“互联网+”时代身份识别与认证安全问题研究

董 霁，国 炜，杜 云/Dong Ji,Guo Wei,Du Yun

（中国信息通信研究院 北京100191）

（China Academy of Information and Communication Technology,Beijing 100191,China）

1 前言

随着万物互联、工业4.0和5G技术等众多新兴概念的提出，互联网思维已经深入人们的生活，互联网跨界融合应用创新的浪潮已经席卷各行各业，逐渐推动互联网与传统行业的横向整合和纵向重塑，对企业的生产行为、传统行业转型和民众生活改善产生了深远影响，互联网的深度跨界融合意味着“互联网+”时代的开启。

民生、工业、金融、信息通信等各领域通过互联网关联在一起，用户和企业等各实体以不同的身份在互联网这个虚拟的世界中完成各自的角色，各种传统和新型的身份认证技术借助智能终端、移动互联网、智能验证设备、蓝牙、NFC技术的快速演进，在“互联网+”时代迎来了前所未有的发展。同时，安全的身份认证技术涉及互联网中各实体的切身利益，也逐渐得到了更多关注。

2 技术发展与趋势

2.1 身份识别与认证技术发展

身份识别和认证技术是指对网络中的通信实体进行确认的技术，身份信息的识别是确认用户的真实身份，而认证是确认该身份是否为通信中声明的身份。互联网中每层应用系统中的各实体都需要进行身份鉴定，而用户所关心且安全问题最突出的是应用层上用户身份的识别与认证。依据识别对象的类型，可以将身份识别和认证方式大体分为3个因素：用户对某个秘密知晓程度的验证、用户对物理介质令牌拥有权的验证和用户生理特征的验证。这3种身份识别类型通过不同的技术方式实现。

传统的身份识别技术以用户静态密码和智能卡为主。静态密码技术依靠用户对身份识别密码的记忆能力实现身份认证，存在密码泄露和密码遗忘等安全问题；而智能卡模式依赖于射频技术，也会出现人卡分离、多人一卡的情况。传统的身份认证模式多用于独立的互联网账户登录和门禁系统，基于生物特征识别技术和PKI技术的新型身份认证技术随着“互联网+”时代的来临迅速发展，得到了广泛应用。

2.2 身份识别与认证技术演进

2.2.1 静态口令

静态口令是应用最广泛、最简单的一种身份认证技术，它将用户名和口令作为身份认证信息，在首次登录系统时，用户输入用户名和口令，认证信息一次性产生并保持不变。在使用过程中，登录系统将用户名和口令通过互联网传输给服务器，在服务器端将用户键入的身份信息与保存的身份信息进行对比，信息一致则通过身份验证。整个认证主要包括用户名和口令的创建、存储、输入、传输和验证过程，用户名和口令的日常维护和更新相对麻烦。

静态口令技术多用于简单账户的注册过程，仅可以实现身份认证的基本需求，无法实现保密性、完整性等更高的安全需求，适用于安全级别较低的信息系统。

2.2.2 动态口令

动态口令技术是对传统静态口令基于安全需求的改进。动态口令技术依据特定的算法生成一个不可预测的随机数字组合，每个密码只能使用一次，被广泛应用在电子商务、企业、网游等领域。首先用户输入启用令牌的口令；然后将令牌上显示的数字作为系统的口令输入，令牌上的数字与认证服务器同步，保持一定的更新速率；最后用户实际登录到应用系统的口令可以做到“一次一密”。

依据令牌产生模式的差异，动态口令技术有同步方式和异步方式两种解决方案。对于同步方式的动态口令技术，在初始化令牌时，已经实现了客户端令牌和服务器端软件间的密钥、时钟、时间计数器的同步，在用户进行身份认证的过程中，客户端令牌和服务器端软件基于同步的数据，进行特定的密码计算，将结果传送至认证服务器并和服务器保存的身份信息进行比较，两边运算结果一致则验证通过；异步方式的动态口令技术，在初始化同步后，当用户登录系统时，认证服务器给用户发送一个随机数，用户将该数字输入客户端令牌，令牌经计算返回一个新的数据，用户将令牌返回的数据发送给认证服务器，认证服务器将返回的数据和计算出的数据进行比较，一致则通过验证。同步和异步的区别主要在于认证服务器和用户令牌在身份认证过程中是否交互。认证过程中令牌的形式可以为硬件令牌、短信密码、手机令牌和软件令牌4种。硬件令牌产品如图1所示，令牌上显示的数字为用户输入的动态口令。

动态口令技术解决了静态口令的安全弱点，具有较高的安全性，使用方便且能保证良好的平台无关性，已经成为一些行业中采用的主流身份认证技术。

2.2.3 射频识别技术

射频识别（Radio Frequency Identification，RFID）技术是一种非接触式的自动身份识别技术，通过无线电信号识别特定的目标并进行一定的数据读写，多应用于门禁管理、校园、物流和公共交通出行。射频系统的工作范围可以是低频、高频、超高频和微波，典型的RFID系统一般由电子标签、读卡器和后端应用系统构成[1]，电子标签的核心是芯片和无线通信天线，芯片保存了用户的身份信息，射频天线和读卡器进行通信。RFID的工作流程主要分为3个过程：首先，电子标签进入读卡器的感应范围后，接收读卡器的射频信号并将标签内存储的相关信息发送给读卡器；然后，读卡器接收信息，并将解码后的信息发送给后端应用系统进行数据处理；最后，后端应用系统对数据进行验证，完成用户身份识别。

电子标签本身可以很薄，材质可弯曲，可以印制在纸张、塑料、木材、玻璃等众多材料上，标签内的应用程序可读取和改写[2]。在很多应用场景下，电子标签以智能卡形式由用户持有，卡片样式种类丰富，如图2所示。智能卡通过特殊的结构保证卡内的身份信息不被轻易泄露，每个智能卡ID信息具有唯一性，通过RFID的后端应用系统将卡ID和用户身份信息绑定，实现身份认证。射频识别技术具有体积小、扫描快、可重复使用、穿透性强、存储容量大等特点，在国内各行业被广泛应用。

2.2.4 USB Key

USB Key（密码锁）是一种内置单片机或者芯片的USB接口硬件设备，一般作为硬件数字证书载体，如图3所示。密码锁中存储了用于识别用户身份信息的私钥和数字证书，基于PKI（Public Key Infrastructure，公钥基础设施）技术实现互联网环境中的用户身份认证。

一个自然人或者一个企业在不同的应用系统中可能拥有不同的角色，但是对于每个独立的系统都必须拥有一个特定的身份信息，这种身份信息在不同的应用系统中难以互相认证，尤其是在“互联网+”时代，这种多重的身份认证会造成系统的重复开发和重复投入，产生大量的资源浪费。PKI就可以在一定程度上解决这个问题。不同于对称密码算法，在PKI体系中，身份信息的识别和认证基于不可逆的数学算法，通过不同算法的数学复杂度来完成加密和解密以及签名和验签的运算，通过公钥加密的数据只能由私钥解密，通过私钥签名的文件只能由公钥验签，保证了每个用户只需要使用一对非对称密钥就可以在互联网中实现基本的身份认证。

PKI的核心是信任链体系的建立，主要由数字证书、颁发证书的证书认证中心（CA）、证书持有者、使用证书服务的证书用户、证书注册机构（RA）、证书存储和查询服务器以及证书状态查询和验证服务器组成，如图4所示。其中，CA是PKI中的关键机构，是互联网中通信双方都信任的实体，提供数字证书的发放、管理、废除等服务，对证书和密钥进行管理。CA作为身份认证中可信的第三方，实现用户身份的识别和认证，作为数字证书系统中通信双方都信任的实体，被称为可信第三方[3]。

USB Key中的私钥只有身份拥有者才可以持有，而标准的数字证书结构可以在多种应用场景中进行身份互认，在进行用户身份认证的同时，也可以为用户的操作行为进行保障，目前广泛应用于网上银行等安全需求较高的应用系统中。用户登录系统时，应用系统出示CA为服务器发放的服务器证书，用户出示USB Key中的用户数字证书，实现了用户和系统的双向认证。基于PKI体系的身份认证和数字签名，可以对身份信息的传输进行加密和签名，整个认证过程具有保密性、完整性和不可抵赖性。《中华人民共和国电子签名法》中明确指出，数字签名和手写签名具有同等的法律效力，因此，USB Key及PKI技术为“互联网+”时代的身份认证提供了强有力的保障。

2.2.5 生物识别技术

生物识别技术是通过验证人类独特的生理或行为特征的个人身份鉴别技术，生物特征不同于基于口令和物理介质的认证方式，人的特有属性不会被遗忘或丢失。选择具有普遍性、唯一性、稳定性、可采集性的生物特征作为用户身份信息，目前已经被采用的有人脸识别、指纹识别、虹膜识别、手形识别、掌纹识别、签名识别和声音识别[4]。

其中，应用最为广泛的是指纹识别，指纹识别技术相对于其他生物识别技术来说，占据较大的优势，算法也相对成熟。指纹是手指末端正面皮肤上的纹路，这些纹路的图案、端点和交叉点均不相同，这些特征自出生之日便不会再改变，符合生物识别的唯一性和不变性。借助数字图像处理和模式识别技术，应用系统通过指纹采集设备，依据特定的算法和规则对指纹纹路成像进行处理，提取指纹特征数据，与系统保存的用户指纹特征数据进行对比，在短时间内实现用户身份的识别和认证。

目前，生物识别技术已经广泛应用于智能终端、门禁和金融交易等领域，逐渐发展为一种可靠、便捷、安全的身份识别和认证手段。

2.2.6 双因素身份认证

前文提到身份识别和认证的3个因素：用户对某个秘密知晓程度的验证、用户对物理介质令牌拥有权的验证和用户生理特征的验证。简单来说，第一因素是用户知道的信息，第二因素是用户拥有的物理介质，第三因素是用户具备的唯一特征。从安全性和应用成本考虑，这3个因素独立使用时都会具有一定的短板。双因素认证是指将前两种因素结合的身份认证技术，在未过多增加成本的情况下提升了认证系统的安全性。

双因素认证的安全强度取决于两个因素的选择，动态口令技术是一种典型的双因素认证技术，借助用户记忆的口令和令牌介质生成的口令实现安全性较强的身份认证，而某些门禁系统采用的“密码+智能卡”身份认证属于较弱的用户身份鉴定。但总体来讲，双因素身份认证相较于独立的基于口令或物理介质的认证来说，其认证确定性以指数形式递增[5]。

3 安全问题

3.1 安全问题技术

3.1.1 静态口令

传统的“用户名+口令”身份验证方式以静态数据作为用户的身份信息，在用户身份鉴定过程中会暴露很多安全缺陷，例如，容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击和木马攻击等。

（1）口令猜测

早期的应用系统可以在低权限条件下实现用户名列表的获取，并允许默认用户名和内建账户的存在，使口令猜测成为可能。依托攻击者获取的信息，静态口令的安全威胁从单点密码猜解，逐渐推演出单用户大密码档猜测、多用户常见密码猜测和目前频繁曝出的拖库后的撞库攻击。

（2）登录过程嗅探

在用户的登录过程中，由于非加密协议Telnet和FTP的广泛使用，基于地址解析协议（ARP）欺骗的网络监听威胁变得更加普遍。尤其是处于无线网络的登录过程，很多网站对登录页面采用不安全的HTTP，攻击者通过网络抓包可轻易获得用户的登录名和密码。

静态口令技术以其简单方便的部署机制在安全性要求不高的系统中被广泛使用，但却无法满足“互联网+”时代跨界融合身份识别和认证的安全需求。

3.1.2 动态口令

相比于传统的静态密码，动态密码具备理论证明级的安全，理论上保证“一次一密”。但是在实际使用中，受到密码空间的限制，只能做到“伪一次一密”。

以短信令牌动态口令为例，用户首先向系统请求动态令牌，应用系统将特定位随机数作为令牌，以短信形式发送到用户手机上。用户在登录或者金融交易时输入动态令牌和口令，保证身份识别和认证的安全性。但是这种验证方式也有一些弊端，首先是接收短信有一定滞后性，动态令牌一般都有实效性，但是若用户处于手机信号较差的区域，往往认证时间已经过了，用户还没有收到短信，严重影响了用户对应用系统的使用。另一方面，随着恶意应用的增多，用户的手机短信易被攻击者窃取，损害用户利益。

不仅是短信动态密码，硬件令牌、手机令牌和软件令牌均受限于实际使用环境，存在一定的安全隐患。

3.1.3 射频识别技术

基于RFID的身份识别和认证过程，用户的身份信息多存储于智能卡中，智能卡的硬件不能被复制，可以保护用户身份不会被仿冒，但是在身份识别过程中，读卡器从智能卡中读取的数据是静态的，通过内存扫描或者网络监听等技术也可以截获用户的身份认证信息，产生安全威胁。

3.1.4 USB Key

USB Key作为硬件介质存储了用户的身份信息，用户的私钥存储在USB Key中，不能被导出，所有的加/解密算法均在密码锁的芯片或者单片机中完成，PKI体系在技术实现上是一套比较安全的、成熟的身份认证机制。然而在具体实现中，交互操作和数据传输仍存在安全漏洞。攻击者可通过远程控制伪造用户的交互操作，通过交易数据的拦截，篡改用户交易，造成用户财产损失。

3.1.5 生物识别技术

生物识别技术是一种强认证的识别技术，基于认证实体不可脱离的特征作为用户的身份信息，优势在于身份信息先天具备，但是这种特征是一种可以被获取却不能被废止的凭据，一个自然人只有1张脸、2个虹膜、2个掌纹和10个指纹，与其他身份认证相比，处于明显的劣势。同时，由于生物数据采集环境的差异，有可能出现正确用户被拒绝或者非法用户被允许的情况。生物特征虽然独特，但随着信息技术的发展，这些特征也可以被复制，例如指膜制作和面部3D打印。

以生物识别作为用户身份识别和认证的系统往往应用于高安全等级的系统，产生的安全风险将会造成重大的安全问题。

3.2 解决方案

通过安全问题介绍可知，单种类的身份识别和认证技术很难保证认证的准确性，而安全性高的技术成本也随之增高。可以借助多种方式解决互联网用户身份鉴定的安全问题，通过双因素身份认证控制认证成本并提高认证安全性，通过对认证技术的研究推进技术创新，通过对用户的信息安全教育改善用户的使用习惯等。

对于实际使用的应用系统，可以采用多种身份认证相互交叉选择的方式。以支付宝为例，账户身份认证包括登录密码、手机绑定、实名认证等安全认证技术；支付时用户身份的认证方式包括支付密码、数字证书、支付盾和宝令等安全技术。在“互联网+”时代，除了通过技术演进提升认证安全性外，还可以通过多种身份识别和认证的融合，全面提升应用系统的安全性，保障用户信息安全。

4 结束语

在“互联网+”时代，用户身份认证是安全的第一道大门，是各种安全措施发挥作用的前提。可以预见，身份识别技术会越来越先进，例如指纹、面部、密码和加密装置等。一旦加密技术打开大门，网络认证对现实世界的渗透会越来越广泛。同时，随着大数据的发展、两化融合的普及，互联网承担信息生活的大部分业务，网络中存储了用户和企业的大量行为数据，网络安全和隐私也会变得越来越受重视。

[1]段永峰.智能卡身份认证系统的设计与实现[D].电子科技大学,2013.

[2]章轶.射频识别系统及其认证协议的研究[D].解放军信息工程大学,2007.

[3] 董霁,袁广翔,马鑫.数字认证在移动互联网中的应用研究[J].互联网天地,2014,3:41-44.

[4] 孙冬梅,裘正定.生物特征识别技术综述[J].电子学报,2001, S1:1744-1748.

[5] 宁璇.基于指纹识别与智能卡的身份认证系统设计[D].北京邮电大学,2009.