网域空间电子身份管理方法研究.docVIP

网域空间电子身份管理方法研究 　　摘 要 身份管理是在相关法律法规指导下按照一定的业务模式，为降低管理用户身份和访问权限的成本、提供管理用户身份效率和安全性、保护用户隐私、方便信息共享、提高工作效率和安全性能、采用各种新技术开发的集身份认证、授权管理、责任认定于一体的基础设施框架。日益严峻的网络安全问题使得身份管理技术受到国家、组织、企业的高度重视。文章介绍了网域空间电子身份管理采用的组织方案，然后从安全、隐私、易用方面分析了电子身份管理现状和不足并指出未来研究方向。 　　关键词 网络实名制；电子身份证；电子身份管理 　　中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）04-0157-02 　　网域空间电子身份管理是在国家或地区范围内身份管理在网域空间的应用。因此网域电子身份管理有以下特性：1）安全性，确保用户身份是保密的、完整的和有效的；2）隐私性，用户信息应当在使用过程中受到保护，不能出现用户隐私信息泄露问题；3）易用性，能够使用户在使用时真正体会到该系统的便利；4）互操作性，如何让跨区域的电子身份管理系统可以相互操作，这对经济全球化发展具有重要意义，也是现阶段电子身份证系统亟需解决的问题之一。 　　电子身份管理的用途广泛，可以保护公民的隐私信息、提高互联网服务的便利性并减少网络犯罪行为。目前，电子政务和电子商务是电子身份管理的两种主要应用形式。在电子政务方面，用户无须到现场就可以享受政府提供的信息化服务；在电子商务方面，电子身份证系统主要用于网上购物、银行开户与结算以及网上预订等业务。 　　1 网域空间电子身份管理 　　网域空间电子身份管理的过程中主要涉及三种角色：用户（user）、服务提供方（SP）、身份提供方（IDP）。一般分为独立身份管理、联盟身份管理和统一身份管理三种不同的体系结构。在独立身份管理中，每个SP有自身特定的身份认证和身份管理方式，是独立的信任区域；在联盟身份管理中，每个可信任区域内有多个IDP和多个SP，这些SP可以识别同在这个域中的任何IDP发出的身份标志和授权信息；在统一身份管理中，在该信任区域中每个SP都可以识别在这个域内一个或一类IDP发出的身份标志和授权信息。实名制、电子身份证系统是这种体系结构下具体的身份组织管理方案。 　　1.1 基于网络实名的身份管理方案 　　网络实名制是指将网络中的虚拟身份和现实中的真实姓名、身份证号等绑定的一种制度。由于目前一些互联网用户利用网络进行恶意的人身攻击，散播一些扰乱社会秩序的谣言，甚至进行一些经济犯罪行为，网络实名制作为一种以用户实名为基础的互联网管理方式，可以成为保护、引导互联网用户的重要手段和制度。 　　实名制采用独立身份管理方式，即每个服务提供方承担了对使用本服务的用户认证和身份管理职责。随着网络服务的不断增多，用户需要记忆各种身份标志和认证信息，无疑增加了用户负担。为了保护用户隐私，现阶段的实名方式主要是“前台匿名，后台实名”，也就是说用户信息在服务前台是匿名的，但是在服务后台是实名的，服务提供方可以得到用户的真实信息，用户的隐私保护完全由服务提供方来提供。 　　1.2 基于电子身份证的身份管理 　　电子身份证是目前网域空间电子身份管理的主要方式，它是国家签发的用于在线和离线的身份证明。电子身份证一般具有三个级别功能：1）通行证功能，一般用于政府的管理和监控，它的作用类似于护照；2）身份认证功能，用于存储和安全传输用户的个人信息，为各种应用服务提供身份验证；3）电子签名功能，主要保护用户的密钥和数字证书。该方案中存在可信的第三方：身份提供方（IDP），其主要作用是认证用户身份，并将认证结果返回给各个服务提供方。用户的信息存储在其电子身份证中，当服务需要用户信息时由身份提供方将用户信息返回给服务方。服务提供方不直接参与用户身份认证过程。 　　2 电子身份管理关键机制分析 　　电子身份管理旨在高效管理用户信息、增强网络服务安全性、保护用户隐私、便利用户生酒。下文从安全、隐私、易用、互操作方面对上述身份管理方案进行分析。 　　2.1 安全性 　　安全问题是当前互联网活动的主要威胁之一，而身份认证是安全问题的基础。实名制身份管理方案中，身份管理和认证由各个服务方提供，因此各个应用服务安全等级不一致。电子身份证管理方案的主要认证技术是基于智能卡的双因子认证机制，智能卡特殊的存储结构和存取方式使其具有硬件不可复制性，因而安全性较高。以用户为中心的身份管理方案提供多种身份认证方式，主要有智能卡双因子认证、生物识别技术等，因此具有较高灵活性和安全性。基于智能卡的认证技术提供了较高安全性的认证，但是由于该方式需要专门的卡介质和认证终端，成本较高。USB token作为新型认证产品，不需要专门的读卡