網絡可信身份之道

一、網絡可信身份概述

（一）基本概念

1、網絡空間

網絡空間（Cyberspace）擁有很多不同的定義，美國在其一系列網絡空間戰略文件中，將網絡空間描述為“由信息技術基礎設施構成的相互信賴的網絡，包括互聯網、電信網、計算機系統等以及信息與人交互的虛擬環境”；英國則定義為“由數字網絡構成并用于儲存、修改和傳遞信息的人機交互領域，包含互聯網和其它用于支持商業、基礎設施與服務的信息系統”；德國則明確“包括所有可以跨越領土邊界通過互聯網訪問的信息基礎設施”；一些學者則認為，網絡空間是一個全球性的動態域，通過使用電子和電磁頻譜來創建、存儲、修改、交換、共享和提取、使用、消除信息和分散的物理資源 。綜上，網絡空間是指由信息基礎設施、運行其上的網絡環境、其中的網絡數據和資產以及參與網絡活動的主體等構成的虛擬生存空間。

2、網絡空間治理

網絡空間治理尚無各方認同的定義，2005年在聯合國信息社會世界峰會（WSIS）上曾形成互聯網治理的概念，互聯網治理（Internet Governance）是指政府、私營部門和民間團體根據各自職能，制定并用來影響互聯網發展和使用的共同原則、規范、條例、決策流程和綱領 。由于網絡空間的概念比互聯網更加寬泛，網絡空間治理則比該概念含義更加廣泛。

3、網絡身份

網絡身份是指可以在網絡空間中識別參與網絡活動各主體身份以標示網 絡數據或資產權屬的標識，主要用于實現網絡空間中身份認證、授權管理和責任認定等活動。當前網絡中身份標識各類很多，包括用戶名和密碼、IP地址等，由《中華人民共和國電子簽名法》確認的具有法律效力的手段是基于PKI技術體系的數字證書。本文中所稱網絡可信身份是指能夠有效確認網絡主體物理世界真實身份的網絡身份形式。

（二）研究的背景及意義

1、信息化深入發展迫切需要網絡可信身份體系

黨的十九大報告提出要“推動新型工業化、信息化、城鎮化、農業現代化同步發展”。我國當前已經進入網絡時代，互聯網普及率已超過50%，北京市更是高達76.5%，互聯網的快速普及給人們的工作生活帶來便利，但同時也帶來了諸多網絡安全問題，據統計，從2015年下半年到今年上半年的一年間，我國網民因垃圾信息、詐騙信息、個人信息泄露等遭受的經濟損失高達915億元給社會治理帶來新挑戰，各類新型網絡犯罪、網絡欺凌、網絡版權等問題層出不窮。這些安全問題歸根結底是由于網絡主體真實身份缺失造成的，網絡可信身份是各種網絡應用健康發展的前提和基礎，網絡主體身份真實確保信息安全的必要手段，信息化的深入發展及兩化深度融合迫切需要網絡可信身份體系。

2、網絡可信身份體系是構建網絡治理體系的基礎

十九大報告中明確提出“加強互聯網內容建設，建立網絡綜合治理體系，營造清朗的網絡空間”，而網絡可信身份體系則是建立網絡綜合治理體系的基礎。一方面網絡治理體系建設勢在必行，正如十九大報告中所說，“意識形態領域斗爭依然復雜”，互聯網已然成為各類社會矛盾的集中出口，也成為西方國家發動意識形態攻勢的新目標，必須建設更具效率、更為民眾所接受的網絡治理體系。另一方面，網絡可信身份體系可以有效改善網絡治理體系現狀，通過網絡可信身份休條可實現基于網絡行為追溯和取證的隱性治理模式，進而逐步弱化以“封堵”為主的網絡內容管理方法，有效解決網絡空間治理問題。

3、我國已經具備了構建網絡可信身份體系的基礎

長期以來，我國大力推進網絡信任體系建設，網絡可信身份資源豐富，已具備構建網絡可信身份體系的基礎。一是網絡可信身份頂層設計不斷完善，中央網信領導小組的成立，使得網絡和信息安全工作有了統一的管理機構，中央網信辦目前已依據《網絡安全法》啟動網絡可信身份戰略起草工作，將有力推動網絡可信身份體系建設。二是網絡可信身份資源豐富，如工業和信息化部作為互聯網和電信主管部門，開展了網站實名制、域名備案管理、IP地址備案管理、手機實名制等工作，同時推動電子認證服務業的快速發展，現已擁有3億張有效數字證書，公安部以公民身份證和人口數據庫作為基礎，開展了基于身份證的網上認證和網絡身份證（eID）的相關工作，銀行、工商、稅務、教育等領域也積累了大量網絡可信身份資源，特別是支付寶、微信支付等網絡可信身份應用模式不斷完善，為網絡可信身份體系的建設提供了支撐。

二、國外網絡可信身份發展現狀

（一）網絡可信身份管理現狀

1、美國

美國在電子簽名政策法規建設方面起步較早，建立了一系列政策法規和標準體系，并發布《網絡空間可信身份戰略》，推動建設網絡可信生態體系，取得了較大成績。

美國猶他州1995年頒布的《猶他州電子交易法》是世界上第一部電子簽名法，并被奉為二十多個州的示范法。該法案規定：1）電子簽名符合手寫簽名的各個要求，并且可在法院訴訟中接納為證據；2）電子合同得以強制執行；3）不存在對特定技術的特別待遇，但法院可以將不同技術納入考慮范圍。

2000年，時任美國總統克林頓正式簽署《全球和國內商業法中的電子簽名法案》（以下簡稱《法案》），其突出特點是，采納了“最低限度”模式來推動電子簽名的使用，不規定使用某一特定技術。該《法案》允許消費者和企業使用電子簽名開支票、貸款、簽訂商業合同等，幾乎涵蓋所有傳統簽名應用的范圍。對于電子簽名的效力，《法案》將重點放在查證簽名人的意圖上，而不是簽名的形式和規則?！斗ò浮焚x予電子簽名、電子合同和電子記錄與傳統形式和手寫簽名相同的法律效力和可執行力。

2004年8月，時任美國總統小布什簽署了國土安全第 12 號總統令（HSPD-12），為政府部門管理聯邦雇員提供了一套新的身份管理標準策略，有79個政府部門參與執行，提高了政府部門管理的安全性，降低了身份被仿冒、盜用的風險，大大提升了個人隱私保護能力。為配合該法令的實施，美國國家標準學會（ANSI）成立了防止身份盜竊與身份治理標準組，美國國家標準與技術研究院（NIST）同時發布了《聯邦個人識別認證系統的最小化要求描述》。

2009年1月21日，美國白宮發布《透明與開發政府備忘錄》，宣布在政府網站提供更多的互動式資源，吸引用戶積極參與政府決策過程的直接互動，以便增強政府網站和用戶間的互動性。截至9月9日，十多家高新科技企業宣布支持奧巴馬政府的初步試驗計劃，承擔基于OpenID、Information Card等數字身份技術的數字身份識別服務，簡化用戶使用政府網站的注冊過程。

2011 年4 月，美國白宮在其網站上發布了《國家網絡空間可信身份戰略》（NSTIC），計劃用10 年時間，構建一個網絡身份生態體系，推動個人和組織在網絡上使用安全、高效、易用的身份驗證解決方案。在商務部內部成立一個跨部門的“國家計劃辦公室”，根據法定授權，推動戰略實施。美國國家標準與技術研究院（NIST）負責依據NSTIC，制定關鍵領域的數字身份與在線交互的美國國家標準。產業相關參與者共同建立了身份生態執行組（IDESG），目標是圍繞NSTIC制定各個領域的實施計劃。

2、歐盟

歐盟委員會于1997年4月提出著名的《歐洲電子商務行動方案》，從宏觀的角度規定了信息基礎設施、管理框架和電子商務等方面的行動原則。同年7月歐盟各國在波恩召開了有關全球信息網絡的部長級會議，并通過了支持電子商務發展的部長宣言，宣言主張政府在電子商務立法中應減少不必要的限制，幫助民間企業自主發展，促進網絡商業競爭。

隨著電子商務的發展，為了在歐洲的層面上制定一個統一的電子簽名法律框架，克服各國對互聯網市場規制上出現的互不協調局面，歐盟委員會于1999年12月13日制定了《關于建立電子簽名共同法律框架的指令》(以下簡稱《指令》)，提出一個涉及電子簽名和”認證服務商”（CSPs）的法律框架。它依據交易的敏感度的不同，將電子簽名依其安全水平的高低分為“基本電子簽名”和“高級電子簽名”，前者適用于低水平交易，后者用于需要較高安全水平的交易?！吨噶睢窙]有提出具體的技術導向，但偏向于采用數字簽名。

2000年起，意大利、比利時、奧地利、德國等歐盟成員國開始推動網絡電子身份標識計劃，在其電子身份證中引入網絡認證功能，并通過制定或完善網絡身份管理的法律制度、管理機制以及國家戰略，搶過身份認證的頂層管理機制。

2008年起，歐盟19個成員國共同參與實施了“STORK”項目，其目標是發展歐洲eID通用平臺，提升歐盟成員國電子公共服務水平，實現跨境居民身份管理體系。同年，泛歐洲公共在線采購項目（PEPPOL）啟動，旨在實現歐盟跨境電子政府采購，有效降低了交易成本，使公共采購更透明、更有競爭力。

歐盟在2014年發布的No910/2014條例（歐盟eIDAS條例），主要包括兩個部分：電子身份和信任服務，eIDAS本身代表著“電子身份認證與簽名”。該條例不僅僅規定了電子身份和簽名，還規定了除簽名外的其他信任服務。值得注意的是，歐盟eIDAS條例廢除了歐盟《電子簽名法指令》（1999/93/EC號），電子簽名作為信任服務的組成部分規定到了該條例中。

（二）網絡可信身份應用現狀

1、美國網絡可信身份生態體系

美國為攻克網絡身份生態體系難題，于2012年公布了5個試點項目工作，項目涉及醫療衛生、網絡媒體、網上購物、銀行、高等教育等領域，重點關注NSTIC中描述的在線身份認證解決方案。

2011年以來，美國政府部分在采用NSTIC解決方案，增強網絡安全與隱私方面取得很大進步，如在增強身份認證方面，2013財年美國商務部從30%增長到88%，2014財年，美國環保署從0%增長到69%。在商業組織方面，谷歌、臉譜、蘋果、推特、LINKIN、亞馬遜等啟用了NSTIC解決方案。在個人應用方面，方案采用率從2013年的25%上升到2015年的39%。

2、歐盟電子身份證

2006年，歐盟正式推出《2010泛歐洲eID管理框架路線圖》，該研究項目的主要內容是推動整個歐盟范圍內電子標識（eID）應用，目標是使得歐盟成員國公民持有電子標識在歐盟內的任一國家享受求職、醫療、保險等一系列社會服務。為此，歐盟已經制定了一系列法律法規，并通過統一的、高質量的、不斷更新的相關標準，旨在建立一個歐盟范圍內通用的、跨域的電子標識方案，推動歐盟范圍內電子簽名和eID的應用，以滿足市場需求eID管理框架的目標是各歐盟成員國達成協議，使用通用的、歐洲層面的身份標識，解決當前歐洲電子身份標識的不通用現象，歐盟各成員國政府投入資金開展eID管理框架相關項目。

在成員國層面，2010年德國出臺了《電子身份證條例》，明確了eID卡基礎設施的安全和數據保護要求，類似的還有奧地利的《電子政務法案》，英國的《身份證法案》等。在各成員國的支持和推動下歐盟eID應用取得了長足的進展。目前，多數歐盟成員國都頒布了eID發展規劃，采用eID來解決網絡應用中身份鑒別、認證、電子簽名、數據保護等問題。據歐洲智能卡協會統計數據顯示，截止到2013年底，歐盟國家累計發行的eID卡超過1.5億張。其中，比利時、德國、意大利、西班牙等國家eID的普及率非常高，據統計，比利時1100萬左右的人口中，eID的使用人數超過900萬。eID廣泛應用在電子政務、電子商務、金融支付等眾多領域，并在一些電子政務公共服務中實現了eID的跨境互認，如可以作為歐洲旅行證件使用。

3、網絡身份應用技術標準

在國際各大信息技術企業的推動下，國際標準組織也分別制定了SAML，OAuth，OpenID，FIDO等不同的身份鑒別與授權相關規范和標準，也成為網絡可信身份在互聯網領域應用的技術方案。

（1）SAML(security assertion markup language) 標準OASIS 提出的SAML規范致力于實現聯合身份鑒別和授權信息交換的標準化。SAML主要應用于統一身份鑒別與授權。SAML規范已經成為國際廣泛認可的單點登錄和身份鑒別規范。該標準沒有對用戶驗證方式作出規范，一般使用的是用戶名/口令方式。

（2）OAuth標準（即開放的第三方資源授權協議框架）OAuth使第三方應用程序在不需要資源擁有者身份憑據的情況下，獲得對某個HTTP服務的受限訪問。OAuth標準也廣泛應用于云服務資源的訪問授權場景中。該標準并不支持我國國產密碼算法。

（3）OpenID（開放身份標識鑒別）系列標準OpenID是以用戶為中心的身份鑒別框架，能夠有效降低用戶負擔和依賴方的身份管理成本，由可信身份信息提供方提供身份鑒別服務。該標準對用戶驗證方式沒有具體的規范，目前大部分使用的是用戶名/口令方式。

（4）FIDO（在線快速身份鑒別）系列規范FIDO系列規范使用生物識別鑒別技術取代用戶名/口令鑒別的傳統方式，解決當前網絡環境下認證設備之間缺乏互操作性，以及用戶需要創建并記住多套用戶名/口令的問題。

四、對我國的啟示

（一）注重網絡可信身份的頂層設計

美國、英國等世界主要發達國家都制定了網絡可信身份戰略，并在其指導下開展網絡可信身份體系相關工作。如美國發布了《國家網絡空間可信身份戰略》，并在其基礎上構建網絡可信身份生態系統，歐盟發布了《2010泛歐洲eID管理框架路線圖》，在eID方面給出了明確且極具操作性的階段發展計劃，對各成員國應用推廣eID以及歐盟統一管理eID都具有重要的指導意義。我國作為網絡大國，卻面臨著網絡身份體系不統一，網絡身份管理混亂的局面，應加強對網絡身份體系建設的重視程度，將網絡身份管理納入政府工作日程，協調相關部門，推動《網絡可信身份戰略》等相關政策法規的制定和發布，盡快做好網絡身份管理的頂層設計，以PKI技術體系為基礎，構建統一的網絡可信身份管理體制機制，加強法律法規和標準規范建設，大力推動網絡身份管理工作，有效解決網絡空間治理問題。

（二）強化法律法規的可操作性

美國、歐盟制定法律法規時更注重可操作性。以歐盟eIDAS條例為例，通過“參引性行規范”結構對數據處理與保護進行了規定，強化了對用戶數據的保護，根據身份保證水平規定了低中高三個等級，能夠適用不同級別的要求，在法律中明確規定了互認要求，為網絡身份應用提供了便利條件，同時在法律中明確了身份提供方的責任，讓其在趨利避害中主動承擔起相應義務。我國目前在電子簽名領域僅有一部電子簽名法，在電子簽名法律效力的認定等方面的條文還不夠細化，操作性不強，亟需制定相關配套的司法解釋和實施細則，真正發揮好法律的作用，同時，還應加快出臺網絡身份管理和個人信息保護相關的法律法規，并注重可操作性及與相關法律法規的銜接性和協調性。

（三）堅持技術研發和創新

美歐等西方國家網絡可信身份技術創新投入較大，國際社會應用技術層同也取得諸多成果。從國家層面看，以歐盟為例，不斷加大投入，在芯片卡、電子追蹤、加密算法、互操作性等方面取得了大量技術創新成果，保障了網絡身份管理的順利實施。從國際社會層面看，在信息技術企業的推動下，國際標準組織推出一系列網絡可信身份技術應用標準，如OAuth、OpenID、FIDO等，還有大量互聯網公司推出新的網絡身份認證技術，如基于網絡行為分析和基于區塊鏈的身份認證技術等。我國當前在網絡身份管理制度上比較嚴格，對于新技術、新應用反應較慢，缺乏自主創新的意識，政府部門應加大支持力度，充分發揮企業在技術研發上的優勢，大力開展關鍵技術和前沿技術的創新研究，積極面對新技術、新應用，推動電子認證技術和應用模式創新，如研究手機證書應用模式的安全性，探索非面對面形式的身份鑒別手段；研究生物特征、網絡行為分析、FIDO、區塊鏈等新興技術手段在電子認證服務中的應用前景，探索應用模式。

（四）高度重視標準化建設

美歐等西方國家在電子簽名和網絡身份管理相關標準都走在世界前列，也有效推動了其網絡可信身份體系的建設。以歐盟為例，其通過統一的、高質量的標準有效推動了歐盟范圍內電子簽名和eID的應用，并隨著技術和應用的發展不斷更新相關標準，以滿足市場需求。標準化工作由起初圍繞電子簽名技術和策略，向支持和應用電子簽名的可信應用服務、實現電子簽名互認的可信服務狀態列表、增強互操作性等方面轉變，這也是eID得以在歐盟各國范圍內廣泛使用的重要支撐。我國也應重視標準化工作，組建專門的網絡身份管理標準化工作組，研究提出網絡身份管理標準框架，逐步制定并完善相關標準，將技術標準、管理標準和應用標準并重發展。