周瑞瑞 王春圆 李华芳
摘要:本文对身份认证技术领域的全国专利申请情况进行了统计分析,根据所使用的认证参数的特点,对使用了静态特征、动态特征以及多因素特征的身份认证几个方向的主要专利进行了详细的介绍和分析,以期能够帮助审查员快速的掌握身份认证的技术脉络,熟悉该领域的重要技术手段,提高实质审查过程的审查效率。
关键词:身份认证;口令;验证码
中图分类号:TP391.4文献标识码:A 文章编号:1003-5168(2020)03-0147-06
1 引言
随着网络技术的不断发展,人们已经逐渐习惯了通过网络来进行各项活动,网上银行、网上购物、网上办公等极大的简化了人们的生活方式,提供了方便高效的用户体验。然而,和现场活动不同,在计算机的网络世界中,人们无法直接看到自己所交互的对象的真面目,因此网络交互过程中通信双方的可信度问题越来越受到人们的关注,身份认证技术应运而生。所谓身份认证,就是在计算机网络的通信过程中有效的确定合法操作者的身份的过程[1],用于保证以某一身份进行实际操作的操作者就是该身份对应的合法的操作者本人,实现真人和数字身份的统一。身份认证是对网络资源进行安全防护的第一道防线,在网络安全中有着举足轻重的作用[2]。
2 身份认证的原理概述
在现实世界中,每个用户都有一个唯一的真实身份;而在网络世界中,每个用户都有一个数字身份来代表其本人。为了保证用户的真实身份和数字身份的一致,需要采用一些技术上的验证手段进行一致性验证,身份认证很好的解决了该问题。
通常情况下,一个用户的身份可以通过以下一个或几个因素来表征:
①用户所知道的信息(What you know):如口令、密码等;
②用户所拥有的东西(What you have):如印章、智能卡等;
③用户所独有的生物特征(Who you are):如指纹、声音、视网膜、行为习惯等。
根据不同的认证要求,可从上述参数中选择不同的因素进行身份认证;当某些场景需要提供更高的安全性强度时,可选择两种或更多的因素组合起来使用,实现基于多因素的身份认证[3]。
3 身份认证的专利布局
目前,电脑和智能手机等智能终端已经成为人们工作生活的重要助手。通过用户设备能够为用户提供非常便捷的服务,但是随之而来的是用户数据和用户财产的安全问题,所以用户设备端需要解决用户的身份认证问题。
3.1 全国专利申请量趋势分析
本文采用中国专利文摘数据库(CNABS)对涉及身份认证的专利申请情况进行分析,并将检索时间截止到2018年12月。通过在CNABS数据中的检索数据可以看出,截止到2018年12月,涉及用户终端的身份认证的相关国内专利申请量已经超过3000件。
从图2所示的身份认证申请量的时间变化来看,身份认证技术经历了阶梯式上升的三个阶段。2006年之前为第一个阶段(技术萌芽期),国内专利申请量仅仅只有几十件,且申请量逐年小幅度的平稳上升;2006是一个转折点,申请量较之前大幅上升,进入2006年-2011年的第二个阶段(第一技术稳定期),每年的申请量保持在80件左右;2012年开始,进入大幅度上升的第三阶段(技术增长期),每年的申请量呈递增式增长,至2017年达到高峰期,之后保持稳定。
3.2 重要申请人分析
通过身份认证主要申请人的统计分析,可以看出,一些重要的申请人如阿里巴巴、华为、宇龙等都持续在身份认证技术方案申请了较多专利。如图3所示,阿里巴巴集团控股有限公司、宇龙计算机通信科技(深圳)有限公司、北京飞天诚信科技有限公司、华为技术有限公司、腾讯科技(深圳)有限公司在身份认证技术领域的申请量居前5位,其中阿里巴巴的申请量达到了463件,我们可以看出,在可预见的将来,这些重要的申请人还将在身份认证这一领域不断的竞争、发展,达到技术的新高度。
3.3 主要技术分支
按照认证过程中所使用的安全信息的特点,身份认证的主要技术包括静态认证、动态认证、多因素认证等方面,各部分认证技术的关系如图4所示。
考慮到用户对身份认证交互过程的安全性要求,在未来的身份认证领域中,多因子认证将成为本领域的重要研究热点。
4 重点专利分析
本文基于身份认证所采用的认证方式的特点,对相关的重点专利进行了分析。在身份认证的大体系中,可根据认证过程中所采用的认证手段的不同侧重点,对其进行相应的分类。例如,从所使用的认证参数的个数来分,可以分为基于单个因素的单因子认证和基于多个因素的多因子认证;从认证参数本身的特点来分,可以分为基于静态因素的静态认证和基于动态因素的动态认证;从认证过程所基于的物理媒介来分,可以分为基于硬件的认证、基于软件的认证。纵观身份认证技术的发展,起经历了从单到多、由静到动、由软到硬的发展流程。
4.1 基于静态认证的身份认证技术
在身份认证发展的初始阶段,计算机使用了静态参数来进行最基本的身份认证,即静态身份认证。在身份认证之前,提前为用户设置了表征其合法身份的认证信息,如果在登录网络时能够提供正确的认证信息,计算机就认可该用户的身份,接受其访问操作。
4.1.1 基于软件口令的身份认证技术。最初的静态身份认证是基于软件来实现的,通过登录时输入的口令来表征用户身份的合法性,也就是基于“你知道什么”这一验证方式。系统预先为合法用户设置对应的口令,该口令仅该用户知道,如果操作者在进入系统之前能够输入正确的登录口令,则允许该用户成功登录系统,否则,认为本次操作不合法,拒绝此次登录行为。
以康帕克电脑公司申请的CN1195818A为例,该申请公开了一种通过用户密码实现用户身份认证的方法,使用静态密码验证用户身份的合法性,具体公开的内容为:在信息系统中,用户需要向系统提供其用户口令,系统通过对用户口令进行验证来对用户的身份进行鉴定。该方法的优点在于使用和部署都非常简单,是早期身份认证方案的典型代表,得到了广泛的应用。
为了顺利通过验证,用户需要牢记其密码,例如将密码记录在一个安全的地方供需要时查看,或者使用一些常用的具有特殊意义的信息(例如身份证号码、电话号码、生日、名字缩写等)进行密码的设置,然而,上述方式在便利性的同时也带来了很大的安全隐患,容易被偷窥或者猜中,使得密码的安全性大打折扣;并且由于静态的密码是基于软件的固定不变的数据,因此无法避免在通信链路的传输过程被监听设备所截获,可靠性不高。虽然可以通过增加密码长度、加特殊字符、大小写等方式提高安全性,却无法克服容易被破解这一根本性的弱点,因此需要一种更加安全的认证方式。
4.1.2 基于智能卡的身份认证技术。为了解决软件口令容易泄露所导致的安全性不高的问题,人们开始考虑通过硬件来保证认证的安全性,基于智能卡的身份认证逐渐出现在大众视野。该身份认证所使用的智能卡是由专门的厂家所生产的专用硬件设备,在设备内部烧录了不可复制的信息,攻击者无法对该硬件设备进行复制,相较于软件认证,安全性大大提高。登录认证时,用户需要将智能卡插入设备中由专门的读卡器对其内部信息进行读取才能进行身份认证。
例如,中国科学院信息安全技术工程研究中心的专利申请CN99126670A公开了一种基于智能卡的访问认证系统,用户使用随身携带的智能卡来表征身份的合法性。当用户使用智能卡时,如果智能卡通过认证,则用户获得相应的访问权限,反之,将拒绝用户的访问。
智能卡通过其硬件上不可复制的特性在一定程度上提高了认证的安全性;但是,起本质上仍然是基于静态因素的身份认证,仍然无法避免卡内的身份验证信息在数据信道的传输过程中被监听或窃取,仍然仍存在安全隐患;此外,智能卡在认证时需要用户随身携带,一旦遗失或者被盗,非法用户就可以冒充合法用户通过验证。
4.1.3 基于生物识别的身份认证技术。为了解决智能卡认证时硬件设备容易遗失的问题,基于用户自身固有特征的生物识别身份认证逐渐走入了大众的视野,通过用户的身体特征或行为特征实现用户的身份验证[4],其中身体特征包括:指纹、掌型、视网膜、虹膜等;行为特征包括:签名、语音、行走步态等。
CN2143476Y公开了一种活体卡片两用指纹摄取仪,将光学成像系统和摄像部件连成一体,实现对活体指纹图像的采集,并将指纹图像输入计算机储存,供识别比对,以鉴别个人身份。通过使用个人典型特征来检验用户身份,达到了较高的安全程度。
和静态认证所使用的软件口令和智能卡内部信息不同,生物特征识别认证所使用的认证参数是和用户本人密切相关的,是用户所独有的特征,可以有效防止他人对用户识别信息进行复制,且由于是用户自身所独有的特征,可随时随地进行实时采集,不需要用户可以携带硬件媒介进行认证信息的存储,因此大大提高了认证的安全性和便捷性。但由于其本质上还是一种静态信息,所以仍然存在截取、仿冒等安全问题。
4.1.4 基于生物特征+静态口令的身份认证技术。为了最大可能的避免他人伪造生物特征进行验证,出现了在原有生物特征的基础上嵌入静态密码的身份认证技术。该技术将静态密码嵌入到生物特征中,从采集的生物特征中分别提取静态生物特征和静态密码,然后一一进行验证。例如,专利申请CN105138882A公开了一种解锁方法,接收用户解锁请求,采集用户输入的语音,用户的语音信息中包含了所设置的静态密码,对所述语音进行声纹识别处理得到对应的声纹;识别所述声纹是否与预先设置的用户声纹一致,如果一致则进一步提取语音包含的静态密码信息进行解锁匹配操作,通过该技术避免了非授权的解锁操作,提高了身份认证的安全性。
4.2 基于动态认证的身份认证技术
以上几种静态身份认证都存在着共同的缺陷,其所使用的认证参数,无论软件口令、硬件设备内部信息,还是生物特征,都无可避免的存在容易被复制、仿冒的弱点,这是由静态认证所使用的认证信息始终不变这一特点所导致的,也就是说,静态认证的方式存在根本上的安全隐患。
为了从根本上解决这一安全隐患,动态认证方式逐渐走入大众的视野。通过其便捷的使用方式和较强的安全性,动态認证逐渐取代静态认证,成为应用最广的一种身份认证方式,所使用的参数包括动态密码、动态口令、动态生物特征。
4.2.1 基于动态密码的身份认证技术。动态密码和静态密码最大的区别在于密码不是固定使用的,而是临时生成并发给用户的。例如,CN131997A公开了一种利用短消息实现用户身份认证的方法,信息系统将用户身份识别密码作为短消息的内容,将短消息发送到用户的手机中,用户通过读取短消息获取密码,输入到信息系统进行身份认证,使得系统以此确认用户的真实身份。由于短信密码在生成和使用时是位于不同的场景中,因此大大降低了密码在传输过程中被截获的概率。
4.2.2 基于动态口令的身份认证技术。使用动态口令的认证也是一种常见的动态身份认证方法,和动态密码相比,动态口令在生成时加入了时间因子作为参数,能够最大的保证密码的实时性。合法用户手中手持一个生成动态密码的动态口令设备,该设备常基于时间同步的方式来保证认证的正常执行,每隔固定的时间(例如一分钟)刷新一次口令,产生固定位数的动态密码进行一次一密的身份认证,有效的保证了访问的安全性。如西安海星现代科技股份有限公司的专利申请CN1431591A公开了一种基于软件令牌的动态口令身份认证系统,管理控制台生成数据包,并基于该数据包进行动态口令的生成,在验证时对动态口令进行检波,完成对用户的动态身份认证。
4.2.3 基于活体认证的身份认证技术。在静态身份认证技术中我们提到,通过对用户所独有的特征生物识别能够大大提高认证的安全性,但生物特征也存在被复制的风险,例如在指纹认证时,攻击者可能对用户的指纹进行复制后套在手指上进行认证,又如在人脸认证时,攻击者可能使用用户的人脸图片代替用户真实的人脸进行认证,从而降低身份认证的安全性。活体认证是对静态生物特征的一种改进,通过采集动态的生物特征来实现动态身份认证。