數字身份安全與密碼、數據安全、隱私安全領域相互交叉、嵌套，其技術涉及數字身份治理、安全運營、隱私計算、量子計算等多個維度。在數字身份安全體系中，不同技術承擔著不同的安全職責，但又相輔相成共同構建起數字身份的全生命周期防護體系。

關鍵技術是驅動數字身份安全能力演進的重要因素。安全牛在《AI時代數字身份安全技術應用指南（2025版）》報告中，將增強身份認證、ITDR、隱私保護、AI驅動的數字身份安全與管理技術、后量子身份驗證技術、自動化運維技術，作為數字身份安全研究的六個關鍵技術。

六大關鍵技術

一、增強身份認證技術

從Gartner數字身份技術成熟度曲線上，可以看到近三年技術的變化非常大，且新技術的出現與近幾年數字身份從管理向安全發展的趨勢一致。

Gartner《Hype Cycle for Digital Identity》（2022-2025）

2023年及之前，新技術主要集中在數字身份應用和管理場景，如身份錢包、IOT認證、機器身份管理、去中心化架構下的身份管理問題，到2023年，除CAEP還處于炒作上升期外，其他所有技術都已經越過了“炒作頂峰”，進入到“幻滅低谷期”。創新性技術、熱門炒作技術都相對空白。

2024年，由于AI應用的發展，創新周期中開始涌現出新的技術類型，如：AI-Augmented軟件工程、訪問管理的AI技術、代碼即策略、年齡驗證與家長控制、同意跟蹤等。

2025年，整體來看，新技術數量顯著增長，規模相比2024年更為龐大，主要集中在“創新周期”和“幻滅期谷底”。具體來說，一方面融合了AI應用、后量子、身份安全領域的典型技術，如AI原生軟件工程、AI安全助手、負載身份管理、后量子認證、深度偽造技術、ITDR、身份可視化與智能化平臺等，這些技術主要集中在“創新周期”；另一方面，基于場景的身份管理技術在新技術的驅動下，在快速向前演進，集中到達了“幻滅期谷底”。

常用的增強身份認證技術，典型的有：多因素認證、動態驗證技術、FIDO/Passkey無密碼認證。其中，多因素認證、動態驗證技術非常成熟，已經不在Gartner技術曲線的關注中。

• 多因素認證技術（MFA）非常成熟，已經不在Gartner技術曲線的關注中。但由于零信任的應用實踐，成為當前行業落地的重要抓手。隨著技術發展，MFA也存在安全方面局限性，但相較于僅依賴密碼的單因素認證，MFA可以大幅降低身份被冒用的風險，是當前網絡安全領域廣泛采用的基礎安全措施。實際應用中，企業應根據業務場景的安全等級選擇合適的因子組合（如普通場景用“密碼+軟件令牌”，高敏感場景用“密碼+硬件密鑰+生物識別”），并結合持續評估機制（如異常登錄時強制升級驗證強度），進一步提升身份安全的可靠性。
  
• 動態驗證技術（OTP）是一種基于實時風險評估和環境變化，動態調整驗證方式、強度或內容的安全機制，旨在打破傳統網絡“一次認證、永久可信”的靜態信任模式，通過對身份、設備、環境、行為等多維度風險的實時監測與動態調整，確保訪問行為始終與當前安全狀態匹配。它突破了傳統靜態驗證的局限性，廣泛應用于身份認證、交易安全、系統訪問等場景，是零信任“持續評估，動態驗證”理念落地的核心技術。
  
• 無密碼認證（FIDO/ Multidevice Passkey）是一項由FIDO聯盟推動的擁有國際標準的多因素認證技術?；驹硎峭ㄟ^公私鑰簽名/驗簽方式進行身份鑒別，但通過生物識別來獲得私鑰授權。具有抗釣魚，無共享密鑰體驗等優點。2023年之后，人們對FIDO關注點逐漸轉移到了面向消費者的Passkey/Multidevice Passkey，認為它將全面取代密碼、替代硬件Token的部分場景。并預測未來2～3年，Multidevice Passkeys有望成為“默認的互聯網身份憑證”。

但隨著技術發展，生物識別偽造、生成式AI技術，可模仿企業IT支持、銀行客戶，欺騙用戶在錯誤網站使用FIDO認證。如何保證生物識別+用戶行為驗證不被AI模擬，從而維持FIDO的抗釣魚、抗冒用優勢，即將成為一項新技術挑戰。

二、AI驅動的身份安全和管理技術

隨著AI技術的廣泛滲透，“AI賦能數字身份”正在成為數字身份管理的重要發展方向。從Gartner近三年數字身份技術成熟度曲線中可以看到，自2024年開始，在不斷迭代AI驅動的新興技術，如：AI增強軟件工程、網絡安全AI助手、Deepfake檢測、AI訪問管理、AI原生軟件工程、身份可視化與智能平臺。其中，AI增強、AI助手、AI原生及AI訪問管理的目標是使數字身份治理更加自動化和智能化，Deepfake檢測是應對“深度偽造攻擊”。

• AI增強軟件工程（AI-Augmented Software Engineering）：提高身份系統開發與策略管理效率，如自動生成IAM策略、身份數據處理邏輯。通過AI驅動的生命周期管理和權限審查，可降低人力審計壓力，縮短響應時間。
  
• 網絡安全AI助手（Cybersecurity AI assistants）：利用生成式AI技術來發現網絡安全工具中可用的現有知識，生成內容或代碼，幫助安全分析師快速識別身份風險、生成響應建議，輔助治理與審計。多數情況下，網絡安全AI助手是作為現有產品的配套功能提供。但也可以采用專用前端并集成AI Agent的方式來采取行動。
  
• AI訪問管理技術（AI for Access Administration）：指將人工智能技術應用于身份訪問管理（IAM）及權限治理領域，以實現對訪問策略的智能制定、動態調整和異常檢測，從而提升訪問控制的精準性、實時性與自動化水平。在人員流動頻繁、訪問關系動態變化的場景（如零售和電商行業、第三方臨時訪問等）中，對改善提升賬號和權限管理的效率和有效性，改善賬號過期、權限擴散或不足等問題非常友好。
  
• Deepfake檢測（Deepfake Detection in Meeting Solutions）：指為防止基于語音/圖像的身份欺騙（如偽造高管發言、遠程會議冒名登錄等）在企業會議解決方案平臺（如Cisco Webex、Google Meet、Microsoft Teams或Zoom）上加入呼叫、分析音頻和/或視頻內容，并提醒參與者可能的攻擊。
  
• AI原生軟件工程（AI-Native Software Engineering）：通過構建以AI Agent應用為核心架構的身份系統，如自學習型IAM、持續身份風險感知系統，來實現企業端到端的流程化管理。
  

AI驅動數字身份技術的多樣化，預示著身份安全正在從傳統規則驅動型體系，開始邁向智能感知與動態決策的新階段。

從廣泛采用時間來看，AI助手與AI增強軟件工程的落地應用會相對快一些。當前，AI助手（如Copilot類產品）以及AI輔助的軟件工程工具發展迅速，不僅超出了早期預期，而且已展現出較強的通用性和商業可行性。受益于自然語言處理、代碼生成模型和人機交互體驗的持續優化，預計這類技術將在未來2-5年內實現大規模普及，尤其是在編程、辦公、客戶支持等領域。

相比之下，Deepfake檢測、AI訪問管理目前還受限于技術水平、特定場景與行業的應用需求，短期內的發展和規?；涞卮嬖谝欢ň窒?。但調研顯示，這些技術在國內企業中的早期探索已經啟動，并開始試點落地。AI原生軟件工程 是一種新興技術范式，目前該領域仍處于早期技術驗證階段。預計其廣泛應用將滯后于前兩類技術，可能需要5年及以上的成熟周期。

三、后量子身份驗證技術

后量子身份驗證技術（Post-Quantum Authentication，PQA）是指使用抗量子密碼學（PQC）算法實現身份驗證的機制，在量子計算機廣泛應用的未來，保障數字信任體系的持續可信性與應對量子計算對現有身份驗證機制的系統性威脅。

當前，美國、歐盟、加拿大等國家陸續發布后量子密碼（PQC）遷移計劃，明確提出在2025年—2030年期間，關鍵認證系統將逐步過渡至具備抗量子能力的密碼算法。這標志著國家層面網絡安全防御能力正加速升級，進入后量子時代。屆時，支撐當前身份驗證體系的傳統非對稱加密算法（如RSA、ECC）將失去長期安全保障能力。傳統加密與認證機制將難以抵御量子攻擊，企業在身份安全方面面臨賬戶接管等高風險威脅。

因此，推動身份驗證體系向后量子安全機制遷移，已成為確保國家關鍵信息基礎設施安全與企業數字信任體系穩固的關鍵任務。由于行業安全需求的差異，垂直行業后量子身份驗證技術應用方面進展差異較大。整體可分成三個梯隊：

首先是，政府、軍工、金融等關鍵領域。受政策引導與高等級安全監管驅動，政府、軍工等關鍵領域成為優先推進PQA部署的行業，相關系統已啟動混合認證機制或PQ簽名的試點工作。如，美國NSA、NSA合作廠商已開始在認證系統中部署混合簽名（如ECDSA+Dilithium）；歐盟部分成員國政府ID系統實驗PQ簽名應用。這一領域將成為首批全面完成PQA遷移的行業。

部分大型金融機構也已經開展PoC驗證與兼容性研究。如VISA、Mastercard、SWIFT 等與FIDO Alliance合作研究PQ認證機制，銀行CA系統正在引入PQ簽名兼容能力，但尚未廣泛生產部署。受監管壓力推動，預計在2027年前形成大規模遷移需求。

能源、電信、航空、工業控制行業：當前還處于技術評估與概念驗證階段：試點部署初步啟動，部分控制系統/遠程身份驗證機制開始接入PQA。如，電力通信SCADA設備認證、航空MRO系統正在進行PQA可行性評估。遷移節奏受限于工業設備壽命周期，預計需更長時間部署。但由于其對遠程認證、設備簽名和關鍵基礎設施安全的高度依賴，將成為緊隨政府、軍工、金融行業之后的重點部署行業。

其他行業：目前尚未形成系統化PQA應用，整體仍以技術儲備和標準跟蹤為主。如物聯網、互聯網平臺、一般企業級身份管理場景中，受限于計算資源、協議適配能力以及缺乏強制性合規要求。多數商業企業對PQA的認知尚處于早期階段，缺乏統一遷移計劃及市場驅動力。

PQA的推廣與落地盡管具備戰略必要性，但在實際應用中仍面臨一系列技術性、工程性、生態性的挑戰與難點。詳細分析可參見報告內容。

四、身份威脅檢測和響應（ITDR）技術

身份威脅檢測和響應技術（ITDR）是聚焦于數字身份全生命周期安全的防御體系，通過持續監測身份相關的異常行為、漏洞及攻擊活動，實現威脅的精準識別、快速響應和閉環修復。

2022年，Gartner首次將ITDR列入《Hype Cycle for Security Operation》技術成熟度曲線中。該技術發展較快，2024年技術曲線顯示ITDR已經步入了“幻滅低谷期”的谷底，由于其對數字身份安全影響重要性，2025年Gartner進一步將其作為數字身份的一項重要技術納入《Hype Cycle for Digital Identity,2025》曲線中。但由于各種原因，相關評估顯示，目前ITDR距離主流應用仍有2~5年時間。

23 Gartner《Hype Cycle for Security Operation》（2022年、2024年）

ITDR與零信任的信任評估在技術手段和覆蓋能力方面也有一些交叉，但兩者也存在明顯區別。

• 零信任以訪問控制為核心，目標是保護企業資源免受未授權訪問。屬于事前/事中的預防手段。
  
• 相較于零信任的信任評估，ITDR以“身份風險防御”為核心，聚焦于發現和處置身份相關的攻擊行為。其目標是通過監測身份全生命周期中的異常（如憑證泄露、權限濫用、賬號劫持等），識別潛在威脅并快速響應（如凍結賬號、回收權限），最終阻斷攻擊鏈條，屬于“事中/事后”的安全機制。
  

實踐中，動態驗證技術與ITDR技術可以組合，前者側重于降低認證風險，后者可以進一步覆蓋身份認證繞過及高級持續性威脅。

五、隱私保護技術

身份信息和隱私信息是兩個相互獨立，但又存在微妙交集的兩個集合。隱私可以定義身份信息一種特定安全屬性，通常數字身份中都會包含一定的個人隱私，比如賬戶與屬性信息。隱私信息泄露將會導致用戶的數字身份淪為他人的“數據資產”，失去對信息的主導權。

作為數字身份的核心組成要素，隱私保護已成為數字身份安全的重要前提，是防范數字身份“被濫用”的第一道安全防線。

24身份與隱私的關系

隱私保護（Privacy Protection） 作為一個安全專項，涉及的細分技術類型較多。Gartner采用《Hype Cycle for Privacy》技術曲線對其技術演進進行追蹤。對比2024年，2025年曲線上出現了兩個集中點：一部分相對新興的技術集中到達了“膨脹周期”的頂端；另一部分發展較早的技術開始集中越過了“幻滅周期”的谷底，進入爬升階段；此外，個別技術由于種種原因被取消跟蹤，如ZKP、SMPC。目前整體到達成熟期的技術寥寥無幾。

這一趨勢一方面反映了隱私技術正處于密集發展、持續更迭的快速動態變化之中；同時也反映出行業對隱私的高度關注和技術成熟度不足之間的反差。其背后即包含了新技術之間的邊界擴張與合規壓力的持續增強，形成了對隱私保護能力的“剛性需求”；也包括產業落地、公眾關注和風險演化的不斷挑戰，推動了隱私技術持續演進與多元化發展。

圖片來源：Gartner

從不同的應用場景和技術原理出發，隱私保護技術可以分為多種類型。常見的隱私保護技術，如：匿名化與去標識化技術、差分隱私（DP）、去中心化身份（DID）、同態加密（HE）、多方安全計算（SMPC）、零知識證明（ZKP）等。

其中，匿名化與去標識化技術、差分隱私、去中心化身份技術的計算強度不高，容易實現，技術成熟度較高。同態加密、多方安全計算、零知識證明是基于密碼學計算，計算復雜度高，難以獨立在場景中落地。通常同態加密、差分隱私、可信執行環境一起，構成“隱私計算”的整體解決方案。Gartner新發布的《Hype Cycle for Privacy,2025》技術曲線顯示，已不再單獨跟蹤SMPC、ZKP。

Gartner將隱私計算列為未來幾年的重要戰略趨勢之一。并預測，到2025年，60%的大型企業將采用至少一種PEC技術。這些技術的應用場景包括AI模型訓練、數據流通、數據駐留環境下的公共云平臺使用、內部和外部的分析和商業智能活動等。

六、身份管理自動化能力

隨著未來網絡環境的不斷變化，數字身份證書自動化運維能力也需不斷演進，以適應新的安全需求和技術挑戰。公鑰基礎設施（PKI）與身份和訪問管理（IAM）在數字身份管理方面雖發揮著重要作用，但也存在一些不足之處，在自動化運維方面都有較大的提升空間。

SSL證書自動化運維：應具備證書申請、頒發、更新、分發、驗證以及監控等功能。同時，系統應具備良好的可擴展性，能夠適應企業網絡規模的增長和業務的變化。例如，當企業新增了多個子域名需要證書時，系統應能夠快速響應并完成相關證書的自動化管理。在證書有效期剩余一個月時，系統自動啟動更新流程。典型行業實踐：

• ACME協議（RFC8555）：是一種標準化的證書頒發自動化協議，旨在簡化并自動化數字證書的申請、驗證和安裝流程。主要用于PKI中，使得服務器能夠自動獲取和更新SSL/TLS證書，減少人工干預的需求。結合ACME協議，客戶端軟件能夠自動檢測證書狀態，并在合適的時間發起更新請求，完成證書的更新，確保證書始終處于有效狀態，避免因證書過期導致服務中斷。
• 美國Carnegie Mellon University開發的自動SSL/TLS證書管理系統，基于單一證書管理器，能高效且可追溯地生成和分發證書。
  

IAM賬號管理自動化運維：構建自動化策略來平衡IAM身份管理多樣化需求與安全要求同樣重要。如身份認證自動化、權限管理自動化、合規性自動化監測等。

• 機器人流程化（RPA）是一種非常典型的自動化運維手段。在數字身份權限管理方面具有顯著優勢。它能夠模擬人工操作，自動化執行重復性、規律性的任務。如用戶賬號的批量創建、密碼重置等操作，RPA可按照預設的流程自動完成，減少人工操作的失誤，提高工作效率。同時，RPA還能記錄操作日志，便于審計和追溯。例如，在員工入職時，RPA可自動在多個系統中創建用戶賬號，并根據員工所屬部門和職位分配相應的權限。在員工離職時，RPA可及時刪除賬號或凍結權限，確保身份的準確性管理和及時性。

此外，部署自動化的合規性監測工具，實時監控企業的IAM策略執行情況，確保各項操作符合安全要求和法規標準。例如，定期檢查權限分配是否存在越權情況，對發現的違規行為及時發出警報，并提供詳細的報告，以便管理人員及時處理。