宋憲榮 張猛

摘 要：隨著人類活動(dòng)不斷向網(wǎng)絡(luò)空間延伸，網(wǎng)絡(luò)空間被視為繼陸、海、空、天之后的“第五疆域”，對(duì)國(guó)際政治、經(jīng)濟(jì)、文化、社會(huì)、軍事等領(lǐng)域都產(chǎn)生了深刻影響。開(kāi)展網(wǎng)絡(luò)身份管理、確保網(wǎng)絡(luò)主體身份可信、行為可追溯等已成為網(wǎng)絡(luò)空間治理的重要內(nèi)容。我國(guó)《網(wǎng)絡(luò)安全法》也明確指出“國(guó)家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開(kāi)發(fā)安全、方便的電子身份認(rèn)證技術(shù)，推動(dòng)不同電子身份認(rèn)證之間的互認(rèn)”。論文重點(diǎn)梳理了歐美等國(guó)在發(fā)展可信身份認(rèn)證技術(shù)上的先進(jìn)做法，分析了可信身份認(rèn)證技術(shù)在加密算法等方面的未來(lái)發(fā)展趨勢(shì)，最終引出發(fā)展我國(guó)網(wǎng)絡(luò)可信身份技術(shù)的經(jīng)驗(yàn)與啟示。

關(guān)鍵詞：網(wǎng)絡(luò)空間；可信身份認(rèn)證；加密算法；發(fā)展趨勢(shì)

中圖分類號(hào)： TP393 文獻(xiàn)標(biāo)識(shí)碼：A

Present situation and trend of the foreign network trusted identity authentication technology and its enlightenment to china

Abstract： As human activities extend to cyberspace， cyberspace is regarded as the "fifth space" after land， sea， air and sky， which has a profound impact on international politics， economy， culture， society， military and other fields. It has become an important content of network space management to carry out network identity management， ensure the identity of the network main body， and the traceability of the behavior. China's network security law also points out that "the State implements the network trusted identity strategy， supports the research and development of secure and convenient electronic identity authentication technology， and promotes the mutual recognition between different electronic identity authentications". This article focuses on the advanced practices of developing trusted identity authentication technology in Europe and America， analyzes the future development trend of trusted identity authentication technology in encryption algorithm and so on， and finally leads to the experience and inspiration of developing our network trusted identity technology.

Key words： cyberspace； identity authentication； encryption algorithm； development trend

1 引言

當(dāng)今時(shí)代，信息革命給生產(chǎn)力帶來(lái)了又一次質(zhì)的飛躍，物聯(lián)網(wǎng)、大數(shù)據(jù)等日益成為創(chuàng)新驅(qū)動(dòng)發(fā)展的先導(dǎo)力量，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的“第五疆域”。隨著人們對(duì)網(wǎng)絡(luò)空間的依賴度越來(lái)越高，網(wǎng)絡(luò)空間中信息交流和互動(dòng)越來(lái)越多，網(wǎng)絡(luò)已經(jīng)成為推動(dòng)社會(huì)發(fā)展的重要工具，網(wǎng)絡(luò)實(shí)體資源已經(jīng)成為網(wǎng)絡(luò)空間的戰(zhàn)略資源。與此同時(shí)，面臨的網(wǎng)絡(luò)主體身份難以確認(rèn)，網(wǎng)絡(luò)資源非授權(quán)訪問(wèn)等網(wǎng)絡(luò)安全問(wèn)題日益突出，極大地阻礙了網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展，公民個(gè)人隱私、國(guó)家安全和社會(huì)穩(wěn)定面臨著嚴(yán)重的威脅。世界各發(fā)達(dá)國(guó)家紛紛計(jì)劃和實(shí)施網(wǎng)絡(luò)可信身份國(guó)家發(fā)展戰(zhàn)略，構(gòu)建可信網(wǎng)絡(luò)空間，維護(hù)國(guó)家網(wǎng)絡(luò)空間主體身份管理主權(quán)，保障關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)資源安全，促進(jìn)網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展。2016年我國(guó)頒布的《網(wǎng)絡(luò)安全法》中第二十四條提到，“國(guó)家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開(kāi)發(fā)安全、方便的電子身份認(rèn)證技術(shù)，推動(dòng)不同電子身份認(rèn)證之間的互認(rèn)”。因此，梳理研究國(guó)外網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)發(fā)展現(xiàn)狀和趨勢(shì)，針對(duì)我國(guó)國(guó)情提出相關(guān)意見(jiàn)建議對(duì)推進(jìn)我國(guó)網(wǎng)絡(luò)可信體系建設(shè)具有重要意義。

2 發(fā)展現(xiàn)狀

2.1 應(yīng)用模式

美國(guó)大力發(fā)展基于PKI框架的FICAM數(shù)字身份證方案，在政務(wù)領(lǐng)域應(yīng)用卓有成效。FICAM的前身是美國(guó)網(wǎng)絡(luò)安全委員會(huì)CNSS在2008年前后提出的ICAM（Identity Credential and Access Management），目的是在美國(guó)涉密信息系統(tǒng)中建立統(tǒng)一的身份、證書(shū)和訪問(wèn)管理系統(tǒng)，解決聯(lián)邦涉密網(wǎng)絡(luò)間的協(xié)同工作和身份認(rèn)證問(wèn)題。ICAM發(fā)布之初并未得到過(guò)多重視，但在2009年前后，美國(guó)政府接連發(fā)生嚴(yán)重泄密事件，特別是“維基解密事件”的發(fā)生使得聯(lián)邦政府高度重視涉密系統(tǒng)身份驗(yàn)證及文檔訪問(wèn)控制。2009年5月奧巴馬政府發(fā)布《網(wǎng)絡(luò)空間安全評(píng)估報(bào)告》，將建立身份管理系統(tǒng)被作為一項(xiàng)重大任務(wù)提出，ICAM系統(tǒng)因而得到聯(lián)邦政府資助正式演變成FICAM。而在之后的2011年4月隨著奧巴馬政府簽署《網(wǎng)絡(luò)空間可信身份國(guó)家戰(zhàn)略》將建設(shè)網(wǎng)絡(luò)空間可信身份體系提高到國(guó)家戰(zhàn)略層面，F(xiàn)ICAM技術(shù)研究也得到政府的重要支持在電子政務(wù)領(lǐng)域全面鋪開(kāi)[1]。

FICAM通過(guò)PKI技術(shù)集中、統(tǒng)一地給美國(guó)政府機(jī)關(guān)涉密人員發(fā)放數(shù)字身份證，并以此為基礎(chǔ)加強(qiáng)訪問(wèn)控制管理。FICAM包含五個(gè)主要模塊，分別是身份管理模塊、證書(shū)管理模塊、訪問(wèn)管理模塊、身份聯(lián)合模塊和審計(jì)與報(bào)告模塊。其工作原理是首先由身份管理模塊對(duì)訪問(wèn)者生成可信數(shù)字身份，然后由證書(shū)管理模塊將數(shù)字身份綁定到數(shù)字證書(shū)上，最后通過(guò)訪問(wèn)管理模塊和身份聯(lián)合模塊進(jìn)行證書(shū)鑒權(quán)實(shí)現(xiàn)資源的訪問(wèn)控制。整個(gè)FICAM基于PKI架構(gòu)，其核心是證書(shū)管理模塊中的軍方CA機(jī)構(gòu)，如國(guó)家安全局NSS根、國(guó)防部中間認(rèn)證中心（DoD CA）、國(guó)防部分配認(rèn)證中心（DoD Issuing CA）、聯(lián)邦調(diào)查局認(rèn)證中心（FBI CA）等。截止2016年底，美國(guó)聯(lián)邦政府和軍方基本完成基于PKI框架的FICAM體系建設(shè)，雖然該框架仍存在訪問(wèn)認(rèn)證效率低下、涉密安全要求不統(tǒng)一、跨安全域傳輸能力匱乏等諸多問(wèn)題，但也基本解決了涉密網(wǎng)絡(luò)人員身份驗(yàn)證、安全域互操作和外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的安全訪問(wèn)問(wèn)題，應(yīng)用卓有成效。目前，F(xiàn)ICAM主要應(yīng)用于電子政務(wù)和軍事領(lǐng)域。

歐盟積極推廣eID電子身份證方案，在民用領(lǐng)域應(yīng)用成績(jī)斐然。歐盟網(wǎng)絡(luò)發(fā)展戰(zhàn)略的重點(diǎn)任務(wù)之一是要建立網(wǎng)絡(luò)可信身份體系，并在歐盟范圍內(nèi)形成一個(gè)統(tǒng)一的身份服務(wù)市場(chǎng)。根據(jù)戰(zhàn)略要求，歐盟成員國(guó)采用eID作為可信身份解決方案，用以識(shí)別身份、保護(hù)數(shù)據(jù)，降低網(wǎng)絡(luò)欺詐的風(fēng)險(xiǎn)。

eID采用高強(qiáng)度安全機(jī)制，可以確保密碼信息無(wú)法被讀取、復(fù)制、篡改或非法使用，從而確保eID和持有人一一對(duì)應(yīng)。eID的簽發(fā)機(jī)構(gòu)類似于PKI框架下的CA機(jī)構(gòu)。當(dāng)用戶需要在網(wǎng)上自證身份時(shí)候，只憑姓名和eID，不需要其他個(gè)人隱私信息，就可以在實(shí)名的網(wǎng)站完成注冊(cè)，而真實(shí)的個(gè)人信息保存在聯(lián)邦公民基本信息庫(kù)中，網(wǎng)站無(wú)法看到。網(wǎng)站將eID提交給聯(lián)網(wǎng)數(shù)據(jù)庫(kù)進(jìn)行查詢，返回結(jié)果僅是狀態(tài)信息，即此人是否真實(shí)存在，以及eID是否有效，結(jié)果中并不帶有任何姓名、身份證號(hào)等個(gè)人隱私信息。這樣既達(dá)到了實(shí)名的真實(shí)性要求，又達(dá)到了保護(hù)個(gè)人隱私的目的。據(jù)最新統(tǒng)計(jì)，歐盟28個(gè)成員國(guó)中已有18個(gè)發(fā)行了eID，其中比利時(shí)使用人數(shù)已超過(guò)900萬(wàn)，覆蓋了全國(guó)80%以上的人口。除了在eID身份驗(yàn)證理論上進(jìn)行研究，歐盟還在eID配套產(chǎn)品和公共平臺(tái)研發(fā)上持續(xù)加碼，如2009年啟動(dòng)最大的芯片卡研究項(xiàng)目BioPass，研制符合國(guó)際標(biāo)準(zhǔn)的eID卡，開(kāi)發(fā)具有高安全性與互操作性的eID卡平臺(tái)；2010-2015年開(kāi)展的ISA項(xiàng)目，通過(guò)研發(fā)搭建公共平臺(tái)，包括敏感數(shù)據(jù)信息交換和共享平臺(tái)、多語(yǔ)言服務(wù)平臺(tái)、數(shù)據(jù)共享安全網(wǎng)絡(luò)平臺(tái)等，促進(jìn)成員國(guó)的公共行政部門的合作；2012-2015年由德國(guó)弗勞恩霍夫工業(yè)工程研究所牽頭的FutureID項(xiàng)目，開(kāi)發(fā)了用于移動(dòng)設(shè)備的eID客戶端，為在線服務(wù)提供商開(kāi)發(fā)功能多、易用性強(qiáng)的應(yīng)用程序，并探索研究保障用戶隱私不受侵犯的新技術(shù)新應(yīng)用等[2-4]。

2.2 支撐技術(shù)

網(wǎng)絡(luò)可信身份驗(yàn)證應(yīng)用的底層技術(shù)歸根結(jié)底是密碼技術(shù)，無(wú)論是PKI架構(gòu)還是數(shù)字簽名應(yīng)用都離不開(kāi)密碼技術(shù)。自上世紀(jì)70年代開(kāi)始，歐美等國(guó)就率先開(kāi)始密碼技術(shù)的研究與應(yīng)用，取得了大量先進(jìn)成果，有利的支撐了網(wǎng)絡(luò)可信身份驗(yàn)證應(yīng)用的發(fā)展，其中主流的密碼算法有三大類：對(duì)稱加密算法、非對(duì)稱加密算法和雜湊算法。

對(duì)稱加密算法使用簡(jiǎn)單，但存在密鑰存儲(chǔ)分發(fā)問(wèn)題，廣泛應(yīng)用于普通數(shù)據(jù)加密場(chǎng)合。對(duì)稱加密算法指加密密鑰和解密密鑰相同，或知道密鑰之一很容易推導(dǎo)得到另一個(gè)密鑰。對(duì)稱加密算法加解密速度非?？?，但存在密鑰存儲(chǔ)分發(fā)問(wèn)題，因此，這類算法適用于一般數(shù)據(jù)加密的場(chǎng)合。IBM公司在上世紀(jì)70年代首先提出DES算法，后該算法成為美國(guó)FIPS-46標(biāo)準(zhǔn)。但DES算法自推出后，其安全性一直廣受質(zhì)疑，20世紀(jì)末不斷有研究機(jī)構(gòu)成功攻破DES算法。隨后，美國(guó)NIST開(kāi)始征集開(kāi)發(fā)AES算法，歐洲也開(kāi)始啟動(dòng)NESSIE工程，最后確定AES算法可根據(jù)所需安全強(qiáng)度設(shè)定密鑰長(zhǎng)度為128/192/256位。鑒于AES算法具有加解密運(yùn)算速度極快的優(yōu)點(diǎn)，該算法成為使用最為廣泛的對(duì)稱密碼算法。

非對(duì)稱加密算法為解決密鑰分發(fā)問(wèn)題誕生，廣泛應(yīng)用于重要領(lǐng)域加解密。非對(duì)稱加密算法，指用戶有兩個(gè)密鑰，一個(gè)公開(kāi)密鑰，一個(gè)私有密鑰，并且從公開(kāi)密鑰推導(dǎo)私有密鑰是極其困難的。公鑰加密算法完美解決了對(duì)稱加密算法的密鑰管理分發(fā)難題，在PKI架構(gòu)和數(shù)字簽名中具有重要應(yīng)用，但運(yùn)算效率較低。美國(guó)在1978年首次提出基于大整數(shù)素因子分解的RSA算法，1985又提出了基于離散對(duì)數(shù)問(wèn)題的ELGamal算法，其中RSA算法是目前應(yīng)用較為廣泛。RSA算法的強(qiáng)度與其算法密鑰長(zhǎng)度有關(guān)，RSA1024已經(jīng)在2012年被美國(guó)密碼學(xué)家攻破，目前最新版本為RSA4096。由于過(guò)長(zhǎng)的RSA密鑰會(huì)導(dǎo)致運(yùn)算效率大大下降，美國(guó)NIST和歐洲NESSIE的專家又提出了橢圓曲線和超橢圓曲線密碼ECC，該算法只需282bit的密鑰長(zhǎng)度即可媲美RSA4096的加密強(qiáng)度，運(yùn)算效率大大提高，是目前非對(duì)稱密碼技術(shù)研究的熱點(diǎn)[5]。

雜湊算法專門解決信息的非法篡改問(wèn)題，重點(diǎn)應(yīng)用于數(shù)字簽名和數(shù)據(jù)完整性保護(hù)領(lǐng)域。雜湊算法又名哈希算法、摘要算法，它能夠?qū)⑷我忾L(zhǎng)度的消息壓縮成固定長(zhǎng)度的摘要，能夠賦予每個(gè)消息唯一的“數(shù)字指紋”。雜湊算法與對(duì)稱/非對(duì)稱加密算法的區(qū)別是，后兩種算法是用于防止信息被竊取，而雜湊算法的目標(biāo)是用于證明原文的完整性，也就是說(shuō)用于防止信息被篡改。雜湊算法的典型代表是美國(guó)NIST發(fā)布的SHA系列，1995年SHA-1正式發(fā)布，經(jīng)過(guò)二十余年的發(fā)展SHA-1算法逐漸成為互聯(lián)網(wǎng)最基礎(chǔ)的數(shù)字簽名算法。由于SHA家族算法本身的問(wèn)題存在“碰撞”破解的可能性，SHA算法被攻破的時(shí)間僅依賴于所使用的計(jì)算能力，所以，歐美密碼學(xué)家不斷調(diào)整改進(jìn)SHA算法，既SHA-1后推出SHA-224、SHA-256、SHA-384和SHA-512。2017年2月23日，谷歌聯(lián)合荷蘭CWI機(jī)構(gòu)給出了SHA-1碰撞實(shí)例，攻破了SHA-1算法。

3 未來(lái)趨勢(shì)

從應(yīng)用模式方面，基于傳統(tǒng)PKI架構(gòu)的身份認(rèn)證機(jī)制在某些應(yīng)用環(huán)境下顯得設(shè)備復(fù)雜且效率低下，一些操作簡(jiǎn)便、安全性更高的新型身份認(rèn)證技術(shù)正蓬勃成長(zhǎng)。從密碼技術(shù)方面，伴隨著云計(jì)算能力的大幅度提升，各類身份認(rèn)證技術(shù)中的傳統(tǒng)密碼算法生命周期不斷縮短，一些新型加密技術(shù)不斷涌現(xiàn)，加密技術(shù)升級(jí)迭代速度顯著加快。

3.1 FIDO標(biāo)準(zhǔn)成為線上身份驗(yàn)證研究的最新熱點(diǎn)，未來(lái)有望“殺死密碼”

FIDO線上快速身份驗(yàn)證標(biāo)準(zhǔn)（以下簡(jiǎn)稱FIDO標(biāo)準(zhǔn)）是由FIDO聯(lián)盟（Fast Identity Online Alliance）提出的一個(gè)開(kāi)放的標(biāo)準(zhǔn)協(xié)議，旨在提供一個(gè)高安全性、跨平臺(tái)兼容性、極佳用戶體驗(yàn)與用戶隱私保護(hù)的在線身份驗(yàn)證技術(shù)架構(gòu)。FIDO標(biāo)準(zhǔn)通過(guò)集成生物識(shí)別與非對(duì)稱加密兩大技術(shù)來(lái)完成用戶身份驗(yàn)證，試圖終結(jié)多年來(lái)用戶必須記憶并使用大量復(fù)雜密碼的煩惱。因此，業(yè)內(nèi)有人將之稱為“無(wú)密碼強(qiáng)驗(yàn)證”技術(shù)，號(hào)稱該標(biāo)準(zhǔn)將“殺死密碼”，成為密碼的終結(jié)者。

目前FIDO標(biāo)準(zhǔn)已于2015年推出并完善了1.0版本，提出了U2F與UAF兩種用戶在線身份驗(yàn)證協(xié)議。其中U2F協(xié)議兼容現(xiàn)有密碼驗(yàn)證體系，在用戶進(jìn)行高安全屬性的在線操作時(shí)，其需提供一個(gè)符合U2F協(xié)議的驗(yàn)證設(shè)備作為第二身份驗(yàn)證因素，即可保證交易足夠安全。而UAF則充分地吸收了移動(dòng)智能設(shè)備所具有的新技術(shù)，更加符合移動(dòng)用戶的使用習(xí)慣。在需要驗(yàn)證身份時(shí)，智能設(shè)備利用生物識(shí)別技術(shù)（如指紋識(shí)別、面部識(shí)別、虹膜識(shí)別等）取得用戶授權(quán)，然后通過(guò)非對(duì)稱加密技術(shù)生成加密的認(rèn)證數(shù)據(jù)供后臺(tái)服務(wù)器進(jìn)行用戶身份驗(yàn)證操作。整個(gè)過(guò)程可完全不需要密碼，真正意義上實(shí)現(xiàn)了“終結(jié)密碼”。根據(jù)UAF協(xié)議，用戶所有的個(gè)人生物數(shù)據(jù)與私有密鑰都只存儲(chǔ)在用戶設(shè)備中，無(wú)需經(jīng)網(wǎng)絡(luò)傳送到網(wǎng)站服務(wù)器，而服務(wù)器只需存儲(chǔ)有用戶的公鑰即可完成用戶身份驗(yàn)證。這樣就大大降低了用戶驗(yàn)證信息暴露的風(fēng)險(xiǎn)。即使網(wǎng)站服務(wù)器被黑客攻擊，他們也得不到用戶驗(yàn)證信息偽造交易，也消除了傳統(tǒng)密碼數(shù)據(jù)泄露后的連鎖式反應(yīng)[6，7]。

目前，谷歌公司目前已經(jīng)開(kāi)發(fā)出支持U2F身份認(rèn)證的Security Key，該裝置配合Chrome瀏覽器實(shí)現(xiàn)網(wǎng)站身份的自動(dòng)鑒別，當(dāng)用戶登錄的網(wǎng)站是通過(guò)驗(yàn)證時(shí)，用戶無(wú)需輸入密碼，只需根據(jù)瀏覽器提示按下確認(rèn)即可，若網(wǎng)站未通過(guò)驗(yàn)證，則該裝置不會(huì)運(yùn)行；科技公司Egistec推出的基于FIDO框架的Yukey認(rèn)證器可以讓用戶通過(guò)指紋識(shí)別器及生物數(shù)據(jù)識(shí)別腕帶進(jìn)行聯(lián)合身份認(rèn)證；三星公司也在積極研發(fā)推出基于FIDO的身份認(rèn)證解決方案，其安全身份認(rèn)證框架和指紋讀取器均通過(guò)了FIDO認(rèn)證；微軟公司在Windows10中全面支持FIDO 2.0版本標(biāo)準(zhǔn)，支持此標(biāo)準(zhǔn)的設(shè)備可以具有豐富的第三方生物識(shí)別功能，大大提升系統(tǒng)安全性和易用性。

3.2 區(qū)塊鏈技術(shù)有可能顛覆傳統(tǒng)的PKI身份驗(yàn)證技術(shù)體系

目前國(guó)內(nèi)外對(duì)區(qū)塊鏈技術(shù)的研究如火如荼，其去中心化、開(kāi)放性、自治性、不可篡改性和匿名性決定了其未來(lái)會(huì)對(duì)金融和經(jīng)濟(jì)帶來(lái)巨大的影響。而區(qū)塊鏈的典型應(yīng)用之一就是在線身份驗(yàn)證，其相比傳統(tǒng)PKI體系的優(yōu)勢(shì)有幾點(diǎn)：一是身份信息更難篡改。每個(gè)人一出生便會(huì)形成自己的數(shù)字身份信息，同時(shí)得到一個(gè)公鑰和一個(gè)私鑰，利用時(shí)間戳技術(shù)形成區(qū)塊鏈，在共識(shí)機(jī)制保證下，數(shù)據(jù)篡改極為困難。二是系統(tǒng)信息分布式存放，系統(tǒng)上的所有節(jié)點(diǎn)均可下載存放最新、最全的身份認(rèn)證信息。從此以后，人們不必再隨時(shí)攜帶自己的身份證，只需要通過(guò)公鑰證明“我是我”，通過(guò)私鑰自由管理自己的身份信息。三是激勵(lì)機(jī)制的存在促使用戶積極維護(hù)整個(gè)區(qū)塊鏈，保證系統(tǒng)長(zhǎng)期良性運(yùn)作，系統(tǒng)穩(wěn)定性更高、維護(hù)成本更低[8-10]。

很多區(qū)塊鏈初創(chuàng)企業(yè)已經(jīng)和傳統(tǒng)行業(yè)巨頭接觸進(jìn)行身份認(rèn)證產(chǎn)品試驗(yàn)。例如區(qū)塊鏈企業(yè)ShoCard與航空服務(wù)商SITA合作開(kāi)發(fā)了SITA Digital Traveler Identity App的身份認(rèn)證應(yīng)用。該應(yīng)用融合了基于區(qū)塊鏈的數(shù)據(jù)和面部識(shí)別技術(shù)，致力于簡(jiǎn)化航空公司乘客身份驗(yàn)證流程，以及實(shí)現(xiàn)機(jī)場(chǎng)實(shí)時(shí)數(shù)據(jù)流；微軟宣布和Blockstack Labs、ConsenSys合作，推出基于區(qū)塊鏈技術(shù)的身份識(shí)別系統(tǒng)，實(shí)現(xiàn)人、產(chǎn)品、應(yīng)用和服務(wù)的深度交互。IBM與法國(guó)國(guó)民互助信貸銀行。CréditMutuelArkéa）合作完成了一個(gè)基于區(qū)塊鏈技術(shù)的身份認(rèn)證系統(tǒng)，該系統(tǒng)采用超級(jí)賬本（Hyperledger）區(qū)塊鏈框架引導(dǎo)客戶向第三方（比如本地公共部門或零售商）提供身份證明。

3.3 傳統(tǒng)加密算法升級(jí)迭代速度加快

基于數(shù)學(xué)運(yùn)算的傳統(tǒng)加密算法是身份認(rèn)證技術(shù)的基石，無(wú)論是PKI框架、FIDO體系還是區(qū)塊鏈模型都離不開(kāi)它的支持，隨著云計(jì)算能力的快速增強(qiáng)，傳統(tǒng)加密算法的生命周期都在急劇縮短，可以預(yù)見(jiàn)未來(lái)傳統(tǒng)加密算法的升級(jí)迭代速度將顯著加快。2017年2月23日，谷歌公司與荷蘭CWI機(jī)構(gòu)聯(lián)合破解了SHA-1算法并給出相應(yīng)“碰撞”破解實(shí)例。這次破解的計(jì)算量相當(dāng)于單個(gè)CPU計(jì)算6500年和單個(gè)GPU計(jì)算110年，就目前的PC硬件來(lái)看，依靠一臺(tái)電腦完成破解還不現(xiàn)實(shí)。但密碼學(xué)家認(rèn)為，利用云計(jì)算技術(shù)破解SHA-1算法是較為容易實(shí)現(xiàn)的。這次事件足以能夠證實(shí)SHA-1算法已經(jīng)不再安全。其實(shí)早在SHA-1算法被攻破之前，已經(jīng)有MD5算法隨著PC計(jì)算能力的提升被攻破、淘汰。

3.4 以量子加密、輕量級(jí)加密為代表的新型加密算法將成為研究熱點(diǎn)

量子加密技術(shù)基于量子力學(xué)開(kāi)發(fā)，其可行性在于，如果有人試圖攔截加密的內(nèi)容，查看這個(gè)加密內(nèi)容的行為將會(huì)改變內(nèi)容。入侵者不但無(wú)法獲得加密的內(nèi)容，而且授權(quán)人員會(huì)知道有人試圖獲取或篡改內(nèi)容。目前主流發(fā)達(dá)國(guó)家都在進(jìn)行量子加密前沿研究，英國(guó)、瑞士均已經(jīng)實(shí)現(xiàn)基于BB84方案的30km距離的量子密鑰分發(fā)實(shí)驗(yàn)；美國(guó)LosAlamos實(shí)驗(yàn)室已經(jīng)進(jìn)行基于B92方案的48km量子密鑰傳送。在輕量級(jí)加密算法研制方面，歐美等國(guó)正積極研制針對(duì)RFID訪問(wèn)控制、電子護(hù)照身份識(shí)別的專用壓縮算法，重點(diǎn)解決在計(jì)算能力、存儲(chǔ)能力、能量密度等硬件極度受限情況下的傳統(tǒng)密碼算法應(yīng)用難題。未來(lái)，隨著云計(jì)算和物聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，量子加密和輕量級(jí)加密算法的需求將越來(lái)越大，未來(lái)有望成為新的研究熱點(diǎn)[11，12]。

4 對(duì)我國(guó)的啟示

4.1 以電子政務(wù)領(lǐng)域應(yīng)用為突破口推進(jìn)網(wǎng)絡(luò)可信身份技術(shù)體系的商業(yè)化應(yīng)用

美國(guó)的FICAM體系的成功推廣與聯(lián)邦政府大力支持以及在電子政務(wù)和軍事領(lǐng)域的試點(diǎn)應(yīng)用密不可分。我國(guó)電子政務(wù)平臺(tái)建設(shè)起步較晚，存在辦公應(yīng)用系統(tǒng)各自獨(dú)立、數(shù)據(jù)無(wú)法互聯(lián)互通、訪問(wèn)人員身份驗(yàn)證接口不統(tǒng)一以及涉密信息傳輸管理混亂等諸多問(wèn)題，可以借鑒美國(guó)經(jīng)驗(yàn)，在電子政務(wù)領(lǐng)域研究推廣適合我國(guó)國(guó)情的PKI身份認(rèn)證體系，全面提高各級(jí)政府電子政務(wù)平臺(tái)系統(tǒng)安全性，推進(jìn)網(wǎng)絡(luò)可信身份相關(guān)技術(shù)的落地。

4.2 加強(qiáng)相關(guān)配套產(chǎn)品和平臺(tái)的開(kāi)發(fā)與建設(shè)，為可信身份技術(shù)的商業(yè)化應(yīng)用提供保障

歐盟在可信身份技術(shù)配套理論、產(chǎn)品和平臺(tái)研究方面成效突出。如在加密算法、芯片卡、數(shù)據(jù)公共平臺(tái)、電子追蹤、互操作性等方面進(jìn)行了大量創(chuàng)新研究和商業(yè)產(chǎn)品開(kāi)發(fā)，保障了網(wǎng)絡(luò)身份管理的順利實(shí)施。我國(guó)在此方面還處于探索和跟隨階段，諸多網(wǎng)絡(luò)可信身份技術(shù)仍停留在實(shí)驗(yàn)室研究階段，縱然我國(guó)網(wǎng)絡(luò)可信身份服務(wù)潛在需求巨大，但由于成熟的市場(chǎng)產(chǎn)品較少，難以支撐可信身份管理技術(shù)的推廣。建議政府加強(qiáng)引導(dǎo)，理順“產(chǎn)學(xué)研用”生態(tài)鏈，充分發(fā)揮企業(yè)在生產(chǎn)研發(fā)優(yōu)勢(shì)，打造一批網(wǎng)絡(luò)可信身份服務(wù)代表產(chǎn)品、示范平臺(tái)，為可信身份技術(shù)的商業(yè)化應(yīng)用提供保障。

4.3 加快FIDO和區(qū)塊鏈等創(chuàng)新技術(shù)在網(wǎng)絡(luò)可信身份領(lǐng)域的研究與應(yīng)用

目前，國(guó)外學(xué)術(shù)界對(duì)FIDO和區(qū)塊鏈技術(shù)在可信身份認(rèn)證領(lǐng)域的研究正如火如荼地展開(kāi)，并在加密理論、標(biāo)準(zhǔn)框架等方面取得了很多成果；而以谷歌、微軟、IBM、三星等國(guó)際互聯(lián)網(wǎng)巨頭也都推出了一系列的基于FIDO和區(qū)塊鏈的身份認(rèn)證產(chǎn)品和解決方案，以期快速布局全球身份認(rèn)證服務(wù)市場(chǎng)。鑒于FIDO技術(shù)和區(qū)塊鏈技術(shù)研究剛剛興起，我國(guó)科研界與產(chǎn)業(yè)界應(yīng)緊緊抓住此次機(jī)會(huì)，緊跟研究潮流，全面推進(jìn)新型身份驗(yàn)證技術(shù)的理論突破與商業(yè)化應(yīng)用，建立完善相關(guān)產(chǎn)業(yè)鏈，實(shí)現(xiàn)“彎道超車”，奠定我國(guó)在該領(lǐng)域世界范圍內(nèi)的領(lǐng)先地位。建議有關(guān)部門一是加強(qiáng)政策傾斜和財(cái)稅支持，鼓勵(lì)互聯(lián)網(wǎng)初創(chuàng)企業(yè)加強(qiáng)對(duì)區(qū)塊鏈等創(chuàng)新技術(shù)的研究和產(chǎn)品化；二是引導(dǎo)整合市場(chǎng)資源，鼓勵(lì)企業(yè)通過(guò)融資并購(gòu)做大做強(qiáng)，集中力量實(shí)現(xiàn)關(guān)鍵技術(shù)的突破。

4.4 加快量子加密等新型密碼算法研究并順勢(shì)推進(jìn)國(guó)產(chǎn)密碼算法升級(jí)替換工作

密碼算法是身份驗(yàn)證技術(shù)的核心，2017年谷歌攻破SHA-1算法標(biāo)志著傳統(tǒng)老舊算法已不再安全，未來(lái)可能會(huì)出現(xiàn)證書(shū)簽名仿冒等極其嚴(yán)重的事件。為此，一方面，我國(guó)科研單位應(yīng)加快量子加密等新型加密算法的研究工作，在密碼算法理論、標(biāo)準(zhǔn)、應(yīng)用模式上深入研究，盡快推出具有實(shí)用意義的量子加密樣機(jī)。另一方面，針對(duì)傳統(tǒng)加密算法，我國(guó)密碼主管部門和電子認(rèn)證主管部門可借此機(jī)會(huì)強(qiáng)制要求各種重要應(yīng)用系統(tǒng)都升級(jí)改造支持我國(guó)SM3加密算法應(yīng)用，確保各個(gè)系統(tǒng)的安全。重要的銀行交易系統(tǒng)和結(jié)算系統(tǒng)、證券交易系統(tǒng)和結(jié)算系統(tǒng)必須在近期內(nèi)完成所有采用SHA-1算法系統(tǒng)的升級(jí)更新，有些系統(tǒng)的確短時(shí)間內(nèi)無(wú)法支持SM3的，必須升級(jí)為SHA-2算法；水利、電力、高鐵、核電、軍事等關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)也必須在近期內(nèi)完成升級(jí)改造；要求擁有工信部CA許可證的CA必須停止簽發(fā)SHA-1證書(shū)，并在一年內(nèi)完成用戶數(shù)字證書(shū)的升級(jí)替換為SM3或SHA-2的工作；其他所有依賴于SHA-1簽名算法的所有系統(tǒng)必須在一年內(nèi)完成升級(jí)改造。

參考文獻(xiàn)

[1] 羅軍舟， 楊明， 凌振，等.網(wǎng)絡(luò)空間安全體系與關(guān)鍵技術(shù)[J].中國(guó)科學(xué)：信息科學(xué)， 2016（08）：939-968.

[2] 郝平， 何恩.主動(dòng)身份認(rèn)證技術(shù)及其研究進(jìn)展[J].通信技術(shù)， 2015（05）：514-518.

[3] 趙曉芳.構(gòu)建eID網(wǎng)絡(luò)可信生態(tài)的探索與體會(huì)[J].國(guó)家治理， 2015（Z1）：61.

[4] 方濱興，陶雄強(qiáng)，田冰.如何推廣網(wǎng)絡(luò)身份識(shí)別（eID）[J].人民論壇， 2016（04）：51.

[5] 郭林鳳.基于RSA的動(dòng)態(tài)口令身份認(rèn)證技術(shù)研究[D].河北工程大學(xué)， 2012.

[6] 王耀龍.基于FIDO架構(gòu)在線指紋識(shí)別系統(tǒng)客戶端的設(shè)計(jì)與實(shí)現(xiàn)[D].北京交通大學(xué)， 2015.

[7] 郭茂文.基于FIDO協(xié)議的指紋認(rèn)證方案研究[J].廣東通信技術(shù)， 2016（04）：2-5.

[8] 閻軍智， 彭晉， 左敏，等.基于區(qū)塊鏈的PKI數(shù)字證書(shū)系統(tǒng)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化， 2017（11）：16-20.

[9] 鄧迪. 區(qū)塊鏈技術(shù)最新的認(rèn)識(shí)和成果[J].新經(jīng)濟(jì)， 2016（19）：90-91.

[10] 庹小忠. 區(qū)塊鏈在身份認(rèn)證中的應(yīng)用[J]. 科技經(jīng)濟(jì)導(dǎo)刊， 2017（03）：26-27.

[11] 龔晶， 何敏， 鄧元慶， 等. 基于網(wǎng)絡(luò)的量子身份認(rèn)證方案[J]. 量子光學(xué)學(xué)報(bào)， 2009，15（4）：336-341.

[12] 潘晶鑫.口令身份認(rèn)證和非等概量子認(rèn)證協(xié)議的研究[D].南京郵電大學(xué)， 2013.