網(wǎng)絡(luò)可信身份管理的現(xiàn)狀與趨勢(shì)

網(wǎng)絡(luò)可信身份管理的現(xiàn)狀與趨勢(shì)

2016年4月19日，習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào)，要樹立正確的網(wǎng)絡(luò)安全觀：網(wǎng)絡(luò)安全是整體的而不是割裂的；是動(dòng)態(tài)的而不是靜態(tài)的；是開放的而不是封閉的；是相對(duì)的而不是絕對(duì)的；是共同的而不是孤立的。

作者有幸作為參會(huì)專家之一，在座談會(huì)上聆聽了習(xí)總書記的講話后談到：我們作為一個(gè)技術(shù)人員，在實(shí)際工作中常常會(huì)為“安全”而安全，追求唯技術(shù)論，就沒有把網(wǎng)絡(luò)安全放到一個(gè)整體上去考慮，沒有把安全放到一個(gè)動(dòng)態(tài)的環(huán)境中去考慮。我們不能僅僅從技術(shù)層面，或者僅僅從裝備層面，或者僅僅從科技層面割裂地規(guī)劃網(wǎng)絡(luò)安全的系統(tǒng)和技術(shù)。以下內(nèi)容是經(jīng)作者本人同意，根據(jù)其在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第1次工作組（WG4）會(huì)議周上的發(fā)言和講話，由工作人員整理。

國際網(wǎng)絡(luò)身份管理概況

今天，“互聯(lián)網(wǎng)＋”、DT時(shí)代、工業(yè)4.0這3個(gè)詞正在火起來。Web2.0時(shí)代，網(wǎng)絡(luò)應(yīng)用和互聯(lián)網(wǎng)服務(wù)滲透到人們網(wǎng)絡(luò)生活的方方面面，伴隨著這3個(gè)火熱“詞“的誕生，Web2.0時(shí)代不斷發(fā)展，于此同時(shí)，互聯(lián)網(wǎng)信息安全逐漸引起了人們的關(guān)注，世界各國都在高度重視網(wǎng)絡(luò)可信身份鑒別認(rèn)證領(lǐng)域。美國將推動(dòng)網(wǎng)際空間可信身份作為國家戰(zhàn)略；歐盟大力推動(dòng)身份服務(wù)的互操作，制定了歐洲的電子服務(wù)的法律框架，形成了歐洲各國互通的電子身份標(biāo)識(shí)eID，投入資金開展eIDM項(xiàng)目；英國引導(dǎo)分級(jí)的第三方身份服務(wù)市場(chǎng)，私營(yíng)的身份服務(wù)技術(shù)已被引入到政府應(yīng)用中，企業(yè)、國家共同打造身份服務(wù)；韓國實(shí)名制終結(jié)，影響深遠(yuǎn)。

國際機(jī)構(gòu)和企業(yè)積極開展身份服務(wù)。EduGAIN形成了全球范圍的科研和教育服務(wù)的身份聯(lián)盟。FIDO聯(lián)盟身份認(rèn)證標(biāo)準(zhǔn)在2013年2月正式成立，美國和英國支持該標(biāo)準(zhǔn)實(shí)施，中國政府也開始關(guān)注，聯(lián)想、阿里巴巴等單位是其理事單位。網(wǎng)絡(luò)身份管理技術(shù)和標(biāo)準(zhǔn)發(fā)展迅速，包括OpenID、SAML身份認(rèn)證、互聯(lián)網(wǎng)授權(quán)協(xié)議、FIDO標(biāo)準(zhǔn)都不斷地發(fā)生變化。

網(wǎng)絡(luò)可信身份管理面臨的問題

目前，我國在可信身份鑒別認(rèn)證領(lǐng)域大多還是采用傳統(tǒng)的身份鑒別方案，用戶在設(shè)備端對(duì)應(yīng)不同的應(yīng)用輸入用戶名口令。隨著移動(dòng)應(yīng)用越來越多，用戶需要記憶的用戶名和口令也越來越多，容易混淆和遺忘。同時(shí)，如果口令簡(jiǎn)單，容易被攻破；如果口令復(fù)雜，又難以記住，這是很多用戶都曾遇到過或正在面臨著的困擾。目前，我國身份管理面臨的主要問題包括：

1）隱私保護(hù)。個(gè)人的真實(shí)信息已經(jīng)普遍存在于網(wǎng)絡(luò)，而互聯(lián)網(wǎng)企業(yè)安全和隱私保護(hù)能力不足。隱私泄露事件頻發(fā)，危害巨大。網(wǎng)民迫切需要隱私保護(hù)，如果沒有隱私保護(hù)，網(wǎng)民使用網(wǎng)絡(luò)信心不足，可能會(huì)影響了整個(gè)“互聯(lián)網(wǎng)+”的發(fā)展進(jìn)程。

2）網(wǎng)絡(luò)欺詐。網(wǎng)民安全意識(shí)有限，身份保護(hù)能力不足，要靠專業(yè)機(jī)構(gòu)提高網(wǎng)絡(luò)安全水平。目前網(wǎng)絡(luò)欺詐呈高水平、多樣化，防不勝防。

3）網(wǎng)絡(luò)謠言。網(wǎng)絡(luò)謠言屢屢出現(xiàn)，真假難辯。一個(gè)是敵對(duì)勢(shì)力干擾，還有網(wǎng)民不負(fù)責(zé)任的傳播?，F(xiàn)有監(jiān)督和追究手段不能適應(yīng)網(wǎng)絡(luò)發(fā)展，包括身份假冒、追究困難等等。

4）黑色產(chǎn)業(yè)鏈。網(wǎng)絡(luò)身份與現(xiàn)實(shí)身份綁定提升了身份價(jià)值，催生了黑色產(chǎn)業(yè)鏈。大量應(yīng)用需要真實(shí)身份標(biāo)識(shí)，催生了身份標(biāo)識(shí)買賣。目前的安全技術(shù)還無法阻止虛假身份，身份證在網(wǎng)上應(yīng)用亟待提高安全性。

使用新型的身份鑒別方案，用戶可以使用生物識(shí)別技術(shù)（例如指紋識(shí)別、語音識(shí)別等）進(jìn)行身份鑒別，無需記憶眾多繁瑣的口令。現(xiàn)在的智能設(shè)備上一般都集成有攝像頭、指紋識(shí)別、話筒等硬件模塊，可以用來實(shí)現(xiàn)生物識(shí)別技術(shù)，為新型的身份鑒別方案提供了物質(zhì)基礎(chǔ)。但是怎樣才能使用生物識(shí)別身份鑒別技術(shù)安全地實(shí)現(xiàn)用戶身份鑒別？此外，當(dāng)前的生物識(shí)別身份鑒別技術(shù)還存在著未采用國產(chǎn)密碼算法、應(yīng)用層接口復(fù)雜、底層接口不統(tǒng)一、互操作性差等問題亟待解決。

各國的技術(shù)標(biāo)準(zhǔn)方案

我國的身份服務(wù)廣泛存在，但安全程度參差不齊，應(yīng)用和用戶已經(jīng)在接受專業(yè)的身份服務(wù)，但應(yīng)用范圍非常有限。我國的身份管理已經(jīng)參與到全球競(jìng)爭(zhēng)。身份服務(wù)的技術(shù)和互聯(lián)互通標(biāo)準(zhǔn)已經(jīng)初步形成，身份服務(wù)的法律法規(guī)還有待完善。

美國、韓國、英國、歐盟等世界主要發(fā)達(dá)國家都制定了網(wǎng)絡(luò)可信身份戰(zhàn)略，各標(biāo)準(zhǔn)組織也分別制定了SAML，OAuth，OpenID，F(xiàn)IDO等不同的身份鑒別與授權(quán)相關(guān)規(guī)范和標(biāo)準(zhǔn)，各硬件生產(chǎn)廠商采用的技術(shù)及方案均不相同：

1）SAML(security assertion markup language) 標(biāo)準(zhǔn)

OASIS 提出的SAML規(guī)范致力于實(shí)現(xiàn)聯(lián)合身份鑒別和授權(quán)信息交換的標(biāo)準(zhǔn)化。SAML主要應(yīng)用于統(tǒng)一身份鑒別與授權(quán)。SAML規(guī)范已經(jīng)成為國際廣泛認(rèn)可的單點(diǎn)登錄和身份鑒別規(guī)范。該標(biāo)準(zhǔn)沒有對(duì)用戶驗(yàn)證方式作出規(guī)范，一般使用的是用戶名/口令方式。我國也將SAML標(biāo)準(zhǔn)制定成了國家標(biāo)準(zhǔn)GB/T 29242-2012《信息安全技術(shù) 鑒別與授權(quán) 安全斷言標(biāo)記語言》。

2）OAuth標(biāo)準(zhǔn)（即開放的第三方資源授權(quán)協(xié)議框架）

OAuth使第三方應(yīng)用程序在不需要資源擁有者身份憑據(jù)的情況下，獲得對(duì)某個(gè)HTTP服務(wù)的受限訪問。OAuth標(biāo)準(zhǔn)也廣泛應(yīng)用于云服務(wù)資源的訪問授權(quán)場(chǎng)景中。該標(biāo)準(zhǔn)并不支持我國國產(chǎn)密碼算法。我國密碼行業(yè)標(biāo)準(zhǔn)《開放的第三方資源授權(quán)協(xié)議框架》目前處于征求意見稿階段，該標(biāo)準(zhǔn)支持我國國產(chǎn)密碼算法。

3）OpenID（開放身份標(biāo)識(shí)鑒別）系列標(biāo)準(zhǔn)

OpenID是以用戶為中心的身份鑒別框架，能夠有效降低用戶負(fù)擔(dān)和依賴方的身份管理成本，由可信身份信息提供方提供身份鑒別服務(wù)。該標(biāo)準(zhǔn)對(duì)用戶驗(yàn)證方式?jīng)]有具體的規(guī)范，目前大部分使用的是用戶名/口令方式。該標(biāo)準(zhǔn)并不支持我國國產(chǎn)密碼算法。我國密碼行業(yè)標(biāo)準(zhǔn)《開放的身份標(biāo)識(shí)鑒別框架》目前處于征求意見稿階段，該標(biāo)準(zhǔn)支持我國國產(chǎn)密碼算法。

4）FIDO（在線快速身份鑒別）系列規(guī)范

FIDO系列規(guī)范使用生物識(shí)別鑒別技術(shù)取代用戶名/口令鑒別的傳統(tǒng)方式，解決當(dāng)前網(wǎng)絡(luò)環(huán)境下認(rèn)證設(shè)備之間缺乏互操作性，以及用戶需要?jiǎng)?chuàng)建并記住多套用戶名/口令的問題。該標(biāo)準(zhǔn)并不支持我國國產(chǎn)密碼算法，我國目前還沒有針對(duì)該技術(shù)的標(biāo)準(zhǔn)規(guī)范。

我國政府大力推動(dòng)網(wǎng)絡(luò)可信體系建設(shè)，非常重視制定身份鑒別與授權(quán)的相關(guān)國家標(biāo)準(zhǔn)和密碼行業(yè)標(biāo)準(zhǔn)，但在生物識(shí)別身份鑒別方面的相關(guān)標(biāo)準(zhǔn)尚屬缺失。在國內(nèi)，螞蟻金服和騰訊等軟件公司也積極使用并推進(jìn)了生物識(shí)別身份鑒別技術(shù)。IFAA定義了不同支付場(chǎng)景的生物識(shí)別身份鑒別協(xié)議，SOTER則在微信應(yīng)用客戶端以及公眾號(hào)服務(wù)上積極推進(jìn)生物識(shí)別身份鑒別技術(shù)，對(duì)生物識(shí)別身份鑒別技術(shù)的發(fā)展起到了積極作用。但是相關(guān)技術(shù)都缺少對(duì)我國國產(chǎn)密碼算法的支持，并且沒有統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行評(píng)測(cè)。

如果能夠借鑒國際上FIDO的UAF/U2F協(xié)議標(biāo)準(zhǔn)，加上我國在技術(shù)上的自主創(chuàng)新，根據(jù)我國國內(nèi)需求及情況、采用國產(chǎn)密碼算法，形成一套《基于可信執(zhí)行環(huán)境的生物識(shí)別身份鑒別協(xié)議》標(biāo)準(zhǔn)，統(tǒng)一規(guī)范基于可信執(zhí)行環(huán)境的生物識(shí)別身份鑒別技術(shù)，包括：統(tǒng)一規(guī)范底層設(shè)備間的接口，提高互操作性，提高設(shè)備廠商生產(chǎn)效率，降低生產(chǎn)成本；統(tǒng)一應(yīng)用層接口，簡(jiǎn)化開發(fā)過程，應(yīng)用方開發(fā)應(yīng)用更加便捷快速；規(guī)范使用國產(chǎn)密碼算法，保障用戶身份信息以及應(yīng)用方安全性。

網(wǎng)絡(luò)可信體系發(fā)展趨勢(shì)

當(dāng)前的網(wǎng)絡(luò)可信身份管理具有以下發(fā)展趨勢(shì)：用戶管理已經(jīng)從以應(yīng)用為中心的時(shí)代進(jìn)入了以企業(yè)為中心的時(shí)代，正在邁向以用戶為中心的時(shí)代。在應(yīng)用為中心的時(shí)代，每個(gè)應(yīng)用都要管理身份。以企業(yè)為中心的時(shí)代，人們開始推崇單點(diǎn)登錄，企業(yè)內(nèi)的多個(gè)應(yīng)用共享相同身份管理。而以用戶為中心的時(shí)代，用戶可以選擇自己的身份管理和服務(wù)。在新的時(shí)代下，身份數(shù)據(jù)將成為爭(zhēng)先搶占的戰(zhàn)略資源；基于行為的身份鑒別將成為身份鑒別的主流。

習(xí)總書記指出：沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。建設(shè)網(wǎng)絡(luò)強(qiáng)國，要有自己的技術(shù)，有過硬的技術(shù)；要有豐富全面的信息服務(wù)，繁榮發(fā)展的網(wǎng)絡(luò)文化；要有良好的信息基礎(chǔ)設(shè)施，形成實(shí)力雄厚的信息經(jīng)濟(jì)；要有高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊(duì)伍；要積極開展雙邊、多邊的互聯(lián)網(wǎng)國際交流合作。建設(shè)網(wǎng)絡(luò)強(qiáng)國的戰(zhàn)略部署要與“兩個(gè)100年”奮斗目標(biāo)同步推進(jìn)，向著網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本普及、自主創(chuàng)新能力顯著增強(qiáng)、信息經(jīng)濟(jì)全面發(fā)展、網(wǎng)絡(luò)安全保障有力的目標(biāo)不斷前進(jìn)。

我們首先要支持中國政府管好網(wǎng)絡(luò)，在可追訴、可管理、有秩序方面要做自己的貢獻(xiàn)。我們要團(tuán)結(jié)個(gè)人，希望有一個(gè)可自由選擇的身份提供商，用一套全網(wǎng)都適用的認(rèn)證機(jī)制。對(duì)于企業(yè)來說，希望有一個(gè)身份提供商，通過身份入口掌握用戶信息，這個(gè)提供商應(yīng)該是安全的。我們希望通過提供身份，讓它獲得商業(yè)利益。我們的建設(shè)方案包含了三大方面的內(nèi)容：一是可信身份和行為數(shù)據(jù)中心；二是評(píng)估體系；三是服務(wù)體系。最后的結(jié)果是提供可信身份的提供、可信服務(wù)的評(píng)估、可信行為的監(jiān)控，把這3個(gè)方面建立起來。

建立自主的身份管理與服務(wù)體系，建立與國際標(biāo)準(zhǔn)互通，采用國產(chǎn)算法的身份服務(wù)體系，強(qiáng)化安全要求，減少被攻擊面。建立可信評(píng)估評(píng)價(jià)體系，建立分級(jí)的可信標(biāo)準(zhǔn)，并完成評(píng)估評(píng)價(jià)體系建設(shè)。建設(shè)國家可信身份數(shù)據(jù)中心。按照標(biāo)準(zhǔn)連接各身份提供商、收集元數(shù)據(jù)，實(shí)時(shí)掌握網(wǎng)絡(luò)的運(yùn)行狀況，包括網(wǎng)絡(luò)在線實(shí)體的可信分布，可信實(shí)體登錄網(wǎng)絡(luò)應(yīng)用的情況，提供網(wǎng)絡(luò)實(shí)體關(guān)聯(lián)。通過行為數(shù)據(jù)掌握國家的網(wǎng)絡(luò)宏觀態(tài)勢(shì)，確保我國的網(wǎng)絡(luò)運(yùn)行安全。

荊繼武

博士，教授，博士生導(dǎo)師。現(xiàn)任中國科學(xué)院信息工程研究所總工，副所長(zhǎng)，中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心主任，國家十二五“八六三”計(jì)劃信息安全主題專家組召集人，國家十三五網(wǎng)絡(luò)空間安全科技重點(diǎn)研發(fā)計(jì)劃實(shí)施方案及指南編寫專家組召集人，國家重大專項(xiàng)電子與信息板塊監(jiān)督評(píng)估組專家，亞洲PKI聯(lián)盟秘書長(zhǎng)（2007-2010），亞洲PKI聯(lián)盟互操作工作組組長(zhǎng)，中國密碼學(xué)會(huì)理事，中國密碼學(xué)會(huì)電子認(rèn)證專業(yè)委員會(huì)主任委員，中國計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)副主任委員。

jingjiwu@iie.ac.cn

The Development Status and Tendency of Internet Trusted Identity Management