身份认证是网络安全中非常重要的部分,是网络安全第一道门,并且关乎后续的控制、授权和审计,但这个大门现在的情况有点复杂,应用状况也是有点混乱,事故也是不断(特别是身份信息泄露)。为此,有必要一起分析一下。
作者认为,整体导致身份认证现状的根源,首先技术多样性导致选择性混乱,其次应用个性化或私有化太强导致统一性差,再者管理体系不完整导致信息盲区多隐患大。
身份认证技术实现方式多种多样,诸如密码、指纹、掌纹、声纹、证书、人脸等,每一种方式都很成熟,都能解决身份认证问题。所以,在没有好的依据前提下,选择性混乱成为必然。
基于护照标准、工商执照标准、居民身份证标准、从业执照标准、电子政务外网标准、当地政府一证通标准等进行身份认证设计的应用数不胜数,导致在横向、纵向上身份认证差异性越来越大,国家搞统一电子证照也就不难理解,但是操作难度还是很大的。
身份认证必然需要被认证者的身份信息,身份信息隶属于个人隐私信息,稍有不慎就会产生越权管理风险和泄漏信息责任风险。对身份信息进行整体体系性管理是在以往的身份认证体系设计中很少关注的,这恰恰是当下身份认证最大的问题。
怎么办?
4、一致性问题是个全局问题,统一、再统一是唯一原则
网络安全已经发展到有法可依的阶段,而身份认证的合法性是落实依法治网的第一步,所以在身份认证环节必须保障真实、关联、合法的电子证据特性,将电子数据能成为电子证据为第一设计思路。(参考作者以往的文章)信息化往往被认为是虚拟化的世界(为了便于展开说明,作者也暂且这样认为),而依法治网是需要实实在在的落实到责任主体(人或者法人),所以在身份认证环节,必须将线上身份和实际身份形成法定关系(这就是以前常说的实名制,当下的外延更大),而这种法定关系必须有完整的体系或流程确保。
身份认证在收集和使用用户身份信息时,必须保持警觉,能用法定服务最好选择法定服务。没有法定服务选择的,有必要和用户事前明确相关事项,并且严格设计好对应的权属关系。对于这一点,本文就不在做详细说明,具体思路可参见作者关于个人隐私保护设计系列文章。
从业者要重新认识身份认证在整个网络安全中的地位,她已经不仅仅是个看门狗,而是关系到整个依法治网的落实。从业者和应用者只有从这个高度来认识身份认证,那么当前的身份认证乱象才会慢慢的被解决,并且身份认证在实际业务中的作用才能更好的发挥。
个人隐私保护设计系列(一):架构
个人隐私保护系列(二):技术
个人隐私保护设计系列(三):意识
全面线上,你应该知道的思想
安全的高级目标是确保电子数据能成为电子证据
数据资产保全体系设计方案