网络可信身份技术的核心目标是在网络空间中,准确、可靠地识别和验证一个实体(人、设备、组织或应用)的身份,确保其“是其所声称的身份”,并在此基础上建立信任关系,保障通信和交易的安全。
(图片来源网络,侵删)
随着技术的发展和应用场景的多样化,可信身份技术也形成了多个层次和多种形态,以下是对主流技术的分类介绍:
基于知识的认证
这是最传统、最基础的认证方式,依赖于“你知道什么”。
-
用户名/密码
- 原理:用户预先设置一个用户名和密码,登录时提交匹配信息。
- 优点:简单、成本低、用户习惯。
- 缺点:安全性最弱,易受暴力破解、字典攻击、钓鱼、键盘记录、密码泄露等威胁,用户容易设置弱密码或在多个网站重复使用密码。
- 发展趋势:正在被更安全的MFA技术取代,但作为基础身份标识仍然广泛存在。
-
安全问题
(图片来源网络,侵删)- 原理:用户预设一些个人问题(如“你的小学叫什么?”),登录时回答。
- 优点:辅助手段,无需额外设备。
- 缺点:安全性极低,答案可能被公开信息、社交媒体猜测,或用户忘记,现已不推荐作为主要认证方式。
基于所有物的认证
这种方式依赖于“你拥有什么”。
-
短信/邮件一次性验证码
- 原理:系统向用户预绑定的手机号或邮箱发送一个动态、有时效性的验证码,用户输入完成认证。
- 优点:在密码基础上增加了一层安全,防止密码泄露后的账户被盗。
- 缺点:
- SIM卡劫持/端口攻击:攻击者可利用电信运营商漏洞,将用户手机号转移到自己的SIM卡上,接收验证码。
- 钓鱼/社会工程学:用户可能被诱导向攻击者提供收到的验证码。
- 可用性问题:用户可能没有手机或无法接收短信/邮件。
- 地位:目前最广泛使用的MFA形式之一,但其安全性正受到越来越多的挑战。
-
硬件安全令牌
- 原理:一个物理设备(如U盘、专用小钥匙),内置安全芯片,用户在登录时,需要插入设备并输入PIN码或按下按钮,设备生成一个动态口令。
- 优点:安全性极高,私钥或算法存储在设备内部,与网络隔离,不易被远程攻击。
- 缺点:用户需要额外携带设备,成本相对较高。
- 代表产品:
- TOTP(基于时间的一次性密码)令牌:如 Google Authenticator, Microsoft Authenticator App(软件令牌)以及YubiKey等硬件令牌。
- FIDO2/U2F(快速在线身份验证):见下文。
-
智能卡
(图片来源网络,侵删)- 原理:一张内置了微处理器和芯片的卡片,类似于一张微型电脑,卡片中存储了用户的数字证书和私钥。
- 优点:安全性高,结合了“你知道什么”(PIN码)和“你拥有什么”(卡片)。
- 缺点:需要专门的读卡器,部署和使用相对复杂。
- 应用场景:在企业、政府、金融等高安全性要求的领域。
基于生物特征的认证
这种方式依赖于“你是什么”,利用人体独一无二的生物特征进行认证。
-
指纹识别
- 原理:通过传感器读取用户指纹的纹路特征,与预存的模板进行比对。
- 优点:方便快捷,已被用户广泛接受(手机解锁)。
- 缺点:存在被复制(如指纹膜)的风险,安全性相对较低,适合低到中安全级别场景。
-
面部识别
- 原理:通过摄像头捕捉用户的面部图像,利用AI算法进行特征提取和比对。
- 优点:非接触式,用户体验好。
- 缺点:
- 活体检测挑战:易受照片、视频、3D面具等欺骗。
- 隐私问题:涉及敏感的生物信息。
- 光照和角度影响:准确性可能受环境影响。
- 代表:Apple Face ID(采用结构光技术,安全性较高)。
-
虹膜/视网膜识别
- 原理:扫描人眼虹膜或视网膜的独特血管图案。
- 优点:稳定性极高,几乎不会随年龄改变,防伪性强。
- 缺点:设备成本高,采集过程需要用户配合,对佩戴眼镜/隐形眼镜有影响。
-
声纹识别
- 原理:分析说话人的声音频率、节奏、音色等特征。
- 优点:非接触,可通过电话完成。
- 缺点:易受感冒、情绪、背景噪音影响,录音也可能被用于欺骗。
现代及标准化的身份认证框架
这些是更先进、旨在解决根本性问题的技术体系。
-
FIDO (Fast Identity Online) 联盟标准
- 目标:消除对密码的依赖,提供更强大、更便捷、更私密的认证体验。
- 核心思想:公钥密码学,用户在注册时,设备生成一对密钥(公钥和私钥),私钥安全地存储在用户设备上,公钥注册到服务提供商。
- 认证过程:用户登录时,服务提供商发送一个随机挑战,用户用设备上的私钥对挑战进行签名,服务器用公钥验证签名。
- 主要标准:
- U2F (Universal 2nd Factor):支持第二因素认证,需要物理接触(如YubiKey按下按钮)或近场通信,安全性极高。
- FIDO2:一个更全面的框架,包含了 WebAuthn (Web Authentication API) 和 CTAP (Client to Authenticator Protocol),它支持无密码认证(仅用生物特征或PIN码+设备),也支持作为第二因素,这是目前Web身份认证的未来方向。
-
OpenID Connect (OIDC)
- 定位:一个建立在 OAuth 2.0 之上的身份认证层。
- 核心思想:去中心化身份,用户不直接向应用提供商提供用户名密码,而是通过一个身份提供商 进行认证。
- 流程:用户访问应用 -> 应用重定向到身份提供商(如Google, Facebook, 微软账户) -> 用户在身份提供商登录 -> 身份提供商将用户信息(如用户ID、邮箱、姓名)以令牌形式返回给应用 -> 应用验证令牌,确认用户身份。
- 优点:减轻了应用的认证负担,用户可以“一键登录”,体验好,安全性更高,因为用户密码只与可信赖的身份提供商交互。
- 应用:几乎所有现代Web和移动应用的登录方式(“使用Google/微信登录”)。
-
自管数字身份
- 定位:身份管理的终极形态,强调用户对个人身份数据的完全控制权。
- 核心思想:用户创建和管理自己的“数字钱包”(DID Wallet),其中包含自己的数字凭证(如学历、驾照、会员卡),当需要向某个服务方证明身份或资质时,用户可以选择性地、安全地出示相关的凭证,而无需透露无关信息。
- 技术基础:通常与去中心化标识符 和可验证凭证 等区块链或分布式账本技术相结合。
- 优点:隐私保护最大化、数据主权、减少重复注册、跨平台通用。
- 挑战:技术复杂、用户认知度低、生态建设尚在早期阶段。
特定领域的身份技术
- 数字证书 / 公钥基础设施
- 原理:由受信任的证书颁发机构 为用户的公钥“背书”,生成一个包含用户身份信息和公钥的数字文件(即证书)。
- 作用:主要用于加密通信(如HTTPS/TLS,确保网站身份和传输安全)和数字签名(确保文件/软件的完整性和来源可信)。
- 应用:网站服务器、代码签名、电子邮件签名、企业员工认证。
技术对比与选择建议
| 技术类别 | 具体技术 | 安全性 | 便捷性 | 成本 | 主要应用场景 |
|---|---|---|---|---|---|
| 知识 | 用户名/密码 | 低 | 高 | 低 | 基础登录(正被淘汰) |
| 所有物 | 短信/邮件验证码 | 中 | 中 | 低 | 广泛的第二因素认证 |
| 硬件令牌 | 高 | 中 | 中 | 企业、高安全需求用户 | |
| 智能卡 | 高 | 低 | 高 | 政府、金融、企业内网 | |
| 生物特征 | 指纹/人脸 | 中-高 | 高 | 低(手机内置) | 手机解锁、门禁、低-中安全登录 |
| 现代框架 | FIDO2/WebAuthn | 极高 | 高 | 中(硬件成本) | Web、移动应用的无密码/强认证 |
| OIDC | 高 | 高 | 低(使用第三方IdP) | Web、移动应用的第三方登录 | |
| 特定领域 | 数字证书 | 高 | 中 | 中 | HTTPS、代码签名、邮件加密 |
总结与趋势
- 从单一到多因素:认证方式正从单一的“知识”(密码)向“知识+所有物”或“所有物+生物特征”等多因素认证演进。
- 从密码到无密码:以FIDO2/WebAuthn为代表的技术,正在推动行业逐步摆脱对不安全的密码的依赖,实现更安全、更便捷的无密码认证。
- 从中心化到去中心化:OIDC和自管数字身份代表了两种去中心化思路,前者是身份认证的去中心化,后者是身份数据所有权的去中心化,后者代表了更未来的方向。
- 统一身份与零信任:在企业级应用中,身份认证正与零信任架构 深度结合,即“永不信任,始终验证”,每一次访问请求都需要进行严格的身份验证和授权。
选择哪种技术,取决于具体的应用场景、安全需求、用户体验和成本预算,对于普通消费者而言,MFA和OIDC已非常普及;对于企业和开发者而言,FIDO2和PKI是构建高安全体系的关键。
