編者按：身份認證是支持許多信息安全和合規性功能的基本服務。它對于授權和審計服務來說至關重要。在智能時代，單因子身份認證方式存在極高的安全風險，因此，顯性因子與隱性因子相結合的多因子身份認證的優勢得以凸顯，攻擊者即使破解單一因子（如口令、人臉），用戶的身份認證安全依然可以得到保障。本文節選汪德嘉博士《身份危機》一書中多因子身份認證技術章節，帶大家了解什么是多因子身份認證技術？又有哪些應用場景？

隨著信息技術的發展，人類進入移動互聯網時代，由于網絡的虛擬化、業務交易的移動化，在獲取各項網絡資源，進行各項網絡交易的過程中，身份認證變得更為重要，一旦用戶身份被盜取、被冒用，將直接影響用戶各項業務交易的安全及網絡資源的獲取。身份認證的演變經歷了按手印、支票簽名，再到現在的安全密碼認證、數字簽名、生物識別等，身份認證技術的發展從來就沒有停止過。在互聯網時代，確保用戶身份安全是互聯網業務開展的安全基石，傳統身份認證方式顯然已無法滿足用戶身份認證過程中對安全性、準確性、靈活性等方面的更高要求，個人身份認證技術亟需革新升級。

什么是多因子身份認證

多因子身份驗證是一種安全系統，是為了驗證一項交易的合理性而實行多種身份驗證。多因子身份認證的目的是建立一個多層次的防御，使未經授權的人訪問計算機系統或網絡更加困難。通過結合兩個或三個獨立的憑證：用戶知道什么（知識型的身份驗證），用戶有什么（安全性令牌或者智能卡），用戶是什么（生物識別驗證）。單因素身份驗證與之相比，只需要用戶現有的知識。雖然密碼口令身份驗證很適合網站或者應用程序的訪問，但是在網絡在線金融交易方面還是不夠安全。

多因子身份認證主要是綜合幾種身份認證因子，進行多重身份認證，只有幾重身份認證均通過，安全系統才確認使用者身份的合法性。采用多因子身份認證即便黑客獲取了你的口令，僅僅是口令這第一道防線被攻破是無法冒充你的身份，你身份驗證所需第二個因子甚至更多個因子相結合。另外，大多數全局ID解決方案，并不會在所有參與站點上使用單一身份驗證令牌。相反，你的“全局令牌”被用來創建特定于各站點/會話的身份驗證令牌，令牌間不存在交叉使用的情況。這意味著，即使你用全局身份驗證令牌登錄的某個站點被黑客攻破，該令牌也無法應用到其他站點上。這是雙贏解決方案。

如何實現多因子身份認證

目前常見的多因素身份認證主要有靜態密碼和動態密碼組合認證，靜態密碼和面部識別組合認證，數字簽名和短信密碼組合認證等方式。從認證載體上可分為：基于智能設備的PKI/CA認證、短信驗證碼、生物識別等；基于硬件的智能卡、U盾、硬件口令、生物識別等。多因素身份認證雖然增加了身份認證步驟，但利用多重身份認證，可以彌補由單一身份認證所引發的身份認證風險，最大程度保證了使用者的身份信息安全和網絡信息安全。

HUE（Host USBKey Emulation Identity Authentication Component，簡稱HUE）多因子身份認證除采用帳號密碼體系、PKI體系、短信驗證碼、人臉、指紋、聲紋、虹膜等技術之外，運用設備指紋及時空碼等技術，將設備因子、時間因子、空因子、行為因子等因子引入到多因子身份認證當中。設備指紋技術是基于國際領先的網籍庫技術，快速識別設備的軟硬件屬性和行為屬性，為每臺入網設備生成防假冒、唯一的設備ID，作為虛擬空間的“身份證”，形成開放式平臺的隱形賬號體系；時空碼是一種安全可信的準硬件級別的動態多維碼技術。通過動態算法、P2P校驗等先進技術，融入時間、空間、硬件指紋等7重安全因子，有效防止偷拍、截屏、偽造、攻擊等安全威脅，確保憑證安全和交易安全。

HUE基于多項專利技術，基于移動設備實現多因子身份認證，安全強度達到準U盾級。HUE多因子身份認證整和前臺應用保護、安全控件以及后臺設備識別、風險控制等多項專利技術，實現開放環境下安全高效的身份認證。同時，HUE其通過數據挖掘與深度學習等人工智能技術的探索，能夠對用戶的認證行為、時間、空間、認證所涉及業務等信息進行深度地挖掘與分析，并能智能并精準地識別一些惡意的認證動作，及時進行攔截，完全阻斷黑客攻擊與帳號盜取行，真正實現“智能化”風險防控。

HUE多因子身份認證應用場景

1.轉賬匯款/支付交易：用戶輸入轉賬賬號密碼后，強制要求用戶進行二次身份認證，防止交易資金被盜取，造成重大損失。

2.管理授權：在業務系統中進行權限分配時，推送消息彈框到管理員綁定的設備上，進行授權確認，防止惡意分配權限，保障業務系統的安全。

3.用戶登錄：通過掃描動態二維碼進行身份認證，實現快捷登錄，防拍照、防偽造、防暴力破解。

4.信息修改：進行關鍵信息修改時，需用戶進行身份認證，防范信息遭他人惡意篡改。

5.流程審批：在關鍵流程審批環節，需將關鍵審批信息回顯至相應審批者的綁定設備上進行確認，有效防止越權審批。

6.資金提現：用戶申請資金提現時，輸入賬號密碼后，需進行二次身份認證，確保資金不被盜取或者冒領。

多因子身份認證產品支持移動端和PC端發起的認證服務業務應用場景，可廣泛應用于銀行、電子政務、軍事、安防、第三方支付、O2O、電子商務、物流、云計算等行業。

基于風險的身份驗證

保護數據免受未經授權訪問，同時確保獲得授權的人員可以訪問數據，這是IT安全專業人士的最終目標。由于簡單的密碼和基本的數據保護方法已經不再那么有效，所以企業可以部署多因素身份驗證、生物識別、帶外PIN或者是語音回撥等技術來降低風險。

但問題是大多數用戶不想每次都接聽電話或者輸入PIN碼來驗證身份。對此，我們可以利用一個有趣的概念，即所謂的基于風險的身份驗證，企業可以只在風險升高的時候才需要額外的身份驗證步驟。

• 基于風險的身份驗證

基于風險的身份驗證：根據身份驗證當時的用戶情況，動態調整驗證要求。比如說，當用戶從之前未關聯的地理位置或IP地址嘗試驗證時，將會遇到額外的身份驗證要求。

基于風險的身份驗證有時候也被稱為自適應身份驗證 ，這種驗證方式可以被描述為變量矩陣，這些變量的結合會產生一個風險信息。基于這個風險信息，在某些功能執行前，可能需要添加額外的身份驗證要求。這類功能一旦被執行，可能會帶來巨大的風險。比如登錄請求(無論是內部網絡還是系統訪問，還有web應用)、敏感數據請求或者安全信息的修改。

•   基于風險的身份驗證的變量

在這個變量矩陣中有兩組值。第一組是用戶或者客戶端的變量，這些變量從客戶端導出，包括諸如始發IP地址、硬件標識(MAC地址、硬盤驅動器品牌和其它靜態標識符)、瀏覽器、時間、輸入用戶密碼需要的時間等信息。這組信息被用來確定輸入賬戶登錄信息的人是不是用戶本人。

第二組值由應用開發人員定義，這些值基于某些存在問題的功能帶來的潛在影響，例如讓攻擊者作為另一個用戶登錄。

•  風險情況

基于風險的身份驗證系統旨在識別升高的身份驗證風險。例如，用戶使用其家中電腦每天訪問一次網上銀行表明風險不大，因為這是一個可預測的(每天一次登錄)邏輯的做法和來源(使用家中電腦)。如果登錄請求來自于其他國家的某個位置，這些變量會提示未經授權的登錄嘗試，系統會判斷用戶作為攻擊者的風險提高了。在這種情況下，系統可以通過請求額外的帶外信息來審查用戶的登錄請求，或者要求用戶回答安全問題。

基于風險的身份認證是目前常用且高效的方法。登錄時間和位置信息可能不足以檢測到風險資料中的變化，因此，我們可以在這個風險矩陣中加入更多其它標識符來確定客戶端變量是否已經改變，例如硬件識別、SMS短信或者從自動系統的語音通話。

•   如何實現基于風險的身份認證

【風險決策系統】是基于設備指紋、規則引擎、深度學習、風險數據、關系圖譜等多項核心技術及資源的全方位業務風險防控平臺。平臺預置全行業風控模型，通過人工智能技術精準分析設備信息及用戶業務，實時反饋業務風險，及時阻斷欺詐操作; 同時客戶可根據自身業務情況，有針對性調整風控策略，實現定制化風控建模。同時, 系統還配置了大數據關系圖譜分析工具，聯合全網風險數據進行關聯分析，協助客戶風控人員高效、全方位、深層次反欺詐。

匿名身份認證

這個標題看似很奇怪，匿名不就是要隱藏身份嗎？為什么還要談匿名的身份認證呢？其實不然，匿名也是有其身份的，只是這個身份是匿名的，并非沒有身份，并非任意身份。針對匿名的身份認證就是為了確認這個匿名身份是真實的，不是被偽造。

•   什么是匿名身份認證？

在互聯網數字的世界里，互聯網時代的匿名給了每一個普通人第二個、第三個、第N個數字身份，這些身份可以在不同的名字下，也可以在不同的場合，甚至可以毫無交集：在微信朋友圈里我叫A，在微博上我叫B，在QQ上我叫C。如果是和我線下世界有交集的人，也在微信、微博、QQ上有他們的身份，那他們的網上身份當然可以和我的A、B、C三個身份都有交集，他們也一定程度上能知道A是我，B是我，C也是我。但是，對于線下世界沒有交集的人來說，A是一個人，B是一個人，C也是一個人，除非我在線上告知了我的各種線上身份，不然對他們來說，A、B、C完全可以是不同的人。匿名依然是有身份的。無論哪一種情況下，A、B、C和線下的我都是同一個人的不同身份，而不是任意一個誰的身份。所以匿名的身份認證就是需要確認A、B、C還是我的身份，而不是被任意誰都可以使用的身份。

• 匿名身份存在的隱患

即便是匿名本身，也有很多問題，其中之一就是身份認證。怎樣確保這個匿名身份的所有者還是其本人，而不是被盜用、冒用，如果對待組織而非個體的身份，如何對待AI的身份，AI和個人和組織的身份是否應當享有同等的權利和義務。在線下，國內有身份證，上面的照片和本人的容貌相對應，就認為持有身份證的為本人。而線上的身份呢？線上當然也可以有線上的身份證，但是那個身份證上到底需要存儲怎樣的容易識別，同時不容易重復，又不容易仿造的信息才能完成身份認證的過程呢？這類信息是否對三類數字身份：個人、組織、AI都有效呢？或者，是否有辦法簡化數字身份，把三類身份統一成為一個代理身份，從而簡化特征信息的提取。

• 匿名身份的展望

大膽提出一種身份認證信息的設想：alive time based memory。線下世界對每個人獨一無二的是他的時間，當他死亡的時候，屬于他的時間才真正結束。而對于線上身份來說，時間也是獨一無二的。如果線上身份在下線前在他人的記憶里保存了一份對與他在線上存活過的時間（或者記憶）證明，而再次上線時，如果可以確認那個證明和再次上線時的證明相同，則可以認為是同一身份，否則就不認為是同一身份。線下也是，如果一個人失去他之前所有存活過的時間的證明（記憶），對他自己來說，就像完全重新活一次一樣。然而，對其周圍人來說，他到底是什么呢？是帶著過去的他，還是新生的他？他和過去他是兩個不同的身份嗎？對他和過去的他的情感會有所不同嗎？好吧，我承認這個又是一個藝術作品可以大膽表現的倫理問題了。簡單來說就是：下線前保存一份記憶的證明在其他人那里，上線前通過他人對其記憶證明的認同獲得其身份的認證。

結束：多因子身份認證增加了身份認證步驟，利用多重身份認證，可以彌補由單一身份認證所引發的身份認證風險，通過數據挖掘與深度學習等人工智能技術的探索，能夠對用戶的認證行為、時間、空間、認證所涉及業務等信息進行深度地挖掘與分析，還能夠智能并精準地識別一些惡意的認證動作，及時進行攔截，完全阻斷黑客攻擊與帳號盜取行，最大程度保證了使用者的身份信息安全和網絡信息安全。

在智能時代安全防護下，除多種身份認證外，我們還需態勢感知輔助身份識別。態勢感知系統的作用就是分析安全環境信息、快速判斷當前及未來形勢，以作出正確響應。“全天候全方位感知網絡安全態勢”對態勢感知的建設目標做出了準確描述。在接下來的章節中將與大家分享態勢感知如何保護身份認證安全，敬請期待！