我国网络可信身份的互通互认研究
2018-03-01王琎
王琎
摘 要:网络身份是在网络空间中识别特定主体的数字化表述。在网络治理中,可信网络身份是其良好实施的基础和保证。论文分析了目前的主流网络身份认证技术,针对网络可信身份在互通互认中目前存在的问题进行了梳理和探讨,最后提出了可信网络身份互通互认的四点建议。
关键词:网络身份;可信身份管理;网络安全
中图分类号:TP393 文献标识码:A
1 引言
随着人类活动越来越多的依赖网络空间,网络空间名副其实的成为了继陆、海、空、天之后的“第五空间”。《网络安全法》正式实施至今已一年多,作为我国网络空间安全管理的基本法,它框架性地构建了多项法律制度和要求。随后,国家相关部门制定了多项配套规范,包括由中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作已经完成,正在走司法程序。2018年6月,公安部发布了《网络安全等级保护条例(征求意见稿)》(以下简称《等保条例》)。《等保条例》中明确了国家网络安全工作的职责分工,同时将网络分为五个安全保护等级,并对相应等级的网络提出了相应管理措施。伴随《等保条例》的逐步完善和后继的实施落地,各种不同级别的网络实体将会更加规范可控。伴随着良好的网络实体安全环境作为基础,会使我国网络可信身份认证互通互认进一步加速推进。
2 网络身份主体及可信身份标识概念
2.1 网络身份主体
网络身份指的是在网络空间中识别特定主体的数字化表述。网络身份具有“身份验证”“代表身份”“通讯”“个性特点”和“声望”五大要素。作为网络使用者的人,是网络身份的主要主体。美国国家标准与技术研究院(NIST)、英国政府、欧盟(STORK)一致将“人”作为网络身份的主体。
2.2 网络可信身份标识
可信标识是根据一定技术规范产生具有唯一性、不可仿冒性以及可鉴别性的数据对象。网络身份的可信标识是基于网络主体身份的属性衍生出的电子身份凭证,被称为网络可信身份标识,用于网络身份的管理和控制。
3 目前主流网络身份认证技术
3.1 基于口令的身份认证技术
基于口令的身份认证技术主要有两种:本地口令技术和一次性口令技术。
3.1.1 本地口令技术
口令是相互约定的代码,可由用户选择或系统分配,且假设只有用户和系统知道。用户输入账号和口令后,服务器查询口令数据库进行匹配,匹配通过即完整核验。该技术历史非常悠久、使用简单、应用广泛。随着计算机运算能力的不断增强,静态密码抗暴力攻击的能力越来越差。为应对这一现象,密码位数不断提升,复杂度由简单数字组合逐渐升级为数字、大小写字母和特殊字符组合;在服务器的存储也经历了从明文存储、可逆加密存储、简单散列存储到加盐散列存储的过度。虽然密码长度和强度不断升级,存储方式也越来越安全,但是本地口令在现代化的技术影响下,非常容易被监听偷录。目前,在低安全等级应用中本地口令技术可作为一种主要身份认证技术,在高安全等级应用中只能作为一种辅助手段。
3.1.2 一次性口令技术
它是针对本地口令技术的弱点,在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。一次性口令技术可以从多种角度进行认证,例如基于时间的OTP电子令牌,每隔30秒变更一次口令;基于挑战应答的电子密钥,服务器发出挑战,用户在电子密钥上输入挑战码并将应答作为一次性口令输入等。目前,随着移动互联网时代的到来,硬件动态口令牌、挑战应答电子密钥设备由于携带不便,已经逐渐被手机动态验证码这种新型一次性口令技术所取代。
3.2 基于PKI体系的身份认证技术
PKI体系是基于非对称密码工具及网络信任传递逐渐发展出来的身份认证体系。近几年来,我国投入大量精力进行PKI体系的建设和研究,PKI的应用上取得了丰富的成果。在非对称密钥算法上,我国自主研究的SM2加密算法,具有较高的安全强度,目前已经逐渐在国密USB Key,国产金融芯片中得到推广和使用。在密码杂凑算法上,我国自主研究了SM3杂凑算法,SM3与SM2算法共同配合,可生成数字证书。目前,基于自主可控国密算法的数字证书技术应用已经逐渐成熟。由于非对称密钥、杂凑算法及数字证书有着可靠的密码学理论支撑,使PKI体系成为了目前最主要的网络身份认证方式。在日常生活中,电子证书、USB Key、eID、芯片银行卡以及交通部脱机二维码等应用都是基于PKI技术发展而来。
3.3 基于生物特征的身份认证技术
每个个体都有唯一的可以测量或可自动识别和验证的生理特性(如指纹、面像、虹膜、掌纹等)或行为方式(如步态、声音、笔迹等),这些统称为生物特征。生物识别就是依据每个个体之间独一无二的生物特征对其进行识别与身份的认证。随着智能手机和传感器在最近几年的高速发展,集成于智能手机的生物特征身份认证技术广泛落地。其中,以指纹识别,面部识别为代表的生物特征识别技术由于其普遍性、便捷性、难复制等特点被广泛应用于智能手机中。
4 可信身份认证互通互认中存在的问题
4.1 缺乏战略指导及标准规范体系
首先,《网络安全法》作为我国网络空间安全管理的基本法,仅框架性的提出了我国的网络可信身份战略。具体的国家网络可信身份战略尚未出台,网络可信身份建设的整体框架、主要任务、路线图尚不明确、不清晰,故导致可信身份互通互认缺乏战略指导。
其次,伴随移动互联网近年来的迅猛发展,我国移动互联网新模式、新业务层出不穷,这些海量的业务需求对应着多个层级的身份认证需求,但目前我国却没有明确的网络身份分级标准进行区分,这直接导致了不同业务服务间网络可信身份互通互认的困难。
4.2 各傳统行业的身份认证协议及通道不统一
以电信业、银行业为代表的传统行业,由于自身业务的需要,建立了各不相同的身份认证协议。电信业伴随着近30年的高速发展,已经形成了基于SIM/UICC的行业身份认证标准及规范,且相应配套软、硬件已经大规模量产并进行商业部署,采用电信行业专有的双向身份认证鉴权流程。金融行业伴随着国际EMV组织基于安全方面的规划,在实现EMV从磁条卡向芯片卡迁移的过程中,完善、部署了大量基于EMV标准的配套软、硬件,实施了基于PKI体系的金融业身份认证协议。目前,中国的电信运营商及银行卡组织均已基于对行业标准的兼容性,花费大量精力建设、实施了自己的企业标准。但各家企业标准在身份认证上各有特点,技术上也互不兼容。
从产业链上来看,智能卡商是安全产品基础硬件提供商,电信业、银行业则是安全产品的主要使用行业。近年来,由智能卡商衍生而来的新型安全硬件公司,生产的大多数产品延续使用了通信、银行产品的嵌入式芯片。为了避开通信行业和金融行业的专利限制,新产品多采用了独有的、互不兼容的企业标准进行安全软、硬件研发。因此,各企业不同后台服务器与安全硬件间的身份认证协议差别极大,且改造已经发放到用户手中的安全硬件成本巨大,统一认证协议的可能性很小。
4.3 新型身份认证技术应用尚不成熟
近年来,以人脸识别为代表的新型身份认证技术掀起了新一轮热潮。苹果手机推出“Face ID”人脸识别功能,蚂蚁金服、京东、苏宁等互联网企业推出刷脸支付功能,中国农业银行启用刷脸取款机。但是,目前人脸识别技术发展尚未成熟,在现实应用中仍存在较大误判风险。基于模板匹配、几何特征、代数特征、人工神经网络等传统算法的人脸识别技术,由于其特征提取方法由人工设计,导致其在应对处理复杂多变的表情、姿势、分辨率和环境等非线性因子上存在缺陷。
此外,由于人脸属于生物特征识别中的弱隐私,在公共场合容易被他人拍摄到高清二维照片甚至制作三维模型,从而攻击者可以用此攻击人脸识别设备。新型的身份认证技术固然方便了大众,但是由于其应用尚不成熟,也对各身份服务提供商间的可信身份互通互认造成了一定困难。
5 推进实现可信网络身份互通互认的建议
5.1 做好网络可信身份体系的顶层设计
近年来,美国、欧盟等国先后提出根据安全风险及可信程度,将网络身份划分为3-4个可信等级。我国也应当根据我国国情,加快出台《网络安全法》中第二十四条提到的网络可信身份战略。这样一方面可以明确我国网络可信身份的战略目标、基本思想和主要路线,另一方面可以规划国家网络可信身份体系框架,各参与方在其中的职责,从而建立实施机制,从组织保障、生态联盟建设等方面推进可信网络身份互通互认的实现。
5.2 加快可信网络身份分级管理
目前,由于我国“互联网+”模式的迅速推进,越来越多的企业通过互联网满足用户的多方需求,让用户能够更加便捷的使用相应产品。同时,这些海量的业务需求和应用场景对应着多个层级的身份认证需求,但目前却没有统一的标准进行区分。所以,只有建立国家统一的可信身份分级标准和规范,对可信网络身份进行分级管理,才能够推动同等级网络身份的互认互通。
5.3 提升网络身份服务提供商的信息安全保护水平
目前,各类身份识别信息是由各家企业根据需求以自己企业认为安全的方式进行存储。在实现网络可信身份互通互认的过程中,需要各家身份服务提供商严格按照标准及规范,共同树立高安全等级,构建符合国家隐私策略的网络身份管理系统。只有各家身份服务提供商在国家相关部门的监管下,努力提高自身的安全、隐私保护水平,对个人信息实施全生命周期的管理措施,这样才能够逐步推进、最终实现网络可信身份的互认互通。
5.4 探索基于可信身份认证行为的大数据、区块链风控技术
可以预测,伴随着网络可信身份的互通互认的逐步推进,我国的网络空间会更加有序,而各身份服务提供商会逐渐积累海量的身份认证数据。利用这些数据,探索从认证行为上统一进行大数据风险控制,可以在注重我国公民个人隐私保护的前提下使网络空间治理更加深入。同时,在监管下的多个网络可信身份服务商,在可信身份互联互认的基础上,可以探索基于区块链的去中心化账本,共同记录维护不同级别的认证风险,提高风险防控效率,使我国的网络空间治理更加完善。
6 结束语
本文分析了目前的主流网络身份认证技术,针对网络可信身份在互通互认中目前存在的问题进行了梳理和探讨。最后提出了可信網络身份互通互认的建议,伴随国内外环境的变化,我国网络可信身份战略必将加速推进,最终有效提升我国网络空间治理总体水平。
参考文献
[1] 宋宪荣,张猛.网络可信身份认证技术问题研究[J].网络空间安全,2018,2:6-11.
[2] 汪志鹏,杨明慧,吕良.基于eID的网络可信身份体系建设研究[J].信息网络安全,2015(09):97-100.
[3] 顾青,谢超,冯四风.网络可信身份管理体系研究[J].信息安全研究,2016,2(10):931-935.
[4] 夏石莹,谭敏生,汪琳霞.一种基于集成可信身份识别和访问管理方法的安全可信网络框架[J].网络安全技术与应用,2011(12):10-12+15.
[5] 荆继武.网络可信身份管理的现状与趋势[J].信息安全研究,2016,2(07):666-668.