网络可信身份认证技术问题研究

网络可信身份认证技术问题研究

宋宪荣1，张猛2

（1.南京理工大学计算机科学与工程学院，江苏南京 210094；

2.赛迪智库网络空间研究所，北京 100846）

摘要：网络可信身份认证技术是信息安全的核心技术之一，其任务是识别、验证网络业务系统中用户身份的合法性和真实性以及线上身份和线下身份的一致性。首先明确了网络可信身份的内涵和分类。其次从网络可信身份技术应用中存在问题入手，对生物识别技术、数字证书技术、FIDO技术、大数据行为分析技术、区块链技术等主流和新兴的身份认证技术进行了梳理分析，并从抗抵赖性、安全性、易用性、成熟度、用户使用成本等五个维度对各类认证技术进行评价。最后给出身份认证技术的发展趋势和结论。

关键词：网络可信身份；身份认证技术；生物识别技术；FIDO；大数据分析；区块链

中图分类号：TP302文献标识码：A

Research on the technology of network trusted identity authentication

Song Xi anrong1, Z hang Meng2

(1.S choo l o f Co m put er Sc ie nc e and Engi ne er ing, N anj ing Univ er si t y of Science and Technol ogy, JiangsuNanji ng 210094;

2.Inst it ute of C ybe rs pac e, C C ID, Beijing 100846)

Abstract: Network trusted identity authentication technology is one of the core technologies of information security. Its task is to identify and verify the legitimacy and authenticity of the identity of the user in the network system. First, this paper expounds the connotation and classification of the network trusted identity. Second, analyzes the mainstream and emerging identity authentication technology, such as biometrics technology, digital certificate technology, FIDO, behavior analysis, block chain based on the problems encountered in the development of authentication technology. Then, it evaluates all kinds of authentication technologies from five dimensions, such as non repudiation, security, ease of use, maturity and user cost. Finally, it gives the development trend of the authentication technology.

Key words: network trusted identity; authentication technology; biometric identification; big data analysis; block chain

1 引言

当前公民的行为空间已经从线下的实体社会向线上的网络空间延伸，随着人们对网络空间的依赖度越来越高，网络空间中信息交流和互动越来越多，网络已经成为推动社会发展的重要工具，网络空间也已经成为继陆、海、空、天之后的“第五疆域”。但是，网络空间高速发展的同时也面临着网络主体身份难以确认，网络资源非授权访问等日益突出的网络安全问题。从国家治理角度看，国家对网络空间具有主权，对于网络主体行为状况应当有全面的感知，能够实现对网络身份的认证和网络行为的追溯，有利于构建现代化的国家治理体系。从经济社会发展角度看，网络信息技术在经济社会各领域的创新应用，加快了电子政务、电子

2018年第3期网络空间安全Cyberspace Security

商务等信息化服务普及，识别信息化服务对象的身份，建立网络可信身份，是老百姓享受各项信息服务的前提和基础，是数字经济发展的必然要求[1]。

网络可信身份认证技术（以下简称“身份认证技术”）是网络可信身份建设的技术基础和重要保障，其目的是为了解决“线上身份”和“线下身份”的统一。随着当前社会的快速发展，网络可信身份认证技术在应用过程中面临六大问题与挑战：一是网络可信身份内涵不清、技术研究与应用脱节问题；二是网络空间身份标识与公民法定身份在网络空间的映射与绑定安全问题；三是不同网络身份认证平台的互联互通互信问题；四是移动应用场景下的可信身份认证问题；五是与身份认证相关的个人隐私泄露问题；六是移动互联网、云计算环境下公钥密码证书的应用及安全问题。为了解决这些问题，各类新型身份认证技术不断涌现，推动网络可信身份服务不断发展。

2.相关技术问题研究

2.1网络可信身份的内涵与范畴

目前，学术界和产业界对网络身份认证的定义还是非常明确的：“身份认证是指在网络设施和信息系统中确认操作者真实身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证技术则是确认操作者真实身份过程中使用的方法或手段。”但必须明确，用户通过用户身份认证与用户身份可信没有绝对必然的关系。例如，用户B使用用户A 的论坛账号密码登录，虽然用户B通过了身份认证，但用户B的身份是不可信的；再如，部分网上论坛服务使用的账号不与用户线下身份进行挂钩，这种身份也是不可信的。

针对“网络可信身份”，学术界和产业界尚无统一定义。本研究尝试给出如下定义：“网络身份的可信包含两层含义：一是通过网络身份凭证与现实个体法定身份信息的绑定，实现网络主体现实身份真实性认证和追溯；二是通过生物特征识别、大数据行为分析等技术，确保网络行为的主体就是拥有法定身份信息的现实个体。现实主体可以根据网络空间中不同业务类型、应用场景、安全要求具有多种不同的网络身份凭证，只有能通过网络身份凭证实现对网络主体现实身份真实性认证和追溯的网络身份才是网络可信身份，一般在电子政务等高安全等级业务中应用；在不需要身份追溯的应用中使用的网络身份不是网络可信身份，如一般网上信息的匿名浏览等。网络可信身份在签发、撤销、挂起、恢复、应用、服务和评价等全生命周期过程中其真实性可以得到有效的管理和控制，是国家进行网络空间治理的基础。”根据该定义，我们可以把用户身份划分为三大层级：法定信任基础级、第三方作证级和业务凭证级。

法定信任基础级又称法定网络身份或权威身份，该身份绑定国家赋予主体的法定真实身份，自然人可以用法定身份证件，如身份证、护照、社保卡等绑定。法定网络身份是网络空间主体身份的可信源点，其相关基础设施由国家建设和管理，长期稳定不变，其载体需要极高的安全保证，这种身份可以直接追溯到现实主体。

第三方作证级又称高可信网络身份或关联身份，该身份绑定政府部门或商业机构赋予用户的由法定身份衍生凭证。银行账号、数字证书、手机号码是由政府监管下的第三方商业机构签发，在申请过程中一般要求与使用主体的法定身份证件或权威证件关联，具备有效抵抗篡改、盗用、窃取等威胁的能力，由可靠的安全技术和严谨的管理流程保障，一般可以追溯到社会主体。该身份存续期较长，在存续期内，载体可以更换。

业务凭证级又称社交身份，社交身份绑定商业机构、社交场所赋予主体的网络属性。主体的网络属性可以是网站账号、电子邮箱、URI、信用值等。当网络属性关联到法定证件或法定证件衍生凭证时，这类可信身份可以追溯其社会主体；当无关联时，可以通过主体的网络行为和商业信誉证明其身份可信程度，不需要知道主体的真实身份，只需要知道主体能干什么。此类可信身份形式上更加多样，很好地满