构建网络认证体系,打造可信网络空间

2012-04-29 00:44刘飞
中兴通讯技术 2012年2期

摘要: 随着互联网与现实社会生活的不断融合,由互联网虚拟性导致的诸多问题也逐渐显现。其中,网络参与者身份的虚拟性导致了网络欺诈、网络谣言等诸多问题,严重影响社会安全和稳定。文章从实现网络可信身份认证的角度出发,探讨了如何建立和完善网络认证体系,从而打造可信网络空间,促进互联网健康、有序的发展。

关键词:可信网络;网络认证;网络可信身份

Abstract: As the Internet becomes an integral part of social life, many problems are becoming apparent. Phishing and malicious rumors spread by the virtual identity of participants has damaged the Internet and even social stability. This paper describes how to establish and improve the Internets authentication system and how to create a trusted network space in order to promote healthy and orderly development of the Internet.

Key words: trusted internet; internet authentication; internet trusted authentication

经过十多年的持续快速发展,互联网已经深深融入人们的日常工作和生活当中。据国际电信联盟统计:截至2010年底全球网民数已超过20亿,也就是全球每3个人里面就有1个网民。在中国,互联网与现实的融合趋势则更加明显,截至2011年底,中国网民已超过5.1亿数,普及率超过38%[1],已超过全球平均水平。互联网已经在政府事务、商务交易、人民工作和生活中扮演着重要的角色。据中国电子商务研究中心统计数据显示:2011年中国电子商务交易额已达到7万亿,同比增长46.3%。另一方面,随着微博等社交媒体类业务的快速发展,互联网已成为民意表达的重要窗口,大量的政府机构、政府官员纷纷入驻微博,政务微博成为政府发布信息、了解民意、汇集民智和官民沟通互动的重要平台。报告显示:截至2011年11月,仅新浪政务微博总数已达18 694个,其中政府机构微博数10 023个,公务人员微博数8 671个。

与此同时,随着互联网的发展,互联网的虚拟性也给其发展带来了种种问题,如网络欺诈、网络谣言等。事实上,互联网的开放与自由,并不意味着互联网一个责任缺失的地带。恰恰相反,互联网也从来不是纯粹的虚拟空间,它与现实社会始终是联系在一起的,而且越来越紧密。从这个意义上讲,互联网上的行为与现实社会的行为一样,必将受到社会法律和道德的约束。

1 可信网络空间的关键

从可信互联网的角度看,诚信网络的构筑需要保障互联网业务的各参与方及信息交换流程的可信。互联网业务的各参与方及信息交换流程包括互联网业务服务提供商、互联网业务使用者以及可靠的信息传输和交换过程。从目前互联网的发展看,现有的技术基本能保障信息传输和交换方面的安全性和可靠性,而政府对互联网业务服务提供商的前置审批也基本能保证其可信性。但在业务使用者也就是普通互联网用户方面,由于用户数量众多、行为各异且参与程度差异性大,因此问题较为集中。

从目前来看,对互联网用户身份和行为可靠认证的有效途径是实施包括对用户实体和用户行为的有效认证,即网络认证。网络认证包括:

(1) 实体可信认证

·现实身份与网络虚拟身份的对应性

·虚拟身份可信标识

(2) 行为有效认证

·网络行为的完整性

·网络行为的不可篡改性

·网络行为的不可否认性

互联网发达国家逐渐意识到可信网络的重要性,逐步提升其在国家发展战略中的地位,并着手尝试构建网络空间可信身份系统。如韩国推行的网络后台实名制,欧洲各国推动的电子身份证计划,而最为成熟、最为全面的网络可信身份战略当属美国政府于2011年4月15日发布的《网络空间可信身份标识战略》(NSTIC),美国NSTIC拟打造一套网络空间可信身份生态系统,以促进信任、隐私、选择和创新的方式,推动个人和组织使用安全、高效、易用和互操作的身份标识解决方案访问互联网服务[2]。作为美国首个网络空间身份管理战略,NSTIC战略意图十分明显:积极应对网络安全威胁,增强网络防御并建立网络威慑;保持美国在网络空间的技术优势,增强对网络空间的掌控能力,继续主导未来互联网的发展;为获取用户信息提供合法渠道,实现对网络空间身份、行为的更好掌控。

2 中国网络认证现状

中国作为互联网大国,互联网用户数已超过5亿,各类互联网业务得到长足发展,互联网对社会生活的影响力也在逐日加大,对实现互联网用户的可信性要求也与日俱增。目前,政府和部分互联网企业都在积极探索网络认证的方式和途径。一方面,以政府主管部门为主导的互联网业务网络认证正在积极探索,包括网游实名制、网店实名制等;另一方面,互联网企业也在积极探索网络可信身份认证的途径,如社交网络网站利用用户好友关系增强用户的可信性,微博客网站通过用户加V认证、身份勋章等标注用户的可信身份。

从网络认证市场发展看,中国互联网业务的网络认证尚处于初期阶段。一方面,网络认证是个系统工程,需要政府、互联网企业、认证服务提供企业和用户的协同配合,管理层面包括地方政府、公安、司法、教育、金融和互联网各业务主管部门的协同和合作,市场层面包括各类互联网业务服务提供商、银行、互联网接入服务提供商的协同配合。但目前,中国网络认证市场仍处于各自为战的阶段。另一方面,中国现有网络认证内容较为单一,如网络实名制、微博实名制等,仅实现对用户身份证信息的认证,而忽略了用户其他身份信息。此外,为增强用户对网络认证的认可度,第三方认证逐渐得到企业的认可,并将其引入到网络认证当中。但第三方认证市场发展尚处于起步阶段,截至2012年1月底,中国5亿网民的有效电子证书仅仅有2 500多万张[3]。

从认证效果看,现有的认证方式和途径尚不能完全达到身份可信和行为可信的效果。从解决网络可信身份的目的出发,网络认证不仅包含对用户身份证信息的确认,还包括对用户综合身份信息的确认,这在微博等媒体类互联网业务中表现的尤为突出,诸如郭美美事件引发的社会争论以及对相关单位造成的不良后果。

目前,中国的网络认证尚面临着种种问题,主要包括:

·网络认证有效性差。这主要体现在认证实施上,如网游实名制等在内的众多认证要求缺乏严谨的后台比对流程;现有的微博认证也仅限于身份证信息的比对,忽视了用户其他综合身份信息的认证,无法达到网络认证的目的。

·用户隐私保护环境不完善。据调查显示,88.57%的用户担忧网络认证可能会造成个人隐私泄露。造成这一担忧的原因是目前中国法律在隐私保护方面的缺失。此外,用户还担忧网络认证将影响其网络言论自由。

·用户对认证实施方的质疑。互联网用户对目前网络认证主体持质疑态度,质疑认证主体的认证信息安防措施和企业公信力等。此外,用户和互联网企业对第三方认证的认可度低,一方面是担忧其泄露用户隐私,另一方面是出现隐私泄露事故后,难以界定责任方。

·认证兼容性问题突出。目前,各业务政府主管部门或各企业各自为战,对用户进行认证,并发放认证凭证。但存在一个问题:用户需在不同业务甚至同一业务不同企业之间进行认证。这样则会造成社会成本的浪费。

3 网络认证体系的建立和

完善

近来,以微博为代表的媒体类互联网业务和以网购为代表的商务/金融类互联网业务在日常生活中的渗透率高、发展较为抢眼。媒体类业务传播链条多维且由用户主导、自媒体特性明显、社会动员功能强大、信息发布快、传播和放大效应明显;商务/金融类互联网业务交易双方不可见、交易信息数据化、交易商品实物不可见、与参与者财产利益关系紧密。从对社会生活的影响力和风险程度高低看,这两类互联网业务是认证需求最为突出的,且用户认证意愿较高,可考虑从这两类业务入手,结合各地方政府加强微博管理,试点开展网络认证,并从国家层面统筹考量,完善隐私保护及相关法律法规,建立认证市场的准入/退出机制,同时加强网络认证相关技术标准的研发,逐步构建和完善网络认证体系,打造诚信网络空间。

(1) 研究出台中国网络空间可信身份国家政策。随着中国经济社会活动对网络依赖性增强,各行业对网络空间可信身份都提出了需求,如网上购物、网上银行、网上社保等,身份管理成为确保网络空间繁荣和健康发展的关键。未来身份管理将更加重要,美国、欧盟等都在加强身份管理技术研发和部署,已经形成较强的技术优势;对中国而言,网络身份管理也是社会发展过程中有待解决的课题,关系到中国在未来网络中的话语权。为此,必须将可信身份上升到国家战略高度,出台相关政策措施,整合各类资源,明确分工,建立政府主导、市场主体的推动机制,促进网络空间身份管理的发展。

(2) 建立并完善网络隐私保护相关法律法规。相关部门应加快《电信法》出台,制订促进信息化如电子商务、电子政务等相关法律法规,为网络空间基础设施建设、业务创新和应用推广创新营造良好的法律环境。同时还需要加快推进网络与信息安全、个人信息保护、信息监控、未成年人在线行为保护等相关立法,建立明确透明的网络安全保障、信息安全监控、用户信息保护、跨境数据流动、青少年网上保护等法律环境,明确安全要求、企业责任和管理边界,并建立依法管理网络空间和引导国际治理的制度环境,从而能够推进互联网竞争秩序、知识产权保护等相关立法,建立规范有序、安全可信的网络空间环境。此外,相关部门还可以以近期密码泄漏事件为契机加强宣传力度,鼓励和吸引用户积极参与网络可信身份认证。

(3) 建立网络认证市场的准入/推出制度,提升认证主体资质。政府可结合中国电子认证“十二五”规划,出台扶持政策,大力发展第三方认证市场,通过建立第三方认证准入许可,提高认证主题的资质和公信力。据预测,“十二五” 期间,网络应用在国民经济和社会各领域将进一步普及深化,到2015年,电子商务年交易额将突破18万亿元[4],电子认证服务市场潜力巨大。

(4) 加强标准化研究,增强认证的互通互认性。通过政府引导,企业主导,加大密码学、生物识别、智能卡等认证技术的研发力度,建立中国拥自主知识产权的行业及国家认证技术和标准,并建立认证标准之间的接口协议,增强第三方认证互通互认性,降低社会成本。

4 结束语

诚信网络是互联网发展的趋势和方向,也是保障互联网在经济社会发展中充分发挥其优势的基础。诚信网络的构筑,不仅需要参与者的自愿和自觉,更需要政府的管理和统筹。政府可从技术、标准、舆论导向等多方面引导和建立网络认证体系,加强隐私保护,完善网络身份管理,增强用户认证参与意愿,打造可信网络空间,充分发挥互联网在经济社会发展中的优势作用。

5 参考文献

[1] 第29次中国互联网络发展状况统计报告[R]. 北京:中国互联网络信息中心(CNNIC),2012.

[2] The National Strategy for Trusted Identities in Cyberspace(NSTIC)[R]. Washington, DC,USA: US Department of Commerce,2011.

[3] 前8月电子信息产业经济运行情况[J].国内信息化信息,2010(5):10-11.

[4] 电子认证服务业“十二五”发展规划[R].北京:工业和信息化部,2011.

收稿日期:2012-02-14

作者简介

刘飞,北京邮电大学硕士毕业;工业和信息化部电信研究院通信信息研究所工程师;长期从事互联网业务、市场和政策等的研究。