網絡空間信任與身份管理

 

胡傳平 公安部第三研究所 所長

簡介：eID是加強網絡社會治理，實現網絡空間中政府公共服務、民生事務服務、商業電子服務的重要基礎。

當前網絡空間與現實社會呈現出加速融合的趨勢，雲計算、移動互聯網、物聯網的日漸成熟與廣泛應用，泛在互聯網環境正在逐步形成，將成為我們社會生活的主要載體，雲計算使網絡資源進一步的集中，從而建立起日益強大的計算能力，移動互聯網使人們通過移動設備，可以隨時隨地的接入網絡空間，物聯網使虛擬世界與物理世界逐漸融為一體，通過人與人，物與物，以及物與人之間相互聯繫，形成虛擬社會和現實社會在網絡空間交匯融合。

網絡空間發展給我們帶來方便快捷的同時，也為國家安全和社會穩定帶來新挑戰。除了國與國之間在網絡空間鬥爭以外，網絡謠言，網絡欺詐，網絡恐怖主義的問題日趨嚴峻，導致這些問題的主要原因是缺乏網絡信任與身份的管理。例如，2011年7月，韓國最大的門戶網站之一Nate和著名社交網站CyberWorld遭到駭客攻擊，導致3500萬名（相當于韓國總人口的70%以上）用戶的姓名、居民身份證號碼、電話號碼、電子郵箱以及密碼等個人資訊泄漏，嚴重危害到公民個人和社會公共安全。2012年央視315晚會曝光羅維鄧白氏公司通過各種渠道搜集掌握了超過2億公民的身份、交易活動地域、時間、資産情況等個人隱私資訊。並且，網絡匿名性使得網絡誠信體係難以建立，網民行為缺乏責任意識，進一步加劇了網絡虛擬社會的無序狀態。此外，網絡身份難以確認導致面向個人、機構的眾多民生服務業務無法開展，大規模政務信息化建設難以發揮便民利民的應有作用。總之，由于網絡空間中身份的虛擬性和不確定性，使得網絡空間中的各類虛擬實體和角色（個人、組織、硬體、網絡、軟件和服務等）缺乏有效的管理，因此也難以對其行為進行監督和規范。因此網絡信任與身份管理體系，是網絡空間安全的基石，在各種實體間建立信任關係，實行統一的身份管理，是電子商務、電子政務、資訊共用等各類網絡業務的前提，是改善網絡社會治理環境、促進網絡誠信的緊迫需求。

2011年4月美國發布網絡空間可信身份管理戰略，要建立覆蓋全國范圍的網絡身份生態係統，使個人、組織等各類實體和角色，遵循統一的標準和流程，來相互鑒別和認證，實現相互信任。2014年開始，美國已經在賓夕法尼亞州和密西根州線上測試，美國此舉旨在推進對個人、組織以及相關基礎設施的識別能力，建立網絡空間的信任體係，從而加強網絡防禦並建立網絡威懾，謀求對網絡空間的主導權和控制權。

歐盟在其2020年歐盟戰略旗艦計劃中提出要建立一個覆蓋整個歐盟的身份管理體系，通過該體係的建設，來加強個人、組織以及各個實體之間的相互信任。通過設立在歐洲的基礎設施，將使成員國之間的互操作性為所有公共和私人服務提供者接受，建立強大的身份驗證、數據保護和隱私保護能力。歐盟27個成員國中，有18個已經發行了網絡電子身份（eID）。其中比較典型的有比利時、德國、奧地利等。比利時于2003年開始發行新式身份證，其中除了傳統的姓名、住址、照片等身份資訊外，也承載了eID，可用于網絡身份認證和電子簽名應用。至2011年12月，比利時eID的使用人數已超過900萬，覆蓋了全國80%以上的人口。德國于2010年11月開始發行新式身份證，相比比利時，其一是身份證採用了射頻晶片，支援非接觸式操作；二是其所承載的eID考慮了公民隱私保護，個人在使用eID進行電子政務、電子商務等活動中，不會將非必要的身份或屬性資訊暴露給服務提供方。奧地利由于已經發行的身份證中沒有載入eID，換發成本太高，採用了創新的技術路線。奧地利設置了一個經公共簽發機關批準的身份管理係統並制定了一係列eID卡技術標準，使得eID可以載入在符合eID卡標準的任何智能卡上，如自動提款卡、社會安全卡、學生身份證、工作證等，代表了未來歐盟eID卡的發展趨勢。

2012年年底全國人大審議通過的《關于加強網絡資訊保護的決定》和正在修訂的國務院《互聯網資訊服務管理辦法》，為採用安全有效的技術措施識別和驗證互聯網上公民真實身份提供了基本法律依據。此外，2004年國家出臺了《電子簽名法》，為數字證書的認證與效力提供了法律保障。目前已授予資質為公眾服務的地區性、行業性CA共30余家，但其主要集中在企業領域發行數字證書，面向個人的數字證書由于身份確認困難及典型應用不足而推進緩慢。2012年全國人大通過《關于加強網絡資訊保護規定》，對加強網絡資訊保護，推行網絡身份管理做了具體規定。這個上位法的出臺，對于下一步我們整個網絡信任體係建設，將起到一個極大的推動作用。

“十二五”期間網絡空間的身份管理，也就是eID這項工作得到科技部、國家發改委等有關部委的大力支援，參與這項研究的有全國20多個單位，設立了多個國家級信息安全專項，開展了一係列基于eID的虛擬身份管理前期準備工作，突破了面向全國億級用戶eID管理、認證服務、隱私保護等方面的一係列關鍵技術，在係統平臺建設、標準規范制定、應用示范和推廣等方面取得重要進展，為我國全面開展網絡空間虛擬身份管理工作奠定了堅實基礎。

公安部第三研究所投入建設的eID係統通過了國家密碼管理局的係統安全性審查及權威技術鑒定，並被公安部和國家密碼管理局正式命名為“公安部公民網絡身份識別係統”。所有eID的簽發均由該係統提交全國人口庫進行嚴格的身份審核，確保eID的真實性、有效性，並且每個公民只能有1個與其真實身份唯一對應的eID。

在標準工作方面，中國通信標準化協會網絡與信息安全工作委員會（TC8）成立了“網域空間身份管理子組”，專門進行eID相關標準的立項編制工作。截止2014年6月，已經組織了30余項eID國家標準、通信行業標準以及公安行業標準申報立項以及徵求意見稿編制工作，包括基礎標準、管理標準、服務標準、應用標準四個層次的eID標準體係已初步形成。其中基礎標準規范了eID的體係架構及編碼格式等方面技術要求；管理標準規范了eID的全生命周期管理、載體及讀寫設備等方面技術要求，使得可以載入于符合標準安全機制要求的各類智能卡或智能密碼鑰匙晶片中，例如：社保卡、市民卡、銀行卡、居住證、SIM卡或SE安全模組等；服務標準規范了eID的認證服務、桌面應用、移動應用介面及審計等方面技術要求；應用標準規范了電子政務、金融、下一代互聯網等應用環境中使用eID的技術要求。

在示范應用方面，已通過中國工商銀行面向全國制作和發行了超過800萬張載入eID的銀行卡（金融IC卡）。通過銀行櫃面現場審核個人身份，經公安人口庫比對完成後臺審核，將eID寫入的銀行卡晶片中。並且，在校園應用（北郵校園）、社交網絡（新浪微博）、電子政務（河南公安互聯網便民服務平臺）、電子商務（阿裏雲）、移動互聯網（航旅縱橫）等領域進行了實名認證服務、帳號保護服務、統一身份驗證服務、安全登錄服務等實際上線應用並取得了良好的應用效果。

eID是加強網絡社會治理，實現網絡空間中政府公共服務、民生事務服務、商業電子服務的重要基礎。一是為政府公共服務方式的重大突破鋪墊基礎，提高公共服務能力和居民生活品質，使居民在家中或辦公地點通過網絡方便的享受政府各類公共服務，並將催生諸多創新應用，從而有力推動的應用深化及資訊産業發展。二是為民生事務服務提供安全保障，可以通過網絡方便的實現醫療、教育、社保等方面的民生服務。三是完善網絡誠信體係，滿足居民對于網上交易、虛擬財産安全及個人隱私保護的迫切需求，推進電子商務的全面發展。四是建立起網絡治理的長效機制和重要陣地，為全國人大“加強網絡資訊保護的決定”等法規的落實提供支撐手段。通過eID建立融合網絡空間中各類虛擬實體和角色（個人、組織、硬體、網絡、軟件和服務等）的網絡身份管理基礎架構、方法、技術、標準、法規體係框架，將是形成我國網絡信任與身份管理體系的關鍵。