網絡可信身份管理的現狀與趨勢

網絡可信身份管理的現狀與趨勢

2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上強調，要樹立正確的網絡安全觀：網絡安全是整體的而不是割裂的；是動態的而不是靜態的；是開放的而不是封閉的；是相對的而不是絕對的；是共同的而不是孤立的。

作者有幸作為參會專家之一，在座談會上聆聽了習總書記的講話后談到：我們作為一個技術人員，在實際工作中常常會為“安全”而安全，追求唯技術論，就沒有把網絡安全放到一個整體上去考慮，沒有把安全放到一個動態的環境中去考慮。我們不能僅僅從技術層面，或者僅僅從裝備層面，或者僅僅從科技層面割裂地規劃網絡安全的系統和技術。以下內容是經作者本人同意，根據其在全國信息安全標準化技術委員會2016年第1次工作組（WG4）會議周上的發言和講話，由工作人員整理。

國際網絡身份管理概況

今天，“互聯網＋”、DT時代、工業4.0這3個詞正在火起來。Web2.0時代，網絡應用和互聯網服務滲透到人們網絡生活的方方面面，伴隨著這3個火熱“詞“的誕生，Web2.0時代不斷發展，于此同時，互聯網信息安全逐漸引起了人們的關注，世界各國都在高度重視網絡可信身份鑒別認證領域。美國將推動網際空間可信身份作為國家戰略；歐盟大力推動身份服務的互操作，制定了歐洲的電子服務的法律框架，形成了歐洲各國互通的電子身份標識eID，投入資金開展eIDM項目；英國引導分級的第三方身份服務市場，私營的身份服務技術已被引入到政府應用中，企業、國家共同打造身份服務；韓國實名制終結，影響深遠。

國際機構和企業積極開展身份服務。EduGAIN形成了全球范圍的科研和教育服務的身份聯盟。FIDO聯盟身份認證標準在2013年2月正式成立，美國和英國支持該標準實施，中國政府也開始關注，聯想、阿里巴巴等單位是其理事單位。網絡身份管理技術和標準發展迅速，包括OpenID、SAML身份認證、互聯網授權協議、FIDO標準都不斷地發生變化。

網絡可信身份管理面臨的問題

目前，我國在可信身份鑒別認證領域大多還是采用傳統的身份鑒別方案，用戶在設備端對應不同的應用輸入用戶名口令。隨著移動應用越來越多，用戶需要記憶的用戶名和口令也越來越多，容易混淆和遺忘。同時，如果口令簡單，容易被攻破；如果口令復雜，又難以記住，這是很多用戶都曾遇到過或正在面臨著的困擾。目前，我國身份管理面臨的主要問題包括：

1）隱私保護。個人的真實信息已經普遍存在于網絡，而互聯網企業安全和隱私保護能力不足。隱私泄露事件頻發，危害巨大。網民迫切需要隱私保護，如果沒有隱私保護，網民使用網絡信心不足，可能會影響了整個“互聯網+”的發展進程。

2）網絡欺詐。網民安全意識有限，身份保護能力不足，要靠專業機構提高網絡安全水平。目前網絡欺詐呈高水平、多樣化，防不勝防。

3）網絡謠言。網絡謠言屢屢出現，真假難辯。一個是敵對勢力干擾，還有網民不負責任的傳播?，F有監督和追究手段不能適應網絡發展，包括身份假冒、追究困難等等。

4）黑色產業鏈。網絡身份與現實身份綁定提升了身份價值，催生了黑色產業鏈。大量應用需要真實身份標識，催生了身份標識買賣。目前的安全技術還無法阻止虛假身份，身份證在網上應用亟待提高安全性。

使用新型的身份鑒別方案，用戶可以使用生物識別技術（例如指紋識別、語音識別等）進行身份鑒別，無需記憶眾多繁瑣的口令?，F在的智能設備上一般都集成有攝像頭、指紋識別、話筒等硬件模塊，可以用來實現生物識別技術，為新型的身份鑒別方案提供了物質基礎。但是怎樣才能使用生物識別身份鑒別技術安全地實現用戶身份鑒別？此外，當前的生物識別身份鑒別技術還存在著未采用國產密碼算法、應用層接口復雜、底層接口不統一、互操作性差等問題亟待解決。

各國的技術標準方案

我國的身份服務廣泛存在，但安全程度參差不齊，應用和用戶已經在接受專業的身份服務，但應用范圍非常有限。我國的身份管理已經參與到全球競爭。身份服務的技術和互聯互通標準已經初步形成，身份服務的法律法規還有待完善。

美國、韓國、英國、歐盟等世界主要發達國家都制定了網絡可信身份戰略，各標準組織也分別制定了SAML，OAuth，OpenID，FIDO等不同的身份鑒別與授權相關規范和標準，各硬件生產廠商采用的技術及方案均不相同：

1）SAML(security assertion markup language) 標準

OASIS 提出的SAML規范致力于實現聯合身份鑒別和授權信息交換的標準化。SAML主要應用于統一身份鑒別與授權。SAML規范已經成為國際廣泛認可的單點登錄和身份鑒別規范。該標準沒有對用戶驗證方式作出規范，一般使用的是用戶名/口令方式。我國也將SAML標準制定成了國家標準GB/T 29242-2012《信息安全技術 鑒別與授權 安全斷言標記語言》。

2）OAuth標準（即開放的第三方資源授權協議框架）

OAuth使第三方應用程序在不需要資源擁有者身份憑據的情況下，獲得對某個HTTP服務的受限訪問。OAuth標準也廣泛應用于云服務資源的訪問授權場景中。該標準并不支持我國國產密碼算法。我國密碼行業標準《開放的第三方資源授權協議框架》目前處于征求意見稿階段，該標準支持我國國產密碼算法。

3）OpenID（開放身份標識鑒別）系列標準

OpenID是以用戶為中心的身份鑒別框架，能夠有效降低用戶負擔和依賴方的身份管理成本，由可信身份信息提供方提供身份鑒別服務。該標準對用戶驗證方式沒有具體的規范，目前大部分使用的是用戶名/口令方式。該標準并不支持我國國產密碼算法。我國密碼行業標準《開放的身份標識鑒別框架》目前處于征求意見稿階段，該標準支持我國國產密碼算法。

4）FIDO（在線快速身份鑒別）系列規范

FIDO系列規范使用生物識別鑒別技術取代用戶名/口令鑒別的傳統方式，解決當前網絡環境下認證設備之間缺乏互操作性，以及用戶需要創建并記住多套用戶名/口令的問題。該標準并不支持我國國產密碼算法，我國目前還沒有針對該技術的標準規范。

我國政府大力推動網絡可信體系建設，非常重視制定身份鑒別與授權的相關國家標準和密碼行業標準，但在生物識別身份鑒別方面的相關標準尚屬缺失。在國內，螞蟻金服和騰訊等軟件公司也積極使用并推進了生物識別身份鑒別技術。IFAA定義了不同支付場景的生物識別身份鑒別協議，SOTER則在微信應用客戶端以及公眾號服務上積極推進生物識別身份鑒別技術，對生物識別身份鑒別技術的發展起到了積極作用。但是相關技術都缺少對我國國產密碼算法的支持，并且沒有統一的標準進行評測。

如果能夠借鑒國際上FIDO的UAF/U2F協議標準，加上我國在技術上的自主創新，根據我國國內需求及情況、采用國產密碼算法，形成一套《基于可信執行環境的生物識別身份鑒別協議》標準，統一規范基于可信執行環境的生物識別身份鑒別技術，包括：統一規范底層設備間的接口，提高互操作性，提高設備廠商生產效率，降低生產成本；統一應用層接口，簡化開發過程，應用方開發應用更加便捷快速；規范使用國產密碼算法，保障用戶身份信息以及應用方安全性。

網絡可信體系發展趨勢

當前的網絡可信身份管理具有以下發展趨勢：用戶管理已經從以應用為中心的時代進入了以企業為中心的時代，正在邁向以用戶為中心的時代。在應用為中心的時代，每個應用都要管理身份。以企業為中心的時代，人們開始推崇單點登錄，企業內的多個應用共享相同身份管理。而以用戶為中心的時代，用戶可以選擇自己的身份管理和服務。在新的時代下，身份數據將成為爭先搶占的戰略資源；基于行為的身份鑒別將成為身份鑒別的主流。

習總書記指出：沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。建設網絡強國，要有自己的技術，有過硬的技術；要有豐富全面的信息服務，繁榮發展的網絡文化；要有良好的信息基礎設施，形成實力雄厚的信息經濟；要有高素質的網絡安全和信息化人才隊伍；要積極開展雙邊、多邊的互聯網國際交流合作。建設網絡強國的戰略部署要與“兩個100年”奮斗目標同步推進，向著網絡基礎設施基本普及、自主創新能力顯著增強、信息經濟全面發展、網絡安全保障有力的目標不斷前進。

我們首先要支持中國政府管好網絡，在可追訴、可管理、有秩序方面要做自己的貢獻。我們要團結個人，希望有一個可自由選擇的身份提供商，用一套全網都適用的認證機制。對于企業來說，希望有一個身份提供商，通過身份入口掌握用戶信息，這個提供商應該是安全的。我們希望通過提供身份，讓它獲得商業利益。我們的建設方案包含了三大方面的內容：一是可信身份和行為數據中心；二是評估體系；三是服務體系。最后的結果是提供可信身份的提供、可信服務的評估、可信行為的監控，把這3個方面建立起來。

建立自主的身份管理與服務體系，建立與國際標準互通，采用國產算法的身份服務體系，強化安全要求，減少被攻擊面。建立可信評估評價體系，建立分級的可信標準，并完成評估評價體系建設。建設國家可信身份數據中心。按照標準連接各身份提供商、收集元數據，實時掌握網絡的運行狀況，包括網絡在線實體的可信分布，可信實體登錄網絡應用的情況，提供網絡實體關聯。通過行為數據掌握國家的網絡宏觀態勢，確保我國的網絡運行安全。

荊繼武

博士，教授，博士生導師?，F任中國科學院信息工程研究所總工，副所長，中國科學院數據與通信保護研究教育中心主任，國家十二五“八六三”計劃信息安全主題專家組召集人，國家十三五網絡空間安全科技重點研發計劃實施方案及指南編寫專家組召集人，國家重大專項電子與信息板塊監督評估組專家，亞洲PKI聯盟秘書長（2007-2010），亞洲PKI聯盟互操作工作組組長，中國密碼學會理事，中國密碼學會電子認證專業委員會主任委員，中國計算機學會計算機安全專業委員會副主任委員。

jingjiwu@iie.ac.cn

The Development Status and Tendency of Internet Trusted Identity Management