電子身份驗證有漏洞 身份信息在黑市上被明碼標價(jià)

　　5月16日，有報道顯示中國銀聯(lián)通過(guò)大數據統計分析，得出個(gè)人網(wǎng)絡(luò )財產(chǎn)安全的“蟻潰之堤”——個(gè)人信息泄露是90%電信詐騙案件成因。

　　這意味著(zhù)，在網(wǎng)絡(luò )世界中，別人可以通過(guò)證明“他是我”，借由“我”的身份“招搖撞騙”，擄走“我”的財產(chǎn)。在安全專(zhuān)家的語(yǔ)系里，這樣的產(chǎn)業(yè)鏈條被稱(chēng)為黑產(chǎn)。亞信安全副總裁陸光明表示，“從產(chǎn)業(yè)規�？�，2016年底我國網(wǎng)絡(luò )電子認證市場(chǎng)還不到200億元，但是黑產(chǎn)的規模已經(jīng)高達千億元左右�！�

　　網(wǎng)絡(luò )可信身份認證該出手了�！啊吨腥A人民共和國居民身份證法》確定居民身份證是公民身份管理的可信依據，網(wǎng)絡(luò )身份驗證也需要可信度、權威級相當的可信平臺�！敝袊�工程院院士沈昌祥在日前召開(kāi)的C3安全峰會(huì )上表示，網(wǎng)絡(luò )身份可信驗證工作刻不容緩。

　　身份信息在黑市上被明碼標價(jià)

　　“850塊錢(qián)，就能買(mǎi)到開(kāi)房記錄、列車(chē)記錄、航班記錄等11項個(gè)人隱私數據，在身份黑市上，隱私的買(mǎi)賣(mài)是被明碼標價(jià)的，能夠用于制作假通緝令等的身份證戶(hù)籍信息，一條只需要10—40元�！敝袊�科學(xué)院信息工程研究所副所長(cháng)荊繼武展示了一張明晰的價(jià)碼賬單，仿造一個(gè)企業(yè)身份信息的“五證”僅需要千元左右。無(wú)論對于自然人還是法人來(lái)說(shuō)，我國網(wǎng)絡(luò )信息保護的形勢都非常嚴峻。

　　“易獲得”是個(gè)人電子信息難以規避的“軟肋”。安全領(lǐng)域內，八成以上的信息泄露由內部人員所為�！昂苌儆泻诳驮敢饣�那么大的代價(jià)從外攻破系統獲取信息，從內攻破是更便利、更容易的�！标懝饷髡f(shuō)。

　　“既然防不勝防，能不能讓這些偷竊泄露來(lái)的信息分文不值呢？現實(shí)生活中身份證的使用對此提供了很好的借鑒�！标懝饷髡f(shuō)。

　　如何讓網(wǎng)絡(luò )身份認證與現實(shí)身份認證一樣“強有力”“無(wú)漏洞”，成為一個(gè)系統工程，關(guān)系到新技術(shù)應用、新體系構建、以及與已有法律體系的共享共建。國際上，歐盟2006年出臺了開(kāi)展網(wǎng)絡(luò )可信身份體系建設的法規。美國2011年公布網(wǎng)絡(luò )空間可信身份國家戰略，提出10年時(shí)間建設美國網(wǎng)絡(luò )身份體系。

　　網(wǎng)絡(luò )身份驗證難有“防騙”功效

　　當下使用的網(wǎng)絡(luò )身份驗證難有“防騙”功效，沈昌祥將問(wèn)題歸納為3類(lèi)：方法不安全、難保真實(shí)性；欠公平公正、難防篡改；缺乏法律效力、難以執法。沈昌祥解釋?zhuān)骸袄�如大量匯集在微信、支付寶上的個(gè)人信息，雖然是實(shí)名認證，但隸屬于第三方企業(yè)，難以保障它們的不可更改性、不可復制性�！�

　　陸光明對此持相同觀(guān)點(diǎn)，他表示，在國外以企業(yè)公信力作為社會(huì )公信力的商業(yè)行為居多，例如谷歌的互聯(lián)網(wǎng)賬號可用作其他跨行業(yè)的社會(huì )認證。但是，Facebook的身份數據泄露，嚴重到甚至可能會(huì )對美國高層政策施以影響，這一事件令人對這種模式的安全性產(chǎn)生顧慮。

　　被泄露之外，被利用更使身份信息安全問(wèn)題“雪上加霜”。陸光明說(shuō)，韓國2011年就爆發(fā)過(guò)一次非常嚴重的身份數據泄露事件，當時(shí)有3500萬(wàn)用戶(hù)數據泄露，占當時(shí)韓國網(wǎng)民的95%左右。此事使得韓國政府開(kāi)始限制網(wǎng)絡(luò )身份收集，也宣告了其網(wǎng)絡(luò )實(shí)名制的結束。

　　“身份非法買(mǎi)賣(mài)嚴重影響網(wǎng)絡(luò )實(shí)名制的實(shí)施效果�！鼻G繼武說(shuō)，身份黑市交易可以將個(gè)人的網(wǎng)絡(luò )身份綁定到一個(gè)完全不屬于本人的現實(shí)身份上。

　　“黑戶(hù)”的存在，不僅侵害了可能并不知情的個(gè)人的利益，也使得真正需要準確掌握身份信息數據的電商深感困擾�！耙患译娚痰呢熑稳吮硎�，他每天有幾十萬(wàn)新注冊用戶(hù)，其中有很多黑產(chǎn)用戶(hù)，電商企業(yè)需要花費很多精力、成本去校驗新用戶(hù)，將‘黑戶(hù)’挑揀出來(lái)，確保系統安全�！标懝饷髡f(shuō)。

　　荊繼武總結道：“現有的身份信息管理技術(shù)手段單一、難奏效，需要完備的身份信息數據管理體系�！�

　　搭建有公信力的第三方驗證平臺

　　“一些互聯(lián)網(wǎng)公司開(kāi)發(fā)的APP，注冊時(shí)需要身份證、姓名、電話(huà)等信息。我相信很多人都不愿意透露、被捆綁�！标懝饷髡f(shuō)，用戶(hù)很難確定企業(yè)是否會(huì )將這些信息挪作他用。

　　通過(guò)搭建第三方平臺的方法，或能解決這個(gè)“隱患”。

　　陸光明表示，一個(gè)保有用戶(hù)信息的第三方認證平臺，可以幫助互聯(lián)網(wǎng)企業(yè)認證用戶(hù)、也確保用戶(hù)的信息只用于約定的用途�！皩τ谛滦突ヂ�(lián)網(wǎng)企業(yè)來(lái)說(shuō)，平臺把認證結果反饋給企業(yè)，企業(yè)獲得的是平臺處理過(guò)的可信的用戶(hù)認證。而用戶(hù)(消費者)需要面對的則是一個(gè)有公信力的平臺，而不是多個(gè)信息不對等的企業(yè)�！�

　　先前已經(jīng)聚集了大量客戶(hù)信息的淘寶、微信等已經(jīng)開(kāi)始擔負起這樣的角色，目前，已經(jīng)有“授權認證”等模式，讓用戶(hù)無(wú)需再次注冊新應用的賬號。荊繼武表示，背后基于多模式多安全等級的電子認證技術(shù)，也保證了“不同等級的數據庫使用者，能夠接觸到的信息是不同的�！�

　　“基于龐大的互聯(lián)網(wǎng)用戶(hù)數據基礎，亞信安全之前就曾做過(guò)類(lèi)似的平臺構建�！标懝饷髡f(shuō)，隨著(zhù)國家互聯(lián)網(wǎng)+政務(wù)戰略部署的提出，亞信安全希望構建一個(gè)能夠打通政務(wù)體系的、擁有法律效力的認證平臺。

　　目前國家層面正在構建具有法律效力的權威性公民網(wǎng)絡(luò )電子身份標識基礎設施，并加快與電子身份應用相關(guān)的技術(shù)和標準的研制推廣工作，未來(lái)將會(huì )加速構建和網(wǎng)絡(luò )電子身份基礎設施配套的基礎服務(wù)能力，基于網(wǎng)絡(luò )電子身份標識基礎設施將會(huì )出現更多的行業(yè)化、跨領(lǐng)域的高可信、互信任的認證平臺系統。

　　陸光明介紹，由國家不同部委授權建設，亞信安全參與搭建統一的身份信息認證平臺，不僅僅要完成個(gè)人身份認證業(yè)務(wù)，還提供涉及到法人、營(yíng)業(yè)執照等證照信息的認證服務(wù)�？v向來(lái)看，整個(gè)平臺包括國家中心平臺的建設，也包括中心平臺與各個(gè)部委、各省市的對接建設。

　　為了擔負起龐大的信息處理量，平臺將構建分布式的數據存儲，并推動(dòng)數據共享，打破數據孤島，推進(jìn)電子簽名應用等，以期形成跨行業(yè)的身份信息認證的傳遞和互認。通過(guò)推動(dòng)單緯度、單系統、特定場(chǎng)景的可信身份，向多維度、綜合性、可交叉的可信身份體系，助力網(wǎng)絡(luò )安全身份體系發(fā)展。

　　相關(guān)鏈接

　　新技術(shù)讓網(wǎng)上身份識別更可靠

　　居民身份證作為電子法定證件，本身兼有“線(xiàn)下”和“線(xiàn)上”法律作證的地位。沈昌祥表示，2代身份證識別體系建設時(shí)，預留了指紋識別的端口，當時(shí)由于種種原因暫時(shí)未被整合的認證手段，最近可能再被啟用。

　　“公民網(wǎng)絡(luò )電子身份標識基礎設施將融合各種新技術(shù)�！标懝饷髡f(shuō)，企業(yè)將持續創(chuàng )新可交互、易操作、高可信的新型認證技術(shù)，例如聲紋識別、指紋識別、相貌識別等。

　　之前的身份可信判斷，通過(guò)“我所擁有+我所知道”，未來(lái)將轉向“我的特征+我所知道”。也就是說(shuō)，之前“我擁有”的u盾、短信驗證碼+口令等方式，將被替換“我”特有的指紋、聲紋、面相+口令等方式。通過(guò)新技術(shù)的加入最大限度做到只有“我”才能證明“我自己”。

　　在系統底層建設中，陸光明介紹，目前平臺的主流技術(shù)仍是基于強密碼實(shí)現安全保障，并會(huì )適時(shí)利用安全大數據，進(jìn)行態(tài)勢感知的風(fēng)險預測和控制。對于新興的區塊鏈技術(shù)、時(shí)間戳等安全保障方式，平臺將做到端口預留。

　　巨大的用戶(hù)量是對該平臺的另一個(gè)嚴峻考驗。據統計，2016年支付寶實(shí)名用戶(hù)達到4.5億人。與之相比，要構建覆蓋中國全體居民以及法人單位的統一身份認證平臺，數據處理量可想而知。

　　為此，亞信安全咨詢(xún)戰略總監吳大明表示，平臺在建設和使用的過(guò)程中將會(huì )不斷有新的應用加入，因此平臺具備可擴展。一個(gè)公民出生、入托再到上學(xué)，需要跑到各個(gè)地方去辦各種手續的體驗，未來(lái)可能變成可跨省、隨時(shí)辦。

　　本報記者 張佳星