原标题：電(diàn)子身份验证有(yǒu)漏洞 身份信息在黑市上被明码标价

5月16日，有(yǒu)报道显示中國(guó)银联通过大数据统计分(fēn)析，得出个人网络财产安全的“蚁溃之堤”——个人信息泄露是90%電(diàn)信诈骗案件成因。

这意味着，在网络世界中，别人可(kě)以通过证明“他(tā)是我”，借由“我”的身份“招摇撞骗”，掳走“我”的财产。在安全专家的语系里，这样的产业链条被称為(wèi)黑产。亚信安全副总裁陆光明表示，“从产业规模看，2016年底我國(guó)网络電(diàn)子认证市场还不到200亿元，但是黑产的规模已经高达千亿元左右。”

网络可(kě)信身份认证该出手了。“《中华人民(mín)共和國(guó)居民(mín)身份证法》确定居民(mín)身份证是公民(mín)身份管理(lǐ)的可(kě)信依据，网络身份验证也需要可(kě)信度、权威级相当的可(kě)信平台。”中國(guó)工程院院士沈昌祥在日前召开的C3安全峰会上表示，网络身份可(kě)信验证工作刻不容缓。

身份信息在黑市上被明码标价

“850块钱，就能(néng)买到开房记录、列車(chē)记录、航班记录等11项个人隐私数据，在身份黑市上，隐私的买卖是被明码标价的，能(néng)够用(yòng)于制作假通缉令等的身份证户籍信息，一条只需要10—40元。”中國(guó)科(kē)學(xué)院信息工程研究所副所長(cháng)荆继武展示了一张明晰的价码账单，仿造一个企业身份信息的“五证”仅需要千元左右。无论对于自然人还是法人来说，我國(guó)网络信息保护的形势都非常严峻。

“易获得”是个人電(diàn)子信息难以规避的“软肋”。安全领域内，八成以上的信息泄露由内部人员所為(wèi)。“很(hěn)少有(yǒu)黑客愿意花(huā)那么大的代价从外攻破系统获取信息，从内攻破是更便利、更容易的。”陆光明说。

“既然防不胜防，能(néng)不能(néng)让这些偷窃泄露来的信息分(fēn)文(wén)不值呢(ne)？现实生活中身份证的使用(yòng)对此提供了很(hěn)好的借鉴。”陆光明说。

如何让网络身份认证与现实身份认证一样“强有(yǒu)力”“无漏洞”，成為(wèi)一个系统工程，关系到新(xīn)技术应用(yòng)、新(xīn)體(tǐ)系构建、以及与已有(yǒu)法律體(tǐ)系的共享共建。國(guó)际上，欧盟2006年出台了开展网络可(kě)信身份體(tǐ)系建设的法规。美國(guó)2011年公布网络空间可(kě)信身份國(guó)家战略，提出10年时间建设美國(guó)网络身份體(tǐ)系。

网络身份验证难有(yǒu)“防骗”功效

当下使用(yòng)的网络身份验证难有(yǒu)“防骗”功效，沈昌祥将问题归纳為(wèi)3类：方法不安全、难保真实性；欠公平公正、难防篡改；缺乏法律效力、难以执法。沈昌祥解释：“例如大量汇集在微信、支付宝上的个人信息，虽然是实名认证，但隶属于第三方企业，难以保障它们的不可(kě)更改性、不可(kě)复制性。”

陆光明对此持相同观点，他(tā)表示，在國(guó)外以企业公信力作為(wèi)社会公信力的商(shāng)业行為(wèi)居多(duō)，例如谷歌的互联网账号可(kě)用(yòng)作其他(tā)跨行业的社会认证。但是，Facebook的身份数据泄露，严重到甚至可(kě)能(néng)会对美國(guó)高层政策施以影响，这一事件令人对这种模式的安全性产生顾虑。

被泄露之外，被利用(yòng)更使身份信息安全问题“雪(xuě)上加霜”。陆光明说，韩國(guó)2011年就爆发过一次非常严重的身份数据泄露事件，当时有(yǒu)3500万用(yòng)户数据泄露，占当时韩國(guó)网民(mín)的95%左右。此事使得韩國(guó)政府开始限制网络身份收集，也宣告了其网络实名制的结束。

“身份非法买卖严重影响网络实名制的实施效果。”荆继武说，身份黑市交易可(kě)以将个人的网络身份绑定到一个完全不属于本人的现实身份上。

“黑户”的存在，不仅侵害了可(kě)能(néng)并不知情的个人的利益，也使得真正需要准确掌握身份信息数据的電(diàn)商(shāng)深感困扰。“一家電(diàn)商(shāng)的责任人表示，他(tā)每天有(yǒu)几十万新(xīn)注册用(yòng)户，其中有(yǒu)很(hěn)多(duō)黑产用(yòng)户，電(diàn)商(shāng)企业需要花(huā)费很(hěn)多(duō)精力、成本去校验新(xīn)用(yòng)户，将‘黑户’挑拣出来，确保系统安全。”陆光明说。

荆继武总结道：“现有(yǒu)的身份信息管理(lǐ)技术手段单一、难奏效，需要完备的身份信息数据管理(lǐ)體(tǐ)系。”

搭建有(yǒu)公信力的第三方验证平台

“一些互联网公司开发的APP，注册时需要身份证、姓名、電(diàn)话等信息。我相信很(hěn)多(duō)人都不愿意透露、被捆绑。”陆光明说，用(yòng)户很(hěn)难确定企业是否会将这些信息挪作他(tā)用(yòng)。

通过搭建第三方平台的方法，或能(néng)解决这个“隐患”。

陆光明表示，一个保有(yǒu)用(yòng)户信息的第三方认证平台，可(kě)以帮助互联网企业认证用(yòng)户、也确保用(yòng)户的信息只用(yòng)于约定的用(yòng)途。“对于新(xīn)型互联网企业来说，平台把认证结果反馈给企业，企业获得的是平台处理(lǐ)过的可(kě)信的用(yòng)户认证。而用(yòng)户(消费者)需要面对的则是一个有(yǒu)公信力的平台，而不是多(duō)个信息不对等的企业。”

先前已经聚集了大量客户信息的淘宝、微信等已经开始担负起这样的角色，目前，已经有(yǒu)“授权认证”等模式，让用(yòng)户无需再次注册新(xīn)应用(yòng)的账号。荆继武表示，背后基于多(duō)模式多(duō)安全等级的電(diàn)子认证技术，也保证了“不同等级的数据库使用(yòng)者，能(néng)够接触到的信息是不同的。”

“基于庞大的互联网用(yòng)户数据基础，亚信安全之前就曾做过类似的平台构建。”陆光明说，随着國(guó)家互联网+政務(wù)战略部署的提出，亚信安全希望构建一个能(néng)够打通政務(wù)體(tǐ)系的、拥有(yǒu)法律效力的认证平台。

目前國(guó)家层面正在构建具有(yǒu)法律效力的权威性公民(mín)网络電(diàn)子身份标识基础设施，并加快与電(diàn)子身份应用(yòng)相关的技术和标准的研制推广工作，未来将会加速构建和网络電(diàn)子身份基础设施配套的基础服務(wù)能(néng)力，基于网络電(diàn)子身份标识基础设施将会出现更多(duō)的行业化、跨领域的高可(kě)信、互信任的认证平台系统。

陆光明介绍，由國(guó)家不同部委授权建设，亚信安全参与搭建统一的身份信息认证平台，不仅仅要完成个人身份认证业務(wù)，还提供涉及到法人、营业执照等证照信息的认证服務(wù)。纵向来看，整个平台包括國(guó)家中心平台的建设，也包括中心平台与各个部委、各省市的对接建设。

為(wèi)了担负起庞大的信息处理(lǐ)量，平台将构建分(fēn)布式的数据存储，并推动数据共享，打破数据孤岛，推进電(diàn)子签名应用(yòng)等，以期形成跨行业的身份信息认证的传递和互认。通过推动单纬度、单系统、特定场景的可(kě)信身份，向多(duō)维度、综合性、可(kě)交叉的可(kě)信身份體(tǐ)系，助力网络安全身份體(tǐ)系发展。

相关链接

新(xīn)技术让网上身份识别更可(kě)靠

居民(mín)身份证作為(wèi)電(diàn)子法定证件，本身兼有(yǒu)“線(xiàn)下”和“線(xiàn)上”法律作证的地位。沈昌祥表示，2代身份证识别體(tǐ)系建设时，预留了指纹识别的端口，当时由于种种原因暂时未被整合的认证手段，最近可(kě)能(néng)再被启用(yòng)。

“公民(mín)网络電(diàn)子身份标识基础设施将融合各种新(xīn)技术。”陆光明说，企业将持续创新(xīn)可(kě)交互、易操作、高可(kě)信的新(xīn)型认证技术，例如声纹识别、指纹识别、相貌识别等。

之前的身份可(kě)信判断，通过“我所拥有(yǒu)+我所知道”，未来将转向“我的特征+我所知道”。也就是说，之前“我拥有(yǒu)”的u盾、短信验证码+口令等方式，将被替换“我”特有(yǒu)的指纹、声纹、面相+口令等方式。通过新(xīn)技术的加入最大限度做到只有(yǒu)“我”才能(néng)证明“我自己”。

在系统底层建设中，陆光明介绍，目前平台的主流技术仍是基于强密码实现安全保障，并会适时利用(yòng)安全大数据，进行态势感知的风险预测和控制。对于新(xīn)兴的區(qū)块链技术、时间戳等安全保障方式，平台将做到端口预留。

巨大的用(yòng)户量是对该平台的另一个严峻考验。据统计，2016年支付宝实名用(yòng)户达到4.5亿人。与之相比，要构建覆盖中國(guó)全體(tǐ)居民(mín)以及法人单位的统一身份认证平台，数据处理(lǐ)量可(kě)想而知。

為(wèi)此，亚信安全咨询战略总监吴大明表示，平台在建设和使用(yòng)的过程中将会不断有(yǒu)新(xīn)的应用(yòng)加入，因此平台具备可(kě)扩展。一个公民(mín)出生、入托再到上學(xué)，需要跑到各个地方去办各种手续的體(tǐ)验，未来可(kě)能(néng)变成可(kě)跨省、随时办。

本报记者 张佳星