我是誰?我如何證明我是誰?如何證明我說的是真的?
大家好,我叫張叄瘋,我來自西伯利亞貝加爾湖畔的一個農莊,我經營了一家企業,專門打撈貝加爾湖的大魚,主要銷往歐洲。我今年26歲,我的父母是中國人,我的故鄉在內蒙古呼倫貝爾。
當我面對你說這些話時,我是在表明我的身份,如果你是路人聽聽就好了,一笑而過。但如果你是一個要跟我交朋友的人,甚至你正在跟我談一筆大生意,我說的是否是真的,你要如何判斷呢,這對你接下來如何對待我至關重要。
可能你會要求我出示我的身份證、農莊土地證、企業營業證和生意來往賬目,以此來證明我說的是否是真的。但就算我出事了這些證件,你就一定會認為我說的是真實的麼?
對,這些證件很有可能造假。接下來你可能會通過跟我認識的人來了解我說的是否屬實,或者去找對應的商貿公司核實交易,找土地局核實土地所屬權,找公安局核實我的身份信息。
如果上述場景是在國內,你可以去這些機構核實信息。但我說了,我是來自於貝加爾湖呀,那並不在國內,要去國外核實信息可能會更困難。
這是一個真實存在的問題,我們如何證明我們的身份,如何保證身份信息的真實性?
如何證明我們的身份?
從古至今,從物理世界到虛擬世界,我們的身份證明方式發生了天翻覆地的變化。
對於我們實體身份的證明,在古代人們一般是以腰牌、虎符、官印、朝珠、手信等信物和服飾來識別一個人的身份,除此以外便是通過互相證明的社會關係來識別一個人的身份。這種身份證明的機制沿用至今依然沒有太多變化。
在現在社會我們通過身份證、戶口本、護照、駕照、社保卡等信物來證明身份,同時也可以通過我們的社交關係證明我們的身份。
在數字世界裡,我們如何證明一個人的身份,依然是一件比較困難的事,目前成熟手段主要以個人徵信、社交賬號、郵箱賬號、手機號、人臉、指紋等信息證明我們的身份。
2015年,我們敬愛的克強總理在一次會議中就提到說:“我看到有家媒體報道,一個公民要出國旅遊,需要填寫‘緊急聯繫人’,他寫了他母親的名字,結果有關部門要求他提供材料,證明‘你媽是你媽’!” 。從這個問題我們可以看出來,在互聯網高度發達的今天,個人身份如何被證明的問題,仍然沒有得到一個很好的、有效的解決。
以上各種身份證明方式回答了我們之前的問題,我們是如何證明我們身份的。可以看出,我們證明身份的手段越來越豐富和便捷,但不同方法大多是用於特定領域,不同業務場景之間並不貫通,存在區隔阻礙。並且,大量身份信息的採集也帶了了很多的安全隱患。
身份信息亂用的風險
對於我們每一個人來說,我們都有很多不同的身份,公民身份、家庭身份、社會身份、企業身份。
在虛擬世界中,這些身份對應的是我們的身份證信息、個人互聯網應用賬號、企業的應用賬號等。
這裡最常見的問題是,多數人都使用同一個郵箱或手機賬號、相同的密碼來註冊和登錄多個平臺。雖然看上去省去了設置不同賬號和密碼的麻煩,但這樣的使用習慣卻會使自己成為信息洩露的高風險群體。尤其作為企業員工,使用公司常用的賬號/郵箱/密碼去註冊社會應用時,為企業帶來了更高的信息洩露風險,這種行為只靠管理也是沒有辦法防範住的。
大家是否有這樣的困擾,就是在網上註冊過一類網站後,就會經常收到類似業務的促銷電話。
比如我之前想給兒子報在線英語,就在51talk這類網站諮詢了一下,留了電話。
結果這之後,我經常會收到各種教育類的推銷電話。他們是怎麼拿到我的信息的呢?
同花順的賬號洩露也是這個問題,每天都會有股票推銷的騷擾電話。
我們的個人信息在黑市流通,造成了很多社會問題,之前的山東女孩學費被騙不幸離世,就是這類數據洩露事件的直接受害者。
企業身份安全也面臨極大挑戰
根據Gartner發佈的《2016年企業安全趨勢報告》,身份認證問題是2016年企業所面臨的5個核心領域安全問題其中之一。但是現實中的身份認證形勢卻不容樂觀,根據《Verizon 2016數據洩露報告》統計,有超過一半的企業網絡安全事故和身份認證憑據盜用有關。
這裡所提到的身份認證憑據被“盜用”,包括了由外部非法攻擊、撞庫等非法行為獲取的信息,以及內部人員的違法、違規的身份借用、冒用、盜用、租用等行為所洩露的信息。IBM在它的數據洩露報告中指出,有 55% 的攻擊來自於內鬼或人為疏忽。換句話說,攻擊很可能就是由你所信賴的人煽動的。這些內部信賴的人可能帶來嚴重的威脅,造成實質的財務與商譽損失。
這實際上就是鑰匙的安全和門更堅固的安全,哪個投入更大?血淋淋的事實比比皆是:心懷鬼胎的網絡管理員在服務器上開後門 (或是故意漏洞),離職後得以繞過安全性機制繼續進行未授權的存取,上千筆客戶記錄外洩,造成數十萬美金損失。
為了解決以上所述問題,我國於2017年6月1日正式實施了《網絡安全法》。
這是我國網絡領域的基礎性法律,其中明確規定加強對個人信息保護,打擊網絡詐騙,以及實施網絡“可信身份”戰略。實名制的推行可以在法律威懾層面減少一些不合法合規的問題產生。
從目前的發展形式看,個人信息隱私保護問題仍然嚴峻,數據洩露、個人信息非法買賣,企業間數據不正當競爭諸多問題亟待解決。隨著社會的信息化發展,個人信息隱私保護任重道遠。
數字身份發展歷程
從技術發展角度,我們把數字身份發展分為3個階段。
1.0階段是在互聯網時期,主要特徵是PC電腦的大量應用,帶來信息化能力的提升,身份認證的主要手段是賬號+密碼。
這一階段我們在網絡上使用大部分應用時,可以通過QQ號、郵箱、微博號等識別一個人的身份。
但我們在物理世界中證明身份,大部分時間依然要靠開具證明的方式。
我們買房要開收入證明,辦護照要開戶籍證明,辦理貸款要資產證明,身份證的核查要靠肉眼識別。
2.0階段是在移動互聯網時期,主要特徵是智能手機的大量普及,身份認證的主要手段是手機動態碼,賬號+密碼依然是雙選項之一。
這一階段我們在網絡上使用大部分應用時,可以通過手機號、微信號、支付寶等識別一個人的身份。
在物理世界中越來越多的場景支持身份的實人核驗,做高鐵可以刷身份證,辦理貸款可以直接使用芝麻信用,坐地鐵可以使用微信支付,銀行轉賬也只需要手機網銀。
3.0階段是在人工智能大量普及後,主要特徵是智能設備的大量普及,帶來了萬物互聯的繁榮景象,身份認證的主要手段增加了人臉、指紋等生物特徵。
在這一階段我們更多的是體現身份的原本特徵,不再依賴外部設備來對身份進行核驗,進出大樓、購物消費、乘坐地鐵、機場通行只需要一張臉即可。
從數字身份發展的歷程我們可以看出,在最開始的階段,我們為了信息真實性的考慮,為了確保安全,很多物理世界的身份證明還是使用的最原始手段(蓋章+權力機構威懾)。
互聯網數字身份發展歷程
微信作為一個社交應用,幾乎每一個上網的人都有微信號,當下它幾乎可以作為通行網絡的一個電子身份憑證。
在互聯網階段,咱們大多都用郵箱號作為各類網站應用的賬號註冊,移動互聯網後,為了輸入方便大多應用都採用了手機號作為APP賬號。
而目前,越來越多的APP支持採用微信進行登錄,這就讓微信變成了一個更通用的網絡身份認證手段。
微信綁定了銀行卡,有實名制信息,通過企業微信又關聯了企業身份。
實際上,是微信將我們的各類身份通過一個軟件平臺進行了聚合。它也把我們的徵信、行為等等身份特徵都進行了記錄。
對於這樣一個大的商業平臺來說,其實我們的很多信息對他都是透明的,實際這背後會存在很多安全風險。
就像facebook的數據售賣,即便不主動提供,如果洩露也是一樣的效果。
企業身份認證的發展歷程
企業數字身份發展也先後經歷了多個階段,從最初的目錄服務,到現在的聯合身份,企業從內到外逐漸實現了用戶身份的全覆蓋。
最初,企業大多隻管理了內部用戶的身份,通過統一分配賬號的手段,讓員工使用企業系統,此時基本是一個系統一個賬號。
通過統一目錄服務,企業將不同系統的身份進行了融合,並提供單點登錄服務,提升了用戶使用體驗,加強了身份的安全。通過統一的授權和審計,強化了企業身份全生命週期管理,合規性更強。
現階段,隨著移動互聯網的高速發展,企業將身份管理延伸至客戶端,為企業的獲客、營銷、運營提供多元化的身份服務能力。
總體來說,企業身份的發展主要服務於企業的發展經營,對外相當於一個封閉系統,很少有企業間的身份互聯。
在不同領域實際數字身份的發展還是存在著比較大的差異。總體方向上,數字身份面向用戶變得越來越安全便捷,面向企業身份所蘊含的信息越來越豐富。
數字身份的多層次問題
通過以上的歷程介紹和現狀分析,我們可以看到數字身份在不同領域發展已經取得了很多成果。
但是數字身份的發展也存在多層次的問題,在底層標準方面多方缺乏共識,頂層用戶體驗方面在各領域參差不齊(互聯網好於公共事業),中間層的信息協調存在商業壁壘。
在跨領域方面,比如現在很多政務的證件可以做到電子化,但是申領方式,使用方法上易用性都很差,用戶還是會有很多不方便的地方。
互聯網應用的體驗很好,但是缺少權利機構的信息共享,在可信度上有存在差距。
在這一方面,目前電子社保卡的新模式也值得我們思考和借鑑。它不僅僅是做到了線上的社保卡,更主要的是它生態的開放,其他應用可以申領和使用,這樣對用戶來說就更方便。
但即使這樣,身份解決方案也基本是聚焦某一特定類型的問題,如果想讓多方建立一套統一共識的身份體系,可能需要放棄一些更廣泛的商業用途,從而保證各方利益的平衡。
下面我們來介紹一下目前主流的數字身份技術方案,然後我們再來看一下如何促進更大範圍的身份融合的推進。
主要的身份技術
由於使用領域的不同,數字身份系統目前主流的技術包括這五種類型,分別是內部身份管理、外部身份認證、集中身份、聯合認證、分佈式身份。
內部身份管理,一方同時是身份提供者和依賴方。例如,公司可根據員工的不同屬性控制員工對不 同服務的使用權限。
企業內部使用的身份認證技術,主要是為了解決身份分散管理,用戶記憶過多賬號密碼,認證方式不夠安全可靠,權限分配不合規,無法審計等問題。
目前最新的技術方案是將企業內外部應用和全部歸口用戶進行覆蓋,通過各類平臺整合的方式,提供一套完整的解決方案。可以對各類用戶採取不同的管理策略,也可以同時在內外網使用。
外部身份認證,與內部身份相似,但另有一組身份提供者鑑定用戶身份。其優勢是用戶可憑藉一組憑證而不是設 置不同的用戶名和密碼來使用不同的服務。
09年成立的OKTA是比較有代表性的應用,由salesforce的2名前高管創立,是身份雲服務領域獨角獸企業。
向okta這一類的企業在歐美有很多,他們專注在身份雲服務領域,為用戶提供標準的身份認證服務。
基於雲的身份集成、id供應、應用集成、無密認證、等服務,為企業解決了身份難題,同時為企業降低身份投入,提升安全。
另外,在這一領域目前還有一大陣營就是認證聯盟,美國的認真聯盟FIDO目前規模是最大的,國內有阿里發起的IFAA和騰訊發起的SOTER、公安一所發起的OIDAA。
這些聯盟致力於簡化認證方式,曾強認證安全性,將人臉、指紋應用於互聯網及企業身份認證應用。
集中身份,這一類身份認證技術中心,身份提供方(如公安機構)一般都有剛性需求的身份信息提供,如身份證信息核驗。身份使用者通過付費、集成等方式,通過用於允許後,對身份進行聯網認證。
目前全國公民身份信息服務平臺CTID是最大的聯網核查服務,金融機構、機場、酒店都是通過這種方式對用戶身份進行實名核驗。
在網絡安全實名制要求後,互聯網應用也採用實名制註冊的方式,對用戶身份信息進行核查。
但這裡,由於早期只是通過2因素(姓名+身份證號)的核查方式,導致很多網絡應用用戶註冊的實名信息存在大量假冒、偽冒情況。
為了避免存在這種現象,目前採用了身份證OCR+人臉活體識別的方式對身份實名進行核驗,但成本較高,需要對客戶端進行技術升級。
公安三所推出的eID是另一種實名認證手段,這種方式的安全性更高,採用直接讀取安全芯片的方式進行身份ID識別。
目前支持將身份安全芯片跟銀行卡、電話卡進行融合,可直接通過這些卡進行身份識別。
另外在一些支持NFC讀取的手機上,也支持直接讀取二代身份證的身份芯片,對身份進行實名認證。
目前像航旅縱橫這類應用已經可以通過這種方式進行實名制認證。
由於eID需要硬件支持,普及起來較困難,目前還未看到大範圍應用。
聯合認證,一個身份提供者使用第三方為依賴方認證用戶。除各種私營經紀商向服務訂購方發出數字身份 外,這類系統與集中身份系統相似。
愛沙尼亞在2014年10月宣佈向全世界所有人開放“電子公民”身份證服務,這也是全世界首例電子公民項目,愛沙尼亞政府旨在將愛沙尼亞優質便捷的網絡工商政務服務帶給全世界人民,讓全世界互聯網創業者更加便捷,更加低成本地創業。
在推出“電子公民”項目後的四年半時間裡,愛沙尼亞已經花費了大約800萬歐元用於該計劃,但從稅收和費用中賺取了超過1800萬歐元。該國現在有55000名電子公民,他們在愛沙尼亞成立了超過6500家公司。
目前這個電子身份證可以在愛沙尼亞註冊公司,開設銀行賬戶,享受金融服務。
分佈式身份,將眾多身份提供者與眾多依賴方連接在一起。這類系統為用戶設立數字「錢包」以實現各大網站和應用的通用登陸。通常情況下這類系統為私營,且依賴公共的操作準則,而非管理機構。
澳門智慧城市的電子化證書是一個很好的分佈式身份應用案例,此方案在鏈上設計了四類角色:
第一類角色,用戶,這個就是最終用戶。
第二類角色,身份代理機構,例如內地的公安局、人社局等機構,可以對用戶進行身份證明,做用戶身份的KYC,併為用戶創建鏈上的唯一ID。
第三種角色是證書(電子憑證)發行方,比如學歷證書、駕照、各種考試機構等,用戶獲得的證書電子化後,在這裡上鍊並關聯到對應的用戶。用戶授權後各類電子證書可以上鍊存儲。
第四種角色就是用工單位等部門,在進行用戶背景調查等場景,入職之類的,可以查閱用戶證書真偽。
區塊鏈的方式,能有效的解決多方數據共享融合的問題,在用戶許可的整體框架下,進行身份信息的互聯互通。
最後,我們來看一下數字身份未來的發展方向,這也僅是我們機構對身份發展趨勢的一個判斷,歡迎大家積極參與討論。
數字身份未來建設的指導原則
數字身份的發展方向在各行各業很難形成大一統的局面,但以下的一些原則,應該是一個大家所共同追尋的:
- 社會價值。
- 系統能為所有用戶使用並實現利益相關方收益最大化。
- 隱私提升。
- 用戶信息只在恰當的情況下向正確的實體提供。
- 以用戶為中心。
- 用戶可控制他們的 信息並決定誰有權持有和獲得這 些信息。
- 可行且可持續。
- 身份系統是一項可 持續發展的業務且有較強的抗政治 波動能力。
- 開放靈活。
- 系統依據開放的標準建 立,以保障系統具有可拓展性和可 開發性;系統標準和指導原則需對 利益相關方保持透明。
數字身份4.0發展展望
在開始是我們介紹過數字身份發展的3個階段。現在大多跟區塊鏈技術相關的業務創新方向,大多被命名為4.0,就像銀行4.0。
身份4.0如何解決我們之前提到的各類問題呢?我們可以簡單回顧下發展到現在數字身份存在的一些問題。
行業發展不均衡,區域分割明顯,信息不互通,身份不貫通,實體身份認證不方便,應用信息收集過多,違規信息收集多,信息洩露多,身份風險大等。
數字身份4.0方案首先可以解決身份信息過於集中化的問題,避免所有應用都在收集各類身份,一旦洩露對用戶造成極大影響。像印度1.2億公民生物信息的洩露,這個損失是無法挽回的。
對實名制和其他各類徵信應用上,也無需在單獨的進行對接或開發,直接在鏈上進行整合,按需調用查驗即可,也無需對客戶端進行大量改造。
在用戶隱私方面,用戶數據屬於個人,授權後調用,保護了用戶隱私,同時可根據法律許可,在後臺對監管進行開放式配置,既方便用戶,又保證監管,也確保了用戶的隱私。
在這套解決方案體系中,底層是區塊鏈技術平臺,重點構建互聯互通的數字身份標準,兼容各類協議。在某一業務領域內,可實現身份在底層的貫通。
分佈式身份服務可基於底層區塊鏈構建自身的個性化身份服務能力,不與底層強關聯。這一層可以在雲端實現身份服務的供應。
在鏈上也可實現各類監管的機制,像實名制等。這樣通過一個底層鏈將產業鏈各類企業進行串聯,無需採用一套身份系統,只需底層互信即可。
數字身份4.0以分層分級的方式構建起一整套身份授信體系。
在這套體系中,重點是用戶的身份是分層分級應用的,在對不同業務場景的使用時,一些需要得到用戶的授權,比如對身份證信息的核驗。一些無需授權,比如通行等場景。
在確保數據真實可信的前提下,一方面儘量提升用戶使用體驗,方便快捷安全,另一方面要確保用戶的知情權,對用戶敏感身份數據的調用,應取得用戶本人授權許可,避免身份信息被濫用。
企業的網絡安全邊界越來越模糊,網絡邊界的圍牆早已倒下,面臨新的形勢,數字身份4.0可以提供更多的助力。
以上內容為四川中電啟明星張曉韜,參加雄安新區“智能城市星夜談 第十六期”部分演講內容節選,轉載請註明出處。
閱讀更多 俠客張 的文章
