我是谁?我如何证明我是谁?如何证明我说的是真的?
大家好,我叫张叁疯,我来自西伯利亚贝加尔湖畔的一个农庄,我经营了一家企业,专门打捞贝加尔湖的大鱼,主要销往欧洲。我今年26岁,我的父母是中国人,我的故乡在内蒙古呼伦贝尔。
当我面对你说这些话时,我是在表明我的身份,如果你是路人听听就好了,一笑而过。但如果你是一个要跟我交朋友的人,甚至你正在跟我谈一笔大生意,我说的是否是真的,你要如何判断呢,这对你接下来如何对待我至关重要。
可能你会要求我出示我的身份证、农庄土地证、企业营业证和生意来往账目,以此来证明我说的是否是真的。但就算我出事了这些证件,你就一定会认为我说的是真实的么?
对,这些证件很有可能造假。接下来你可能会通过跟我认识的人来了解我说的是否属实,或者去找对应的商贸公司核实交易,找土地局核实土地所属权,找公安局核实我的身份信息。
如果上述场景是在国内,你可以去这些机构核实信息。但我说了,我是来自于贝加尔湖呀,那并不在国内,要去国外核实信息可能会更困难。
这是一个真实存在的问题,我们如何证明我们的身份,如何保证身份信息的真实性?
如何证明我们的身份?
从古至今,从物理世界到虚拟世界,我们的身份证明方式发生了天翻复地的变化。
对于我们实体身份的证明,在古代人们一般是以腰牌、虎符、官印、朝珠、手信等信物和服饰来识别一个人的身份,除此以外便是通过互相证明的社会关系来识别一个人的身份。这种身份证明的机制沿用至今依然没有太多变化。
在现在社会我们通过身份证、户口本、护照、驾照、社保卡等信物来证明身份,同时也可以通过我们的社交关系证明我们的身份。
在数字世界里,我们如何证明一个人的身份,依然是一件比较困难的事,目前成熟手段主要以个人征信、社交账号、邮箱账号、手机号、人脸、指纹等信息证明我们的身份。
2015年,我们敬爱的克强总理在一次会议中就提到说:“我看到有家媒体报道,一个公民要出国旅游,需要填写‘紧急联系人’,他写了他母亲的名字,结果有关部门要求他提供材料,证明‘你妈是你妈’!” 。从这个问题我们可以看出来,在互联网高度发达的今天,个人身份如何被证明的问题,仍然没有得到一个很好的、有效的解决。
以上各种身份证明方式回答了我们之前的问题,我们是如何证明我们身份的。可以看出,我们证明身份的手段越来越丰富和便捷,但不同方法大多是用于特定领域,不同业务场景之间并不贯通,存在区隔阻碍。并且,大量身份信息的采集也带了了很多的安全隐患。
身份信息乱用的风险
对于我们每一个人来说,我们都有很多不同的身份,公民身份、家庭身份、社会身份、企业身份。
在虚拟世界中,这些身份对应的是我们的身份证信息、个人互联网应用账号、企业的应用账号等。
这里最常见的问题是,多数人都使用同一个邮箱或手机账号、相同的密码来注册和登录多个平台。虽然看上去省去了设置不同账号和密码的麻烦,但这样的使用习惯却会使自己成为信息泄露的高风险群体。尤其作为企业员工,使用公司常用的账号/邮箱/密码去注册社会应用时,为企业带来了更高的信息泄露风险,这种行为只靠管理也是没有办法防范住的。
大家是否有这样的困扰,就是在网上注册过一类网站后,就会经常收到类似业务的促销电话。
比如我之前想给儿子报在线英语,就在51talk这类网站咨询了一下,留了电话。
结果这之后,我经常会收到各种教育类的推销电话。他们是怎么拿到我的信息的呢?
同花顺的账号泄露也是这个问题,每天都会有股票推销的骚扰电话。
我们的个人信息在黑市流通,造成了很多社会问题,之前的山东女孩学费被骗不幸离世,就是这类数据泄露事件的直接受害者。
企业身份安全也面临极大挑战
根据Gartner发布的《2016年企业安全趋势报告》,身份认证问题是2016年企业所面临的5个核心领域安全问题其中之一。但是现实中的身份认证形势却不容乐观,根据《Verizon 2016数据泄露报告》统计,有超过一半的企业网络安全事故和身份认证凭据盗用有关。
这里所提到的身份认证凭据被“盗用”,包括了由外部非法攻击、撞库等非法行为获取的信息,以及内部人员的违法、违规的身份借用、冒用、盗用、租用等行为所泄露的信息。IBM在它的数据泄露报告中指出,有 55% 的攻击来自于内鬼或人为疏忽。换句话说,攻击很可能就是由你所信赖的人煽动的。这些内部信赖的人可能带来严重的威胁,造成实质的财务与商誉损失。
这实际上就是钥匙的安全和门更坚固的安全,哪个投入更大?血淋淋的事实比比皆是:心怀鬼胎的网络管理员在服务器上开后门 (或是故意漏洞),离职后得以绕过安全性机制继续进行未授权的存取,上千笔客户记录外泄,造成数十万美金损失。
为了解决以上所述问题,我国于2017年6月1日正式实施了《网络安全法》。
这是我国网络领域的基础性法律,其中明确规定加强对个人信息保护,打击网络诈骗,以及实施网络“可信身份”战略。实名制的推行可以在法律威慑层面减少一些不合法合规的问题产生。
从目前的发展形式看,个人信息隐私保护问题仍然严峻,数据泄露、个人信息非法买卖,企业间数据不正当竞争诸多问题亟待解决。随着社会的信息化发展,个人信息隐私保护任重道远。
数字身份发展历程
从技术发展角度,我们把数字身份发展分为3个阶段。
1.0阶段是在互联网时期,主要特征是PC电脑的大量应用,带来信息化能力的提升,身份认证的主要手段是账号+密码。
这一阶段我们在网络上使用大部分应用时,可以通过QQ号、邮箱、微博号等识别一个人的身份。
但我们在物理世界中证明身份,大部分时间依然要靠开具证明的方式。
我们买房要开收入证明,办护照要开户籍证明,办理贷款要资产证明,身份证的核查要靠肉眼识别。
2.0阶段是在移动互联网时期,主要特征是智能手机的大量普及,身份认证的主要手段是手机动态码,账号+密码依然是双选项之一。
这一阶段我们在网络上使用大部分应用时,可以通过手机号、微信号、支付宝等识别一个人的身份。
在物理世界中越来越多的场景支持身份的实人核验,做高铁可以刷身份证,办理贷款可以直接使用芝麻信用,坐地铁可以使用微信支付,银行转账也只需要手机网银。
3.0阶段是在人工智能大量普及后,主要特征是智能设备的大量普及,带来了万物互联的繁荣景象,身份认证的主要手段增加了人脸、指纹等生物特征。
在这一阶段我们更多的是体现身份的原本特征,不再依赖外部设备来对身份进行核验,进出大楼、购物消费、乘坐地铁、机场通行只需要一张脸即可。
从数字身份发展的历程我们可以看出,在最开始的阶段,我们为了信息真实性的考虑,为了确保安全,很多物理世界的身份证明还是使用的最原始手段(盖章+权力机构威慑)。
互联网数字身份发展历程
微信作为一个社交应用,几乎每一个上网的人都有微信号,当下它几乎可以作为通行网络的一个电子身份凭证。
在互联网阶段,咱们大多都用邮箱号作为各类网站应用的账号注册,移动互联网后,为了输入方便大多应用都采用了手机号作为APP账号。
而目前,越来越多的APP支持采用微信进行登录,这就让微信变成了一个更通用的网络身份认证手段。
微信绑定了银行卡,有实名制信息,通过企业微信又关联了企业身份。
实际上,是微信将我们的各类身份通过一个软件平台进行了聚合。它也把我们的征信、行为等等身份特征都进行了记录。
对于这样一个大的商业平台来说,其实我们的很多信息对他都是透明的,实际这背后会存在很多安全风险。
就像facebook的数据售卖,即便不主动提供,如果泄露也是一样的效果。
企业身份认证的发展历程
企业数字身份发展也先后经历了多个阶段,从最初的目录服务,到现在的联合身份,企业从内到外逐渐实现了用户身份的全覆盖。
最初,企业大多只管理了内部用户的身份,通过统一分配账号的手段,让员工使用企业系统,此时基本是一个系统一个账号。
通过统一目录服务,企业将不同系统的身份进行了融合,并提供单点登录服务,提升了用户使用体验,加强了身份的安全。通过统一的授权和审计,强化了企业身份全生命周期管理,合规性更强。
现阶段,随着移动互联网的高速发展,企业将身份管理延伸至客户端,为企业的获客、营销、运营提供多元化的身份服务能力。
总体来说,企业身份的发展主要服务于企业的发展经营,对外相当于一个封闭系统,很少有企业间的身份互联。
在不同领域实际数字身份的发展还是存在着比较大的差异。总体方向上,数字身份面向用户变得越来越安全便捷,面向企业身份所蕴含的信息越来越丰富。
数字身份的多层次问题
通过以上的历程介绍和现状分析,我们可以看到数字身份在不同领域发展已经取得了很多成果。
但是数字身份的发展也存在多层次的问题,在底层标准方面多方缺乏共识,顶层用户体验方面在各领域参差不齐(互联网好于公共事业),中间层的信息协调存在商业壁垒。
在跨领域方面,比如现在很多政务的证件可以做到电子化,但是申领方式,使用方法上易用性都很差,用户还是会有很多不方便的地方。
互联网应用的体验很好,但是缺少权利机构的信息共享,在可信度上有存在差距。
在这一方面,目前电子社保卡的新模式也值得我们思考和借鉴。它不仅仅是做到了线上的社保卡,更主要的是它生态的开放,其他应用可以申领和使用,这样对用户来说就更方便。
但即使这样,身份解决方案也基本是聚焦某一特定类型的问题,如果想让多方建立一套统一共识的身份体系,可能需要放弃一些更广泛的商业用途,从而保证各方利益的平衡。
下面我们来介绍一下目前主流的数字身份技术方案,然后我们再来看一下如何促进更大范围的身份融合的推进。
主要的身份技术
由于使用领域的不同,数字身份系统目前主流的技术包括这五种类型,分别是内部身份管理、外部身份认证、集中身份、联合认证、分布式身份。
内部身份管理,一方同时是身份提供者和依赖方。例如,公司可根据员工的不同属性控制员工对不 同服务的使用权限。
企业内部使用的身份认证技术,主要是为了解决身份分散管理,用户记忆过多账号密码,认证方式不够安全可靠,权限分配不合规,无法审计等问题。
目前最新的技术方案是将企业内外部应用和全部归口用户进行覆盖,通过各类平台整合的方式,提供一套完整的解决方案。可以对各类用户采取不同的管理策略,也可以同时在内外网使用。
外部身份认证,与内部身份相似,但另有一组身份提供者鉴定用户身份。其优势是用户可凭借一组凭证而不是设 置不同的用户名和密码来使用不同的服务。
09年成立的OKTA是比较有代表性的应用,由salesforce的2名前高管创立,是身份云服务领域独角兽企业。
向okta这一类的企业在欧美有很多,他们专注在身份云服务领域,为用户提供标准的身份认证服务。
基于云的身份集成、id供应、应用集成、无密认证、等服务,为企业解决了身份难题,同时为企业降低身份投入,提升安全。
另外,在这一领域目前还有一大阵营就是认证联盟,美国的认真联盟FIDO目前规模是最大的,国内有阿里发起的IFAA和腾讯发起的SOTER、公安一所发起的OIDAA。
这些联盟致力于简化认证方式,曾强认证安全性,将人脸、指纹应用于互联网及企业身份认证应用。
集中身份,这一类身份认证技术中心,身份提供方(如公安机构)一般都有刚性需求的身份信息提供,如身份证信息核验。身份使用者通过付费、集成等方式,通过用于允许后,对身份进行联网认证。
目前全国公民身份信息服务平台CTID是最大的联网核查服务,金融机构、机场、酒店都是通过这种方式对用户身份进行实名核验。
在网络安全实名制要求后,互联网应用也采用实名制注册的方式,对用户身份信息进行核查。
但这里,由于早期只是通过2因素(姓名+身份证号)的核查方式,导致很多网络应用用户注册的实名信息存在大量假冒、伪冒情况。
为了避免存在这种现象,目前采用了身份证OCR+人脸活体识别的方式对身份实名进行核验,但成本较高,需要对客户端进行技术升级。
公安三所推出的eID是另一种实名认证手段,这种方式的安全性更高,采用直接读取安全芯片的方式进行身份ID识别。
目前支持将身份安全芯片跟银行卡、电话卡进行融合,可直接通过这些卡进行身份识别。
另外在一些支持NFC读取的手机上,也支持直接读取二代身份证的身份芯片,对身份进行实名认证。
目前像航旅纵横这类应用已经可以通过这种方式进行实名制认证。
由于eID需要硬件支持,普及起来较困难,目前还未看到大范围应用。
联合认证,一个身份提供者使用第三方为依赖方认证用户。除各种私营经纪商向服务订购方发出数字身份 外,这类系统与集中身份系统相似。
爱沙尼亚在2014年10月宣布向全世界所有人开放“电子公民”身份证服务,这也是全世界首例电子公民项目,爱沙尼亚政府旨在将爱沙尼亚优质便捷的网络工商政务服务带给全世界人民,让全世界互联网创业者更加便捷,更加低成本地创业。
在推出“电子公民”项目后的四年半时间里,爱沙尼亚已经花费了大约800万欧元用于该计划,但从税收和费用中赚取了超过1800万欧元。该国现在有55000名电子公民,他们在爱沙尼亚成立了超过6500家公司。
目前这个电子身份证可以在爱沙尼亚注册公司,开设银行账户,享受金融服务。
分布式身份,将众多身份提供者与众多依赖方连接在一起。这类系统为用户设立数字「钱包」以实现各大网站和应用的通用登陆。通常情况下这类系统为私营,且依赖公共的操作准则,而非管理机构。
澳门智慧城市的电子化证书是一个很好的分布式身份应用案例,此方案在链上设计了四类角色:
第一类角色,用户,这个就是最终用户。
第二类角色,身份代理机构,例如内地的公安局、人社局等机构,可以对用户进行身份证明,做用户身份的KYC,并为用户创建链上的唯一ID。
第三种角色是证书(电子凭证)发行方,比如学历证书、驾照、各种考试机构等,用户获得的证书电子化后,在这里上链并关联到对应的用户。用户授权后各类电子证书可以上链存储。
第四种角色就是用工单位等部门,在进行用户背景调查等场景,入职之类的,可以查阅用户证书真伪。
区块链的方式,能有效的解决多方数据共享融合的问题,在用户许可的整体框架下,进行身份信息的互联互通。
最后,我们来看一下数字身份未来的发展方向,这也仅是我们机构对身份发展趋势的一个判断,欢迎大家积极参与讨论。
数字身份未来建设的指导原则
数字身份的发展方向在各行各业很难形成大一统的局面,但以下的一些原则,应该是一个大家所共同追寻的:
- 社会价值。
- 系统能为所有用户使用并实现利益相关方收益最大化。
- 隐私提升。
- 用户信息只在恰当的情况下向正确的实体提供。
- 以用户为中心。
- 用户可控制他们的 信息并决定谁有权持有和获得这 些信息。
- 可行且可持续。
- 身份系统是一项可 持续发展的业务且有较强的抗政治 波动能力。
- 开放灵活。
- 系统依据开放的标准建 立,以保障系统具有可拓展性和可 开发性;系统标准和指导原则需对 利益相关方保持透明。
数字身份4.0发展展望
在开始是我们介绍过数字身份发展的3个阶段。现在大多跟区块链技术相关的业务创新方向,大多被命名为4.0,就像银行4.0。
身份4.0如何解决我们之前提到的各类问题呢?我们可以简单回顾下发展到现在数字身份存在的一些问题。
行业发展不均衡,区域分割明显,信息不互通,身份不贯通,实体身份认证不方便,应用信息收集过多,违规信息收集多,信息泄露多,身份风险大等。
数字身份4.0方案首先可以解决身份信息过于集中化的问题,避免所有应用都在收集各类身份,一旦泄露对用户造成极大影响。像印度1.2亿公民生物信息的泄露,这个损失是无法挽回的。
对实名制和其他各类征信应用上,也无需在单独的进行对接或开发,直接在链上进行整合,按需调用查验即可,也无需对客户端进行大量改造。
在用户隐私方面,用户数据属于个人,授权后调用,保护了用户隐私,同时可根据法律许可,在后台对监管进行开放式配置,既方便用户,又保证监管,也确保了用户的隐私。
在这套解决方案体系中,底层是区块链技术平台,重点构建互联互通的数字身份标准,兼容各类协议。在某一业务领域内,可实现身份在底层的贯通。
分布式身份服务可基于底层区块链构建自身的个性化身份服务能力,不与底层强关联。这一层可以在云端实现身份服务的供应。
在链上也可实现各类监管的机制,像实名制等。这样通过一个底层链将产业链各类企业进行串联,无需采用一套身份系统,只需底层互信即可。
数字身份4.0以分层分级的方式构建起一整套身份授信体系。
在这套体系中,重点是用户的身份是分层分级应用的,在对不同业务场景的使用时,一些需要得到用户的授权,比如对身份证信息的核验。一些无需授权,比如通行等场景。
在确保数据真实可信的前提下,一方面尽量提升用户使用体验,方便快捷安全,另一方面要确保用户的知情权,对用户敏感身份数据的调用,应取得用户本人授权许可,避免身份信息被滥用。
企业的网络安全边界越来越模糊,网络边界的围墙早已倒下,面临新的形势,数字身份4.0可以提供更多的助力。
以上内容为四川中电启明星张晓韬,参加雄安新区“智能城市星夜谈 第十六期”部分演讲内容节选,转载请注明出处。
閱讀更多 俠客張 的文章
