我國網絡可信身份的互通互認研究

王琎

摘 要：網絡身份是在網絡空間中識別特定主體的數字化表述。在網絡治理中，可信網絡身份是其良好實施的基礎和保證。論文分析了目前的主流網絡身份認證技術，針對網絡可信身份在互通互認中目前存在的問題進行了梳理和探討，最后提出了可信網絡身份互通互認的四點建議。

關鍵詞：網絡身份；可信身份管理；網絡安全

中圖分類號：TP393 文獻標識碼：A

1 引言

隨著人類活動越來越多的依賴網絡空間，網絡空間名副其實的成為了繼陸、海、空、天之后的“第五空間”。《網絡安全法》正式實施至今已一年多，作為我國網絡空間安全管理的基本法，它框架性地構建了多項法律制度和要求。隨后，國家相關部門制定了多項配套規范，包括由中央網信辦和公安部雙牽頭制定的《關鍵信息基礎設施保護條例》起草工作已經完成，正在走司法程序。2018年6月，公安部發布了《網絡安全等級保護條例（征求意見稿）》（以下簡稱《等保條例》）。《等保條例》中明確了國家網絡安全工作的職責分工，同時將網絡分為五個安全保護等級，并對相應等級的網絡提出了相應管理措施。伴隨《等保條例》的逐步完善和后繼的實施落地，各種不同級別的網絡實體將會更加規范可控。伴隨著良好的網絡實體安全環境作為基礎，會使我國網絡可信身份認證互通互認進一步加速推進。

2 網絡身份主體及可信身份標識概念

2.1 網絡身份主體

網絡身份指的是在網絡空間中識別特定主體的數字化表述。網絡身份具有“身份驗證”“代表身份”“通訊”“個性特點”和“聲望”五大要素。作為網絡使用者的人，是網絡身份的主要主體。美國國家標準與技術研究院（NIST）、英國政府、歐盟（STORK）一致將“人”作為網絡身份的主體。

2.2 網絡可信身份標識

可信標識是根據一定技術規范產生具有唯一性、不可仿冒性以及可鑒別性的數據對象。網絡身份的可信標識是基于網絡主體身份的屬性衍生出的電子身份憑證，被稱為網絡可信身份標識，用于網絡身份的管理和控制。

3 目前主流網絡身份認證技術

3.1 基于口令的身份認證技術

基于口令的身份認證技術主要有兩種：本地口令技術和一次性口令技術。

3.1.1 本地口令技術

口令是相互約定的代碼，可由用戶選擇或系統分配，且假設只有用戶和系統知道。用戶輸入賬號和口令后，服務器查詢口令數據庫進行匹配，匹配通過即完整核驗。該技術歷史非常悠久、使用簡單、應用廣泛。隨著計算機運算能力的不斷增強，靜態密碼抗暴力攻擊的能力越來越差。為應對這一現象，密碼位數不斷提升，復雜度由簡單數字組合逐漸升級為數字、大小寫字母和特殊字符組合；在服務器的存儲也經歷了從明文存儲、可逆加密存儲、簡單散列存儲到加鹽散列存儲的過度。雖然密碼長度和強度不斷升級，存儲方式也越來越安全，但是本地口令在現代化的技術影響下，非常容易被監聽偷錄。目前，在低安全等級應用中本地口令技術可作為一種主要身份認證技術，在高安全等級應用中只能作為一種輔助手段。

3.1.2 一次性口令技術

它是針對本地口令技術的弱點，在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性。一次性口令技術可以從多種角度進行認證，例如基于時間的OTP電子令牌，每隔30秒變更一次口令；基于挑戰應答的電子密鑰，服務器發出挑戰，用戶在電子密鑰上輸入挑戰碼并將應答作為一次性口令輸入等。目前，隨著移動互聯網時代的到來，硬件動態口令牌、挑戰應答電子密鑰設備由于攜帶不便，已經逐漸被手機動態驗證碼這種新型一次性口令技術所取代。

3.2 基于PKI體系的身份認證技術

PKI體系是基于非對稱密碼工具及網絡信任傳遞逐漸發展出來的身份認證體系。近幾年來，我國投入大量精力進行PKI體系的建設和研究，PKI的應用上取得了豐富的成果。在非對稱密鑰算法上，我國自主研究的SM2加密算法，具有較高的安全強度，目前已經逐漸在國密USB Key，國產金融芯片中得到推廣和使用。在密碼雜湊算法上，我國自主研究了SM3雜湊算法，SM3與SM2算法共同配合，可生成數字證書。目前，基于自主可控國密算法的數字證書技術應用已經逐漸成熟。由于非對稱密鑰、雜湊算法及數字證書有著可靠的密碼學理論支撐，使PKI體系成為了目前最主要的網絡身份認證方式。在日常生活中，電子證書、USB Key、eID、芯片銀行卡以及交通部脫機二維碼等應用都是基于PKI技術發展而來。

3.3 基于生物特征的身份認證技術

每個個體都有唯一的可以測量或可自動識別和驗證的生理特性（如指紋、面像、虹膜、掌紋等）或行為方式（如步態、聲音、筆跡等），這些統稱為生物特征。生物識別就是依據每個個體之間獨一無二的生物特征對其進行識別與身份的認證。隨著智能手機和傳感器在最近幾年的高速發展，集成于智能手機的生物特征身份認證技術廣泛落地。其中，以指紋識別，面部識別為代表的生物特征識別技術由于其普遍性、便捷性、難復制等特點被廣泛應用于智能手機中。

4 可信身份認證互通互認中存在的問題

4.1 缺乏戰略指導及標準規范體系

首先，《網絡安全法》作為我國網絡空間安全管理的基本法，僅框架性的提出了我國的網絡可信身份戰略。具體的國家網絡可信身份戰略尚未出臺，網絡可信身份建設的整體框架、主要任務、路線圖尚不明確、不清晰，故導致可信身份互通互認缺乏戰略指導。

其次，伴隨移動互聯網近年來的迅猛發展，我國移動互聯網新模式、新業務層出不窮，這些海量的業務需求對應著多個層級的身份認證需求，但目前我國卻沒有明確的網絡身份分級標準進行區分，這直接導致了不同業務服務間網絡可信身份互通互認的困難。

4.2 各傳統行業的身份認證協議及通道不統一

以電信業、銀行業為代表的傳統行業，由于自身業務的需要，建立了各不相同的身份認證協議。電信業伴隨著近30年的高速發展，已經形成了基于SIM/UICC的行業身份認證標準及規范，且相應配套軟、硬件已經大規模量產并進行商業部署，采用電信行業專有的雙向身份認證鑒權流程。金融行業伴隨著國際EMV組織基于安全方面的規劃，在實現EMV從磁條卡向芯片卡遷移的過程中，完善、部署了大量基于EMV標準的配套軟、硬件，實施了基于PKI體系的金融業身份認證協議。目前，中國的電信運營商及銀行卡組織均已基于對行業標準的兼容性，花費大量精力建設、實施了自己的企業標準。但各家企業標準在身份認證上各有特點，技術上也互不兼容。

從產業鏈上來看，智能卡商是安全產品基礎硬件提供商，電信業、銀行業則是安全產品的主要使用行業。近年來，由智能卡商衍生而來的新型安全硬件公司，生產的大多數產品延續使用了通信、銀行產品的嵌入式芯片。為了避開通信行業和金融行業的專利限制，新產品多采用了獨有的、互不兼容的企業標準進行安全軟、硬件研發。因此，各企業不同后臺服務器與安全硬件間的身份認證協議差別極大，且改造已經發放到用戶手中的安全硬件成本巨大，統一認證協議的可能性很小。

4.3 新型身份認證技術應用尚不成熟

近年來，以人臉識別為代表的新型身份認證技術掀起了新一輪熱潮。蘋果手機推出“Face ID”人臉識別功能，螞蟻金服、京東、蘇寧等互聯網企業推出刷臉支付功能，中國農業銀行啟用刷臉取款機。但是，目前人臉識別技術發展尚未成熟，在現實應用中仍存在較大誤判風險?；谀０迤ヅ洹缀翁卣?、代數特征、人工神經網絡等傳統算法的人臉識別技術，由于其特征提取方法由人工設計，導致其在應對處理復雜多變的表情、姿勢、分辨率和環境等非線性因子上存在缺陷。

此外，由于人臉屬于生物特征識別中的弱隱私，在公共場合容易被他人拍攝到高清二維照片甚至制作三維模型，從而攻擊者可以用此攻擊人臉識別設備。新型的身份認證技術固然方便了大眾，但是由于其應用尚不成熟，也對各身份服務提供商間的可信身份互通互認造成了一定困難。

5 推進實現可信網絡身份互通互認的建議

5.1 做好網絡可信身份體系的頂層設計

近年來，美國、歐盟等國先后提出根據安全風險及可信程度，將網絡身份劃分為3-4個可信等級。我國也應當根據我國國情，加快出臺《網絡安全法》中第二十四條提到的網絡可信身份戰略。這樣一方面可以明確我國網絡可信身份的戰略目標、基本思想和主要路線，另一方面可以規劃國家網絡可信身份體系框架，各參與方在其中的職責，從而建立實施機制，從組織保障、生態聯盟建設等方面推進可信網絡身份互通互認的實現。

5.2 加快可信網絡身份分級管理

目前，由于我國“互聯網+”模式的迅速推進，越來越多的企業通過互聯網滿足用戶的多方需求，讓用戶能夠更加便捷的使用相應產品。同時，這些海量的業務需求和應用場景對應著多個層級的身份認證需求，但目前卻沒有統一的標準進行區分。所以，只有建立國家統一的可信身份分級標準和規范，對可信網絡身份進行分級管理，才能夠推動同等級網絡身份的互認互通。

5.3 提升網絡身份服務提供商的信息安全保護水平

目前，各類身份識別信息是由各家企業根據需求以自己企業認為安全的方式進行存儲。在實現網絡可信身份互通互認的過程中，需要各家身份服務提供商嚴格按照標準及規范，共同樹立高安全等級，構建符合國家隱私策略的網絡身份管理系統。只有各家身份服務提供商在國家相關部門的監管下，努力提高自身的安全、隱私保護水平，對個人信息實施全生命周期的管理措施，這樣才能夠逐步推進、最終實現網絡可信身份的互認互通。

5.4 探索基于可信身份認證行為的大數據、區塊鏈風控技術

可以預測，伴隨著網絡可信身份的互通互認的逐步推進，我國的網絡空間會更加有序，而各身份服務提供商會逐漸積累海量的身份認證數據。利用這些數據，探索從認證行為上統一進行大數據風險控制，可以在注重我國公民個人隱私保護的前提下使網絡空間治理更加深入。同時，在監管下的多個網絡可信身份服務商，在可信身份互聯互認的基礎上，可以探索基于區塊鏈的去中心化賬本，共同記錄維護不同級別的認證風險，提高風險防控效率，使我國的網絡空間治理更加完善。

6 結束語

本文分析了目前的主流網絡身份認證技術，針對網絡可信身份在互通互認中目前存在的問題進行了梳理和探討。最后提出了可信網絡身份互通互認的建議，伴隨國內外環境的變化，我國網絡可信身份戰略必將加速推進，最終有效提升我國網絡空間治理總體水平。

參考文獻

[1] 宋憲榮，張猛.網絡可信身份認證技術問題研究[J].網絡空間安全，2018，2：6-11.

[2] 汪志鵬，楊明慧，呂良.基于eID的網絡可信身份體系建設研究[J].信息網絡安全，2015（09）：97-100.

[3] 顧青，謝超，馮四風.網絡可信身份管理體系研究[J].信息安全研究，2016，2（10）：931-935.

[4] 夏石瑩，譚敏生，汪琳霞.一種基于集成可信身份識別和訪問管理方法的安全可信網絡框架[J].網絡安全技術與應用，2011（12）：10-12+15.

[5] 荊繼武.網絡可信身份管理的現狀與趨勢[J].信息安全研究，2016，2（07）：666-668.