電子身份驗(yàn)證有漏洞 誰(shuí)來(lái)證明“你就是你”
發(fā)布時(shí)間:2018-05-225月16日,,有報(bào)道顯示中國(guó)銀聯(lián)通過(guò)大數(shù)據(jù)統(tǒng)計(jì)分析,得出個(gè)人網(wǎng)絡(luò)財(cái)產(chǎn)安全的“蟻潰之堤”——個(gè)人信息泄露是90%電信詐騙案件成因,。
這意味著,,在網(wǎng)絡(luò)世界中,別人可以通過(guò)證明“他是我”,,借由“我”的身份“招搖撞騙”,,擄走“我”的財(cái)產(chǎn)。在安全專家的語(yǔ)系里,,這樣的產(chǎn)業(yè)鏈條被稱為黑產(chǎn),。亞信安全副總裁陸光明表示,“從產(chǎn)業(yè)規(guī)???,2016年底我國(guó)網(wǎng)絡(luò)電子認(rèn)證市場(chǎng)還不到200億元,但是黑產(chǎn)的規(guī)模已經(jīng)高達(dá)千億元左右,?!?/span>
網(wǎng)絡(luò)可信身份認(rèn)證該出手了?!啊吨腥A人民共和國(guó)居民身份證法》確定居民身份證是公民身份管理的可信依據(jù),,網(wǎng)絡(luò)身份驗(yàn)證也需要可信度、權(quán)威級(jí)相當(dāng)?shù)目尚牌脚_(tái),?!敝袊?guó)工程院院士沈昌祥在日前召開(kāi)的C3安全峰會(huì)上表示,網(wǎng)絡(luò)身份可信驗(yàn)證工作刻不容緩,。
身份信息在黑市上被明碼標(biāo)價(jià)
“850塊錢,,就能買到開(kāi)房記錄、列車記錄,、航班記錄等11項(xiàng)個(gè)人隱私數(shù)據(jù),,在身份黑市上,隱私的買賣是被明碼標(biāo)價(jià)的,,能夠用于制作假通緝令等的身份證戶籍信息,,一條只需要10—40元?!敝袊?guó)科學(xué)院信息工程研究所副所長(zhǎng)荊繼武展示了一張明晰的價(jià)碼賬單,,仿造一個(gè)企業(yè)身份信息的“五證”僅需要千元左右。無(wú)論對(duì)于自然人還是法人來(lái)說(shuō),,我國(guó)網(wǎng)絡(luò)信息保護(hù)的形勢(shì)都非常嚴(yán)峻,。
“易獲得”是個(gè)人電子信息難以規(guī)避的“軟肋”。安全領(lǐng)域內(nèi),,八成以上的信息泄露由內(nèi)部人員所為,?!昂苌儆泻诳驮敢饣敲创蟮拇鷥r(jià)從外攻破系統(tǒng)獲取信息,從內(nèi)攻破是更便利,、更容易的,。”陸光明說(shuō),。
“既然防不勝防,,能不能讓這些偷竊泄露來(lái)的信息分文不值呢?現(xiàn)實(shí)生活中身份證的使用對(duì)此提供了很好的借鑒,?!标懝饷髡f(shuō)。
如何讓網(wǎng)絡(luò)身份認(rèn)證與現(xiàn)實(shí)身份認(rèn)證一樣“強(qiáng)有力”“無(wú)漏洞”,,成為一個(gè)系統(tǒng)工程,,關(guān)系到新技術(shù)應(yīng)用、新體系構(gòu)建,、以及與已有法律體系的共享共建,。國(guó)際上,歐盟2006年出臺(tái)了開(kāi)展網(wǎng)絡(luò)可信身份體系建設(shè)的法規(guī),。美國(guó)2011年公布網(wǎng)絡(luò)空間可信身份國(guó)家戰(zhàn)略,,提出10年時(shí)間建設(shè)美國(guó)網(wǎng)絡(luò)身份體系。
網(wǎng)絡(luò)身份驗(yàn)證難有“防騙”功效
當(dāng)下使用的網(wǎng)絡(luò)身份驗(yàn)證難有“防騙”功效,,沈昌祥將問(wèn)題歸納為3類:方法不安全,、難保真實(shí)性;欠公平公正,、難防篡改,;缺乏法律效力、難以執(zhí)法,。沈昌祥解釋:“例如大量匯集在微信,、支付寶上的個(gè)人信息,雖然是實(shí)名認(rèn)證,,但隸屬于第三方企業(yè),難以保障它們的不可更改性,、不可復(fù)制性,。”
陸光明對(duì)此持相同觀點(diǎn),,他表示,,在國(guó)外以企業(yè)公信力作為社會(huì)公信力的商業(yè)行為居多,例如谷歌的互聯(lián)網(wǎng)賬號(hào)可用作其他跨行業(yè)的社會(huì)認(rèn)證,。但是,,F(xiàn)acebook的身份數(shù)據(jù)泄露,,嚴(yán)重到甚至可能會(huì)對(duì)美國(guó)高層政策施以影響,這一事件令人對(duì)這種模式的安全性產(chǎn)生顧慮,。
被泄露之外,,被利用更使身份信息安全問(wèn)題“雪上加霜”。陸光明說(shuō),,韓國(guó)2011年就爆發(fā)過(guò)一次非常嚴(yán)重的身份數(shù)據(jù)泄露事件,,當(dāng)時(shí)有3500萬(wàn)用戶數(shù)據(jù)泄露,占當(dāng)時(shí)韓國(guó)網(wǎng)民的95%左右,。此事使得韓國(guó)政府開(kāi)始限制網(wǎng)絡(luò)身份收集,,也宣告了其網(wǎng)絡(luò)實(shí)名制的結(jié)束。
“身份非法買賣嚴(yán)重影響網(wǎng)絡(luò)實(shí)名制的實(shí)施效果,?!鼻G繼武說(shuō),身份黑市交易可以將個(gè)人的網(wǎng)絡(luò)身份綁定到一個(gè)完全不屬于本人的現(xiàn)實(shí)身份上,。
“黑戶”的存在,,不僅侵害了可能并不知情的個(gè)人的利益,也使得真正需要準(zhǔn)確掌握身份信息數(shù)據(jù)的電商深感困擾,?!耙患译娚痰呢?zé)任人表示,他每天有幾十萬(wàn)新注冊(cè)用戶,,其中有很多黑產(chǎn)用戶,,電商企業(yè)需要花費(fèi)很多精力、成本去校驗(yàn)新用戶,,將‘黑戶’挑揀出來(lái),,確保系統(tǒng)安全?!标懝饷髡f(shuō),。
荊繼武總結(jié)道:“現(xiàn)有的身份信息管理技術(shù)手段單一、難奏效,,需要完備的身份信息數(shù)據(jù)管理體系,。”
搭建有公信力的第三方驗(yàn)證平臺(tái)
“一些互聯(lián)網(wǎng)公司開(kāi)發(fā)的APP,,注冊(cè)時(shí)需要身份證,、姓名、電話等信息,。我相信很多人都不愿意透露,、被捆綁。”陸光明說(shuō),,用戶很難確定企業(yè)是否會(huì)將這些信息挪作他用,。
通過(guò)搭建第三方平臺(tái)的方法,或能解決這個(gè)“隱患”,。
陸光明表示,,一個(gè)保有用戶信息的第三方認(rèn)證平臺(tái),可以幫助互聯(lián)網(wǎng)企業(yè)認(rèn)證用戶,、也確保用戶的信息只用于約定的用途,。“對(duì)于新型互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō),,平臺(tái)把認(rèn)證結(jié)果反饋給企業(yè),,企業(yè)獲得的是平臺(tái)處理過(guò)的可信的用戶認(rèn)證。而用戶(消費(fèi)者)需要面對(duì)的則是一個(gè)有公信力的平臺(tái),,而不是多個(gè)信息不對(duì)等的企業(yè),。”
先前已經(jīng)聚集了大量客戶信息的淘寶,、微信等已經(jīng)開(kāi)始擔(dān)負(fù)起這樣的角色,,目前,已經(jīng)有“授權(quán)認(rèn)證”等模式,,讓用戶無(wú)需再次注冊(cè)新應(yīng)用的賬號(hào),。荊繼武表示,背后基于多模式多安全等級(jí)的電子認(rèn)證技術(shù),,也保證了“不同等級(jí)的數(shù)據(jù)庫(kù)使用者,,能夠接觸到的信息是不同的?!?/span>
“基于龐大的互聯(lián)網(wǎng)用戶數(shù)據(jù)基礎(chǔ),,亞信安全之前就曾做過(guò)類似的平臺(tái)構(gòu)建?!标懝饷髡f(shuō),,隨著國(guó)家互聯(lián)網(wǎng) 政務(wù)戰(zhàn)略部署的提出,亞信安全希望構(gòu)建一個(gè)能夠打通政務(wù)體系的,、擁有法律效力的認(rèn)證平臺(tái),。
目前國(guó)家層面正在構(gòu)建具有法律效力的權(quán)威性公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)基礎(chǔ)設(shè)施,并加快與電子身份應(yīng)用相關(guān)的技術(shù)和標(biāo)準(zhǔn)的研制推廣工作,,未來(lái)將會(huì)加速構(gòu)建和網(wǎng)絡(luò)電子身份基礎(chǔ)設(shè)施配套的基礎(chǔ)服務(wù)能力,,基于網(wǎng)絡(luò)電子身份標(biāo)識(shí)基礎(chǔ)設(shè)施將會(huì)出現(xiàn)更多的行業(yè)化、跨領(lǐng)域的高可信,、互信任的認(rèn)證平臺(tái)系統(tǒng),。
陸光明介紹,由國(guó)家不同部委授權(quán)建設(shè),,亞信安全參與搭建統(tǒng)一的身份信息認(rèn)證平臺(tái),,不僅僅要完成個(gè)人身份認(rèn)證業(yè)務(wù),還提供涉及到法人,、營(yíng)業(yè)執(zhí)照等證照信息的認(rèn)證服務(wù),。縱向來(lái)看,,整個(gè)平臺(tái)包括國(guó)家中心平臺(tái)的建設(shè),,也包括中心平臺(tái)與各個(gè)部委、各省市的對(duì)接建設(shè),。
為了擔(dān)負(fù)起龐大的信息處理量,,平臺(tái)將構(gòu)建分布式的數(shù)據(jù)存儲(chǔ),并推動(dòng)數(shù)據(jù)共享,,打破數(shù)據(jù)孤島,,推進(jìn)電子簽名應(yīng)用等,以期形成跨行業(yè)的身份信息認(rèn)證的傳遞和互認(rèn),。通過(guò)推動(dòng)單緯度,、單系統(tǒng)、特定場(chǎng)景的可信身份,,向多維度,、綜合性、可交叉的可信身份體系,,助力網(wǎng)絡(luò)安全身份體系發(fā)展,。(來(lái)源:科技日?qǐng)?bào))
