漫谈网络身份的安全
网络已日渐成为我们日常生活的基本元素,而网络空间中用户身份的确认已成为大多数互联网业务的前提。因此,网络身份的安全日益受到普遍关注,美国、欧盟及其成员国、俄罗斯等都已从战略计划、技术研发、标准制定、法律法规等方面大力推进网络身份管理工作,从国家顶层设计层面保障公民网络身份安全。
2012年12月28日,全国人大常委会通过了的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,特别强调了网络信息发布的实名要求和网络用户的隐私保护。但是,现在公民上网申请互联网服务机构的应用服务时,在注册环节往往需要向互联网服务机构的后台提供本人的身份信息,有的互联网服务机构还要求用户通过手机短信等方式进一步认证,其结果是用“网络真名”代替了“网络实名”。
公民在使用真实身份完成注册后将面临多种安全威胁,最突出的就是身份信息和个人隐私信息的泄漏,被泄露的原因有多种,一是互联网服务机构自身的安全防护能力不够,被黑客攻入而使后台数据遭窃;二是互联网服务机构内部疏于管理,内部人员盗卖信息。造成的后果包括账号被盗窃后的个人数字财富损失、身份假冒后的犯罪行为以及相关的各种诈骗活动。其中,电信诈骗案件的泛滥同个人身份信息和隐私信息泄露案件密不可分,我们注意到十几年前,陌生电话往往只是推销,而现在的陌生电话往往是犯罪分子掌握了个人身份和隐私信息而对被害人实施的精准诈骗。电信和网络诈骗2011~2013年每年呈70%的复合增长,公安部有关部门拦截和360互联网安全中心统计被标记的诈骗电话每年上亿次。据统计,我国的互联网应用有6.5亿网民和355万个在册的服务网站,身份盗用和网络欺诈每年造成的相关损失高达数千亿元。
正是由于目前我国网络身份认证普遍基于个人身份信息比对和手机认证这些方式的缺陷,使得盗窃和倒卖个人身份信息、身份证证件照片等案件屡禁不止,甚至还有经营买卖第二代身份证的非法网站。可以预言只要基于身份信息比对建立网络信任的方法不改变,倒卖身份信息的案件将长期存在。
目前,关于网络远程身份识别的大规模应用还有一个认识误区就是非常火爆的生物特征识别,包括照片、影像和指纹远程识别等技术。我们必须认识到,生物识别技术如果用于网络远程身份识别的大规模应用场景,那就不仅仅是生物识别技术本身的识别率有多高,而是要面对网络远程识别端环境的不可控问题,存在着公民强生物特征(如指纹特征信息等)被窃取的重大隐患。并且,一旦公民生物特征被窃取,网络身份的伪造、盗用将更加泛滥。因此,生物识别技术至多只能作为网络远程身份识别的辅助手段。国际上生物特征识别技术在网络大规模的应用实践中,只是在终端设备上取代传统的密码输入,最常见的如苹果手机的TouchID指纹开机,苹果声称指纹特征信息只存在手机的安全芯片里、技术安全上保证不出手机本身的。
安全的网络身份和账号控制必须基于密码设备,例如我国银行业普遍使用的、基于非对称密码技术的U盾或者动态令牌。当然,银行的设备仅限于自身电子银行的网络应用,因此,对于整个社会的网络应用,应当由国家来统一推动网络身份识别公共安全基础设施的建设。
“十二五”期间,在国家科技部、发改委、公安部、工信部、国家互联网信息办公室等部委的大力支持,公安部第三研究所牵头了所有网络身份管理相关的国家级重大科研项目,联合多家单位制定了相应的国家和行业标准体系,我所承建的“公安部公民网络身份识别系统”经过国家密码管理局的安全审查并投入运营。我们研发的eID是以密码技术为基础,以智能安全芯片为载体,使得上网公民能够在不泄露身份信息的前提下,在互联网上远程证明自己的身份并控制账号。同时,eID的技术规范还要求接入eID应用的互联网服务机构后台不能直接存储用户的身份信息和手机号等,只能直接存储用户对应的编码,最大程度地保护用户的身份信息和隐私信息从而彻底堵住个人身份和隐私信息泄露的源头。
在eID发行、服务和应用、以及产业环境建设方面,公安部第三研究所以“开放”和“有序”为原则,充分调动和集聚社会各方的资源来参与eID生态圈的建设。在发行方面,我们与几家商业银行签订了合作协议,利用金融IC卡(即安全密码设备)、银行柜面的渠道资源以及面签程序发行加载eID的金融IC卡,其中,工商银行作为首家eID登记发行机构已经在全国发行了1600万张eID金融IC卡,达到了每天近10万张的发行速度;在服务和应用方面,金联汇通作为首家eID网络身份服务提供机构,已经同奇虎360、信达证券等合作分别开发了嵌入“360生活助手”的保护身份信息的身份识别和eID贴卡支付、以及证券远程开户手机应用产品等将陆续上线发布;在产业环境建设方面,天喻、华虹、华大、大唐、东信和平、复旦微电子、恒宝、中钞等IC卡商以及德卡信息、动联、支付通等机具商按照eID硬件相关安全规范的要求展开了广泛的合作。
目前,eID的发行和应用试点受到了媒体、互联网企业、金融业、政府有关部门和法律界的广泛关注。接下来,我们将加快eID生态圈的建设,一是要加大eID的发行力度,同时要接入更多的应用;二是要同媒体的深度合作加强舆论的引导和宣传;三是要推动国家出台对eID相应的政策支持和投入,最终推动eID网络身份识别公共安全基础设施的建设上升到国家战略。(公安部第三研究所 胡传平)