清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

身份认证是支持许多信息安全和合规性功能的基本服务。它对于授权和审计服务来说至关重要。在智能时代,单因子身份认证方式存在极高的安全风险,因此,显性因子与隐性因子相结合的多因子身份认证的优势得以凸显,攻击者即使破解单一因子(如口令、人脸),用户的身份认证安全依然可以得到保障。本文节选汪德嘉博士《身份危机》一书中多因子身份认证技术章节,带大家了解什么是多因子身份认证技术?又有哪些应用场景?

随着信息技术的发展,人类进入移动互联网时代,由于网络的虚拟化、业务交易的移动化,在获取各项网络资源,进行各项网络交易的过程中,身份认证变得更为重要,一旦用户身份被盗取、被冒用,将直接影响用户各项业务交易的安全及网络资源的获取。身份认证的演变经历了按手印、支票签名,再到现在的安全密码认证、数字签名、生物识别等,身份认证技术的发展从来就没有停止过。在互联网时代,确保用户身份安全是互联网业务开展的安全基石,传统身份认证方式显然已无法满足用户身份认证过程中对安全性、准确性、灵活性等方面的更高要求,个人身份认证技术亟需革新升级。

什么是多因子身份认证

多因子身份验证是一种安全系统,是为了验证一项交易的合理性而实行多种身份验证。多因子身份认证的目的是建立一个多层次的防御,使未经授权的人访问计算机系统或网络更加困难。通过结合两个或三个独立的凭证:用户知道什么(知识型的身份验证),用户有什么(安全性令牌或者智能卡),用户是什么(生物识别验证)。单因素身份验证与之相比,只需要用户现有的知识。虽然密码口令身份验证很适合网站或者应用程序的访问,但是在网络在线金融交易方面还是不够安全。

多因子身份认证主要是综合几种身份认证因子,进行多重身份认证,只有几重身份认证均通过,安全系统才确认使用者身份的合法性。采用多因子身份认证即便黑客获取了你的口令,仅仅是口令这第一道防线被攻破是无法冒充你的身份,你身份验证所需第二个因子甚至更多个因子相结合。另外,大多数全局ID解决方案,并不会在所有参与站点上使用单一身份验证令牌。相反,你的“全局令牌”被用来创建特定于各站点/会话的身份验证令牌,令牌间不存在交叉使用的情况。这意味着,即使你用全局身份验证令牌登录的某个站点被黑客攻破,该令牌也无法应用到其他站点上。这是双赢解决方案。

如何实现多因子身份认证

目前常见的多因素身份认证主要有静态密码和动态密码组合认证,静态密码和面部识别组合认证,数字签名和短信密码组合认证等方式。从认证载体上可分为:基于智能设备的PKI/CA认证、短信验证码、生物识别等;基于硬件的智能卡、U盾、硬件口令、生物识别等。多因素身份认证虽然增加了身份认证步骤,但利用多重身份认证,可以弥补由单一身份认证所引发的身份认证风险,最大程度保证了使用者的身份信息安全和网络信息安全。

HUE(Host USBKey Emulation Identity Authentication Component,简称HUE)多因子身份认证除采用帐号密码体系、PKI体系、短信验证码、人脸、指纹、声纹、虹膜等技术之外,运用设备指纹及时空码等技术,将设备因子、时间因子、空因子、行为因子等因子引入到多因子身份认证当中。设备指纹技术是基于国际领先的网籍库技术,快速识别设备的软硬件属性和行为属性,为每台入网设备生成防假冒、唯一的设备ID,作为虚拟空间的“身份证”,形成开放式平台的隐形账号体系;时空码是一种安全可信的准硬件级别的动态多维码技术。通过动态算法、P2P校验等先进技术,融入时间、空间、硬件指纹等7重安全因子,有效防止偷拍、截屏、伪造、攻击等安全威胁,确保凭证安全和交易安全。

HUE基于多项专利技术,基于移动设备实现多因子身份认证,安全强度达到准U盾级。HUE多因子身份认证整和前台应用保护、安全控件以及后台设备识别、风险控制等多项专利技术,实现开放环境下安全高效的身份认证。同时,HUE其通过数据挖掘与深度学习等人工智能技术的探索,能够对用户的认证行为、时间、空间、认证所涉及业务等信息进行深度地挖掘与分析,并能智能并精准地识别一些恶意的认证动作,及时进行拦截,完全阻断黑客攻击与帐号盗取行,真正实现“智能化”风险防控。

HUE多因子身份认证应用场景

1.转账汇款/支付交易:用户输入转账账号密码后,强制要求用户进行二次身份认证,防止交易资金被盗取,造成重大损失。

2.管理授权:在业务系统中进行权限分配时,推送消息弹框到管理员绑定的设备上,进行授权确认,防止恶意分配权限,保障业务系统的安全。

3.用户登录:通过扫描动态二维码进行身份认证,实现快捷登录,防拍照、防伪造、防暴力破解。

4.信息修改:进行关键信息修改时,需用户进行身份认证,防范信息遭他人恶意篡改。

5.流程审批:在关键流程审批环节,需将关键审批信息回显至相应审批者的绑定设备上进行确认,有效防止越权审批。

6.资金提现:用户申请资金提现时,输入账号密码后,需进行二次身份认证,确保资金不被盗取或者冒领。

多因子身份认证产品支持移动端和PC端发起的认证服务业务应用场景,可广泛应用于银行、电子政务、军事、安防、第三方支付、O2O、电子商务、物流、云计算等行业。

基于风险的身份验证

保护数据免受未经授权访问,同时确保获得授权的人员可以访问数据,这是IT安全专业人士的最终目标。由于简单的密码和基本的数据保护方法已经不再那么有效,所以企业可以部署多因素身份验证、生物识别、带外PIN或者是语音回拨等技术来降低风险。

但问题是大多数用户不想每次都接听电话或者输入PIN码来验证身份。对此,我们可以利用一个有趣的概念,即所谓的基于风险的身份验证,企业可以只在风险升高的时候才需要额外的身份验证步骤。

基于风险的身份验证

基于风险的身份验证:根据身份验证当时的用户情况,动态调整验证要求。比如说,当用户从之前未关联的地理位置或IP地址尝试验证时,将会遇到额外的身份验证要求。

基于风险的身份验证有时候也被称为自适应身份验证 ,这种验证方式可以被描述为变量矩阵,这些变量的结合会产生一个风险信息。基于这个风险信息,在某些功能执行前,可能需要添加额外的身份验证要求。这类功能一旦被执行,可能会带来巨大的风险。比如登录请求(无论是内部网络还是系统访问,还有web应用)、敏感数据请求或者安全信息的修改。

基于风险的身份验证的变量

在这个变量矩阵中有两组值。第一组是用户或者客户端的变量,这些变量从客户端导出,包括诸如始发IP地址、硬件标识(MAC地址、硬盘驱动器品牌和其它静态标识符)、浏览器、时间、输入用户密码需要的时间等信息。这组信息被用来确定输入账户登录信息的人是不是用户本人。

第二组值由应用开发人员定义,这些值基于某些存在问题的功能带来的潜在影响,例如让攻击者作为另一个用户登录。

风险情况

基于风险的身份验证系统旨在识别升高的身份验证风险。例如,用户使用其家中电脑每天访问一次网上银行表明风险不大,因为这是一个可预测的(每天一次登录)逻辑的做法和来源(使用家中电脑)。如果登录请求来自于其他国家的某个位置,这些变量会提示未经授权的登录尝试,系统会判断用户作为攻击者的风险提高了。在这种情况下,系统可以通过请求额外的带外信息来审查用户的登录请求,或者要求用户回答安全问题。

基于风险的身份认证是目前常用且高效的方法。登录时间和位置信息可能不足以检测到风险资料中的变化,因此,我们可以在这个风险矩阵中加入更多其它标识符来确定客户端变量是否已经改变,例如硬件识别、SMS短信或者从自动系统的语音通话。

如何实现基于风险的身份认证

【风险决策系统】是基于设备指纹、规则引擎、深度学习、风险数据、关系图谱等多项核心技术及资源的全方位业务风险防控平台。平台预置全行业风控模型,通过人工智能技术精准分析设备信息及用户业务,实时反馈业务风险,及时阻断欺诈操作; 同时客户可根据自身业务情况,有针对性调整风控策略,实现定制化风控建模。同时, 系统还配置了大数据关系图谱分析工具,联合全网风险数据进行关联分析,协助客户风控人员高效、全方位、深层次反欺诈。

匿名身份认证

这个标题看似很奇怪,匿名不就是要隐藏身份吗?为什么还要谈匿名的身份认证呢?其实不然,匿名也是有其身份的,只是这个身份是匿名的,并非没有身份,并非任意身份。针对匿名的身份认证就是为了确认这个匿名身份是真实的,不是被伪造。

什么是匿名身份认证?

在互联网数字的世界里,互联网时代的匿名给了每一个普通人第二个、第三个、第N个数字身份,这些身份可以在不同的名字下,也可以在不同的场合,甚至可以毫无交集:在微信朋友圈里我叫A,在微博上我叫B,在QQ上我叫C。如果是和我线下世界有交集的人,也在微信、微博、QQ上有他们的身份,那他们的网上身份当然可以和我的A、B、C三个身份都有交集,他们也一定程度上能知道A是我,B是我,C也是我。但是,对于线下世界没有交集的人来说,A是一个人,B是一个人,C也是一个人,除非我在线上告知了我的各种线上身份,不然对他们来说,A、B、C完全可以是不同的人。匿名依然是有身份的。无论哪一种情况下,A、B、C和线下的我都是同一个人的不同身份,而不是任意一个谁的身份。所以匿名的身份认证就是需要确认A、B、C还是我的身份,而不是被任意谁都可以使用的身份。

匿名身份存在的隐患

即便是匿名本身,也有很多问题,其中之一就是身份认证。怎样确保这个匿名身份的所有者还是其本人,而不是被盗用、冒用,如果对待组织而非个体的身份,如何对待AI的身份,AI和个人和组织的身份是否应当享有同等的权利和义务。在线下,国内有身份证,上面的照片和本人的容貌相对应,就认为持有身份证的为本人。而线上的身份呢?线上当然也可以有线上的身份证,但是那个身份证上到底需要存储怎样的容易识别,同时不容易重复,又不容易仿造的信息才能完成身份认证的过程呢?这类信息是否对三类数字身份:个人、组织、AI都有效呢?或者,是否有办法简化数字身份,把三类身份统一成为一个代理身份,从而简化特征信息的提取。

匿名身份的展望

大胆提出一种身份认证信息的设想:alive time based memory。线下世界对每个人独一无二的是他的时间,当他死亡的时候,属于他的时间才真正结束。而对于线上身份来说,时间也是独一无二的。如果线上身份在下线前在他人的记忆里保存了一份对与他在线上存活过的时间(或者记忆)证明,而再次上线时,如果可以确认那个证明和再次上线时的证明相同,则可以认为是同一身份,否则就不认为是同一身份。线下也是,如果一个人失去他之前所有存活过的时间的证明(记忆),对他自己来说,就像完全重新活一次一样。然而,对其周围人来说,他到底是什么呢?是带着过去的他,还是新生的他?他和过去他是两个不同的身份吗?对他和过去的他的情感会有所不同吗?好吧,我承认这个又是一个艺术作品可以大胆表现的伦理问题了。简单来说就是:下线前保存一份记忆的证明在其他人那里,上线前通过他人对其记忆证明的认同获得其身份的认证。

结语

多因子身份认证增加了身份认证步骤,利用多重身份认证,可以弥补由单一身份认证所引发的身份认证风险,通过数据挖掘与深度学习等人工智能技术的探索,能够对用户的认证行为、时间、空间、认证所涉及业务等信息进行深度地挖掘与分析,还能够智能并精准地识别一些恶意的认证动作,及时进行拦截,完全阻断黑客攻击与帐号盗取行,最大程度保证了使用者的身份信息安全和网络信息安全。

在智能时代安全防护下,除多种身份认证外,我们还需态势感知辅助身份识别。态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势,以作出正确响应。“全天候全方位感知网络安全态势”对态势感知的建设目标做出了准确描述。在接下来的章节中将与大家分享态势感知如何保护身份认证安全,敬请期待!

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文版权归原作者所有,如有侵权,请联系删除。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。