身份认证是在数字世界中用来对实体和所呈现的身份之间的法定关系进行充分确认的过程,简单讲就是身份鉴别。在现实世界里有身份证、进门卡、工作证等实物认证方式,在数字世界里表现出来的可能是证书、Token等,身份认证对于保护用户资产和信息是至关重要的。
总体来说,传统的身份认证方法可以分为三种:
基于信息秘密的身份认证,what you know,你知道什么;
基于信任物体的身份认证,what you have,你有什么;
基于生物特征的身份认证,who you are,你是谁。
为了达到更高的身份认证安全性,通常会将上面的方法挑选2种或以上混合使用,即所谓的双因素或多因素认证。其中通常会使用一种生物特征识别技术。
生物特征主要涉及指纹,人脸,声音,眼睛等技术,其中每类技术根据原理不同又可细分为不同的类型,如眼睛部分的特征识别会分为:眼纹(眼白部分),虹膜(瞳孔),视网膜等。
Source:HYPR
理论上说,生物特征认证是比较可靠的身份认证方式,因为它直接根据人的物理特征来确定每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。
目前生物特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤病或污渍的影响,往往导致无法正常识别,可能造成合法用户无法登陆的情况。其次,由于研发投入较大和产量较小的原因,生物特征认证系统的成本较高。
人工智能时代的身份认证
随着大数据和人工智能技术的迅速发展,信息安全面临着非常大的挑战,黑客已经开始利用人工智能技术加强进攻能力。为此使用人工智能技术提高身份认证的能力已势在必行。
以声音识别为例,借助于更强大的计算能力和成熟的新算法,当前的声纹技术可以从声音中分析出使用者的情绪,社会地位,教养,年龄,种族,体重,身高和面部特征,以及周围环境等信息。
在2017年12月,卡内基梅隆大学的研究人员通过人工智能算法生成了一个三维的演讲者的脸部图像。研究人员表示:"声音就像DNA或者指纹一样复杂"。
亚马逊的echo智能音箱实际是一种个人数字助理设备,通过对用户声音进行语音识别、意图理解,得出指令,进行身份确认,协助人们处理各种日常事务。
英格兰创业公司Callsign正在研究的技术被称为智能驱动认证或IDA,这是超越传统“双因素认证”的概念。
Source:Callsign
上图以移动设备做为双因素之一,多因素又融合了额外的安全层,如生物识别技术。而Callsign的IDA与双因素或多因素认证相比,更为全面和复杂。Callsign开发了深度学习算法,可以评估数百个数据点,以确保使用设备的是本人。这种技术可以发出用户无感知的“挑战”,以确定用户身份。
假设一名犯罪分子偷走用户的笔记本电脑,并准备从用户的账户中转移500美元(更大的数额可能会触发预警)。由于密码存储在浏览器中,罪犯可以轻松登录。
接下来,作为转账的一部分,罪犯必须输入目的地银行名称。算法会注意到,银行名称的输入方式与用户通常的行为不符。因此,算法然后使鼠标光标消失,犯罪分子会晃动鼠标使光标显现出来。该算法判断现在用户更加可疑,因为摆动方式不符合用户的通常习惯。
算法然后显示一个日期选择框让用户选择传输的日期。它知道用户通常如何选择,而犯罪分子使用它的方式完全不同。该算法实际上相信现在不是用户本人。最后一步,算法会提示输入全名,而每个人输入姓名的方式都不同,算法最终将其踢出并锁定帐户。
在上例中,只要简单的屏幕就可以验证用户。考虑到的其它变量包括执行登录尝试的位置,一天中的时间,互联网提供商和浏览器,甚至智能手机中的加速度计会显示用户持有手机的方式。一旦情况变得可疑,算法就可以请求验证像指纹这样的强认证数据,“对相机微笑”,语音签名,或者甚至只是旧密码。
目前这项技术已经应用到一些银行中,服务于全球成千上万的客户。Callsign宣称他们的技术能够比生物技术提供更高的准确性,错误拒绝率低于0.00005%,错误接受率低于0.00002%。除了Callsign公司外,还有一家以色列公司也提供类似的产品和解决方案,主要客户包括多数的以色列银行。
Source:Transmit Security
结束语
未来的身份认证系统会具备以下几个特征:
以风控为主导的多因素、多维度的认证,生物特征将会被广泛应用,认证强度随着场景和环境变化。
对多因素进行人工智能行为分析,对用户行为进行建模和画像。
用户无需使用专用设备且认证过程方便快捷或无感知,后台系统处理复杂的认证过程。
第三方身份认证服务平台的出现,使用户认证的方法和应用分离。认证平台可以为不同的系统和用户提供服务,便于用户操作,保护用户隐私。
我国已将新一代人工智能发展提高到了国家战略层面,更好的使用人工智能技术将会让人类的生活变得更安全和美好。