国外网络可信身份认证技术发展现状、趋势及对我国的启示

国外网络可信身份认证技术发展现状、趋势

及对我国的启示

宋宪荣1，张猛2

（1.南京理工大学计算机科学与工程学院，江苏南京 210094；

2.赛迪智库网络空间研究所，北京 100846）

摘 要：随着人类活动不断向网络空间延伸，网络空间被视为继陆、海、空、天之后的“第五疆域”，对国际政治、经济、文化、社会、军事等领域都产生了深刻影响。开展网络身份管理、确保网络主体身份可信、行为可追溯等已成为网络空间治理的重要内容。我国《网络安全法》也明确指出“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”。论文重点梳理了欧美等国在发展可信身份认证技术上的先进做法，分析了可信身份认证技术在加密算法等方面的未来发展趋势，最终引出发展我国网络可信身份技术的经验与启示。

关键词：网络空间；可信身份认证；加密算法；发展趋势

中图分类号： TP393文献标识码：A

Present situation and trend of the foreign network trusted identity authentication technology and its enlightenment to china

Song Xi anrong1, Z hang Meng2

(1.S choo l o f Co m put er Sc ie nc e and Engi ne er ing, N anj ing Univ er si t y of Science and Technol ogy, JiangsuNanji ng 210094;

2.Inst it ute of C ybe rs pac e, C C ID, Beijing 100846)

Abstract: As human activities extend to cyberspace, cyberspace is regarded as the "fifth space" after land, sea, air and sky, which has a profound impact on international politics, economy, culture, society, military and other fields. It has become an important content of network space management to carry out network identity management, ensure the identity of the network main body, and the traceability of the behavior. China's network security law also points out that "the State implements the network trusted identity strategy, supports the research and development of secure and convenient electronic identity authentication technology, and promotes the mutual recognition between different electronic identity authentications". This article focuses on the advanced practices of developing trusted identity authentication technology in Europe and America, analyzes the future development trend of trusted identity authentication technology in encryption algorithm and so on, and finally leads to the experience and inspiration of developing our network trusted identity technology.

Key words: cyberspace; identity authentication; encryption algorithm; development trend

1 引言

当今时代，信息革命给生产力带来了又一次质的飞跃，物联网、大数据等日益成为创新驱动发展的先导力量，网络空间已经成为继陆、海、空、天之后的“第五疆域”。随着人们对网络空

宋宪荣 等：国外网络可信身份认证技术发展现状、趋势及对我国的启示

间的依赖度越来越高，网络空间中信息交流和互动越来越多，网络已经成为推动社会发展的重要工具，网络实体资源已经成为网络空间的战略资源。与此同时，面临的网络主体身份难以确认，网络资源非授权访问等网络安全问题日益突出，极大地阻碍了网络经济发展，公民个人隐私、国家安全和社会稳定面临着严重的威胁。世界各发达国家纷纷计划和实施网络可信身份国家发展战略，构建可信网络空间，维护国家网络空间主体身份管理主权，保障关键基础设施和网络资源安全，促进网络经济发展。2016年我国颁布的《网络安全法》中第二十四条提到，“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”。因此，梳理研究国外网络可信身份认证技术发展现状和趋势，针对我国国情提出相关意见建议对推进我国网络可信体系建设具有重要意义。

2 发展现状

2.1 应用模式

美国大力发展基于PKI框架的FICAM数字身份证方案，在政务领域应用卓有成效。F I C A M 的前身是美国网络安全委员会CNSS在2008年前后提出的ICAM（Identity Credential and Access Management），目的是在美国涉密信息系统中建立统一的身份、证书和访问管理系统，解决联邦涉密网络间的协同工作和身份认证问题。ICAM发布之初并未得到过多重视，但在2009年前后，美国政府接连发生严重泄密事件，特别是“维基解密事件”的发生使得联邦政府高度重视涉密系统身份验证及文档访问控制。2009年5月奥巴马政府发布《网络空间安全评估报告》，将建立身份管理系统被作为一项重大任务提出，I C A M系统因而得到联邦政府资助正式演变成FICAM。而在之后的2011年4月随着奥巴马政府签署《网络空间可信身份国家战略》将建设网络空间可信身份体系提高到国家战略层面，FICAM 技术研究也得到政府的重要支持在电子政务领域全面铺开[1]。

FICAM通过PKI技术集中、统一地给美国政府机关涉密人员发放数字身份证，并以此为基础加强访问控制管理。F I C A M包含五个主要模块，分别是身份管理模块、证书管理模块、访问管理模块、身份联合模块和审计与报告模块。其工作原理是首先由身份管理模块对访问者生成可信数字身份，然后由证书管理模块将数字身份绑定到数字证书上，最后通过访问管理模块和身份联合模块进行证书鉴权实现资源的访问控制。整个FICAM基于PKI架构，其核心是证书管理模块中的军方C A机构，如国家安全局N S S根、国防部中间认证中心（DoD CA）、国防部分配认证中心（DoD Issuing CA）、联邦调查局认证中心（FBI CA）等。截止2016年底，美国联邦政府和军方基本完成基于PKI框架的FICAM体系建设，虽然该框架仍存在访问认证效率低下、涉密安全要求不统一、跨安全域传输能力匮乏等诸多问题，但也基本解决了涉密网络人员身份验证、安全域互操作和外部网络对内部网络的安全访问问题，应用卓有成效。目前，FICAM主要应用于电子政务和军事领域。

欧盟积极推广e I D电子身份证方案，在民用领域应用成绩斐然。欧盟网络发展战略的重点任务之一是要建立网络可信身份体系，并在欧盟范围内形成一个统一的身份服务市场。根据战略要求，欧盟成员国采用eID作为可信身份解决方案，用以识别身份、保护数据，降低网络欺诈的风险。

e I D采用高强度安全机制，可以确保密码信息无法被读取、复制、篡改或非法使用，从而确保e I D和持有人一一对应。e I D的签发机构类似于P K I框架下的C A机构。当用户需要在网上自证身份时候，只凭姓名和eID，不需要其他个人隐私信息，就可以在实名的网站完成注册，而真实的个人信息保存在联邦公民基本信息库中，网站无法看到。网站将eID提交给联网数据库进行查询，返回结果仅是状态信息，即此人是否真实存在，以及eID是否有效，结果中并不带有任何姓名、身份证号等个人隐私信息。这样既达到了实名的真实性要求，又达到了保护个人隐私的目的。据最新统计，欧盟28个成员国中已有18个发行了eID,其中比利时使用人数已超过900万，