一種基于Identification &Status 認證的獨立身份認證服務(wù)機構(gòu)的新架構(gòu)*

李躍武，許 斌，高崇明,2，楊建鋒

（1.新疆數(shù)字證書認證中心,新疆 烏魯木齊 800000；2.新疆量子通信技術(shù)有限公司,新疆 烏魯木齊 800000）

0 引言

電子認證技術(shù)是網(wǎng)絡(luò)安全的第一道屏障[1]，是實現(xiàn)網(wǎng)絡(luò)實體身份可信管理的技術(shù)，是網(wǎng)絡(luò)信任體系的基礎(chǔ)核心技術(shù)，也是網(wǎng)絡(luò)空間安全治理的重要技術(shù)支撐。普遍認為電子認證技術(shù)已從1.0 時代邁向2.0 時代，主要表現(xiàn)在：

（1）以離線數(shù)字證書為主導(dǎo)的身份證明演化為以在線服務(wù)為主導(dǎo)的身份管理；

（2）以靜態(tài)的雙因素身份鑒別技術(shù)發(fā)展為以風險控制為主導(dǎo)并融合多種技術(shù)的身份鑒別；

（3）簡單的是或否單一判斷模式的電子認證轉(zhuǎn)變?yōu)榫哂卸嗄Ｊ蕉喟踩燃壍碾娮诱J證；

（4）專業(yè)化的共享共用身份管理服務(wù)逐步替代孤島隔離的分散的身份管理；

（5）基于大數(shù)據(jù)的行為溯源和追蹤技術(shù)加強了對網(wǎng)絡(luò)實體的可信管理與追溯等[2]。

電子認證技術(shù)的這種變化，也被當成業(yè)界努力應(yīng)對傳統(tǒng)電子認證技術(shù)所面臨的重大挑戰(zhàn)時，有效發(fā)展的成果；但是，站在更大的視野來看，當今的網(wǎng)絡(luò)空間治理是治理現(xiàn)實社會與虛擬社會相結(jié)合的“新社會”[3]。應(yīng)當看到，任何一種通過對身份的鑒別決定對資源的訪問權(quán)的方法，客觀上都會造成主體間的等級分化，本質(zhì)上是制定了一種等級制度。這種制度的制定，應(yīng)當在更大的視野下，考慮底線思維，以適應(yīng)公平、公正的基本要求，這是本文要考慮的問題。

1 關(guān)于身份認證-訪問控制的再認識

1.1 關(guān)于“身份”含義的重要辨析

長期以來，電子認證是一個未經(jīng)嚴格定義的技術(shù)詞匯。即使在《電子認證2.0 白皮書》中，也采用了“民間”關(guān)于此概念的說法。電子認證隱含了身份標識（identification）、身份驗證與證明（certification and proof）、身份鑒別（authentication）與授權(quán)（authorization）等過程的復(fù)合涵義，實際上等同于常用的訪問控制[4-5]的含義。在ISO7498-2中，訪問控制被定義為，基于訪問認證和數(shù)據(jù)對象的一種選擇性地允許或禁止某種資源訪問的安全技術(shù)。訪問控制涉及到訪主體（subject）和客體（object）兩個方面。

全國信息安全標準化技術(shù)委員會鑒別與授權(quán)工作組發(fā)布的《電子認證2.0 白皮書》中倡導(dǎo)：“專業(yè)化的共享共用身份管理服務(wù)逐步替代孤島隔離的分散的身份管理”與“基于大數(shù)據(jù)的行為溯源和追蹤技術(shù)加強網(wǎng)絡(luò)實體的可信管理與追溯”。這實際上是強調(diào),在ISO7498-2 中，在訪問請求信息中主體信息的身份信息部分附加更多的輔助信息。如圖1 所示，該模型是一個含有附加信息的典型認證模型。這些信息，與主體的既往行為有關(guān)，而既往的行為是人工智能方法通過對大數(shù)據(jù)分析獲得的。在訪問控制機制中，決策依據(jù)不再單純是主體的標識，而已經(jīng)包含了“身份”一詞的另一重含義——社會中的位置（status）。Status 一詞源于拉丁語statum，是stare的過去分詞，本意是“立得住”的程度，即地位狀況。對一個人來說，他的identification，比如姓名或身份證號，只是他的標識；而status 才是他的處境、他的地位、他的法律地位，以及當人們使用“身份”這個詞匯時內(nèi)心里想表達的那個真正的含義。

圖1 訪問控制模型

因此，通過這樣深入理性的分析可知，當信息安全業(yè)界使用“身份認證”一詞時，即使長期以來，強調(diào)了對identification的認證，但是事實上，從《電子認證白皮書2.0》開始，已經(jīng)更多地包含了對status（可以理解為“法律地位”）的認證。

無論在現(xiàn)實社會，還是在虛擬社會，對任何人（實體）賦予一個標識（identification），是一個純技術(shù)問題；但是承認他的地位（status），并繼而根據(jù)其后續(xù)的表現(xiàn)修改其地位（status）的工作，則屬于典型的社會管理范疇。

基于status的認證，要比簡單基于identification的認證，更符合《電子認證2.0 白皮書》倡導(dǎo)集中的身份認證服務(wù)和經(jīng)人工智能技術(shù)對大數(shù)據(jù)檢測獲取的“身份”信息時，所想表達的含義。

1.2 關(guān)于“身份”概念中歸屬于status 一詞表達的部分涵義

實體“身份”一詞實際包含兩重涵義，一是對實體的標識，二是實體的重要性、社會地位、法律地位、被公認的貴賤程度等。第一重涵義可由詞匯實體標識表達，對應(yīng)的英文是identification；第二涵義就是實體的身份地位，對應(yīng)的詞匯是status。在現(xiàn)實社會，判別與決定把一項資源是否授權(quán)給某個實體，依據(jù)的不是這個實體的標識（identification），而是這個實體的身份地位（status）。這與網(wǎng)絡(luò)虛擬社會中，判定是否將某一資源授權(quán)于某個實體所遵循的依據(jù)是可類比的。因此，當談到身份認證時，實際上是對status的鑒別，identification 只是賴以檢索該status的指標，而不是本身。恰如在法院，具有審判權(quán)力的是當庭法官這個身份，而不是特定的法警的警號，警號只是賴以判斷某人是否為當庭法官的索引，而不是判斷的直接依據(jù)。

1.3 電子認證引入status 認證概念

建議引入status 概念，以專門表達在身份問題中，實體標識（identification）無法表達的，與該標識所關(guān)聯(lián)的實體本身的“身份”的涵義。

上述分析可見，即使傳統(tǒng)的身份認證過程，其實本質(zhì)上也是對英文status 所表達的涵義的認證，只是由于詞匯的模糊，其本質(zhì)（status）被隱匿在了其標識（identification）之后了；而隨著電子認證技術(shù)的發(fā)展與電子認證內(nèi)涵的豐富，已經(jīng)需要解開這種隱匿，使身份的復(fù)合涵義得到揭示與正視。

如圖2 所示是引入status 認證的訪問控制架構(gòu)。

圖2 引入status 認證的訪問控制架構(gòu)

status 認證的訪問控制將完整的身份認證過程拆解為兩個步驟：一是主體訪問請求過程中主體對身份鑒別機構(gòu)的請求過程，二是身份鑒別機構(gòu)對客體資源控制機構(gòu)的請求過程。為此設(shè)立獨立的身份鑒別服務(wù)機構(gòu)，其職能是：

（1）管理主體（subject）的雙重因性（identification和status）的關(guān)系；

（2）建立并持續(xù)完善可與客體管理機構(gòu)便于協(xié)同的主體status 庫；

（3）與各客體管理機構(gòu)（授權(quán)機構(gòu)）持續(xù)協(xié)商客體的授權(quán)依據(jù)，作為與主體關(guān)聯(lián)的新的status內(nèi)容；

（4）管理控制客體與主體之間的安全傳輸通道。

下文內(nèi)容通過制定主體訪問客體的過程規(guī)范，說明新的架構(gòu)的工作流程及新的訪問控制機制。

主體要訪問某網(wǎng)站的客體資源時（以主體訪問網(wǎng)站1 為例），發(fā)出訪問請求，這個訪問請求并不直接送達網(wǎng)站1，而是送往獨立的身份認證服務(wù)器；身份認證服務(wù)器收到此訪問請求，解析主體標識（identification）以及擬訪問的網(wǎng)站1；經(jīng)過下述的身份認證服務(wù)器實現(xiàn)的功能過程，決定是否允許給主體訪問相應(yīng)客體的內(nèi)容。如果允許，向主體與客體管理機構(gòu)發(fā)出允許響應(yīng)指令，并建立主體與客體之間的符合安全策略要求的傳輸通道，進入允許訪問的處理過程；如果不允許，給出拒絕響應(yīng)指令，結(jié)束認證過程。

其中，身份認證服務(wù)器實現(xiàn)的功能與過程為：

（1）查詢此identification 希望訪問的網(wǎng)站1的備案信息，讀取可以表征該網(wǎng)站1 邏輯控制的信息；

（2）認證服務(wù)器根據(jù)網(wǎng)站1的邏輯控制信息，結(jié)合用戶的identification，聯(lián)合查詢identification&status 數(shù)據(jù)庫，取得足以表征網(wǎng)站1是否可以向來訪主體授權(quán)的status 數(shù)據(jù)，通過安全傳輸信道發(fā)送給網(wǎng)站1；

（3）身份認證服務(wù)器記錄該主體的訪問請求，并據(jù)此維護該主體的status；

（4）身份認證服務(wù)器持續(xù)地與網(wǎng)站1 保持聯(lián)絡(luò)，獲取來自網(wǎng)站1 對該訪問主體的行為評價，作為維護identification&status 數(shù)據(jù)庫的重要參考，也作為對網(wǎng)站1的可信程度的評定依據(jù)；

（5）根據(jù)訪問主體最初的訪問請求信息，以及網(wǎng)站1的授權(quán)反饋信息，由訪問控制服務(wù)器決定是否在主體與客體之間建立安全傳輸通道。

Status 數(shù)據(jù)庫是一個核心的組成構(gòu)件，其作用是保存所有客體（如網(wǎng)站1）的各種訪問控制條件（可能是一組術(shù)語表或命名空間的邏輯正則表達），以及根據(jù)各個主體的歷史行為經(jīng)綜合判別所給出的符合性判定。

Status 數(shù)據(jù)庫本質(zhì)上是一個用于描述主體身份（法律地位或按規(guī)則賦予的地位）的多維度數(shù)據(jù)集。其數(shù)據(jù)的變化不取決于主體的個別行為，或網(wǎng)站的個別反饋信息，而依賴于長期的行為積累。在虛擬社會中，這可以由人工智能通過大數(shù)據(jù)分析用戶的歷史行為，結(jié)合初始賦值建立。

1.4 基于status 認證的重要意義

引入status的身份認證架構(gòu)，最直接的結(jié)果是，用戶的identification（具體來講是身份證號碼、電話號碼、姓名）不再直接暴露在各個網(wǎng)站。網(wǎng)站僅負責向身份認證管理機構(gòu)報備自己的安全控制策略以便身份認證管理機構(gòu)判別什么樣的主體可以獲得授權(quán)，而這些具體的網(wǎng)站不再期望獲得網(wǎng)民的實名。這樣就可以有效避免網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)空間治理中的很多衍生難題。

1.5 Status 認證可能面臨的負面問題

Status 數(shù)據(jù)庫的建立，在技術(shù)上使得人工智能、大數(shù)據(jù)等新技術(shù)用于網(wǎng)絡(luò)空間治理成為可能；在管理上也可以有效避免因?qū)嵜票粸E用所衍生的重大社會管理代價。但是由于這些數(shù)據(jù)的產(chǎn)生，本質(zhì)上是建立在網(wǎng)絡(luò)主體的初始賦值和個人歷史行為的，這使得status具有了與現(xiàn)實社會類似的價值與意義，有的是負面的。

雖然尚不能實證地得到此方案可能引發(fā)的負面問題，但是借助于現(xiàn)實社會中status（身份地位）在社會管理中的重要作用，可以類比的推想虛擬社會中由status 可能引入的負面問題。

可以想象，負面的問題一定是不可避免的，因而政府的正確干預(yù)是極其必要的。如果偏離了政府的正確管理，即使假設(shè)人工智能的感知能力完全與人類社會對人的評價能力一致，也會出現(xiàn)超越底線的問題。英國著名學(xué)者阿蘭·德波頓在其《身份的焦慮》一書中，對現(xiàn)實社會中的身份問題有非常深刻、系統(tǒng)和富有啟發(fā)的研究[6]，其主要思想簡要歸納為：

（1）在虛擬空間，人們會像在現(xiàn)實社會中祈財求名提高聲望一樣，努力在虛擬世界追求status；

（2）在網(wǎng)絡(luò)空間所獲取的status，將如同現(xiàn)實社會中的名望勢力和地位一樣，成為趨利的對象，而人類社會中種種社會問題也將可能搬上虛擬空間，比如傲慢、偏見、歧視、盲目崇拜等；

（3）對物質(zhì)、平等的過度的期望，嫉妒心理的泛濫等；

（4）對精英的過度崇拜，把身份與德行關(guān)聯(lián)起來，認為好的status 不會與愚蠢、有罪和墮落掛鉤。

1.6 利弊的權(quán)衡與正確干預(yù)的必要性

正如現(xiàn)實社會中，status 有那么多負面作用，人類社會依然通過status 有效地管理了社會進程一樣，因此在虛擬空間，基于status的管理制度在很大程度上也是必須的。那些種種負面作用，只是必不可少的代價。

正如前文所說，未來人們面對的社會必定是虛擬社會與現(xiàn)實社會緊密結(jié)合在一起的“新社會”，而采用了status 數(shù)據(jù)庫的管理方式，更加接近于現(xiàn)實社會的傳統(tǒng)方式。這是因為現(xiàn)實社會的這種管理方式，是全世界范圍內(nèi)經(jīng)過數(shù)千年演進到今天的，是經(jīng)過了歷史的檢驗的。

當然，有些因素是要有特殊安排的。比如必要時可以啟動人工干預(yù)的方式，修正那些人工智能的運算可能引起的極端情況。

2 結(jié)語

本文首先聚焦了電子身份認證問題中“身份”的涵義問題；其次通過深入的辨析，構(gòu)建了通過對status 認證來實現(xiàn)未來網(wǎng)絡(luò)身份認證的全新身份認證體系架構(gòu)。該架構(gòu)引入了一個公共基礎(chǔ)設(shè)施，服務(wù)于訪問主體（網(wǎng)民）與訪問客體（被訪問網(wǎng)站的各類資源）。這種公共基礎(chǔ)設(shè)施及其所隱含的管理機制，本質(zhì)上可視為在網(wǎng)絡(luò)空間管理中，將現(xiàn)實社會管理體系中公安部門的治安機構(gòu)與社區(qū)的某些社會安全管理職能的數(shù)字化實現(xiàn)。該架構(gòu)可以有效解決目前流行的身份認證方案所面臨的問題，如可以防止由于直接將用戶個人隱私信息暴露給被訪問網(wǎng)站所造成的個人隱私易被泄露的風險，也可杜絕隱私泄露后的網(wǎng)絡(luò)詐騙風險。本架構(gòu)符合全國信息安全標準化技術(shù)委員會鑒別與授權(quán)工作組發(fā)布的《電子認證2.0 白皮書》中關(guān)于鼓勵建立獨立的身份認證服務(wù)機構(gòu)的倡議。最后討論表明，基于status的認證方案，使未來網(wǎng)絡(luò)的虛擬社會具有與傳統(tǒng)的現(xiàn)實社會類似的管理依據(jù)，更符合人類社會演進的習(xí)慣性和規(guī)律性。討論發(fā)現(xiàn)，現(xiàn)實社會的主體到虛擬社會的主體的認證的問題，本質(zhì)上是一個跨越并銜接現(xiàn)實與虛擬兩界的社會管理問題。進而可以建議，國家構(gòu)建具有公共管理職能的服務(wù)管理體系，以通過科學(xué)配套的國家法律、行政法規(guī)、制度政策、行為規(guī)范和操作標準，來改變目前虛擬與現(xiàn)實社會中共同存在的由于網(wǎng)絡(luò)空間隱私泄露所造成的各類犯罪現(xiàn)象難以根治的困局。未來的路還很長，但本架構(gòu)可以作為物性的支撐基礎(chǔ)設(shè)施的雛形。