人工智能時(shí)代的身份認(rèn)證
身份認(rèn)證是在數(shù)字世界中用來(lái)對(duì)實(shí)體和所呈現(xiàn)的身份之間的法定關(guān)系進(jìn)行充分確認(rèn)的過(guò)程,簡(jiǎn)單講就是身份鑒別。在現(xiàn)實(shí)世界里有身份證、進(jìn)門卡、工作證等實(shí)物認(rèn)證方式,在數(shù)字世界里表現(xiàn)出來(lái)的可能是證書(shū)、Token等,身份認(rèn)證對(duì)于保護(hù)用戶資產(chǎn)和信息是至關(guān)重要的。
身份認(rèn)證
總體來(lái)說(shuō),傳統(tǒng)的身份認(rèn)證方法可以分為三種 :
基于信息秘密的身份認(rèn)證,what you know ,你知道什么;
基于信任物體的身份認(rèn)證,what you have ,你有什么;
基于生物特征的身份認(rèn)證,who you are ,你是誰(shuí)。
為了達(dá)到更高的身份認(rèn)證安全性,通常會(huì)將上面的方法挑選2種或以上混合使用,即所謂的雙因素或多因素認(rèn)證。其中通常會(huì)使用一種生物特征識(shí)別技術(shù)。
生物特征主要涉及指紋,人臉,聲音,眼睛等技術(shù),其中每類技術(shù)根據(jù)原理不同又可細(xì)分為不同的類型,如眼睛部分的特征識(shí)別會(huì)分為:眼紋(眼白部分),虹膜(瞳孔),視網(wǎng)膜等。
Source: HYPR
理論上說(shuō),生物特征認(rèn)證是比較可靠的身份認(rèn)證方式,因?yàn)樗苯痈鶕?jù)人的物理特征來(lái)確定每一個(gè)人的數(shù)字身份,不同的人具有相同生物特征的可能性可以忽略不計(jì),因此幾乎不可能被仿冒。
目前生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高,特別是如果用戶身體受到傷病或污漬的影響,往往導(dǎo)致無(wú)法正常識(shí)別,可能造成合法用戶無(wú)法登陸的情況。其次,由于研發(fā)投入較大和產(chǎn)量較小的原因,生物特征認(rèn)證系統(tǒng)的成本較高。
人工智能時(shí)代的身份認(rèn)證
隨著大數(shù)據(jù)和人工智能技術(shù)的迅速發(fā)展,信息安全面臨著非常大的挑戰(zhàn),黑客已經(jīng)開(kāi)始利用人工智能技術(shù)加強(qiáng)進(jìn)攻能力。為此使用人工智能技術(shù)提高身份認(rèn)證的能力已勢(shì)在必行。
以聲音識(shí)別為例,借助于更強(qiáng)大的計(jì)算能力和成熟的新算法,當(dāng)前的聲紋技術(shù)可以從聲音中分析出使用者的情緒, 社會(huì)地位, 教養(yǎng), 年齡, 種族, 體重, 身高和面部特征, 以及周圍環(huán)境等信息。
在 2017年12月, 卡內(nèi)基梅隆大學(xué)的研究人員通過(guò)人工智能算法生成了一個(gè)三維的演講者的臉部圖像。研究人員表示:"聲音就像DNA或者指紋一樣復(fù)雜"。
亞馬遜的echo智能音箱實(shí)際是一種個(gè)人數(shù)字助理設(shè)備,通過(guò)對(duì)用戶聲音進(jìn)行語(yǔ)音識(shí)別、意圖理解,得出指令,進(jìn)行身份確認(rèn),協(xié)助人們處理各種日常事務(wù)。
英格蘭創(chuàng)業(yè)公司Callsign正在研究的技術(shù)被稱為智能驅(qū)動(dòng)認(rèn)證或IDA,這是超越傳統(tǒng)“雙因素認(rèn)證”的概念。
Source: Callsign
上圖以移動(dòng)設(shè)備做為雙因素之一,多因素又融合了額外的安全層,如生物識(shí)別技術(shù)。而Callsign的IDA與雙因素或多因素認(rèn)證相比,更為全面和復(fù)雜。 Callsign開(kāi)發(fā)了深度學(xué)習(xí)算法,可以評(píng)估數(shù)百個(gè)數(shù)據(jù)點(diǎn),以確保使用設(shè)備的是本人。這種技術(shù)可以發(fā)出用戶無(wú)感知的“挑戰(zhàn)”,以確定用戶身份。
假設(shè)一名犯罪分子偷走用戶的筆記本電腦,并準(zhǔn)備從用戶的賬戶中轉(zhuǎn)移500美元(更大的數(shù)額可能會(huì)觸發(fā)預(yù)警)。由于密碼存儲(chǔ)在瀏覽器中,罪犯可以輕松登錄。
接下來(lái),作為轉(zhuǎn)賬的一部分,罪犯必須輸入目的地銀行名稱。算法會(huì)注意到,銀行名稱的輸入方式與用戶通常的行為不符。 因此,算法然后使鼠標(biāo)光標(biāo)消失, 犯罪分子會(huì)晃動(dòng)鼠標(biāo)使光標(biāo)顯現(xiàn)出來(lái)。該算法判斷現(xiàn)在用戶更加可疑,因?yàn)閿[動(dòng)方式不符合用戶的通常習(xí)慣。
算法然后顯示一個(gè)日期選擇框讓用戶選擇傳輸?shù)娜掌凇K烙脩敉ǔH绾芜x擇,而犯罪分子使用它的方式完全不同。 該算法實(shí)際上相信現(xiàn)在不是用戶本人。最后一步,算法會(huì)提示輸入全名,而每個(gè)人輸入姓名的方式都不同,算法最終將其踢出并鎖定帳戶。
在上例中,只要簡(jiǎn)單的屏幕就可以驗(yàn)證用戶。考慮到的其它變量包括執(zhí)行登錄嘗試的位置,一天中的時(shí)間,互聯(lián)網(wǎng)提供商和瀏覽器,甚至智能手機(jī)中的加速度計(jì)會(huì)顯示用戶持有手機(jī)的方式。一旦情況變得可疑,算法就可以請(qǐng)求驗(yàn)證像指紋這樣的強(qiáng)認(rèn)證數(shù)據(jù),“對(duì)相機(jī)微笑”,語(yǔ)音簽名,或者甚至只是舊密碼。
目前這項(xiàng)技術(shù)已經(jīng)應(yīng)用到一些銀行中,服務(wù)于全球成千上萬(wàn)的客戶。Callsign宣稱他們的技術(shù)能夠比生物技術(shù)提供更高的準(zhǔn)確性,錯(cuò)誤拒絕率低于0.00005%,錯(cuò)誤接受率低于0.00002%。除了Callsign公司外,還有一家以色列公司也提供類似的產(chǎn)品和解決方案,主要客戶包括多數(shù)的以色列銀行。
Source: Transmit Security
結(jié)束語(yǔ)
未來(lái)的身份認(rèn)證系統(tǒng)會(huì)具備以下幾個(gè)特征:
以風(fēng)控為主導(dǎo)的多因素、多維度的認(rèn)證,生物特征將會(huì)被廣泛應(yīng)用,認(rèn)證強(qiáng)度隨著場(chǎng)景和環(huán)境變化。
對(duì)多因素進(jìn)行人工智能行為分析,對(duì)用戶行為進(jìn)行建模和畫(huà)像。
用戶無(wú)需使用專用設(shè)備且認(rèn)證過(guò)程方便快捷或無(wú)感知,后臺(tái)系統(tǒng)處理復(fù)雜的認(rèn)證過(guò)程。
第三方身份認(rèn)證服務(wù)平臺(tái)的出現(xiàn),使用戶認(rèn)證的方法和應(yīng)用分離。認(rèn)證平臺(tái)可以為不同的系統(tǒng)和用戶提供服務(wù),便于用戶操作,保護(hù)用戶隱私。
我國(guó)已將新一代人工智能發(fā)展提高到了國(guó)家戰(zhàn)略層面,更好的使用人工智能技術(shù)將會(huì)讓人類的生活變得更安全和美好。
參考文獻(xiàn)
[1] JENNIFER ALSEVER, Forget Face ID. The Future of Secure Authentication Is Your Voice,January 6, 2018 http://fortune.com/2018/01/06/artificial-intelligence-voice-profiling/
[2] Biometric Authentication Provides Body of Evidence, March 7, 2017 https://www.nanalyze.com/2017/03/biometric-authentication-body-evidence/
[3] Phil Goldstein, 5 Trends to Watch in Banking Technology in 2018,JAN 20 2018,
https://biztechmagazine.com/article/2017/12/5-trends-watch-banking-technology-2018
[4] NoPassword AI-driven Contextual and Adaptive Authentication
https://www2.nopassword.com/contextual-adaptive-authentication/
[5] Callsign – Artificial Intelligence for Authentication
https://www.nanalyze.com/2017/07/callsign-ai-authentication/
[7]顧彥,人工智能改變信息安全的未來(lái) 從身份認(rèn)證開(kāi)始
http://www.chinasei.com.cn/ad/ad9/201710/t20171010_20096.html
【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)聯(lián)系原作者】
