网域空间电子身份管理的方法研究
时间:2022-10-09 01:08:51
摘 要 身份管理是在相关法律法规指导下按照一定的业务模式,为降低管理用户身份和访问权限的成本、提供管理用户身份效率和安全性、保护用户隐私、方便信息共享、提高工作效率和安全性能、采用各种新技术开发的集身份认证、授权管理、责任认定于一体的基础设施框架。日益严峻的网络安全问题使得身份管理技术受到国家、组织、企业的高度重视。文章介绍了网域空间电子身份管理采用的组织方案,然后从安全、隐私、易用方面分析了电子身份管理现状和不足并指出未来研究方向。
关键词 网络实名制;电子身份证;电子身份管理
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)04-0157-02
网域空间电子身份管理是在国家或地区范围内身份管理在网域空间的应用。因此网域电子身份管理有以下特性:1)安全性,确保用户身份是保密的、完整的和有效的;2)隐私性,用户信息应当在使用过程中受到保护,不能出现用户隐私信息泄露问题;3)易用性,能够使用户在使用时真正体会到该系统的便利;4)互操作性,如何让跨区域的电子身份管理系统可以相互操作,这对经济全球化发展具有重要意义,也是现阶段电子身份证系统亟需解决的问题之一。
电子身份管理的用途广泛,可以保护公民的隐私信息、提高互联网服务的便利性并减少网络犯罪行为。目前,电子政务和电子商务是电子身份管理的两种主要应用形式。在电子政务方面,用户无须到现场就可以享受政府提供的信息化服务;在电子商务方面,电子身份证系统主要用于网上购物、银行开户与结算以及网上预订等业务。
1 网域空间电子身份管理
网域空间电子身份管理的过程中主要涉及三种角色:用户(user)、服务提供方(SP)、身份提供方(IDP)。一般分为独立身份管理、联盟身份管理和统一身份管理三种不同的体系结构。在独立身份管理中,每个SP有自身特定的身份认证和身份管理方式,是独立的信任区域;在联盟身份管理中,每个可信任区域内有多个IDP和多个SP,这些SP可以识别同在这个域中的任何IDP发出的身份标志和授权信息;在统一身份管理中,在该信任区域中每个SP都可以识别在这个域内一个或一类IDP发出的身份标志和授权信息。实名制、电子身份证系统是这种体系结构下具体的身份组织管理方案。
1.1 基于网络实名的身份管理方案
网络实名制是指将网络中的虚拟身份和现实中的真实姓名、身份证号等绑定的一种制度。由于目前一些互联网用户利用网络进行恶意的人身攻击,散播一些扰乱社会秩序的谣言,甚至进行一些经济犯罪行为,网络实名制作为一种以用户实名为基础的互联网管理方式,可以成为保护、引导互联网用户的重要手段和制度。
实名制采用独立身份管理方式,即每个服务提供方承担了对使用本服务的用户认证和身份管理职责。随着网络服务的不断增多,用户需要记忆各种身份标志和认证信息,无疑增加了用户负担。为了保护用户隐私,现阶段的实名方式主要是“前台匿名,后台实名”,也就是说用户信息在服务前台是匿名的,但是在服务后台是实名的,服务提供方可以得到用户的真实信息,用户的隐私保护完全由服务提供方来提供。
1.2 基于电子身份证的身份管理
电子身份证是目前网域空间电子身份管理的主要方式,它是国家签发的用于在线和离线的身份证明。电子身份证一般具有三个级别功能:1)通行证功能,一般用于政府的管理和监控,它的作用类似于护照;2)身份认证功能,用于存储和安全传输用户的个人信息,为各种应用服务提供身份验证;3)电子签名功能,主要保护用户的密钥和数字证书。该方案中存在可信的第三方:身份提供方(IDP),其主要作用是认证用户身份,并将认证结果返回给各个服务提供方。用户的信息存储在其电子身份证中,当服务需要用户信息时由身份提供方将用户信息返回给服务方。服务提供方不直接参与用户身份认证过程。
2 电子身份管理关键机制分析
电子身份管理旨在高效管理用户信息、增强网络服务安全性、保护用户隐私、便利用户生酒。下文从安全、隐私、易用、互操作方面对上述身份管理方案进行分析。
2.1 安全性
安全问题是当前互联网活动的主要威胁之一,而身份认证是安全问题的基础。实名制身份管理方案中,身份管理和认证由各个服务方提供,因此各个应用服务安全等级不一致。电子身份证管理方案的主要认证技术是基于智能卡的双因子认证机制,智能卡特殊的存储结构和存取方式使其具有硬件不可复制性,因而安全性较高。以用户为中心的身份管理方案提供多种身份认证方式,主要有智能卡双因子认证、生物识别技术等,因此具有较高灵活性和安全性。基于智能卡的认证技术提供了较高安全性的认证,但是由于该方式需要专门的卡介质和认证终端,成本较高。USB token作为新型认证产品,不需要专门的读卡设备,使用简单、携带方便。生物识别技术是利用人体生物特征来进行身份认证的技术,该认证方式具有较高的安全性和可靠性,并且容易使用户接受。由此可见,身份认证方式各有优缺点,将现有的身份认证技术综合使用,提供用户可信身份矩阵是非常值得研究的问题。
2.2 隐私保护
现有的实名制方案中并不存在专门的身份提供方,用户身份认证、管理职责、隐私保护自服务提供方承担,因此服务提供方可以获得用户信息,并没有实现对用户身份的完全匿名性。在电子身份证身份管理方案中,引入匿名证书加强用户隐私保护,现有的匿名认证技术具有不可跟踪性、不可链接性、可重用性等特性,这就使得服务方无法依据属性信息追踪到用户。在以用户为中心的身份生态系统中,提出了一些隐私保护方案,如最小化信息共享原则,当服务提供方需要验证用户是否是未成年人时,属性提供方并不会将用户的出生年月发送给它,而是直接返回“yes”或者“no”。
电子身份管理方案都提供了一定的隐私保护机制,但是对于具体的用户隐私数据没有进行细粒度的保护。网络上的恶意分子还可以通过逆向工程等手段对用户的行为进行分析推测,获得用户隐私信息。因此在用户数据的产生、使用、传输、存储和销毁的各个阶段都需要采用相应的关键技术来保证数据安全,防止隐私泄露。用户隐私信息传送时一般都需要加密,基于同态加密技术可用于密钥协商。现阶段的同态算法多为半同态加密,全同态加密算法实现难度较大,但是因其高可靠的隐私保护性而成为近些年的研究热点。基于数据扰动的隐私保护技术可以防止用户信息被窃取分析,该技术通过组合属性分解、噪声数据添加、混淆数据重构等功能来实现。
2.3 易用性
实名制方式以服务方为身份核查管理主体,不同服务提供方采用独立身份认证和管理,随着服务的多元化,用户需要记忆的口令认证信息不断增多,导致用户负担过重。在电子身份证系统中,一般采用智能卡的双因子认证方式,用户使用智能卡就可以使用各种服务,但是用户出行必须随身携带该认证介质,因此以手机或其他用户已使用的便携设备和用户生物特征作为认证介质成为其研究发展的新方向。此外,目前电子身份系统应用主要集中在电子商务和电子政务方面,对用户网络空间的娱乐活动并没有更多的支持,所以对该系统服务的多元化发展是现阶段很值得研究的问题。在以用户为中心的身份生态系统中,任何个人、组织、硬件、网络、软件都可以作为该方案的参与方,用户可以根据自愿原则选择是否使用该身份解决方案,也可以选择各种身份认证介质。
2.4 小结
组织管理方案均提供了多种身份认证机制,口令、智能卡、生物识别和技术。从结构复杂度、服务多样性来看,实名制优于其他组织形式,但是用户负担较重,也未能提供跨区域服务的互操作。电子身份证管理方案发展较为成熟,但在互操作方面和易用性方面有待进一步发展。以用户为中心的身份生态各方面较为完善但还未能全面实施。电子身份管理方案未对用户隐私数据存储提供细粒度保护。
3 结束语
从网域空间身份管理的三种组织形式可以看出,网络实名制实现简单、可扩展性强,但是对用户隐私缺乏一定保护;以用户为中心的身份生态系统虽然提出了高效、互操作的身份管理方案,但是并没有全面实施;电子身份证系统在互联网发达国家的推广和运用取得了较为满意的效果。
参考文献
[l]李建.身份管理研究综述[J].计算机工程设计,2009,30(6).
