我国网络可信身份应用现状及特点研究
2018-03-01高凯烨
高凯烨
摘 要:目前,我国网络可信身份应用已在金融、物流、能源、农业和食品安全等领域蓬勃发展。论文分析电子政务、电子商务和公共服务三个领域网络可信身份应用的基本情况,并据此总结出网络可信身份应用的三个特点,分别是在线身份管理服务共用共享实现爆发式增长、多模式多安全等级电子认证成为最佳选择和基于大数据的行为追溯强化了网络可信身份管理。
关键词:网络可信身份应用;身份认证方式
中图分类号:TP393 文献标识码:A
1 引言
网络身份已经成为互联网的重要战略资源,其认证服务模式和认证方式的应用也在发生巨大变化。生物特征识别、云计算、大数据等技术的融合发展,极大地促进了网络可信身份在金融、政务、医疗等各大领域的应用。本文分析了电子政务、电子商务和公共服务领域的主流网络可信身份认证方式和技术,并据此总结网络可信身份应用的发展特点。
2 应用基本情况
2.1 电子政务领域——以数字证书为主的身份认证方式
电子政务应用不但对系统安全性和稳定性要求极高,在税务(网上报税)、海关(报关单网上申报)、工商(电子营业执照)等领域还要求对申报人的申报行为进行抗抵赖。基于PKI技术的数字证书认证方式凭借其高安全性、可靠性和抗抵赖性特别适合电子政务身份认证应用,近年来其已经逐渐占据主流地位。据赛迪智库统计,2017年,应用在电子政务领域的有效数字证书约1200万张,分布非常广泛,包括税务、工商、质监、组织机构代码、社保、公积金、政务内网、采购招投标、行政审批、海关、房地产、民政、财政、计生系统、公安、工程建设、药品监管等,其中税务中应用的数字证书最多,超过了500万张。
2.2 电子商务领域——多维度融合身份认证方式
在电子商务领域中,身份认证技术的应用受业务场景、用户习惯和安全性共同影响决定,与电子政务领域相比,身份认证技术选择种类更多,用户实际使用中往往同时使用两种以上的认证技术。
以支付宝为例,支付宝目前提供“账号+口令”“口令+手机验证码”“文件证书”“支付盾”“指纹识别”“面部识别”“声纹识别”“扫码授权”等多种不同的用户身份认证方式,用户不同场景自主选择相应身份认证方式组合。例如,在PC端对账户进行小额转账(如50元以下)支付交易时,多采用“账号+口令”“口令+手机验证码”和手机“扫码授权”等方式。
在PC端进行大额转账、支付交易等业务时,则主要使用“账号+口令+数字证书”(文件证书或“支付盾”)认证方式。在手机端进行小额转账(如50元以下)、支付交易时,一般采用“账号+口令”“口令+动态验证码”认证方式。
在手机端进行大额支付时,目前主要采用“生物识别”(TouchID指纹、FaceID面部或者声纹识别)+“移动数字证书”/口令/手机验证码进行多重认证的方式。
除此之外,支付宝还通过对用户历史登录和支付行为进行大数据分析、建模,对可疑登录和支付操作进行自动质疑、阻止和通知,误识率低于1%。据赛迪智库统计,截至2017年底,超过80%的网购用户在进行网络支付中使用两种以上身份认证方式,其中又有80%以上的用户经常使用指纹识别+手机验证码的组合认证方式。
2.3 公共服务领域——以第三方账号授权登录为主的身份认证方式
当前,越来越多的社交应用选择加入了一个或多个由大型互联网厂商提供的身份认证平台,接受由认证平台提供的外部身份服务。对应用开发商来讲,此举降低了用户注册、登录时间成本,间接扩大了应用的用户群;对平台提供商来讲,多元化的第三方应用的加入也更好地满足了平台用户需求。
目前,主流的第三方授权登录服务平台有腾讯的QQ互联、新浪微博的微连接、淘宝/支付宝账号登录和人人账号登录等,普遍使用OAuth和OpenID技术。据赛迪智库统计,截至2017年12月,超过10万个第三方应用已经接入或已提交接入腾讯开放平台的申请,有3万家网站已经使用了QQ互联的登录系统;接入新浪微博开放平台的连接网站已经超过18万家;接入支付宝和淘宝开放平台的第三方应用已经超过20万个,网站超过5万个。据公开资料显示,截至2017年底,85%以上的网民使用过第三方授权登录服务,50%的网民经常使用该服务。
3 应用发展特点
3.1 在线身份管理服务共用共享实现爆发式增长
当一个用户使用多个机构的服务时,仍旧需要使用多套账户,机构与机构之间的跨机构访问,以机构为中心的身份管理也难以应对。目前,身份管理已经打破应用或者机构边界,逐步形成以用户为中心的身份管理。以用户为中心的身份管理能够确保用户用少量的身份,使用跨机构、跨地域、甚至跨国界的服务。业界已涌现出一系列标准,用于不同的网络身份认证系统之间的互联互通,以及跨域进行访问授权。例如,OpenID、SAML、OAuth、FIDO等国际标准已得到广泛应用,被大量国内外主流的互联网企业所采用。
在网络应用和身份大规模增长的现状下,身份管理系统共享共用在为个体提供选择和便利、为应用节省成本的同时,也能更好地保护用户的个人信息。在共享共用的身份管理系統里,作为身份管理服务企业,通过身份入口掌握用户信息,同时通过提供身份服务获取商业利益。作为应用提供商,可选择不同的身份管理系统,自己不需要管理用户。作为个人,可自由选择身份管理系统,其个人信息放在较安全的身份管理系统,有利于身份信息的管理和隐私保护。
3.2 多模式多安全等级身份认证成为最佳选择
互联网应用和服务层出不穷、形式多样、更新频繁,不同网络应用或服务对用户的可信安全需求也各不相同。即使相同的应用,在不同的环境和场景下对用户的鉴别也有不同的安全要求。支持多等级的安全身份鉴别,以满足不同类型、不同规模的应用在安全性、隐私保护能力、赔付能力等方面的差异化需求是现代身份鉴别的重要内容。应用或服务可能需要针对不同的用户和应用场景,配置不同的安全策略。举例来说,对于需要处理不太敏感信息的应用,仅通过一般鉴别强度的用户实体就可使用;对于安全风险较大的环境,需要使用更强鉴别功能的令牌。
针对不同的应用/机构/软件/服务,根据相应的安全需求,制定多安全等级的认证策略,采用不同安全要求的身份鉴别技术,以达到更好的安全性和易用性的平衡。
3.3 基于大数据的行为追溯强化了网络可信身份管理
在目前的网络可信身份管理技术发展趋势下,个体的身份、行为信息存储在身份管理机构,随着大数据在各行各业的应用和发展,可通过构建网络身份与行为数据中心,实现对用户在不同身份管理机构的身份关联,从而完成用户行为预测和网络可信感知。
通过与身份管理机构进行用户身份与行为数据的交换,利用不断积累起来的历史元数据,可以获得用户身份关联、行为预测、网络可信感知等能力,建立用户网络活动信用档案,提高追溯能力。通过对用户行为大数据的监控与预测,可以发现异常行为提前预警,实现快速追踪;还可实现网络可信感知和网络宏观状态发现,包括上网流量分析、网络关注度分析、异常分析和报警等。
4 结束语
通过对不同领域网络可信应用的研究,发现在电子政务领域,身份认证应用对于系统安全性、稳定性和行为的可追溯、可审计性要求最高,因而采用多采用基于数字证书的身份认证方式;在电子商务领域,由于用户的习惯和身份认证场景多样,一般采用多种身份认证技术联合应用的方式;在公共服务领域,多采用第三方账号授权的身份认证方式,其优点在于能够降低了用户注册、登录时间成本,扩大应用的用户群。未来,网络可信身份认证应用将向在线身份管理服务共用共享、多模式多安全等级身份认证和基于大数据的行为追溯等方向发展。
参考文献
[1] 陈左宁.网络空间可信战略问题的思考[J].网络空间安全, 2018(1).
[2] 石玲玲,周阳,吕博.面向空间信息系统的可信认证机制研究[J].网络空间安全, 2017, 8(10):15-20.
[3] 顾青,谢超,冯四风.网络可信身份管理体系研究[J].网络空间安全, 2016, 2(10):931-935.