李躍武,許 斌,高崇明,2,楊建鋒
(1.新疆數(shù)字證書認證中心,新疆 烏魯木齊 800000;2.新疆量子通信技術(shù)有限公司,新疆 烏魯木齊 800000)
電子認證技術(shù)是網(wǎng)絡(luò)安全的第一道屏障[1],是實現(xiàn)網(wǎng)絡(luò)實體身份可信管理的技術(shù),是網(wǎng)絡(luò)信任體系的基礎(chǔ)核心技術(shù),也是網(wǎng)絡(luò)空間安全治理的重要技術(shù)支撐。普遍認為電子認證技術(shù)已從1.0 時代邁向2.0 時代,主要表現(xiàn)在:
(1)以離線數(shù)字證書為主導(dǎo)的身份證明演化為以在線服務(wù)為主導(dǎo)的身份管理;
(2)以靜態(tài)的雙因素身份鑒別技術(shù)發(fā)展為以風險控制為主導(dǎo)并融合多種技術(shù)的身份鑒別;
(3)簡單的是或否單一判斷模式的電子認證轉(zhuǎn)變?yōu)榫哂卸嗄J蕉喟踩燃壍碾娮诱J證;
(4)專業(yè)化的共享共用身份管理服務(wù)逐步替代孤島隔離的分散的身份管理;
(5)基于大數(shù)據(jù)的行為溯源和追蹤技術(shù)加強了對網(wǎng)絡(luò)實體的可信管理與追溯等[2]。
電子認證技術(shù)的這種變化,也被當成業(yè)界努力應(yīng)對傳統(tǒng)電子認證技術(shù)所面臨的重大挑戰(zhàn)時,有效發(fā)展的成果;但是,站在更大的視野來看,當今的網(wǎng)絡(luò)空間治理是治理現(xiàn)實社會與虛擬社會相結(jié)合的“新社會”[3]。應(yīng)當看到,任何一種通過對身份的鑒別決定對資源的訪問權(quán)的方法,客觀上都會造成主體間的等級分化,本質(zhì)上是制定了一種等級制度。這種制度的制定,應(yīng)當在更大的視野下,考慮底線思維,以適應(yīng)公平、公正的基本要求,這是本文要考慮的問題。
長期以來,電子認證是一個未經(jīng)嚴格定義的技術(shù)詞匯。即使在《電子認證2.0 白皮書》中,也采用了“民間”關(guān)于此概念的說法。電子認證隱含了身份標識(identification)、身份驗證與證明(certification and proof)、身份鑒別(authentication)與授權(quán)(authorization)等過程的復(fù)合涵義,實際上等同于常用的訪問控制[4-5]的含義。在ISO7498-2中,訪問控制被定義為,基于訪問認證和數(shù)據(jù)對象的一種選擇性地允許或禁止某種資源訪問的安全技術(shù)。訪問控制涉及到訪主體(subject)和客體(object)兩個方面。
全國信息安全標準化技術(shù)委員會鑒別與授權(quán)工作組發(fā)布的《電子認證2.0 白皮書》中倡導(dǎo):“專業(yè)化的共享共用身份管理服務(wù)逐步替代孤島隔離的分散的身份管理”與“基于大數(shù)據(jù)的行為溯源和追蹤技術(shù)加強網(wǎng)絡(luò)實體的可信管理與追溯”。這實際上是強調(diào),在ISO7498-2 中,在訪問請求信息中主體信息的身份信息部分附加更多的輔助信息。如圖1 所示,該模型是一個含有附加信息的典型認證模型。這些信息,與主體的既往行為有關(guān),而既往的行為是人工智能方法通過對大數(shù)據(jù)分析獲得的。在訪問控制機制中,決策依據(jù)不再單純是主體的標識,而已經(jīng)包含了“身份”一詞的另一重含義——社會中的位置(status)。Status 一詞源于拉丁語statum,是stare的過去分詞,本意是“立得住”的程度,即地位狀況。對一個人來說,他的identification,比如姓名或身份證號,只是他的標識;而status 才是他的處境、他的地位、他的法律地位,以及當人們使用“身份”這個詞匯時內(nèi)心里想表達的那個真正的含義。
圖1 訪問控制模型
因此,通過這樣深入理性的分析可知,當信息安全業(yè)界使用“身份認證”一詞時,即使長期以來,強調(diào)了對identification的認證,但是事實上,從《電子認證白皮書2.0》開始,已經(jīng)更多地包含了對status(可以理解為“法律地位”)的認證。
無論在現(xiàn)實社會,還是在虛擬社會,對任何人(實體)賦予一個標識(identification),是一個純技術(shù)問題;但是承認他的地位(status),并繼而根據(jù)其后續(xù)的表現(xiàn)修改其地位(status)的工作,則屬于典型的社會管理范疇。
基于status的認證,要比簡單基于identification的認證,更符合《電子認證2.0 白皮書》倡導(dǎo)集中的身份認證服務(wù)和經(jīng)人工智能技術(shù)對大數(shù)據(jù)檢測獲取的“身份”信息時,所想表達的含義。
實體“身份”一詞實際包含兩重涵義,一是對實體的標識,二是實體的重要性、社會地位、法律地位、被公認的貴賤程度等。第一重涵義可由詞匯實體標識表達,對應(yīng)的英文是identification;第二涵義就是實體的身份地位,對應(yīng)的詞匯是status。在現(xiàn)實社會,判別與決定把一項資源是否授權(quán)給某個實體,依據(jù)的不是這個實體的標識(identification),而是這個實體的身份地位(status)。這與網(wǎng)絡(luò)虛擬社會中,判定是否將某一資源授權(quán)于某個實體所遵循的依據(jù)是可類比的。因此,當談到身份認證時,實際上是對status的鑒別,identification 只是賴以檢索該status的指標,而不是本身。恰如在法院,具有審判權(quán)力的是當庭法官這個身份,而不是特定的法警的警號,警號只是賴以判斷某人是否為當庭法官的索引,而不是判斷的直接依據(jù)。
建議引入status 概念,以專門表達在身份問題中,實體標識(identification)無法表達的,與該標識所關(guān)聯(lián)的實體本身的“身份”的涵義。
上述分析可見,即使傳統(tǒng)的身份認證過程,其實本質(zhì)上也是對英文status 所表達的涵義的認證,只是由于詞匯的模糊,其本質(zhì)(status)被隱匿在了其標識(identification)之后了;而隨著電子認證技術(shù)的發(fā)展與電子認證內(nèi)涵的豐富,已經(jīng)需要解開這種隱匿,使身份的復(fù)合涵義得到揭示與正視。
如圖2 所示是引入status 認證的訪問控制架構(gòu)。
圖2 引入status 認證的訪問控制架構(gòu)
status 認證的訪問控制將完整的身份認證過程拆解為兩個步驟:一是主體訪問請求過程中主體對身份鑒別機構(gòu)的請求過程,二是身份鑒別機構(gòu)對客體資源控制機構(gòu)的請求過程。為此設(shè)立獨立的身份鑒別服務(wù)機構(gòu),其職能是:
(1)管理主體(subject)的雙重因性(identification和status)的關(guān)系;
(2)建立并持續(xù)完善可與客體管理機構(gòu)便于協(xié)同的主體status 庫;
(3)與各客體管理機構(gòu)(授權(quán)機構(gòu))持續(xù)協(xié)商客體的授權(quán)依據(jù),作為與主體關(guān)聯(lián)的新的status內(nèi)容;
(4)管理控制客體與主體之間的安全傳輸通道。
下文內(nèi)容通過制定主體訪問客體的過程規(guī)范,說明新的架構(gòu)的工作流程及新的訪問控制機制。
主體要訪問某網(wǎng)站的客體資源時(以主體訪問網(wǎng)站1 為例),發(fā)出訪問請求,這個訪問請求并不直接送達網(wǎng)站1,而是送往獨立的身份認證服務(wù)器;身份認證服務(wù)器收到此訪問請求,解析主體標識(identification)以及擬訪問的網(wǎng)站1;經(jīng)過下述的身份認證服務(wù)器實現(xiàn)的功能過程,決定是否允許給主體訪問相應(yīng)客體的內(nèi)容。如果允許,向主體與客體管理機構(gòu)發(fā)出允許響應(yīng)指令,并建立主體與客體之間的符合安全策略要求的傳輸通道,進入允許訪問的處理過程;如果不允許,給出拒絕響應(yīng)指令,結(jié)束認證過程。
其中,身份認證服務(wù)器實現(xiàn)的功能與過程為:
(1)查詢此identification 希望訪問的網(wǎng)站1的備案信息,讀取可以表征該網(wǎng)站1 邏輯控制的信息;
(2)認證服務(wù)器根據(jù)網(wǎng)站1的邏輯控制信息,結(jié)合用戶的identification,聯(lián)合查詢identification&status 數(shù)據(jù)庫,取得足以表征網(wǎng)站1是否可以向來訪主體授權(quán)的status 數(shù)據(jù),通過安全傳輸信道發(fā)送給網(wǎng)站1;
(3)身份認證服務(wù)器記錄該主體的訪問請求,并據(jù)此維護該主體的status;
(4)身份認證服務(wù)器持續(xù)地與網(wǎng)站1 保持聯(lián)絡(luò),獲取來自網(wǎng)站1 對該訪問主體的行為評價,作為維護identification&status 數(shù)據(jù)庫的重要參考,也作為對網(wǎng)站1的可信程度的評定依據(jù);
(5)根據(jù)訪問主體最初的訪問請求信息,以及網(wǎng)站1的授權(quán)反饋信息,由訪問控制服務(wù)器決定是否在主體與客體之間建立安全傳輸通道。
Status 數(shù)據(jù)庫是一個核心的組成構(gòu)件,其作用是保存所有客體(如網(wǎng)站1)的各種訪問控制條件(可能是一組術(shù)語表或命名空間的邏輯正則表達),以及根據(jù)各個主體的歷史行為經(jīng)綜合判別所給出的符合性判定。
Status 數(shù)據(jù)庫本質(zhì)上是一個用于描述主體身份(法律地位或按規(guī)則賦予的地位)的多維度數(shù)據(jù)集。其數(shù)據(jù)的變化不取決于主體的個別行為,或網(wǎng)站的個別反饋信息,而依賴于長期的行為積累。在虛擬社會中,這可以由人工智能通過大數(shù)據(jù)分析用戶的歷史行為,結(jié)合初始賦值建立。
引入status的身份認證架構(gòu),最直接的結(jié)果是,用戶的identification(具體來講是身份證號碼、電話號碼、姓名)不再直接暴露在各個網(wǎng)站。網(wǎng)站僅負責向身份認證管理機構(gòu)報備自己的安全控制策略以便身份認證管理機構(gòu)判別什么樣的主體可以獲得授權(quán),而這些具體的網(wǎng)站不再期望獲得網(wǎng)民的實名。這樣就可以有效避免網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)空間治理中的很多衍生難題。
Status 數(shù)據(jù)庫的建立,在技術(shù)上使得人工智能、大數(shù)據(jù)等新技術(shù)用于網(wǎng)絡(luò)空間治理成為可能;在管理上也可以有效避免因?qū)嵜票粸E用所衍生的重大社會管理代價。但是由于這些數(shù)據(jù)的產(chǎn)生,本質(zhì)上是建立在網(wǎng)絡(luò)主體的初始賦值和個人歷史行為的,這使得status具有了與現(xiàn)實社會類似的價值與意義,有的是負面的。
雖然尚不能實證地得到此方案可能引發(fā)的負面問題,但是借助于現(xiàn)實社會中status(身份地位)在社會管理中的重要作用,可以類比的推想虛擬社會中由status 可能引入的負面問題。
可以想象,負面的問題一定是不可避免的,因而政府的正確干預(yù)是極其必要的。如果偏離了政府的正確管理,即使假設(shè)人工智能的感知能力完全與人類社會對人的評價能力一致,也會出現(xiàn)超越底線的問題。英國著名學(xué)者阿蘭·德波頓在其《身份的焦慮》一書中,對現(xiàn)實社會中的身份問題有非常深刻、系統(tǒng)和富有啟發(fā)的研究[6],其主要思想簡要歸納為:
(1)在虛擬空間,人們會像在現(xiàn)實社會中祈財求名提高聲望一樣,努力在虛擬世界追求status;
(2)在網(wǎng)絡(luò)空間所獲取的status,將如同現(xiàn)實社會中的名望勢力和地位一樣,成為趨利的對象,而人類社會中種種社會問題也將可能搬上虛擬空間,比如傲慢、偏見、歧視、盲目崇拜等;
(3)對物質(zhì)、平等的過度的期望,嫉妒心理的泛濫等;
(4)對精英的過度崇拜,把身份與德行關(guān)聯(lián)起來,認為好的status 不會與愚蠢、有罪和墮落掛鉤。
正如現(xiàn)實社會中,status 有那么多負面作用,人類社會依然通過status 有效地管理了社會進程一樣,因此在虛擬空間,基于status的管理制度在很大程度上也是必須的。那些種種負面作用,只是必不可少的代價。
正如前文所說,未來人們面對的社會必定是虛擬社會與現(xiàn)實社會緊密結(jié)合在一起的“新社會”,而采用了status 數(shù)據(jù)庫的管理方式,更加接近于現(xiàn)實社會的傳統(tǒng)方式。這是因為現(xiàn)實社會的這種管理方式,是全世界范圍內(nèi)經(jīng)過數(shù)千年演進到今天的,是經(jīng)過了歷史的檢驗的。
當然,有些因素是要有特殊安排的。比如必要時可以啟動人工干預(yù)的方式,修正那些人工智能的運算可能引起的極端情況。
本文首先聚焦了電子身份認證問題中“身份”的涵義問題;其次通過深入的辨析,構(gòu)建了通過對status 認證來實現(xiàn)未來網(wǎng)絡(luò)身份認證的全新身份認證體系架構(gòu)。該架構(gòu)引入了一個公共基礎(chǔ)設(shè)施,服務(wù)于訪問主體(網(wǎng)民)與訪問客體(被訪問網(wǎng)站的各類資源)。這種公共基礎(chǔ)設(shè)施及其所隱含的管理機制,本質(zhì)上可視為在網(wǎng)絡(luò)空間管理中,將現(xiàn)實社會管理體系中公安部門的治安機構(gòu)與社區(qū)的某些社會安全管理職能的數(shù)字化實現(xiàn)。該架構(gòu)可以有效解決目前流行的身份認證方案所面臨的問題,如可以防止由于直接將用戶個人隱私信息暴露給被訪問網(wǎng)站所造成的個人隱私易被泄露的風險,也可杜絕隱私泄露后的網(wǎng)絡(luò)詐騙風險。本架構(gòu)符合全國信息安全標準化技術(shù)委員會鑒別與授權(quán)工作組發(fā)布的《電子認證2.0 白皮書》中關(guān)于鼓勵建立獨立的身份認證服務(wù)機構(gòu)的倡議。最后討論表明,基于status的認證方案,使未來網(wǎng)絡(luò)的虛擬社會具有與傳統(tǒng)的現(xiàn)實社會類似的管理依據(jù),更符合人類社會演進的習(xí)慣性和規(guī)律性。討論發(fā)現(xiàn),現(xiàn)實社會的主體到虛擬社會的主體的認證的問題,本質(zhì)上是一個跨越并銜接現(xiàn)實與虛擬兩界的社會管理問題。進而可以建議,國家構(gòu)建具有公共管理職能的服務(wù)管理體系,以通過科學(xué)配套的國家法律、行政法規(guī)、制度政策、行為規(guī)范和操作標準,來改變目前虛擬與現(xiàn)實社會中共同存在的由于網(wǎng)絡(luò)空間隱私泄露所造成的各類犯罪現(xiàn)象難以根治的困局。未來的路還很長,但本架構(gòu)可以作為物性的支撐基礎(chǔ)設(shè)施的雛形。