随着互联网技术的快速发展，电子商务和互联网金融的兴起，带来了前所未有的方便体验。与此同时，人们也拥有了数字世界的我与现实世界的我两种身份。金融业务涉及大量的敏感信息，可信的身份认证是业务安全的基础，如何证明“我是我”变得前所未有的重要。

　　现有身份认证技术存在不足

　　为了证明“我是我”，现行的主流身份认证手段有两种，一是基于密码的身份认证技术，包括基于共享密钥的身份验证、基于公开密钥加密算法的身份验证，二是基于生物学特征的身份认证，包括我们平时经常使用的指纹识别、人脸识别，还有不经常接触到的虹膜识别、静脉识别。

　　无论是基于密钥的身份验证还是基于生物学特征的身份认证，都属于一次识别或静态识别，也就是一旦识别通过，就不再关注当前操作者是否为用户本人，若不是用户本人则有可能造成敏感数据泄露甚至造成财务损失。

　　今年1月15日，张某在北京市通州区某广场地下一层烧饼店内将谢某手机借走，后未归还。两天后，她通过修改谢某手机支付密码，多次消费共计9990余元，1月20日，张某被抓获归案。

　　除了安全风险之外，现在常见的动态口令认证、USB Key认证、指纹认证、虹膜认证等方式或多或少存在着一些问题，比如依赖特定硬件、只能进行一次验证，无法持续保护等等，在日益复杂的应用场景和安全环境当中已经略显不足。

　　隐形密码保护安全

　　随着AI(人工智能)技术的发展，基于用户行为特征的身份认证技术正在成为现实。

　　用户行为特征像是隐形的密码，它不像是密码或者指纹，密码可能会泄露，指纹可能会被盗取，但是行为特征很难被盗取，重要的是哪怕行为特征被收集，也很难被利用，想要模仿一个人的行为特征几乎是不可能的任务。

　　基于用户行为特征的身份认证有很多优点，它是一个完全后台的程序，整个收集数据和验证的过程不需要用户自己进行任何操作，对用户十分友好。

　　它不需要复杂的硬件支持，只需要手机有重力加速度传感器和触摸屏就可以进行认证，中低端设备也可以使用。

　　它作为手机的第二道安全防线，不和其它认证方式冲突，可以同时使用其它手机安全软件或给手机设置密码，以给手机更好的保护。

　　它将安全认证由一次性变为持续性的过程。密码一旦确认通过就被认为是合法用户，但是基于行为指纹的安全认证则是一个长期持续的认证过程。

　　移动支付网有幸邀请到深圳市能信安科技股份有限公司信息安全专家马小龙，在第三届中国移动金融安全大会上以《基于AI的移动金融用户身份认证系统分析》为题向我们介绍在智能手机技术和人工智能技术的快速发展的今天，基于用户行为特征的可信身份认证走到了哪里，未来的方向又在哪里。

　　马小龙，深圳市能信安科技股份有限公司信息安全专家，高级工程师，具有CISSP、CISA、ISO27001 Leader Auditor等安全专业认证。在应用安全技术、身份认证与特权管理、安全度量与态势感知、大数据技术和人工智能技术在安全领域的应用等多个领域具有深入的研究和应用经验，曾服务于金融、电力、通信、政府等不同行业的客户，包括亚运会、大运会等重大赛事的安全专家服务。