TMT观察网_独特视角观察TMT行业

在數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無(wú)二的物理身份。

如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，就成為一個(gè)很重要的問題。身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問題。 

如何通過技術(shù)手段保證用戶的物理身份與數(shù)字身份相對(duì)應(yīng)呢？在真實(shí)世界中，驗(yàn)證一個(gè)人的身份主要通過三種方式判定，一是根據(jù)你所知道的信息來(lái)證明你的身份(What You Know)，假設(shè)某些信息只有某個(gè)人知道，比如暗號(hào)等，通過詢問這個(gè)信息就可以確認(rèn)這個(gè)人的身份；二是根據(jù)你所擁有的東西來(lái)證明你的身份(What You Have)，假設(shè)某一個(gè)東西只有某個(gè)人有，比如印章等，通過出示這個(gè)東西也可以確認(rèn)真?zhèn)€人的身份；三是直接根據(jù)你獨(dú)一無(wú)二的身體特征來(lái)證明你的身份(Who You Are)，比如指紋、面貌等。 

身份認(rèn)證技術(shù)的發(fā)展，經(jīng)歷了從軟件認(rèn)證到硬件認(rèn)證，從單因子認(rèn)證到雙因子認(rèn)證，從靜態(tài)認(rèn)證到動(dòng)態(tài)認(rèn)證，現(xiàn)在又要經(jīng)歷從中心化到區(qū)塊鏈去中心化技術(shù)的過程。

總的來(lái)說，市場(chǎng)上的數(shù)字身份認(rèn)證方式主要有以下七大類：

基于靜態(tài)口令的認(rèn)證

“用戶名 密碼”是最簡(jiǎn)單也是最常用的身份認(rèn)證方法，它是基于“What You Know”的驗(yàn)證手段。每個(gè)用戶的密碼是由這個(gè)用戶自己設(shè)定的，只有他自己才知道，因此只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為他就是這個(gè)用戶。

然而，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如自己或家人的生日、電話號(hào)碼等容易被他人猜測(cè)到的有意義的字符串作為密碼，或者把密碼抄在一個(gè)自己認(rèn)為安全的地方，這都存在著許多安全隱患，極易造成密碼泄露。

基于動(dòng)態(tài)口令的認(rèn)證

動(dòng)態(tài)口令，全稱叫One-Time Password(OTP)，是根據(jù)專門的算法每隔60秒生成一個(gè)與時(shí)間相關(guān)的、不可預(yù)測(cè)的隨機(jī)數(shù)字組合，每個(gè)口令只能使用一次，每天可以產(chǎn)生43200個(gè)密碼。采用動(dòng)態(tài)口令就無(wú)需定期更換密碼，安全省心。動(dòng)態(tài)令牌即是用來(lái)生成動(dòng)態(tài)口令的終端，動(dòng)態(tài)令牌從終端來(lái)分類包含硬件令牌和手機(jī)令牌兩種。

在生成動(dòng)態(tài)口令的過程中，不會(huì)產(chǎn)生任何通信及費(fèi)用，因此不會(huì)在通信信道中被截取，欠費(fèi)和無(wú)信號(hào)對(duì)其不產(chǎn)生任何影響，具有高安全性、零成本、無(wú)需攜帶等優(yōu)勢(shì)。但如果客戶端與服務(wù)器端程序的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無(wú)法登錄的問題，這使用戶的使用非常不方便。

基于USB Key的認(rèn)證

USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。使用USB Key存放代表用戶唯一身份數(shù)字證書和用戶私鑰。在此基于PKI體系的整體解決方案中，用戶的私鑰是在高安全度的USB Key內(nèi)產(chǎn)生，并且終身不可導(dǎo)出到USB s Key外部。

不過USB Key在使用時(shí)需要在客戶端安裝軟件，且需要插入到客戶端才能使用，作為一個(gè)獨(dú)立硬件，攜帶不便，且有內(nèi)置電池失效的問題，更換電池麻煩。另外，近年來(lái)網(wǎng)上銀行用戶的爆發(fā)，USBKey并非絕對(duì)安全，也存在被破解的可能。

基于智能IC卡的認(rèn)證

IC卡認(rèn)證是基于“What You Have”的手段，比如金融IC卡，即銀行卡、信用卡等銀行系列產(chǎn)品的應(yīng)用。通過IC卡硬件不可復(fù)制來(lái)保證用戶身份不會(huì)被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息。因此，靜態(tài)驗(yàn)證的方式還是存在根本的安全隱患。 

基于數(shù)字證書的認(rèn)證

數(shù)字證書由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)，或由企業(yè)級(jí)CA系統(tǒng)進(jìn)行簽發(fā)，是提供在Internet上進(jìn)行身份驗(yàn)證的權(quán)威性的電子文檔，在互聯(lián)網(wǎng)通訊中用來(lái)證明自己的身份和識(shí)別對(duì)方的身份。

以數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性。使用了數(shù)字證書，即使發(fā)送的信息在網(wǎng)上被他人截獲，甚至在丟失個(gè)人的賬戶、密碼等信息的情況下，仍可以保證賬戶資金安全。

基于生物識(shí)別技術(shù)的認(rèn)證

生物特征具有唯一性，可以測(cè)量或可自動(dòng)識(shí)別人類的生理特征和行為特征來(lái)進(jìn)行個(gè)人身份認(rèn)證的鑒定。可用于生物識(shí)別的生物特征有手形、指紋、臉形、虹膜、視網(wǎng)膜、脈搏、耳廓等，行為特征有簽字、聲音、按鍵力度等。

采用生物識(shí)別技術(shù)，可不必再記憶和設(shè)置密碼，使用更加安全方便。但生物數(shù)據(jù)一般儲(chǔ)存于中心化系統(tǒng)之中，有被黑客竊取的風(fēng)險(xiǎn)，就像印度國(guó)家身份認(rèn)證系統(tǒng)Aadhaar遭遇黑客攻擊導(dǎo)致泄露，超過210個(gè)政府網(wǎng)站上公開暴露了Aadhaar用戶的詳細(xì)信息，包括用戶的姓名、家庭住址、Aadhaar號(hào)碼、指紋與虹膜掃描以及其他敏感個(gè)人信息等。

基于區(qū)塊鏈的數(shù)字身份

互聯(lián)網(wǎng)上的數(shù)字身份，主要解決兩個(gè)問題：驗(yàn)證(Authenticate)與授權(quán)(Authorization)，也就是你可以做什么？你擁有什么？但互聯(lián)網(wǎng)發(fā)展至今，依然存在一些無(wú)法解決的問題：身份信息管理碎片化，用戶需要不斷重復(fù)注冊(cè)賬號(hào)或賬戶，依賴第三方服務(wù)商的能力與自律等。

如今，有許多區(qū)塊鏈數(shù)字身份公司，正在通過區(qū)塊鏈技術(shù)，為可信數(shù)字身份的發(fā)展提供了更大的技術(shù)動(dòng)力。在區(qū)塊鏈數(shù)字身份方案中，借助非對(duì)稱加密，私鑰擁有者可以推導(dǎo)出相應(yīng)的地址，作為身份的唯一標(biāo)識(shí)符，進(jìn)而將身份屬性通過智能合約進(jìn)行關(guān)聯(lián)。用戶可以選擇性地公開身份數(shù)據(jù)，也可對(duì)第三方進(jìn)行授權(quán)使用，同時(shí)因?yàn)閰^(qū)塊鏈去中心化的特性，服務(wù)商之間不必維護(hù)用戶身份存儲(chǔ)，統(tǒng)一從區(qū)塊鏈中公開或授權(quán)的方式獲得相關(guān)信息即可。

根據(jù)Research & Markets網(wǎng)站上的一份報(bào)告顯示，全球區(qū)塊鏈身份管理市場(chǎng)將從2018年的9040萬(wàn)美元增長(zhǎng)到2023年的19.299億美元，預(yù)測(cè)期內(nèi)復(fù)合年增長(zhǎng)率（CAGR）為84.5％。與所有新興技術(shù)一樣，將區(qū)塊鏈作為身份管理系統(tǒng)的工具也許會(huì)在未來(lái)五年內(nèi)會(huì)產(chǎn)生更顯而易見的作用，但是其具體規(guī)模取決于該行業(yè)是否能解決一些現(xiàn)實(shí)的身份問題。

如果把信息安全體系看作一個(gè)木桶，那么這些安全技術(shù)就是組成木桶的一塊塊木板，而整個(gè)系統(tǒng)的安全性取決于最短的一塊木板。而數(shù)字身份中的身份認(rèn)證模塊就相當(dāng)于木桶的桶底，由它來(lái)保證物理身份和數(shù)字身份的統(tǒng)一，如果桶底是漏的，那桶壁上的木板再長(zhǎng)也沒有用。

因此，身份認(rèn)證是整個(gè)數(shù)字身份體系最基礎(chǔ)的模塊，一切應(yīng)用和業(yè)務(wù)都要建立在可信的標(biāo)準(zhǔn)身份接口之上，如今的成績(jī)只是一小步，未來(lái)在數(shù)字身份領(lǐng)域還有更多未知等待行業(yè)去探索和發(fā)現(xiàn)