沈昌祥清华大学互联网产业研究院产业转型顾问委员会委员、中国工程院院士、第二代居民身份证首席安全专家、居民身份证网上应用首席科学家
随着互联网技术的不断发展,网络已经渗透到当今社会生活的方方面面,并深刻改变了人们的生产生活模式,成为人们重要的活动空间以及推动经济社会发展的重要工具。网络在带给人们便利的同时也带来一系列的问题,无法将“线上人”与“线下人”进行对应限制了网络活动的进一步发展,网络诈骗、网络攻击和侵犯公民个人信息等网上违法犯罪活动频繁发生。
在此背景下,网络可信身份应运而生。它通过建立网络身份和现实身份之间的绑定关系确认网络活动主体身份,促进网络空间安全可信,进而保护个人信息,营造良好的网络生态,服务人民的美好生活,助推国家治理体系和治理能力现代化的实现。《中华人民共和国网络安全法》中提出“国家实施网络可信身份战略”。什么是网络身份?如何实现网络可信身份管理?在推进国家治理体系和治理能力现代化的总目标下,网络可信身份战略在其中起到了怎样的作用?《网络安全法》第二十四条规定,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
当前,网络空间已成为陆、海、空、天之外的主权空间,“没有网络安全就没有国家安全”。网络空间主体还是人,因利益驱动对网络进行人为攻击是永远的主题。由此,网络可信身份管理成为网络信息时代为公民提供服务而确保主体行为可信的必要手段。目前国际主要国家均对网络身份管理进行了顶层设计,完善立法,成为国家网络安全战略不可或缺的组成部分。网络身份是在网络空间中识别特定主体的数字化标志,是网络身份认证的要素,也是确定身份特征的依据,与现实身份相绑定。网络身份应当通过身份认证技术,确保和现实身份达到一致,也就是身份是可信的,不是假冒的。由此,形成了网络可信身份体系,成为推进国家治理体系和治理能力现代化的重要举措。网络可信身份体系以密码技术为基础(相当于人体的 DNA),由法律法规、技术标准和基础设施组成,解决了网络应用中的身份认证、授权管理和责任认定等难题。网络空间的虚拟性导致难以确定用户身份的真实可信,给网络空间治理造成了巨大的困难。网络可信身份管控手段的缺失,将失去有序开展电子政务、电子商务、信息共享等各类网络应用的前提,制约以网络为基础的各项生产生活活动进一步发展。实施网络可信战略,构建网络可信身份体系,是实现国家治理体系和治理能力现代化的必由之路。
现实生活中,我们使用身份证作为法定有效证件;网络世界里,身份证在可信身份验证的过程中发挥了怎样的作用?与电子签名、口令密码等验证方式相比,三者间有何区别?
网络空间是公共场所,网络社会也是法制社会,依法治网,推动网络可信有序,保障网络安全是每个公民的责任和义务。《中华人民共和国居民身份证法》第一条明确规定居民身份证的作用是“证明居住在中华人民共和国境内的公民的身份”,成为身份管理的法律可信依据,也是电子法律证件,兼有网络“线下”和“线上”法律作证的地位。
可信身份认证是网络身份可信确定的过程。法定有效证件经密码变换运算生成网络身份凭证,具有不可篡改和伪造的唯一性。可信身份认证要判定法定身份证与实体本人以及网络身份凭证是否一致,这是安全性最高的认证,也可称法定信任级。电子签名法界定的数字证书是行政许可的第三方机构签发,面向系统应用的身份可信的凭证,只证明协议所用的数字证书是用户所属的,与用户实体不直接相关,可称第三方作证级。还有,各业务系统根据自身业务需要签发的身份证件,如银行账号、手机号、QQ 号、微博号等与口令密码匹配,作为业务运行者确认用户是其所属的,可称为业务凭证级。上述三种身份认证最根本的差别在于信任程度不同。只有法定信任级才是网络可信身份的信任根和源泉,才能构建合法身份为根、身份实体可信(实名制)的网络可信身份管理体系。个人信息保护已成为全社会关注的热点话题。网络可信身份管理在其中发挥了怎样的作用?有哪些独特的优势?
隐私保护和信息互联共享是一对不可调和的矛盾,是信息网络安全的热门课题。个人信息保护的法律内涵是,任何组织或个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。保护公民隐私是国家法律的强制性规定。保护隐私的唯一的出路是在法律框架下加强科学的网络可信身份管理。可信身份认证是网络上的实名制认证,从字面上看不利于个人隐私保护,实际以二代居民身份证为根建立单向映射的唯一对应的网络身份凭证,不含任何的个人身份信息,充分满足了网络隐私保护要求。运行者只要记录客户的身份凭证即可,网络认证核对法律证件、个人实体(生物特征)和身份凭证三者融合一致即可。这种法定信任级认证不留身份信息,而第三方作证级和业务凭证级认证将主体身份信息直接留在网络中,有被非法盗用的风险。如美国Facebook公司几千万名用户资料遭非法买卖数据泄露事件。特别指出的是,基于数字证书(PKI)身份认证以及人脸比对识别认证都是验证当时主体身份与预先登记的是否符合,在证书申请和认证过程中存在个人信息泄露风险。另外,现在利用人工智能技术,大量窃取个人信息已成为难以应对的网络安全问题。可信身份管理能有效防止利用身份特征数据收集和智能加工识别窃取个人信息,以及仿真假冒等攻击。为营造良好的网络生态环境,国家互联网信息办公室发布了《网络信息内容生态治理规定》于2020年3月1日起正式施行。共建风明气清的网络空间环境,我们该如何搭建现实世界与无形网络间的桥梁?又该如何着手和切入?《网络信息内容生态治理规定》是为营造良好的网络生态而制订,规定明确了平台的信息安全管理义务,提出了防范和抵制传播不良信息等要求。根据规定,网络信息内容服务使用者和平台不得开展网络暴力、人肉搜索、深度伪造、流量造假、操纵账号等违法活动。这些与网络可信身份管理直接相关,可信身份认证是不可或缺的抓手和切入点。
网络信息内容生态治理的第一关是要确保网络信息内容和平台服务使用者的身份可信,这些不能由他们自己说了算,而应坚持“法律证件为依据、生物特征为根据、办案追溯为证据”的原则。也就是说,可信身份认证必须以法律为依据,由国家执法部门统一发证、存储和管理,不归经营者所属,确保公正可信。另外,一般身份认证的追踪以服务经营者形成的审计记录为证据,这不公正也不安全,只有国家统一的网络可信身份管理平台形成的记录才能作为办案证据,进行追溯。基于法律证件的网络可信身份管理具有“四不” 特点:不改变现有法律证件安全机制,确保法律证件卡体安全、应用安全;不在互联网上存储、传输持证人的个人信息,不影响个人隐私;不排斥现有各种网络认证协议,可方便地接入扩充现有协议,增强其安全性;不增加新的认证基础数据平台和证卡体,法律证件数据平台可安全使用,网络身份凭证是编码数据块,无需硬件载体卡。基于法律证件,使网络可信身份管理具有法定信任,上述“四不”特点,使其又能安全可靠,成为人们穿行物理世界与数字世界的权威桥梁。习近平总书记提出,人民对美好生活的向往就是我们的奋斗目标。未来网络可信身份将如何服务于人民的美好生活?对此,您有何期待?实施网络可信身份战略,就是要营造清朗的网络空间,为将人民对美好生活的向往变成现实提供必要的手段。当前,互联网线上线下结合得更加紧密,人们对网络依赖程度使生活与互联网高度融合,人们在网络上获得便利的同时,也出现了信息安全威胁的困惑。尤其是有些人为了非法获利,利用网络的匿名性进行诈骗,导致许多没有防范之心的人损失惨重,企业运营者也背上了沉重的包袱,使美好生活大打折扣,这与网络身份认证不科学不合理有直接关系。前面所述的基于法律身份证件实施可信认证,网上网下一体化,极大减轻了人们上网的负担,也从根本上减轻了运营者为认证聚集巨大数据所承担的泄露风险。这种认证模式不仅安全可信,而且投资小、见效快、实施操作简便,符合国情,具有首创性,大大领先于美国和欧盟的方案。我国从 2013 年开始研制网络可信身份凭证(CTID),简称网证,以此建立了网络身份认证标准和平台。2014 年 9 月,在厦门试点试用取得成功,效益显著,现推广到政务、交通、医疗、司法等 9 大行业 260 余家应用机构以及各类互联网应用。2018 年国务院办公厅发文明确要求,基于“互联网+可信身份认证平台”和国家人口基础信息库为国家政务服务平台提供实名支撑,建设全国一体的政务服务模式。以“互联网+可信身份认证平台”为代表的我国网络可信身份实践已在路上,将这一科学合理的网络身份认证模式引入网络空间环境治理,在现实生活的各行各业广泛开展应用,人民群众对美好生活的向往未来可期。