高凱燁

摘 要：目前，我國(guó)網(wǎng)絡(luò)可信身份應(yīng)用已在金融、物流、能源、農(nóng)業(yè)和食品安全等領(lǐng)域蓬勃發(fā)展。論文分析電子政務(wù)、電子商務(wù)和公共服務(wù)三個(gè)領(lǐng)域網(wǎng)絡(luò)可信身份應(yīng)用的基本情況，并據(jù)此總結(jié)出網(wǎng)絡(luò)可信身份應(yīng)用的三個(gè)特點(diǎn)，分別是在線身份管理服務(wù)共用共享實(shí)現(xiàn)爆發(fā)式增長(zhǎng)、多模式多安全等級(jí)電子認(rèn)證成為最佳選擇和基于大數(shù)據(jù)的行為追溯強(qiáng)化了網(wǎng)絡(luò)可信身份管理。

關(guān)鍵詞：網(wǎng)絡(luò)可信身份應(yīng)用；身份認(rèn)證方式

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

網(wǎng)絡(luò)身份已經(jīng)成為互聯(lián)網(wǎng)的重要戰(zhàn)略資源，其認(rèn)證服務(wù)模式和認(rèn)證方式的應(yīng)用也在發(fā)生巨大變化。生物特征識(shí)別、云計(jì)算、大數(shù)據(jù)等技術(shù)的融合發(fā)展，極大地促進(jìn)了網(wǎng)絡(luò)可信身份在金融、政務(wù)、醫(yī)療等各大領(lǐng)域的應(yīng)用。本文分析了電子政務(wù)、電子商務(wù)和公共服務(wù)領(lǐng)域的主流網(wǎng)絡(luò)可信身份認(rèn)證方式和技術(shù)，并據(jù)此總結(jié)網(wǎng)絡(luò)可信身份應(yīng)用的發(fā)展特點(diǎn)。

2 應(yīng)用基本情況

2.1 電子政務(wù)領(lǐng)域——以數(shù)字證書為主的身份認(rèn)證方式

電子政務(wù)應(yīng)用不但對(duì)系統(tǒng)安全性和穩(wěn)定性要求極高，在稅務(wù)（網(wǎng)上報(bào)稅）、海關(guān)（報(bào)關(guān)單網(wǎng)上申報(bào)）、工商（電子營(yíng)業(yè)執(zhí)照）等領(lǐng)域還要求對(duì)申報(bào)人的申報(bào)行為進(jìn)行抗抵賴。基于PKI技術(shù)的數(shù)字證書認(rèn)證方式憑借其高安全性、可靠性和抗抵賴性特別適合電子政務(wù)身份認(rèn)證應(yīng)用，近年來(lái)其已經(jīng)逐漸占據(jù)主流地位。據(jù)賽迪智庫(kù)統(tǒng)計(jì)，2017年，應(yīng)用在電子政務(wù)領(lǐng)域的有效數(shù)字證書約1200萬(wàn)張，分布非常廣泛，包括稅務(wù)、工商、質(zhì)監(jiān)、組織機(jī)構(gòu)代碼、社保、公積金、政務(wù)內(nèi)網(wǎng)、采購(gòu)招投標(biāo)、行政審批、海關(guān)、房地產(chǎn)、民政、財(cái)政、計(jì)生系統(tǒng)、公安、工程建設(shè)、藥品監(jiān)管等，其中稅務(wù)中應(yīng)用的數(shù)字證書最多，超過(guò)了500萬(wàn)張。

2.2 電子商務(wù)領(lǐng)域——多維度融合身份認(rèn)證方式

在電子商務(wù)領(lǐng)域中，身份認(rèn)證技術(shù)的應(yīng)用受業(yè)務(wù)場(chǎng)景、用戶習(xí)慣和安全性共同影響決定，與電子政務(wù)領(lǐng)域相比，身份認(rèn)證技術(shù)選擇種類更多，用戶實(shí)際使用中往往同時(shí)使用兩種以上的認(rèn)證技術(shù)。

以支付寶為例，支付寶目前提供“賬號(hào)+口令”“口令+手機(jī)驗(yàn)證碼”“文件證書”“支付盾”“指紋識(shí)別”“面部識(shí)別”“聲紋識(shí)別”“掃碼授權(quán)”等多種不同的用戶身份認(rèn)證方式，用戶不同場(chǎng)景自主選擇相應(yīng)身份認(rèn)證方式組合。例如，在PC端對(duì)賬戶進(jìn)行小額轉(zhuǎn)賬（如50元以下）支付交易時(shí)，多采用“賬號(hào)+口令”“口令+手機(jī)驗(yàn)證碼”和手機(jī)“掃碼授權(quán)”等方式。

在PC端進(jìn)行大額轉(zhuǎn)賬、支付交易等業(yè)務(wù)時(shí)，則主要使用“賬號(hào)+口令+數(shù)字證書”（文件證書或“支付盾”）認(rèn)證方式。在手機(jī)端進(jìn)行小額轉(zhuǎn)賬（如50元以下）、支付交易時(shí)，一般采用“賬號(hào)+口令”“口令+動(dòng)態(tài)驗(yàn)證碼”認(rèn)證方式。

在手機(jī)端進(jìn)行大額支付時(shí)，目前主要采用“生物識(shí)別”（TouchID指紋、FaceID面部或者聲紋識(shí)別）+“移動(dòng)數(shù)字證書”/口令/手機(jī)驗(yàn)證碼進(jìn)行多重認(rèn)證的方式。

除此之外，支付寶還通過(guò)對(duì)用戶歷史登錄和支付行為進(jìn)行大數(shù)據(jù)分析、建模，對(duì)可疑登錄和支付操作進(jìn)行自動(dòng)質(zhì)疑、阻止和通知，誤識(shí)率低于1%。據(jù)賽迪智庫(kù)統(tǒng)計(jì)，截至2017年底，超過(guò)80%的網(wǎng)購(gòu)用戶在進(jìn)行網(wǎng)絡(luò)支付中使用兩種以上身份認(rèn)證方式，其中又有80%以上的用戶經(jīng)常使用指紋識(shí)別+手機(jī)驗(yàn)證碼的組合認(rèn)證方式。

2.3 公共服務(wù)領(lǐng)域——以第三方賬號(hào)授權(quán)登錄為主的身份認(rèn)證方式

當(dāng)前，越來(lái)越多的社交應(yīng)用選擇加入了一個(gè)或多個(gè)由大型互聯(lián)網(wǎng)廠商提供的身份認(rèn)證平臺(tái)，接受由認(rèn)證平臺(tái)提供的外部身份服務(wù)。對(duì)應(yīng)用開發(fā)商來(lái)講，此舉降低了用戶注冊(cè)、登錄時(shí)間成本，間接擴(kuò)大了應(yīng)用的用戶群；對(duì)平臺(tái)提供商來(lái)講，多元化的第三方應(yīng)用的加入也更好地滿足了平臺(tái)用戶需求。

目前，主流的第三方授權(quán)登錄服務(wù)平臺(tái)有騰訊的QQ互聯(lián)、新浪微博的微連接、淘寶/支付寶賬號(hào)登錄和人人賬號(hào)登錄等，普遍使用OAuth和OpenID技術(shù)。據(jù)賽迪智庫(kù)統(tǒng)計(jì)，截至2017年12月，超過(guò)10萬(wàn)個(gè)第三方應(yīng)用已經(jīng)接入或已提交接入騰訊開放平臺(tái)的申請(qǐng)，有3萬(wàn)家網(wǎng)站已經(jīng)使用了QQ互聯(lián)的登錄系統(tǒng)；接入新浪微博開放平臺(tái)的連接網(wǎng)站已經(jīng)超過(guò)18萬(wàn)家；接入支付寶和淘寶開放平臺(tái)的第三方應(yīng)用已經(jīng)超過(guò)20萬(wàn)個(gè)，網(wǎng)站超過(guò)5萬(wàn)個(gè)。據(jù)公開資料顯示，截至2017年底，85%以上的網(wǎng)民使用過(guò)第三方授權(quán)登錄服務(wù)，50%的網(wǎng)民經(jīng)常使用該服務(wù)。

3 應(yīng)用發(fā)展特點(diǎn)

3.1 在線身份管理服務(wù)共用共享實(shí)現(xiàn)爆發(fā)式增長(zhǎng)

當(dāng)一個(gè)用戶使用多個(gè)機(jī)構(gòu)的服務(wù)時(shí)，仍舊需要使用多套賬戶，機(jī)構(gòu)與機(jī)構(gòu)之間的跨機(jī)構(gòu)訪問(wèn)，以機(jī)構(gòu)為中心的身份管理也難以應(yīng)對(duì)。目前，身份管理已經(jīng)打破應(yīng)用或者機(jī)構(gòu)邊界，逐步形成以用戶為中心的身份管理。以用戶為中心的身份管理能夠確保用戶用少量的身份，使用跨機(jī)構(gòu)、跨地域、甚至跨國(guó)界的服務(wù)。業(yè)界已涌現(xiàn)出一系列標(biāo)準(zhǔn)，用于不同的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)之間的互聯(lián)互通，以及跨域進(jìn)行訪問(wèn)授權(quán)。例如，OpenID、SAML、OAuth、FIDO等國(guó)際標(biāo)準(zhǔn)已得到廣泛應(yīng)用，被大量國(guó)內(nèi)外主流的互聯(lián)網(wǎng)企業(yè)所采用。

在網(wǎng)絡(luò)應(yīng)用和身份大規(guī)模增長(zhǎng)的現(xiàn)狀下，身份管理系統(tǒng)共享共用在為個(gè)體提供選擇和便利、為應(yīng)用節(jié)省成本的同時(shí)，也能更好地保護(hù)用戶的個(gè)人信息。在共享共用的身份管理系統(tǒng)里，作為身份管理服務(wù)企業(yè)，通過(guò)身份入口掌握用戶信息，同時(shí)通過(guò)提供身份服務(wù)獲取商業(yè)利益。作為應(yīng)用提供商，可選擇不同的身份管理系統(tǒng)，自己不需要管理用戶。作為個(gè)人，可自由選擇身份管理系統(tǒng)，其個(gè)人信息放在較安全的身份管理系統(tǒng)，有利于身份信息的管理和隱私保護(hù)。

3.2 多模式多安全等級(jí)身份認(rèn)證成為最佳選擇

互聯(lián)網(wǎng)應(yīng)用和服務(wù)層出不窮、形式多樣、更新頻繁，不同網(wǎng)絡(luò)應(yīng)用或服務(wù)對(duì)用戶的可信安全需求也各不相同。即使相同的應(yīng)用，在不同的環(huán)境和場(chǎng)景下對(duì)用戶的鑒別也有不同的安全要求。支持多等級(jí)的安全身份鑒別，以滿足不同類型、不同規(guī)模的應(yīng)用在安全性、隱私保護(hù)能力、賠付能力等方面的差異化需求是現(xiàn)代身份鑒別的重要內(nèi)容。應(yīng)用或服務(wù)可能需要針對(duì)不同的用戶和應(yīng)用場(chǎng)景，配置不同的安全策略。舉例來(lái)說(shuō)，對(duì)于需要處理不太敏感信息的應(yīng)用，僅通過(guò)一般鑒別強(qiáng)度的用戶實(shí)體就可使用；對(duì)于安全風(fēng)險(xiǎn)較大的環(huán)境，需要使用更強(qiáng)鑒別功能的令牌。

針對(duì)不同的應(yīng)用/機(jī)構(gòu)/軟件/服務(wù)，根據(jù)相應(yīng)的安全需求，制定多安全等級(jí)的認(rèn)證策略，采用不同安全要求的身份鑒別技術(shù)，以達(dá)到更好的安全性和易用性的平衡。

3.3 基于大數(shù)據(jù)的行為追溯強(qiáng)化了網(wǎng)絡(luò)可信身份管理

在目前的網(wǎng)絡(luò)可信身份管理技術(shù)發(fā)展趨勢(shì)下，個(gè)體的身份、行為信息存儲(chǔ)在身份管理機(jī)構(gòu)，隨著大數(shù)據(jù)在各行各業(yè)的應(yīng)用和發(fā)展，可通過(guò)構(gòu)建網(wǎng)絡(luò)身份與行為數(shù)據(jù)中心，實(shí)現(xiàn)對(duì)用戶在不同身份管理機(jī)構(gòu)的身份關(guān)聯(lián)，從而完成用戶行為預(yù)測(cè)和網(wǎng)絡(luò)可信感知。

通過(guò)與身份管理機(jī)構(gòu)進(jìn)行用戶身份與行為數(shù)據(jù)的交換，利用不斷積累起來(lái)的歷史元數(shù)據(jù)，可以獲得用戶身份關(guān)聯(lián)、行為預(yù)測(cè)、網(wǎng)絡(luò)可信感知等能力，建立用戶網(wǎng)絡(luò)活動(dòng)信用檔案，提高追溯能力。通過(guò)對(duì)用戶行為大數(shù)據(jù)的監(jiān)控與預(yù)測(cè)，可以發(fā)現(xiàn)異常行為提前預(yù)警，實(shí)現(xiàn)快速追蹤；還可實(shí)現(xiàn)網(wǎng)絡(luò)可信感知和網(wǎng)絡(luò)宏觀狀態(tài)發(fā)現(xiàn)，包括上網(wǎng)流量分析、網(wǎng)絡(luò)關(guān)注度分析、異常分析和報(bào)警等。

4 結(jié)束語(yǔ)

通過(guò)對(duì)不同領(lǐng)域網(wǎng)絡(luò)可信應(yīng)用的研究，發(fā)現(xiàn)在電子政務(wù)領(lǐng)域，身份認(rèn)證應(yīng)用對(duì)于系統(tǒng)安全性、穩(wěn)定性和行為的可追溯、可審計(jì)性要求最高，因而采用多采用基于數(shù)字證書的身份認(rèn)證方式；在電子商務(wù)領(lǐng)域，由于用戶的習(xí)慣和身份認(rèn)證場(chǎng)景多樣，一般采用多種身份認(rèn)證技術(shù)聯(lián)合應(yīng)用的方式；在公共服務(wù)領(lǐng)域，多采用第三方賬號(hào)授權(quán)的身份認(rèn)證方式，其優(yōu)點(diǎn)在于能夠降低了用戶注冊(cè)、登錄時(shí)間成本，擴(kuò)大應(yīng)用的用戶群。未來(lái)，網(wǎng)絡(luò)可信身份認(rèn)證應(yīng)用將向在線身份管理服務(wù)共用共享、多模式多安全等級(jí)身份認(rèn)證和基于大數(shù)據(jù)的行為追溯等方向發(fā)展。

參考文獻(xiàn)

[1] 陳左寧.網(wǎng)絡(luò)空間可信戰(zhàn)略問(wèn)題的思考[J].網(wǎng)絡(luò)空間安全， 2018（1）.

[2] 石玲玲，周陽(yáng)，呂博.面向空間信息系統(tǒng)的可信認(rèn)證機(jī)制研究[J].網(wǎng)絡(luò)空間安全， 2017， 8（10）：15-20.

[3] 顧青，謝超，馮四風(fēng).網(wǎng)絡(luò)可信身份管理體系研究[J].網(wǎng)絡(luò)空間安全， 2016， 2（10）：931-935.