電子身份驗證有漏洞 誰來證明“你就是你”
發(fā)布時間:2018-05-225月16日,有報道顯示中國銀聯(lián)通過大數(shù)據(jù)統(tǒng)計分析,得出個人網(wǎng)絡財產(chǎn)安全的“蟻潰之堤”——個人信息泄露是90%電信詐騙案件成因。
這意味著,在網(wǎng)絡世界中,別人可以通過證明“他是我”,借由“我”的身份“招搖撞騙”,擄走“我”的財產(chǎn)。在安全專家的語系里,這樣的產(chǎn)業(yè)鏈條被稱為黑產(chǎn)。亞信安全副總裁陸光明表示,“從產(chǎn)業(yè)規(guī)???,2016年底我國網(wǎng)絡電子認證市場還不到200億元,但是黑產(chǎn)的規(guī)模已經(jīng)高達千億元左右?!?/span>
網(wǎng)絡可信身份認證該出手了?!啊吨腥A人民共和國居民身份證法》確定居民身份證是公民身份管理的可信依據(jù),網(wǎng)絡身份驗證也需要可信度、權威級相當?shù)目尚牌脚_。”中國工程院院士沈昌祥在日前召開的C3安全峰會上表示,網(wǎng)絡身份可信驗證工作刻不容緩。
身份信息在黑市上被明碼標價
“850塊錢,就能買到開房記錄、列車記錄、航班記錄等11項個人隱私數(shù)據(jù),在身份黑市上,隱私的買賣是被明碼標價的,能夠用于制作假通緝令等的身份證戶籍信息,一條只需要10—40元。”中國科學院信息工程研究所副所長荊繼武展示了一張明晰的價碼賬單,仿造一個企業(yè)身份信息的“五證”僅需要千元左右。無論對于自然人還是法人來說,我國網(wǎng)絡信息保護的形勢都非常嚴峻。
“易獲得”是個人電子信息難以規(guī)避的“軟肋”。安全領域內(nèi),八成以上的信息泄露由內(nèi)部人員所為?!昂苌儆泻诳驮敢饣敲创蟮拇鷥r從外攻破系統(tǒng)獲取信息,從內(nèi)攻破是更便利、更容易的?!标懝饷髡f。
“既然防不勝防,能不能讓這些偷竊泄露來的信息分文不值呢?現(xiàn)實生活中身份證的使用對此提供了很好的借鑒?!标懝饷髡f。
如何讓網(wǎng)絡身份認證與現(xiàn)實身份認證一樣“強有力”“無漏洞”,成為一個系統(tǒng)工程,關系到新技術應用、新體系構建、以及與已有法律體系的共享共建。國際上,歐盟2006年出臺了開展網(wǎng)絡可信身份體系建設的法規(guī)。美國2011年公布網(wǎng)絡空間可信身份國家戰(zhàn)略,提出10年時間建設美國網(wǎng)絡身份體系。
網(wǎng)絡身份驗證難有“防騙”功效
當下使用的網(wǎng)絡身份驗證難有“防騙”功效,沈昌祥將問題歸納為3類:方法不安全、難保真實性;欠公平公正、難防篡改;缺乏法律效力、難以執(zhí)法。沈昌祥解釋:“例如大量匯集在微信、支付寶上的個人信息,雖然是實名認證,但隸屬于第三方企業(yè),難以保障它們的不可更改性、不可復制性?!?/span>
陸光明對此持相同觀點,他表示,在國外以企業(yè)公信力作為社會公信力的商業(yè)行為居多,例如谷歌的互聯(lián)網(wǎng)賬號可用作其他跨行業(yè)的社會認證。但是,F(xiàn)acebook的身份數(shù)據(jù)泄露,嚴重到甚至可能會對美國高層政策施以影響,這一事件令人對這種模式的安全性產(chǎn)生顧慮。
被泄露之外,被利用更使身份信息安全問題“雪上加霜”。陸光明說,韓國2011年就爆發(fā)過一次非常嚴重的身份數(shù)據(jù)泄露事件,當時有3500萬用戶數(shù)據(jù)泄露,占當時韓國網(wǎng)民的95%左右。此事使得韓國政府開始限制網(wǎng)絡身份收集,也宣告了其網(wǎng)絡實名制的結束。
“身份非法買賣嚴重影響網(wǎng)絡實名制的實施效果。”荊繼武說,身份黑市交易可以將個人的網(wǎng)絡身份綁定到一個完全不屬于本人的現(xiàn)實身份上。
“黑戶”的存在,不僅侵害了可能并不知情的個人的利益,也使得真正需要準確掌握身份信息數(shù)據(jù)的電商深感困擾?!耙患译娚痰呢熑稳吮硎?,他每天有幾十萬新注冊用戶,其中有很多黑產(chǎn)用戶,電商企業(yè)需要花費很多精力、成本去校驗新用戶,將‘黑戶’挑揀出來,確保系統(tǒng)安全?!标懝饷髡f。
荊繼武總結道:“現(xiàn)有的身份信息管理技術手段單一、難奏效,需要完備的身份信息數(shù)據(jù)管理體系?!?/span>
搭建有公信力的第三方驗證平臺
“一些互聯(lián)網(wǎng)公司開發(fā)的APP,注冊時需要身份證、姓名、電話等信息。我相信很多人都不愿意透露、被捆綁?!标懝饷髡f,用戶很難確定企業(yè)是否會將這些信息挪作他用。
通過搭建第三方平臺的方法,或能解決這個“隱患”。
陸光明表示,一個保有用戶信息的第三方認證平臺,可以幫助互聯(lián)網(wǎng)企業(yè)認證用戶、也確保用戶的信息只用于約定的用途?!皩τ谛滦突ヂ?lián)網(wǎng)企業(yè)來說,平臺把認證結果反饋給企業(yè),企業(yè)獲得的是平臺處理過的可信的用戶認證。而用戶(消費者)需要面對的則是一個有公信力的平臺,而不是多個信息不對等的企業(yè)?!?/span>
先前已經(jīng)聚集了大量客戶信息的淘寶、微信等已經(jīng)開始擔負起這樣的角色,目前,已經(jīng)有“授權認證”等模式,讓用戶無需再次注冊新應用的賬號。荊繼武表示,背后基于多模式多安全等級的電子認證技術,也保證了“不同等級的數(shù)據(jù)庫使用者,能夠接觸到的信息是不同的?!?/span>
“基于龐大的互聯(lián)網(wǎng)用戶數(shù)據(jù)基礎,亞信安全之前就曾做過類似的平臺構建。”陸光明說,隨著國家互聯(lián)網(wǎng) 政務戰(zhàn)略部署的提出,亞信安全希望構建一個能夠打通政務體系的、擁有法律效力的認證平臺。
目前國家層面正在構建具有法律效力的權威性公民網(wǎng)絡電子身份標識基礎設施,并加快與電子身份應用相關的技術和標準的研制推廣工作,未來將會加速構建和網(wǎng)絡電子身份基礎設施配套的基礎服務能力,基于網(wǎng)絡電子身份標識基礎設施將會出現(xiàn)更多的行業(yè)化、跨領域的高可信、互信任的認證平臺系統(tǒng)。
陸光明介紹,由國家不同部委授權建設,亞信安全參與搭建統(tǒng)一的身份信息認證平臺,不僅僅要完成個人身份認證業(yè)務,還提供涉及到法人、營業(yè)執(zhí)照等證照信息的認證服務??v向來看,整個平臺包括國家中心平臺的建設,也包括中心平臺與各個部委、各省市的對接建設。
為了擔負起龐大的信息處理量,平臺將構建分布式的數(shù)據(jù)存儲,并推動數(shù)據(jù)共享,打破數(shù)據(jù)孤島,推進電子簽名應用等,以期形成跨行業(yè)的身份信息認證的傳遞和互認。通過推動單緯度、單系統(tǒng)、特定場景的可信身份,向多維度、綜合性、可交叉的可信身份體系,助力網(wǎng)絡安全身份體系發(fā)展。(來源:科技日報)