電子身份驗證有漏洞 身份信息在黑市上被明碼標價

5月16日，有報導顯示中國銀聯通過大數據統計分析，得出個人網絡財產安全的「蟻潰之堤」——個人信息洩露是90%電信詐騙案件成因。

這意味著，在網絡世界中，別人可以通過證明「他是我」，藉由「我」的身份「招搖撞騙」，擄走「我」的財產。在安全專家的語系裡，這樣的產業鏈條被稱為黑產。亞信安全副總裁陸光明表示，「從產業規模看，2016年底我國網絡電子認證市場還不到200億元，但是黑產的規模已經高達千億元左右。」

網絡可信身份認證該出手了。「《中華人民共和國居民身份證法》確定居民身份證是公民身份管理的可信依據，網絡身份驗證也需要可信度、權威級相當的可信平臺。」中國工程院院士沈昌祥在日前召開的C3安全峰會上表示，網絡身份可信驗證工作刻不容緩。

身份信息在黑市上被明碼標價

「850塊錢，就能買到開房記錄、列車記錄、航班記錄等11項個人隱私數據，在身份黑市上，隱私的買賣是被明碼標價的，能夠用於製作假通緝令等的身份證戶籍信息，一條只需要10—40元。」中國科學院信息工程研究所副所長荊繼武展示了一張明晰的價碼帳單，仿造一個企業身份信息的「五證」僅需要千元左右。無論對於自然人還是法人來說，我國網絡信息保護的形勢都非常嚴峻。

「易獲得」是個人電子信息難以規避的「軟肋」。安全領域內，八成以上的信息洩露由內部人員所為。「很少有黑客願意花那麼大的代價從外攻破系統獲取信息，從內攻破是更便利、更容易的。」陸光明說。

「既然防不勝防，能不能讓這些偷竊洩露來的信息分文不值呢？現實生活中身份證的使用對此提供了很好的借鑑。」陸光明說。

如何讓網絡身份認證與現實身份認證一樣「強有力」「無漏洞」，成為一個系統工程，關係到新技術應用、新體系構建、以及與已有法律體系的共享共建。國際上，歐盟2006年出臺了開展網絡可信身份體系建設的法規。美國2011年公布網絡空間可信身份國家戰略，提出10年時間建設美國網絡身份體系。

網絡身份驗證難有「防騙」功效

當下使用的網絡身份驗證難有「防騙」功效，沈昌祥將問題歸納為3類：方法不安全、難保真實性；欠公平公正、難防篡改；缺乏法律效力、難以執法。沈昌祥解釋：「例如大量匯集在微信、支付寶上的個人信息，雖然是實名認證，但隸屬於第三方企業，難以保障它們的不可更改性、不可複製性。」

陸光明對此持相同觀點，他表示，在國外以企業公信力作為社會公信力的商業行為居多，例如谷歌的網際網路帳號可用作其他跨行業的社會認證。但是，Facebook的身份數據洩露，嚴重到甚至可能會對美國高層政策施以影響，這一事件令人對這種模式的安全性產生顧慮。

被洩露之外，被利用更使身份信息安全問題「雪上加霜」。陸光明說，韓國2011年就爆發過一次非常嚴重的身份數據洩露事件，當時有3500萬用戶數據洩露，佔當時韓國網民的95%左右。此事使得韓國政府開始限制網絡身份收集，也宣告了其網絡實名制的結束。

「身份非法買賣嚴重影響網絡實名制的實施效果。」荊繼武說，身份黑市交易可以將個人的網絡身份綁定到一個完全不屬於本人的現實身份上。

「黑戶」的存在，不僅侵害了可能並不知情的個人的利益，也使得真正需要準確掌握身份信息數據的電商深感困擾。「一家電商的責任人表示，他每天有幾十萬新註冊用戶，其中有很多黑產用戶，電商企業需要花費很多精力、成本去校驗新用戶，將『黑戶』挑揀出來，確保系統安全。」陸光明說。

荊繼武總結道：「現有的身份信息管理技術手段單一、難奏效，需要完備的身份信息數據管理體系。」

搭建有公信力的第三方驗證平臺

「一些網際網路公司開發的APP，註冊時需要身份證、姓名、電話等信息。我相信很多人都不願意透露、被捆綁。」陸光明說，用戶很難確定企業是否會將這些信息挪作他用。

通過搭建第三方平臺的方法，或能解決這個「隱患」。

陸光明表示，一個保有用戶信息的第三方認證平臺，可以幫助網際網路企業認證用戶、也確保用戶的信息只用於約定的用途。「對於新型網際網路企業來說，平臺把認證結果反饋給企業，企業獲得的是平臺處理過的可信的用戶認證。而用戶（消費者）需要面對的則是一個有公信力的平臺，而不是多個信息不對等的企業。」

先前已經聚集了大量客戶信息的淘寶、微信等已經開始擔負起這樣的角色，目前，已經有「授權認證」等模式，讓用戶無需再次註冊新應用的帳號。荊繼武表示，背後基於多模式多安全等級的電子認證技術，也保證了「不同等級的資料庫使用者，能夠接觸到的信息是不同的。」

「基於龐大的網際網路用戶數據基礎，亞信安全之前就曾做過類似的平臺構建。」陸光明說，隨著國家網際網路+政務戰略部署的提出，亞信安全希望構建一個能夠打通政務體系的、擁有法律效力的認證平臺。

目前國家層面正在構建具有法律效力的權威性公民網絡電子身份標識基礎設施，並加快與電子身份應用相關的技術和標準的研製推廣工作，未來將會加速構建和網絡電子身份基礎設施配套的基礎服務能力，基於網絡電子身份標識基礎設施將會出現更多的行業化、跨領域的高可信、互信任的認證平臺系統。

陸光明介紹，由國家不同部委授權建設，亞信安全參與搭建統一的身份信息認證平臺，不僅僅要完成個人身份認證業務，還提供涉及到法人、營業執照等證照信息的認證服務。縱向來看，整個平臺包括國家中心平臺的建設，也包括中心平臺與各個部委、各省市的對接建設。

為了擔負起龐大的信息處理量，平臺將構建分布式的數據存儲，並推動數據共享，打破數據孤島，推進電子籤名應用等，以期形成跨行業的身份信息認證的傳遞和互認。通過推動單緯度、單系統、特定場景的可信身份，向多維度、綜合性、可交叉的可信身份體系，助力網絡安全身份體系發展。

相關連結

新技術讓網上身份識別更可靠

居民身份證作為電子法定證件，本身兼有「線下」和「線上」法律作證的地位。沈昌祥表示，2代身份證識別體系建設時，預留了指紋識別的埠，當時由於種種原因暫時未被整合的認證手段，最近可能再被啟用。

「公民網絡電子身份標識基礎設施將融合各種新技術。」陸光明說，企業將持續創新可交互、易操作、高可信的新型認證技術，例如聲紋識別、指紋識別、相貌識別等。

之前的身份可信判斷，通過「我所擁有+我所知道」，未來將轉向「我的特徵+我所知道」。也就是說，之前「我擁有」的u盾、簡訊驗證碼+口令等方式，將被替換「我」特有的指紋、聲紋、面相+口令等方式。通過新技術的加入最大限度做到只有「我」才能證明「我自己」。

在系統底層建設中，陸光明介紹，目前平臺的主流技術仍是基於強密碼實現安全保障，並會適時利用安全大數據，進行態勢感知的風險預測和控制。對於新興的區塊鏈技術、時間戳等安全保障方式，平臺將做到埠預留。

巨大的用戶量是對該平臺的另一個嚴峻考驗。據統計，2016年支付寶實名用戶達到4.5億人。與之相比，要構建覆蓋中國全體居民以及法人單位的統一身份認證平臺，數據處理量可想而知。

為此，亞信安全諮詢戰略總監吳大明表示，平臺在建設和使用的過程中將會不斷有新的應用加入，因此平臺具備可擴展。一個公民出生、入託再到上學，需要跑到各個地方去辦各種手續的體驗，未來可能變成可跨省、隨時辦。