数字身份安全的六个关键技术及应用趋势
2025-09-26   安全牛

数字身份安全与密码、数据安全、隐私安全领域相互交叉、嵌套，其技术涉及数字身份治理、安全运营、隐私计算、量子计算等多个维度。在数字身份安全体系中，不同技术承担着不同的安全职责，但又相辅相成共同构建起数字身份的全生命周期防护体系。

关键技术是驱动数字身份安全能力演进的重要因素。安全牛在《AI时代数字身份安全技术应用指南（2025版）》报告中，将增强身份认证、ITDR、隐私保护、AI驱动的数字身份安全与管理技术、后量子身份验证技术、自动化运维技术，作为数字身份安全研究的六个关键技术。

六大关键技术

一、增强身份认证技术

从Gartner数字身份技术成熟度曲线上，可以看到近三年技术的变化非常大，且新技术的出现与近几年数字身份从管理向安全发展的趋势一致。

Gartner《Hype Cycle for Digital Identity》（2022-2025）

2023年及之前，新技术主要集中在数字身份应用和管理场景，如身份钱包、IOT认证、机器身份管理、去中心化架构下的身份管理问题，到2023年，除CAEP还处于炒作上升期外，其他所有技术都已经越过了“炒作顶峰”，进入到“幻灭低谷期”。创新性技术、热门炒作技术都相对空白。

2024年，由于AI应用的发展，创新周期中开始涌现出新的技术类型，如：AI-Augmented软件工程、访问管理的AI技术、代码即策略、年龄验证与家长控制、同意跟踪等。

2025年，整体来看，新技术数量显著增长，规模相比2024年更为庞大，主要集中在“创新周期”和“幻灭期谷底”。具体来说，一方面融合了AI应用、后量子、身份安全领域的典型技术，如AI原生软件工程、AI安全助手、负载身份管理、后量子认证、深度伪造技术、ITDR、身份可视化与智能化平台等，这些技术主要集中在“创新周期”；另一方面，基于场景的身份管理技术在新技术的驱动下，在快速向前演进，集中到达了“幻灭期谷底”。

常用的增强身份认证技术，典型的有：多因素认证、动态验证技术、FIDO/Passkey无密码认证。其中，多因素认证、动态验证技术非常成熟，已经不在Gartner技术曲线的关注中。

• 多因素认证技术（MFA）非常成熟，已经不在Gartner技术曲线的关注中。但由于零信任的应用实践，成为当前行业落地的重要抓手。随着技术发展，MFA也存在安全方面局限性，但相较于仅依赖密码的单因素认证，MFA可以大幅降低身份被冒用的风险，是当前网络安全领域广泛采用的基础安全措施。实际应用中，企业应根据业务场景的安全等级选择合适的因子组合（如普通场景用“密码+软件令牌”，高敏感场景用“密码+硬件密钥+生物识别”），并结合持续评估机制（如异常登录时强制升级验证强度），进一步提升身份安全的可靠性。
• 动态验证技术（OTP）是一种基于实时风险评估和环境变化，动态调整验证方式、强度或内容的安全机制，旨在打破传统网络“一次认证、永久可信”的静态信任模式，通过对身份、设备、环境、行为等多维度风险的实时监测与动态调整，确保访问行为始终与当前安全状态匹配。它突破了传统静态验证的局限性，广泛应用于身份认证、交易安全、系统访问等场景，是零信任“持续评估，动态验证”理念落地的核心技术。
• 无密码认证（FIDO/ Multidevice Passkey）是一项由FIDO联盟推动的拥有国际标准的多因素认证技术。基本原理是通过公私钥签名/验签方式进行身份鉴别，但通过生物识别来获得私钥授权。具有抗钓鱼，无共享密钥体验等优点。2023年之后，人们对FIDO关注点逐渐转移到了面向消费者的Passkey/Multidevice Passkey，认为它将全面取代密码、替代硬件Token的部分场景。并预测未来2～3年，Multidevice Passkeys有望成为“默认的互联网身份凭证”。

但随着技术发展，生物识别伪造、生成式AI技术，可模仿企业IT支持、银行客户，欺骗用户在错误网站使用FIDO认证。如何保证生物识别+用户行为验证不被AI模拟，从而维持FIDO的抗钓鱼、抗冒用优势，即将成为一项新技术挑战。

二、AI驱动的身份安全和管理技术

随着AI技术的广泛渗透，“AI赋能数字身份”正在成为数字身份管理的重要发展方向。从Gartner近三年数字身份技术成熟度曲线中可以看到，自2024年开始，在不断迭代AI驱动的新兴技术，如：AI增强软件工程、网络安全AI助手、Deepfake检测、AI访问管理、AI原生软件工程、身份可视化与智能平台。其中，AI增强、AI助手、AI原生及AI访问管理的目标是使数字身份治理更加自动化和智能化，Deepfake检测是应对“深度伪造攻击”。

• AI增强软件工程（AI-Augmented Software Engineering）：提高身份系统开发与策略管理效率，如自动生成IAM策略、身份数据处理逻辑。通过AI驱动的生命周期管理和权限审查，可降低人力审计压力，缩短响应时间。
• 网络安全AI助手（Cybersecurity AI assistants）：利用生成式AI技术来发现网络安全工具中可用的现有知识，生成内容或代码，帮助安全分析师快速识别身份风险、生成响应建议，辅助治理与审计。多数情况下，网络安全AI助手是作为现有产品的配套功能提供。但也可以采用专用前端并集成AI Agent的方式来采取行动。
• AI访问管理技术（AI for Access Administration）：指将人工智能技术应用于身份访问管理（IAM）及权限治理领域，以实现对访问策略的智能制定、动态调整和异常检测，从而提升访问控制的精准性、实时性与自动化水平。在人员流动频繁、访问关系动态变化的场景（如零售和电商行业、第三方临时访问等）中，对改善提升账号和权限管理的效率和有效性，改善账号过期、权限扩散或不足等问题非常友好。
• Deepfake检测（Deepfake Detection in Meeting Solutions）：指为防止基于语音/图像的身份欺骗（如伪造高管发言、远程会议冒名登录等）在企业会议解决方案平台（如Cisco Webex、Google Meet、Microsoft Teams或Zoom）上加入呼叫、分析音频和/或视频内容，并提醒参与者可能的攻击。
• AI原生软件工程（AI-Native Software Engineering）：通过构建以AI Agent应用为核心架构的身份系统，如自学习型IAM、持续身份风险感知系统，来实现企业端到端的流程化管理。

AI驱动数字身份技术的多样化，预示着身份安全正在从传统规则驱动型体系，开始迈向智能感知与动态决策的新阶段。

从广泛采用时间来看，AI助手与AI增强软件工程的落地应用会相对快一些。当前，AI助手（如Copilot类产品）以及AI辅助的软件工程工具发展迅速，不仅超出了早期预期，而且已展现出较强的通用性和商业可行性。受益于自然语言处理、代码生成模型和人机交互体验的持续优化，预计这类技术将在未来2-5年内实现大规模普及，尤其是在编程、办公、客户支持等领域。

相比之下，Deepfake检测、AI访问管理目前还受限于技术水平、特定场景与行业的应用需求，短期内的发展和规模化落地存在一定局限。但调研显示，这些技术在国内企业中的早期探索已经启动，并开始试点落地。AI原生软件工程 是一种新兴技术范式，目前该领域仍处于早期技术验证阶段。预计其广泛应用将滞后于前两类技术，可能需要5年及以上的成熟周期。

三、后量子身份验证技术

后量子身份验证技术（Post-Quantum Authentication，PQA）是指使用抗量子密码学（PQC）算法实现身份验证的机制，在量子计算机广泛应用的未来，保障数字信任体系的持续可信性与应对量子计算对现有身份验证机制的系统性威胁。

当前，美国、欧盟、加拿大等国家陆续发布后量子密码（PQC）迁移计划，明确提出在2025年—2030年期间，关键认证系统将逐步过渡至具备抗量子能力的密码算法。这标志着国家层面网络安全防御能力正加速升级，进入后量子时代。届时，支撑当前身份验证体系的传统非对称加密算法（如RSA、ECC）将失去长期安全保障能力。传统加密与认证机制将难以抵御量子攻击，企业在身份安全方面面临账户接管等高风险威胁。

因此，推动身份验证体系向后量子安全机制迁移，已成为确保国家关键信息基础设施安全与企业数字信任体系稳固的关键任务。由于行业安全需求的差异，垂直行业后量子身份验证技术应用方面进展差异较大。整体可分成三个梯队：

首先是，政府、军工、金融等关键领域。受政策引导与高等级安全监管驱动，政府、军工等关键领域成为优先推进PQA部署的行业，相关系统已启动混合认证机制或PQ签名的试点工作。如，美国NSA、NSA合作厂商已开始在认证系统中部署混合签名（如ECDSA+Dilithium）；欧盟部分成员国政府ID系统实验PQ签名应用。这一领域将成为首批全面完成PQA迁移的行业。

部分大型金融机构也已经开展PoC验证与兼容性研究。如VISA、Mastercard、SWIFT 等与FIDO Alliance合作研究PQ认证机制，银行CA系统正在引入PQ签名兼容能力，但尚未广泛生产部署。受监管压力推动，预计在2027年前形成大规模迁移需求。

能源、电信、航空、工业控制行业：当前还处于技术评估与概念验证阶段：试点部署初步启动，部分控制系统/远程身份验证机制开始接入PQA。如，电力通信SCADA设备认证、航空MRO系统正在进行PQA可行性评估。迁移节奏受限于工业设备寿命周期，预计需更长时间部署。但由于其对远程认证、设备签名和关键基础设施安全的高度依赖，将成为紧随政府、军工、金融行业之后的重点部署行业。

其他行业：目前尚未形成系统化PQA应用，整体仍以技术储备和标准跟踪为主。如物联网、互联网平台、一般企业级身份管理场景中，受限于计算资源、协议适配能力以及缺乏强制性合规要求。多数商业企业对PQA的认知尚处于早期阶段，缺乏统一迁移计划及市场驱动力。

PQA的推广与落地尽管具备战略必要性，但在实际应用中仍面临一系列技术性、工程性、生态性的挑战与难点。详细分析可参见报告内容。

四、身份威胁检测和响应（ITDR）技术

身份威胁检测和响应技术（ITDR）是聚焦于数字身份全生命周期安全的防御体系，通过持续监测身份相关的异常行为、漏洞及攻击活动，实现威胁的精准识别、快速响应和闭环修复。

2022年，Gartner首次将ITDR列入《Hype Cycle for Security Operation》技术成熟度曲线中。该技术发展较快，2024年技术曲线显示ITDR已经步入了“幻灭低谷期”的谷底，由于其对数字身份安全影响重要性，2025年Gartner进一步将其作为数字身份的一项重要技术纳入《Hype Cycle for Digital Identity,2025》曲线中。但由于各种原因，相关评估显示，目前ITDR距离主流应用仍有2~5年时间。

23 Gartner《Hype Cycle for Security Operation》（2022年、2024年）

ITDR与零信任的信任评估在技术手段和覆盖能力方面也有一些交叉，但两者也存在明显区别。

• 零信任以访问控制为核心，目标是保护企业资源免受未授权访问。属于事前/事中的预防手段。
• 相较于零信任的信任评估，ITDR以“身份风险防御”为核心，聚焦于发现和处置身份相关的攻击行为。其目标是通过监测身份全生命周期中的异常（如凭证泄露、权限滥用、账号劫持等），识别潜在威胁并快速响应（如冻结账号、回收权限），最终阻断攻击链条，属于“事中/事后”的安全机制。

实践中，动态验证技术与ITDR技术可以组合，前者侧重于降低认证风险，后者可以进一步覆盖身份认证绕过及高级持续性威胁。

五、隐私保护技术

身份信息和隐私信息是两个相互独立，但又存在微妙交集的两个集合。隐私可以定义身份信息一种特定安全属性，通常数字身份中都会包含一定的个人隐私，比如账户与属性信息。隐私信息泄露将会导致用户的数字身份沦为他人的“数据资产”，失去对信息的主导权。

作为数字身份的核心组成要素，隐私保护已成为数字身份安全的重要前提，是防范数字身份“被滥用”的第一道安全防线。

24身份与隐私的关系

隐私保护（Privacy Protection） 作为一个安全专项，涉及的细分技术类型较多。Gartner采用《Hype Cycle for Privacy》技术曲线对其技术演进进行追踪。对比2024年，2025年曲线上出现了两个集中点：一部分相对新兴的技术集中到达了“膨胀周期”的顶端；另一部分发展较早的技术开始集中越过了“幻灭周期”的谷底，进入爬升阶段；此外，个别技术由于种种原因被取消跟踪，如ZKP、SMPC。目前整体到达成熟期的技术寥寥无几。

这一趋势一方面反映了隐私技术正处于密集发展、持续更迭的快速动态变化之中；同时也反映出行业对隐私的高度关注和技术成熟度不足之间的反差。其背后即包含了新技术之间的边界扩张与合规压力的持续增强，形成了对隐私保护能力的“刚性需求”；也包括产业落地、公众关注和风险演化的不断挑战，推动了隐私技术持续演进与多元化发展。

图片来源：Gartner

从不同的应用场景和技术原理出发，隐私保护技术可以分为多种类型。常见的隐私保护技术，如：匿名化与去标识化技术、差分隐私（DP）、去中心化身份（DID）、同态加密（HE）、多方安全计算（SMPC）、零知识证明（ZKP）等。

其中，匿名化与去标识化技术、差分隐私、去中心化身份技术的计算强度不高，容易实现，技术成熟度较高。同态加密、多方安全计算、零知识证明是基于密码学计算，计算复杂度高，难以独立在场景中落地。通常同态加密、差分隐私、可信执行环境一起，构成“隐私计算”的整体解决方案。Gartner新发布的《Hype Cycle for Privacy,2025》技术曲线显示，已不再单独跟踪SMPC、ZKP。

Gartner将隐私计算列为未来几年的重要战略趋势之一。并预测，到2025年，60%的大型企业将采用至少一种PEC技术。这些技术的应用场景包括AI模型训练、数据流通、数据驻留环境下的公共云平台使用、内部和外部的分析和商业智能活动等。

六、身份管理自动化能力

随着未来网络环境的不断变化，数字身份证书自动化运维能力也需不断演进，以适应新的安全需求和技术挑战。公钥基础设施（PKI）与身份和访问管理（IAM）在数字身份管理方面虽发挥着重要作用，但也存在一些不足之处，在自动化运维方面都有较大的提升空间。

SSL证书自动化运维：应具备证书申请、颁发、更新、分发、验证以及监控等功能。同时，系统应具备良好的可扩展性，能够适应企业网络规模的增长和业务的变化。例如，当企业新增了多个子域名需要证书时，系统应能够快速响应并完成相关证书的自动化管理。在证书有效期剩余一个月时，系统自动启动更新流程。典型行业实践：

• ACME协议（RFC8555）：是一种标准化的证书颁发自动化协议，旨在简化并自动化数字证书的申请、验证和安装流程。主要用于PKI中，使得服务器能够自动获取和更新SSL/TLS证书，减少人工干预的需求。结合ACME协议，客户端软件能够自动检测证书状态，并在合适的时间发起更新请求，完成证书的更新，确保证书始终处于有效状态，避免因证书过期导致服务中断。
• 美国Carnegie Mellon University开发的自动SSL/TLS证书管理系统，基于单一证书管理器，能高效且可追溯地生成和分发证书。

IAM账号管理自动化运维：构建自动化策略来平衡IAM身份管理多样化需求与安全要求同样重要。如身份认证自动化、权限管理自动化、合规性自动化监测等。

• 机器人流程化（RPA）是一种非常典型的自动化运维手段。在数字身份权限管理方面具有显著优势。它能够模拟人工操作，自动化执行重复性、规律性的任务。如用户账号的批量创建、密码重置等操作，RPA可按照预设的流程自动完成，减少人工操作的失误，提高工作效率。同时，RPA还能记录操作日志，便于审计和追溯。例如，在员工入职时，RPA可自动在多个系统中创建用户账号，并根据员工所属部门和职位分配相应的权限。在员工离职时，RPA可及时删除账号或冻结权限，确保身份的准确性管理和及时性。

此外，部署自动化的合规性监测工具，实时监控企业的IAM策略执行情况，确保各项操作符合安全要求和法规标准。例如，定期检查权限分配是否存在越权情况，对发现的违规行为及时发出警报，并提供详细的报告，以便管理人员及时处理。