互联网电子身份证技术及实现.pdfVIP

互联网电子身份证技术及实现 北京环球聚浪网络科技有限公司 石丰 摘要：本文介绍互联网身份管理现状和技术发展趋势，分析身份管理的需求，提 出互联网电子身份证系统的解决方案。 关键词：身份管理（IDM, Identity Management） 可信计算 PKI公钥基础设 施 访问控制（AC，Access Control） 互联网电子身份证 互联网实名制 一、互联网身份管理现状和技术发展趋势 自互联网诞生之日起，身份管理就是一个重要课题，起初表现在各种设备识 别技术和访问控制技术上。设备或系统识别包括 MAC 地址、NIC、IP 地址和 DNS 解析等技术，它帮助通信的双方了解对方是“哪一个”设备或应用程序系统。 类似地，在电话通信领域，通过给电话交换机每一个用户端口分配一个电话 号码，或给移动电话的SIM卡（UIM卡等）分配一个移动电话号码来区分终端。 当然，电话运营商并不关心是“谁”在通信，他只关心“谁”为终端的通信买单， 因此，预付费业务等业务，运营商并不取得用户的身份信息。但是，由于电话诈 骗等违法现象泛滥，监管部门希望了解“谁”为通信行为负责，因此催生了手机 实名制。解决的办法很简单：用户申请业务时，绑定身份信息到SIM卡。 互联网的身份管理相对较为复杂：首先，一个用户可能变换使用多个终端、 多个网络，一个终端可能有多个用户使用，这个问题在公共上网场所，如网吧， 尤其突出。第二，在我国，大多数家庭上网的IP是动态分配的，不能以绑定IP 的方法来确定是“谁”。第三，无论是 MAC、NIC、IP 地址还是 DNS，甚至 SIM 卡都是按照“正常使用”设计的，缺乏“可信计算”的设计。换句话讲，这些特 征是可以被非法复制的。当应用变得十分关键，比如管理银行账号，买卖股票等， 以设备或通信端口特征绑定身份信息来实现身份管理很难预防非法复制等现象。 现实中，互联网的身份管理由各个服务提供商分别建立用户访问控制系统实 现。一般可分为三种形式： 1）“匿名”访问：不做身份管理，任何用户都可以访问，多体现在让用户 浏览的门户网站； 2）“假名”访问：需要用户注册一个假名（用户名、昵称、账户名等）， 设置一个密码，并记录用户的一些属性，如用户的账户余额、角色等级等。当用 户登录时，服务提供商首先匹配用户名密码来验明正身，然后根据用户属性及服 务策略为用户提供服务； 3）“实名”访问：同“假名”访问，在用户注册时增加实名身份认证，并 作为用户属性保留下来。 “用户名+密码”的登录方式是非常不安全的，因此，对一些有价值的账户， 服务提供商会采用一些安全措施来保护，如动态令牌，USB-KEY等。有些措施的 安全程度足以让用户利用网络账户进行大额转账。 以安全的“实名”访问控制来实现互联网身份管理或所谓的“网络实名制” 似乎是可行的。事实上，许多网络运营商、服务提供商以及政府相关部门开始了 各种网络实名制的尝试。比如：QQ版主和管理员实名登记，淘宝卖家实名登记， 高校校内网BBS的实名登记等。 所有这些尝试都存在一些问题，使这种实名制很难复制到整个互联网。主要 的问题有三点： 第一，成本高，用户使用不便。 如果采用以运营商自建实名制体系来推广网络实名制，则成千上万家运营商 都要改造他们的系统，同时要核查每一个用户的真实身份信息，大量的重复核查 带来巨大浪费。对用户而言，他们每人在互联网上可能注册几十甚至上百个虚拟 身份，如果每个身份都要与不同的实名方式绑定，会给用户带来极大的不便与困 惑。 第二，隐私泄露风险。 实名制需要用户将真实身份信息提供给服务提供商，并将这些信息与其账户 绑定。如何保证掌握大量真实身份信息的服务提供商不泄露这些信息，不论是出 于利益动机的主动行为，还是内部管理不严的被动泄露，都将是政府管理部门推 广实名制的“两难选择”：如果规定必须达到一定资质的运营商才能索取用户真 实身份信息，那么无法普及实名制，强制推行等于封杀大