文:易柏伶
編輯:王巧
5G到來,萬物互聯,社會步入數字化經濟時代。隨著現實社會與網路世界的進一步接軌融合,虛擬和現實早已密不可分。現實中的個體、組織、機構,甚至裝置都會將其現實中的本體投射到數字世界中。
早在網際網路時代,人們生活中的遊戲、社交、交易等行為已經離不開網路中的各式軟體應用。因此,各類不同的應用儲存著人們不同屬性的資訊。在數字經濟時代,這些不同屬性的資訊一旦相連在一起,就會形成個人數字身份,屬性越全面,身份便越完整。
既然資料被公認成為數字經濟的石油、人工智慧的原料、新經濟的引擘,資料的可控治理成為了當下的熱門話題。而資料治理的首要是資料標準化,標準的第一步便是要明確資料的主體,主體的明確則需要數字身份的安全可信認證。
數字身份認證的重要性不言而喻。
圖片來源於攝圖網
然而,網際網路欺詐事件層出不窮,身份黑市大量存在,個人的隱私遭遇“裸奔”危機等情形依舊存在。
數字經濟時代,如何規避、減少網際網路欺詐事件?數字身份的安全可信認證的核心技術是甚麼?如何利用區塊鏈技術結合其他核心技術打造可信安全的數字身份認證?
5與15日,在越你聊“鋅”第19期分享會上,鋅連結創始人龔海瀚邀請了雲之道(深圳)資訊科技有限公司執行董事單慧蔚,將以“數字經濟時代的數字身份認證”為主題,來解決上述問題。
鋅連結:數字身份認證行業都有哪些認證技術或標準?目前大家都需要突破的焦點問題有哪些?
單慧蔚:傳統的認證方式基本有三種。第一,根據所知道的資訊來證明身份,比如密碼口令;第二,根據所擁有的東西來證明身份,比如銀行U盾、簡訊驗證碼;第三,根據獨一無二的身體特徵來證明身份,比如指紋、聲紋、人臉等。
無論是口令還是指紋等生物特徵,幾乎都要透過使用者和伺服器兩側的憑證匹配來完成。
資料洩漏事件頻發,我們意識到,依賴網際網路企業難以杜絕資料洩漏。口令被盜可以修改,而生物特徵一旦洩露則無法擦除。
於是演進出一種可信認證模型,把認證鏈條分為兩部分:人到裝置端的認證(本地認證)和裝置端到服務端的認證,這兩個鏈條各自保證認證安全就實現了使用者到服務端的安全認證。
要解決的核心問題就是如何建立可信根。可信身份認證模型會在裝置端隔離出一個獨立的硬體環境,建立安全區域。理論上,這個隔離出來的硬體本身是難以攻破的,比如ARM公司在其處理器上隔離出來的Trust Zone,或者是手機里加了一個獨立安全晶片模組。
這個安全模型可以保證,手機端被攻破時也不影響整個系統身份認證的安全可信。安全域用來儲存指紋識別或者瞳孔識別的樣本,以及加密金鑰,本地認證保證安全域,這是第一段認證鏈條。
另一段認證鏈條是由安全區域(裝置端)與遠端服務端之間建立一條可信安全通道,這也是可信身份認證協議的主要內容。因為這個路徑要透過網際網路才能到達遠端服務端。
目前,主流的可信身份協議包括應用於網銀U盾的(PKI/CA)協議,以及近幾年比較火熱的FIDO、IFAA兩大統一身份認證標準。
鋅連結:闡述一下雲之道的身份認證系統和電子簽名平臺成立初衷、基本架構和發展邏輯?
單慧蔚:在移動裝置中,要實現上述的安全認證,必須要提供一個安全區域把作為身份認證的金鑰保護起來,讓別人無法偷走你的金鑰。而手機作為消費類電子產品,一般沒有專門的安全晶片來對加密金鑰進行保護。
而手機的作業系統是開放式的環境,如何保護金鑰是安全認證的核心難點,這就是我們公司的成立的契機。
如何實現金鑰的保護 ?我們研發了JustKey身份認證系統。
JustKey採用了創新型的白盒密碼技術,根據裝置的不同指紋生成獨一無二的加密演算法,在無需增加硬體安全晶片的前提下,採用軟體方式動態生成和有效識別裝置身份。
我們通常使用的加密演算法是屬於黑盒密碼:演算法公開,個人金鑰需要硬體介質提供保護,在執行的時候不能曝露加密金鑰,保護加密金鑰是核心。
而白盒密碼是將金鑰和演算法融合在一起,使其在運算過程中金鑰不會洩露。你分離不了金鑰和演算法。
這是一張簡單的架構圖:裝置端有JustKey的SDK,它採集裝置指紋,傳送到下載外掛伺服器,再由加密機根據裝置指紋,用主演算法動態生成跟這個裝置一一對應的加密演算法,並編譯成可執行外掛,下發到裝置端,裝置端呼叫這個加密演算法外掛,跟認證伺服器進行雙向認證。
有了這個跟手機一一對應的加密演算法,手機就可以被模擬成U盾,作為身份認證因子。
基於這個加密演算法,我們能認證使用者是否合法?裝置是否合法?APP客戶端應用是否是盜版的?傳輸的資料是否被篡改過?指令是否是偽造的?
JustSign是一款基於FISCO BCOS的區塊鏈系統以及使用基於白盒密碼的JustKey簽名系統的電子合同存證鏈系統,在給予使用者方便的前提下,把電子合同的簽章資訊放在了存證鏈上,所有節點都保留簽名資訊,解決電子合同在發生糾紛時舉證難,缺乏公信力,防止電子合同檔案內容被篡改等問題,保護使用者個人安全和利益。
電子締約場景的移動端身份認證的安全性和便捷性不好;CA證書有相容性問題,體驗不好;軟證書在移動端很難保護,易被盜用,可抵賴;移動端APP存在資料完整性隱患,自建系統存證證據公信力不足,發生糾紛時舉證難等痛點。
JustSign透過白盒密碼演算法提供基於裝置的身份認證服務,透過白盒密碼演算法提供數字簽名,引入區塊鏈,並由權威機構提供存證服務邀請仲裁機構加入聯盟鏈,作為獨立存證節點。
鋅連結:未來數字身份認證的技術和應用場景的發展趨勢是怎樣的?數字身份認證與物聯網技術的結合會迸發出怎樣的火花?
單慧蔚:數字身份的發展階段大致經歷了四個階段:中心化身份、聯盟身份、以使用者為中心的身份和自主主權身份。
中心化身份時代的識別符號就是個人郵箱賬戶,郵箱背後代表著真實存在的個體;聯盟身份可以類比為微信、微博的跨平臺登入;還有就是以使用者為中心的身份和自主主權身份。
區塊鏈作為前沿技術,為數字身份認證提供了極高安全性和使用便利性。基於區塊鏈實現自主主權的數字身份,解決了身份和平臺之間互操作性。不僅可以保護個人隱私,還能激發相互信任,提供更高的安全性,這也是使用者對數字身份掌控度最高的形式自主主權的數字身份大大改善目前的身份安全問題。
在5G時代,商業流程會實現從人的連線到物的連線,在實現萬物連線之後,開放性、雲物一體等5G特徵也使得網路安全問題變得更加重要。
物聯網裝置身份化是未來重要的安全場景。尤其是超大規模透過NB-IOT/LORA模組連線在一起的廉價物聯網裝置,他們的身份標識和認證是最大的難點。由於是成本低且功耗低,所以,再用增加硬體晶片的方式進行認證識別,就無法滿足應用場景的要求。這裡對身份認證手段提出了更高的要求。
萬物互聯的應用場景,多樣化的終端形態與接入技術,移動邊緣計算技術,網路切片技術將產生新的安全問題,使用者需要從機密性,隱私保護,偽基站防護,網間安全,完整性,認證型別這幾個方面,來提升5G背景下的網路安全。5G背景下的數字身份認證市場大有可為。
