宋憲榮 張猛

摘 要：隨著人類活動不斷向網(wǎng)絡(luò)空間延伸，網(wǎng)絡(luò)空間被視為繼陸、海、空、天之后的“第五疆域”，對國際政治、經(jīng)濟、文化、社會、軍事等領(lǐng)域都產(chǎn)生了深刻影響。開展網(wǎng)絡(luò)身份管理、確保網(wǎng)絡(luò)主體身份可信、行為可追溯等已成為網(wǎng)絡(luò)空間治理的重要內(nèi)容。我國《網(wǎng)絡(luò)安全法》也明確指出“國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認(rèn)證技術(shù)，推動不同電子身份認(rèn)證之間的互認(rèn)”。論文重點梳理了歐美等國在發(fā)展可信身份認(rèn)證技術(shù)上的先進做法，分析了可信身份認(rèn)證技術(shù)在加密算法等方面的未來發(fā)展趨勢，最終引出發(fā)展我國網(wǎng)絡(luò)可信身份技術(shù)的經(jīng)驗與啟示。

關(guān)鍵詞：網(wǎng)絡(luò)空間；可信身份認(rèn)證；加密算法；發(fā)展趨勢

中圖分類號： TP393 文獻標(biāo)識碼：A

Present situation and trend of the foreign network trusted identity authentication technology and its enlightenment to china

Abstract： As human activities extend to cyberspace， cyberspace is regarded as the "fifth space" after land， sea， air and sky， which has a profound impact on international politics， economy， culture， society， military and other fields. It has become an important content of network space management to carry out network identity management， ensure the identity of the network main body， and the traceability of the behavior. China's network security law also points out that "the State implements the network trusted identity strategy， supports the research and development of secure and convenient electronic identity authentication technology， and promotes the mutual recognition between different electronic identity authentications". This article focuses on the advanced practices of developing trusted identity authentication technology in Europe and America， analyzes the future development trend of trusted identity authentication technology in encryption algorithm and so on， and finally leads to the experience and inspiration of developing our network trusted identity technology.

Key words： cyberspace； identity authentication； encryption algorithm； development trend

1 引言

當(dāng)今時代，信息革命給生產(chǎn)力帶來了又一次質(zhì)的飛躍，物聯(lián)網(wǎng)、大數(shù)據(jù)等日益成為創(chuàng)新驅(qū)動發(fā)展的先導(dǎo)力量，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的“第五疆域”。隨著人們對網(wǎng)絡(luò)空間的依賴度越來越高，網(wǎng)絡(luò)空間中信息交流和互動越來越多，網(wǎng)絡(luò)已經(jīng)成為推動社會發(fā)展的重要工具，網(wǎng)絡(luò)實體資源已經(jīng)成為網(wǎng)絡(luò)空間的戰(zhàn)略資源。與此同時，面臨的網(wǎng)絡(luò)主體身份難以確認(rèn)，網(wǎng)絡(luò)資源非授權(quán)訪問等網(wǎng)絡(luò)安全問題日益突出，極大地阻礙了網(wǎng)絡(luò)經(jīng)濟發(fā)展，公民個人隱私、國家安全和社會穩(wěn)定面臨著嚴(yán)重的威脅。世界各發(fā)達國家紛紛計劃和實施網(wǎng)絡(luò)可信身份國家發(fā)展戰(zhàn)略，構(gòu)建可信網(wǎng)絡(luò)空間，維護國家網(wǎng)絡(luò)空間主體身份管理主權(quán)，保障關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)資源安全，促進網(wǎng)絡(luò)經(jīng)濟發(fā)展。2016年我國頒布的《網(wǎng)絡(luò)安全法》中第二十四條提到，“國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認(rèn)證技術(shù)，推動不同電子身份認(rèn)證之間的互認(rèn)”。因此，梳理研究國外網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)發(fā)展現(xiàn)狀和趨勢，針對我國國情提出相關(guān)意見建議對推進我國網(wǎng)絡(luò)可信體系建設(shè)具有重要意義。

2 發(fā)展現(xiàn)狀

2.1 應(yīng)用模式

美國大力發(fā)展基于PKI框架的FICAM數(shù)字身份證方案，在政務(wù)領(lǐng)域應(yīng)用卓有成效。FICAM的前身是美國網(wǎng)絡(luò)安全委員會CNSS在2008年前后提出的ICAM（Identity Credential and Access Management），目的是在美國涉密信息系統(tǒng)中建立統(tǒng)一的身份、證書和訪問管理系統(tǒng)，解決聯(lián)邦涉密網(wǎng)絡(luò)間的協(xié)同工作和身份認(rèn)證問題。ICAM發(fā)布之初并未得到過多重視，但在2009年前后，美國政府接連發(fā)生嚴(yán)重泄密事件，特別是“維基解密事件”的發(fā)生使得聯(lián)邦政府高度重視涉密系統(tǒng)身份驗證及文檔訪問控制。2009年5月奧巴馬政府發(fā)布《網(wǎng)絡(luò)空間安全評估報告》，將建立身份管理系統(tǒng)被作為一項重大任務(wù)提出，ICAM系統(tǒng)因而得到聯(lián)邦政府資助正式演變成FICAM。而在之后的2011年4月隨著奧巴馬政府簽署《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》將建設(shè)網(wǎng)絡(luò)空間可信身份體系提高到國家戰(zhàn)略層面，F(xiàn)ICAM技術(shù)研究也得到政府的重要支持在電子政務(wù)領(lǐng)域全面鋪開[1]。

FICAM通過PKI技術(shù)集中、統(tǒng)一地給美國政府機關(guān)涉密人員發(fā)放數(shù)字身份證，并以此為基礎(chǔ)加強訪問控制管理。FICAM包含五個主要模塊，分別是身份管理模塊、證書管理模塊、訪問管理模塊、身份聯(lián)合模塊和審計與報告模塊。其工作原理是首先由身份管理模塊對訪問者生成可信數(shù)字身份，然后由證書管理模塊將數(shù)字身份綁定到數(shù)字證書上，最后通過訪問管理模塊和身份聯(lián)合模塊進行證書鑒權(quán)實現(xiàn)資源的訪問控制。整個FICAM基于PKI架構(gòu)，其核心是證書管理模塊中的軍方CA機構(gòu)，如國家安全局NSS根、國防部中間認(rèn)證中心（DoD CA）、國防部分配認(rèn)證中心（DoD Issuing CA）、聯(lián)邦調(diào)查局認(rèn)證中心（FBI CA）等。截止2016年底，美國聯(lián)邦政府和軍方基本完成基于PKI框架的FICAM體系建設(shè)，雖然該框架仍存在訪問認(rèn)證效率低下、涉密安全要求不統(tǒng)一、跨安全域傳輸能力匱乏等諸多問題，但也基本解決了涉密網(wǎng)絡(luò)人員身份驗證、安全域互操作和外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的安全訪問問題，應(yīng)用卓有成效。目前，F(xiàn)ICAM主要應(yīng)用于電子政務(wù)和軍事領(lǐng)域。

歐盟積極推廣eID電子身份證方案，在民用領(lǐng)域應(yīng)用成績斐然。歐盟網(wǎng)絡(luò)發(fā)展戰(zhàn)略的重點任務(wù)之一是要建立網(wǎng)絡(luò)可信身份體系，并在歐盟范圍內(nèi)形成一個統(tǒng)一的身份服務(wù)市場。根據(jù)戰(zhàn)略要求，歐盟成員國采用eID作為可信身份解決方案，用以識別身份、保護數(shù)據(jù)，降低網(wǎng)絡(luò)欺詐的風(fēng)險。

eID采用高強度安全機制，可以確保密碼信息無法被讀取、復(fù)制、篡改或非法使用，從而確保eID和持有人一一對應(yīng)。eID的簽發(fā)機構(gòu)類似于PKI框架下的CA機構(gòu)。當(dāng)用戶需要在網(wǎng)上自證身份時候，只憑姓名和eID，不需要其他個人隱私信息，就可以在實名的網(wǎng)站完成注冊，而真實的個人信息保存在聯(lián)邦公民基本信息庫中，網(wǎng)站無法看到。網(wǎng)站將eID提交給聯(lián)網(wǎng)數(shù)據(jù)庫進行查詢，返回結(jié)果僅是狀態(tài)信息，即此人是否真實存在，以及eID是否有效，結(jié)果中并不帶有任何姓名、身份證號等個人隱私信息。這樣既達到了實名的真實性要求，又達到了保護個人隱私的目的。據(jù)最新統(tǒng)計，歐盟28個成員國中已有18個發(fā)行了eID，其中比利時使用人數(shù)已超過900萬，覆蓋了全國80%以上的人口。除了在eID身份驗證理論上進行研究，歐盟還在eID配套產(chǎn)品和公共平臺研發(fā)上持續(xù)加碼，如2009年啟動最大的芯片卡研究項目BioPass，研制符合國際標(biāo)準(zhǔn)的eID卡，開發(fā)具有高安全性與互操作性的eID卡平臺；2010-2015年開展的ISA項目，通過研發(fā)搭建公共平臺，包括敏感數(shù)據(jù)信息交換和共享平臺、多語言服務(wù)平臺、數(shù)據(jù)共享安全網(wǎng)絡(luò)平臺等，促進成員國的公共行政部門的合作；2012-2015年由德國弗勞恩霍夫工業(yè)工程研究所牽頭的FutureID項目，開發(fā)了用于移動設(shè)備的eID客戶端，為在線服務(wù)提供商開發(fā)功能多、易用性強的應(yīng)用程序，并探索研究保障用戶隱私不受侵犯的新技術(shù)新應(yīng)用等[2-4]。

2.2 支撐技術(shù)

網(wǎng)絡(luò)可信身份驗證應(yīng)用的底層技術(shù)歸根結(jié)底是密碼技術(shù)，無論是PKI架構(gòu)還是數(shù)字簽名應(yīng)用都離不開密碼技術(shù)。自上世紀(jì)70年代開始，歐美等國就率先開始密碼技術(shù)的研究與應(yīng)用，取得了大量先進成果，有利的支撐了網(wǎng)絡(luò)可信身份驗證應(yīng)用的發(fā)展，其中主流的密碼算法有三大類：對稱加密算法、非對稱加密算法和雜湊算法。

對稱加密算法使用簡單，但存在密鑰存儲分發(fā)問題，廣泛應(yīng)用于普通數(shù)據(jù)加密場合。對稱加密算法指加密密鑰和解密密鑰相同，或知道密鑰之一很容易推導(dǎo)得到另一個密鑰。對稱加密算法加解密速度非常快，但存在密鑰存儲分發(fā)問題，因此，這類算法適用于一般數(shù)據(jù)加密的場合。IBM公司在上世紀(jì)70年代首先提出DES算法，后該算法成為美國FIPS-46標(biāo)準(zhǔn)。但DES算法自推出后，其安全性一直廣受質(zhì)疑，20世紀(jì)末不斷有研究機構(gòu)成功攻破DES算法。隨后，美國NIST開始征集開發(fā)AES算法，歐洲也開始啟動NESSIE工程，最后確定AES算法可根據(jù)所需安全強度設(shè)定密鑰長度為128/192/256位。鑒于AES算法具有加解密運算速度極快的優(yōu)點，該算法成為使用最為廣泛的對稱密碼算法。

非對稱加密算法為解決密鑰分發(fā)問題誕生，廣泛應(yīng)用于重要領(lǐng)域加解密。非對稱加密算法，指用戶有兩個密鑰，一個公開密鑰，一個私有密鑰，并且從公開密鑰推導(dǎo)私有密鑰是極其困難的。公鑰加密算法完美解決了對稱加密算法的密鑰管理分發(fā)難題，在PKI架構(gòu)和數(shù)字簽名中具有重要應(yīng)用，但運算效率較低。美國在1978年首次提出基于大整數(shù)素因子分解的RSA算法，1985又提出了基于離散對數(shù)問題的ELGamal算法，其中RSA算法是目前應(yīng)用較為廣泛。RSA算法的強度與其算法密鑰長度有關(guān)，RSA1024已經(jīng)在2012年被美國密碼學(xué)家攻破，目前最新版本為RSA4096。由于過長的RSA密鑰會導(dǎo)致運算效率大大下降，美國NIST和歐洲NESSIE的專家又提出了橢圓曲線和超橢圓曲線密碼ECC，該算法只需282bit的密鑰長度即可媲美RSA4096的加密強度，運算效率大大提高，是目前非對稱密碼技術(shù)研究的熱點[5]。

雜湊算法專門解決信息的非法篡改問題，重點應(yīng)用于數(shù)字簽名和數(shù)據(jù)完整性保護領(lǐng)域。雜湊算法又名哈希算法、摘要算法，它能夠?qū)⑷我忾L度的消息壓縮成固定長度的摘要，能夠賦予每個消息唯一的“數(shù)字指紋”。雜湊算法與對稱/非對稱加密算法的區(qū)別是，后兩種算法是用于防止信息被竊取，而雜湊算法的目標(biāo)是用于證明原文的完整性，也就是說用于防止信息被篡改。雜湊算法的典型代表是美國NIST發(fā)布的SHA系列，1995年SHA-1正式發(fā)布，經(jīng)過二十余年的發(fā)展SHA-1算法逐漸成為互聯(lián)網(wǎng)最基礎(chǔ)的數(shù)字簽名算法。由于SHA家族算法本身的問題存在“碰撞”破解的可能性，SHA算法被攻破的時間僅依賴于所使用的計算能力，所以，歐美密碼學(xué)家不斷調(diào)整改進SHA算法，既SHA-1后推出SHA-224、SHA-256、SHA-384和SHA-512。2017年2月23日，谷歌聯(lián)合荷蘭CWI機構(gòu)給出了SHA-1碰撞實例，攻破了SHA-1算法。

3 未來趨勢

從應(yīng)用模式方面，基于傳統(tǒng)PKI架構(gòu)的身份認(rèn)證機制在某些應(yīng)用環(huán)境下顯得設(shè)備復(fù)雜且效率低下，一些操作簡便、安全性更高的新型身份認(rèn)證技術(shù)正蓬勃成長。從密碼技術(shù)方面，伴隨著云計算能力的大幅度提升，各類身份認(rèn)證技術(shù)中的傳統(tǒng)密碼算法生命周期不斷縮短，一些新型加密技術(shù)不斷涌現(xiàn)，加密技術(shù)升級迭代速度顯著加快。

3.1 FIDO標(biāo)準(zhǔn)成為線上身份驗證研究的最新熱點，未來有望“殺死密碼”

FIDO線上快速身份驗證標(biāo)準(zhǔn)（以下簡稱FIDO標(biāo)準(zhǔn)）是由FIDO聯(lián)盟（Fast Identity Online Alliance）提出的一個開放的標(biāo)準(zhǔn)協(xié)議，旨在提供一個高安全性、跨平臺兼容性、極佳用戶體驗與用戶隱私保護的在線身份驗證技術(shù)架構(gòu)。FIDO標(biāo)準(zhǔn)通過集成生物識別與非對稱加密兩大技術(shù)來完成用戶身份驗證，試圖終結(jié)多年來用戶必須記憶并使用大量復(fù)雜密碼的煩惱。因此，業(yè)內(nèi)有人將之稱為“無密碼強驗證”技術(shù)，號稱該標(biāo)準(zhǔn)將“殺死密碼”，成為密碼的終結(jié)者。

目前FIDO標(biāo)準(zhǔn)已于2015年推出并完善了1.0版本，提出了U2F與UAF兩種用戶在線身份驗證協(xié)議。其中U2F協(xié)議兼容現(xiàn)有密碼驗證體系，在用戶進行高安全屬性的在線操作時，其需提供一個符合U2F協(xié)議的驗證設(shè)備作為第二身份驗證因素，即可保證交易足夠安全。而UAF則充分地吸收了移動智能設(shè)備所具有的新技術(shù)，更加符合移動用戶的使用習(xí)慣。在需要驗證身份時，智能設(shè)備利用生物識別技術(shù)（如指紋識別、面部識別、虹膜識別等）取得用戶授權(quán)，然后通過非對稱加密技術(shù)生成加密的認(rèn)證數(shù)據(jù)供后臺服務(wù)器進行用戶身份驗證操作。整個過程可完全不需要密碼，真正意義上實現(xiàn)了“終結(jié)密碼”。根據(jù)UAF協(xié)議，用戶所有的個人生物數(shù)據(jù)與私有密鑰都只存儲在用戶設(shè)備中，無需經(jīng)網(wǎng)絡(luò)傳送到網(wǎng)站服務(wù)器，而服務(wù)器只需存儲有用戶的公鑰即可完成用戶身份驗證。這樣就大大降低了用戶驗證信息暴露的風(fēng)險。即使網(wǎng)站服務(wù)器被黑客攻擊，他們也得不到用戶驗證信息偽造交易，也消除了傳統(tǒng)密碼數(shù)據(jù)泄露后的連鎖式反應(yīng)[6，7]。

目前，谷歌公司目前已經(jīng)開發(fā)出支持U2F身份認(rèn)證的Security Key，該裝置配合Chrome瀏覽器實現(xiàn)網(wǎng)站身份的自動鑒別，當(dāng)用戶登錄的網(wǎng)站是通過驗證時，用戶無需輸入密碼，只需根據(jù)瀏覽器提示按下確認(rèn)即可，若網(wǎng)站未通過驗證，則該裝置不會運行；科技公司Egistec推出的基于FIDO框架的Yukey認(rèn)證器可以讓用戶通過指紋識別器及生物數(shù)據(jù)識別腕帶進行聯(lián)合身份認(rèn)證；三星公司也在積極研發(fā)推出基于FIDO的身份認(rèn)證解決方案，其安全身份認(rèn)證框架和指紋讀取器均通過了FIDO認(rèn)證；微軟公司在Windows10中全面支持FIDO 2.0版本標(biāo)準(zhǔn)，支持此標(biāo)準(zhǔn)的設(shè)備可以具有豐富的第三方生物識別功能，大大提升系統(tǒng)安全性和易用性。

3.2 區(qū)塊鏈技術(shù)有可能顛覆傳統(tǒng)的PKI身份驗證技術(shù)體系

目前國內(nèi)外對區(qū)塊鏈技術(shù)的研究如火如荼，其去中心化、開放性、自治性、不可篡改性和匿名性決定了其未來會對金融和經(jīng)濟帶來巨大的影響。而區(qū)塊鏈的典型應(yīng)用之一就是在線身份驗證，其相比傳統(tǒng)PKI體系的優(yōu)勢有幾點：一是身份信息更難篡改。每個人一出生便會形成自己的數(shù)字身份信息，同時得到一個公鑰和一個私鑰，利用時間戳技術(shù)形成區(qū)塊鏈，在共識機制保證下，數(shù)據(jù)篡改極為困難。二是系統(tǒng)信息分布式存放，系統(tǒng)上的所有節(jié)點均可下載存放最新、最全的身份認(rèn)證信息。從此以后，人們不必再隨時攜帶自己的身份證，只需要通過公鑰證明“我是我”，通過私鑰自由管理自己的身份信息。三是激勵機制的存在促使用戶積極維護整個區(qū)塊鏈，保證系統(tǒng)長期良性運作，系統(tǒng)穩(wěn)定性更高、維護成本更低[8-10]。

很多區(qū)塊鏈初創(chuàng)企業(yè)已經(jīng)和傳統(tǒng)行業(yè)巨頭接觸進行身份認(rèn)證產(chǎn)品試驗。例如區(qū)塊鏈企業(yè)ShoCard與航空服務(wù)商SITA合作開發(fā)了SITA Digital Traveler Identity App的身份認(rèn)證應(yīng)用。該應(yīng)用融合了基于區(qū)塊鏈的數(shù)據(jù)和面部識別技術(shù)，致力于簡化航空公司乘客身份驗證流程，以及實現(xiàn)機場實時數(shù)據(jù)流；微軟宣布和Blockstack Labs、ConsenSys合作，推出基于區(qū)塊鏈技術(shù)的身份識別系統(tǒng)，實現(xiàn)人、產(chǎn)品、應(yīng)用和服務(wù)的深度交互。IBM與法國國民互助信貸銀行。CréditMutuelArkéa）合作完成了一個基于區(qū)塊鏈技術(shù)的身份認(rèn)證系統(tǒng)，該系統(tǒng)采用超級賬本（Hyperledger）區(qū)塊鏈框架引導(dǎo)客戶向第三方（比如本地公共部門或零售商）提供身份證明。

3.3 傳統(tǒng)加密算法升級迭代速度加快

基于數(shù)學(xué)運算的傳統(tǒng)加密算法是身份認(rèn)證技術(shù)的基石，無論是PKI框架、FIDO體系還是區(qū)塊鏈模型都離不開它的支持，隨著云計算能力的快速增強，傳統(tǒng)加密算法的生命周期都在急劇縮短，可以預(yù)見未來傳統(tǒng)加密算法的升級迭代速度將顯著加快。2017年2月23日，谷歌公司與荷蘭CWI機構(gòu)聯(lián)合破解了SHA-1算法并給出相應(yīng)“碰撞”破解實例。這次破解的計算量相當(dāng)于單個CPU計算6500年和單個GPU計算110年，就目前的PC硬件來看，依靠一臺電腦完成破解還不現(xiàn)實。但密碼學(xué)家認(rèn)為，利用云計算技術(shù)破解SHA-1算法是較為容易實現(xiàn)的。這次事件足以能夠證實SHA-1算法已經(jīng)不再安全。其實早在SHA-1算法被攻破之前，已經(jīng)有MD5算法隨著PC計算能力的提升被攻破、淘汰。

3.4 以量子加密、輕量級加密為代表的新型加密算法將成為研究熱點

量子加密技術(shù)基于量子力學(xué)開發(fā)，其可行性在于，如果有人試圖攔截加密的內(nèi)容，查看這個加密內(nèi)容的行為將會改變內(nèi)容。入侵者不但無法獲得加密的內(nèi)容，而且授權(quán)人員會知道有人試圖獲取或篡改內(nèi)容。目前主流發(fā)達國家都在進行量子加密前沿研究，英國、瑞士均已經(jīng)實現(xiàn)基于BB84方案的30km距離的量子密鑰分發(fā)實驗；美國LosAlamos實驗室已經(jīng)進行基于B92方案的48km量子密鑰傳送。在輕量級加密算法研制方面，歐美等國正積極研制針對RFID訪問控制、電子護照身份識別的專用壓縮算法，重點解決在計算能力、存儲能力、能量密度等硬件極度受限情況下的傳統(tǒng)密碼算法應(yīng)用難題。未來，隨著云計算和物聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，量子加密和輕量級加密算法的需求將越來越大，未來有望成為新的研究熱點[11，12]。

4 對我國的啟示

4.1 以電子政務(wù)領(lǐng)域應(yīng)用為突破口推進網(wǎng)絡(luò)可信身份技術(shù)體系的商業(yè)化應(yīng)用

美國的FICAM體系的成功推廣與聯(lián)邦政府大力支持以及在電子政務(wù)和軍事領(lǐng)域的試點應(yīng)用密不可分。我國電子政務(wù)平臺建設(shè)起步較晚，存在辦公應(yīng)用系統(tǒng)各自獨立、數(shù)據(jù)無法互聯(lián)互通、訪問人員身份驗證接口不統(tǒng)一以及涉密信息傳輸管理混亂等諸多問題，可以借鑒美國經(jīng)驗，在電子政務(wù)領(lǐng)域研究推廣適合我國國情的PKI身份認(rèn)證體系，全面提高各級政府電子政務(wù)平臺系統(tǒng)安全性，推進網(wǎng)絡(luò)可信身份相關(guān)技術(shù)的落地。

4.2 加強相關(guān)配套產(chǎn)品和平臺的開發(fā)與建設(shè)，為可信身份技術(shù)的商業(yè)化應(yīng)用提供保障

歐盟在可信身份技術(shù)配套理論、產(chǎn)品和平臺研究方面成效突出。如在加密算法、芯片卡、數(shù)據(jù)公共平臺、電子追蹤、互操作性等方面進行了大量創(chuàng)新研究和商業(yè)產(chǎn)品開發(fā)，保障了網(wǎng)絡(luò)身份管理的順利實施。我國在此方面還處于探索和跟隨階段，諸多網(wǎng)絡(luò)可信身份技術(shù)仍停留在實驗室研究階段，縱然我國網(wǎng)絡(luò)可信身份服務(wù)潛在需求巨大，但由于成熟的市場產(chǎn)品較少，難以支撐可信身份管理技術(shù)的推廣。建議政府加強引導(dǎo)，理順“產(chǎn)學(xué)研用”生態(tài)鏈，充分發(fā)揮企業(yè)在生產(chǎn)研發(fā)優(yōu)勢，打造一批網(wǎng)絡(luò)可信身份服務(wù)代表產(chǎn)品、示范平臺，為可信身份技術(shù)的商業(yè)化應(yīng)用提供保障。

4.3 加快FIDO和區(qū)塊鏈等創(chuàng)新技術(shù)在網(wǎng)絡(luò)可信身份領(lǐng)域的研究與應(yīng)用

目前，國外學(xué)術(shù)界對FIDO和區(qū)塊鏈技術(shù)在可信身份認(rèn)證領(lǐng)域的研究正如火如荼地展開，并在加密理論、標(biāo)準(zhǔn)框架等方面取得了很多成果；而以谷歌、微軟、IBM、三星等國際互聯(lián)網(wǎng)巨頭也都推出了一系列的基于FIDO和區(qū)塊鏈的身份認(rèn)證產(chǎn)品和解決方案，以期快速布局全球身份認(rèn)證服務(wù)市場。鑒于FIDO技術(shù)和區(qū)塊鏈技術(shù)研究剛剛興起，我國科研界與產(chǎn)業(yè)界應(yīng)緊緊抓住此次機會，緊跟研究潮流，全面推進新型身份驗證技術(shù)的理論突破與商業(yè)化應(yīng)用，建立完善相關(guān)產(chǎn)業(yè)鏈，實現(xiàn)“彎道超車”，奠定我國在該領(lǐng)域世界范圍內(nèi)的領(lǐng)先地位。建議有關(guān)部門一是加強政策傾斜和財稅支持，鼓勵互聯(lián)網(wǎng)初創(chuàng)企業(yè)加強對區(qū)塊鏈等創(chuàng)新技術(shù)的研究和產(chǎn)品化；二是引導(dǎo)整合市場資源，鼓勵企業(yè)通過融資并購做大做強，集中力量實現(xiàn)關(guān)鍵技術(shù)的突破。

4.4 加快量子加密等新型密碼算法研究并順勢推進國產(chǎn)密碼算法升級替換工作

密碼算法是身份驗證技術(shù)的核心，2017年谷歌攻破SHA-1算法標(biāo)志著傳統(tǒng)老舊算法已不再安全，未來可能會出現(xiàn)證書簽名仿冒等極其嚴(yán)重的事件。為此，一方面，我國科研單位應(yīng)加快量子加密等新型加密算法的研究工作，在密碼算法理論、標(biāo)準(zhǔn)、應(yīng)用模式上深入研究，盡快推出具有實用意義的量子加密樣機。另一方面，針對傳統(tǒng)加密算法，我國密碼主管部門和電子認(rèn)證主管部門可借此機會強制要求各種重要應(yīng)用系統(tǒng)都升級改造支持我國SM3加密算法應(yīng)用，確保各個系統(tǒng)的安全。重要的銀行交易系統(tǒng)和結(jié)算系統(tǒng)、證券交易系統(tǒng)和結(jié)算系統(tǒng)必須在近期內(nèi)完成所有采用SHA-1算法系統(tǒng)的升級更新，有些系統(tǒng)的確短時間內(nèi)無法支持SM3的，必須升級為SHA-2算法；水利、電力、高鐵、核電、軍事等關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)也必須在近期內(nèi)完成升級改造；要求擁有工信部CA許可證的CA必須停止簽發(fā)SHA-1證書，并在一年內(nèi)完成用戶數(shù)字證書的升級替換為SM3或SHA-2的工作；其他所有依賴于SHA-1簽名算法的所有系統(tǒng)必須在一年內(nèi)完成升級改造。

參考文獻

[1] 羅軍舟， 楊明， 凌振，等.網(wǎng)絡(luò)空間安全體系與關(guān)鍵技術(shù)[J].中國科學(xué)：信息科學(xué)， 2016（08）：939-968.

[2] 郝平， 何恩.主動身份認(rèn)證技術(shù)及其研究進展[J].通信技術(shù)， 2015（05）：514-518.

[3] 趙曉芳.構(gòu)建eID網(wǎng)絡(luò)可信生態(tài)的探索與體會[J].國家治理， 2015（Z1）：61.

[4] 方濱興，陶雄強，田冰.如何推廣網(wǎng)絡(luò)身份識別（eID）[J].人民論壇， 2016（04）：51.

[5] 郭林鳳.基于RSA的動態(tài)口令身份認(rèn)證技術(shù)研究[D].河北工程大學(xué)， 2012.

[6] 王耀龍.基于FIDO架構(gòu)在線指紋識別系統(tǒng)客戶端的設(shè)計與實現(xiàn)[D].北京交通大學(xué)， 2015.

[7] 郭茂文.基于FIDO協(xié)議的指紋認(rèn)證方案研究[J].廣東通信技術(shù)， 2016（04）：2-5.

[8] 閻軍智， 彭晉， 左敏，等.基于區(qū)塊鏈的PKI數(shù)字證書系統(tǒng)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化， 2017（11）：16-20.

[9] 鄧迪. 區(qū)塊鏈技術(shù)最新的認(rèn)識和成果[J].新經(jīng)濟， 2016（19）：90-91.

[10] 庹小忠. 區(qū)塊鏈在身份認(rèn)證中的應(yīng)用[J]. 科技經(jīng)濟導(dǎo)刊， 2017（03）：26-27.

[11] 龔晶， 何敏， 鄧元慶， 等. 基于網(wǎng)絡(luò)的量子身份認(rèn)證方案[J]. 量子光學(xué)學(xué)報， 2009，15（4）：336-341.

[12] 潘晶鑫.口令身份認(rèn)證和非等概量子認(rèn)證協(xié)議的研究[D].南京郵電大學(xué)， 2013.