什么是大數據系統身份認證技術？

改編自：《智能制造信息安全技術》（作者：秦志光, 聶旭云, 秦臻）

計算機系統和計算機網絡是一個虛擬的數字世界，在這個數字世界中，一切信息包括用戶的身份信息都是用一組特定的數據來表示的，計算機智能識別用戶的數字身份，所有對用戶的授權也是針對用戶數字身份的授權。而我們生活的現實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者，也就是說保證操作者的物理身份與數字身份相對應，成為了當今信息安全領域極為重要的問題。身份認證技術的誕生就是為了解決這個問題。

身份認證（即“身份驗證”或“身份鑒別”）是驗證用戶的真實身份與其對外的身份是否相符的過程，從而確定用戶信息是否可靠、屬實，防止非法用戶假冒其他合法用戶獲得一系列相關權限，保證用戶信息的安全、合法利益，其是在計算機網絡中確認操作者身份的過程中產生的解決方法。

「1. 身份認證技術簡介」

用戶身份認證的最終目的就是要保障信息的安全，從用戶使用和技術設計等多個方面來看，用戶身份認證技術對于維護信息安全有著極為重要的意義[7][8]。

（1）能夠為用戶帶來更大的便利。用戶身份認證技術能夠對用戶進行集中統一的管理，在已有安全系統的前提下，對用戶進行相關權限的設置和分配，減少重新開發安全系統的成本，同時減少對現有安全系統的修改影響。

（2）用戶身份認證單點登錄更為凸顯，用戶在登錄認證之后，在不同的系統之間進行切換時，不需要注銷之后重新登錄。

（3）信息平臺中的不同安全系統之間，都是基于同一個數據庫而進行設計的。

（4）用戶身份認證系統具有更好的整合性和擴展性，不但能夠兼容現有的安全系統和數據庫，還能夠支持新建的相關系統，故用戶身份認證技術的集成模塊也同樣能夠嵌入到新系統中。

（5）用戶身份認證技術對于用戶來說更為靈活便捷，能夠在多種環境下進行使用。用戶身份認證技術在設計之初，就考慮到了在整個安全系統中，不同角色的分級權限管理、相關安全系統的維護、安全證書的管理以及信息資源的匹配等問題，從而實現數據的高度集中，提高資源的利用效率，讓用戶身份認證技術在信息安全中發揮更為顯著的作用。

常用的身份認證方法包括但不限于：靜態密碼、動態口令、短信密碼、USB KEY認證、IC卡認證、生物識別技術[3-6]、數字簽名等。身份認證是判斷被證對象是否屬實或是否有效的一個過程，主要通過以下 3 種方式來判別：

（1）知識類認證方式，即根據用戶所知道的信息來證明用戶身份。

（2）資產類認證方式，即根據用戶所擁有的資產來證明用戶身份。

（3）本征類認證方式，即根據用戶獨一無二的身體特征來證明用戶身份。

身份認證技術基本分類方法如表1所示。

表1 身份認證技術基本分類方法

1） 知識類認證方式

知識類認證方式主要包括靜態口令和用戶相關信息等。

靜態口令是指長期保持不變、可以被用戶反復重用的口令，是一種最原始最簡單的認證方式。靜態口令是一種極不安全的身份認證方式，雖然也存在增強口令安全性的策略，包括定期更改靜態口令、大小寫字母和數字混排的口令、加入特殊字符的口令等，但這些并不被大多數用戶所接受。用戶相關信息是用戶為重置密碼等操作而預留的相關信息，如郵箱地址、手機號碼、生日信息等。

2） 資產類認證方式

資產類認證方式包括電子令牌、APP 動態口令、手機短信驗證、智能卡認證和數據證書認證等。

（1）電子令牌

電子令牌是一種動態口令技術，用戶使用時只需要將動態令牌上顯示的當前密碼輸入用戶側客戶端，即可實現身份認證。用戶的密碼根據時間或使用次數不斷動態變化，每個密碼只使用一次。如果客戶端硬件與服務器端程序的時間或使用次數不能保持良好的同步，就可能發生合法用戶無法登陸的問題，并且用戶每次登錄時還需要通過鍵盤輸入一長串無規律的密碼，一旦輸錯就要重新輸入，因此用戶在使用方面并不便利。

（2）APP 動態口令

APP 動態口令是移動互聯網新興的一種認證方式，需要用戶在手機上安裝 APP 動態口令生成軟件，當用戶需要使用口令時，運行 APP 動態口令生成程序產生一個動態口令。

（3）手機短信驗證

手機短信驗證是通過服務端下發到用戶手機的短信驗證碼來驗證身份。目前使用最普遍的有網上銀行、網上商城、團購網站、票務公司等。

（4）智能卡認證

智能卡是一種內置集成電路的卡片，卡片中存有與用戶身份相關的數據，由專門的廠商生產，可以認為是不可復制的硬件。智能卡具有硬件加密功能，有較高的安全性。使用智能卡認證時，用戶輸入 PIN 碼（個人身份識別碼），智能卡認證成功后，即可讀出智能卡中的秘密信息，進而利用該秘密信息與主機之間進行認證。對于智能卡認證，需要在每個認證端添加讀卡設備，增加了硬件成本，并且單個用戶可能擁有多張智能卡，不便于攜帶和管理。

（5）數字證書認證

數字證書[4][6]包括證書版本、序列號、用戶標識符、用戶的公鑰、證書所用的數字簽名算法說明等內容。數字證書認證是借助第三方電子認證服務機構，為用戶頒發基于 USB-Key 的數字證書，實現“雙因子認證”（USB-Key和用戶 PIN碼）。

USB-Key 是一種 USB接口的硬件設備，可以存儲用戶的密鑰或數字證書，利用 USB-Key 內置的密碼算法實現對用戶身份的認證。用戶只有同時取得 USB-Key 和用戶 PIN 碼，才可以登錄系統。但是單個用戶可能擁有多個 USB-Key，不便于用戶對 USB-Key 的攜帶和管理。

3） 本征類認證方式

本征類認證方式包括指紋識別、人臉識別和虹膜識別等。

（1）指紋識別

指紋識別[4]是目前應用最廣泛的生物識別方式，是把現場采集到的用戶指紋與數據庫中己經登記的指紋進行一對一的比對，來確認身份的過程。指紋識別使用方便，樣本容易獲取，硬件成本低，在許多應用中，基于指紋的生物認證系統的成本是可以承受的。

（2）人臉識別

人臉識別[6]是基于人的臉部特征信息進行身份識別的一種生物識別技術?，F有的人臉識別系統在用戶配合、采集條件比較理想的情況下可以取得令人滿意的結果。但是，在用戶不配合、采集條件不理想的情況下，現有系統的識別率將陡然下降。當采集的人臉圖像與系統中存儲的人臉圖像有差異，如剃胡子、換發型、加眼鏡、變表情等都有可能引起比對失敗。

（3）虹膜識別

虹膜識別[5]是基于人眼中的虹膜進行身份識別，主要應用于安防設備（如門禁等），以及有高度保密需求的場所。虹膜在胎兒發育階段形成后，始終保持不變。因此，可以將人眼的虹膜特征作為每個人的身份識別特征。虹膜識別便于用戶使用，不需物理接觸，可靠性高，可能會是最可靠的生物識別技術。然而，目前的技術現狀是很難將虹膜識別的圖像獲取設備小型化，并且設備造價高，很難大范圍推廣。

如今，互聯網助推社會的高速發展，而網絡安全又為互聯網的健康增長保駕護航，掌握、運用身份技術現今這個信息技術時代占據著舉足輕重的地位。只有深刻理解、認識身份認證技術，才能使它更好的服務與現代社會生活的方方面面。

「2. 匿名身份認證」

匿名身份驗證是確認用戶訪問網頁或其他服務的權限的過程。與傳統身份驗證不同，傳統身份驗證可能需要用戶名和密碼等憑據，匿名身份驗證允許用戶登錄到系統而不暴露其實際身份。匿名身份驗證的最大好處是認證是在網上進行業務時保護個人安全和安全，這涉及個人和職業兩方面的考慮，但重點是保護用戶在互聯網上的身份，同時防止其他個人有能力跟蹤和識別在線用戶。

在真實世界中，匿名身份驗證的用戶和完全未經身份驗證的用戶沒有區別。因此，使用匿名身份驗證的網站對訪問該網站的個人沒有實際限制。使用此設置的網站有點像公共偽裝；所有人可以獲得訪問權限，但無法識別任何人。

按照用戶匿名強度的不同，匿名認證可分為兩類：

（1）對外部用戶匿名。在認證過程中，外部用戶無法確定用戶的真實身份，并且無法確定不同的會話來自相同的用戶，而服務提供者可以確定用戶的真實身份。

（2）對外部用戶和服務提供者同時匿名（強匿名）。在認證的過程中，外部用戶和服務提供者均無法確定用戶的真實身份，而且無法確定不同的會話是否來自相同的用戶。

在認證過程中，用戶和服務提供者對于匿名性的要求是相反的。對于用戶，為了充分保護個人隱私，希望獲得較強的匿名性，希望對外部用戶和服務提供者同時匿名。而對于服務提供者，希望用戶是非匿名的。如果服務提供者無法確定用戶身份，將會增加對用戶管理的復雜性。例如，為了防止匿名用戶進行惡意操作，服務提供者需要付出額外的管理開銷。在普適環境中，應該根據不同的場合，選擇不同的匿名認證方式，在滿足用戶匿名性要求的同時盡量降低服務提供者的管理復雜性。例如，當服務提供者具有較高可信度時，用戶可以確信服務提供者不會利用其身份信息進行非法活動，這時可以采用第一類匿名認證方式，在滿足用戶匿名性要求的同時盡量降低服務提供者的管理復雜性。例如，當服務提供者具有較高可信度時，用戶可以確信服務提供者不會利用其身份信息進行非法活動，這時可以采用第一類匿名認證方式，以降低服務提供者的管理復雜性。當用戶訪問一些涉及到自身隱私的服務時，用戶希望其他用戶和服務提供者都不知道其具體訪問了哪些服務，這時應該采用第二類匿名認證方式，以充分保護用戶隱私。由上述分析可以看出，兩類匿名認證方式，以充分保護用戶隱私。由上述分析可以看出，兩類匿名認證機制在普適環境中均有需求，可滿足不同應用場合的需要。

「3.工業互聯網中身份認證的應用」

1）工業互聯網的概念和功能

“工業互聯網”最早由美國通用電氣公司在2012年提出，和其他四家（IBM、思科、英特爾和AT&T）行業龍頭企業聯手，共同組建了工業互聯網聯盟(IIC)，將這一概念進行推廣應用。

工業互聯網的本質和核心是通過工業互聯網平臺把設備、生產線、工廠、供應商、產品和客戶緊密地連接融合起來。從而拉長產業鏈，形成跨設備、跨系統、跨廠區、跨地區的互聯互通，提質增效，推動整個制造服務體系智能化。還有利于推動制造業融通發展，實現制造業和服務業之間的跨越發展，使工業經濟各種要素資源能夠高效共享。

自2017年國務院發布《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》以來，各地政府紛紛加快落實“企業上云”，云計算發展突飛猛進。工業互聯網、工業會聯網平臺成為當下最熱的互聯網話題之一。2018年，工業和信息化部設立了工業互聯網專項工作組并印發《工業互聯網發展行動計劃（2018-2020年）》提出以供給側結構性改革為主線，以全面支撐制造強國和網絡強國建設為目標，著力建設先進網絡基礎設施，打造標識解析體系，同步提升安全保障能力，突破核心技術。同年工信部發布《工業互聯網網絡建設及推廣指南》提出在2020年初步構建工業互聯網標識解析體系，建設一批面向行業或區域的標識解析二級節點以及公共遞歸節點，制定并完善標識注冊和解析等管理辦法，標識注冊量超過20億。2019年12月工信部發布《工業互聯網企業網絡安全分類分級指南（試行）》將工業互聯網企業分為三類，其中標識解析系統建設運營機構是主要的工業互聯網基礎設施運營企業。

工業互聯網平臺功能架構圖

2）工業互聯網存在的安全風險

隨著工業互聯網的快速發展，工業互聯網標識數量將數以千億計，并發解析請求可達千萬量級，如此大量級的標識解析系統對安全保障能力提出了非常高的要求，其安全是工業互聯網安全的重要建設內容[1][2]。分析工業互聯網標識解析體系，其在架構、協議、運營、身份、數據、惡意利用等方面存在安全風險。

（1）架構安全。從標識解析架構來看，客戶端主機、標識解析服務器、緩存與代理服務器都有可能成為標識解析體系的脆弱點，服務器被篡改導致返回錯誤的標識解析結果，樹形分層架構為拒絕服務攻擊提供可能。

（2）協議安全。標識解析協議的脆弱性很容易被攻擊者利用監聽標識解析會話進行中間人攻擊，通過竊聽、篡改和偽造標識解析消息的方式對標識解析系統進行攻擊。攻擊者也可通過遞歸解析服務器夾雜惡意數據進行緩存投毒攻擊。

（3）運營安全。工業互聯網標識解析在運營過程中可能涉及根節點運行機構、頂級節點運行機構、二級節點服務機構、標識注冊管理機構、標識注冊代理機構等多種標識解析服務機構。攻擊者可以濫用標識注冊、非法注冊、偽造標識服務機構，引發標識資源浪費、標識資源分配混亂、標識資源失信、標識解析結果失真等安全風險。

（4）身份安全。身份是工業互聯網標識解析的門戶，根節點、頂級節點、二級節點、遞歸節點、企業節點、用戶等之間做查詢和解析請求時首先需要進行身份認證，不同的節點角色擁有不同的權限，任一環節出現認證問題都可能帶來信任風險，導致標識數據被非法訪問或可不信的解析結果。

（5）數據安全。工業互聯網標識數據中攜帶大量敏感隱私信息，隨著工業互聯網的互聯互通，海量標識數據在數據的采集、傳輸、存儲和使用等生命周期流轉中，將為數據的安全治理、合規管控帶來挑戰。

（6）惡意利用。標識解析的流量通常不會被安全工具（例如，防火墻、入侵檢測系統等）攔截，但這也給攻擊者有可乘之機，攻擊者可以利用標識解析數據構建命令與控制信道或建立隧道，用惡意流量偽裝成標識解析流量而避開安全防護工具。

3）工業互聯網存在的安全保障

隨著工業互聯網標識解析的普及應用，除考慮標識解析自身安全的同時，標識的不可篡改、不可偽造、全球唯一的安全屬性優勢逐漸凸顯，在數據可信采集、統一身份認證、安全接入認證、密碼基礎設施、惡意行為分析等方面可賦能工業互聯網安全保障能力建設。

（1）數據可信采集。工業數據采集是智能制造和工業互聯網的基礎，但數據采集傳輸時存在被破壞、泄露、篡改的安全風險，建立基于工業互聯網標識的數據可信采集系統，能增強工業數據從產生到傳輸貫穿模組生產商、通信服務商、網絡運營商、工業企業等多參與方的可信性，為數據可信采集提供保障。

（2）統一身份認證。工業生產、智能制造、能源電力等不同業務場景下應用對設備都存在鑒權需求，針對現有工業互聯網應用單獨進行身份認證、不能互通、對數據開放共享造成障礙的問題，基于標識的工業互聯網應用統一身份認證，能實現多應用身份交叉互信，簡化賬號管理、身份認證、權限管理和審計過程，加強工業互聯網應用的安全防范能力。

（3）安全接入認證。工業互聯網設備規模巨大、種類眾多、質量參差不齊、缺乏統一規范，容易出現固件漏洞、惡意軟件感染等問題，為緩解工業互聯網設備帶來的安全風險，利用標識，結合可信計算和密碼技術，能為設備提供安全認證、安全連接、數據加密等端到端的安全接入認證能力。

（4）密碼基礎設施。針對傳統PKI密鑰體系中，數字證書分發、管理和維護需要大量成本，在對實時性要求較高的工業互聯網環境中難以部署的問題，基于標識筑建工業互聯網密碼基礎設施，融合國家密碼算法，實現密鑰申請、分發、更新、銷毀等全生命周期的管理，能有效保護工業互聯網數據的不可抵賴性、完整性和保密性，實現對工業互聯網敏感信息的防護控制。

（5）惡意行為分析。通過提取工業互聯網標識解析體系網絡行為的流量特征，進行網絡測量、網絡行為分析，針對的網絡行為包括且不限于注冊（分配）、解析、數據更新（配置）、數據管理、同步等。充分利用先驗知識、機器學習方法從流量中進行挖掘，可支持典型工業互聯網標識解析體系的異常網絡行為檢測、惡意行為發現等。

在工業互聯網中，對用戶和設備進行可靠身份認證是必不可少的。沒有可靠的身份，攻擊者可越過網絡及現實的邊界。這樣的攻擊目前正在發生。隨著眾多物聯網技術的應用，這些攻擊的影響不僅僅限于智能家庭或聯網汽車，同時延伸到工業自動化、醫療保健以及其它各個領域。