高凱燁

摘 要：目前，我國網絡可信身份應用已在金融、物流、能源、農業(yè)和食品安全等領域蓬勃發(fā)展。論文分析電子政務、電子商務和公共服務三個領域網絡可信身份應用的基本情況，并據此總結出網絡可信身份應用的三個特點，分別是在線身份管理服務共用共享實現爆發(fā)式增長、多模式多安全等級電子認證成為最佳選擇和基于大數據的行為追溯強化了網絡可信身份管理。

關鍵詞：網絡可信身份應用；身份認證方式

中圖分類號：TP393 文獻標識碼：A

1 引言

網絡身份已經成為互聯(lián)網的重要戰(zhàn)略資源，其認證服務模式和認證方式的應用也在發(fā)生巨大變化。生物特征識別、云計算、大數據等技術的融合發(fā)展，極大地促進了網絡可信身份在金融、政務、醫(yī)療等各大領域的應用。本文分析了電子政務、電子商務和公共服務領域的主流網絡可信身份認證方式和技術，并據此總結網絡可信身份應用的發(fā)展特點。

2 應用基本情況

2.1 電子政務領域——以數字證書為主的身份認證方式

電子政務應用不但對系統(tǒng)安全性和穩(wěn)定性要求極高，在稅務（網上報稅）、海關（報關單網上申報）、工商（電子營業(yè)執(zhí)照）等領域還要求對申報人的申報行為進行抗抵賴?；赑KI技術的數字證書認證方式憑借其高安全性、可靠性和抗抵賴性特別適合電子政務身份認證應用，近年來其已經逐漸占據主流地位。據賽迪智庫統(tǒng)計，2017年，應用在電子政務領域的有效數字證書約1200萬張，分布非常廣泛，包括稅務、工商、質監(jiān)、組織機構代碼、社保、公積金、政務內網、采購招投標、行政審批、海關、房地產、民政、財政、計生系統(tǒng)、公安、工程建設、藥品監(jiān)管等，其中稅務中應用的數字證書最多，超過了500萬張。

2.2 電子商務領域——多維度融合身份認證方式

在電子商務領域中，身份認證技術的應用受業(yè)務場景、用戶習慣和安全性共同影響決定，與電子政務領域相比，身份認證技術選擇種類更多，用戶實際使用中往往同時使用兩種以上的認證技術。

以支付寶為例，支付寶目前提供“賬號+口令”“口令+手機驗證碼”“文件證書”“支付盾”“指紋識別”“面部識別”“聲紋識別”“掃碼授權”等多種不同的用戶身份認證方式，用戶不同場景自主選擇相應身份認證方式組合。例如，在PC端對賬戶進行小額轉賬（如50元以下）支付交易時，多采用“賬號+口令”“口令+手機驗證碼”和手機“掃碼授權”等方式。

在PC端進行大額轉賬、支付交易等業(yè)務時，則主要使用“賬號+口令+數字證書”（文件證書或“支付盾”）認證方式。在手機端進行小額轉賬（如50元以下）、支付交易時，一般采用“賬號+口令”“口令+動態(tài)驗證碼”認證方式。

在手機端進行大額支付時，目前主要采用“生物識別”（TouchID指紋、FaceID面部或者聲紋識別）+“移動數字證書”/口令/手機驗證碼進行多重認證的方式。

除此之外，支付寶還通過對用戶歷史登錄和支付行為進行大數據分析、建模，對可疑登錄和支付操作進行自動質疑、阻止和通知，誤識率低于1%。據賽迪智庫統(tǒng)計，截至2017年底，超過80%的網購用戶在進行網絡支付中使用兩種以上身份認證方式，其中又有80%以上的用戶經常使用指紋識別+手機驗證碼的組合認證方式。

2.3 公共服務領域——以第三方賬號授權登錄為主的身份認證方式

當前，越來越多的社交應用選擇加入了一個或多個由大型互聯(lián)網廠商提供的身份認證平臺，接受由認證平臺提供的外部身份服務。對應用開發(fā)商來講，此舉降低了用戶注冊、登錄時間成本，間接擴大了應用的用戶群；對平臺提供商來講，多元化的第三方應用的加入也更好地滿足了平臺用戶需求。

目前，主流的第三方授權登錄服務平臺有騰訊的QQ互聯(lián)、新浪微博的微連接、淘寶/支付寶賬號登錄和人人賬號登錄等，普遍使用OAuth和OpenID技術。據賽迪智庫統(tǒng)計，截至2017年12月，超過10萬個第三方應用已經接入或已提交接入騰訊開放平臺的申請，有3萬家網站已經使用了QQ互聯(lián)的登錄系統(tǒng)；接入新浪微博開放平臺的連接網站已經超過18萬家；接入支付寶和淘寶開放平臺的第三方應用已經超過20萬個，網站超過5萬個。據公開資料顯示，截至2017年底，85%以上的網民使用過第三方授權登錄服務，50%的網民經常使用該服務。

3 應用發(fā)展特點

3.1 在線身份管理服務共用共享實現爆發(fā)式增長

當一個用戶使用多個機構的服務時，仍舊需要使用多套賬戶，機構與機構之間的跨機構訪問，以機構為中心的身份管理也難以應對。目前，身份管理已經打破應用或者機構邊界，逐步形成以用戶為中心的身份管理。以用戶為中心的身份管理能夠確保用戶用少量的身份，使用跨機構、跨地域、甚至跨國界的服務。業(yè)界已涌現出一系列標準，用于不同的網絡身份認證系統(tǒng)之間的互聯(lián)互通，以及跨域進行訪問授權。例如，OpenID、SAML、OAuth、FIDO等國際標準已得到廣泛應用，被大量國內外主流的互聯(lián)網企業(yè)所采用。

在網絡應用和身份大規(guī)模增長的現狀下，身份管理系統(tǒng)共享共用在為個體提供選擇和便利、為應用節(jié)省成本的同時，也能更好地保護用戶的個人信息。在共享共用的身份管理系統(tǒng)里，作為身份管理服務企業(yè)，通過身份入口掌握用戶信息，同時通過提供身份服務獲取商業(yè)利益。作為應用提供商，可選擇不同的身份管理系統(tǒng)，自己不需要管理用戶。作為個人，可自由選擇身份管理系統(tǒng)，其個人信息放在較安全的身份管理系統(tǒng)，有利于身份信息的管理和隱私保護。

3.2 多模式多安全等級身份認證成為最佳選擇

互聯(lián)網應用和服務層出不窮、形式多樣、更新頻繁，不同網絡應用或服務對用戶的可信安全需求也各不相同。即使相同的應用，在不同的環(huán)境和場景下對用戶的鑒別也有不同的安全要求。支持多等級的安全身份鑒別，以滿足不同類型、不同規(guī)模的應用在安全性、隱私保護能力、賠付能力等方面的差異化需求是現代身份鑒別的重要內容。應用或服務可能需要針對不同的用戶和應用場景，配置不同的安全策略。舉例來說，對于需要處理不太敏感信息的應用，僅通過一般鑒別強度的用戶實體就可使用；對于安全風險較大的環(huán)境，需要使用更強鑒別功能的令牌。

針對不同的應用/機構/軟件/服務，根據相應的安全需求，制定多安全等級的認證策略，采用不同安全要求的身份鑒別技術，以達到更好的安全性和易用性的平衡。

3.3 基于大數據的行為追溯強化了網絡可信身份管理

在目前的網絡可信身份管理技術發(fā)展趨勢下，個體的身份、行為信息存儲在身份管理機構，隨著大數據在各行各業(yè)的應用和發(fā)展，可通過構建網絡身份與行為數據中心，實現對用戶在不同身份管理機構的身份關聯(lián)，從而完成用戶行為預測和網絡可信感知。

通過與身份管理機構進行用戶身份與行為數據的交換，利用不斷積累起來的歷史元數據，可以獲得用戶身份關聯(lián)、行為預測、網絡可信感知等能力，建立用戶網絡活動信用檔案，提高追溯能力。通過對用戶行為大數據的監(jiān)控與預測，可以發(fā)現異常行為提前預警，實現快速追蹤；還可實現網絡可信感知和網絡宏觀狀態(tài)發(fā)現，包括上網流量分析、網絡關注度分析、異常分析和報警等。

4 結束語

通過對不同領域網絡可信應用的研究，發(fā)現在電子政務領域，身份認證應用對于系統(tǒng)安全性、穩(wěn)定性和行為的可追溯、可審計性要求最高，因而采用多采用基于數字證書的身份認證方式；在電子商務領域，由于用戶的習慣和身份認證場景多樣，一般采用多種身份認證技術聯(lián)合應用的方式；在公共服務領域，多采用第三方賬號授權的身份認證方式，其優(yōu)點在于能夠降低了用戶注冊、登錄時間成本，擴大應用的用戶群。未來，網絡可信身份認證應用將向在線身份管理服務共用共享、多模式多安全等級身份認證和基于大數據的行為追溯等方向發(fā)展。

參考文獻

[1] 陳左寧.網絡空間可信戰(zhàn)略問題的思考[J].網絡空間安全， 2018（1）.

[2] 石玲玲，周陽，呂博.面向空間信息系統(tǒng)的可信認證機制研究[J].網絡空間安全， 2017， 8（10）：15-20.

[3] 顧青，謝超，馮四風.網絡可信身份管理體系研究[J].網絡空間安全， 2016， 2（10）：931-935.