網域空間電子身份管理的方法研究

楊夕林

摘 要 身份管理是在相關法律法規指導下按照一定的業務模式，為降低管理用戶身份和訪問權限的成本、提供管理用戶身份效率和安全性、保護用戶隱私、方便信息共享、提高工作效率和安全性能、采用各種新技術開發的集身份認證、授權管理、責任認定于一體的基礎設施框架。日益嚴峻的網絡安全問題使得身份管理技術受到國家、組織、企業的高度重視。文章介紹了網域空間電子身份管理采用的組織方案，然后從安全、隱私、易用方面分析了電子身份管理現狀和不足并指出未來研究方向。

關鍵詞 網絡實名制；電子身份證；電子身份管理

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）04-0157-02

網域空間電子身份管理是在國家或地區范圍內身份管理在網域空間的應用。因此網域電子身份管理有以下特性：1）安全性，確保用戶身份是保密的、完整的和有效的；2）隱私性，用戶信息應當在使用過程中受到保護，不能出現用戶隱私信息泄露問題；3）易用性，能夠使用戶在使用時真正體會到該系統的便利；4）互操作性，如何讓跨區域的電子身份管理系統可以相互操作，這對經濟全球化發展具有重要意義，也是現階段電子身份證系統亟需解決的問題之一。

電子身份管理的用途廣泛，可以保護公民的隱私信息、提高互聯網服務的便利性并減少網絡犯罪行為。目前，電子政務和電子商務是電子身份管理的兩種主要應用形式。在電子政務方面，用戶無須到現場就可以享受政府提供的信息化服務；在電子商務方面，電子身份證系統主要用于網上購物、銀行開戶與結算以及網上預訂等業務。

1 網域空間電子身份管理

網域空間電子身份管理的過程中主要涉及三種角色：用戶（user）、服務提供方（SP）、身份提供方（IDP）。一般分為獨立身份管理、聯盟身份管理和統一身份管理三種不同的體系結構。在獨立身份管理中，每個SP有自身特定的身份認證和身份管理方式，是獨立的信任區域；在聯盟身份管理中，每個可信任區域內有多個IDP和多個SP，這些SP可以識別同在這個域中的任何IDP發出的身份標志和授權信息；在統一身份管理中，在該信任區域中每個SP都可以識別在這個域內一個或一類IDP發出的身份標志和授權信息。實名制、電子身份證系統是這種體系結構下具體的身份組織管理方案。

1.1 基于網絡實名的身份管理方案

網絡實名制是指將網絡中的虛擬身份和現實中的真實姓名、身份證號等綁定的一種制度。由于目前一些互聯網用戶利用網絡進行惡意的人身攻擊，散播一些擾亂社會秩序的謠言，甚至進行一些經濟犯罪行為，網絡實名制作為一種以用戶實名為基礎的互聯網管理方式，可以成為保護、引導互聯網用戶的重要手段和制度。

實名制采用獨立身份管理方式，即每個服務提供方承擔了對使用本服務的用戶認證和身份管理職責。隨著網絡服務的不斷增多，用戶需要記憶各種身份標志和認證信息，無疑增加了用戶負擔。為了保護用戶隱私，現階段的實名方式主要是“前臺匿名，后臺實名”，也就是說用戶信息在服務前臺是匿名的，但是在服務后臺是實名的，服務提供方可以得到用戶的真實信息，用戶的隱私保護完全由服務提供方來提供。

1.2 基于電子身份證的身份管理

電子身份證是目前網域空間電子身份管理的主要方式，它是國家簽發的用于在線和離線的身份證明。電子身份證一般具有三個級別功能：1）通行證功能，一般用于政府的管理和監控，它的作用類似于護照；2）身份認證功能，用于存儲和安全傳輸用戶的個人信息，為各種應用服務提供身份驗證；3）電子簽名功能，主要保護用戶的密鑰和數字證書。該方案中存在可信的第三方：身份提供方（IDP），其主要作用是認證用戶身份，并將認證結果返回給各個服務提供方。用戶的信息存儲在其電子身份證中，當服務需要用戶信息時由身份提供方將用戶信息返回給服務方。服務提供方不直接參與用戶身份認證過程。

2 電子身份管理關鍵機制分析

電子身份管理旨在高效管理用戶信息、增強網絡服務安全性、保護用戶隱私、便利用戶生酒。下文從安全、隱私、易用、互操作方面對上述身份管理方案進行分析。

2.1 安全性

安全問題是當前互聯網活動的主要威脅之一，而身份認證是安全問題的基礎。實名制身份管理方案中，身份管理和認證由各個服務方提供，因此各個應用服務安全等級不一致。電子身份證管理方案的主要認證技術是基于智能卡的雙因子認證機制，智能卡特殊的存儲結構和存取方式使其具有硬件不可復制性，因而安全性較高。以用戶為中心的身份管理方案提供多種身份認證方式，主要有智能卡雙因子認證、生物識別技術等，因此具有較高靈活性和安全性。基于智能卡的認證技術提供了較高安全性的認證，但是由于該方式需要專門的卡介質和認證終端，成本較高。USB token作為新型認證產品，不需要專門的讀卡設備，使用簡單、攜帶方便。生物識別技術是利用人體生物特征來進行身份認證的技術，該認證方式具有較高的安全性和可靠性，并且容易使用戶接受。由此可見，身份認證方式各有優缺點，將現有的身份認證技術綜合使用，提供用戶可信身份矩陣是非常值得研究的問題。

2.2 隱私保護

現有的實名制方案中并不存在專門的身份提供方，用戶身份認證、管理職責、隱私保護自服務提供方承擔，因此服務提供方可以獲得用戶信息，并沒有實現對用戶身份的完全匿名性。在電子身份證身份管理方案中，引入匿名證書加強用戶隱私保護，現有的匿名認證技術具有不可跟蹤性、不可鏈接性、可重用性等特性，這就使得服務方無法依據屬性信息追蹤到用戶。在以用戶為中心的身份生態系統中，提出了一些隱私保護方案，如最小化信息共享原則，當服務提供方需要驗證用戶是否是未成年人時，屬性提供方并不會將用戶的出生年月發送給它，而是直接返回“yes”或者“no”。

電子身份管理方案都提供了一定的隱私保護機制，但是對于具體的用戶隱私數據沒有進行細粒度的保護。網絡上的惡意分子還可以通過逆向工程等手段對用戶的行為進行分析推測，獲得用戶隱私信息。因此在用戶數據的產生、使用、傳輸、存儲和銷毀的各個階段都需要采用相應的關鍵技術來保證數據安全，防止隱私泄露。用戶隱私信息傳送時一般都需要加密，基于同態加密技術可用于密鑰協商。現階段的同態算法多為半同態加密，全同態加密算法實現難度較大，但是因其高可靠的隱私保護性而成為近些年的研究熱點。基于數據擾動的隱私保護技術可以防止用戶信息被竊取分析，該技術通過組合屬性分解、噪聲數據添加、混淆數據重構等功能來實現。

2.3 易用性

實名制方式以服務方為身份核查管理主體，不同服務提供方采用獨立身份認證和管理，隨著服務的多元化，用戶需要記憶的口令認證信息不斷增多，導致用戶負擔過重。在電子身份證系統中，一般采用智能卡的雙因子認證方式，用戶使用智能卡就可以使用各種服務，但是用戶出行必須隨身攜帶該認證介質，因此以手機或其他用戶已使用的便攜設備和用戶生物特征作為認證介質成為其研究發展的新方向。此外，目前電子身份系統應用主要集中在電子商務和電子政務方面，對用戶網絡空間的娛樂活動并沒有更多的支持，所以對該系統服務的多元化發展是現階段很值得研究的問題。在以用戶為中心的身份生態系統中，任何個人、組織、硬件、網絡、軟件都可以作為該方案的參與方，用戶可以根據自愿原則選擇是否使用該身份解決方案，也可以選擇各種身份認證介質。

2.4 小結

組織管理方案均提供了多種身份認證機制，口令、智能卡、生物識別和技術。從結構復雜度、服務多樣性來看，實名制優于其他組織形式，但是用戶負擔較重，也未能提供跨區域服務的互操作。電子身份證管理方案發展較為成熟，但在互操作方面和易用性方面有待進一步發展。以用戶為中心的身份生態各方面較為完善但還未能全面實施。電子身份管理方案未對用戶隱私數據存儲提供細粒度保護。

3 結束語

從網域空間身份管理的三種組織形式可以看出，網絡實名制實現簡單、可擴展性強，但是對用戶隱私缺乏一定保護；以用戶為中心的身份生態系統雖然提出了高效、互操作的身份管理方案，但是并沒有全面實施；電子身份證系統在互聯網發達國家的推廣和運用取得了較為滿意的效果。

參考文獻

[l]李建.身份管理研究綜述[J].計算機工程設計，2009，30（6）.

[2]錢萍.同臺加密隱私保護數據挖掘方法綜述[J].計算機應用研究，2011，8（5）.endprint