系中的密鑰管理只包括密鑰產生和密鑰更新[18，19]。

IBC體系雖然解決了PKI體系中復雜的證書管理問題，但也面臨著私鑰管理等問題的挑戰。基于IBC的密碼系統（如SM9）雖然無需再管理數字證書，但是其歸根結底是屬于非對稱密碼算法的，系統的安全性仍然由私鑰的安全性來決定。私鑰存儲介質的問題無法回避：在IBC體系中，用戶私鑰雖然是在中央的密鑰服務器生成的，但是從用戶可控角度來講，其私鑰仍然要下發給用戶本人保存，如果用戶本人沒有安全的密鑰存儲介質，整個安全體系的安全性還是無從談起，這與PKI體系遇到的問題是完全一樣的。所以，即使在基于IBC的密碼系統中，用戶私鑰的安全存儲介質依然是必須要解決的問題。

私鑰的分發安全問題需要考慮：在標準的PKI體系中，用戶私鑰是在終端本地安全生成并存儲的，無需傳輸到后臺，不存在私鑰在網絡中傳送的問題；而在IBC體系中，私鑰在中央的密鑰服務器生成，私鑰要通過網絡傳送給終端側，在傳輸過程中的私鑰安全如何保證成了 IBC 體系相對于 PKI 體系新衍生的問題。基于這一點，就需要傳輸私鑰的網絡盡可能是內部網絡以保證私鑰分發的安全，這也是IBC體系（SM9）不太適用于開放網絡大規模應用的原因之一。

三是介質問題。硬件介質設計之初是為了保證用戶私鑰不可導出，但是隨著移動互聯網的快速發展，傳統USB Key無法在手機端應用，而改良版的藍牙Key等依舊容易丟失、損壞，且一旦丟失或損壞，數字證書需要重新簽發，使用十分不便，近年來逐漸被移動數字證書所替代。

2.7 小結

本章從網絡可信身份認證技術在應用過程中面臨六大問題與挑戰入手，明確了網絡可信身份的內涵與外延，分析了各種不同的身份認證技術在解決上述問題時的基本做法。以下從抗抵賴性、安全性、易用性、成熟度和用戶使用成本五個維度對本章所涉及的身份認證技術進行橫向對比，五個維度定義見表1；劃分結果按照“高/中/低”進行定性，結果見表2所示。

通過表2可以看出，主流的技術在關鍵的抗抵賴性和安全性上，均達到中等偏上水平。傳統技術經過多年發展和改良，其成熟度較高；絕大多數新技術在安全性上有所突破但在易用性上受限于技術發展水平還不理想。

3 發展趨勢

隨著大數據、人工智能、移動互聯網、物聯網、云計算等技術的快速發展，網絡身份認證技術演進呈現出四個發展趨勢。

（1）由離線數字證書為主導的證書服務演化為以在線身份服務為主導的身份管理。傳統的身份認證往往局限于數字證書服務，但隨著網絡社會的快速發展，公民對身份認證的需求會逐漸擴大到身份鑒別、行為分析、隱私保護、行為管理和行為追蹤等綜合性身份管理范圍。

（2）以靜態認證為主導的身份鑒別發展為以大數據風控為主導，融合多種技術的身份鑒別。傳統的身份認證往往是單因素或雙因素的靜態認證，如賬號+口令、短信驗證碼、數字證書等，但隨著云計算、人工智能等新技術的應用，網絡空間身份冒用形勢空前嚴峻，靜態認證已經力不從心，而以大數據風控為核心融合多種身份認證技術的身份鑒別模式有望能應對挑戰。

（3）簡單的是或否單一模式身份認證轉變為具有多模式多安全級別的身份認證。傳統身份認證系統業務劃分粒度較粗，甚至沒有劃分。用戶一旦通過校驗便獲得全部操作權限。隨著網上業務系統功能的日趨復雜，業務操作訪問控制權限將更加細分。以在線支付系統為例，不同敏感程度的交易信息、不同金額的交易將對應不同級別的身份認證。

（4）專業化的共享共用身份管理服務逐步替代孤島隔離的分散的身份管理。身份管理邊界將逐漸被打破，逐步形成以用戶為中心的身份管理，各類身份認證技術將逐步統一在一個身份管理框架體系中，目前OpenID、Oauth、SAML/FIDO/IFAA/SOTER等身份服務互聯互通標準已經逐漸形成[20]。

4 結束語

（1）網絡可信身份的內涵目前學術界和產業界尚未完全統一，其是我國網絡空間身份管理的理論根基，需要高度重視。

（2）現階段，多種網絡可信身份認證技術共生共存，大多數身份認證技術都針對特定的應用場景進行了優化，其中以移動互聯網應用場景較為常見。

（3）身份認證技術的應用與業務的安全需求相匹配，業務安全等級越高，對身份認證技術的要求就越高。

（4）隱私泄露問題是身份認證技術研發考慮的重要問題之一，相關技術在研發時應避免身份信息、生物數據在網上傳輸（無論是明文還是加密）。而通過大數據分析技術得到用戶隱私畫像則需要通過法律來對企業使用進行約束。

（5）傳統身份認證技術經過多年發展和改良，其成熟度較高；絕大多數新技術在安全性上有所突破但在易用性上受限于技術發展水平還不理想。

（6）未來身份認證技術將朝著以大數據風控為核心、多種身份認證技術互通融合、層次權限分明的方向發展。

參考文獻

[1] 曠野，閆曉麗.美國網絡空間可信身份戰略的真實意圖[J].信息安全與技術， 2012， 3（11）：3-6.

[2] 田梅靖，杜琳琳.生物特征識別專利技術綜述[J].科技展望， 2017，27（23）： 303.

[3] 章婧.圖像形成裝置的身份認證技術專利技術綜述[J].中國新通信， 2016（04）： 156.

[4] 李彥明.多通道生物認證關鍵技術的研究[D].蘭州理工大學，2014.

[5] 呂經華.基于用戶行為分析的私有云數據安全動態訪問控制模型研究[D].湖北民族學院，2017.

[6] 何雪海，黃明浩，宋飛.網絡安全用戶行為畫像方案設計[J].通信技術， 2017（04）： 789-794.

[7] 王文釗.基于用戶行為的農業信息云平臺統一身份認證技術研究[D].河北農業大學，2015.

[8] 《金融科技時代》編輯部.徽商銀行首推基于安全芯片的手機證書業務[J].金融科技時代， 2017（11）： 100.

[9] 裴斐.移動數字簽名平臺的研究與實現[D].北京郵電大學， 2014.

[10] 于為民，等.全手形特征的生物識別技術綜述[J].大連民族學院學報， 2012（01）： 19-23.

[11] 王曉棟.基于指紋和用戶信息的數字水印身份認證系統的設計[D].蘇州大學，2009.

[12] 董立羽.現代生物特征識別技術發展綜述[J].電腦與信息技術， 2007（05）： 11-13+53.

[13] 庹小忠.區塊鏈在身份認證中的應用[J].科技經濟導刊， 2017（03）： 26-27.

[14] 鄧迪.區塊鏈技術最新的認識和成果[J].新經濟， 2016（19）： 90-91.

[15] 李鳳英，何屹峰與齊宇歆.MOOC學習者身份認證模式的研究——基于雙因子模糊認證和區塊鏈技術[J].遠程教育雜志， 2017（04）： 49-57.

[16] 周潔，李文宇，郭剛.區塊鏈技術的專利態勢分析[J].電信網技術， 2017（03）： 37-42.

[17] 閻軍智，等.基于區塊鏈的PKI數字證書系統[J].電信工程技術與標準化， 2017（11）： 16-20.

[18] 聞慶峰，楊文捷，張永強.SM9及其PKI在電子政務郵件系統中的應用[J].計算機應用與軟件， 2017（04）： 105-109.

[19] 袁峰，程朝輝.SM9標識密碼算法綜述[J].信息安全研究， 2016（11）： 1008-1027.

[20] 劉權. 2017年網絡安全十大發展趨勢[J].網絡空間安全， 2017，8（1）：32-34.