网络空间信任服务认识与思考
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
19
网络空间信任服务思考
• • • • • • • 身份即服务(IDentity As A Service) 认证即服务(Authentication) 授权即服务(Authorization) 访问控制即服务(Access Control) 审计及责任认定即服务(Audit& Accountability) 可信环境即服务(Trusted Environment) 信任、信誉(声誉)即服务(Credit&Reputation)
网络空间信任建立流程
22
数字身份服务(个人)
Identity As A Service
注册阶段可信 符合现实社会信任结构
个人数字身份
23
保护用户隐私
身份即服务 (安全模块、设备及环境)
TCM芯片
24
身份即服务(传感器)
• 传感器身份标识
▫ RFID芯片 ▫ 传感器设备
• 传感器身份服务
▫ 身份颁发服务 ▫ 身份撤销服务 ▫ 鉴权服务
属性策略签发服务
授权策略签发服务
LDAP服务器
27
访问控制即服务(Access Control)
资源/业务 应用
终端用户
门户
策略管理员
28
属性颁发 办事员
审计与责任认定服务
主体身份(用户)
事件(写入、删除等)
客体身份 (数据)
审计日 志库
策略管理员
29
责任认定 办事员
信用、信誉(声誉)即服务
• 个人信用服务
▫ 基于个人数字身份收集信用信息 从而建立个人信用服务
• 商家声誉、信誉服务
▫ 基于个人数字身份的用户意见反 馈建立商家声誉,杜绝代理刷声 誉进行欺诈 ▫ 基于第三方权威评估建立信誉
• 网站声誉、信誉服务
▫ 基于个人用户反馈建立网站声誉 服务 ▫ 基于第三方权威评估建立信誉
构建我国网络空间信任生态系统
用数字签名 签署抵押贷款
可替代的支付 机制,便利交 易
可信任的 关键服务传输 单点登录服务 可进入合作门户网站 系统内置的安全机 制减少用户犯错 7 私下给朋友发布 所在位置
国际发展态势—信任技术发展趋势
单域信任
代码嵌入(紧耦合) 应用业务开发人员 编写安全代码
静态信任关系 身份可信任 公钥基础设施PKI
16
国内需求分析--可信密码模块TCM (安全模块)
• 可信计算组织(TCG)给出了 TPM2.0解决方案
▫ ▫ ▫ ▫ 用户可指定所需要的密码算法 定义算法集合以方便互操作 支持多个算法集合的并行使用 能够快速便捷地替换被破坏的算法
• 我国颁布了自主标准TCM规范
▫ 支持国产算法 SM2\SM3\SM4
▫ 研究建设大规模网络空间信任服务基础设施,为用户及设备提供身份 管理、认证授权、责任认定等安全服务,为移动办公、移动商务、数 字医疗等各种网络应用提供安全基础,解决网络用户鉴权、管控、责 任追踪、隐私保护等安全问题
• 可信计算技术为研究建立可信可控的网络平台服务环境提供了 基础,网络空间信任服务为开展重要基础设施信息安全等级保 护工作、提升国家和全社会各行业的信息保障水平奠定了基础
云基础设施
物联网
网络空间
报告内容
国际发展态势
国内需求分析
未来发展思考
10
国内需求分析--概述
• 数字身份是所有网络业务安全与管控的 源头。人、设备、组织、应用都需要基 于数字身份来建立网络信任关系,离不 开认证授权、责任认定 • 物联网的发展打破了虚拟社会与现实世 界的界限,网络信任关系反映了现实社 会关系和日常活动 • 网络空间需要强有力的身份管理,简单 粗暴的实名身份管理不仅会侵犯用户隐 私,还会危害安全
TCM芯片 17
国内需求分析--物联网(传感设备身份)
• 预计到2019年底,将会有250亿至1万亿 设备与互联网相连接
▫ ▫ ▫ ▫ ▫ 智慧城市 工控网 车联网 远程医疗 。。。
• 各个传感设备、终端、用户的身份将成 为我们定义和构建物联网的牢固基础
18
报告内容
国际发展态势
国内需求分析
未来发展思考
颁发公钥证书 身份与公钥绑定 信任根
跨域信任
构件及中间件调用 松耦合 专业人员编写 动态信任关系 安全从属于应用 安全构件&中间件
身份管理中间件 认证中间件 访问控制中间件 审计中间件 可信计算技术
跨应用信任
云计算+物联网时代 服务组装(SOA) + 专业人员维护 安全即服务 安全主导地位 网络空间云信任服务
15
国内需求分析--可信网站(网站数字身份)
• 可信网站是验证网站真实身份的 第三方权威服务
▫ “可信网站”的验证标识一般放在网 站的醒目位置上,以图标的形式出现, 用户可查看该网站的验证信息 ▫ 可有效防止钓鱼攻击、加强网站信誉, 促进相关安全服务企业发展
• 国家标准制定
▫ 信安标委2011年正式批准《网站可信 标识技术指南》
▫ 作为新兴的基础网络和重要信息系统,我国飞速发展的物联网、云计 算平台、泛在网的安全保障工作与传统信息基础设施存在差异,需要 在等级保护框架内进行技术层面和管理层面的升级与拓展 ▫ 人、设备、应用、组织等海量实体间需要建立信任关系,这需要大规 模的网络空间信任服务基础设施提供支撑,这些基础设施是维护高度 网络化社会正常运转的必备基础设施
身份管理服务
跨应用认证服务
访问控制服务
审计责任认定服务 可信环境保障服务
8
国际发展态势—基本判断
• 围绕数字身份构建网络空间信任生态 系统,将为物联网、云计算、泛在网 的发展提供基础安全支撑保障,是网 络空间健康发展的必然趋势
• 物联网使虚拟世界与物理世界加速融合,云计算使 得网络资源进一步集中,泛在网保证人与设备通过 各种无线或有线手段接入整个网络,各种网络应用、 设备、人逐渐融为一体,形成网络空间
• 云计算使得网络空间身份管理的重要性上升到战略高度
• 国内外标准化组织推进身份管理标准研究与制定
▫ ▫ ▫ ▫
▫ 2010年3月,云安全联盟(CSA)发起“可信云计算计划” ▫ 2011年4月,美国正式发布“网络空间可信身份战略” ▫ 2009年12月,中科院知识创新工程“网络空间信任技术与支撑平台”
国内需求分析--必要性
• 建立网络空间信任体系是我国信息化发展的迫切需要,也是 国家信息安全保障工作的重要组成部分
▫ 《国家中长期科学和技术发展规划纲要》(2006━2020年) ▫ 网络安全要标本兼治、重在治本,建立网络空间信任体系是从边界防御转向 系统防御的治本之道
• 建立网络空间信任体系是提升重要信息基础设施安全保护水 平的迫切需要
用户 设备
消费者
源自文库
业务用户
数据
生产者
管理者
分解者
无机环境
31
可信环境
谢谢!
• 电子身份标识-Electronic Identity
▫ 依托公安部覆盖13亿人口的全国公民身份信息系统, 利用用户主动提交的身份信息,核查无误后生成一组 唯一的网络标识符和数字证书 ▫ 与居民身份证不同,电子身份标识只是一段网络标识 符,其本身不含任何用户身份信息,这样既确保了个 人身份的真实性,又可有效避免身份信息曝光。电子 身份证的应用,为国家积极稳妥地推行网络实名制, 构建网络诚信体系提供了有效的解决途径
11
国内需求分析--战略政策
• 网络信任体系是以密码技术为基础,以法律法规、技 术标准和基础设施为主要内容,以解决网络应用中身 份认证、授权管理和责任认定等为目的的完整体系
▫ 中办发【2003】27号文 ▫ 国办发【2006】11号文
身份认证是确认主客体真实身份的过
程方法 授权管理是综合利用身份认证、访问 控制、权限管理等措施解决访问者合 法使用信息资源的过程方法 责任认定是应用证据保全、行为审计、 取证分析等技术,确定行为主体责任 的过程方法 可信环境是网络信任体系的必要支撑
5
美国国家战略“可信身份生态系统” NSTIC
可信身份生态系统确立了以下目标:
▫ 建立一个综合身份标识生态系统框架 ▫ 建立和实现一个可互操作的身份标识生态系统 基础设施 ▫ 增强民众参与身份标识生态系统的意愿 ▫ 确保身份标识生态系统的长期运行
6
NSTIC愿景- 2016年1月1日
个人可以选择不同的数字身份提供商和数字凭证,以便在任何地点/时间 开展安全、便捷的交易
▫ 信任服务是为所有网络应用提供安全信任基础设施,最终像PKI系统一 样遍布各地(包括政府、行业、企业),并相互连接为信任的服务云 ▫ 安全信任基础设施的建立工作为信息安全产业发展带来巨大商机,信 任问题的解决可以更有力的推动云计算、物联网等信息产业的发展
14
国内需求分析--电子身份标识-eID(个人)
美国的网络空间政策( 2009年5月): 指导原则
▫ ▫ ▫ ▫ 增强隐私保护和民众自愿参与 增强安全性和方案弹性 良好的互操作性 代价可接受并且易于使用
NSTIC 的理念,“一个在线的环境,那里个人、 组织、服务和设备都能信任彼此,因为他们都能按照约定的 标准来获取和鉴别他们的数字身份” 以提升信任、隐私、选择和创新的方式,推动个人和组织 使用安全、高效、易用和可互操作的身份标识解决方案来 访问在线服务
ISO/IEC于2006年专门成立了SC27-WG5身份管理与隐私保护工作组 IETF成立了SCIM工作组,专门制定云身份管理新标准 OASIS于2010年成立了云身份(IDCloud)技术委员会 信安标委、信标委等均在研究制定身份管理与网络信任相关标准
4
国际发展态势--战略部署
美国国家战略“可信身份生态系统” NSTIC
网络空间信任服务
--认识与思考
1
连一峰
2014年6月
报告内容
国际发展态势
国内需求分析
未来发展思考
2
国际发展态势--时代变迁
3
国际发展态势--研究现状
• 各国研究机构与企业正积极发展身份管理相关技术,大力推 广身份管理基础设施,代表性的有:
▫ ▫ ▫ ▫ 微软的OpenID项目 Shibboleth、WebSSO项目 欧洲各国的eID电子身份证项目 我国公安部的“电子身份标识-eID”项目
20
网络空间信任服务思考
• 由于信息技术的发展,虚拟世界与物理世界高度融合,对网络 空间信任体系建设提出了新的需求和挑战
▫ 云计算使得用户复杂多样、跨管理域和跨平台应用 ▫ 物联网使得传感设备数字身份纳入互联网级别管控 ▫ 终端设备与服务平台环境的安全性、可信性亟需保障
• 网络空间融合为一个整体,用户、设备、组织、应用都接入网 络空间,数字身份成为网络空间的安全根基
13
国内需求分析-必要性
• 建立网络空间信任可提升我国对网络安全管控能力,为建设 健康和谐的网络提供技术支撑
▫ 围绕数字身份构建认证授权、责任认定、平台信任等服务,将使网络 用户身份及行为变得可管控,并保证终端、网络环境、云环境、物联 网的可管控,以达到基础网络和重要信息系统分等级安全监管的目标
• 建立网络空间信任服务将促进信息安全产业和信息产业发展
25
认证即服务(Authentication)
Web门户
资源/业务 应用
终端实体
LDAP Server
数字身份 服务
26
数字身份 管理员
授权管理即服务(Authorization)
属性颁发权威
终端用户
授权属性颁发管理
授权属性 策略审核
属性颁发服务 属性撤销服务
SOA授权信任源服务
属性检索 服务构件 属性验证 服务构件
网络空间信任服务思考
• • • • • • • 身份即服务(IDentity As A Service) 认证即服务(Authentication) 授权即服务(Authorization) 访问控制即服务(Access Control) 审计及责任认定即服务(Audit& Accountability) 可信环境即服务(Trusted Environment) 信任、信誉(声誉)即服务(Credit&Reputation)
网络空间信任建立流程
22
数字身份服务(个人)
Identity As A Service
注册阶段可信 符合现实社会信任结构
个人数字身份
23
保护用户隐私
身份即服务 (安全模块、设备及环境)
TCM芯片
24
身份即服务(传感器)
• 传感器身份标识
▫ RFID芯片 ▫ 传感器设备
• 传感器身份服务
▫ 身份颁发服务 ▫ 身份撤销服务 ▫ 鉴权服务
属性策略签发服务
授权策略签发服务
LDAP服务器
27
访问控制即服务(Access Control)
资源/业务 应用
终端用户
门户
策略管理员
28
属性颁发 办事员
审计与责任认定服务
主体身份(用户)
事件(写入、删除等)
客体身份 (数据)
审计日 志库
策略管理员
29
责任认定 办事员
信用、信誉(声誉)即服务
• 个人信用服务
▫ 基于个人数字身份收集信用信息 从而建立个人信用服务
• 商家声誉、信誉服务
▫ 基于个人数字身份的用户意见反 馈建立商家声誉,杜绝代理刷声 誉进行欺诈 ▫ 基于第三方权威评估建立信誉
• 网站声誉、信誉服务
▫ 基于个人用户反馈建立网站声誉 服务 ▫ 基于第三方权威评估建立信誉
构建我国网络空间信任生态系统
用数字签名 签署抵押贷款
可替代的支付 机制,便利交 易
可信任的 关键服务传输 单点登录服务 可进入合作门户网站 系统内置的安全机 制减少用户犯错 7 私下给朋友发布 所在位置
国际发展态势—信任技术发展趋势
单域信任
代码嵌入(紧耦合) 应用业务开发人员 编写安全代码
静态信任关系 身份可信任 公钥基础设施PKI
16
国内需求分析--可信密码模块TCM (安全模块)
• 可信计算组织(TCG)给出了 TPM2.0解决方案
▫ ▫ ▫ ▫ 用户可指定所需要的密码算法 定义算法集合以方便互操作 支持多个算法集合的并行使用 能够快速便捷地替换被破坏的算法
• 我国颁布了自主标准TCM规范
▫ 支持国产算法 SM2\SM3\SM4
▫ 研究建设大规模网络空间信任服务基础设施,为用户及设备提供身份 管理、认证授权、责任认定等安全服务,为移动办公、移动商务、数 字医疗等各种网络应用提供安全基础,解决网络用户鉴权、管控、责 任追踪、隐私保护等安全问题
• 可信计算技术为研究建立可信可控的网络平台服务环境提供了 基础,网络空间信任服务为开展重要基础设施信息安全等级保 护工作、提升国家和全社会各行业的信息保障水平奠定了基础
云基础设施
物联网
网络空间
报告内容
国际发展态势
国内需求分析
未来发展思考
10
国内需求分析--概述
• 数字身份是所有网络业务安全与管控的 源头。人、设备、组织、应用都需要基 于数字身份来建立网络信任关系,离不 开认证授权、责任认定 • 物联网的发展打破了虚拟社会与现实世 界的界限,网络信任关系反映了现实社 会关系和日常活动 • 网络空间需要强有力的身份管理,简单 粗暴的实名身份管理不仅会侵犯用户隐 私,还会危害安全
TCM芯片 17
国内需求分析--物联网(传感设备身份)
• 预计到2019年底,将会有250亿至1万亿 设备与互联网相连接
▫ ▫ ▫ ▫ ▫ 智慧城市 工控网 车联网 远程医疗 。。。
• 各个传感设备、终端、用户的身份将成 为我们定义和构建物联网的牢固基础
18
报告内容
国际发展态势
国内需求分析
未来发展思考
颁发公钥证书 身份与公钥绑定 信任根
跨域信任
构件及中间件调用 松耦合 专业人员编写 动态信任关系 安全从属于应用 安全构件&中间件
身份管理中间件 认证中间件 访问控制中间件 审计中间件 可信计算技术
跨应用信任
云计算+物联网时代 服务组装(SOA) + 专业人员维护 安全即服务 安全主导地位 网络空间云信任服务
15
国内需求分析--可信网站(网站数字身份)
• 可信网站是验证网站真实身份的 第三方权威服务
▫ “可信网站”的验证标识一般放在网 站的醒目位置上,以图标的形式出现, 用户可查看该网站的验证信息 ▫ 可有效防止钓鱼攻击、加强网站信誉, 促进相关安全服务企业发展
• 国家标准制定
▫ 信安标委2011年正式批准《网站可信 标识技术指南》
▫ 作为新兴的基础网络和重要信息系统,我国飞速发展的物联网、云计 算平台、泛在网的安全保障工作与传统信息基础设施存在差异,需要 在等级保护框架内进行技术层面和管理层面的升级与拓展 ▫ 人、设备、应用、组织等海量实体间需要建立信任关系,这需要大规 模的网络空间信任服务基础设施提供支撑,这些基础设施是维护高度 网络化社会正常运转的必备基础设施
身份管理服务
跨应用认证服务
访问控制服务
审计责任认定服务 可信环境保障服务
8
国际发展态势—基本判断
• 围绕数字身份构建网络空间信任生态 系统,将为物联网、云计算、泛在网 的发展提供基础安全支撑保障,是网 络空间健康发展的必然趋势
• 物联网使虚拟世界与物理世界加速融合,云计算使 得网络资源进一步集中,泛在网保证人与设备通过 各种无线或有线手段接入整个网络,各种网络应用、 设备、人逐渐融为一体,形成网络空间
• 云计算使得网络空间身份管理的重要性上升到战略高度
• 国内外标准化组织推进身份管理标准研究与制定
▫ ▫ ▫ ▫
▫ 2010年3月,云安全联盟(CSA)发起“可信云计算计划” ▫ 2011年4月,美国正式发布“网络空间可信身份战略” ▫ 2009年12月,中科院知识创新工程“网络空间信任技术与支撑平台”
国内需求分析--必要性
• 建立网络空间信任体系是我国信息化发展的迫切需要,也是 国家信息安全保障工作的重要组成部分
▫ 《国家中长期科学和技术发展规划纲要》(2006━2020年) ▫ 网络安全要标本兼治、重在治本,建立网络空间信任体系是从边界防御转向 系统防御的治本之道
• 建立网络空间信任体系是提升重要信息基础设施安全保护水 平的迫切需要
用户 设备
消费者
源自文库
业务用户
数据
生产者
管理者
分解者
无机环境
31
可信环境
谢谢!
• 电子身份标识-Electronic Identity
▫ 依托公安部覆盖13亿人口的全国公民身份信息系统, 利用用户主动提交的身份信息,核查无误后生成一组 唯一的网络标识符和数字证书 ▫ 与居民身份证不同,电子身份标识只是一段网络标识 符,其本身不含任何用户身份信息,这样既确保了个 人身份的真实性,又可有效避免身份信息曝光。电子 身份证的应用,为国家积极稳妥地推行网络实名制, 构建网络诚信体系提供了有效的解决途径
11
国内需求分析--战略政策
• 网络信任体系是以密码技术为基础,以法律法规、技 术标准和基础设施为主要内容,以解决网络应用中身 份认证、授权管理和责任认定等为目的的完整体系
▫ 中办发【2003】27号文 ▫ 国办发【2006】11号文
身份认证是确认主客体真实身份的过
程方法 授权管理是综合利用身份认证、访问 控制、权限管理等措施解决访问者合 法使用信息资源的过程方法 责任认定是应用证据保全、行为审计、 取证分析等技术,确定行为主体责任 的过程方法 可信环境是网络信任体系的必要支撑
5
美国国家战略“可信身份生态系统” NSTIC
可信身份生态系统确立了以下目标:
▫ 建立一个综合身份标识生态系统框架 ▫ 建立和实现一个可互操作的身份标识生态系统 基础设施 ▫ 增强民众参与身份标识生态系统的意愿 ▫ 确保身份标识生态系统的长期运行
6
NSTIC愿景- 2016年1月1日
个人可以选择不同的数字身份提供商和数字凭证,以便在任何地点/时间 开展安全、便捷的交易
▫ 信任服务是为所有网络应用提供安全信任基础设施,最终像PKI系统一 样遍布各地(包括政府、行业、企业),并相互连接为信任的服务云 ▫ 安全信任基础设施的建立工作为信息安全产业发展带来巨大商机,信 任问题的解决可以更有力的推动云计算、物联网等信息产业的发展
14
国内需求分析--电子身份标识-eID(个人)
美国的网络空间政策( 2009年5月): 指导原则
▫ ▫ ▫ ▫ 增强隐私保护和民众自愿参与 增强安全性和方案弹性 良好的互操作性 代价可接受并且易于使用
NSTIC 的理念,“一个在线的环境,那里个人、 组织、服务和设备都能信任彼此,因为他们都能按照约定的 标准来获取和鉴别他们的数字身份” 以提升信任、隐私、选择和创新的方式,推动个人和组织 使用安全、高效、易用和可互操作的身份标识解决方案来 访问在线服务
ISO/IEC于2006年专门成立了SC27-WG5身份管理与隐私保护工作组 IETF成立了SCIM工作组,专门制定云身份管理新标准 OASIS于2010年成立了云身份(IDCloud)技术委员会 信安标委、信标委等均在研究制定身份管理与网络信任相关标准
4
国际发展态势--战略部署
美国国家战略“可信身份生态系统” NSTIC
网络空间信任服务
--认识与思考
1
连一峰
2014年6月
报告内容
国际发展态势
国内需求分析
未来发展思考
2
国际发展态势--时代变迁
3
国际发展态势--研究现状
• 各国研究机构与企业正积极发展身份管理相关技术,大力推 广身份管理基础设施,代表性的有:
▫ ▫ ▫ ▫ 微软的OpenID项目 Shibboleth、WebSSO项目 欧洲各国的eID电子身份证项目 我国公安部的“电子身份标识-eID”项目
20
网络空间信任服务思考
• 由于信息技术的发展,虚拟世界与物理世界高度融合,对网络 空间信任体系建设提出了新的需求和挑战
▫ 云计算使得用户复杂多样、跨管理域和跨平台应用 ▫ 物联网使得传感设备数字身份纳入互联网级别管控 ▫ 终端设备与服务平台环境的安全性、可信性亟需保障
• 网络空间融合为一个整体,用户、设备、组织、应用都接入网 络空间,数字身份成为网络空间的安全根基
13
国内需求分析-必要性
• 建立网络空间信任可提升我国对网络安全管控能力,为建设 健康和谐的网络提供技术支撑
▫ 围绕数字身份构建认证授权、责任认定、平台信任等服务,将使网络 用户身份及行为变得可管控,并保证终端、网络环境、云环境、物联 网的可管控,以达到基础网络和重要信息系统分等级安全监管的目标
• 建立网络空间信任服务将促进信息安全产业和信息产业发展
25
认证即服务(Authentication)
Web门户
资源/业务 应用
终端实体
LDAP Server
数字身份 服务
26
数字身份 管理员
授权管理即服务(Authorization)
属性颁发权威
终端用户
授权属性颁发管理
授权属性 策略审核
属性颁发服务 属性撤销服务
SOA授权信任源服务
属性检索 服务构件 属性验证 服务构件