周瑞瑞 王春圓 李華芳

摘要：本文對(duì)身份認(rèn)證技術(shù)領(lǐng)域的全國(guó)專利申請(qǐng)情況進(jìn)行了統(tǒng)計(jì)分析，根據(jù)所使用的認(rèn)證參數(shù)的特點(diǎn)，對(duì)使用了靜態(tài)特征、動(dòng)態(tài)特征以及多因素特征的身份認(rèn)證幾個(gè)方向的主要專利進(jìn)行了詳細(xì)的介紹和分析，以期能夠幫助審查員快速的掌握身份認(rèn)證的技術(shù)脈絡(luò)，熟悉該領(lǐng)域的重要技術(shù)手段，提高實(shí)質(zhì)審查過(guò)程的審查效率。

關(guān)鍵詞：身份認(rèn)證;口令;驗(yàn)證碼

中圖分類號(hào)：TP391.4文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-5168（2020）03-0147-06

1 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們已經(jīng)逐漸習(xí)慣了通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行各項(xiàng)活動(dòng)，網(wǎng)上銀行、網(wǎng)上購(gòu)物、網(wǎng)上辦公等極大的簡(jiǎn)化了人們的生活方式，提供了方便高效的用戶體驗(yàn)。然而，和現(xiàn)場(chǎng)活動(dòng)不同，在計(jì)算機(jī)的網(wǎng)絡(luò)世界中，人們無(wú)法直接看到自己所交互的對(duì)象的真面目，因此網(wǎng)絡(luò)交互過(guò)程中通信雙方的可信度問(wèn)題越來(lái)越受到人們的關(guān)注，身份認(rèn)證技術(shù)應(yīng)運(yùn)而生。所謂身份認(rèn)證，就是在計(jì)算機(jī)網(wǎng)絡(luò)的通信過(guò)程中有效的確定合法操作者的身份的過(guò)程[1]，用于保證以某一身份進(jìn)行實(shí)際操作的操作者就是該身份對(duì)應(yīng)的合法的操作者本人，實(shí)現(xiàn)真人和數(shù)字身份的統(tǒng)一。身份認(rèn)證是對(duì)網(wǎng)絡(luò)資源進(jìn)行安全防護(hù)的第一道防線，在網(wǎng)絡(luò)安全中有著舉足輕重的作用[2]。

2 身份認(rèn)證的原理概述

在現(xiàn)實(shí)世界中，每個(gè)用戶都有一個(gè)唯一的真實(shí)身份;而在網(wǎng)絡(luò)世界中，每個(gè)用戶都有一個(gè)數(shù)字身份來(lái)代表其本人。為了保證用戶的真實(shí)身份和數(shù)字身份的一致，需要采用一些技術(shù)上的驗(yàn)證手段進(jìn)行一致性驗(yàn)證，身份認(rèn)證很好的解決了該問(wèn)題。

通常情況下，一個(gè)用戶的身份可以通過(guò)以下一個(gè)或幾個(gè)因素來(lái)表征：

①用戶所知道的信息（What you know）：如口令、密碼等;

②用戶所擁有的東西（What you have）：如印章、智能卡等;

③用戶所獨(dú)有的生物特征（Who you are）：如指紋、聲音、視網(wǎng)膜、行為習(xí)慣等。

根據(jù)不同的認(rèn)證要求，可從上述參數(shù)中選擇不同的因素進(jìn)行身份認(rèn)證;當(dāng)某些場(chǎng)景需要提供更高的安全性強(qiáng)度時(shí)，可選擇兩種或更多的因素組合起來(lái)使用，實(shí)現(xiàn)基于多因素的身份認(rèn)證[3]。

3 身份認(rèn)證的專利布局

目前，電腦和智能手機(jī)等智能終端已經(jīng)成為人們工作生活的重要助手。通過(guò)用戶設(shè)備能夠?yàn)橛脩籼峁┓浅１憬莸姆?wù)，但是隨之而來(lái)的是用戶數(shù)據(jù)和用戶財(cái)產(chǎn)的安全問(wèn)題，所以用戶設(shè)備端需要解決用戶的身份認(rèn)證問(wèn)題。

3.1 全國(guó)專利申請(qǐng)量趨勢(shì)分析

本文采用中國(guó)專利文摘數(shù)據(jù)庫(kù)（CNABS）對(duì)涉及身份認(rèn)證的專利申請(qǐng)情況進(jìn)行分析，并將檢索時(shí)間截止到2018年12月。通過(guò)在CNABS數(shù)據(jù)中的檢索數(shù)據(jù)可以看出，截止到2018年12月，涉及用戶終端的身份認(rèn)證的相關(guān)國(guó)內(nèi)專利申請(qǐng)量已經(jīng)超過(guò)3000件。

從圖2所示的身份認(rèn)證申請(qǐng)量的時(shí)間變化來(lái)看，身份認(rèn)證技術(shù)經(jīng)歷了階梯式上升的三個(gè)階段。2006年之前為第一個(gè)階段（技術(shù)萌芽期），國(guó)內(nèi)專利申請(qǐng)量?jī)H僅只有幾十件，且申請(qǐng)量逐年小幅度的平穩(wěn)上升;2006是一個(gè)轉(zhuǎn)折點(diǎn)，申請(qǐng)量較之前大幅上升，進(jìn)入2006年-2011年的第二個(gè)階段（第一技術(shù)穩(wěn)定期），每年的申請(qǐng)量保持在80件左右;2012年開(kāi)始，進(jìn)入大幅度上升的第三階段（技術(shù)增長(zhǎng)期），每年的申請(qǐng)量呈遞增式增長(zhǎng)，至2017年達(dá)到高峰期，之后保持穩(wěn)定。

3.2 重要申請(qǐng)人分析

通過(guò)身份認(rèn)證主要申請(qǐng)人的統(tǒng)計(jì)分析，可以看出，一些重要的申請(qǐng)人如阿里巴巴、華為、宇龍等都持續(xù)在身份認(rèn)證技術(shù)方案申請(qǐng)了較多專利。如圖3所示，阿里巴巴集團(tuán)控股有限公司、宇龍計(jì)算機(jī)通信科技（深圳）有限公司、北京飛天誠(chéng)信科技有限公司、華為技術(shù)有限公司、騰訊科技（深圳）有限公司在身份認(rèn)證技術(shù)領(lǐng)域的申請(qǐng)量居前5位，其中阿里巴巴的申請(qǐng)量達(dá)到了463件，我們可以看出，在可預(yù)見(jiàn)的將來(lái)，這些重要的申請(qǐng)人還將在身份認(rèn)證這一領(lǐng)域不斷的競(jìng)爭(zhēng)、發(fā)展，達(dá)到技術(shù)的新高度。

3.3 主要技術(shù)分支

按照認(rèn)證過(guò)程中所使用的安全信息的特點(diǎn)，身份認(rèn)證的主要技術(shù)包括靜態(tài)認(rèn)證、動(dòng)態(tài)認(rèn)證、多因素認(rèn)證等方面，各部分認(rèn)證技術(shù)的關(guān)系如圖4所示。

考慮到用戶對(duì)身份認(rèn)證交互過(guò)程的安全性要求，在未來(lái)的身份認(rèn)證領(lǐng)域中，多因子認(rèn)證將成為本領(lǐng)域的重要研究熱點(diǎn)。

4 重點(diǎn)專利分析

本文基于身份認(rèn)證所采用的認(rèn)證方式的特點(diǎn)，對(duì)相關(guān)的重點(diǎn)專利進(jìn)行了分析。在身份認(rèn)證的大體系中，可根據(jù)認(rèn)證過(guò)程中所采用的認(rèn)證手段的不同側(cè)重點(diǎn)，對(duì)其進(jìn)行相應(yīng)的分類。例如，從所使用的認(rèn)證參數(shù)的個(gè)數(shù)來(lái)分，可以分為基于單個(gè)因素的單因子認(rèn)證和基于多個(gè)因素的多因子認(rèn)證;從認(rèn)證參數(shù)本身的特點(diǎn)來(lái)分，可以分為基于靜態(tài)因素的靜態(tài)認(rèn)證和基于動(dòng)態(tài)因素的動(dòng)態(tài)認(rèn)證;從認(rèn)證過(guò)程所基于的物理媒介來(lái)分，可以分為基于硬件的認(rèn)證、基于軟件的認(rèn)證。縱觀身份認(rèn)證技術(shù)的發(fā)展，起經(jīng)歷了從單到多、由靜到動(dòng)、由軟到硬的發(fā)展流程。

4.1 基于靜態(tài)認(rèn)證的身份認(rèn)證技術(shù)

在身份認(rèn)證發(fā)展的初始階段，計(jì)算機(jī)使用了靜態(tài)參數(shù)來(lái)進(jìn)行最基本的身份認(rèn)證，即靜態(tài)身份認(rèn)證。在身份認(rèn)證之前，提前為用戶設(shè)置了表征其合法身份的認(rèn)證信息，如果在登錄網(wǎng)絡(luò)時(shí)能夠提供正確的認(rèn)證信息，計(jì)算機(jī)就認(rèn)可該用戶的身份，接受其訪問(wèn)操作。

4.1.1 基于軟件口令的身份認(rèn)證技術(shù)。最初的靜態(tài)身份認(rèn)證是基于軟件來(lái)實(shí)現(xiàn)的，通過(guò)登錄時(shí)輸入的口令來(lái)表征用戶身份的合法性，也就是基于“你知道什么”這一驗(yàn)證方式。系統(tǒng)預(yù)先為合法用戶設(shè)置對(duì)應(yīng)的口令，該口令僅該用戶知道，如果操作者在進(jìn)入系統(tǒng)之前能夠輸入正確的登錄口令，則允許該用戶成功登錄系統(tǒng)，否則，認(rèn)為本次操作不合法，拒絕此次登錄行為。

以康帕克電腦公司申請(qǐng)的CN1195818A為例，該申請(qǐng)公開(kāi)了一種通過(guò)用戶密碼實(shí)現(xiàn)用戶身份認(rèn)證的方法，使用靜態(tài)密碼驗(yàn)證用戶身份的合法性，具體公開(kāi)的內(nèi)容為：在信息系統(tǒng)中，用戶需要向系統(tǒng)提供其用戶口令，系統(tǒng)通過(guò)對(duì)用戶口令進(jìn)行驗(yàn)證來(lái)對(duì)用戶的身份進(jìn)行鑒定。該方法的優(yōu)點(diǎn)在于使用和部署都非常簡(jiǎn)單，是早期身份認(rèn)證方案的典型代表，得到了廣泛的應(yīng)用。

為了順利通過(guò)驗(yàn)證，用戶需要牢記其密碼，例如將密碼記錄在一個(gè)安全的地方供需要時(shí)查看，或者使用一些常用的具有特殊意義的信息（例如身份證號(hào)碼、電話號(hào)碼、生日、名字縮寫(xiě)等）進(jìn)行密碼的設(shè)置，然而，上述方式在便利性的同時(shí)也帶來(lái)了很大的安全隱患，容易被偷窺或者猜中，使得密碼的安全性大打折扣;并且由于靜態(tài)的密碼是基于軟件的固定不變的數(shù)據(jù)，因此無(wú)法避免在通信鏈路的傳輸過(guò)程被監(jiān)聽(tīng)設(shè)備所截獲，可靠性不高。雖然可以通過(guò)增加密碼長(zhǎng)度、加特殊字符、大小寫(xiě)等方式提高安全性，卻無(wú)法克服容易被破解這一根本性的弱點(diǎn)，因此需要一種更加安全的認(rèn)證方式。

4.1.2 基于智能卡的身份認(rèn)證技術(shù)。為了解決軟件口令容易泄露所導(dǎo)致的安全性不高的問(wèn)題，人們開(kāi)始考慮通過(guò)硬件來(lái)保證認(rèn)證的安全性，基于智能卡的身份認(rèn)證逐漸出現(xiàn)在大眾視野。該身份認(rèn)證所使用的智能卡是由專門(mén)的廠家所生產(chǎn)的專用硬件設(shè)備，在設(shè)備內(nèi)部燒錄了不可復(fù)制的信息，攻擊者無(wú)法對(duì)該硬件設(shè)備進(jìn)行復(fù)制，相較于軟件認(rèn)證，安全性大大提高。登錄認(rèn)證時(shí)，用戶需要將智能卡插入設(shè)備中由專門(mén)的讀卡器對(duì)其內(nèi)部信息進(jìn)行讀取才能進(jìn)行身份認(rèn)證。

例如，中國(guó)科學(xué)院信息安全技術(shù)工程研究中心的專利申請(qǐng)CN99126670A公開(kāi)了一種基于智能卡的訪問(wèn)認(rèn)證系統(tǒng)，用戶使用隨身攜帶的智能卡來(lái)表征身份的合法性。當(dāng)用戶使用智能卡時(shí)，如果智能卡通過(guò)認(rèn)證，則用戶獲得相應(yīng)的訪問(wèn)權(quán)限，反之，將拒絕用戶的訪問(wèn)。

智能卡通過(guò)其硬件上不可復(fù)制的特性在一定程度上提高了認(rèn)證的安全性;但是，起本質(zhì)上仍然是基于靜態(tài)因素的身份認(rèn)證，仍然無(wú)法避免卡內(nèi)的身份驗(yàn)證信息在數(shù)據(jù)信道的傳輸過(guò)程中被監(jiān)聽(tīng)或竊取，仍然仍存在安全隱患;此外，智能卡在認(rèn)證時(shí)需要用戶隨身攜帶，一旦遺失或者被盜，非法用戶就可以冒充合法用戶通過(guò)驗(yàn)證。

4.1.3 基于生物識(shí)別的身份認(rèn)證技術(shù)。為了解決智能卡認(rèn)證時(shí)硬件設(shè)備容易遺失的問(wèn)題，基于用戶自身固有特征的生物識(shí)別身份認(rèn)證逐漸走入了大眾的視野，通過(guò)用戶的身體特征或行為特征實(shí)現(xiàn)用戶的身份驗(yàn)證[4]，其中身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜等;行為特征包括：簽名、語(yǔ)音、行走步態(tài)等。

CN2143476Y公開(kāi)了一種活體卡片兩用指紋攝取儀，將光學(xué)成像系統(tǒng)和攝像部件連成一體，實(shí)現(xiàn)對(duì)活體指紋圖像的采集，并將指紋圖像輸入計(jì)算機(jī)儲(chǔ)存，供識(shí)別比對(duì)，以鑒別個(gè)人身份。通過(guò)使用個(gè)人典型特征來(lái)檢驗(yàn)用戶身份，達(dá)到了較高的安全程度。

和靜態(tài)認(rèn)證所使用的軟件口令和智能卡內(nèi)部信息不同，生物特征識(shí)別認(rèn)證所使用的認(rèn)證參數(shù)是和用戶本人密切相關(guān)的，是用戶所獨(dú)有的特征，可以有效防止他人對(duì)用戶識(shí)別信息進(jìn)行復(fù)制，且由于是用戶自身所獨(dú)有的特征，可隨時(shí)隨地進(jìn)行實(shí)時(shí)采集，不需要用戶可以攜帶硬件媒介進(jìn)行認(rèn)證信息的存儲(chǔ)，因此大大提高了認(rèn)證的安全性和便捷性。但由于其本質(zhì)上還是一種靜態(tài)信息，所以仍然存在截取、仿冒等安全問(wèn)題。

4.1.4 基于生物特征+靜態(tài)口令的身份認(rèn)證技術(shù)。為了最大可能的避免他人偽造生物特征進(jìn)行驗(yàn)證，出現(xiàn)了在原有生物特征的基礎(chǔ)上嵌入靜態(tài)密碼的身份認(rèn)證技術(shù)。該技術(shù)將靜態(tài)密碼嵌入到生物特征中，從采集的生物特征中分別提取靜態(tài)生物特征和靜態(tài)密碼，然后一一進(jìn)行驗(yàn)證。例如，專利申請(qǐng)CN105138882A公開(kāi)了一種解鎖方法，接收用戶解鎖請(qǐng)求，采集用戶輸入的語(yǔ)音，用戶的語(yǔ)音信息中包含了所設(shè)置的靜態(tài)密碼，對(duì)所述語(yǔ)音進(jìn)行聲紋識(shí)別處理得到對(duì)應(yīng)的聲紋;識(shí)別所述聲紋是否與預(yù)先設(shè)置的用戶聲紋一致，如果一致則進(jìn)一步提取語(yǔ)音包含的靜態(tài)密碼信息進(jìn)行解鎖匹配操作，通過(guò)該技術(shù)避免了非授權(quán)的解鎖操作，提高了身份認(rèn)證的安全性。

4.2 基于動(dòng)態(tài)認(rèn)證的身份認(rèn)證技術(shù)

以上幾種靜態(tài)身份認(rèn)證都存在著共同的缺陷，其所使用的認(rèn)證參數(shù)，無(wú)論軟件口令、硬件設(shè)備內(nèi)部信息，還是生物特征，都無(wú)可避免的存在容易被復(fù)制、仿冒的弱點(diǎn)，這是由靜態(tài)認(rèn)證所使用的認(rèn)證信息始終不變這一特點(diǎn)所導(dǎo)致的，也就是說(shuō)，靜態(tài)認(rèn)證的方式存在根本上的安全隱患。

為了從根本上解決這一安全隱患，動(dòng)態(tài)認(rèn)證方式逐漸走入大眾的視野。通過(guò)其便捷的使用方式和較強(qiáng)的安全性，動(dòng)態(tài)認(rèn)證逐漸取代靜態(tài)認(rèn)證，成為應(yīng)用最廣的一種身份認(rèn)證方式，所使用的參數(shù)包括動(dòng)態(tài)密碼、動(dòng)態(tài)口令、動(dòng)態(tài)生物特征。

4.2.1 基于動(dòng)態(tài)密碼的身份認(rèn)證技術(shù)。動(dòng)態(tài)密碼和靜態(tài)密碼最大的區(qū)別在于密碼不是固定使用的，而是臨時(shí)生成并發(fā)給用戶的。例如，CN131997A公開(kāi)了一種利用短消息實(shí)現(xiàn)用戶身份認(rèn)證的方法，信息系統(tǒng)將用戶身份識(shí)別密碼作為短消息的內(nèi)容，將短消息發(fā)送到用戶的手機(jī)中，用戶通過(guò)讀取短消息獲取密碼，輸入到信息系統(tǒng)進(jìn)行身份認(rèn)證，使得系統(tǒng)以此確認(rèn)用戶的真實(shí)身份。由于短信密碼在生成和使用時(shí)是位于不同的場(chǎng)景中，因此大大降低了密碼在傳輸過(guò)程中被截獲的概率。

4.2.2 基于動(dòng)態(tài)口令的身份認(rèn)證技術(shù)。使用動(dòng)態(tài)口令的認(rèn)證也是一種常見(jiàn)的動(dòng)態(tài)身份認(rèn)證方法，和動(dòng)態(tài)密碼相比，動(dòng)態(tài)口令在生成時(shí)加入了時(shí)間因子作為參數(shù)，能夠最大的保證密碼的實(shí)時(shí)性。合法用戶手中手持一個(gè)生成動(dòng)態(tài)密碼的動(dòng)態(tài)口令設(shè)備，該設(shè)備?；跁r(shí)間同步的方式來(lái)保證認(rèn)證的正常執(zhí)行，每隔固定的時(shí)間（例如一分鐘）刷新一次口令，產(chǎn)生固定位數(shù)的動(dòng)態(tài)密碼進(jìn)行一次一密的身份認(rèn)證，有效的保證了訪問(wèn)的安全性。如西安海星現(xiàn)代科技股份有限公司的專利申請(qǐng)CN1431591A公開(kāi)了一種基于軟件令牌的動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)，管理控制臺(tái)生成數(shù)據(jù)包，并基于該數(shù)據(jù)包進(jìn)行動(dòng)態(tài)口令的生成，在驗(yàn)證時(shí)對(duì)動(dòng)態(tài)口令進(jìn)行檢波，完成對(duì)用戶的動(dòng)態(tài)身份認(rèn)證。

4.2.3 基于活體認(rèn)證的身份認(rèn)證技術(shù)。在靜態(tài)身份認(rèn)證技術(shù)中我們提到，通過(guò)對(duì)用戶所獨(dú)有的特征生物識(shí)別能夠大大提高認(rèn)證的安全性，但生物特征也存在被復(fù)制的風(fēng)險(xiǎn)，例如在指紋認(rèn)證時(shí)，攻擊者可能對(duì)用戶的指紋進(jìn)行復(fù)制后套在手指上進(jìn)行認(rèn)證，又如在人臉認(rèn)證時(shí)，攻擊者可能使用用戶的人臉圖片代替用戶真實(shí)的人臉進(jìn)行認(rèn)證，從而降低身份認(rèn)證的安全性?；铙w認(rèn)證是對(duì)靜態(tài)生物特征的一種改進(jìn)，通過(guò)采集動(dòng)態(tài)的生物特征來(lái)實(shí)現(xiàn)動(dòng)態(tài)身份認(rèn)證。