身份認(rèn)證是在數(shù)字世界中用來對實(shí)體和所呈現(xiàn)的身份之間的法定關(guān)系進(jìn)行充分確認(rèn)的過程，簡單講就是身份鑒別。在現(xiàn)實(shí)世界里有身份證、進(jìn)門卡、工作證等實(shí)物認(rèn)證方式，在數(shù)字世界里表現(xiàn)出來的可能是證書、Token等，身份認(rèn)證對于保護(hù)用戶資產(chǎn)和信息是至關(guān)重要的。

[[235404]]

身份認(rèn)證

總體來說，傳統(tǒng)的身份認(rèn)證方法可以分為三種 ：

基于信息秘密的身份認(rèn)證，what you know ，你知道什么；

基于信任物體的身份認(rèn)證，what you have ，你有什么；

基于生物特征的身份認(rèn)證，who you are ，你是誰。

為了達(dá)到更高的身份認(rèn)證安全性，通常會(huì)將上面的方法挑選2種或以上混合使用，即所謂的雙因素或多因素認(rèn)證。其中通常會(huì)使用一種生物特征識(shí)別技術(shù)。

生物特征主要涉及指紋，人臉，聲音，眼睛等技術(shù),其中每類技術(shù)根據(jù)原理不同又可細(xì)分為不同的類型，如眼睛部分的特征識(shí)別會(huì)分為：眼紋（眼白部分），虹膜（瞳孔），視網(wǎng)膜等。

[[235405]]

Source: HYPR

理論上說，生物特征認(rèn)證是比較可靠的身份認(rèn)證方式，因?yàn)樗苯痈鶕?jù)人的物理特征來確定每一個(gè)人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計(jì)，因此幾乎不可能被仿冒。

目前生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病或污漬的影響，往往導(dǎo)致無法正常識(shí)別，可能造成合法用戶無法登陸的情況。其次，由于研發(fā)投入較大和產(chǎn)量較小的原因，生物特征認(rèn)證系統(tǒng)的成本較高。

人工智能時(shí)代的身份認(rèn)證

隨著大數(shù)據(jù)和人工智能技術(shù)的迅速發(fā)展，信息安全面臨著非常大的挑戰(zhàn)，黑客已經(jīng)開始利用人工智能技術(shù)加強(qiáng)進(jìn)攻能力。為此使用人工智能技術(shù)提高身份認(rèn)證的能力已勢在必行。 

以聲音識(shí)別為例，借助于更強(qiáng)大的計(jì)算能力和成熟的新算法，當(dāng)前的聲紋技術(shù)可以從聲音中分析出使用者的情緒, 社會(huì)地位, 教養(yǎng), 年齡, 種族, 體重, 身高和面部特征, 以及周圍環(huán)境等信息。 

在 2017年12月, 卡內(nèi)基梅隆大學(xué)的研究人員通過人工智能算法生成了一個(gè)三維的演講者的臉部圖像。研究人員表示："聲音就像DNA或者指紋一樣復(fù)雜"。 

亞馬遜的echo智能音箱實(shí)際是一種個(gè)人數(shù)字助理設(shè)備，通過對用戶聲音進(jìn)行語音識(shí)別、意圖理解，得出指令，進(jìn)行身份確認(rèn)，協(xié)助人們處理各種日常事務(wù)。 

英格蘭創(chuàng)業(yè)公司Callsign正在研究的技術(shù)被稱為智能驅(qū)動(dòng)認(rèn)證或IDA，這是超越傳統(tǒng)“雙因素認(rèn)證”的概念。

Source: Callsign

上圖以移動(dòng)設(shè)備做為雙因素之一，多因素又融合了額外的安全層，如生物識(shí)別技術(shù)。而Callsign的IDA與雙因素或多因素認(rèn)證相比，更為全面和復(fù)雜。 Callsign開發(fā)了深度學(xué)習(xí)算法，可以評估數(shù)百個(gè)數(shù)據(jù)點(diǎn)，以確保使用設(shè)備的是本人。這種技術(shù)可以發(fā)出用戶無感知的“挑戰(zhàn)”，以確定用戶身份。 

假設(shè)一名犯罪分子偷走用戶的筆記本電腦，并準(zhǔn)備從用戶的賬戶中轉(zhuǎn)移500美元（更大的數(shù)額可能會(huì)觸發(fā)預(yù)警）。由于密碼存儲(chǔ)在瀏覽器中，罪犯可以輕松登錄。

接下來，作為轉(zhuǎn)賬的一部分，罪犯必須輸入目的地銀行名稱。算法會(huì)注意到，銀行名稱的輸入方式與用戶通常的行為不符。 因此，算法然后使鼠標(biāo)光標(biāo)消失， 犯罪分子會(huì)晃動(dòng)鼠標(biāo)使光標(biāo)顯現(xiàn)出來。該算法判斷現(xiàn)在用戶更加可疑，因?yàn)閿[動(dòng)方式不符合用戶的通常習(xí)慣。

算法然后顯示一個(gè)日期選擇框讓用戶選擇傳輸?shù)娜掌?。它知道用戶通常如何選擇，而犯罪分子使用它的方式完全不同。 該算法實(shí)際上相信現(xiàn)在不是用戶本人。最后一步，算法會(huì)提示輸入全名，而每個(gè)人輸入姓名的方式都不同，算法最終將其踢出并鎖定帳戶。 

在上例中，只要簡單的屏幕就可以驗(yàn)證用戶?？紤]到的其它變量包括執(zhí)行登錄嘗試的位置，一天中的時(shí)間，互聯(lián)網(wǎng)提供商和瀏覽器，甚至智能手機(jī)中的加速度計(jì)會(huì)顯示用戶持有手機(jī)的方式。一旦情況變得可疑，算法就可以請求驗(yàn)證像指紋這樣的強(qiáng)認(rèn)證數(shù)據(jù)，“對相機(jī)微笑”，語音簽名，或者甚至只是舊密碼。

目前這項(xiàng)技術(shù)已經(jīng)應(yīng)用到一些銀行中，服務(wù)于全球成千上萬的客戶。Callsign宣稱他們的技術(shù)能夠比生物技術(shù)提供更高的準(zhǔn)確性，錯(cuò)誤拒絕率低于0.00005%，錯(cuò)誤接受率低于0.00002%。除了Callsign公司外，還有一家以色列公司也提供類似的產(chǎn)品和解決方案，主要客戶包括多數(shù)的以色列銀行。

Source:  Transmit Security

結(jié)束語

未來的身份認(rèn)證系統(tǒng)會(huì)具備以下幾個(gè)特征：

以風(fēng)控為主導(dǎo)的多因素、多維度的認(rèn)證，生物特征將會(huì)被廣泛應(yīng)用，認(rèn)證強(qiáng)度隨著場景和環(huán)境變化。

對多因素進(jìn)行人工智能行為分析，對用戶行為進(jìn)行建模和畫像。

用戶無需使用專用設(shè)備且認(rèn)證過程方便快捷或無感知，后臺(tái)系統(tǒng)處理復(fù)雜的認(rèn)證過程。

第三方身份認(rèn)證服務(wù)平臺(tái)的出現(xiàn)，使用戶認(rèn)證的方法和應(yīng)用分離。認(rèn)證平臺(tái)可以為不同的系統(tǒng)和用戶提供服務(wù)，便于用戶操作，保護(hù)用戶隱私。

我國已將新一代人工智能發(fā)展提高到了國家戰(zhàn)略層面，更好的使用人工智能技術(shù)將會(huì)讓人類的生活變得更安全和美好。

參考文獻(xiàn)

[1] JENNIFER ALSEVER, Forget Face ID. The Future of Secure Authentication Is Your Voice,January 6, 2018 http://fortune.com/2018/01/06/artificial-intelligence-voice-profiling/

[2] Biometric Authentication Provides Body of Evidence, March 7, 2017 https://www.nanalyze.com/2017/03/biometric-authentication-body-evidence/

[3] Phil Goldstein， 5 Trends to Watch in Banking Technology in 2018，JAN 20 2018,

https://biztechmagazine.com/article/2017/12/5-trends-watch-banking-technology-2018

[4] NoPassword AI-driven Contextual and Adaptive Authentication

https://www2.nopassword.com/contextual-adaptive-authentication/

[5] Callsign – Artificial Intelligence for Authentication

https://www.nanalyze.com/2017/07/callsign-ai-authentication/

[7]顧彥，人工智能改變信息安全的未來 從身份認(rèn)證開始

http://www.chinasei.com.cn/ad/ad9/201710/t20171010_20096.html

【本文為51CTO專欄作者“中國保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文