數字身份的前世今生

哲學領域有三個終極問題，也可以說是人生的三個終極問題：

1我是誰？

2我從哪裡來？

3我要到哪裡去？

其中，「我是誰」其實就是個人身份的問題。哲學領域的「我是誰」太抽象，我們今天只探討數字世界中的「我是誰」的問題，也就是數字身份。

一、什麼是數字身份？

一般而言，我們說的「身份」是指人的出身和地位。嚴格來說，身份由多個不同的信息碎片組成，這些信息碎片也稱之為屬性。屬性越多，身份越具體。例如，國家可向個人發出獨一無二的身份編號，但編號本身幾乎不會告訴你任何東西。如果你知道此人的姓名及出生年月，就了解得多一點。再加上照片、手機號碼、住宅地址、學歷檔案和工作經歷，那麼你了解得就更多了。你的身份中的屬性幫助他人決定是否和你交易——接受你的投票、開立儲蓄賬戶、甚至包括跟你談場戀愛等。

不僅人擁有身份，法人實體(例如公司)和設備也擁有身份，在萬物互聯的時代，所有設備都會有自己的數字身份，因為他們都可能是數據的生產者和消費者。

二、數字身份如何驗證

身份驗證其實就是要解決讓別人知道「你是誰？」的問題，一般證明一個人的身份有兩類方法：一種是通過驗證「你擁有什麼」。比如身份證、護照就是這種手段，通過權威機構辦法的身份證、護照，以及身份證上的照片，基本可以確定一個人是誰，順便說一下，古代皇帝用的玉璽、將軍用的虎符都有類似的功能。現代社會很多時候公眾人物的身份是可以通過人臉來識別的，但是古代不行，皇帝也沒幾個人見過，所以乾隆可以微服私訪，馬爸爸去趟酒吧就被人認出來了。

另一種方式是驗證「你知道什麼」，比如「天王蓋地虎，寶塔鎮河妖」就屬於這一類。

這兩種方式都存在一定的風險，就是容易被偽造，或者誤判。比如身份證可能丟失，楊子榮也是因為知道黑話暗號而成功打入座山雕團伙內部。

在信息化的世界，同樣需要解決如何驗證一個人的數字身份的問題，而且由於虛擬世界的匿名性和低維度特性（目前互聯網還做不到觸覺、嗅覺、味覺的直接傳遞），用戶身份會更加容易被偽造。

信息世界基本的方法論同真實世界是一樣的，也是通過判斷用戶知道什麼或者擁有什麼來驗證用戶的身份。比如用戶名口令就是根據用戶知道什麼來確認用戶身份。但是密碼可能會遺忘，用戶也可能會設置簡單的密碼，導緻密碼存在被泄露、破解的可能性。

簡訊認證和令牌卡（分為動態令牌卡和靜態令牌卡）認證是從驗證用戶擁有什麼出發的，這種技術由於要藉助體外物，一旦證明身份的標識物品和標識知識被盜或遺忘，其身份就容易被他人冒充或取代。

為了提高認證的安全性，出現了多因素認證，即同時要求用戶從多個角度證明自己的身份，比如輸入用戶名口令，並輸入簡訊驗證碼，這樣能極大提高認證的安全性。

針對組織和設備的認證，一般採用數字證書認證（PKI）是足夠的，因為它足夠安全。PKI技術也被廣泛應用在新安全要求很高的網銀交易上。但是它有一個問題就是不夠方便，需要用戶攜帶一個設備，這對於很多人來說是比較排斥的。現在大家出門恨不得錢包都不帶，怎麼可能再去攜帶一個認證設備。

生物識別技術可以解決大家不願攜帶認證設備的問題，它比傳統的身份鑒定方法更具安全、保密和方便性。生物特徵識別技術具不易遺忘、防偽性能好、不易偽造或被盜、隨身「攜帶」和隨時隨地可用等優點。因此，在相關技術成熟後立即收到廣泛的使用。生物識別技術主要有下面這些：

1）指紋認證。2013年9月，iPhone5s採用指紋認證，對整個手機行業產生了很大影響，指紋認證技術因此得到廣泛推廣使用，在此之後，逐漸成為中高端智能手機的標配。與指紋認證技術類似的還有掌紋認證，在一些對安全要求更高的機房、銀行、刑偵等領域有部分應用。

2）虹膜認證。虹膜識別技術是基於眼睛中的虹膜進行身份識別，虹膜是位於黑色瞳孔和白色鞏膜之間的圓環狀部分，每個人都是不一樣的，而且在整個生命歷程中保持不變。這些特徵決定了虹膜特徵的唯一性，同時也決定了身份識別的唯一性。

3）靜脈認證。手指靜脈識別技術是一種新的生物特徵識別技術，它是依據人類手指中流動的血液可吸收特定波長的光線，而使用特定波長光線對手指進行照射，可得到手指靜脈的清晰圖像。利用這一固有的科學特徵，將實現對獲取的影像進行分析、處理，從而得到手指靜脈的生物特徵，再將得到的手指靜脈特徵信息與事先註冊的手指靜脈特徵進行比對，從而確認登錄者的身份。

4）聲紋認證。聲紋認證則是利用人的聲音特徵進行人的識別，在一般情況下，這種認證方式是可靠的，但是，每個人的語音聲學特徵既有相對穩定性，又有變異性，不是絕對的、一成不變的。這種變異可來自生理、病理、心理、模擬、偽裝，也與環境干擾有關。

5）人臉識別。2017年，蘋果發布iPhoneX帶有一項新的功能：人臉識別。此功能一出，立即被眾人津津樂道，評論眾多。而iPhoneX的人臉識別FaceID，和我們目前市面上的普通的視頻/圖像人臉識別演算法區別還是非常大，FaceID用到了人臉的三維信息來識別人臉。

三、身份認證的信任

上面介紹了身份認證的各種技術，有了這些技術，你走到哪裡別人都可以知道你是誰。但是有一個問題，如果你走在大街上，走兩步就有一個人來找你查身份證，你煩不煩。因此我們還需要解決一個認證傳遞的問題，也就是信任的問題，在火車站進站口查過身份證，後面就不要再查了。

對應到實際的應用場景，就是如果用戶在上班時訪問每個業務系統都需要登錄一次，這樣會比較煩，而如果我們提供一個集中的認證中心，用戶只需要在認證中心認證一次，再訪問所有業務系統都不需要再次認證，直接就可以訪問，用戶的體驗就會很好。這其實就是一個單點登錄的問題。單點登錄技術解決的是一個信任的問題，即應用信任認證中心的認證結果。

我們知道，人與人之間的信任是有前提的，其中一點就是你值得我信任，如果你老是辦不靠譜的事，我以後也不會信任你了。對認證中心也是一樣，因為所有業務系統的認證都集中在認證中心，因此要求認證中心對用戶的認證必須是安全、可靠、正確、不可偽造的。使用統一認證中心的好處是可以集中力量辦大事，我們可以將用上最新進的技術，提供最安全便捷的認證服務，解決所有應用的安全認證問題。而如果在所有應用上分別實現這些認證技術成本是巨大的。

單一組織的應用認證和用戶身份信任的問題可以通過建立組織內部的認證中心解決。但是如果需要跨組織進行交易與協作時，因為都沒有對方組織的人員身份信息，因此需要新的技術來解決身份互信的問題。這個問題其實在傳統世界早就有解決方案了，最典型的例子就是護照。每個國家的政府給本國公民頒發護照，公民需要出國，其他國家查看其護照就可以明確這個人的身份。如果頒發護照的政府是可信的，那麼這個護照持有者的身份就是明確的。

在信息領域，不同組織同樣可以給自己的成員簽發身份標籤，交給其合作夥伴的組織，該組織根據標籤中的用戶信息來確認用戶身份。

1998年微軟首先嘗試通過其Passport network（微軟連名字都懶得取，就叫「護照」）提供該問題的全球解決方案。Passport使得任意Web站點使用用戶提交給Passport的個人資料（如用戶名、地址、信用卡號）成為可能。Passport是單點登錄（single sign-on，SSO）的第一次電子商務嘗試。它沒有流行起來，部分原因是由於人們對系統封閉性的擔心。然而，SSO的理念非常引人注目，許多開放標準和商業計劃都追隨Passport其後。

在此背景下，SAML (Security AssertionMarkup Language，安全斷言標記語言)應運而生，SAML協議比較複雜，但是簡單來說SAML的解決了證明你是誰，你擁有什麼許可權等等的問題，由於語言的複雜性以及應用需求不迫切，在很長時間內，SAML語言使用並不廣泛，直到雲計算的發展，SAML得到了快速推廣。越來越多的企業意識到，在每一個SaaS廠商維護一套用戶名和密碼是一件費時費力的事情，尋求將企業內的身份認證擴展到SaaS應用中。領先的SaaS應用廠商如Google,Salesforce紛紛提供SAML的單點登錄介面。

隨著互聯網的快速發展，各網站之間身份互聯的需求日益迫切，例如，用戶需要允許一個個網站訪問另一個網站上的個人數據。傳統的SAML協議由於過於複雜，並不適用於互聯網快速的開發節奏，很多公司和個人都嘗試解決這類問題，包括Google、Yahoo、Microsoft，2007年OAuth協議發布，OAuth協議為用戶資源的授權提供了一個安全的、開放而又簡易的標準。任何第三方都可以使用OAuth認證服務，業界也提供了OAuth的多種實現，如PHP、JavaScript，Java，Ruby等各種語言開發包，大大節約了程序員的時間。由於技術的先進性加上很多大公司的背書，OAuth標準逐漸成為開放資源授權的標準。

然而，OAuth只解決了授權問題，沒有解決認證的問題，往往需要添加額外的API來實現認證。舉個例子，OAuth做的事情就是無論誰只要拿著這個鑰匙就打開你的家門。因此，在2014年，OIDC協議發布，簡單來說：OIDC是OpenID Connect的簡稱，OIDC=(Identity,Authentication) + OAuth 2.0。它在OAuth2上構建了一個身份層，是一個基於OAuth2協議的身份認證標準協議，且完全兼容OAuth2，它做的是必須是你本人拿著自家鑰匙才能打開你的家門。OIDC已經有很多的企業在使用，比如Google的賬號認證授權體系，Microsoft的賬號體系也部署了OIDC，當然這些企業有的也是OIDC背後的推動者。

四、未來技術展望

1）區塊鏈技術

所謂區塊鏈技術，簡稱BT（Blockchain technology），也被稱之為分散式賬本技術，是一種互聯網資料庫技術，其特點是去中心化、公開透明，讓每個人均可參與資料庫記錄。傳統的認證中心是中心化的，需要維護龐大的身份資料庫，並且要用各種技術手段確保數據不泄露和不被篡改，因此，這種方案是昂貴的。而利用區塊鏈技術，將加密身份數據寫入區塊鏈，包括個人生物信息、特徵信息、徵信信息等，可將所有身份記錄存入區塊鏈，甚至可以將人從出生到死亡一生中的信息都記錄下來。區塊鏈的技術無需運行本地管理員伺服器即可讓其他人訪問，並且信息隱私可以由個人控制；所有的數據都是去中心化存儲的，而且可以從任何地方進行訪問。

由於區塊鏈技術的分散式認證的特點，類似「證明你媽是你媽」的難題就可以讓親戚、鄰居、朋友等節點參與進來，他們能證明「你媽是你媽」。

2）用戶行為分析

跟生物特徵一樣，人的行為特徵也是各有不同的，研究證明同樣一個六位數密碼，不同的人輸入，其輸入過程的用戶行為也是不一樣的，比如有的人敲鍵盤快，有的人慢。因此,一種基於數據挖掘技術的身份識別技術應運而生，它不必像生物識別技術那樣需要個體的生物特徵,而只需個體的行為特徵,又克服了傳統身份識別的單一性缺點。它通過挖掘人們的歷史行為,得到人們的行為模式,再根據相應的預測演算法,來鑒別身份的真實性。

目前較為火熱的Web挖掘,不但可以為網站挖掘出具有價值的信息,也能為網站的安全提供安全參考。基於數據挖掘技術的對異常數據的捕獲、用戶可信行為的分析等應用也不斷成熟,已為驗證用戶身份真實性提供了可能。

3）人工智慧

隨著人工智慧的發展，特別是大數據和機器學習的驅動，生物特徵識別技術的精度會越來越高，未來生物識別技術隨著人工智慧技術的發展也會更加的精確、更加的安全、更加的可靠。當我們得到越來越多樣本之後，就可以訓練更好的人類系統，可以用來瓦解惡意的攻擊。人工智慧技術能夠對人的身份進行非常精確的模式識別，利用大數據分析技術，通過與政府、公安、信用機構合作，可以更全面評估一個人的狀態，從而推動身份識別技術發展到一個新的層次。下圖是前幾天新聞報導鄭州警察已經開始使用智能眼鏡追捕逃犯：

結語：

在可以期待的未來，數字身份識別的技術就會發展到：所有需要刷卡、認證的地方都是人臉識別，所有的設備都有自己的數字化身份，我們出門不再需要攜帶錢包、身份證，不再需要買票，我們的人臉就是我們的錢包和通行證。我們的行動軌跡在攝像頭的監控下完全可以復盤，暴力犯罪也將無處藏身。甚至以後可能會出現一種眼鏡，帶上它，所有人的名字、身份都飄在頭上，類似於遊戲世界中的戰鬥力，只是不知道那個時候，我們是會感到自由，還是窒息。

********************************

本公眾號主要內容為IT發展趨勢研究和IT人的生活，包括數字化轉型，信息安全，大數據，應用整合，DevOps和雲，IT程序猿，銷售狼，諮詢獅, 老闆狗的生活，天文，地理，哲學，人文等無所不包的不正經內容。

貼地飛行是一位馬拉松跑者，參加幾十場全程馬拉松及TNF100的軟體狼（派拉軟體專屬）...

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！