遠(yuǎn)程身份認(rèn)證威脅分析與對策

文｜曹鯤鵬 蔣國兵

20世紀(jì)90年代, 美國《紐約客》雜志有句很有名的俚語：“On the Internet, nobody knows you're a dog”(在互聯(lián)網(wǎng)上,沒有人知道你是一條狗)。30多年后的今天,在身份認(rèn)證領(lǐng)域，這句話仍然有著別樣的意味。以靜態(tài)密碼為例，這是最常見的身份驗證方法, 但因其容易被盜用、猜解等脆弱性，被攻破的可能性也極大。安全系數(shù)較高的動態(tài)密碼雖然具備攻擊難、破譯難度高等優(yōu)點，但最新研究表明，攻擊者仍然可以利用新型的一次性密碼機(jī)器人（One-Time Password Bot，最早于2021年初開始對外提供服務(wù)，平均售價為500-700美元）并結(jié)合社會工程學(xué)等手段，在短時間內(nèi)快速誘騙受害者泄露收到的一次性密碼和其它身份信息，安全并不是固若金湯。

“Anytime，anywhere, anyway”是互聯(lián)網(wǎng)追求的極致目標(biāo)，但不斷涌現(xiàn)的因個人電子身份偽造與盜用造成的隱私泄露、惡意欺詐、財務(wù)損失等安全事件，迫使研究者們開始全面分析身份認(rèn)證的各類威脅，嚴(yán)謹(jǐn)?shù)乜创麄€認(rèn)證過程的真實性與可靠性，竭力遏制風(fēng)險的蔓延。

按照ETSI TS 119461的定義，一個完整的身份認(rèn)證過程應(yīng)包含五個環(huán)節(jié)，如圖1所示。

圖1 身份認(rèn)證過程

每個環(huán)節(jié)的業(yè)務(wù)屬性、內(nèi)容不同，安全威脅也各有所異，下面一一解析。

一、認(rèn)證申請

不同于現(xiàn)場身份認(rèn)證，遠(yuǎn)程身份認(rèn)證較難感知對方的真實性，攻擊者可以通過發(fā)送短信或郵件巧妙把對方引入到事先設(shè)置的釣魚網(wǎng)站，引誘身份認(rèn)證主體（下文簡稱為認(rèn)證主體、主體）按照指示一步步進(jìn)行操作，從而成功竊取個人身份信息。防范對策有設(shè)置郵件白名單。對于不明郵件，不隨便點擊郵件中的鏈接，同時要對發(fā)送人進(jìn)行詳細(xì)身份核實。

二、證據(jù)采集

申請通過后，認(rèn)證主體按照身份認(rèn)證服務(wù)商（下文簡稱為認(rèn)證服務(wù)商、服務(wù)商）的要求輸入或提交證據(jù)，如姓名、電話號碼、照片、視頻、身份證或護(hù)照號等。服務(wù)商因身份認(rèn)證目的而采集的個人信息應(yīng)事先征得認(rèn)證主體明確同意，并遵從法律法規(guī)要求和最小化采集原則，確保合法合規(guī)。如果超出應(yīng)有目的和范圍等采集個人信息，認(rèn)證主體應(yīng)有必要的警惕，并要求服務(wù)商進(jìn)行合理性和必要性的澄清。

三、證據(jù)真實性、有效性驗證

在證據(jù)驗證環(huán)節(jié)，認(rèn)證的威脅主要來自認(rèn)證主體一方：提交的證據(jù)可能存在假冒、偽造、過期的風(fēng)險。與身份有關(guān)的常見欺騙性攻擊如下：

（一）圖片攻擊

基于圖片的身份認(rèn)證是一種常見的認(rèn)證技術(shù)。但隨著PS技術(shù)的發(fā)展，圖片偽造幾乎可以達(dá)到以假亂真的地步，且仿造成本極低，一定程度降低了認(rèn)證的可靠性。一般而言，低質(zhì)量的照片被偽造的可能性越高。防范對策為身份認(rèn)證時對圖片的參數(shù)（如像素和分辨率等）設(shè)置明確要求，低質(zhì)量的證據(jù)拒絕通過或者要求提交附加信息作為補(bǔ)充。

（二）文件證明攻擊

常見的用于身份認(rèn)證的文件有個人身份證、護(hù)照等有公信力的證件。但此類證件容易丟失、過期或仿冒，一定程度減弱了身份認(rèn)證的有效性。如果采用嵌有個人身份證明的芯片，能有效避免此類麻煩。以護(hù)照為例，當(dāng)中嵌有一個RFID（射頻識別）芯片，其中存儲了有關(guān)護(hù)照和護(hù)照持有人的數(shù)據(jù)（如姓名、出生日期、護(hù)照號碼、高清頭像等），可以通過專用的RFID閱讀器進(jìn)行讀取，芯片還帶有唯一識別號和數(shù)字簽名作為保護(hù)措施。為確保只有經(jīng)過授權(quán)的RFID閱讀器才能讀取數(shù)據(jù)，在護(hù)照芯片中還存儲了一對加密的秘鑰，當(dāng)閱讀器試圖讀取護(hù)照時，它會執(zhí)行加解密交互：如果解密成功，芯片才會釋放數(shù)據(jù)內(nèi)容。否則，閱讀器被視為未經(jīng)授權(quán)，芯片就會拒絕閱讀器的訪問。而解密的方法，就是輸入護(hù)照上的MRZ碼。MRZ碼必須先通過OCR（光學(xué)字符識別）技術(shù)掃描后獲取，可以有效防止他人在不知情的情況下隨意讀取護(hù)照信息。

（三）視頻攻擊

基于視頻的身份認(rèn)證方式下，被認(rèn)證方一般通過終端設(shè)備（如個人筆記本電腦或手機(jī)）下載對應(yīng)的APP程序進(jìn)行個人影像采集，這樣做的優(yōu)點在于能夠提供豐富的數(shù)據(jù)用于分析，認(rèn)證的可信度更高。視頻中，主體按照要求上下、左右點頭、眨眼甚至張嘴，以此證明自己為活體。但這類認(rèn)證方式存在一定的漏洞：如果要求主體點頭、眨眼、張嘴的順序是固定的，一旦攻擊者摸清次序后，會播放預(yù)先錄制的視頻，以此蒙混過關(guān)。建議的防范對策是服務(wù)商設(shè)計隨機(jī)認(rèn)證程序，每次要求的認(rèn)證動作不固定、隨時間而變化：如第一次為上下、左右，第二次為右左、下上，諸如此類等等。

（四）3D面具攻擊

現(xiàn)代科技的迅猛發(fā)展，特別是3D打印的興起，使得武俠小說中的易容技術(shù)成為現(xiàn)實。2019年，國外某人工智能公司的實驗人員佩戴公司自制的3D面具，成功騙過了國內(nèi)某火車站的閘機(jī)并刷臉進(jìn)站，引起公眾震撼。面具類攻擊的危害雖然極大，但用于制作面具的材料和真實人類的皮膚特性在結(jié)構(gòu)、彈性、血液流動、顏色上存在一定差異，而這些細(xì)微差異可以被先進(jìn)的探測系統(tǒng)甄別出并拒絕身份驗證通過。其次，打造出幾乎能以假亂真的面具，需要極高的技能并投入大量的財力和物力。因此，如果目標(biāo)對象的重要性不是極高，發(fā)起此類攻擊并不是一個高明的抉擇。

（五）深度偽造攻擊

采用深度合成軟件，借助AI技術(shù)或機(jī)器學(xué)習(xí)創(chuàng)造或修改音頻或視頻，可以讓人“言”所未言、“行”所未行，以假亂真，混淆真相，甚至換臉名人等。該技術(shù)一旦被濫用，跨越道德和法律的邊界時，就會出現(xiàn)“深度偽造”。此項技術(shù)可能帶來的極大危害性和破壞性已引起各國標(biāo)準(zhǔn)組織和監(jiān)管機(jī)構(gòu)的重視，民眾也在呼吁制定相應(yīng)的管控舉措。從實現(xiàn)的難易性看，此項技術(shù)需要大樣本學(xué)習(xí)：如果不是公眾人物，要獲取一個普通人物的大量視頻和音頻數(shù)據(jù)有相當(dāng)難度。另外，機(jī)器學(xué)習(xí)需要數(shù)小時的反復(fù)訓(xùn)練，這意味著要配備能處理大量數(shù)據(jù)的設(shè)備，存在一定的技術(shù)門檻，攻擊成本較高。

四、證據(jù)與認(rèn)證主體之間的關(guān)聯(lián)比對

證據(jù)驗證通過，僅表示提交的證據(jù)本身無問題，并不能完全代表認(rèn)證主體為證據(jù)的合法持有人。畢竟，證據(jù)的獲取可能來自一些不光彩的手段（如偷竊、偽造等）。因此，驗證認(rèn)證主體為證據(jù)的合法持有者十分關(guān)鍵。在此環(huán)節(jié)，可以結(jié)合多個補(bǔ)充信息進(jìn)行綜合分析：如向事先預(yù)留的手機(jī)號碼發(fā)送短信驗證碼，并要求認(rèn)證主體在限定時間內(nèi)輸入收到的驗證碼；或要求認(rèn)證主體用個人移動終端補(bǔ)充采集面部信息以及進(jìn)行一些隨機(jī)動作自證其活體性。

五、認(rèn)證結(jié)果發(fā)布

身份認(rèn)證結(jié)果（通過或不通過）告知主體的途徑應(yīng)安全，加密、數(shù)字簽名保護(hù)為首選。如果認(rèn)證未通過，服務(wù)商不應(yīng)明確告知認(rèn)證主體未通過的原因（比如，ID不匹配，文件已過期、數(shù)據(jù)庫已有同樣的記錄等），避免結(jié)果被惡意利用，如修改認(rèn)證信息后多次反復(fù)嘗試等。

為確保認(rèn)證過程的可追溯性以及支持認(rèn)證結(jié)果的復(fù)現(xiàn)或二次驗證，在遵循當(dāng)?shù)胤煞ㄒ?guī)的前提下，整個認(rèn)證過程（如視頻、照片播放和演示順序等）應(yīng)以不可篡改的日志形式進(jìn)行記錄，并在一定時間內(nèi)適度留存。

科學(xué)技術(shù)的發(fā)展日新月異，以遠(yuǎn)程辦公、醫(yī)療、運維等服務(wù)為代表的新科技，在給民眾提供極大商業(yè)、生活便利的同時，無形中也打開了身份威脅的潘多拉盒子。為確保身份認(rèn)證的可信性，不僅認(rèn)證主體應(yīng)加強(qiáng)相關(guān)風(fēng)險識別以及個人信息的安全防護(hù)，認(rèn)證服務(wù)商也應(yīng)加強(qiáng)過程中的安全運營，在遵從法律法規(guī)制度的前提下，持續(xù)提供安全可靠的服務(wù)，贏得公眾信賴。