內(nèi)部資料賽迪專報2011年第18期（總第40期）2011年6月22日工業(yè)和信息化部賽迪研究院美國網(wǎng)絡(luò)空間可信身份戰(zhàn)略的謀劃及啟示2011年4月15日，美國發(fā)布了《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》（NSTIC

內(nèi)部資料

賽迪專報

2011年第18期（總第40期）

2011年6月22日

工業(yè)和信息化部賽迪研究院

美國網(wǎng)絡(luò)空間可信身份戰(zhàn)略的謀劃及啟示

2011年4月15日，美國發(fā)布了《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》（NSTIC），計劃用10年左右的時間，構(gòu)建一個網(wǎng)絡(luò)身份生態(tài)體系，推動個人和組織在網(wǎng)絡(luò)上使用安全、高效、易用的身份解決方案。為此，美國成立了專門的主管辦公室（NPO），負責協(xié)調(diào)政府和私人部門的活動，并牽頭制定實施路線圖。身份管理關(guān)系到網(wǎng)絡(luò)空間的安全和發(fā)?

?‐?1?‐?

展，美國此舉旨在謀求對網(wǎng)絡(luò)空間的主導權(quán)和控制權(quán)，并希望通過繁榮網(wǎng)絡(luò)經(jīng)濟再次引領(lǐng)世界經(jīng)濟新潮流，占領(lǐng)未來全球經(jīng)濟制高點。

一、NSTIC的出臺背景

NSTIC是對2009年發(fā)布的《網(wǎng)絡(luò)空間安全評估》（以下簡稱《安全評估》）的響應(yīng)。2009年5月，奧巴馬政府發(fā)布了《安全評估》，突出強調(diào)了網(wǎng)絡(luò)空間的戰(zhàn)略地位，指出美國當前網(wǎng)絡(luò)安全形勢嚴峻，并設(shè)定了網(wǎng)絡(luò)安全近中期行動計劃，其中明確要建立基于網(wǎng)絡(luò)安全的身份管理戰(zhàn)略，保障隱私與公民自由。NSTIC正是落實近中期行動計劃的一項戰(zhàn)略措施，其出臺具體背景是：

美國網(wǎng)絡(luò)安全形勢嚴峻，網(wǎng)絡(luò)身份管理重要性日益凸顯。美國是高度依賴信息網(wǎng)絡(luò)的國家，整個社會運轉(zhuǎn)已經(jīng)與網(wǎng)絡(luò)密不可分。隨著網(wǎng)絡(luò)成為國家依賴生存的神經(jīng)單元，美國網(wǎng)絡(luò)空間安全形勢日益嚴峻。據(jù)2009年美國國土安全部的報告稱，2005年共有4095起針對美國政府和私營部門的網(wǎng)絡(luò)攻擊，但2008年這一數(shù)字已增長至7.2萬起。這些攻擊使關(guān)鍵基礎(chǔ)設(shè)施和敏感信息保護面臨威脅，給美?

?‐?2?‐?

國造成巨大損失。美國政府日益認識到，一個可以確認網(wǎng)絡(luò)主體身份的網(wǎng)絡(luò)空間已是越來越重要，但目前，美國網(wǎng)絡(luò)欺詐、身份盜用等相關(guān)問題非常突出。據(jù)統(tǒng)計，2010年美國有810萬人遭受身份盜用或網(wǎng)絡(luò)欺詐，造成370億美元的損失；另據(jù)Trusteer報告，美國金融機構(gòu)每周會遭受16次網(wǎng)絡(luò)釣魚攻擊，每年造成240-940萬美元損失。

HSPD-12實施效果明顯，有必要將網(wǎng)絡(luò)身份管理從聯(lián)邦政府推廣至整個網(wǎng)絡(luò)空間。2004 年8 月，美國出臺了國土安全總統(tǒng)令第12 號（HSPD-12），為政府部門管理聯(lián)邦雇員與合同制雇員提供了一套新型身份管理標準策略；該總統(tǒng)令有79個政府部門參與執(zhí)行。2009年，美國政府還出臺了聯(lián)邦身份、憑證與接入管理路線圖與實施指南等相關(guān)政策和措施。該政策實施效果明顯，在保障網(wǎng)絡(luò)安全方面發(fā)揮了很大作用。以國防部為例，實施強身份認證后網(wǎng)絡(luò)攻擊數(shù)量降低了46以上。在聯(lián)邦政府之外，很多商業(yè)企業(yè)也在網(wǎng)絡(luò)身份管理方面做了不少努力，如OpenID 身份管理平臺、微軟的Windows CardSpace 等，F(xiàn)acebook也正在展開“1帳號N 用途”服務(wù)，任何擁有Facebook 賬?

?‐?3?‐?

號的人都可以通過Facebook 賬戶登錄其他網(wǎng)站。隨著美國經(jīng)濟運作、商業(yè)活動越來越依賴龐大而復雜的網(wǎng)絡(luò)，美國政府認識到有必要將身份管理推廣到包括私人部門在內(nèi)的整個網(wǎng)絡(luò)空間。

歐盟、韓國等國家和地區(qū)加快在信息網(wǎng)絡(luò)中引入和部署身份管理。在戰(zhàn)略層面、技術(shù)層面，歐盟為網(wǎng)絡(luò)身份管理的大范圍部署與推廣作了充足的準備。從2002開始的FP6計劃，相繼開展了FIDIS，Traser，Stork等與身份管理相關(guān)的研究，包括在電子政務(wù)、信息網(wǎng)絡(luò)與未來網(wǎng)絡(luò)中如何引入并部署身份管理，包括關(guān)鍵技術(shù)、架構(gòu)、平臺、應(yīng)用場景等。歐盟的eIDM 一攬子研究計劃在2010年實現(xiàn)了整個歐盟范圍內(nèi)電子身份（eID）的啟用，歐盟成員國公民持有電子身份即可在歐盟內(nèi)任一國家享受相應(yīng)的求職、醫(yī)療、保險等一系列社會服務(wù)。韓國推行“I-PIN”認證多年，授權(quán)幾家“身份服務(wù)提供商”建立身份驗證平臺，給網(wǎng)絡(luò)用戶發(fā)I-PIN，并以此注冊所有實名業(yè)務(wù)。

二、NSTIC的主要內(nèi)容

NSTIC 旨在通過政府推動和產(chǎn)業(yè)界努力，建立一個以用戶為中心的身份生態(tài)體系。在該體系環(huán)境下，個人和組?

?‐?4?‐?

織遵循協(xié)商一致的標準和流程來鑒別和認證數(shù)字身份，從而實現(xiàn)相互信任。NSTIC 共八章，核心內(nèi)容包括指導原則、前景構(gòu)想、身份生態(tài)體系構(gòu)成、任務(wù)目標和行動實施。

NSTIC 明確身份生態(tài)體系必須遵循四個原則。一是身份解決方案應(yīng)當增強隱私保護并且由公眾自愿應(yīng)用；二是身份解決方案應(yīng)當是安全、可擴展的；三是身份解決方案應(yīng)當是互操作的；四是身份解決方案應(yīng)當是高效且易于應(yīng)用的。這四個指導原則是任務(wù)目標和行動實施的基礎(chǔ)。

NSTIC 前景構(gòu)想反映了一種以用戶為中心的身份生態(tài)體系。NSTIC 提出的構(gòu)想是：個人和組織可利用安全、高效、易用和具備互操作的身份解決方案，在一種信心提高、隱私保護意識增強、選擇增多和創(chuàng)新活躍的環(huán)境下獲得在線服務(wù)。該構(gòu)想反映了一種以用戶為中心的身份生態(tài)體系，適用于個人、企業(yè)、非盈利組織、宣傳團體、協(xié)會和各級政府。

NSTIC 提出身份生態(tài)體系由參與者、策略、流程和相關(guān)技術(shù)構(gòu)成。參與者主要包括個人、非個人實體、身份提供者、屬性提供者、依賴方等。個人或非個人實體（如組?

?‐?5?‐?

織、軟件、硬件和服務(wù)等）是在線交易或使用在線業(yè)務(wù)的主體，他們從身份提供者處獲得身份證書，從屬性提供者處獲得相關(guān)屬性聲明，并將身份證書和屬性聲明直接展示給依賴方，以從事在線交易或使用在線業(yè)務(wù)。身份生態(tài)體系的策略基礎(chǔ)是身份生態(tài)體系框架，該框架為體系的所有參與者提供一套基礎(chǔ)標準和政策，這些基礎(chǔ)標準和政策提供了最低的安全保障，同時也說明更高級別安全保障的詳細細節(jié)，以確保參與者能獲得足夠的保護。

為確保身份生態(tài)體系的建立，NSTIC明確了四項任務(wù)和目標。一是制定身份生態(tài)體系框架，細分任務(wù)包括建立隱私增強保護機制、建立基于風險模型的身份鑒別和認證標準、界定參與者的責任并建立問責機制、建立指導小組對制定標準和認證流程進行管理；二是建立和實施身份生態(tài)體系，細分任務(wù)包括發(fā)揮私人部門、聯(lián)邦政府、以及國家、地方、司法、國土等政府部門的作用，建立和實施身份生態(tài)體系互操作基礎(chǔ)設(shè)施；三是增強用戶參與身份生態(tài)體系的信心和意愿；四是確保身份生態(tài)體系的長期成功和可持續(xù)性。

?

?‐?6?‐?

NSTIC 明確了身份生態(tài)體系實施各方職責和進度計劃。實施身份生態(tài)體系需要政府部門和私人部門的共同努力，NSTIC明確了私人企業(yè)負責具體建立和實施身份生態(tài)體系，聯(lián)邦政府負責指引和保障，NPO負責制定實施路線圖等。同時，NSTIC還明確了在3-5年內(nèi)身份生態(tài)體系的技術(shù)、標準初步具備實施條件；10年內(nèi)身份生態(tài)體系基本建成。

三、NSTIC的戰(zhàn)略意圖

NSTIC是在美國網(wǎng)絡(luò)安全戰(zhàn)略發(fā)生重大轉(zhuǎn)變背景下提出的，是美國網(wǎng)絡(luò)安全戰(zhàn)略的重要構(gòu)成。作為美國首個網(wǎng)絡(luò)空間身份管理戰(zhàn)略，其戰(zhàn)略意圖十分明顯。

第一，積極應(yīng)對網(wǎng)絡(luò)安全威脅，加強網(wǎng)絡(luò)防御并建立網(wǎng)絡(luò)威懾。奧巴馬總統(tǒng)上臺后，開始全面謀求制網(wǎng)權(quán)，在加強網(wǎng)絡(luò)防御的同時，實施網(wǎng)絡(luò)威懾，旨在遏制日益增長的網(wǎng)絡(luò)攻擊，保護美國關(guān)鍵基礎(chǔ)設(shè)施安全。網(wǎng)絡(luò)安全與身份管理的關(guān)系不言而喻，身份管理對網(wǎng)絡(luò)防御極其關(guān)鍵。要想積極防御必須先了解網(wǎng)絡(luò)上有哪些主體；而網(wǎng)絡(luò)威懾重在影響對手，必須識別和確知最有能力的網(wǎng)絡(luò)行動者，?

?‐?7?‐?

這需要通過身份管理進行歸因判斷。NSTIC的出臺，極大推進了對個人、組織以及相關(guān)基礎(chǔ)設(shè)施的識別能力，通過身份管理建立了網(wǎng)絡(luò)空間的信任，從而加強網(wǎng)絡(luò)防御并建立網(wǎng)絡(luò)威懾。

第二，保持美國在網(wǎng)絡(luò)空間的技術(shù)優(yōu)勢，增強對網(wǎng)絡(luò)空間的掌控。美國在網(wǎng)絡(luò)空間有著巨大優(yōu)勢，從芯片到操作系統(tǒng)，從根服務(wù)器到域名管理，美國對網(wǎng)絡(luò)空間的掌控已經(jīng)遠遠超出其他任何國家，形成了壟斷性優(yōu)勢。身份管理技術(shù)在網(wǎng)絡(luò)上有著廣泛需求，美國很早就開始身份管理技術(shù)研發(fā)和部署，國家標準協(xié)會（ANSI）、國家標準技術(shù)研究所（NIST）成立了標準組并發(fā)布了相關(guān)標準，2004年美國開始在聯(lián)邦政府部署身份管理。在對內(nèi)加強研發(fā)部署的同時，對外利用自身技術(shù)優(yōu)勢，美國牢牢把握住了在各標準化組織中的話語權(quán)，如在ITU-T中美國是研究工作的主導力量。此次美國公布NSTIC，是希望通過在整個網(wǎng)絡(luò)空間部署身份管理技術(shù)，進一步加強美國在網(wǎng)絡(luò)空間的巨大影響力，確保對網(wǎng)絡(luò)空間的掌控。

第三，為獲取用戶信息提供合法渠道，實現(xiàn)美國對網(wǎng)上身份、行為的更好管控。為了國家安全，美國一直都在?

?‐?8?‐?

監(jiān)控和管制網(wǎng)絡(luò)信息。NSTIC出臺，擬將身份管理作為一種基礎(chǔ)服務(wù)推向社會方方面面，給美國監(jiān)控和管制網(wǎng)絡(luò)信息提供新的途徑。目前Yahoo，PayPal，Google，Equifax，AOL，VeriSign等科技廠商都宣布支持NSTIC 實施，一些廠商在政府推動下還共同成立了開放身份交換組織，提供建立公共身份管理系統(tǒng)與私有身份管理系統(tǒng)身份憑證交換的信任機制。公民或網(wǎng)絡(luò)用戶信息掌握在作為身份提供者的大型科技公司手中，不排除公眾信息包括隱私信息在必要情況下受到監(jiān)控或提供給美國國家機構(gòu)的可能性。例如，在維基解密事件中，美國司法部曾要求“推特”提供若干支持維基揭秘網(wǎng)站用戶的諸多信息。NSTIC無疑會進一步加強美國對網(wǎng)上身份、行為的掌控。

第四，繁榮網(wǎng)絡(luò)經(jīng)濟，鞏固美國全球經(jīng)濟霸權(quán)地位。奧巴馬政府上臺后，將網(wǎng)絡(luò)創(chuàng)新視為重振經(jīng)濟的引擎，在政府的推動下，美國網(wǎng)絡(luò)技術(shù)發(fā)展進入新一輪高潮，云計算、智慧地球、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等均引領(lǐng)世界潮流。隨著美國經(jīng)濟越來越依賴網(wǎng)絡(luò)，網(wǎng)絡(luò)環(huán)境面臨的信任威脅越來越突出，各項在線業(yè)務(wù)發(fā)展受到阻礙，可信網(wǎng)絡(luò)環(huán)境更顯得非常重要。NSTIC的推出，旨在通過在網(wǎng)絡(luò)空間部?

?‐?9?‐?

署身份管理，推進在線業(yè)務(wù)安全、便利、高效地開展，增進網(wǎng)絡(luò)信任，促進更多業(yè)務(wù)在網(wǎng)上開展和服務(wù)創(chuàng)新，從而繁榮網(wǎng)絡(luò)經(jīng)濟，占領(lǐng)未來全球經(jīng)濟的制高點，進一步維護美國全球經(jīng)濟霸權(quán)地位。

四、對我國的幾點啟示

身份管理關(guān)系到未來網(wǎng)絡(luò)基礎(chǔ)設(shè)施，同時涉及到技術(shù)、社會、法律、國家政策等多方面因素。歐美等發(fā)達國家對網(wǎng)絡(luò)空間身份管理高度重視，各國都希望充分發(fā)揮自己在此領(lǐng)域的主導作用。美國NSTIC 的出臺，對我國網(wǎng)絡(luò)安全工作具有諸多啟示。

第一，盡快制定我國網(wǎng)絡(luò)空間可信身份國家政策。隨著我國經(jīng)濟社會活動對網(wǎng)絡(luò)依賴性增強，各行業(yè)對網(wǎng)絡(luò)空間可信身份都提出了需求，如網(wǎng)上購物、網(wǎng)上銀行、網(wǎng)上社保等，身份管理成為確保網(wǎng)絡(luò)空間繁榮和健康發(fā)展的關(guān)鍵。未來身份管理將更加重要，美國、歐盟等都在加強身份管理技術(shù)研發(fā)和部署，已經(jīng)形成較強的技術(shù)優(yōu)勢。對我國而言，如果不及時加以部署和研發(fā)，將很可能喪失在未來網(wǎng)絡(luò)中的話語權(quán)。為此，必須將可信身份上升到國家戰(zhàn)?

?‐?10?‐?