內(nèi)部資料賽迪專報(bào)2011年第18期（總第40期）2011年6月22日工業(yè)和信息化部賽迪研究院美國(guó)網(wǎng)絡(luò)空間可信身份戰(zhàn)略的謀劃及啟示2011年4月15日，美國(guó)發(fā)布了《網(wǎng)絡(luò)空間可信身份國(guó)家戰(zhàn)略》（NSTIC

內(nèi)部資料

賽迪專報(bào)

2011年第18期（總第40期）

2011年6月22日

工業(yè)和信息化部賽迪研究院

美國(guó)網(wǎng)絡(luò)空間可信身份戰(zhàn)略的謀劃及啟示

2011年4月15日，美國(guó)發(fā)布了《網(wǎng)絡(luò)空間可信身份國(guó)家戰(zhàn)略》（NSTIC），計(jì)劃用10年左右的時(shí)間，構(gòu)建一個(gè)網(wǎng)絡(luò)身份生態(tài)體系，推動(dòng)個(gè)人和組織在網(wǎng)絡(luò)上使用安全、高效、易用的身份解決方案。為此，美國(guó)成立了專門的主管辦公室（NPO），負(fù)責(zé)協(xié)調(diào)政府和私人部門的活動(dòng)，并牽頭制定實(shí)施路線圖。身份管理關(guān)系到網(wǎng)絡(luò)空間的安全和發(fā)?

?‐?1?‐?

展，美國(guó)此舉旨在謀求對(duì)網(wǎng)絡(luò)空間的主導(dǎo)權(quán)和控制權(quán)，并希望通過繁榮網(wǎng)絡(luò)經(jīng)濟(jì)再次引領(lǐng)世界經(jīng)濟(jì)新潮流，占領(lǐng)未來全球經(jīng)濟(jì)制高點(diǎn)。

一、NSTIC的出臺(tái)背景

NSTIC是對(duì)2009年發(fā)布的《網(wǎng)絡(luò)空間安全評(píng)估》（以下簡(jiǎn)稱《安全評(píng)估》）的響應(yīng)。2009年5月，奧巴馬政府發(fā)布了《安全評(píng)估》，突出強(qiáng)調(diào)了網(wǎng)絡(luò)空間的戰(zhàn)略地位，指出美國(guó)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，并設(shè)定了網(wǎng)絡(luò)安全近中期行動(dòng)計(jì)劃，其中明確要建立基于網(wǎng)絡(luò)安全的身份管理戰(zhàn)略，保障隱私與公民自由。NSTIC正是落實(shí)近中期行動(dòng)計(jì)劃的一項(xiàng)戰(zhàn)略措施，其出臺(tái)具體背景是：

美國(guó)網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，網(wǎng)絡(luò)身份管理重要性日益凸顯。美國(guó)是高度依賴信息網(wǎng)絡(luò)的國(guó)家，整個(gè)社會(huì)運(yùn)轉(zhuǎn)已經(jīng)與網(wǎng)絡(luò)密不可分。隨著網(wǎng)絡(luò)成為國(guó)家依賴生存的神經(jīng)單元，美國(guó)網(wǎng)絡(luò)空間安全形勢(shì)日益嚴(yán)峻。據(jù)2009年美國(guó)國(guó)土安全部的報(bào)告稱，2005年共有4095起針對(duì)美國(guó)政府和私營(yíng)部門的網(wǎng)絡(luò)攻擊，但2008年這一數(shù)字已增長(zhǎng)至7.2萬(wàn)起。這些攻擊使關(guān)鍵基礎(chǔ)設(shè)施和敏感信息保護(hù)面臨威脅，給美?

?‐?2?‐?

國(guó)造成巨大損失。美國(guó)政府日益認(rèn)識(shí)到，一個(gè)可以確認(rèn)網(wǎng)絡(luò)主體身份的網(wǎng)絡(luò)空間已是越來越重要，但目前，美國(guó)網(wǎng)絡(luò)欺詐、身份盜用等相關(guān)問題非常突出。據(jù)統(tǒng)計(jì)，2010年美國(guó)有810萬(wàn)人遭受身份盜用或網(wǎng)絡(luò)欺詐，造成370億美元的損失；另?yè)?jù)Trusteer報(bào)告，美國(guó)金融機(jī)構(gòu)每周會(huì)遭受16次網(wǎng)絡(luò)釣魚攻擊，每年造成240-940萬(wàn)美元損失。

HSPD-12實(shí)施效果明顯，有必要將網(wǎng)絡(luò)身份管理從聯(lián)邦政府推廣至整個(gè)網(wǎng)絡(luò)空間。2004 年8 月，美國(guó)出臺(tái)了國(guó)土安全總統(tǒng)令第12 號(hào)（HSPD-12），為政府部門管理聯(lián)邦雇員與合同制雇員提供了一套新型身份管理標(biāo)準(zhǔn)策略；該總統(tǒng)令有79個(gè)政府部門參與執(zhí)行。2009年，美國(guó)政府還出臺(tái)了聯(lián)邦身份、憑證與接入管理路線圖與實(shí)施指南等相關(guān)政策和措施。該政策實(shí)施效果明顯，在保障網(wǎng)絡(luò)安全方面發(fā)揮了很大作用。以國(guó)防部為例，實(shí)施強(qiáng)身份認(rèn)證后網(wǎng)絡(luò)攻擊數(shù)量降低了46以上。在聯(lián)邦政府之外，很多商業(yè)企業(yè)也在網(wǎng)絡(luò)身份管理方面做了不少努力，如OpenID 身份管理平臺(tái)、微軟的Windows CardSpace 等，F(xiàn)acebook也正在展開“1帳號(hào)N 用途”服務(wù)，任何擁有Facebook 賬?

?‐?3?‐?

號(hào)的人都可以通過Facebook 賬戶登錄其他網(wǎng)站。隨著美國(guó)經(jīng)濟(jì)運(yùn)作、商業(yè)活動(dòng)越來越依賴龐大而復(fù)雜的網(wǎng)絡(luò)，美國(guó)政府認(rèn)識(shí)到有必要將身份管理推廣到包括私人部門在內(nèi)的整個(gè)網(wǎng)絡(luò)空間。

歐盟、韓國(guó)等國(guó)家和地區(qū)加快在信息網(wǎng)絡(luò)中引入和部署身份管理。在戰(zhàn)略層面、技術(shù)層面，歐盟為網(wǎng)絡(luò)身份管理的大范圍部署與推廣作了充足的準(zhǔn)備。從2002開始的FP6計(jì)劃，相繼開展了FIDIS，Traser，Stork等與身份管理相關(guān)的研究，包括在電子政務(wù)、信息網(wǎng)絡(luò)與未來網(wǎng)絡(luò)中如何引入并部署身份管理，包括關(guān)鍵技術(shù)、架構(gòu)、平臺(tái)、應(yīng)用場(chǎng)景等。歐盟的eIDM 一攬子研究計(jì)劃在2010年實(shí)現(xiàn)了整個(gè)歐盟范圍內(nèi)電子身份（eID）的啟用，歐盟成員國(guó)公民持有電子身份即可在歐盟內(nèi)任一國(guó)家享受相應(yīng)的求職、醫(yī)療、保險(xiǎn)等一系列社會(huì)服務(wù)。韓國(guó)推行“I-PIN”認(rèn)證多年，授權(quán)幾家“身份服務(wù)提供商”建立身份驗(yàn)證平臺(tái)，給網(wǎng)絡(luò)用戶發(fā)I-PIN，并以此注冊(cè)所有實(shí)名業(yè)務(wù)。

二、NSTIC的主要內(nèi)容

NSTIC 旨在通過政府推動(dòng)和產(chǎn)業(yè)界努力，建立一個(gè)以用戶為中心的身份生態(tài)體系。在該體系環(huán)境下，個(gè)人和組?

?‐?4?‐?

織遵循協(xié)商一致的標(biāo)準(zhǔn)和流程來鑒別和認(rèn)證數(shù)字身份，從而實(shí)現(xiàn)相互信任。NSTIC 共八章，核心內(nèi)容包括指導(dǎo)原則、前景構(gòu)想、身份生態(tài)體系構(gòu)成、任務(wù)目標(biāo)和行動(dòng)實(shí)施。

NSTIC 明確身份生態(tài)體系必須遵循四個(gè)原則。一是身份解決方案應(yīng)當(dāng)增強(qiáng)隱私保護(hù)并且由公眾自愿應(yīng)用；二是身份解決方案應(yīng)當(dāng)是安全、可擴(kuò)展的；三是身份解決方案應(yīng)當(dāng)是互操作的；四是身份解決方案應(yīng)當(dāng)是高效且易于應(yīng)用的。這四個(gè)指導(dǎo)原則是任務(wù)目標(biāo)和行動(dòng)實(shí)施的基礎(chǔ)。

NSTIC 前景構(gòu)想反映了一種以用戶為中心的身份生態(tài)體系。NSTIC 提出的構(gòu)想是：個(gè)人和組織可利用安全、高效、易用和具備互操作的身份解決方案，在一種信心提高、隱私保護(hù)意識(shí)增強(qiáng)、選擇增多和創(chuàng)新活躍的環(huán)境下獲得在線服務(wù)。該構(gòu)想反映了一種以用戶為中心的身份生態(tài)體系，適用于個(gè)人、企業(yè)、非盈利組織、宣傳團(tuán)體、協(xié)會(huì)和各級(jí)政府。

NSTIC 提出身份生態(tài)體系由參與者、策略、流程和相關(guān)技術(shù)構(gòu)成。參與者主要包括個(gè)人、非個(gè)人實(shí)體、身份提供者、屬性提供者、依賴方等。個(gè)人或非個(gè)人實(shí)體（如組?

?‐?5?‐?

織、軟件、硬件和服務(wù)等）是在線交易或使用在線業(yè)務(wù)的主體，他們從身份提供者處獲得身份證書，從屬性提供者處獲得相關(guān)屬性聲明，并將身份證書和屬性聲明直接展示給依賴方，以從事在線交易或使用在線業(yè)務(wù)。身份生態(tài)體系的策略基礎(chǔ)是身份生態(tài)體系框架，該框架為體系的所有參與者提供一套基礎(chǔ)標(biāo)準(zhǔn)和政策，這些基礎(chǔ)標(biāo)準(zhǔn)和政策提供了最低的安全保障，同時(shí)也說明更高級(jí)別安全保障的詳細(xì)細(xì)節(jié)，以確保參與者能獲得足夠的保護(hù)。

為確保身份生態(tài)體系的建立，NSTIC明確了四項(xiàng)任務(wù)和目標(biāo)。一是制定身份生態(tài)體系框架，細(xì)分任務(wù)包括建立隱私增強(qiáng)保護(hù)機(jī)制、建立基于風(fēng)險(xiǎn)模型的身份鑒別和認(rèn)證標(biāo)準(zhǔn)、界定參與者的責(zé)任并建立問責(zé)機(jī)制、建立指導(dǎo)小組對(duì)制定標(biāo)準(zhǔn)和認(rèn)證流程進(jìn)行管理；二是建立和實(shí)施身份生態(tài)體系，細(xì)分任務(wù)包括發(fā)揮私人部門、聯(lián)邦政府、以及國(guó)家、地方、司法、國(guó)土等政府部門的作用，建立和實(shí)施身份生態(tài)體系互操作基礎(chǔ)設(shè)施；三是增強(qiáng)用戶參與身份生態(tài)體系的信心和意愿；四是確保身份生態(tài)體系的長(zhǎng)期成功和可持續(xù)性。

?

?‐?6?‐?

NSTIC 明確了身份生態(tài)體系實(shí)施各方職責(zé)和進(jìn)度計(jì)劃。實(shí)施身份生態(tài)體系需要政府部門和私人部門的共同努力，NSTIC明確了私人企業(yè)負(fù)責(zé)具體建立和實(shí)施身份生態(tài)體系，聯(lián)邦政府負(fù)責(zé)指引和保障，NPO負(fù)責(zé)制定實(shí)施路線圖等。同時(shí)，NSTIC還明確了在3-5年內(nèi)身份生態(tài)體系的技術(shù)、標(biāo)準(zhǔn)初步具備實(shí)施條件；10年內(nèi)身份生態(tài)體系基本建成。

三、NSTIC的戰(zhàn)略意圖

NSTIC是在美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略發(fā)生重大轉(zhuǎn)變背景下提出的，是美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略的重要構(gòu)成。作為美國(guó)首個(gè)網(wǎng)絡(luò)空間身份管理戰(zhàn)略，其戰(zhàn)略意圖十分明顯。

第一，積極應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，加強(qiáng)網(wǎng)絡(luò)防御并建立網(wǎng)絡(luò)威懾。奧巴馬總統(tǒng)上臺(tái)后，開始全面謀求制網(wǎng)權(quán)，在加強(qiáng)網(wǎng)絡(luò)防御的同時(shí)，實(shí)施網(wǎng)絡(luò)威懾，旨在遏制日益增長(zhǎng)的網(wǎng)絡(luò)攻擊，保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全。網(wǎng)絡(luò)安全與身份管理的關(guān)系不言而喻，身份管理對(duì)網(wǎng)絡(luò)防御極其關(guān)鍵。要想積極防御必須先了解網(wǎng)絡(luò)上有哪些主體；而網(wǎng)絡(luò)威懾重在影響對(duì)手，必須識(shí)別和確知最有能力的網(wǎng)絡(luò)行動(dòng)者，?

?‐?7?‐?

這需要通過身份管理進(jìn)行歸因判斷。NSTIC的出臺(tái)，極大推進(jìn)了對(duì)個(gè)人、組織以及相關(guān)基礎(chǔ)設(shè)施的識(shí)別能力，通過身份管理建立了網(wǎng)絡(luò)空間的信任，從而加強(qiáng)網(wǎng)絡(luò)防御并建立網(wǎng)絡(luò)威懾。

第二，保持美國(guó)在網(wǎng)絡(luò)空間的技術(shù)優(yōu)勢(shì)，增強(qiáng)對(duì)網(wǎng)絡(luò)空間的掌控。美國(guó)在網(wǎng)絡(luò)空間有著巨大優(yōu)勢(shì)，從芯片到操作系統(tǒng)，從根服務(wù)器到域名管理，美國(guó)對(duì)網(wǎng)絡(luò)空間的掌控已經(jīng)遠(yuǎn)遠(yuǎn)超出其他任何國(guó)家，形成了壟斷性優(yōu)勢(shì)。身份管理技術(shù)在網(wǎng)絡(luò)上有著廣泛需求，美國(guó)很早就開始身份管理技術(shù)研發(fā)和部署，國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)（ANSI）、國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）成立了標(biāo)準(zhǔn)組并發(fā)布了相關(guān)標(biāo)準(zhǔn)，2004年美國(guó)開始在聯(lián)邦政府部署身份管理。在對(duì)內(nèi)加強(qiáng)研發(fā)部署的同時(shí)，對(duì)外利用自身技術(shù)優(yōu)勢(shì)，美國(guó)牢牢把握住了在各標(biāo)準(zhǔn)化組織中的話語(yǔ)權(quán)，如在ITU-T中美國(guó)是研究工作的主導(dǎo)力量。此次美國(guó)公布NSTIC，是希望通過在整個(gè)網(wǎng)絡(luò)空間部署身份管理技術(shù)，進(jìn)一步加強(qiáng)美國(guó)在網(wǎng)絡(luò)空間的巨大影響力，確保對(duì)網(wǎng)絡(luò)空間的掌控。

第三，為獲取用戶信息提供合法渠道，實(shí)現(xiàn)美國(guó)對(duì)網(wǎng)上身份、行為的更好管控。為了國(guó)家安全，美國(guó)一直都在?

?‐?8?‐?

監(jiān)控和管制網(wǎng)絡(luò)信息。NSTIC出臺(tái)，擬將身份管理作為一種基礎(chǔ)服務(wù)推向社會(huì)方方面面，給美國(guó)監(jiān)控和管制網(wǎng)絡(luò)信息提供新的途徑。目前Yahoo，PayPal，Google，Equifax，AOL，VeriSign等科技廠商都宣布支持NSTIC 實(shí)施，一些廠商在政府推動(dòng)下還共同成立了開放身份交換組織，提供建立公共身份管理系統(tǒng)與私有身份管理系統(tǒng)身份憑證交換的信任機(jī)制。公民或網(wǎng)絡(luò)用戶信息掌握在作為身份提供者的大型科技公司手中，不排除公眾信息包括隱私信息在必要情況下受到監(jiān)控或提供給美國(guó)國(guó)家機(jī)構(gòu)的可能性。例如，在維基解密事件中，美國(guó)司法部曾要求“推特”提供若干支持維基揭秘網(wǎng)站用戶的諸多信息。NSTIC無(wú)疑會(huì)進(jìn)一步加強(qiáng)美國(guó)對(duì)網(wǎng)上身份、行為的掌控。

第四，繁榮網(wǎng)絡(luò)經(jīng)濟(jì)，鞏固美國(guó)全球經(jīng)濟(jì)霸權(quán)地位。奧巴馬政府上臺(tái)后，將網(wǎng)絡(luò)創(chuàng)新視為重振經(jīng)濟(jì)的引擎，在政府的推動(dòng)下，美國(guó)網(wǎng)絡(luò)技術(shù)發(fā)展進(jìn)入新一輪高潮，云計(jì)算、智慧地球、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等均引領(lǐng)世界潮流。隨著美國(guó)經(jīng)濟(jì)越來越依賴網(wǎng)絡(luò)，網(wǎng)絡(luò)環(huán)境面臨的信任威脅越來越突出，各項(xiàng)在線業(yè)務(wù)發(fā)展受到阻礙，可信網(wǎng)絡(luò)環(huán)境更顯得非常重要。NSTIC的推出，旨在通過在網(wǎng)絡(luò)空間部?

?‐?9?‐?

署身份管理，推進(jìn)在線業(yè)務(wù)安全、便利、高效地開展，增進(jìn)網(wǎng)絡(luò)信任，促進(jìn)更多業(yè)務(wù)在網(wǎng)上開展和服務(wù)創(chuàng)新，從而繁榮網(wǎng)絡(luò)經(jīng)濟(jì)，占領(lǐng)未來全球經(jīng)濟(jì)的制高點(diǎn)，進(jìn)一步維護(hù)美國(guó)全球經(jīng)濟(jì)霸權(quán)地位。

四、對(duì)我國(guó)的幾點(diǎn)啟示

身份管理關(guān)系到未來網(wǎng)絡(luò)基礎(chǔ)設(shè)施，同時(shí)涉及到技術(shù)、社會(huì)、法律、國(guó)家政策等多方面因素。歐美等發(fā)達(dá)國(guó)家對(duì)網(wǎng)絡(luò)空間身份管理高度重視，各國(guó)都希望充分發(fā)揮自己在此領(lǐng)域的主導(dǎo)作用。美國(guó)NSTIC 的出臺(tái)，對(duì)我國(guó)網(wǎng)絡(luò)安全工作具有諸多啟示。

第一，盡快制定我國(guó)網(wǎng)絡(luò)空間可信身份國(guó)家政策。隨著我國(guó)經(jīng)濟(jì)社會(huì)活動(dòng)對(duì)網(wǎng)絡(luò)依賴性增強(qiáng)，各行業(yè)對(duì)網(wǎng)絡(luò)空間可信身份都提出了需求，如網(wǎng)上購(gòu)物、網(wǎng)上銀行、網(wǎng)上社保等，身份管理成為確保網(wǎng)絡(luò)空間繁榮和健康發(fā)展的關(guān)鍵。未來身份管理將更加重要，美國(guó)、歐盟等都在加強(qiáng)身份管理技術(shù)研發(fā)和部署，已經(jīng)形成較強(qiáng)的技術(shù)優(yōu)勢(shì)。對(duì)我國(guó)而言，如果不及時(shí)加以部署和研發(fā)，將很可能喪失在未來網(wǎng)絡(luò)中的話語(yǔ)權(quán)。為此，必須將可信身份上升到國(guó)家戰(zhàn)?

?‐?10?‐?