遠(yuǎn)程身份認(rèn)證威脅分析與對(duì)策

文｜曹鯤鵬 蔣國(guó)兵

20世紀(jì)90年代, 美國(guó)《紐約客》雜志有句很有名的俚語(yǔ)：“On the Internet, nobody knows you're a dog”(在互聯(lián)網(wǎng)上,沒有人知道你是一條狗)。30多年后的今天,在身份認(rèn)證領(lǐng)域，這句話仍然有著別樣的意味。以靜態(tài)密碼為例，這是最常見的身份驗(yàn)證方法, 但因其容易被盜用、猜解等脆弱性，被攻破的可能性也極大。安全系數(shù)較高的動(dòng)態(tài)密碼雖然具備攻擊難、破譯難度高等優(yōu)點(diǎn)，但最新研究表明，攻擊者仍然可以利用新型的一次性密碼機(jī)器人（One-Time Password Bot，最早于2021年初開始對(duì)外提供服務(wù)，平均售價(jià)為500-700美元）并結(jié)合社會(huì)工程學(xué)等手段，在短時(shí)間內(nèi)快速誘騙受害者泄露收到的一次性密碼和其它身份信息，安全并不是固若金湯。

“Anytime，anywhere, anyway”是互聯(lián)網(wǎng)追求的極致目標(biāo)，但不斷涌現(xiàn)的因個(gè)人電子身份偽造與盜用造成的隱私泄露、惡意欺詐、財(cái)務(wù)損失等安全事件，迫使研究者們開始全面分析身份認(rèn)證的各類威脅，嚴(yán)謹(jǐn)?shù)乜创麄€(gè)認(rèn)證過程的真實(shí)性與可靠性，竭力遏制風(fēng)險(xiǎn)的蔓延。

按照ETSI TS 119461的定義，一個(gè)完整的身份認(rèn)證過程應(yīng)包含五個(gè)環(huán)節(jié)，如圖1所示。

圖1 身份認(rèn)證過程

每個(gè)環(huán)節(jié)的業(yè)務(wù)屬性、內(nèi)容不同，安全威脅也各有所異，下面一一解析。

一、認(rèn)證申請(qǐng)

不同于現(xiàn)場(chǎng)身份認(rèn)證，遠(yuǎn)程身份認(rèn)證較難感知對(duì)方的真實(shí)性，攻擊者可以通過發(fā)送短信或郵件巧妙把對(duì)方引入到事先設(shè)置的釣魚網(wǎng)站，引誘身份認(rèn)證主體（下文簡(jiǎn)稱為認(rèn)證主體、主體）按照指示一步步進(jìn)行操作，從而成功竊取個(gè)人身份信息。防范對(duì)策有設(shè)置郵件白名單。對(duì)于不明郵件，不隨便點(diǎn)擊郵件中的鏈接，同時(shí)要對(duì)發(fā)送人進(jìn)行詳細(xì)身份核實(shí)。

二、證據(jù)采集

申請(qǐng)通過后，認(rèn)證主體按照身份認(rèn)證服務(wù)商（下文簡(jiǎn)稱為認(rèn)證服務(wù)商、服務(wù)商）的要求輸入或提交證據(jù)，如姓名、電話號(hào)碼、照片、視頻、身份證或護(hù)照號(hào)等。服務(wù)商因身份認(rèn)證目的而采集的個(gè)人信息應(yīng)事先征得認(rèn)證主體明確同意，并遵從法律法規(guī)要求和最小化采集原則，確保合法合規(guī)。如果超出應(yīng)有目的和范圍等采集個(gè)人信息，認(rèn)證主體應(yīng)有必要的警惕，并要求服務(wù)商進(jìn)行合理性和必要性的澄清。

三、證據(jù)真實(shí)性、有效性驗(yàn)證

在證據(jù)驗(yàn)證環(huán)節(jié)，認(rèn)證的威脅主要來自認(rèn)證主體一方：提交的證據(jù)可能存在假冒、偽造、過期的風(fēng)險(xiǎn)。與身份有關(guān)的常見欺騙性攻擊如下：

（一）圖片攻擊

基于圖片的身份認(rèn)證是一種常見的認(rèn)證技術(shù)。但隨著PS技術(shù)的發(fā)展，圖片偽造幾乎可以達(dá)到以假亂真的地步，且仿造成本極低，一定程度降低了認(rèn)證的可靠性。一般而言，低質(zhì)量的照片被偽造的可能性越高。防范對(duì)策為身份認(rèn)證時(shí)對(duì)圖片的參數(shù)（如像素和分辨率等）設(shè)置明確要求，低質(zhì)量的證據(jù)拒絕通過或者要求提交附加信息作為補(bǔ)充。

（二）文件證明攻擊

常見的用于身份認(rèn)證的文件有個(gè)人身份證、護(hù)照等有公信力的證件。但此類證件容易丟失、過期或仿冒，一定程度減弱了身份認(rèn)證的有效性。如果采用嵌有個(gè)人身份證明的芯片，能有效避免此類麻煩。以護(hù)照為例，當(dāng)中嵌有一個(gè)RFID（射頻識(shí)別）芯片，其中存儲(chǔ)了有關(guān)護(hù)照和護(hù)照持有人的數(shù)據(jù)（如姓名、出生日期、護(hù)照號(hào)碼、高清頭像等），可以通過專用的RFID閱讀器進(jìn)行讀取，芯片還帶有唯一識(shí)別號(hào)和數(shù)字簽名作為保護(hù)措施。為確保只有經(jīng)過授權(quán)的RFID閱讀器才能讀取數(shù)據(jù)，在護(hù)照芯片中還存儲(chǔ)了一對(duì)加密的秘鑰，當(dāng)閱讀器試圖讀取護(hù)照時(shí)，它會(huì)執(zhí)行加解密交互：如果解密成功，芯片才會(huì)釋放數(shù)據(jù)內(nèi)容。否則，閱讀器被視為未經(jīng)授權(quán)，芯片就會(huì)拒絕閱讀器的訪問。而解密的方法，就是輸入護(hù)照上的MRZ碼。MRZ碼必須先通過OCR（光學(xué)字符識(shí)別）技術(shù)掃描后獲取，可以有效防止他人在不知情的情況下隨意讀取護(hù)照信息。

（三）視頻攻擊

基于視頻的身份認(rèn)證方式下，被認(rèn)證方一般通過終端設(shè)備（如個(gè)人筆記本電腦或手機(jī)）下載對(duì)應(yīng)的APP程序進(jìn)行個(gè)人影像采集，這樣做的優(yōu)點(diǎn)在于能夠提供豐富的數(shù)據(jù)用于分析，認(rèn)證的可信度更高。視頻中，主體按照要求上下、左右點(diǎn)頭、眨眼甚至張嘴，以此證明自己為活體。但這類認(rèn)證方式存在一定的漏洞：如果要求主體點(diǎn)頭、眨眼、張嘴的順序是固定的，一旦攻擊者摸清次序后，會(huì)播放預(yù)先錄制的視頻，以此蒙混過關(guān)。建議的防范對(duì)策是服務(wù)商設(shè)計(jì)隨機(jī)認(rèn)證程序，每次要求的認(rèn)證動(dòng)作不固定、隨時(shí)間而變化：如第一次為上下、左右，第二次為右左、下上，諸如此類等等。

（四）3D面具攻擊

現(xiàn)代科技的迅猛發(fā)展，特別是3D打印的興起，使得武俠小說中的易容技術(shù)成為現(xiàn)實(shí)。2019年，國(guó)外某人工智能公司的實(shí)驗(yàn)人員佩戴公司自制的3D面具，成功騙過了國(guó)內(nèi)某火車站的閘機(jī)并刷臉進(jìn)站，引起公眾震撼。面具類攻擊的危害雖然極大，但用于制作面具的材料和真實(shí)人類的皮膚特性在結(jié)構(gòu)、彈性、血液流動(dòng)、顏色上存在一定差異，而這些細(xì)微差異可以被先進(jìn)的探測(cè)系統(tǒng)甄別出并拒絕身份驗(yàn)證通過。其次，打造出幾乎能以假亂真的面具，需要極高的技能并投入大量的財(cái)力和物力。因此，如果目標(biāo)對(duì)象的重要性不是極高，發(fā)起此類攻擊并不是一個(gè)高明的抉擇。

（五）深度偽造攻擊

采用深度合成軟件，借助AI技術(shù)或機(jī)器學(xué)習(xí)創(chuàng)造或修改音頻或視頻，可以讓人“言”所未言、“行”所未行，以假亂真，混淆真相，甚至換臉名人等。該技術(shù)一旦被濫用，跨越道德和法律的邊界時(shí)，就會(huì)出現(xiàn)“深度偽造”。此項(xiàng)技術(shù)可能帶來的極大危害性和破壞性已引起各國(guó)標(biāo)準(zhǔn)組織和監(jiān)管機(jī)構(gòu)的重視，民眾也在呼吁制定相應(yīng)的管控舉措。從實(shí)現(xiàn)的難易性看，此項(xiàng)技術(shù)需要大樣本學(xué)習(xí)：如果不是公眾人物，要獲取一個(gè)普通人物的大量視頻和音頻數(shù)據(jù)有相當(dāng)難度。另外，機(jī)器學(xué)習(xí)需要數(shù)小時(shí)的反復(fù)訓(xùn)練，這意味著要配備能處理大量數(shù)據(jù)的設(shè)備，存在一定的技術(shù)門檻，攻擊成本較高。

四、證據(jù)與認(rèn)證主體之間的關(guān)聯(lián)比對(duì)

證據(jù)驗(yàn)證通過，僅表示提交的證據(jù)本身無問題，并不能完全代表認(rèn)證主體為證據(jù)的合法持有人。畢竟，證據(jù)的獲取可能來自一些不光彩的手段（如偷竊、偽造等）。因此，驗(yàn)證認(rèn)證主體為證據(jù)的合法持有者十分關(guān)鍵。在此環(huán)節(jié)，可以結(jié)合多個(gè)補(bǔ)充信息進(jìn)行綜合分析：如向事先預(yù)留的手機(jī)號(hào)碼發(fā)送短信驗(yàn)證碼，并要求認(rèn)證主體在限定時(shí)間內(nèi)輸入收到的驗(yàn)證碼；或要求認(rèn)證主體用個(gè)人移動(dòng)終端補(bǔ)充采集面部信息以及進(jìn)行一些隨機(jī)動(dòng)作自證其活體性。

五、認(rèn)證結(jié)果發(fā)布

身份認(rèn)證結(jié)果（通過或不通過）告知主體的途徑應(yīng)安全，加密、數(shù)字簽名保護(hù)為首選。如果認(rèn)證未通過，服務(wù)商不應(yīng)明確告知認(rèn)證主體未通過的原因（比如，ID不匹配，文件已過期、數(shù)據(jù)庫(kù)已有同樣的記錄等），避免結(jié)果被惡意利用，如修改認(rèn)證信息后多次反復(fù)嘗試等。

為確保認(rèn)證過程的可追溯性以及支持認(rèn)證結(jié)果的復(fù)現(xiàn)或二次驗(yàn)證，在遵循當(dāng)?shù)胤煞ㄒ?guī)的前提下，整個(gè)認(rèn)證過程（如視頻、照片播放和演示順序等）應(yīng)以不可篡改的日志形式進(jìn)行記錄，并在一定時(shí)間內(nèi)適度留存。

科學(xué)技術(shù)的發(fā)展日新月異，以遠(yuǎn)程辦公、醫(yī)療、運(yùn)維等服務(wù)為代表的新科技，在給民眾提供極大商業(yè)、生活便利的同時(shí)，無形中也打開了身份威脅的潘多拉盒子。為確保身份認(rèn)證的可信性，不僅認(rèn)證主體應(yīng)加強(qiáng)相關(guān)風(fēng)險(xiǎn)識(shí)別以及個(gè)人信息的安全防護(hù)，認(rèn)證服務(wù)商也應(yīng)加強(qiáng)過程中的安全運(yùn)營(yíng)，在遵從法律法規(guī)制度的前提下，持續(xù)提供安全可靠的服務(wù)，贏得公眾信賴。