一、网络可信身份概述

（一）基本概念

1、网络空间

网络空间（Cyberspace）拥有很多不同的定义，美国在其一系列网络空间战略文件中，将网络空间描述为“由信息技术基础设施构成的相互信赖的网络，包括互联网、电信网、计算机系统等以及信息与人交互的虚拟环境”；英国则定义为“由数字网络构成并用于储存、修改和传递信息的人机交互领域，包含互联网和其它用于支持商业、基础设施与服务的信息系统”；德国则明确“包括所有可以跨越领土边界通过互联网访问的信息基础设施”；一些学者则认为，网络空间是一个全球性的动态域，通过使用电子和电磁频谱来创建、存储、修改、交换、共享和提取、使用、消除信息和分散的物理资源 。综上，网络空间是指由信息基础设施、运行其上的网络环境、其中的网络数据和资产以及参与网络活动的主体等构成的虚拟生存空间。

2、网络空间治理

网络空间治理尚无各方认同的定义，2005年在联合国信息社会世界峰会（WSIS）上曾形成互联网治理的概念，互联网治理（Internet Governance）是指政府、私营部门和民间团体根据各自职能，制定并用来影响互联网发展和使用的共同原则、规范、条例、决策流程和纲领 。由于网络空间的概念比互联网更加宽泛，网络空间治理则比该概念含义更加广泛。

3、网络身份

网络身份是指可以在网络空间中识别参与网络活动各主体身份以标示网 络数据或资产权属的标识，主要用于实现网络空间中身份认证、授权管理和责任认定等活动。当前网络中身份标识各类很多，包括用户名和密码、IP地址等，由《中华人民共和国电子签名法》确认的具有法律效力的手段是基于PKI技术体系的数字证书。本文中所称网络可信身份是指能够有效确认网络主体物理世界真实身份的网络身份形式。

（二）研究的背景及意义

1、信息化深入发展迫切需要网络可信身份体系

党的十九大报告提出要“推动新型工业化、信息化、城镇化、农业现代化同步发展”。我国当前已经进入网络时代，互联网普及率已超过50%，北京市更是高达76.5%，互联网的快速普及给人们的工作生活带来便利，但同时也带来了诸多网络安全问题，据统计，从2015年下半年到今年上半年的一年间，我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元给社会治理带来新挑战，各类新型网络犯罪、网络欺凌、网络版权等问题层出不穷。这些安全问题归根结底是由于网络主体真实身份缺失造成的，网络可信身份是各种网络应用健康发展的前提和基础，网络主体身份真实确保信息安全的必要手段，信息化的深入发展及两化深度融合迫切需要网络可信身份体系。

2、网络可信身份体系是构建网络治理体系的基础

十九大报告中明确提出“加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间”，而网络可信身份体系则是建立网络综合治理体系的基础。一方面网络治理体系建设势在必行，正如十九大报告中所说，“意识形态领域斗争依然复杂”，互联网已然成为各类社会矛盾的集中出口，也成为西方国家发动意识形态攻势的新目标，必须建设更具效率、更为民众所接受的网络治理体系。另一方面，网络可信身份体系可以有效改善网络治理体系现状，通过网络可信身份休条可实现基于网络行为追溯和取证的隐性治理模式，进而逐步弱化以“封堵”为主的网络内容管理方法，有效解决网络空间治理问题。

3、我国已经具备了构建网络可信身份体系的基础

长期以来，我国大力推进网络信任体系建设，网络可信身份资源丰富，已具备构建网络可信身份体系的基础。一是网络可信身份顶层设计不断完善，中央网信领导小组的成立，使得网络和信息安全工作有了统一的管理机构，中央网信办目前已依据《网络安全法》启动网络可信身份战略起草工作，将有力推动网络可信身份体系建设。二是网络可信身份资源丰富，如工业和信息化部作为互联网和电信主管部门，开展了网站实名制、域名备案管理、IP地址备案管理、手机实名制等工作，同时推动电子认证服务业的快速发展，现已拥有3亿张有效数字证书，公安部以公民身份证和人口数据库作为基础，开展了基于身份证的网上认证和网络身份证（eID）的相关工作，银行、工商、税务、教育等领域也积累了大量网络可信身份资源，特别是支付宝、微信支付等网络可信身份应用模式不断完善，为网络可信身份体系的建设提供了支撑。

二、国外网络可信身份发展现状

（一）网络可信身份管理现状

1、美国

美国在电子签名政策法规建设方面起步较早，建立了一系列政策法规和标准体系，并发布《网络空间可信身份战略》，推动建设网络可信生态体系，取得了较大成绩。

美国犹他州1995年颁布的《犹他州电子交易法》是世界上第一部电子签名法，并被奉为二十多个州的示范法。该法案规定：1）电子签名符合手写签名的各个要求，并且可在法院诉讼中接纳为证据；2）电子合同得以强制执行；3）不存在对特定技术的特别待遇，但法院可以将不同技术纳入考虑范围。

2000年，时任美国总统克林顿正式签署《全球和国内商业法中的电子签名法案》（以下简称《法案》），其突出特点是，采纳了“最低限度”模式来推动电子签名的使用，不规定使用某一特定技术。该《法案》允许消费者和企业使用电子签名开支票、贷款、签订商业合同等，几乎涵盖所有传统签名应用的范围。对于电子签名的效力，《法案》将重点放在查证签名人的意图上，而不是签名的形式和规则。《法案》赋予电子签名、电子合同和电子记录与传统形式和手写签名相同的法律效力和可执行力。

2004年8月，时任美国总统小布什签署了国土安全第 12 号总统令（HSPD-12），为政府部门管理联邦雇员提供了一套新的身份管理标准策略，有79个政府部门参与执行，提高了政府部门管理的安全性，降低了身份被仿冒、盗用的风险，大大提升了个人隐私保护能力。为配合该法令的实施，美国国家标准学会（ANSI）成立了防止身份盗窃与身份治理标准组，美国国家标准与技术研究院（NIST）同时发布了《联邦个人识别认证系统的最小化要求描述》。

2009年1月21日，美国白宫发布《透明与开发政府备忘录》，宣布在政府网站提供更多的互动式资源，吸引用户积极参与政府决策过程的直接互动，以便增强政府网站和用户间的互动性。截至9月9日，十多家高新科技企业宣布支持奥巴马政府的初步试验计划，承担基于OpenID、Information Card等数字身份技术的数字身份识别服务，简化用户使用政府网站的注册过程。

2011 年4 月，美国白宫在其网站上发布了《国家网络空间可信身份战略》（NSTIC），计划用10 年时间，构建一个网络身份生态体系，推动个人和组织在网络上使用安全、高效、易用的身份验证解决方案。在商务部内部成立一个跨部门的“国家计划办公室”，根据法定授权，推动战略实施。美国国家标准与技术研究院（NIST）负责依据NSTIC，制定关键领域的数字身份与在线交互的美国国家标准。产业相关参与者共同建立了身份生态执行组（IDESG），目标是围绕NSTIC制定各个领域的实施计划。

2、欧盟

欧盟委员会于1997年4月提出著名的《欧洲电子商务行动方案》，从宏观的角度规定了信息基础设施、管理框架和电子商务等方面的行动原则。同年7月欧盟各国在波恩召开了有关全球信息网络的部长级会议，并通过了支持电子商务发展的部长宣言，宣言主张政府在电子商务立法中应减少不必要的限制，帮助民间企业自主发展，促进网络商业竞争。

随着电子商务的发展，为了在欧洲的层面上制定一个统一的电子签名法律框架，克服各国对互联网市场规制上出现的互不协调局面，欧盟委员会于1999年12月13日制定了《关于建立电子签名共同法律框架的指令》(以下简称《指令》)，提出一个涉及电子签名和”认证服务商”（CSPs）的法律框架。它依据交易的敏感度的不同，将电子签名依其安全水平的高低分为“基本电子签名”和“高级电子签名”，前者适用于低水平交易，后者用于需要较高安全水平的交易。《指令》没有提出具体的技术导向，但偏向于采用数字签名。

2000年起，意大利、比利时、奥地利、德国等欧盟成员国开始推动网络电子身份标识计划，在其电子身份证中引入网络认证功能，并通过制定或完善网络身份管理的法律制度、管理机制以及国家战略，抢过身份认证的顶层管理机制。

2008年起，欧盟19个成员国共同参与实施了“STORK”项目，其目标是发展欧洲eID通用平台，提升欧盟成员国电子公共服务水平，实现跨境居民身份管理体系。同年，泛欧洲公共在线采购项目（PEPPOL）启动，旨在实现欧盟跨境电子政府采购，有效降低了交易成本，使公共采购更透明、更有竞争力。

欧盟在2014年发布的No910/2014条例（欧盟eIDAS条例），主要包括两个部分：电子身份和信任服务，eIDAS本身代表着“电子身份认证与签名”。该条例不仅仅规定了电子身份和签名，还规定了除签名外的其他信任服务。值得注意的是，欧盟eIDAS条例废除了欧盟《电子签名法指令》（1999/93/EC号），电子签名作为信任服务的组成部分规定到了该条例中。

（二）网络可信身份应用现状

1、美国网络可信身份生态体系

美国为攻克网络身份生态体系难题，于2012年公布了5个试点项目工作，项目涉及医疗卫生、网络媒体、网上购物、银行、高等教育等领域，重点关注NSTIC中描述的在线身份认证解决方案。

2011年以来，美国政府部分在采用NSTIC解决方案，增强网络安全与隐私方面取得很大进步，如在增强身份认证方面，2013财年美国商务部从30%增长到88%，2014财年，美国环保署从0%增长到69%。在商业组织方面，谷歌、脸谱、苹果、推特、LINKIN、亚马逊等启用了NSTIC解决方案。在个人应用方面，方案采用率从2013年的25%上升到2015年的39%。

2、欧盟电子身份证

2006年，欧盟正式推出《2010泛欧洲eID管理框架路线图》，该研究项目的主要内容是推动整个欧盟范围内电子标识（eID）应用，目标是使得欧盟成员国公民持有电子标识在欧盟内的任一国家享受求职、医疗、保险等一系列社会服务。为此，欧盟已经制定了一系列法律法规，并通过统一的、高质量的、不断更新的相关标准，旨在建立一个欧盟范围内通用的、跨域的电子标识方案，推动欧盟范围内电子签名和eID的应用，以满足市场需求eID管理框架的目标是各欧盟成员国达成协议，使用通用的、欧洲层面的身份标识，解决当前欧洲电子身份标识的不通用现象，欧盟各成员国政府投入资金开展eID管理框架相关项目。

在成员国层面，2010年德国出台了《电子身份证条例》，明确了eID卡基础设施的安全和数据保护要求，类似的还有奥地利的《电子政务法案》，英国的《身份证法案》等。在各成员国的支持和推动下欧盟eID应用取得了长足的进展。目前，多数欧盟成员国都颁布了eID发展规划，采用eID来解决网络应用中身份鉴别、认证、电子签名、数据保护等问题。据欧洲智能卡协会统计数据显示，截止到2013年底，欧盟国家累计发行的eID卡超过1.5亿张。其中，比利时、德国、意大利、西班牙等国家eID的普及率非常高，据统计，比利时1100万左右的人口中，eID的使用人数超过900万。eID广泛应用在电子政务、电子商务、金融支付等众多领域，并在一些电子政务公共服务中实现了eID的跨境互认，如可以作为欧洲旅行证件使用。

3、网络身份应用技术标准

在国际各大信息技术企业的推动下，国际标准组织也分别制定了SAML，OAuth，OpenID，FIDO等不同的身份鉴别与授权相关规范和标准，也成为网络可信身份在互联网领域应用的技术方案。

（1）SAML(security assertion markup language) 标准OASIS 提出的SAML规范致力于实现联合身份鉴别和授权信息交换的标准化。SAML主要应用于统一身份鉴别与授权。SAML规范已经成为国际广泛认可的单点登录和身份鉴别规范。该标准没有对用户验证方式作出规范，一般使用的是用户名/口令方式。

（2）OAuth标准（即开放的第三方资源授权协议框架）OAuth使第三方应用程序在不需要资源拥有者身份凭据的情况下，获得对某个HTTP服务的受限访问。OAuth标准也广泛应用于云服务资源的访问授权场景中。该标准并不支持我国国产密码算法。

（3）OpenID（开放身份标识鉴别）系列标准OpenID是以用户为中心的身份鉴别框架，能够有效降低用户负担和依赖方的身份管理成本，由可信身份信息提供方提供身份鉴别服务。该标准对用户验证方式没有具体的规范，目前大部分使用的是用户名/口令方式。

（4）FIDO（在线快速身份鉴别）系列规范FIDO系列规范使用生物识别鉴别技术取代用户名/口令鉴别的传统方式，解决当前网络环境下认证设备之间缺乏互操作性，以及用户需要创建并记住多套用户名/口令的问题。

四、对我国的启示

（一）注重网络可信身份的顶层设计

美国、英国等世界主要发达国家都制定了网络可信身份战略，并在其指导下开展网络可信身份体系相关工作。如美国发布了《国家网络空间可信身份战略》，并在其基础上构建网络可信身份生态系统，欧盟发布了《2010泛欧洲eID管理框架路线图》，在eID方面给出了明确且极具操作性的阶段发展计划，对各成员国应用推广eID以及欧盟统一管理eID都具有重要的指导意义。我国作为网络大国，却面临着网络身份体系不统一，网络身份管理混乱的局面，应加强对网络身份体系建设的重视程度，将网络身份管理纳入政府工作日程，协调相关部门，推动《网络可信身份战略》等相关政策法规的制定和发布，尽快做好网络身份管理的顶层设计，以PKI技术体系为基础，构建统一的网络可信身份管理体制机制，加强法律法规和标准规范建设，大力推动网络身份管理工作，有效解决网络空间治理问题。

（二）强化法律法规的可操作性

美国、欧盟制定法律法规时更注重可操作性。以欧盟eIDAS条例为例，通过“参引性行规范”结构对数据处理与保护进行了规定，强化了对用户数据的保护，根据身份保证水平规定了低中高三个等级，能够适用不同级别的要求，在法律中明确规定了互认要求，为网络身份应用提供了便利条件，同时在法律中明确了身份提供方的责任，让其在趋利避害中主动承担起相应义务。我国目前在电子签名领域仅有一部电子签名法，在电子签名法律效力的认定等方面的条文还不够细化，操作性不强，亟需制定相关配套的司法解释和实施细则，真正发挥好法律的作用，同时，还应加快出台网络身份管理和个人信息保护相关的法律法规，并注重可操作性及与相关法律法规的衔接性和协调性。

（三）坚持技术研发和创新

美欧等西方国家网络可信身份技术创新投入较大，国际社会应用技术层同也取得诸多成果。从国家层面看，以欧盟为例，不断加大投入，在芯片卡、电子追踪、加密算法、互操作性等方面取得了大量技术创新成果，保障了网络身份管理的顺利实施。从国际社会层面看，在信息技术企业的推动下，国际标准组织推出一系列网络可信身份技术应用标准，如OAuth、OpenID、FIDO等，还有大量互联网公司推出新的网络身份认证技术，如基于网络行为分析和基于区块链的身份认证技术等。我国当前在网络身份管理制度上比较严格，对于新技术、新应用反应较慢，缺乏自主创新的意识，政府部门应加大支持力度，充分发挥企业在技术研发上的优势，大力开展关键技术和前沿技术的创新研究，积极面对新技术、新应用，推动电子认证技术和应用模式创新，如研究手机证书应用模式的安全性，探索非面对面形式的身份鉴别手段；研究生物特征、网络行为分析、FIDO、区块链等新兴技术手段在电子认证服务中的应用前景，探索应用模式。

（四）高度重视标准化建设

美欧等西方国家在电子签名和网络身份管理相关标准都走在世界前列，也有效推动了其网络可信身份体系的建设。以欧盟为例，其通过统一的、高质量的标准有效推动了欧盟范围内电子签名和eID的应用，并随着技术和应用的发展不断更新相关标准，以满足市场需求。标准化工作由起初围绕电子签名技术和策略，向支持和应用电子签名的可信应用服务、实现电子签名互认的可信服务状态列表、增强互操作性等方面转变，这也是eID得以在欧盟各国范围内广泛使用的重要支撑。我国也应重视标准化工作，组建专门的网络身份管理标准化工作组，研究提出网络身份管理标准框架，逐步制定并完善相关标准，将技术标准、管理标准和应用标准并重发展。