歐陽秀平 劉劍亮

【摘要】? ? 隨著移動互聯(lián)網(wǎng)與虛擬現(xiàn)實網(wǎng)絡(luò)社會日常生活的不斷緊密融合，由網(wǎng)絡(luò)互聯(lián)網(wǎng)虛擬性問題導(dǎo)致的諸多安全問題也逐漸開始顯現(xiàn)。其中，網(wǎng)絡(luò)活動參與者個人身份的虛擬性已經(jīng)導(dǎo)致了各類網(wǎng)絡(luò)電信欺詐、網(wǎng)絡(luò)短信謠言等諸多安全問題，直接影響網(wǎng)絡(luò)社會安全和穩(wěn)定。本篇文章從如何實現(xiàn)虛擬網(wǎng)絡(luò)可信個人身份信息認證的三個角度要求出發(fā)，簡要探討了如何通過建立和維護完善虛擬網(wǎng)絡(luò)身份認證服務(wù)體系，從而有效打造可信賴的網(wǎng)絡(luò)空間，促進我國互聯(lián)網(wǎng)健康、有序的持續(xù)發(fā)展。

【關(guān)鍵詞】? ? 可信網(wǎng)絡(luò)? ? 身份認證

引言：

隨著移動互聯(lián)網(wǎng)的快速發(fā)展，互聯(lián)網(wǎng)的虛擬性也給其發(fā)展過程帶來了種種安全問題，如存在網(wǎng)絡(luò)電信欺詐、網(wǎng)絡(luò)傳播謠言等。事實上，互聯(lián)網(wǎng)的這種開放與自由，并不一定意味著要給互聯(lián)網(wǎng)一個沒有責任缺失的虛擬地帶。恰恰相反，互聯(lián)網(wǎng)也從來不是純粹的一個虛擬網(wǎng)絡(luò)空間，它與我們現(xiàn)實中的社會是緊密聯(lián)系在一起的，而且越來越緊密。從這個根本意義上說來講，互聯(lián)網(wǎng)上的一切行為與其他現(xiàn)實網(wǎng)絡(luò)社會的一切行為一樣，必將直接受到現(xiàn)代社會相關(guān)法律和職業(yè)道德的嚴格約束。

一、可信網(wǎng)絡(luò)空間的建設(shè)關(guān)鍵

從可信網(wǎng)絡(luò)互聯(lián)網(wǎng)的空間角度看，誠信信息網(wǎng)絡(luò)的空間構(gòu)筑成就需要充分保障面向互聯(lián)網(wǎng)信息業(yè)務(wù)的各主要參與方及用戶信息網(wǎng)絡(luò)交換三個流程的可信。面向互聯(lián)網(wǎng)信息業(yè)務(wù)的各主要參與方及用戶信息網(wǎng)絡(luò)交換三個流程主要包括面向互聯(lián)網(wǎng)信息業(yè)務(wù)系統(tǒng)服務(wù)提供商、互聯(lián)網(wǎng)信息業(yè)務(wù)系統(tǒng)使用者以及可靠的用戶信息網(wǎng)絡(luò)傳輸和數(shù)據(jù)交換三個過程。從目前我國互聯(lián)網(wǎng)的安全發(fā)展趨勢看，現(xiàn)有的信息技術(shù)基本上未能有效保障業(yè)務(wù)信息網(wǎng)絡(luò)傳輸和數(shù)據(jù)交換等各方面的信息安全性和信息可靠性，而地方政府對其他互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)信息服務(wù)提供商的業(yè)務(wù)前置信息審批也基本上未能有效保證其信息可信性。但在基于業(yè)務(wù)主要使用者群，即也就是普通人的互聯(lián)網(wǎng)業(yè)務(wù)用戶行為方面，由于業(yè)務(wù)用戶數(shù)量眾多、行為各異且同時參與互動程度高且差異性大，因此安全問題較為集中。從目前情況來看，對我國互聯(lián)網(wǎng)企業(yè)用戶真實身份和網(wǎng)絡(luò)行為可靠安全認證的主要有效途徑之一是如何實施認證，包括對企業(yè)用戶網(wǎng)絡(luò)實體和其他用戶網(wǎng)絡(luò)行為的有效安全認證，即企業(yè)網(wǎng)絡(luò)安全認證。

互聯(lián)網(wǎng)發(fā)達國家逐漸意識到可信認證網(wǎng)絡(luò)的潛在重要性，逐步認識提升其在新的國家網(wǎng)絡(luò)發(fā)展規(guī)劃戰(zhàn)略體系中的重要地位，并開始著手積極嘗試研究構(gòu)建一個網(wǎng)絡(luò)空間可信賴的身份認證系統(tǒng)。如韓國正在積極推行的一套公民網(wǎng)絡(luò)安全信息系統(tǒng)后臺服務(wù)管理系統(tǒng)實名制，歐洲各國正在積極推動的網(wǎng)絡(luò)身份電子證和居民身份證制度改革行動計劃。而最為成熟、最為全面的保障公民網(wǎng)絡(luò)安全可以受信賴的網(wǎng)絡(luò)身份標識代碼應(yīng)用戰(zhàn)略模擬方案當中，主要屬美國政府于2011年4月15日正式對外發(fā)布的《網(wǎng)絡(luò)空間可信身份標識戰(zhàn)略》，美國NSTIC的戰(zhàn)略模擬方案著力在于打造一套保障中國公民網(wǎng)絡(luò)空間安全可以受信賴的網(wǎng)絡(luò)身份標識代碼應(yīng)用生態(tài)系統(tǒng)，以利于有效促進人類相互信任、隱私、選擇和一種更為創(chuàng)新的社會生活工作方式，推動更多個人和其他社會組織。使用安全、高效的可信賴性身份標識代碼以標識網(wǎng)絡(luò)信息系統(tǒng)解決方案模式提供高可訪問性的中國網(wǎng)絡(luò)互聯(lián)網(wǎng)服務(wù)。

二、中國網(wǎng)絡(luò)認證狀態(tài)

作為互聯(lián)網(wǎng)金融大國，中國擁有5億多互聯(lián)網(wǎng)金融用戶，各大互聯(lián)網(wǎng)金融機構(gòu)取得長足發(fā)展。互聯(lián)網(wǎng)對我國社會經(jīng)濟生活的影響和影響也與日俱增，如何實現(xiàn)廣大互聯(lián)網(wǎng)服務(wù)用戶的身份可信度認證的要求也與日俱增。目前，政府和一些大型互聯(lián)網(wǎng)服務(wù)企業(yè)都在不斷積極探索增強網(wǎng)絡(luò)信息認證的創(chuàng)新方式和途徑。一方面，以政府金融主管部門工作為主的各類互聯(lián)網(wǎng)金融機構(gòu)網(wǎng)絡(luò)信息認證正在積極探索，包括實名制聯(lián)系網(wǎng)絡(luò)游戲運營商、實名制聯(lián)系網(wǎng)店經(jīng)營者等。另一方面，互聯(lián)網(wǎng)服務(wù)企業(yè)也在積極探索各種提升網(wǎng)絡(luò)公信力和身份信息認證的方式，如中國社交媒體網(wǎng)絡(luò)門戶網(wǎng)站通過添加網(wǎng)絡(luò)用戶的個人關(guān)系標簽提升網(wǎng)絡(luò)用戶的身份公信力，微博門戶網(wǎng)站通過獲取用戶好友加V賬號認證、身份徽章等信息標簽提升用戶的公信力和身份。

從網(wǎng)絡(luò)認證市場的發(fā)展來看，中國互聯(lián)網(wǎng)業(yè)務(wù)的網(wǎng)絡(luò)認證還處于起步階段。一方面，網(wǎng)絡(luò)認證是一項系統(tǒng)工程，需要政府、互聯(lián)網(wǎng)企業(yè)、認證服務(wù)商等企業(yè)和網(wǎng)絡(luò)用戶的積極配合。管理活動主要包括中央和地方政府、公安、司法、教育、金融、移動互聯(lián)網(wǎng)等部門業(yè)務(wù)主管的積極配合與配合。市場活動主要包括各類大型互聯(lián)網(wǎng)信息服務(wù)認證服務(wù)商、銀行、互聯(lián)網(wǎng)服務(wù)接入認證服務(wù)商的積極合作與配合。然而，目前中國傳統(tǒng)的網(wǎng)絡(luò)企業(yè)認證服務(wù)市場仍處于走自己的路的發(fā)展階段。另一方面，中國，中國現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)企業(yè)認證服務(wù)相對簡單，如傳統(tǒng)網(wǎng)絡(luò)用戶實名注冊系統(tǒng)、微博手機實名注冊系統(tǒng)等。只能實現(xiàn)網(wǎng)絡(luò)用戶個人身份證相關(guān)信息的統(tǒng)一認證，完全忽略網(wǎng)絡(luò)用戶其他個人身份證的信息。此外，為了不斷提升網(wǎng)絡(luò)用戶對傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)認證的企業(yè)認可度，第三方網(wǎng)絡(luò)認證逐漸被網(wǎng)絡(luò)企業(yè)廣泛認可，并逐步引入傳統(tǒng)網(wǎng)絡(luò)企業(yè)認證。然而，目前第三方網(wǎng)絡(luò)認證市場正在發(fā)展，仍處于起步階段。截至2012年1月底，中國5億中國網(wǎng)民的有效個人電子身份證明只能持有2500多萬張。

從網(wǎng)絡(luò)認證處理效果來看，現(xiàn)有的網(wǎng)絡(luò)認證處理方法和操作方式無法同時完全達到個人身份可信和具體行為可信的認證效果。從明確解決媒體網(wǎng)絡(luò)可信個人身份認證的目的和意義來看，網(wǎng)絡(luò)可信認證可能不僅包括相關(guān)用戶個人身份證號等信息的再次確認，還包括相關(guān)用戶個人綜合信息身份證信息的再次確認，這在微博等在線媒體的不同類型互聯(lián)網(wǎng)認證服務(wù)中表現(xiàn)得尤為突出，如郭美美微博事件，給媒體相關(guān)業(yè)務(wù)單位自身造成了諸多社會利益糾紛和不良后果。目前，中國媒體網(wǎng)可信認證還面臨著各種實際問題，包括：傳統(tǒng)網(wǎng)絡(luò)比對認證流程有效性差。而且，現(xiàn)有的個人微博用戶認證僅局限于個人身份證信息的比對，忽略了微博用戶其他個人綜合信息身份證信息的比對認證，無法真正實現(xiàn)通過網(wǎng)絡(luò)進行認證的實際目的。

手機用戶的個人隱私和安全保護環(huán)境沒有逐步改善。一項調(diào)查結(jié)果顯示，88.57%的手機用戶普遍擔心未申請網(wǎng)絡(luò)身份認證可能會嚴重造成用戶個人隱私信息泄露。然而，引起該用戶關(guān)注的直接原因是目前中國相關(guān)法律中嚴重缺乏用戶隱私保護措施。此外，用戶普遍擔心使用網(wǎng)絡(luò)身份認證會嚴重影響其在互聯(lián)網(wǎng)上的言論自由。

部分當前用戶普遍擔心當前認證企業(yè)實體及其實施者的高度關(guān)注。當前一些互聯(lián)網(wǎng)安全認證實施者一直對我國網(wǎng)絡(luò)安全行業(yè)當前認證企業(yè)實體的發(fā)展高度擔憂，質(zhì)疑樂觀態(tài)度，質(zhì)疑當前網(wǎng)絡(luò)安全認證企業(yè)作為認證企業(yè)實體的隱私和個人信息安全措施，質(zhì)疑認證企業(yè)的整體公信力和公信力等。此外，用戶對第三方認證網(wǎng)絡(luò)企業(yè)認證以及其他當前互聯(lián)網(wǎng)安全認證實施企業(yè)的安全性和認可度較低。一方面，部分原因是用戶普遍擔心自己的認證可能會嚴重泄露其他用戶的個人隱私;另一方面，原則原因是嚴重泄露其他用戶個人隱私信息或可能發(fā)生安全事故后，難以準確界定直接受害方和責任方。

政府認證業(yè)務(wù)兼容性問題突出。目前，各政務(wù)業(yè)務(wù)類別或各服務(wù)企業(yè)的政府認證機構(gòu)都在各自為戰(zhàn)，對獲證用戶業(yè)務(wù)進行企業(yè)認證，并及時發(fā)放企業(yè)認證通用證書。然而，還有一個主要問題。認證用戶往往需要在不同的政府業(yè)務(wù)之間，甚至同一部門不同類型的企業(yè)之間進行不同的認證。這可能會直接造成企業(yè)社會勞動力成本的嚴重浪費。

三、無證書公鑰的技術(shù)特點

先說公鑰與標識符的關(guān)系：無證書公鑰中，一個實體的公鑰由兩部分組成，除了實體標識符之外，還需要密管中心分發(fā)的一個可公開的個性化參數(shù)。也就是說，標識符只是公鑰的一部分，實體密鑰丟失后，不換標識符，也可以完成密鑰的更新。不過，在網(wǎng)絡(luò)通信中，由于還需要一個個性化的公鑰參數(shù)才能算出完整公鑰，因此，這個公鑰參數(shù)該如何分發(fā)管理呢？是不是也有點繁瑣？

私鑰的組成：一個實體的私鑰也是兩部分組成，一部分必須由密管中心產(chǎn)生，另一部分可以由實體自己產(chǎn)生并保存。也就是說，即使密管中心，也無法獲得實體的完整私鑰。沒有一種技術(shù)是完美的，“尺有所短，寸有所長”的道理是普世的。證書公鑰、標識公鑰和無證書公鑰，三者各有長短，離開應(yīng)用場景的上下文來獨立評述它們的優(yōu)劣，是不客觀不可取的。穩(wěn)妥的做法是分析既有和擴展應(yīng)用場景中的身份認證和業(yè)務(wù)保護相關(guān)需求，結(jié)合現(xiàn)有安全基礎(chǔ)和管理維護條件，開展有針對性的設(shè)計。

四、可信網(wǎng)絡(luò)優(yōu)勢

（一）網(wǎng)絡(luò)隱身機制

SDP零信任軟件定義邊界系統(tǒng)具備網(wǎng)絡(luò)隱身及應(yīng)用隱身的能力，SDP零信任軟件定義邊界系統(tǒng)可將被保護的資源隱藏，外網(wǎng)不可見，極大降低了網(wǎng)絡(luò)暴露面，有效緩解多種網(wǎng)絡(luò)攻擊。

SDP零信任網(wǎng)關(guān)自身不主動開放任何IP和端口，只對通過多維身份鑒別的SDP零信任客戶端開放連接，嚴格遵守先認證后連接的原則，對信任的接入主體按需塑造邊界。SDP零信任軟件定義邊界系統(tǒng)的交互機制，起到很好的邊界隱身的作用，有效的緩解端口掃描、DDOS等攻擊行為。

SDP零信任控制器基于SPA技術(shù)，有效緩解惡意連接的請求，只處理有效包含SPA合法憑證的合法SDP零信任客戶端請求。

SDP零信任網(wǎng)關(guān)基于Default_DROP策略技術(shù)，對一切非認證通過的流量丟包。

SDP零信任網(wǎng)關(guān)與SDP零信任客戶端和SDP零信任控制器聯(lián)動，實現(xiàn)動態(tài)、按需重塑邊界，其只對認證通過的接入主體提供安全接入和應(yīng)用代理訪問的功能。將傳統(tǒng)的訪問控制提升到極高的防護級別?？纱_保只有通過驗證的主體方可接入到邊界，只有授權(quán)的主體方可訪問到被授權(quán)的資源。否則邊界處于隱身狀態(tài)，資源同樣處于隱身狀態(tài)。

（二）融合一體化客戶端引擎

SDP零信任客戶端內(nèi)置融合一體化客戶端引擎，單個客戶端同時運行SDP零信任客戶端、EDR、終端DLP、認證、加密的系統(tǒng)模塊。融合程度高，一體化安裝運維更為便利。SDP零信任等支持客戶端系列產(chǎn)品不僅具有較強的系統(tǒng)操作管理系統(tǒng)以及軟件功能兼容性，該產(chǎn)品支持包括全國中標企業(yè)信創(chuàng)中科麒麟、銀河麒麟、中科方德等多種操作系統(tǒng);同時它還支持包括中標信創(chuàng)windows、linux等桌面操作系統(tǒng);并且還支持IOS、Android等移動智能終端系統(tǒng)。并可為移動應(yīng)用提供標準化的SDK開發(fā)套件，可供第三方應(yīng)用廠商無縫集成，具備良好的使用體驗。SDP零信任客戶端支持開機啟動、斷線重連等人性化配置。

（三）持續(xù)信任評估引擎

SDP零信任控制器支持收集SDP零信任客戶端的輕量級環(huán)境感知信息并實時評估信任度，包括采集運行進程狀態(tài)、注冊表、系統(tǒng)版本、關(guān)鍵文件存在與否等環(huán)境信息。可以通過配置實現(xiàn)對終端運行狀態(tài)的周期性信任評估策略，，并支持與EDR等系統(tǒng)聯(lián)動實現(xiàn)深層次的信任評估機制，對接入主體信任度打分，為生成動態(tài)訪問控制策略提供決策依據(jù)。

（四）動態(tài)訪問控制引擎

SDP零信任網(wǎng)關(guān)支持與SDP零信任控制器的信任評估模塊聯(lián)動，可根據(jù)信任評估結(jié)果生成動態(tài)的訪問控制策略，對信任度發(fā)生變化的主體執(zhí)行強制下線、升權(quán)、降權(quán)等訪問控制操作。極大提升系統(tǒng)的基于風險的響應(yīng)和處置能力，將可能發(fā)生的危險或損失降到最低。SDP零信任軟件定義邊界系統(tǒng)的動態(tài)訪問控制機制，打破了傳統(tǒng)的基于日志等信息的事后審計追溯定位的機制，真正將發(fā)現(xiàn)威脅、消除威脅形成自動化控制閉環(huán)，可以將即將發(fā)生的風險扼殺在發(fā)起端，而不是發(fā)生危險以后事后審計追溯。

五、網(wǎng)絡(luò)認證體系的建立和完善

（一）研究制定網(wǎng)絡(luò)空間可信化的身份管理國家安全政策

隨著中國國家經(jīng)濟社會發(fā)展活動對我國網(wǎng)絡(luò)空間依賴性不斷增強，各相關(guān)行業(yè)對實現(xiàn)網(wǎng)絡(luò)空間可信化的身份都已經(jīng)提出了很大需求，如網(wǎng)絡(luò)購物、網(wǎng)上銀行、網(wǎng)上社保等，身份安全管理已經(jīng)成為當前確保我國網(wǎng)絡(luò)空間繁榮和健康有序發(fā)展的關(guān)鍵。未來可信身份安全管理將更加重要，美國、歐盟等都在積極加強可信身份安全管理中的技術(shù)研發(fā)和實施部署，已經(jīng)初步形成較強的行業(yè)技術(shù)競爭優(yōu)勢;對中國而言，網(wǎng)絡(luò)空間身份安全管理技術(shù)也是我國社會主義發(fā)展改革過程中一個有待研究解決的重大課題，關(guān)系著我國在網(wǎng)絡(luò)空間中的重要話語權(quán)。為此，必須將可信化的身份管理上升發(fā)展到具有國家性和戰(zhàn)略性的高度，出臺各項相關(guān)國家政策措施，整合各類政府資源。明確分工，建立健全政府部門主導(dǎo)、市場主體的協(xié)同推動工作機制，促進國家網(wǎng)絡(luò)空間可信身份安全管理的健康發(fā)展。

（二）建立并完善網(wǎng)絡(luò)信息隱私安全保護系列相關(guān)安全法律法規(guī)

國家相關(guān)主管部門建議應(yīng)繼續(xù)加快《電信法》法規(guī)出臺，制訂關(guān)于促進我國信息化產(chǎn)業(yè)發(fā)展的電子商務(wù)、電子政務(wù)等系列相關(guān)安全法律法規(guī)，為推進網(wǎng)絡(luò)空間相關(guān)基礎(chǔ)信息設(shè)施體系建設(shè)、業(yè)務(wù)模式創(chuàng)新工作營造良好的安全法律制度環(huán)境。同時還提出需要依法加快規(guī)范推進我國網(wǎng)絡(luò)信息安全、個人信息隱私保護、信息安全監(jiān)控等系列相關(guān)法律立法，建立明確透明的我國網(wǎng)絡(luò)安全法律保障、信息安全數(shù)據(jù)監(jiān)控、用戶個人信息隱私保護、跨境電商數(shù)據(jù)信息流動、青少年網(wǎng)上信息保護等安全法律制度環(huán)境，明確安全法律要求、企業(yè)法律責任和安全管理制度邊界，并加快建立依法規(guī)范管理網(wǎng)絡(luò)信息空間和積極引導(dǎo)參與國際網(wǎng)絡(luò)治理的安全制度法律環(huán)境，從而建立能夠加快推進我國互聯(lián)網(wǎng)市場競爭規(guī)則秩序、知識產(chǎn)權(quán)權(quán)益保護等系列相關(guān)法律立法，建立規(guī)范有序、安全可信的我國網(wǎng)絡(luò)空間法律環(huán)境。此外，相關(guān)主管部門還建議可以以近期網(wǎng)絡(luò)密碼信息泄漏這類事件發(fā)生為主要契機，繼續(xù)加強普法宣傳教育力度，鼓勵和引導(dǎo)吸引網(wǎng)絡(luò)用戶積極參與使用網(wǎng)絡(luò)可信賴的身份信息認證。

（三）加強企業(yè)標準化技術(shù)研究，增強企業(yè)認證的標準互通互聯(lián)可認性

通過加強政府部門引導(dǎo)，企業(yè)協(xié)會主導(dǎo)，加大密碼學(xué)、生物特征識別技術(shù)﹑企業(yè)智能卡等企業(yè)認證核心技術(shù)的研發(fā)推廣力度。建立中國企業(yè)擁有和自主研發(fā)知識產(chǎn)權(quán)的重點行業(yè)及區(qū)域國家標準認證核心技術(shù)和行業(yè)標準，并加快建立企業(yè)認證技術(shù)標準之間的技術(shù)接口協(xié)議，增強第三方企業(yè)認證標準互通互聯(lián)可認性，降低企業(yè)社會認證成本。

六、結(jié)束語

誠信認證保障保護網(wǎng)絡(luò)企業(yè)認證安全是當前我國保護互聯(lián)網(wǎng)信息產(chǎn)業(yè)健康發(fā)展的一個必然趨勢和重要發(fā)展戰(zhàn)略方向，也是保證互聯(lián)網(wǎng)在促進我國國民經(jīng)濟社會穩(wěn)定持續(xù)健康發(fā)展中仍然能夠持續(xù)充分發(fā)揮其最大技術(shù)優(yōu)勢的重要技術(shù)基礎(chǔ)。完善中國網(wǎng)絡(luò)用戶真實身份認證信息安全管理，增強我國網(wǎng)絡(luò)企業(yè)用戶能夠通過誠信認證直接聯(lián)系網(wǎng)絡(luò)參與者的主動意愿，打造可信賴的企業(yè)網(wǎng)絡(luò)空間，充分發(fā)揮如何保障認證互聯(lián)網(wǎng)在促進我國國民經(jīng)濟社會穩(wěn)定持續(xù)健康發(fā)展的大進程實踐中的重要技術(shù)優(yōu)勢性和保障機制作用。

參? 考? 文? 獻

[1]何翠芹.構(gòu)建可信、安全的網(wǎng)絡(luò)生態(tài)環(huán)境[J].信息安全與通信保密，2016，（07）：31.

[2]杜飛進.構(gòu)建可信網(wǎng)絡(luò)生態(tài)? 維護國家信息安全[J].人民論壇，2016，（04）：46.