摘自:《网络安全技术和产业动态》2021年第9期,总第15期。
中国网络安全产业联盟(CCIA)主办,北京数字认证股份有限公司供稿。
2020年9月11日,在美国116届国会第2次会议上,Foster等议员提出了一份关于美国政府范围内建立改善数字身份途径的法律提案。该法律提案主要聚焦于数字身份核验服务(digital identity verification),认为现阶段政府、企业和社会组织缺乏简单、经济、可靠的方法来核验在线实体的身份,身份窃取和假冒等网络安全事件频发,不仅妨碍了高价值在线交易的顺利执行,也导致大量个人隐私信息泄露。因此该提案建议从政府监管的角度入手,通过法令和标准执行等形式推动联邦、州和地方政府提供可靠的、可互操作的数字身份核验服务,以保护隐私和个人信息安全。
一、法律提案主要内容
法律提案内容主要涵盖以下部分:背景介绍、成立专项工作组并规定主要的工作职责、以及从各相关行政主管部门的角度制定具体的改善措施和步骤。
法律提案规定了专项工作组的八项职责和任务:①识别联邦、州和地方的,发布和掌握个人身份信息的机构。②评估这些机构为其他政府、非政府机构提供数字身份核验服务的条件。③评估潜在的法令、条例或政策修订,来强化这类数字身份核验服务条件。④给出在消费者同意基础上,安全、可保护隐私的数字身份核验服务标准架构的建议。⑤给出资金预算建议。⑥判断政府机构向私营部门提供付费数字身份核验服务的可行性。⑦判断联邦、州、地方政府还需进一步采取的措施。⑧判断与数字身份核验服务相关的潜在犯罪风险。⑨判断与私营部门协作实现上述设想的可行性。
法律提案提出以下四个方面的改善措施和实施步骤:①责成NIST建立一套数字身份的标准框架,指导联邦、州和地方政府提供数字身份核验服务。②国土安全部授权政府相关部门升级数字身份核验服务系统。③联邦审计总署调研分析非政府组织收集和存储社会安全号码(类似中国身份证号)的必要性,给出是否可用其他形式身份标识来代替的建议。④国土安全部责令联邦机构严格实施NIST SP800-63“数字身份指南”等标准规范。
此外,本法律提案还针对上述任务和改善措施给出了执行时限。
二、关于数字身份服务的一般理解
根据2020年2月NIST最新修订的第三版SP800-63 v3标准中对数字身份模型的定义,数字身份被划分为了注册和身份证明(Enrollment and Identity Proofing)、数字身份鉴别(Digital Authentication)两个关键过程(如下图1所示)。其中,对于真实身份进行注册和身份证明的目的旨在为用户签发身份凭证(Credential),而此时注册和身份证明的过程便可称之为身份核验(verification)的过程,具体实现方式可以是现场人工核验、远程在线核验,亦或离线+在线相结合的方式。
图1 NIST数字身份模型
从上述法律提案内容可以看出,该提案主要聚焦在针对个人的远程在线身份核验服务,希望从政府的角度对这类服务进行统一的标准化管理。然而,从“数字身份服务”整体来看,在线身份核验服务仅是其中一个环节,数字身份服务涵盖在线身份核验、数字身份凭证、在线身份鉴别等多个环节:
在线身份核验服务(digital identity verification)可理解为,通过在线方式收集和核实实体身份信息,以确认实体真实身份的过程。可根据在线身份核验的手段以及收集和验证的身份信息的种类及内容的不同,划分身份核验服务的可信程度,比如在NIST标准中就规定了IAL(Identity Assurance Level)1、2、3三个保障级别。
数字身份凭证服务(digital identity credential)可理解为,以身份核验的结果为前置条件,为实体注册并颁发数字身份凭证的过程。凭证的形式是纯数字化的,如数字证书、网证、手机号、邮箱账号等。有些数字身份凭证自身含有颁发者、有效期、完整性证明等信息,如数字证书;有些则仅是一个ID,如手机号、邮箱账号等。
实际上,物理世界已经广泛使用身份凭证,如身份证、驾照、社保卡、银行卡等,只不过其都以物理载体承载。鉴于本文讨论的是数字身份的在线应用,因此不将这些物理世界身份凭证的颁发和管理考虑在内;虽如此,数字身份凭证也可复用物理世界的身份信息,如我国CTID网证即复用了居民身份证的信息。
在线身份鉴别服务(digital identity authentication)可理解为,数字身份凭证拥有者提供“证据”,证明自己就是数字身份凭证拥有者的过程,目的一般是接入某个在线资源或服务。例如,用数字证书做身份鉴别的证据是私钥和数字签名,用邮箱账号做身份鉴别的证据是口令,用手机号做身份鉴别的证据是短信验证码等。根据实体掌握和控制的证据类型,身份鉴别的安全强度也会有所差异,比如NIST标准中规定了AAL(Authenticator Assurance Level)1、2、3三个保障级别。
总的来看,完整的数字身份服务本质上是以上三个阶段的综合。不同类型的数字身份凭证,在数字世界可发挥的作用也有不同,例如邮箱账号、手机号只能用于在接入应用时标识身份,而数字证书还可用于通信密钥协商、数字信封传递、具有法律效力的文件签署等。
此外,如果将“身份核验”广义理解为“个人在数字世界自证身份的方式”,那么不依赖数字身份凭证的在线数字身份核验服务可认为是“实时”身份核验,即每次会话都提供个人身份信息供核验;而基于数字身份凭证的身份鉴别可理解为“先验”身份核验,即由数字身份凭证颁发机构担保“已经做过身份核验,并为此承担责任”。
三、我国数字身份服务现状分析
目前我国的数字身份服务已经广泛存在,已有一定数量的数字身份服务提供机构,且均具备以上三个环节的服务。从服务模式上来看,主要有三类:
一是基于法定证件的数字身份服务,比如由政府建立和维护的CTID平台,用户既可通过安全通道直接向其提供个人信息(如身份证号、生物特征)供核验,也可以“网证”作为数字身份凭据实施在线身份鉴别。“网证”即CTID网证,是CTID平台面向公众颁发的数字身份凭证,公民做在线身份鉴别时以输入口令或再次刷脸作为“证据”。
二是商业机构提供的数字身份服务,例如某些商业机构,在与客户签订的身份服务协议框架下,基于自行采集和存储的个人身份信息来向客户提供数字身份服务。其中手机号、银行账号、应用账号等可视作数字身份凭证;实现在线身份鉴别的“证据”包括银行账户打款回填随机数、手机号动态验证码回填,或账户口令等。
三是由权威机构背书的数字身份服务,比如由依法设立的电子认证机构通过在线或离线的身份核验手段,对个人的身份进行先验确认,随后签发数字证书作为数字身份凭证。数字证书就是电子认证机构“已经做过身份核验,并为此承担责任”的承诺,可通过数字签名验签机制来完成身份鉴别。
四、意见和建议
(1)推进以法定数字身份为基础,以数字证书为数字身份凭证的数字身份服务体系建设。
建议从数字身份服务的三个主要环节出发,推进完整数字身份服务体系的构建。首先,对于在线身份核验服务,建议将在线身份核验服务统一到政府服务的框架下,一方面最大程度保障在线身份核验的可信程度,另一方面尽可能缩小公民个人身份信息的知悉、留存范围,保障公民隐私权。其次,对于数字身份凭证服务,建议以数字证书作为数字身份凭据的主要形式,由依法设立的电子认证机构基于政府提供的在线身份核验服务为公民签发数字证书,当然,数字证书的规格可根据需求而改变,并不限于X.509格式。最后,对于在线身份鉴别服务,伴随信息技术新模式、新业态的发展,也需持续规范和鼓励基于数字凭证的身份鉴别服务模式创新。
(2)摸底数字身份服务个人信息采集状况,完善法规标准,切实规范和加强对数字身份服务的个人信息保护。
建议借鉴美国Foster法律提案,国家层面组织多部门联合调研当前政府/非政府机构尤其是各类互联网服务提供商掌握个人身份信息的现状,并从政策、标准(参考NIST SP800-63)多个方面,强化对个人信息采集的规范和约束。
(3)强化对电子认证机构入根的身份核验要求,促进数字证书凭证互通互认。
建议从监管层面来统一增加和细化对入根电子认证机构的身份核验要求,例如通过制定对电子认证机构CP/CPS的统一规范性文件,要求电子认证机构公开声明采用的身份核验方法,并对身份核验方法的可信程度做统一评估和分级等。
声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。