消费者用户与设备身份认证概述

1、消费者用户与设备身份认证概述技术创新，变革未来时间维度：生命周期过去的那个是现在的这个吗？身份ID 信任Trust 权益rights&benefits，地位status，资源resources未来场景复杂化：血液更换，器官移植，生物克隆空间维度：可信唯一哪个是真正的他/她/它？人的身份PERSONAL I ENTITY (I )物理世界人的身份- 虚拟世界的数字身份: 网络账号（人的映射）物理世界人的身份物理世界+虚拟世界物的身份:设备ID（人的属性）哲学，道德， 伦理，生物， 遗传，政治， 法律，心理身份演进可信唯一信任根源：本人活体+证明人唯一标识：DNA等生物特征+证件（未来：安全芯片植

2、入人体？）认证方法：Pin码 生物识别等Identity Lifecycle身份生命周期出生证明Birth Certificate身份证件National ID本 地 认 证Authentication维护更新Maintenance死 亡 证 明Death Certificate厂商仅负责本地认证阶段本地身份认证框架行为身份认证是新一代身份认证技术本地身份认证技术一览本地身份认证：基 于端，3人的NP2 账号身份认证：端与云之间，3用户的NP3 设备身份认证：端与端之间，设2之间NP身份认证分为三类 NP NP本地身份认证技术演进趋势 NP替代指纹传感器指纹识别屏幕指纹识别人脸识别虹I识别1纹

3、识别心率NP视网I（血管）麦克风摄像头心率检测语音识别心跳签名本地身份NP的技术演进趋势4-digit PINFingerprint3D FaceFAR=1:10,000FAR=1:50,000FAR=1:50,000FAR=1:1,000,000场景1：小额免密等场景，安/风险大，需要新的体验好的 方式来认证人的身份，提升风控能4，增强安/性；场景2、支付账号被盗撞库攻1银行卡盗2等造成损失，需 要新的认证方式来提升防范能4，减少损失；当前的单一身份认证，在小额免密、应用锁等场界体验不好或存安全风险，需要引入待续的行 为身份认证、融合身份技术来提升使用体验、增强安全性。场景3、当3应用登录都

4、是一次性认证的，自动登录的应用长期不校 验，安/隐患大，需要体验好且能持续的认证方式，增强安/性；场景4、对于使用应用锁进行隐私保护的应用，需要经常认证，体验 下降，需要体验好的认证方式，提升使用体验；本地身份认证威胁与挑战芯ETrustZoneAndroid Apps安全内核 Trusted oreI物特征模板I物特征P别服务硬件隔离TEE lient API符合TEE A准SensorS动可信执行环境架构C秘钥安全芯ESE生物特征数据不可撤销，需可信执行环境确保数据安全网络可信身份战略是国家战略，也应该是每个企业的战略认证方法例子What you know 所知密码What you hav

5、e 所有令牌What you are 所是指纹What you behave 所为手势Identity Lifecycle身份生命周期注册创立Registration身份核验Verification登 录 认 证Authentication维护更新Maintenance账 号 注 销Retirement可信唯一信任根源：人的身份+权威签发机构 唯一标识：网络账号，数字证书等 核验方法：面签，推导等厂商仅负责所有阶段网络账号认证框架Page 9身份生态体系7大C则安全 Security, by makin, it more difficult for adver7arie7 to comprom

6、i7e online tran7action7;高效 Efficiency ba7ed on convenience for individual7 ;-o may c-oo7e to mana,e fe;er pa77;ord7 or account7 t-an t-ey do today, and for t-e private 7ector, ;-ic- 7tand7 to benefit from a reduction in paper ba7ed and account mana,ement proce77e7;便 捷 Ea7e of u7e by automatin, ident

7、ity 7olution7 ;-enever po77ible and ba7in, t-em on tec-nolo,y t-at i7 ea7y to operate ;it- minimal trainin,;可信 Confidence t-at di,ital identitie7 are adequately protected, t-ereby increa7in, t-e u7e of t-e Internet for variou7 type7 of online tran7action7;. 密 Increa7ed privacy for individual7, ;-o r

8、ely on t-eir data bein, -andled re7pon7ibly and ;-o are routinely informed about t-o7e ;-o are collectin, t-eir data and t-e purpo7e7 for ;-ic- it i7 bein, u7ed;选 择 Greater c-oice, a7 identity credential7 and device7 are offered by provider7 u7in, interoperable platform7;创 新 Opportunitie7 for innova

9、tion, a7 7ervice provider7 develop or expand t-e 7ervice7 offered online, particularly t-o7e 7ervice7 t-at are in-erently -i,-er in ri7k;网络身份认证：OEEG可信身份I略身份生态体系 大特征Individuals and o.gani5ations choose the p.ovide.s they use and the way they conduct t.ansactions secu.ely.Pa.ticipants can t.ust one an

10、othe. and have confidence that thei. t.ansactions a.e secu.e.Individuals can conduct t.ansactions online with multiple o.gani5ations without sac.ificing p.ivacy.Identity solutions a.e simple fo. individuals to use and efficient fo. p.ovide.s.Identity solutions a.e scalable and evolve ove. time.Page

11、10网络身份I证：美国国家可信身份顶层架构Page 11Ident/ty Prov/derRe y/ng PartyUserIdent/ty uthor/t yIssue IDPolicy & Governance (govt) uthNServ/ceData Exchange uthent/cat/on中国实名制：20120全国人大 法案加1网络信2保护的决定来源：公安部一所网络身份认证：中国国家战略与顶层架构？消费者数字身份十大威胁与挑战服务提5商之间数字身份零散、缺乏6捷性，用户2验不友好。数字身份被用户重用，易受撞库攻击，安9风险大。多种攻击手段4数字身份被0冒、盗用风险高。数字身份9

12、生命周期中用户敏感数据易被泄露。法律法规要求的数字身份的实名制管理与核验困难。数字身份在线下4用时如37证安9。数字身份丢失时，如37证服务不1间断。隐私7护与基.大数据的智能化增8服务的冲突。如3满足数字身份的匿名和实名需求。数字身份认证中的生物特征具有唯一性，如37证安9。年份涉事服务商事件简述泄露用户量2017.11Uber 优步两名黑客盗取了乘客的姓名、电子邮件和电话号码5700万2017.10/2013.8Yahoo 雅虎网络攻击致使用户账号信息泄露30亿（全部）2017.9Equifax遭到黑客袭击 约1.43亿名用户 泄露 黑客窃取的信息 社保号码、生日、地址、信用卡信息等1.4

13、3亿2017.10Dracore Data Sciences 的 泄 露 事 件 和 部 幸免3160万2016.4 泄露事件 致 信息遭到 姓名、 份证号、父母名字、住址等敏感信息5000万2016.5美国Tumblr轻博客网站Tumblr邮箱账号 码惨遭泄露6500万2016.5LinkedIn领英黑客组织在黑市 以5比特币的售价公开销售领英用户登录信息1.67亿2016.9MySpace黑客已经拿到了用户账号 码以6 比特币的价格公开出售。3.6亿2016.10网 网 用户 泄露信息 用户名、 码、 码 保信息、登录ip以及用户生日等1亿2016.10Adult Friend Finde

14、r黑客收集了 的姓名 邮箱 口令4.12亿各种服务自建账号体系，管理乱象横生，灾难性安全事件频发Page 14IdP帐号服务用户数量脸谱Facebook ID20亿谷歌Gmail账号9亿苹果Apple ID6亿微软Microsoft Account4亿腾讯微信ID10亿阿里支付宝账号5亿微博微博账号4亿华为华为账号3亿消费者统一网络账号：市场与标准状况业务驱S力账户密码太多 不便千使用账户密码安全性不够多拷贝导致需要F任太多节点技术驱S只能移S设备的普及业务驱S力集中化导致泄露影a面i商业驱SOpenID出现FIDO联盟成立技术驱S力区e链技术成熟 解决了之前无法解问题业务驱S力支付等业务需要

15、商业驱S力2005年之前几乎所 有的服务提供商 多账户 多密码用户身份F息多拷贝安全性取决千最弱节点Silo 单账户 单密码用户身份F息单拷贝移S设备和生物F息作为多因子安全性取决千IDP2005年之后i部分 i的服务提供商Federation 单账户 单密码用户自t控制身份F息 采用 移S设备和生物F息保护安全性取决千用户设备身份F息交叉验证SOTER三i联盟用户为中心 d线身份和o体身份融合自主控制o体身份F息区e链成为关键技术数l身份与o体身份相融合oraclizer无成熟产品 一些 身份提供商d尝试2005第一 掌握d线服务入口2013 第二 账务各种线上线下服务入口 绑n用户到移S设

16、备2018 第三 统一管理数字身份和实体身份，以用户为中心，移动设备为入口身份证自身特点身份证用户持有，自主管理身份管理特点政府是唯一的身份提供商身份证自身特点仍不 联网在线使用用户持有，自主管理身份身份管理特点政府仍是主要身份提供商政府身份提供商作 次级身份提供商， 外提 供身份服务身份证明自身特点， ， 使 用 可 能 ， 联 网 身 份 融 合身份信息仍由用户自主管理身份管理特点国家主导信任平台发布身份信息除政府外，银行， 信等更多的身份提供商 网络任何身份提供商都可以提供和使用用户身份身份信息可在多组织间共享管理不便，比如状态改变只能依赖有效期，难吊销防伪难业务驱动力业务驱动力无特殊设

17、备情况下，难验证真伪联网在线使用不便一代身份证二代身份证Shocard:次级身份提供商爱沙尼亚身份证英国政府美国政府爱沙尼亚政府印度政府实体身份认证发展趋势：数字化，与数字身份融合，自主 管理，政府主导信任平台实体身份和数字身份如何融合移动设备成为主要 入口身份提供商，特别是掌握移动设 备的身份提供商成为融合的关键身份验证 网络提供数字化实体身份政府强身份认证在线身份管理身份提供商关联实体身份和在线身份个人用户个人用户个人用户酒店证明身份出示身份身份提供者身份使用者* 箭头表示数据流动方向区块链技术的成熟促进了两种身份的融合 可以使身份认证技术向新一代发展华为实践实体身份与数-身份相融合解决方案可信唯一信任根源：硬件信任根+生产厂商唯一标识：安全芯片,私钥,密码学 技术所产生证书等认证方式：需要双向或分布式多向认 证协议(PSK,PKI,CPK,区块链等）Identity Lifecycle身份生命周期出厂证明Birth Certificate唯一标识Unique ID设 备 认 证Authentication维护更新Maintenance退 役 销 毁Destroy厂商负责所有阶段设备身份认证框架有个问题不解，手机为什么会连上那个设备的？ 原理是什么？腾讯安全