李躍武，許 斌，高崇明,2，楊建鋒

（1.新疆?dāng)?shù)字證書認(rèn)證中心,新疆 烏魯木齊 800000；2.新疆量子通信技術(shù)有限公司,新疆 烏魯木齊 800000）

0 引言

電子認(rèn)證技術(shù)是網(wǎng)絡(luò)安全的第一道屏障[1]，是實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)體身份可信管理的技術(shù)，是網(wǎng)絡(luò)信任體系的基礎(chǔ)核心技術(shù)，也是網(wǎng)絡(luò)空間安全治理的重要技術(shù)支撐。普遍認(rèn)為電子認(rèn)證技術(shù)已從1.0 時(shí)代邁向2.0 時(shí)代，主要表現(xiàn)在：

（1）以離線數(shù)字證書為主導(dǎo)的身份證明演化為以在線服務(wù)為主導(dǎo)的身份管理；

（2）以靜態(tài)的雙因素身份鑒別技術(shù)發(fā)展為以風(fēng)險(xiǎn)控制為主導(dǎo)并融合多種技術(shù)的身份鑒別；

（3）簡(jiǎn)單的是或否單一判斷模式的電子認(rèn)證轉(zhuǎn)變?yōu)榫哂卸嗄Ｊ蕉喟踩燃?jí)的電子認(rèn)證；

（4）專業(yè)化的共享共用身份管理服務(wù)逐步替代孤島隔離的分散的身份管理；

（5）基于大數(shù)據(jù)的行為溯源和追蹤技術(shù)加強(qiáng)了對(duì)網(wǎng)絡(luò)實(shí)體的可信管理與追溯等[2]。

電子認(rèn)證技術(shù)的這種變化，也被當(dāng)成業(yè)界努力應(yīng)對(duì)傳統(tǒng)電子認(rèn)證技術(shù)所面臨的重大挑戰(zhàn)時(shí)，有效發(fā)展的成果；但是，站在更大的視野來(lái)看，當(dāng)今的網(wǎng)絡(luò)空間治理是治理現(xiàn)實(shí)社會(huì)與虛擬社會(huì)相結(jié)合的“新社會(huì)”[3]。應(yīng)當(dāng)看到，任何一種通過(guò)對(duì)身份的鑒別決定對(duì)資源的訪問(wèn)權(quán)的方法，客觀上都會(huì)造成主體間的等級(jí)分化，本質(zhì)上是制定了一種等級(jí)制度。這種制度的制定，應(yīng)當(dāng)在更大的視野下，考慮底線思維，以適應(yīng)公平、公正的基本要求，這是本文要考慮的問(wèn)題。

1 關(guān)于身份認(rèn)證-訪問(wèn)控制的再認(rèn)識(shí)

1.1 關(guān)于“身份”含義的重要辨析

長(zhǎng)期以來(lái)，電子認(rèn)證是一個(gè)未經(jīng)嚴(yán)格定義的技術(shù)詞匯。即使在《電子認(rèn)證2.0 白皮書》中，也采用了“民間”關(guān)于此概念的說(shuō)法。電子認(rèn)證隱含了身份標(biāo)識(shí)（identification）、身份驗(yàn)證與證明（certification and proof）、身份鑒別（authentication）與授權(quán)（authorization）等過(guò)程的復(fù)合涵義，實(shí)際上等同于常用的訪問(wèn)控制[4-5]的含義。在ISO7498-2中，訪問(wèn)控制被定義為，基于訪問(wèn)認(rèn)證和數(shù)據(jù)對(duì)象的一種選擇性地允許或禁止某種資源訪問(wèn)的安全技術(shù)。訪問(wèn)控制涉及到訪主體（subject）和客體（object）兩個(gè)方面。

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)鑒別與授權(quán)工作組發(fā)布的《電子認(rèn)證2.0 白皮書》中倡導(dǎo)：“專業(yè)化的共享共用身份管理服務(wù)逐步替代孤島隔離的分散的身份管理”與“基于大數(shù)據(jù)的行為溯源和追蹤技術(shù)加強(qiáng)網(wǎng)絡(luò)實(shí)體的可信管理與追溯”。這實(shí)際上是強(qiáng)調(diào),在ISO7498-2 中，在訪問(wèn)請(qǐng)求信息中主體信息的身份信息部分附加更多的輔助信息。如圖1 所示，該模型是一個(gè)含有附加信息的典型認(rèn)證模型。這些信息，與主體的既往行為有關(guān)，而既往的行為是人工智能方法通過(guò)對(duì)大數(shù)據(jù)分析獲得的。在訪問(wèn)控制機(jī)制中，決策依據(jù)不再單純是主體的標(biāo)識(shí)，而已經(jīng)包含了“身份”一詞的另一重含義——社會(huì)中的位置（status）。Status 一詞源于拉丁語(yǔ)statum，是stare的過(guò)去分詞，本意是“立得住”的程度，即地位狀況。對(duì)一個(gè)人來(lái)說(shuō)，他的identification，比如姓名或身份證號(hào)，只是他的標(biāo)識(shí)；而status 才是他的處境、他的地位、他的法律地位，以及當(dāng)人們使用“身份”這個(gè)詞匯時(shí)內(nèi)心里想表達(dá)的那個(gè)真正的含義。

圖1 訪問(wèn)控制模型

因此，通過(guò)這樣深入理性的分析可知，當(dāng)信息安全業(yè)界使用“身份認(rèn)證”一詞時(shí)，即使長(zhǎng)期以來(lái)，強(qiáng)調(diào)了對(duì)identification的認(rèn)證，但是事實(shí)上，從《電子認(rèn)證白皮書2.0》開(kāi)始，已經(jīng)更多地包含了對(duì)status（可以理解為“法律地位”）的認(rèn)證。

無(wú)論在現(xiàn)實(shí)社會(huì)，還是在虛擬社會(huì)，對(duì)任何人（實(shí)體）賦予一個(gè)標(biāo)識(shí)（identification），是一個(gè)純技術(shù)問(wèn)題；但是承認(rèn)他的地位（status），并繼而根據(jù)其后續(xù)的表現(xiàn)修改其地位（status）的工作，則屬于典型的社會(huì)管理范疇。

基于status的認(rèn)證，要比簡(jiǎn)單基于identification的認(rèn)證，更符合《電子認(rèn)證2.0 白皮書》倡導(dǎo)集中的身份認(rèn)證服務(wù)和經(jīng)人工智能技術(shù)對(duì)大數(shù)據(jù)檢測(cè)獲取的“身份”信息時(shí)，所想表達(dá)的含義。

1.2 關(guān)于“身份”概念中歸屬于status 一詞表達(dá)的部分涵義

實(shí)體“身份”一詞實(shí)際包含兩重涵義，一是對(duì)實(shí)體的標(biāo)識(shí)，二是實(shí)體的重要性、社會(huì)地位、法律地位、被公認(rèn)的貴賤程度等。第一重涵義可由詞匯實(shí)體標(biāo)識(shí)表達(dá)，對(duì)應(yīng)的英文是identification；第二涵義就是實(shí)體的身份地位，對(duì)應(yīng)的詞匯是status。在現(xiàn)實(shí)社會(huì)，判別與決定把一項(xiàng)資源是否授權(quán)給某個(gè)實(shí)體，依據(jù)的不是這個(gè)實(shí)體的標(biāo)識(shí)（identification），而是這個(gè)實(shí)體的身份地位（status）。這與網(wǎng)絡(luò)虛擬社會(huì)中，判定是否將某一資源授權(quán)于某個(gè)實(shí)體所遵循的依據(jù)是可類比的。因此，當(dāng)談到身份認(rèn)證時(shí)，實(shí)際上是對(duì)status的鑒別，identification 只是賴以檢索該status的指標(biāo)，而不是本身。恰如在法院，具有審判權(quán)力的是當(dāng)庭法官這個(gè)身份，而不是特定的法警的警號(hào)，警號(hào)只是賴以判斷某人是否為當(dāng)庭法官的索引，而不是判斷的直接依據(jù)。

1.3 電子認(rèn)證引入status 認(rèn)證概念

建議引入status 概念，以專門表達(dá)在身份問(wèn)題中，實(shí)體標(biāo)識(shí)（identification）無(wú)法表達(dá)的，與該標(biāo)識(shí)所關(guān)聯(lián)的實(shí)體本身的“身份”的涵義。

上述分析可見(jiàn)，即使傳統(tǒng)的身份認(rèn)證過(guò)程，其實(shí)本質(zhì)上也是對(duì)英文status 所表達(dá)的涵義的認(rèn)證，只是由于詞匯的模糊，其本質(zhì)（status）被隱匿在了其標(biāo)識(shí)（identification）之后了；而隨著電子認(rèn)證技術(shù)的發(fā)展與電子認(rèn)證內(nèi)涵的豐富，已經(jīng)需要解開(kāi)這種隱匿，使身份的復(fù)合涵義得到揭示與正視。

如圖2 所示是引入status 認(rèn)證的訪問(wèn)控制架構(gòu)。

圖2 引入status 認(rèn)證的訪問(wèn)控制架構(gòu)

status 認(rèn)證的訪問(wèn)控制將完整的身份認(rèn)證過(guò)程拆解為兩個(gè)步驟：一是主體訪問(wèn)請(qǐng)求過(guò)程中主體對(duì)身份鑒別機(jī)構(gòu)的請(qǐng)求過(guò)程，二是身份鑒別機(jī)構(gòu)對(duì)客體資源控制機(jī)構(gòu)的請(qǐng)求過(guò)程。為此設(shè)立獨(dú)立的身份鑒別服務(wù)機(jī)構(gòu)，其職能是：

（1）管理主體（subject）的雙重因性（identification和status）的關(guān)系；

（2）建立并持續(xù)完善可與客體管理機(jī)構(gòu)便于協(xié)同的主體status 庫(kù)；

（3）與各客體管理機(jī)構(gòu)（授權(quán)機(jī)構(gòu)）持續(xù)協(xié)商客體的授權(quán)依據(jù)，作為與主體關(guān)聯(lián)的新的status內(nèi)容；

（4）管理控制客體與主體之間的安全傳輸通道。

下文內(nèi)容通過(guò)制定主體訪問(wèn)客體的過(guò)程規(guī)范，說(shuō)明新的架構(gòu)的工作流程及新的訪問(wèn)控制機(jī)制。

主體要訪問(wèn)某網(wǎng)站的客體資源時(shí)（以主體訪問(wèn)網(wǎng)站1 為例），發(fā)出訪問(wèn)請(qǐng)求，這個(gè)訪問(wèn)請(qǐng)求并不直接送達(dá)網(wǎng)站1，而是送往獨(dú)立的身份認(rèn)證服務(wù)器；身份認(rèn)證服務(wù)器收到此訪問(wèn)請(qǐng)求，解析主體標(biāo)識(shí)（identification）以及擬訪問(wèn)的網(wǎng)站1；經(jīng)過(guò)下述的身份認(rèn)證服務(wù)器實(shí)現(xiàn)的功能過(guò)程，決定是否允許給主體訪問(wèn)相應(yīng)客體的內(nèi)容。如果允許，向主體與客體管理機(jī)構(gòu)發(fā)出允許響應(yīng)指令，并建立主體與客體之間的符合安全策略要求的傳輸通道，進(jìn)入允許訪問(wèn)的處理過(guò)程；如果不允許，給出拒絕響應(yīng)指令，結(jié)束認(rèn)證過(guò)程。

其中，身份認(rèn)證服務(wù)器實(shí)現(xiàn)的功能與過(guò)程為：

（1）查詢此identification 希望訪問(wèn)的網(wǎng)站1的備案信息，讀取可以表征該網(wǎng)站1 邏輯控制的信息；

（2）認(rèn)證服務(wù)器根據(jù)網(wǎng)站1的邏輯控制信息，結(jié)合用戶的identification，聯(lián)合查詢identification&status 數(shù)據(jù)庫(kù)，取得足以表征網(wǎng)站1是否可以向來(lái)訪主體授權(quán)的status 數(shù)據(jù)，通過(guò)安全傳輸信道發(fā)送給網(wǎng)站1；

（3）身份認(rèn)證服務(wù)器記錄該主體的訪問(wèn)請(qǐng)求，并據(jù)此維護(hù)該主體的status；

（4）身份認(rèn)證服務(wù)器持續(xù)地與網(wǎng)站1 保持聯(lián)絡(luò)，獲取來(lái)自網(wǎng)站1 對(duì)該訪問(wèn)主體的行為評(píng)價(jià)，作為維護(hù)identification&status 數(shù)據(jù)庫(kù)的重要參考，也作為對(duì)網(wǎng)站1的可信程度的評(píng)定依據(jù)；

（5）根據(jù)訪問(wèn)主體最初的訪問(wèn)請(qǐng)求信息，以及網(wǎng)站1的授權(quán)反饋信息，由訪問(wèn)控制服務(wù)器決定是否在主體與客體之間建立安全傳輸通道。

Status 數(shù)據(jù)庫(kù)是一個(gè)核心的組成構(gòu)件，其作用是保存所有客體（如網(wǎng)站1）的各種訪問(wèn)控制條件（可能是一組術(shù)語(yǔ)表或命名空間的邏輯正則表達(dá)），以及根據(jù)各個(gè)主體的歷史行為經(jīng)綜合判別所給出的符合性判定。

Status 數(shù)據(jù)庫(kù)本質(zhì)上是一個(gè)用于描述主體身份（法律地位或按規(guī)則賦予的地位）的多維度數(shù)據(jù)集。其數(shù)據(jù)的變化不取決于主體的個(gè)別行為，或網(wǎng)站的個(gè)別反饋信息，而依賴于長(zhǎng)期的行為積累。在虛擬社會(huì)中，這可以由人工智能通過(guò)大數(shù)據(jù)分析用戶的歷史行為，結(jié)合初始賦值建立。

1.4 基于status 認(rèn)證的重要意義

引入status的身份認(rèn)證架構(gòu)，最直接的結(jié)果是，用戶的identification（具體來(lái)講是身份證號(hào)碼、電話號(hào)碼、姓名）不再直接暴露在各個(gè)網(wǎng)站。網(wǎng)站僅負(fù)責(zé)向身份認(rèn)證管理機(jī)構(gòu)報(bào)備自己的安全控制策略以便身份認(rèn)證管理機(jī)構(gòu)判別什么樣的主體可以獲得授權(quán)，而這些具體的網(wǎng)站不再期望獲得網(wǎng)民的實(shí)名。這樣就可以有效避免網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)空間治理中的很多衍生難題。

1.5 Status 認(rèn)證可能面臨的負(fù)面問(wèn)題

Status 數(shù)據(jù)庫(kù)的建立，在技術(shù)上使得人工智能、大數(shù)據(jù)等新技術(shù)用于網(wǎng)絡(luò)空間治理成為可能；在管理上也可以有效避免因?qū)嵜票粸E用所衍生的重大社會(huì)管理代價(jià)。但是由于這些數(shù)據(jù)的產(chǎn)生，本質(zhì)上是建立在網(wǎng)絡(luò)主體的初始賦值和個(gè)人歷史行為的，這使得status具有了與現(xiàn)實(shí)社會(huì)類似的價(jià)值與意義，有的是負(fù)面的。

雖然尚不能實(shí)證地得到此方案可能引發(fā)的負(fù)面問(wèn)題，但是借助于現(xiàn)實(shí)社會(huì)中status（身份地位）在社會(huì)管理中的重要作用，可以類比的推想虛擬社會(huì)中由status 可能引入的負(fù)面問(wèn)題。

可以想象，負(fù)面的問(wèn)題一定是不可避免的，因而政府的正確干預(yù)是極其必要的。如果偏離了政府的正確管理，即使假設(shè)人工智能的感知能力完全與人類社會(huì)對(duì)人的評(píng)價(jià)能力一致，也會(huì)出現(xiàn)超越底線的問(wèn)題。英國(guó)著名學(xué)者阿蘭·德波頓在其《身份的焦慮》一書中，對(duì)現(xiàn)實(shí)社會(huì)中的身份問(wèn)題有非常深刻、系統(tǒng)和富有啟發(fā)的研究[6]，其主要思想簡(jiǎn)要?dú)w納為：

（1）在虛擬空間，人們會(huì)像在現(xiàn)實(shí)社會(huì)中祈財(cái)求名提高聲望一樣，努力在虛擬世界追求status；

（2）在網(wǎng)絡(luò)空間所獲取的status，將如同現(xiàn)實(shí)社會(huì)中的名望勢(shì)力和地位一樣，成為趨利的對(duì)象，而人類社會(huì)中種種社會(huì)問(wèn)題也將可能搬上虛擬空間，比如傲慢、偏見(jiàn)、歧視、盲目崇拜等；

（3）對(duì)物質(zhì)、平等的過(guò)度的期望，嫉妒心理的泛濫等；

（4）對(duì)精英的過(guò)度崇拜，把身份與德行關(guān)聯(lián)起來(lái)，認(rèn)為好的status 不會(huì)與愚蠢、有罪和墮落掛鉤。

1.6 利弊的權(quán)衡與正確干預(yù)的必要性

正如現(xiàn)實(shí)社會(huì)中，status 有那么多負(fù)面作用，人類社會(huì)依然通過(guò)status 有效地管理了社會(huì)進(jìn)程一樣，因此在虛擬空間，基于status的管理制度在很大程度上也是必須的。那些種種負(fù)面作用，只是必不可少的代價(jià)。

正如前文所說(shuō)，未來(lái)人們面對(duì)的社會(huì)必定是虛擬社會(huì)與現(xiàn)實(shí)社會(huì)緊密結(jié)合在一起的“新社會(huì)”，而采用了status 數(shù)據(jù)庫(kù)的管理方式，更加接近于現(xiàn)實(shí)社會(huì)的傳統(tǒng)方式。這是因?yàn)楝F(xiàn)實(shí)社會(huì)的這種管理方式，是全世界范圍內(nèi)經(jīng)過(guò)數(shù)千年演進(jìn)到今天的，是經(jīng)過(guò)了歷史的檢驗(yàn)的。

當(dāng)然，有些因素是要有特殊安排的。比如必要時(shí)可以啟動(dòng)人工干預(yù)的方式，修正那些人工智能的運(yùn)算可能引起的極端情況。

2 結(jié)語(yǔ)

本文首先聚焦了電子身份認(rèn)證問(wèn)題中“身份”的涵義問(wèn)題；其次通過(guò)深入的辨析，構(gòu)建了通過(guò)對(duì)status 認(rèn)證來(lái)實(shí)現(xiàn)未來(lái)網(wǎng)絡(luò)身份認(rèn)證的全新身份認(rèn)證體系架構(gòu)。該架構(gòu)引入了一個(gè)公共基礎(chǔ)設(shè)施，服務(wù)于訪問(wèn)主體（網(wǎng)民）與訪問(wèn)客體（被訪問(wèn)網(wǎng)站的各類資源）。這種公共基礎(chǔ)設(shè)施及其所隱含的管理機(jī)制，本質(zhì)上可視為在網(wǎng)絡(luò)空間管理中，將現(xiàn)實(shí)社會(huì)管理體系中公安部門的治安機(jī)構(gòu)與社區(qū)的某些社會(huì)安全管理職能的數(shù)字化實(shí)現(xiàn)。該架構(gòu)可以有效解決目前流行的身份認(rèn)證方案所面臨的問(wèn)題，如可以防止由于直接將用戶個(gè)人隱私信息暴露給被訪問(wèn)網(wǎng)站所造成的個(gè)人隱私易被泄露的風(fēng)險(xiǎn)，也可杜絕隱私泄露后的網(wǎng)絡(luò)詐騙風(fēng)險(xiǎn)。本架構(gòu)符合全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)鑒別與授權(quán)工作組發(fā)布的《電子認(rèn)證2.0 白皮書》中關(guān)于鼓勵(lì)建立獨(dú)立的身份認(rèn)證服務(wù)機(jī)構(gòu)的倡議。最后討論表明，基于status的認(rèn)證方案，使未來(lái)網(wǎng)絡(luò)的虛擬社會(huì)具有與傳統(tǒng)的現(xiàn)實(shí)社會(huì)類似的管理依據(jù)，更符合人類社會(huì)演進(jìn)的習(xí)慣性和規(guī)律性。討論發(fā)現(xiàn)，現(xiàn)實(shí)社會(huì)的主體到虛擬社會(huì)的主體的認(rèn)證的問(wèn)題，本質(zhì)上是一個(gè)跨越并銜接現(xiàn)實(shí)與虛擬兩界的社會(huì)管理問(wèn)題。進(jìn)而可以建議，國(guó)家構(gòu)建具有公共管理職能的服務(wù)管理體系，以通過(guò)科學(xué)配套的國(guó)家法律、行政法規(guī)、制度政策、行為規(guī)范和操作標(biāo)準(zhǔn)，來(lái)改變目前虛擬與現(xiàn)實(shí)社會(huì)中共同存在的由于網(wǎng)絡(luò)空間隱私泄露所造成的各類犯罪現(xiàn)象難以根治的困局。未來(lái)的路還很長(zhǎng)，但本架構(gòu)可以作為物性的支撐基礎(chǔ)設(shè)施的雛形。