1、消費者用戶與設備身份認證概述技術創新，變革未來時間維度：生命周期過去的那個是現在的這個嗎？身份ID 信任Trust 權益rights&benefits，地位status，資源resources未來場景復雜化：血液更換，器官移植，生物克隆空間維度：可信唯一哪個是真正的他/她/它？人的身份PERSONAL I ENTITY (I )物理世界人的身份- 虛擬世界的數字身份: 網絡賬號（人的映射）物理世界人的身份物理世界+虛擬世界物的身份:設備ID（人的屬性）哲學，道德， 倫理，生物， 遺傳，政治， 法律，心理身份演進可信唯一信任根源：本人活體+證明人唯一標識：DNA等生物特征+證件（未來：安全芯片植

2、入人體？）認證方法：Pin碼 生物識別等Identity Lifecycle身份生命周期出生證明Birth Certificate身份證件National ID本 地 認 證Authentication維護更新Maintenance死 亡 證 明Death Certificate廠商僅負責本地認證階段本地身份認證框架行為身份認證是新一代身份認證技術本地身份認證技術一覽本地身份認證：基 于端，3人的NP2 賬號身份認證：端與云之間，3用戶的NP3 設備身份認證：端與端之間，設2之間NP身份認證分為三類 NP NP本地身份認證技術演進趨勢 NP替代指紋傳感器指紋識別屏幕指紋識別人臉識別虹I識別1紋

3、識別心率NP視網I（血管）麥克風攝像頭心率檢測語音識別心跳簽名本地身份NP的技術演進趨勢4-digit PINFingerprint3D FaceFAR=1:10,000FAR=1:50,000FAR=1:50,000FAR=1:1,000,000場景1：小額免密等場景，安/風險大，需要新的體驗好的 方式來認證人的身份，提升風控能4，增強安/性；場景2、支付賬號被盜撞庫攻1銀行卡盜2等造成損失，需 要新的認證方式來提升防范能4，減少損失；當前的單一身份認證，在小額免密、應用鎖等場界體驗不好或存安全風險，需要引入待續的行 為身份認證、融合身份技術來提升使用體驗、增強安全性。場景3、當3應用登錄都

4、是一次性認證的，自動登錄的應用長期不校 驗，安/隱患大，需要體驗好且能持續的認證方式，增強安/性；場景4、對于使用應用鎖進行隱私保護的應用，需要經常認證，體驗 下降，需要體驗好的認證方式，提升使用體驗；本地身份認證威脅與挑戰芯ETrustZoneAndroid Apps安全內核 Trusted oreI物特征模板I物特征P別服務硬件隔離TEE lient API符合TEE A準SensorS動可信執行環境架構C秘鑰安全芯ESE生物特征數據不可撤銷，需可信執行環境確保數據安全網絡可信身份戰略是國家戰略，也應該是每個企業的戰略認證方法例子What you know 所知密碼What you hav

5、e 所有令牌What you are 所是指紋What you behave 所為手勢Identity Lifecycle身份生命周期注冊創立Registration身份核驗Verification登 錄 認 證Authentication維護更新Maintenance賬 號 注 銷Retirement可信唯一信任根源：人的身份+權威簽發機構 唯一標識：網絡賬號，數字證書等 核驗方法：面簽，推導等廠商僅負責所有階段網絡賬號認證框架Page 9身份生態體系7大C則安全 Security, by makin, it more difficult for adver7arie7 to comprom

6、i7e online tran7action7;高效 Efficiency ba7ed on convenience for individual7 ;-o may c-oo7e to mana,e fe;er pa77;ord7 or account7 t-an t-ey do today, and for t-e private 7ector, ;-ic- 7tand7 to benefit from a reduction in paper ba7ed and account mana,ement proce77e7;便 捷 Ea7e of u7e by automatin, ident

7、ity 7olution7 ;-enever po77ible and ba7in, t-em on tec-nolo,y t-at i7 ea7y to operate ;it- minimal trainin,;可信 Confidence t-at di,ital identitie7 are adequately protected, t-ereby increa7in, t-e u7e of t-e Internet for variou7 type7 of online tran7action7;. 密 Increa7ed privacy for individual7, ;-o r

8、ely on t-eir data bein, -andled re7pon7ibly and ;-o are routinely informed about t-o7e ;-o are collectin, t-eir data and t-e purpo7e7 for ;-ic- it i7 bein, u7ed;選 擇 Greater c-oice, a7 identity credential7 and device7 are offered by provider7 u7in, interoperable platform7;創 新 Opportunitie7 for innova

9、tion, a7 7ervice provider7 develop or expand t-e 7ervice7 offered online, particularly t-o7e 7ervice7 t-at are in-erently -i,-er in ri7k;網絡身份認證：OEEG可信身份I略身份生態體系 大特征Individuals and o.gani5ations choose the p.ovide.s they use and the way they conduct t.ansactions secu.ely.Pa.ticipants can t.ust one an

10、othe. and have confidence that thei. t.ansactions a.e secu.e.Individuals can conduct t.ansactions online with multiple o.gani5ations without sac.ificing p.ivacy.Identity solutions a.e simple fo. individuals to use and efficient fo. p.ovide.s.Identity solutions a.e scalable and evolve ove. time.Page

11、10網絡身份I證：美國國家可信身份頂層架構Page 11Ident/ty Prov/derRe y/ng PartyUserIdent/ty uthor/t yIssue IDPolicy & Governance (govt) uthNServ/ceData Exchange uthent/cat/on中國實名制：20120全國人大 法案加1網絡信2保護的決定來源：公安部一所網絡身份認證：中國國家戰略與頂層架構？消費者數字身份十大威脅與挑戰服務提5商之間數字身份零散、缺乏6捷性，用戶2驗不友好。數字身份被用戶重用，易受撞庫攻擊，安9風險大。多種攻擊手段4數字身份被0冒、盜用風險高。數字身份9

12、生命周期中用戶敏感數據易被泄露。法律法規要求的數字身份的實名制管理與核驗困難。數字身份在線下4用時如37證安9。數字身份丟失時，如37證服務不1間斷。隱私7護與基.大數據的智能化增8服務的沖突。如3滿足數字身份的匿名和實名需求。數字身份認證中的生物特征具有唯一性，如37證安9。年份涉事服務商事件簡述泄露用戶量2017.11Uber 優步兩名黑客盜取了乘客的姓名、電子郵件和電話號碼5700萬2017.10/2013.8Yahoo 雅虎網絡攻擊致使用戶賬號信息泄露30億（全部）2017.9Equifax遭到黑客襲擊 約1.43億名用戶 泄露 黑客竊取的信息 社保號碼、生日、地址、信用卡信息等1.4

13、3億2017.10Dracore Data Sciences 的 泄 露 事 件 和 部 幸免3160萬2016.4 泄露事件 致 信息遭到 姓名、 份證號、父母名字、住址等敏感信息5000萬2016.5美國Tumblr輕博客網站Tumblr郵箱賬號 碼慘遭泄露6500萬2016.5LinkedIn領英黑客組織在黑市 以5比特幣的售價公開銷售領英用戶登錄信息1.67億2016.9MySpace黑客已經拿到了用戶賬號 碼以6 比特幣的價格公開出售。3.6億2016.10網 網 用戶 泄露信息 用戶名、 碼、 碼 保信息、登錄ip以及用戶生日等1億2016.10Adult Friend Finde

14、r黑客收集了 的姓名 郵箱 口令4.12億各種服務自建賬號體系，管理亂象橫生，災難性安全事件頻發Page 14IdP帳號服務用戶數量臉譜Facebook ID20億谷歌Gmail賬號9億蘋果Apple ID6億微軟Microsoft Account4億騰訊微信ID10億阿里支付寶賬號5億微博微博賬號4億華為華為賬號3億消費者統一網絡賬號：市場與標準狀況業務驅S力賬戶密碼太多 不便千使用賬戶密碼安全性不夠多拷貝導致需要F任太多節點技術驅S只能移S設備的普及業務驅S力集中化導致泄露影a面i商業驅SOpenID出現FIDO聯盟成立技術驅S力區e鏈技術成熟 解決了之前無法解問題業務驅S力支付等業務需要

15、商業驅S力2005年之前幾乎所 有的服務提供商 多賬戶 多密碼用戶身份F息多拷貝安全性取決千最弱節點Silo 單賬戶 單密碼用戶身份F息單拷貝移S設備和生物F息作為多因子安全性取決千IDP2005年之后i部分 i的服務提供商Federation 單賬戶 單密碼用戶自t控制身份F息 采用 移S設備和生物F息保護安全性取決千用戶設備身份F息交叉驗證SOTER三i聯盟用戶為中心 d線身份和o體身份融合自主控制o體身份F息區e鏈成為關鍵技術數l身份與o體身份相融合oraclizer無成熟產品 一些 身份提供商d嘗試2005第一 掌握d線服務入口2013 第二 賬務各種線上線下服務入口 綁n用戶到移S設

16、備2018 第三 統一管理數字身份和實體身份，以用戶為中心，移動設備為入口身份證自身特點身份證用戶持有，自主管理身份管理特點政府是唯一的身份提供商身份證自身特點仍不 聯網在線使用用戶持有，自主管理身份身份管理特點政府仍是主要身份提供商政府身份提供商作 次級身份提供商， 外提 供身份服務身份證明自身特點， ， 使 用 可 能 ， 聯 網 身 份 融 合身份信息仍由用戶自主管理身份管理特點國家主導信任平臺發布身份信息除政府外，銀行， 信等更多的身份提供商 網絡任何身份提供商都可以提供和使用用戶身份身份信息可在多組織間共享管理不便，比如狀態改變只能依賴有效期，難吊銷防偽難業務驅動力業務驅動力無特殊設

17、備情況下，難驗證真偽聯網在線使用不便一代身份證二代身份證Shocard:次級身份提供商愛沙尼亞身份證英國政府美國政府愛沙尼亞政府印度政府實體身份認證發展趨勢：數字化，與數字身份融合，自主 管理，政府主導信任平臺實體身份和數字身份如何融合移動設備成為主要 入口身份提供商，特別是掌握移動設 備的身份提供商成為融合的關鍵身份驗證 網絡提供數字化實體身份政府強身份認證在線身份管理身份提供商關聯實體身份和在線身份個人用戶個人用戶個人用戶酒店證明身份出示身份身份提供者身份使用者* 箭頭表示數據流動方向區塊鏈技術的成熟促進了兩種身份的融合 可以使身份認證技術向新一代發展華為實踐實體身份與數-身份相融合解決方案可信唯一信任根源：硬件信任根+生產廠商唯一標識：安全芯片,私鑰,密碼學 技術所產生證書等認證方式：需要雙向或分布式多向認 證協議(PSK,PKI,CPK,區塊鏈等）Identity Lifecycle身份生命周期出廠證明Birth Certificate唯一標識Unique ID設 備 認 證Authentication維護更新Maintenance退 役 銷 毀Destroy廠商負責所有階段設備身份認證框架有個問題不解，手機為什么會連上那個設備的？ 原理是什么？騰訊安全