近年来,随着移动互联网、云计算、物联网等技术的飞速发展,构建可信网络空间的需求也日益迫切。电子认证,包括身份标识、身份凭据、身份鉴别、授权管理,作为网络信任体系的核心内容,是确保网络安全的基石。然而在现在的网络环境下,网络欺诈、隐私泄露等安全事件频发,身份黑市日趋泛滥,鉴别技术、身份认证面临新的挑战。 

本文在对我国电子认证发展面临的突出问题和挑战进行深入剖析的基础上,面向我国网络发展趋势,总结提出了电子认证2.0的技术特点,希望能为业界共同推动我国电子认证技术发展,建设我国自主可控的网络信任体系提供有价值的参考。

我国电子认证发展面临的问题

随着移动互联网、云计算、物联网等技术的飞速发展,网络世界的身份管理、授权访问、隐私保护等安全问题逐渐凸显,电子认证的应用和发展也面临着诸多问题。

1)互联网欺诈横行,产业发展势头受阻

目前,我国金融欺诈、电信欺诈等互联网欺诈事件频频发生,严重威胁人民群众的人身、财产等安全。如:2015年爆发的e租宝非法融资500亿元案件,波及近500万老百姓的个人资产;2016年的“徐玉玉”事件,因电信诈骗造成了生命的惨痛损失。互联网生态环境因此受到了诸多不良影响,严重阻碍了我国信息产业的健康、快速发展。

2)隐私保护亟待提升,全国人民集体裸奔

我国的个人真实信息大量、广泛存在于网络中,仅支付宝在2016年实名用户已经达到4.5亿人。但是,互联网企业在相应的安全和隐私保护方面能力却略显不足,隐私泄露事件频频爆出,危害不容小视。据相关新闻报道,2011年,CSDN泄露600万用户信息;2013年,“查开房”网曝光2 000万酒店入住信息;2014年,携程泄露大量用户信用卡信息。大型隐私泄露事件频频发生,折射出我国个人真实信息的网络安全状态堪忧。事实上大量的个人真实信息可以很轻易通过极低的代价获取,据南方都市报道,仅需850元就能获取个人的开房记录、列车记录、航班记录等11项个人隐私信息,全国人民的身份信息等于是处于全面透明甚至“裸奔”的状态。

3)身份黑市大量存在,实名推进效果打折

大量网络服务和应用需要网络身份与现实身份绑定,极大地提升了网络身份的价值,同时也催生了网络身份的黑色产业链。身份黑色产业涉及包括银行开户、淘宝开户、酒店入住、电信开户、个人定位等在内的大量个人信息。身份买卖也包括:身份证买卖、配套资料销售(与身份证对应的 USBKey、手机卡、开户资料等)、假证办理等。在身份黑市交易后,通过极低的价格即可将网络身份绑定到一个不属于个人的现实身份,这使得规范互联网环境、抑制网络犯罪的“实名制”的推进效果大打折扣。

4)鉴别技术面临道高一尺魔高一丈的威胁

鉴别技术不断发展,从早期的基于用户名/口令的鉴别、基于数字证书的鉴别到现在的基于生物特征识别的鉴别、多因素身份鉴别等技术。但是,单项鉴别技术自设计理念到具体实施,处处都可能面临着威胁。如鉴别技术需要采纳的密码算法,其算法原理可能存在威胁,如众所周知存在安全隐患的 MD5算法和SHA-1算法;鉴别协议可能存在威胁,如可能采纳不安全的噪声源;具体实现可能存在威胁,如鉴别技术在具体实现时存在安全漏洞;实际应用可能存在安全威胁,如采用被动式的签名机制无法应对中间病毒的攻击。

5)应用发展快速,身份认证面临挑战

随着互联网的快速发展,网络服务和应用数量急剧增长,包括在线支付、社交应用、金融服务等。应用提供的应用场景也呈现多样化的趋势,如支付宝兼具有普通社交、小额支付、大额支付等应用场景。事实上,不同的应用场景对安全的要求不一,如用户能接受对小额支付免密支付,但通常不能接受对大额支付免密支付。这些不同的安全需求对身份认证也提出了新的挑战。

我国网络发展趋势

我国作为网民数量世界第一的网络大国,互联网的发展关乎国家经济发展、社会稳定繁荣,更是影响我国国家安全和主权安全的重要因素。移动互联网、云计算、物联网、区块链、大数据等新技术的出现为网络世界带来了更广阔的发展空间和崭新的机遇,同时也带来新的挑战。总的来说,我国网络世界发展呈现如下趋势 :

1)身份 /计算/服务虚拟化成为现实,引发新的实体管理和鉴别的变革

移动互联网、云计算、物联网等新技术的不断涌现,使得网络世界的计算、服务、身份等资源的虚拟化成为现实。身份/计算/服务的虚拟化,导致参与网络行为的实体在网络上高速漂移和相互对应关系的多样化,这对实体管理和身份鉴别提出了新的技术需求,必将催生新的虚拟化环境下的实体管理和身份鉴别技术。

2)身份爆炸来袭,物联网和各种应用爆炸式增长

在云计算、物联网发展的同时,网络应用数量爆炸式增长。每个物联网节点都面临自己的身份和应用人的身份管理。而对具体每个应用,用户通常都会有一个身份。比如,由邮件地址密码构成的电子邮件身份、QQ账号密码构成的QQ身份、淘宝账号密码构成的淘宝身份等。一个个体、一个设备、一个传感器在多种生活场景中的不同应用里可能都拥有多重身份,大量用户使用网络,特别是大量设备接入,直接导致了网络身份的大规模爆炸式增长。

3)财富向数字世界的快速转移,数字世界比现实世界变得更加重要

随着互联网金融的兴起,财富从现实世界向数字世界快速转移,各大银行纷纷推出互联网金融业务,支付宝等网上支付业务也在广泛应用。除此之外,数字世界处处存在价值,资产形式多样,不再拘泥于现实世界的资产。数字世界不再是虚拟时空,与现实世界的融合和接轨使得其在某些方面比现实世界更为重要。

4)数字世界工业化发展,电子认证成为经济发展基石

云计算的快速发展,使得网络协作成为主流。网络协作需要多个参与方,参与方之间的互相信任是网络协作得以正常、稳定运作的重要基础。因此,网络信任体系建设成为主流数字世界发展的重中之重,包括信任源的选择、信任链的构建和安全保证等。作为网络信任体系构建的基础技术,电子认证技术的发展已经成为我国经济发展的基石。

5)网络身份成为互联网的战略资源,成为国家网络疆域的重要标志

Facebook 拥有全球超过22亿的用户量,腾讯拥有超过8亿的用户量,网络用户身份数据已经成为互联网企业的核心竞争力,网络身份本身成为互联网的战略资源与国家网络安全息息相关,与国家网络管理与资源控制密切相关。在网络疆域边界模糊、不断变化的情况下,网络身份管理已成为国家管理的重要问题,也必将成为国家网络疆域的重要标志。

电子认证 2.0的特点

在复杂的网络形势下,网络身份成为互联网的重要战略资源,电子认证技术服务需求日益旺盛且复杂化,电子认证服务模式和认证方式也发生了巨大变化。电子认证技术与生物识别、云计算、大数据等技术进行融合,极大地丰富了电子认证的内涵,促进了电子认证在金融、政务、医疗等各大领域的应用,推动电子认证从1.0时代走向电子认证2.0时代。具体来看,电子认证2.0呈现以下特点 :

1)由离线数字证书为主的电子认证走向以在线服务为主的身份管理

传统的电子认证通常使用离线的数字证书模式,用户持有预先签发的数字证书进行身份鉴别,不需要认证中心在线。随着互联网、移动互联技术的不断发展,网络无处不在,安全服务随时可在线获得。电子认证服务模式也开始跟随网络服务的变革,逐步走向新的服务模式。目前,身份认证与鉴别已经走向了以在线服务为主、包含风险控制的身份管理服务。这种转变为我国电子认证产业带来了挑战,同时也带来了更大的发展机遇。

2)以风控为主导的多因素鉴别取代单一技术的身份鉴别

在当今复杂的网络环境下,认证主体更加多样和不确定。一般的鉴别方式,如口令、智能卡等技术都容易被破解或因应用不当而导致安全问题,因此,需要结合多种认证手段来保证身份鉴别的安全性。基于行为的、引入风险控制机制的身份鉴别技术,已经成为目前身份鉴别技术发展探索的重要方向。在基于用户行为风控的身份鉴别中,用户的身份或者提供的认证凭证不再成为鉴别用户的唯一因素,用户的网络行为和相关知识也同时作为鉴别判定的重要因素。同时,指纹识别、虹膜识别、人脸识别等身份鉴别技术的融合,大大提升了身份鉴别服务的易用性。

3)多安全等级的电子认证技术,既节约成本,又满足应用需求

互联网环境具备实时动态变化的特点,如网络环境可能为移动互联网或物联网、网络应用频繁更新、用户数字身份具备不确定性,而其中的网络应用也是多种多样。不同的网络应用的不同应用场景,对安全提出了不同的安全需求,如用户对小额支付、大额支付期望的安全要求不一。因此,应针对不同网络服务和应用,根据安全需求,制定多安全等级的认证策略,提出多安全等级的电子认证技术。多级安全的电子认证体系必将成为电子认证2.0的重要标志。

4)身份管理系统的共享共用,实现隐私保护

在网络应用和身份大规模爆炸的现状下,如果每个应用对应一个身份管理系统,既浪费资源,又不便于个体使用,还对个体隐私造成威胁。共享共用身份管理系统,在为个体提供选择和便利、为应用节省成本的同时,也能实现对用户隐私的保护。作为身份服务的企业,通过身份入口掌握用户信息,同时通过提供身份服务获取商业利益;作为应用提供商的企业,可选择不同身份管理系统,不需要管理用户。作为个人,可自由选择身份管理系统,其隐私信息放在选定的身份管理系统,不分散于其所使用的所有应用中,更不容易泄露。

5) 行为关联大数据,完成行为溯源与追踪

个体的身份、行为信息存储在身份服务商处,随着大数据在各行各业的应用和发展,可实现对用户在不同身份服务商的身份关联,用户行为预测、网络可信感知等。通过这样的关联技术,最终可以对个体违法行为进行快速溯源和追踪,确保网络犯罪无处可逃。

电子认证2.0的时代已经来临,我们期望科研机构在技术上进行革新、身份认证和服务企业在创新链上协同,应用企业积极参与使用,共同推动服务模式创新和技术标准完善,推进我国网络可信体系健康有序发展。

 

【作者简介】荆继武,博士,教授,博士生导师。现任中国科学院信息工程研究所副所长、中国科学院数据与通信保护研究教育中心主任、国家“八六三”计划信息安全主题专家组召集人、国家十三五网络空间安全科技重点研发计划实施方案及指南编写专家组召集人。主要研究方向为网络与信息安全、密码应用等。刘丽敏,博士,高级工程师。主要研究方向为系统安全、云计算安全等。

声明:本文来自关键信息基础设施技术创新联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。