扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:ZDNet安全频道 2014年11月24日
关键字: 身份管理 网络安全 首届国家网络安全宣传周
当前网络空间与现实社会呈现出加速融合的趋势,云计算、移动互联网、物联网的日渐成熟与广泛应用,泛在互联网环境正在逐步形成,将成为我们社会生活的主要载体,云计算使网络资源进一步的集中,从而建立起日益强大的计算能力,移动互联网使人们通过移动设备,可以随时随地的接入网络空间,物联网使虚拟世界与物理世界逐渐融为一体,通过人与人,物与物,以及物与人之间相互联系,形成虚拟社会和现实社会在网络空间交汇融合。
网络空间发展给我们带来方便快捷的同时,也为国家安全和社会稳定带来新挑战。除了国与国之间在网络空间斗争以外,网络谣言,网络欺诈,网络恐怖主义的问题日趋严峻,导致这些问题的主要原因是缺乏网络信任与身份的管理。例如,2011年7月,韩国最大的门户网站之一Nate和著名社交网站CyberWorld遭到黑客攻击,导致3500万名(相当于韩国总人口的70%以上)用户的姓名、居民身份证号码、电话号码、电子邮箱以及密码等个人信息泄漏,严重危害到公民个人和社会公共安全。2012年央视315晚会曝光罗维邓白氏公司通过各种渠道搜集掌握了超过2亿公民的身份、交易活动地域、时间、资产情况等个人隐私信息。并且,网络匿名性使得网络诚信体系难以建立,网民行为缺乏责任意识,进一步加剧了网络虚拟社会的无序状态。此外,网络身份难以确认导致面向个人、机构的众多民生服务业务无法开展,大规模政务信息化建设难以发挥便民利民的应有作用。总之,由于网络空间中身份的虚拟性和不确定性,使得网络空间中的各类虚拟实体和角色(个人、组织、硬件、网络、软件和服务等)缺乏有效的管理,因此也难以对其行为进行监督和规范。因此网络信任与身份管理体系,是网络空间安全的基石,在各种实体间建立信任关系,实行统一的身份管理,是电子商务、电子政务、信息共享等各类网络业务的前提,是改善网络社会治理环境、促进网络诚信的紧迫需求。
2011年4月美国发布网络空间可信身份管理战略,要建立覆盖全国范围的网络身份生态系统,使个人、组织等各类实体和角色,遵循统一的标准和流程,来相互鉴别和认证,实现相互信任。2014年开始,美国已经在宾夕法尼亚州和密西根州在线测试,美国此举旨在推进对个人、组织以及相关基础设施的识别能力,建立网络空间的信任体系,从而加强网络防御并建立网络威慑,谋求对网络空间的主导权和控制权。
欧盟在其2020年欧盟战略旗舰计划中提出要建立一个覆盖整个欧盟的身份管理体系,通过该体系的建设,来加强个人、组织以及各个实体之间的相互信任。通过设立在欧洲的基础设施,将使成员国之间的互操作性为所有公共和私人服务提供者接受,建立强大的身份验证、数据保护和隐私保护能力。欧盟27个成员国中,有18个已经发行了网络电子身份(eID)。其中比较典型的有比利时、德国、奥地利等。比利时于2003年开始发行新式身份证,其中除了传统的姓名、住址、照片等身份信息外,也承载了eID,可用于网络身份认证和电子签名应用。至2011年12月,比利时eID的使用人数已超过900万,覆盖了全国80%以上的人口。德国于2010年11月开始发行新式身份证,相比比利时,其一是身份证采用了射频芯片,支持非接触式操作;二是其所承载的eID考虑了公民隐私保护,个人在使用eID进行电子政务、电子商务等活动中,不会将非必要的身份或属性信息暴露给服务提供方。奥地利由于已经发行的身份证中没有加载eID,换发成本太高,采用了创新的技术路线。奥地利设置了一个经公共签发机关批准的身份管理系统并制定了一系列eID卡技术标准,使得eID可以加载在符合eID卡标准的任何智能卡上,如自动提款卡、社会安全卡、学生身份证、工作证等,代表了未来欧盟eID卡的发展趋势。
2012年年底全国人大审议通过的《关于加强网络信息保护的决定》和正在修订的国务院《互联网信息服务管理办法》,为采用安全有效的技术措施识别和验证互联网上公民真实身份提供了基本法律依据。此外,2004年国家出台了《电子签名法》,为数字证书的认证与效力提供了法律保障。目前已授予资质为公众服务的地区性、行业性CA共30余家,但其主要集中在企业领域发行数字证书,面向个人的数字证书由于身份确认困难及典型应用不足而推进缓慢。2012年全国人大通过《关于加强网络信息保护规定》,对加强网络信息保护,推行网络身份管理做了具体规定。这个上位法的出台,对于下一步我们整个网络信任体系建设,将起到一个极大的推动作用。
“十二五”期间网络空间的身份管理,也就是eID这项工作得到科技部、国家发改委等有关部委的大力支持,参与这项研究的有全国20多个单位,设立了多个国家级信息安全专项,开展了一系列基于eID的虚拟身份管理前期准备工作,突破了面向全国亿级用户eID管理、认证服务、隐私保护等方面的一系列关键技术,在系统平台建设、标准规范制定、应用示范和推广等方面取得重要进展,为我国全面开展网络空间虚拟身份管理工作奠定了坚实基础。
公安部第三研究所投入建设的eID系统通过了国家密码管理局的系统安全性审查及权威技术鉴定,并被公安部和国家密码管理局正式命名为“公安部公民网络身份识别系统”。所有eID的签发均由该系统提交全国人口库进行严格的身份审核,确保eID的真实性、有效性,并且每个公民只能有1个与其真实身份唯一对应的eID。
在标准工作方面,中国通信标准化协会网络与信息安全工作委员会(TC8)成立了“网域空间身份管理子组”,专门进行eID相关标准的立项编制工作。截止2014年6月,已经组织了30余项eID国家标准、通信行业标准以及公安行业标准申报立项以及征求意见稿编制工作,包括基础标准、管理标准、服务标准、应用标准四个层次的eID标准体系已初步形成。其中基础标准规范了eID的体系架构及编码格式等方面技术要求;管理标准规范了eID的全生命周期管理、载体及读写设备等方面技术要求,使得可以加载于符合标准安全机制要求的各类智能卡或智能密码钥匙芯片中,例如:社保卡、市民卡、银行卡、居住证、SIM卡或SE安全模块等;服务标准规范了eID的认证服务、桌面应用、移动应用接口及审计等方面技术要求;应用标准规范了电子政务、金融、下一代互联网等应用环境中使用eID的技术要求。
在示范应用方面,已通过中国工商银行面向全国制作和发行了超过800万张加载eID的银行卡(金融IC卡)。通过银行柜面现场审核个人身份,经公安人口库比对完成后台审核,将eID写入的银行卡芯片中。并且,在校园应用(北邮校园)、社交网络(新浪微博)、电子政务(河南公安互联网便民服务平台)、电子商务(阿里云)、移动互联网(航旅纵横)等领域进行了实名认证服务、帐号保护服务、统一身份验证服务、安全登录服务等实际上线应用并取得了良好的应用效果。
eID是加强网络社会治理,实现网络空间中政府公共服务、民生事务服务、商业电子服务的重要基础。一是为政府公共服务方式的重大突破铺垫基础,提高公共服务能力和居民生活质量,使居民在家中或办公地点通过网络方便的享受政府各类公共服务,并将催生诸多创新应用,从而有力推动的应用深化及信息产业发展。二是为民生事务服务提供安全保障,可以通过网络方便的实现医疗、教育、社保等方面的民生服务。三是完善网络诚信体系,满足居民对于网上交易、虚拟财产安全及个人隐私保护的迫切需求,推进电子商务的全面发展。四是建立起网络治理的长效机制和重要阵地,为全国人大“加强网络信息保护的决定”等法规的落实提供支撑手段。通过eID建立融合网络空间中各类虚拟实体和角色(个人、组织、硬件、网络、软件和服务等)的网络身份管理基础架构、方法、技术、标准、法规体系框架,将是形成我国网络信任与身份管理体系的关键。
——公安部第三研究所 所长 胡传平
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者