荔枝
动态令牌+声纹识别,组合认证
随着移动互联网的发展,人们在网上的活动也越发频繁起来,而在改变了人们生活方式的同时,身份泄漏事件也频频发生。所以,如何保证人们的身份以及信息安全也变得越来越重要。
前不久,在清华《人工智能与信息安全》前沿论坛上,国家信息中心李新友在主题演讲中也表示,相比于传统以锁、身份证等为载体的身份认证方式,目前的数字身份认证主要有四种:其一,通过字符串、短信验证、动态令牌口令的方式实现;其二,通过USB
Key、智能卡进行强身份认证;其三,以人脸识别、指纹识别、声纹识别、虹膜识别为主的生物识别方式;其四,则是基于风控,根据不同风险等动态调整认证措施采集用户行为习惯、设备指纹。
而基于这些现有的认证方式却也往往存在两方面的问题,即,1)低等级认证方式容易破解,用户名密码容易破解,多应用多注册难以记忆,且通过图形认证的方式操作复杂也难以识别。2)高等级认证方式条件要求高,受限于软硬件、标准接口等要求,用户操作起来较为复杂且体验较差。
而要想实现新的认证方案存在较高难度和成本,一方面,实现每一种新的认证方案均需要新的软件和硬件、新的基础设施、新的用户习惯的培育;另一方面,由于不同的认证方案之间不容易兼容,认证方式与认证服务的强耦合导致不同方案之间的互操作性极弱。所以,目前的基本现状是不同的身份认证系统各自为政,以致会存在高复杂度、冗余、高成本等问题。与此同时,目前的身份认证发展仍然面临来自多方的挑战,比如互联网欺诈横行,信息产业发展势头受阻,身份黑市大量存在,隐私保护亟待提升,鉴别技术面临威胁,物联网和各种应用爆炸式增长等。
最后,李新友也表示,当电子身份逐渐进入人工智能时代后,人们对身份认证的新追求也更偏向于“简单易用、安全适应应用、柔性部署、低成本、互认”几个方面。至于,未来的发展将会出现哪些新的趋势?他也给出了自己的看法:
1)以风控为主导的多因素多层次认证;比如可以通过微信桌面版,手机确认访问;常用设备登录时,简单认证,非常用设备登录,加强认证并安全提醒;一旦登录错误,加强认证如百度云盘;也可以基于用户行为模型、终端安全感知、威胁情报分析等智能行为分析的身份认证系统。
2)在线生物识别;即通过将指纹识别、虹膜识别、人脸识别等身份鉴别技术的融合,利用设备现有的安全性特征设计一个统一的、可扩展的体系,提供适用于任何应用、任何设备、任何认证方式的身份认证机制。
3)第三方身份认证服务平台,即将用户、认证方式与应用分离,支持尽可能多的包含多种认证终端的认证方式,支持不同的安全级别,使用网络服务提供商能够了解设备具有的认证方式和能力并设置认证策略;便利用用户操作,保护用户隐私,是得用户信息不被泄露且无法被追踪。
4)组合认证,比如,可以通过”动态令牌+声纹识别”的方式,用户获得硬件令牌或手机令牌后,在终端上阅读数字串,身份认证平台则对用户发出的声音进行数字串和声纹双重识别,并将结果反馈给应用场景系统。