漫談網絡身份的安全

2015-06-05 14:38:36 大云網　點擊量：評論 (0)

網絡已日漸成為我們日常生活的基本元素，而網絡空間中用戶身份的確認已成為大多數互聯網業務的前提。因此，網絡身份的安全日益受到普遍關注,美國、歐盟及其成員國、俄羅斯等都已從戰略計劃、技術研發、標準制定

網絡已日漸成為我們日常生活的基本元素，而網絡空間中用戶身份的確認已成為大多數互聯網業務的前提。因此，網絡身份的安全日益受到普遍關注,美國、歐盟及其成員國、俄羅斯等都已從戰略計劃、技術研發、標準制定、法律法規等方面大力推進網絡身份管理工作，從國家頂層設計層面保障公民網絡身份安全。

2012年12月28日，全國人大常委會通過了的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，特別強調了網絡信息發布的實名要求和網絡用戶的隱私保護。但是，現在公民上網申請互聯網服務機構的應用服務時，在注冊環節往往需要向互聯網服務機構的后臺提供本人的身份信息，有的互聯網服務機構還要求用戶通過手機短信等方式進一步認證，其結果是用“網絡真名”代替了“網絡實名”。

公民在使用真實身份完成注冊后將面臨多種安全威脅，最突出的就是身份信息和個人隱私信息的泄漏，被泄露的原因有多種，一是互聯網服務機構自身的安全防護能力不夠，被黑客攻入而使后臺數據遭竊；二是互聯網服務機構內部疏于管理，內部人員盜賣信息。造成的后果包括賬號被盜竊后的個人數字財富損失、身份假冒后的犯罪行為以及相關的各種詐騙活動。其中，電信詐騙案件的泛濫同個人身份信息和隱私信息泄露案件密不可分，我們注意到十幾年前，陌生電話往往只是推銷，而現在的陌生電話往往是犯罪分子掌握了個人身份和隱私信息而對被害人實施的精準詐騙。電信和網絡詐騙2011～2013年每年呈70%的復合增長，公安部有關部門攔截和360互聯網安全中心統計被標記的詐騙電話每年上億次。據統計，我國的互聯網應用有6.5億網民和355萬個在冊的服務網站，身份盜用和網絡欺詐每年造成的相關損失高達數千億元。

正是由于目前我國網絡身份認證普遍基于個人身份信息比對和手機認證這些方式的缺陷，使得盜竊和倒賣個人身份信息、身份證證件照片等案件屢禁不止，甚至還有經營買賣第二代身份證的非法網站。可以預言只要基于身份信息比對建立網絡信任的方法不改變，倒賣身份信息的案件將長期存在。

目前，關于網絡遠程身份識別的大規模應用還有一個認識誤區就是非常火爆的生物特征識別，包括照片、影像和指紋遠程識別等技術。我們必須認識到，生物識別技術如果用于網絡遠程身份識別的大規模應用場景，那就不僅僅是生物識別技術本身的識別率有多高，而是要面對網絡遠程識別端環境的不可控問題，存在著公民強生物特征（如指紋特征信息等）被竊取的重大隱患。并且，一旦公民生物特征被竊取，網絡身份的偽造、盜用將更加泛濫。因此，生物識別技術至多只能作為網絡遠程身份識別的輔助手段。國際上生物特征識別技術在網絡大規模的應用實踐中，只是在終端設備上取代傳統的密碼輸入，最常見的如蘋果手機的TouchID指紋開機，蘋果聲稱指紋特征信息只存在手機的安全芯片里、技術安全上保證不出手機本身的。

安全的網絡身份和賬號控制必須基于密碼設備，例如我國銀行業普遍使用的、基于非對稱密碼技術的U盾或者動態令牌。當然，銀行的設備僅限于自身電子銀行的網絡應用，因此，對于整個社會的網絡應用，應當由國家來統一推動網絡身份識別公共安全基礎設施的建設。

“十二五”期間，在國家科技部、發改委、公安部、工信部、國家互聯網信息辦公室等部委的大力支持，公安部第三研究所牽頭了所有網絡身份管理相關的國家級重大科研項目，聯合多家單位制定了相應的國家和行業標準體系，我所承建的“公安部公民網絡身份識別系統”經過國家密碼管理局的安全審查并投入運營。我們研發的eID是以密碼技術為基礎，以智能安全芯片為載體，使得上網公民能夠在不泄露身份信息的前提下，在互聯網上遠程證明自己的身份并控制賬號。同時，eID的技術規范還要求接入eID應用的互聯網服務機構后臺不能直接存儲用戶的身份信息和手機號等，只能直接存儲用戶對應的編碼，最大程度地保護用戶的身份信息和隱私信息從而徹底堵住個人身份和隱私信息泄露的源頭。

在eID發行、服務和應用、以及產業環境建設方面，公安部第三研究所以“開放”和“有序”為原則，充分調動和集聚社會各方的資源來參與eID生態圈的建設。在發行方面，我們與幾家商業銀行簽訂了合作協議，利用金融IC卡（即安全密碼設備）、銀行柜面的渠道資源以及面簽程序發行加載eID的金融IC卡，其中，工商銀行作為首家eID登記發行機構已經在全國發行了1600萬張eID金融IC卡，達到了每天近10萬張的發行速度；在服務和應用方面，金聯匯通作為首家eID網絡身份服務提供機構，已經同奇虎360、信達證券等合作分別開發了嵌入“360生活助手”的保護身份信息的身份識別和eID貼卡支付、以及證券遠程開戶手機應用產品等將陸續上線發布；在產業環境建設方面，天喻、華虹、華大、大唐、東信和平、復旦微電子、恒寶、中鈔等IC卡商以及德卡信息、動聯、支付通等機具商按照eID硬件相關安全規范的要求展開了廣泛的合作。

目前，eID的發行和應用試點受到了媒體、互聯網企業、金融業、政府有關部門和法律界的廣泛關注。接下來，我們將加快eID生態圈的建設，一是要加大eID的發行力度，同時要接入更多的應用；二是要同媒體的深度合作加強輿論的引導和宣傳；三是要推動國家出臺對eID相應的政策支持和投入，最終推動eID網絡身份識別公共安全基礎設施的建設上升到國家戰略。(公安部第三研究所胡傳平)