美国网络空间可信身份战略的谋划及启示

内部资料赛迪专报2011年第18期（总第40期）2011年6月22日工业和信息化部赛迪研究院美国网络空间可信身份战略的谋划及启示2011年4月15日，美国发布了《网络空间可信身份国家战略》（NSTIC

内部资料

赛迪专报

2011年第18期（总第40期）

2011年6月22日

工业和信息化部赛迪研究院

美国网络空间可信身份战略的谋划及启示

2011年4月15日，美国发布了《网络空间可信身份国家战略》（NSTIC），计划用10年左右的时间，构建一个网络身份生态体系，推动个人和组织在网络上使用安全、高效、易用的身份解决方案。为此，美国成立了专门的主管办公室（NPO），负责协调政府和私人部门的活动，并牵头制定实施路线图。身份管理关系到网络空间的安全和发 

 ‐ 1 ‐ 

展，美国此举旨在谋求对网络空间的主导权和控制权，并希望通过繁荣网络经济再次引领世界经济新潮流，占领未来全球经济制高点。

一、NSTIC的出台背景

NSTIC是对2009年发布的《网络空间安全评估》（以下简称《安全评估》）的响应。2009年5月，奥巴马政府发布了《安全评估》，突出强调了网络空间的战略地位，指出美国当前网络安全形势严峻，并设定了网络安全近中期行动计划，其中明确要建立基于网络安全的身份管理战略，保障隐私与公民自由。NSTIC正是落实近中期行动计划的一项战略措施，其出台具体背景是：

美国网络安全形势严峻，网络身份管理重要性日益凸显。美国是高度依赖信息网络的国家，整个社会运转已经与网络密不可分。随着网络成为国家依赖生存的神经单元，美国网络空间安全形势日益严峻。据2009年美国国土安全部的报告称，2005年共有4095起针对美国政府和私营部门的网络攻击，但2008年这一数字已增长至7.2万起。这些攻击使关键基础设施和敏感信息保护面临威胁，给美 

 ‐ 2 ‐ 

国造成巨大损失。美国政府日益认识到，一个可以确认网络主体身份的网络空间已是越来越重要，但目前，美国网络欺诈、身份盗用等相关问题非常突出。据统计，2010年美国有810万人遭受身份盗用或网络欺诈，造成370亿美元的损失；另据Trusteer报告，美国金融机构每周会遭受16次网络钓鱼攻击，每年造成240-940万美元损失。

HSPD-12实施效果明显，有必要将网络身份管理从联邦政府推广至整个网络空间。2004 年8 月，美国出台了国土安全总统令第12 号（HSPD-12），为政府部门管理联邦雇员与合同制雇员提供了一套新型身份管理标准策略；该总统令有79个政府部门参与执行。2009年，美国政府还出台了联邦身份、凭证与接入管理路线图与实施指南等相关政策和措施。该政策实施效果明显，在保障网络安全方面发挥了很大作用。以国防部为例，实施强身份认证后网络攻击数量降低了46以上。在联邦政府之外，很多商业企业也在网络身份管理方面做了不少努力，如OpenID 身份管理平台、微软的Windows CardSpace 等，Facebook也正在展开“1帐号N 用途”服务，任何拥有Facebook 账 

 ‐ 3 ‐ 

号的人都可以通过Facebook 账户登录其他网站。随着美国经济运作、商业活动越来越依赖庞大而复杂的网络，美国政府认识到有必要将身份管理推广到包括私人部门在内的整个网络空间。

欧盟、韩国等国家和地区加快在信息网络中引入和部署身份管理。在战略层面、技术层面，欧盟为网络身份管理的大范围部署与推广作了充足的准备。从2002开始的FP6计划，相继开展了FIDIS，Traser，Stork等与身份管理相关的研究，包括在电子政务、信息网络与未来网络中如何引入并部署身份管理，包括关键技术、架构、平台、应用场景等。欧盟的eIDM 一揽子研究计划在2010年实现了整个欧盟范围内电子身份（eID）的启用，欧盟成员国公民持有电子身份即可在欧盟内任一国家享受相应的求职、医疗、保险等一系列社会服务。韩国推行“I-PIN”认证多年，授权几家“身份服务提供商”建立身份验证平台，给网络用户发I-PIN，并以此注册所有实名业务。

二、NSTIC的主要内容

NSTIC 旨在通过政府推动和产业界努力，建立一个以用户为中心的身份生态体系。在该体系环境下，个人和组 

 ‐ 4 ‐ 

织遵循协商一致的标准和流程来鉴别和认证数字身份，从而实现相互信任。NSTIC 共八章，核心内容包括指导原则、前景构想、身份生态体系构成、任务目标和行动实施。

NSTIC 明确身份生态体系必须遵循四个原则。一是身份解决方案应当增强隐私保护并且由公众自愿应用；二是身份解决方案应当是安全、可扩展的；三是身份解决方案应当是互操作的；四是身份解决方案应当是高效且易于应用的。这四个指导原则是任务目标和行动实施的基础。

NSTIC 前景构想反映了一种以用户为中心的身份生态体系。NSTIC 提出的构想是：个人和组织可利用安全、高效、易用和具备互操作的身份解决方案，在一种信心提高、隐私保护意识增强、选择增多和创新活跃的环境下获得在线服务。该构想反映了一种以用户为中心的身份生态体系，适用于个人、企业、非盈利组织、宣传团体、协会和各级政府。

NSTIC 提出身份生态体系由参与者、策略、流程和相关技术构成。参与者主要包括个人、非个人实体、身份提供者、属性提供者、依赖方等。个人或非个人实体（如组 

 ‐ 5 ‐ 

织、软件、硬件和服务等）是在线交易或使用在线业务的主体，他们从身份提供者处获得身份证书，从属性提供者处获得相关属性声明，并将身份证书和属性声明直接展示给依赖方，以从事在线交易或使用在线业务。身份生态体系的策略基础是身份生态体系框架，该框架为体系的所有参与者提供一套基础标准和政策，这些基础标准和政策提供了最低的安全保障，同时也说明更高级别安全保障的详细细节，以确保参与者能获得足够的保护。

为确保身份生态体系的建立，NSTIC明确了四项任务和目标。一是制定身份生态体系框架，细分任务包括建立隐私增强保护机制、建立基于风险模型的身份鉴别和认证标准、界定参与者的责任并建立问责机制、建立指导小组对制定标准和认证流程进行管理；二是建立和实施身份生态体系，细分任务包括发挥私人部门、联邦政府、以及国家、地方、司法、国土等政府部门的作用，建立和实施身份生态体系互操作基础设施；三是增强用户参与身份生态体系的信心和意愿；四是确保身份生态体系的长期成功和可持续性。

 ‐ 6 ‐ 

NSTIC 明确了身份生态体系实施各方职责和进度计划。实施身份生态体系需要政府部门和私人部门的共同努力，NSTIC明确了私人企业负责具体建立和实施身份生态体系，联邦政府负责指引和保障，NPO负责制定实施路线图等。同时，NSTIC还明确了在3-5年内身份生态体系的技术、标准初步具备实施条件；10年内身份生态体系基本建成。

三、NSTIC的战略意图

NSTIC是在美国网络安全战略发生重大转变背景下提出的，是美国网络安全战略的重要构成。作为美国首个网络空间身份管理战略，其战略意图十分明显。

第一，积极应对网络安全威胁，加强网络防御并建立网络威慑。奥巴马总统上台后，开始全面谋求制网权，在加强网络防御的同时，实施网络威慑，旨在遏制日益增长的网络攻击，保护美国关键基础设施安全。网络安全与身份管理的关系不言而喻，身份管理对网络防御极其关键。要想积极防御必须先了解网络上有哪些主体；而网络威慑重在影响对手，必须识别和确知最有能力的网络行动者， 

 ‐ 7 ‐ 

这需要通过身份管理进行归因判断。NSTIC的出台，极大推进了对个人、组织以及相关基础设施的识别能力，通过身份管理建立了网络空间的信任，从而加强网络防御并建立网络威慑。

第二，保持美国在网络空间的技术优势，增强对网络空间的掌控。美国在网络空间有着巨大优势，从芯片到操作系统，从根服务器到域名管理，美国对网络空间的掌控已经远远超出其他任何国家，形成了垄断性优势。身份管理技术在网络上有着广泛需求，美国很早就开始身份管理技术研发和部署，国家标准协会（ANSI）、国家标准技术研究所（NIST）成立了标准组并发布了相关标准，2004年美国开始在联邦政府部署身份管理。在对内加强研发部署的同时，对外利用自身技术优势，美国牢牢把握住了在各标准化组织中的话语权，如在ITU-T中美国是研究工作的主导力量。此次美国公布NSTIC，是希望通过在整个网络空间部署身份管理技术，进一步加强美国在网络空间的巨大影响力，确保对网络空间的掌控。

第三，为获取用户信息提供合法渠道，实现美国对网上身份、行为的更好管控。为了国家安全，美国一直都在 

 ‐ 8 ‐ 

监控和管制网络信息。NSTIC出台，拟将身份管理作为一种基础服务推向社会方方面面，给美国监控和管制网络信息提供新的途径。目前Yahoo，PayPal，Google，Equifax，AOL，VeriSign等科技厂商都宣布支持NSTIC 实施，一些厂商在政府推动下还共同成立了开放身份交换组织，提供建立公共身份管理系统与私有身份管理系统身份凭证交换的信任机制。公民或网络用户信息掌握在作为身份提供者的大型科技公司手中，不排除公众信息包括隐私信息在必要情况下受到监控或提供给美国国家机构的可能性。例如，在维基解密事件中，美国司法部曾要求“推特”提供若干支持维基揭秘网站用户的诸多信息。NSTIC无疑会进一步加强美国对网上身份、行为的掌控。

第四，繁荣网络经济，巩固美国全球经济霸权地位。奥巴马政府上台后，将网络创新视为重振经济的引擎，在政府的推动下，美国网络技术发展进入新一轮高潮，云计算、智慧地球、物联网、移动互联网等均引领世界潮流。随着美国经济越来越依赖网络，网络环境面临的信任威胁越来越突出，各项在线业务发展受到阻碍，可信网络环境更显得非常重要。NSTIC的推出，旨在通过在网络空间部 

 ‐ 9 ‐ 

署身份管理，推进在线业务安全、便利、高效地开展，增进网络信任，促进更多业务在网上开展和服务创新，从而繁荣网络经济，占领未来全球经济的制高点，进一步维护美国全球经济霸权地位。

四、对我国的几点启示

身份管理关系到未来网络基础设施，同时涉及到技术、社会、法律、国家政策等多方面因素。欧美等发达国家对网络空间身份管理高度重视，各国都希望充分发挥自己在此领域的主导作用。美国NSTIC 的出台，对我国网络安全工作具有诸多启示。

第一，尽快制定我国网络空间可信身份国家政策。随着我国经济社会活动对网络依赖性增强，各行业对网络空间可信身份都提出了需求，如网上购物、网上银行、网上社保等，身份管理成为确保网络空间繁荣和健康发展的关键。未来身份管理将更加重要，美国、欧盟等都在加强身份管理技术研发和部署，已经形成较强的技术优势。对我国而言，如果不及时加以部署和研发，将很可能丧失在未来网络中的话语权。为此，必须将可信身份上升到国家战 

 ‐ 10 ‐