國外網絡可信身份認證技術發展現狀、趨勢及對我國的啟示

宋憲榮 張猛

摘 要：隨著人類活動不斷向網絡空間延伸，網絡空間被視為繼陸、海、空、天之后的“第五疆域”，對國際政治、經濟、文化、社會、軍事等領域都產生了深刻影響。開展網絡身份管理、確保網絡主體身份可信、行為可追溯等已成為網絡空間治理的重要內容。我國《網絡安全法》也明確指出“國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認”。論文重點梳理了歐美等國在發展可信身份認證技術上的先進做法，分析了可信身份認證技術在加密算法等方面的未來發展趨勢，最終引出發展我國網絡可信身份技術的經驗與啟示。

關鍵詞：網絡空間；可信身份認證；加密算法；發展趨勢

中圖分類號： TP393 文獻標識碼：A

Present situation and trend of the foreign network trusted identity authentication technology and its enlightenment to china

Abstract： As human activities extend to cyberspace， cyberspace is regarded as the "fifth space" after land， sea， air and sky， which has a profound impact on international politics， economy， culture， society， military and other fields. It has become an important content of network space management to carry out network identity management， ensure the identity of the network main body， and the traceability of the behavior. China's network security law also points out that "the State implements the network trusted identity strategy， supports the research and development of secure and convenient electronic identity authentication technology， and promotes the mutual recognition between different electronic identity authentications". This article focuses on the advanced practices of developing trusted identity authentication technology in Europe and America， analyzes the future development trend of trusted identity authentication technology in encryption algorithm and so on， and finally leads to the experience and inspiration of developing our network trusted identity technology.

Key words： cyberspace； identity authentication； encryption algorithm； development trend

1 引言

當今時代，信息革命給生產力帶來了又一次質的飛躍，物聯網、大數據等日益成為創新驅動發展的先導力量，網絡空間已經成為繼陸、海、空、天之后的“第五疆域”。隨著人們對網絡空間的依賴度越來越高，網絡空間中信息交流和互動越來越多，網絡已經成為推動社會發展的重要工具，網絡實體資源已經成為網絡空間的戰略資源。與此同時，面臨的網絡主體身份難以確認，網絡資源非授權訪問等網絡安全問題日益突出，極大地阻礙了網絡經濟發展，公民個人隱私、國家安全和社會穩定面臨著嚴重的威脅。世界各發達國家紛紛計劃和實施網絡可信身份國家發展戰略，構建可信網絡空間，維護國家網絡空間主體身份管理主權，保障關鍵基礎設施和網絡資源安全，促進網絡經濟發展。2016年我國頒布的《網絡安全法》中第二十四條提到，“國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認”。因此，梳理研究國外網絡可信身份認證技術發展現狀和趨勢，針對我國國情提出相關意見建議對推進我國網絡可信體系建設具有重要意義。

2 發展現狀

2.1 應用模式

美國大力發展基于PKI框架的FICAM數字身份證方案，在政務領域應用卓有成效。FICAM的前身是美國網絡安全委員會CNSS在2008年前后提出的ICAM（Identity Credential and Access Management），目的是在美國涉密信息系統中建立統一的身份、證書和訪問管理系統，解決聯邦涉密網絡間的協同工作和身份認證問題。ICAM發布之初并未得到過多重視，但在2009年前后，美國政府接連發生嚴重泄密事件，特別是“維基解密事件”的發生使得聯邦政府高度重視涉密系統身份驗證及文檔訪問控制。2009年5月奧巴馬政府發布《網絡空間安全評估報告》，將建立身份管理系統被作為一項重大任務提出，ICAM系統因而得到聯邦政府資助正式演變成FICAM。而在之后的2011年4月隨著奧巴馬政府簽署《網絡空間可信身份國家戰略》將建設網絡空間可信身份體系提高到國家戰略層面，FICAM技術研究也得到政府的重要支持在電子政務領域全面鋪開[1]。

FICAM通過PKI技術集中、統一地給美國政府機關涉密人員發放數字身份證，并以此為基礎加強訪問控制管理。FICAM包含五個主要模塊，分別是身份管理模塊、證書管理模塊、訪問管理模塊、身份聯合模塊和審計與報告模塊。其工作原理是首先由身份管理模塊對訪問者生成可信數字身份，然后由證書管理模塊將數字身份綁定到數字證書上，最后通過訪問管理模塊和身份聯合模塊進行證書鑒權實現資源的訪問控制。整個FICAM基于PKI架構，其核心是證書管理模塊中的軍方CA機構，如國家安全局NSS根、國防部中間認證中心（DoD CA）、國防部分配認證中心（DoD Issuing CA）、聯邦調查局認證中心（FBI CA）等。截止2016年底，美國聯邦政府和軍方基本完成基于PKI框架的FICAM體系建設，雖然該框架仍存在訪問認證效率低下、涉密安全要求不統一、跨安全域傳輸能力匱乏等諸多問題，但也基本解決了涉密網絡人員身份驗證、安全域互操作和外部網絡對內部網絡的安全訪問問題，應用卓有成效。目前，FICAM主要應用于電子政務和軍事領域。

歐盟積極推廣eID電子身份證方案，在民用領域應用成績斐然。歐盟網絡發展戰略的重點任務之一是要建立網絡可信身份體系，并在歐盟范圍內形成一個統一的身份服務市場。根據戰略要求，歐盟成員國采用eID作為可信身份解決方案，用以識別身份、保護數據，降低網絡欺詐的風險。

eID采用高強度安全機制，可以確保密碼信息無法被讀取、復制、篡改或非法使用，從而確保eID和持有人一一對應。eID的簽發機構類似于PKI框架下的CA機構。當用戶需要在網上自證身份時候，只憑姓名和eID，不需要其他個人隱私信息，就可以在實名的網站完成注冊，而真實的個人信息保存在聯邦公民基本信息庫中，網站無法看到。網站將eID提交給聯網數據庫進行查詢，返回結果僅是狀態信息，即此人是否真實存在，以及eID是否有效，結果中并不帶有任何姓名、身份證號等個人隱私信息。這樣既達到了實名的真實性要求，又達到了保護個人隱私的目的。據最新統計，歐盟28個成員國中已有18個發行了eID，其中比利時使用人數已超過900萬，覆蓋了全國80%以上的人口。除了在eID身份驗證理論上進行研究，歐盟還在eID配套產品和公共平臺研發上持續加碼，如2009年啟動最大的芯片卡研究項目BioPass，研制符合國際標準的eID卡，開發具有高安全性與互操作性的eID卡平臺；2010-2015年開展的ISA項目，通過研發搭建公共平臺，包括敏感數據信息交換和共享平臺、多語言服務平臺、數據共享安全網絡平臺等，促進成員國的公共行政部門的合作；2012-2015年由德國弗勞恩霍夫工業工程研究所牽頭的FutureID項目，開發了用于移動設備的eID客戶端，為在線服務提供商開發功能多、易用性強的應用程序，并探索研究保障用戶隱私不受侵犯的新技術新應用等[2-4]。

2.2 支撐技術

網絡可信身份驗證應用的底層技術歸根結底是密碼技術，無論是PKI架構還是數字簽名應用都離不開密碼技術。自上世紀70年代開始，歐美等國就率先開始密碼技術的研究與應用，取得了大量先進成果，有利的支撐了網絡可信身份驗證應用的發展，其中主流的密碼算法有三大類：對稱加密算法、非對稱加密算法和雜湊算法。

對稱加密算法使用簡單，但存在密鑰存儲分發問題，廣泛應用于普通數據加密場合。對稱加密算法指加密密鑰和解密密鑰相同，或知道密鑰之一很容易推導得到另一個密鑰。對稱加密算法加解密速度非常快，但存在密鑰存儲分發問題，因此，這類算法適用于一般數據加密的場合。IBM公司在上世紀70年代首先提出DES算法，后該算法成為美國FIPS-46標準。但DES算法自推出后，其安全性一直廣受質疑，20世紀末不斷有研究機構成功攻破DES算法。隨后，美國NIST開始征集開發AES算法，歐洲也開始啟動NESSIE工程，最后確定AES算法可根據所需安全強度設定密鑰長度為128/192/256位。鑒于AES算法具有加解密運算速度極快的優點，該算法成為使用最為廣泛的對稱密碼算法。

非對稱加密算法為解決密鑰分發問題誕生，廣泛應用于重要領域加解密。非對稱加密算法，指用戶有兩個密鑰，一個公開密鑰，一個私有密鑰，并且從公開密鑰推導私有密鑰是極其困難的。公鑰加密算法完美解決了對稱加密算法的密鑰管理分發難題，在PKI架構和數字簽名中具有重要應用，但運算效率較低。美國在1978年首次提出基于大整數素因子分解的RSA算法，1985又提出了基于離散對數問題的ELGamal算法，其中RSA算法是目前應用較為廣泛。RSA算法的強度與其算法密鑰長度有關，RSA1024已經在2012年被美國密碼學家攻破，目前最新版本為RSA4096。由于過長的RSA密鑰會導致運算效率大大下降，美國NIST和歐洲NESSIE的專家又提出了橢圓曲線和超橢圓曲線密碼ECC，該算法只需282bit的密鑰長度即可媲美RSA4096的加密強度，運算效率大大提高，是目前非對稱密碼技術研究的熱點[5]。

雜湊算法專門解決信息的非法篡改問題，重點應用于數字簽名和數據完整性保護領域。雜湊算法又名哈希算法、摘要算法，它能夠將任意長度的消息壓縮成固定長度的摘要，能夠賦予每個消息唯一的“數字指紋”。雜湊算法與對稱/非對稱加密算法的區別是，后兩種算法是用于防止信息被竊取，而雜湊算法的目標是用于證明原文的完整性，也就是說用于防止信息被篡改。雜湊算法的典型代表是美國NIST發布的SHA系列，1995年SHA-1正式發布，經過二十余年的發展SHA-1算法逐漸成為互聯網最基礎的數字簽名算法。由于SHA家族算法本身的問題存在“碰撞”破解的可能性，SHA算法被攻破的時間僅依賴于所使用的計算能力，所以，歐美密碼學家不斷調整改進SHA算法，既SHA-1后推出SHA-224、SHA-256、SHA-384和SHA-512。2017年2月23日，谷歌聯合荷蘭CWI機構給出了SHA-1碰撞實例，攻破了SHA-1算法。

3 未來趨勢

從應用模式方面，基于傳統PKI架構的身份認證機制在某些應用環境下顯得設備復雜且效率低下，一些操作簡便、安全性更高的新型身份認證技術正蓬勃成長。從密碼技術方面，伴隨著云計算能力的大幅度提升，各類身份認證技術中的傳統密碼算法生命周期不斷縮短，一些新型加密技術不斷涌現，加密技術升級迭代速度顯著加快。

3.1 FIDO標準成為線上身份驗證研究的最新熱點，未來有望“殺死密碼”

FIDO線上快速身份驗證標準（以下簡稱FIDO標準）是由FIDO聯盟（Fast Identity Online Alliance）提出的一個開放的標準協議，旨在提供一個高安全性、跨平臺兼容性、極佳用戶體驗與用戶隱私保護的在線身份驗證技術架構。FIDO標準通過集成生物識別與非對稱加密兩大技術來完成用戶身份驗證，試圖終結多年來用戶必須記憶并使用大量復雜密碼的煩惱。因此，業內有人將之稱為“無密碼強驗證”技術，號稱該標準將“殺死密碼”，成為密碼的終結者。

目前FIDO標準已于2015年推出并完善了1.0版本，提出了U2F與UAF兩種用戶在線身份驗證協議。其中U2F協議兼容現有密碼驗證體系，在用戶進行高安全屬性的在線操作時，其需提供一個符合U2F協議的驗證設備作為第二身份驗證因素，即可保證交易足夠安全。而UAF則充分地吸收了移動智能設備所具有的新技術，更加符合移動用戶的使用習慣。在需要驗證身份時，智能設備利用生物識別技術（如指紋識別、面部識別、虹膜識別等）取得用戶授權，然后通過非對稱加密技術生成加密的認證數據供后臺服務器進行用戶身份驗證操作。整個過程可完全不需要密碼，真正意義上實現了“終結密碼”。根據UAF協議，用戶所有的個人生物數據與私有密鑰都只存儲在用戶設備中，無需經網絡傳送到網站服務器，而服務器只需存儲有用戶的公鑰即可完成用戶身份驗證。這樣就大大降低了用戶驗證信息暴露的風險。即使網站服務器被黑客攻擊，他們也得不到用戶驗證信息偽造交易，也消除了傳統密碼數據泄露后的連鎖式反應[6，7]。

目前，谷歌公司目前已經開發出支持U2F身份認證的Security Key，該裝置配合Chrome瀏覽器實現網站身份的自動鑒別，當用戶登錄的網站是通過驗證時，用戶無需輸入密碼，只需根據瀏覽器提示按下確認即可，若網站未通過驗證，則該裝置不會運行；科技公司Egistec推出的基于FIDO框架的Yukey認證器可以讓用戶通過指紋識別器及生物數據識別腕帶進行聯合身份認證；三星公司也在積極研發推出基于FIDO的身份認證解決方案，其安全身份認證框架和指紋讀取器均通過了FIDO認證；微軟公司在Windows10中全面支持FIDO 2.0版本標準，支持此標準的設備可以具有豐富的第三方生物識別功能，大大提升系統安全性和易用性。

3.2 區塊鏈技術有可能顛覆傳統的PKI身份驗證技術體系

目前國內外對區塊鏈技術的研究如火如荼，其去中心化、開放性、自治性、不可篡改性和匿名性決定了其未來會對金融和經濟帶來巨大的影響。而區塊鏈的典型應用之一就是在線身份驗證，其相比傳統PKI體系的優勢有幾點：一是身份信息更難篡改。每個人一出生便會形成自己的數字身份信息，同時得到一個公鑰和一個私鑰，利用時間戳技術形成區塊鏈，在共識機制保證下，數據篡改極為困難。二是系統信息分布式存放，系統上的所有節點均可下載存放最新、最全的身份認證信息。從此以后，人們不必再隨時攜帶自己的身份證，只需要通過公鑰證明“我是我”，通過私鑰自由管理自己的身份信息。三是激勵機制的存在促使用戶積極維護整個區塊鏈，保證系統長期良性運作，系統穩定性更高、維護成本更低[8-10]。

很多區塊鏈初創企業已經和傳統行業巨頭接觸進行身份認證產品試驗。例如區塊鏈企業ShoCard與航空服務商SITA合作開發了SITA Digital Traveler Identity App的身份認證應用。該應用融合了基于區塊鏈的數據和面部識別技術，致力于簡化航空公司乘客身份驗證流程，以及實現機場實時數據流；微軟宣布和Blockstack Labs、ConsenSys合作，推出基于區塊鏈技術的身份識別系統，實現人、產品、應用和服務的深度交互。IBM與法國國民互助信貸銀行。CréditMutuelArkéa）合作完成了一個基于區塊鏈技術的身份認證系統，該系統采用超級賬本（Hyperledger）區塊鏈框架引導客戶向第三方（比如本地公共部門或零售商）提供身份證明。

3.3 傳統加密算法升級迭代速度加快

基于數學運算的傳統加密算法是身份認證技術的基石，無論是PKI框架、FIDO體系還是區塊鏈模型都離不開它的支持，隨著云計算能力的快速增強，傳統加密算法的生命周期都在急劇縮短，可以預見未來傳統加密算法的升級迭代速度將顯著加快。2017年2月23日，谷歌公司與荷蘭CWI機構聯合破解了SHA-1算法并給出相應“碰撞”破解實例。這次破解的計算量相當于單個CPU計算6500年和單個GPU計算110年，就目前的PC硬件來看，依靠一臺電腦完成破解還不現實。但密碼學家認為，利用云計算技術破解SHA-1算法是較為容易實現的。這次事件足以能夠證實SHA-1算法已經不再安全。其實早在SHA-1算法被攻破之前，已經有MD5算法隨著PC計算能力的提升被攻破、淘汰。

3.4 以量子加密、輕量級加密為代表的新型加密算法將成為研究熱點

量子加密技術基于量子力學開發，其可行性在于，如果有人試圖攔截加密的內容，查看這個加密內容的行為將會改變內容。入侵者不但無法獲得加密的內容，而且授權人員會知道有人試圖獲取或篡改內容。目前主流發達國家都在進行量子加密前沿研究，英國、瑞士均已經實現基于BB84方案的30km距離的量子密鑰分發實驗；美國LosAlamos實驗室已經進行基于B92方案的48km量子密鑰傳送。在輕量級加密算法研制方面，歐美等國正積極研制針對RFID訪問控制、電子護照身份識別的專用壓縮算法，重點解決在計算能力、存儲能力、能量密度等硬件極度受限情況下的傳統密碼算法應用難題。未來，隨著云計算和物聯網技術的廣泛應用，量子加密和輕量級加密算法的需求將越來越大，未來有望成為新的研究熱點[11，12]。

4 對我國的啟示

4.1 以電子政務領域應用為突破口推進網絡可信身份技術體系的商業化應用

美國的FICAM體系的成功推廣與聯邦政府大力支持以及在電子政務和軍事領域的試點應用密不可分。我國電子政務平臺建設起步較晚，存在辦公應用系統各自獨立、數據無法互聯互通、訪問人員身份驗證接口不統一以及涉密信息傳輸管理混亂等諸多問題，可以借鑒美國經驗，在電子政務領域研究推廣適合我國國情的PKI身份認證體系，全面提高各級政府電子政務平臺系統安全性，推進網絡可信身份相關技術的落地。

4.2 加強相關配套產品和平臺的開發與建設，為可信身份技術的商業化應用提供保障

歐盟在可信身份技術配套理論、產品和平臺研究方面成效突出。如在加密算法、芯片卡、數據公共平臺、電子追蹤、互操作性等方面進行了大量創新研究和商業產品開發，保障了網絡身份管理的順利實施。我國在此方面還處于探索和跟隨階段，諸多網絡可信身份技術仍停留在實驗室研究階段，縱然我國網絡可信身份服務潛在需求巨大，但由于成熟的市場產品較少，難以支撐可信身份管理技術的推廣。建議政府加強引導，理順“產學研用”生態鏈，充分發揮企業在生產研發優勢，打造一批網絡可信身份服務代表產品、示范平臺，為可信身份技術的商業化應用提供保障。

4.3 加快FIDO和區塊鏈等創新技術在網絡可信身份領域的研究與應用

目前，國外學術界對FIDO和區塊鏈技術在可信身份認證領域的研究正如火如荼地展開，并在加密理論、標準框架等方面取得了很多成果；而以谷歌、微軟、IBM、三星等國際互聯網巨頭也都推出了一系列的基于FIDO和區塊鏈的身份認證產品和解決方案，以期快速布局全球身份認證服務市場。鑒于FIDO技術和區塊鏈技術研究剛剛興起，我國科研界與產業界應緊緊抓住此次機會，緊跟研究潮流，全面推進新型身份驗證技術的理論突破與商業化應用，建立完善相關產業鏈，實現“彎道超車”，奠定我國在該領域世界范圍內的領先地位。建議有關部門一是加強政策傾斜和財稅支持，鼓勵互聯網初創企業加強對區塊鏈等創新技術的研究和產品化；二是引導整合市場資源，鼓勵企業通過融資并購做大做強，集中力量實現關鍵技術的突破。

4.4 加快量子加密等新型密碼算法研究并順勢推進國產密碼算法升級替換工作

密碼算法是身份驗證技術的核心，2017年谷歌攻破SHA-1算法標志著傳統老舊算法已不再安全，未來可能會出現證書簽名仿冒等極其嚴重的事件。為此，一方面，我國科研單位應加快量子加密等新型加密算法的研究工作，在密碼算法理論、標準、應用模式上深入研究，盡快推出具有實用意義的量子加密樣機。另一方面，針對傳統加密算法，我國密碼主管部門和電子認證主管部門可借此機會強制要求各種重要應用系統都升級改造支持我國SM3加密算法應用，確保各個系統的安全。重要的銀行交易系統和結算系統、證券交易系統和結算系統必須在近期內完成所有采用SHA-1算法系統的升級更新，有些系統的確短時間內無法支持SM3的，必須升級為SHA-2算法；水利、電力、高鐵、核電、軍事等關鍵信息基礎設施系統也必須在近期內完成升級改造；要求擁有工信部CA許可證的CA必須停止簽發SHA-1證書，并在一年內完成用戶數字證書的升級替換為SM3或SHA-2的工作；其他所有依賴于SHA-1簽名算法的所有系統必須在一年內完成升級改造。

參考文獻

[1] 羅軍舟， 楊明， 凌振，等.網絡空間安全體系與關鍵技術[J].中國科學：信息科學， 2016（08）：939-968.

[2] 郝平， 何恩.主動身份認證技術及其研究進展[J].通信技術， 2015（05）：514-518.

[3] 趙曉芳.構建eID網絡可信生態的探索與體會[J].國家治理， 2015（Z1）：61.

[4] 方濱興，陶雄強，田冰.如何推廣網絡身份識別（eID）[J].人民論壇， 2016（04）：51.

[5] 郭林鳳.基于RSA的動態口令身份認證技術研究[D].河北工程大學， 2012.

[6] 王耀龍.基于FIDO架構在線指紋識別系統客戶端的設計與實現[D].北京交通大學， 2015.

[7] 郭茂文.基于FIDO協議的指紋認證方案研究[J].廣東通信技術， 2016（04）：2-5.

[8] 閻軍智， 彭晉， 左敏，等.基于區塊鏈的PKI數字證書系統[J].電信工程技術與標準化， 2017（11）：16-20.

[9] 鄧迪. 區塊鏈技術最新的認識和成果[J].新經濟， 2016（19）：90-91.

[10] 庹小忠. 區塊鏈在身份認證中的應用[J]. 科技經濟導刊， 2017（03）：26-27.

[11] 龔晶， 何敏， 鄧元慶， 等. 基于網絡的量子身份認證方案[J]. 量子光學學報， 2009，15（4）：336-341.

[12] 潘晶鑫.口令身份認證和非等概量子認證協議的研究[D].南京郵電大學， 2013.