國際篇

第四章 美國網絡可信身份服務業進展及啟示

第一節 美國網絡空間可信身份國家戰略概要

2011年4月15日，為響應2009年《網絡空間安全評估》中提出的“建立基于網絡安全的身份管理戰略，保障隱私與公民自由”，美國發布了《網絡空間可信身份國家戰略》（簡稱“NSTIC”），計劃用10年左右的時間，構建一個網絡身份生態體系，推動個人和組織在網絡上使用安全、高效、易用的身份解決方案。NSTIC共8章，核心內容包括指導原則、前景構想、身份生態體系構成、任務目標和行動實施等。

一、NSTIC明確了身份生態體系必須遵循四項原則

一是身份解決方案應當增強隱私保護并且由用戶自愿應用。政府不會命令用戶必須獲得屬于身份生態體系的憑據，機構也不會強迫要求用戶提供屬于身份生態體系的憑據作為唯一的交互工具。用戶將自由選擇使用滿足依賴方所要求的最低風險的身份生態體系的憑據，或使用由信任方提供的非身份生態體系機制的服務。

二是身份解決方案應當是安全、可擴展的。安全性既能夠保證身份解決方案的保密性、完整性和可用性，又能夠在必需的時候保障業務的不可抵賴性。身份解決方案同時應是可用的、適應性強的，在多樣化的身份生態系統中，如果服務提供商破產、不能堅持政策或轉變服務主題，那么參與者可以簡單地更換服務提供商。

三是身份解決方案應當是互操作的。鼓勵服務提供商接受多種多樣的憑據和身份媒介，使個體能夠使用多種憑據來向服務提供商出具他們的數字身份；此外，身份解決方案的互操作性將使個體能夠輕松地更換服務提供商，這樣將合理調動市場的激勵機制滿足個體的期望。

四是身份解決方案應當是高效且易于應用的。對用戶而言，身份解決方案將減少甚至消除由于技術及政策造成的需要個人維護多個身份憑據的情況，用戶只需要維護較少的身份憑據，即可訪問服務提供商；而且，身份解決方案應當易懂、直觀、易用，用戶只需較少的培訓即可使用，尤其是要便于弱勢群體使用。對服務提供者而言，身份解決方案是能夠降低交易成本、提高運營效率的。

二、NSTIC提出以用戶為中心的身份生態體系構想

NSTIC提出的身份生態體系構想是：個人和組織可利用安全、高效、易用和具備互操作的身份解決方案，在一種信心提高、隱私保護意識增強、選擇增多和創新活躍的環境下獲得在線服務。該構想反映了一種以用戶為中心的身份生態體系，適用于個人、企業、非營利組織、宣傳團體、協會和各級政府等。

三、NSTIC提出身份生態體系由參與者、策略、流程和相關技術構成

參與者主要包括個人、非個人實體、身份提供者、屬性提供者、依賴方等。個人或非個人實體（如組織、軟件、硬件和服務等）是在線交易或使用在線業務的主體，他們從身份提供者處獲得身份證書，從屬性提供者處獲得屬性聲明，并將身份證書和屬性聲明直接展示給依賴方，以從事在線交易或使用在線業務。身份生態體系的策略基礎是身份生態體系框架，該框架為體系的所有參與者提供一套基礎標準和政策，這些基礎標準和政策提供了最低的安全保障，同時也說明更高級別安全保障的詳細細節，以確保參與者能獲得足夠的保護。

四、NSTIC明確身份生態體系構建的目的

一是建立綜合的身份生態體系框架，細分任務包括：以公平信息實踐原則（FIPPs）為基礎，建立隱私增強保護機制；扶持私營機構建立基于風險模型的身份鑒別和認證標準，并盡可能與國際一致；界定參與者的責任，建立問責機制和補救流程，解決身份憑據被錯誤發放或利用，以及身份系統導致的其他錯誤問題；建立指導小組對制定標準和認證流程進行管理。

二是建立和實施可互操作的身份生態體系，細分任務包括：促進私營機構基于商業利益自愿實施身份生態體系，促進州、地方、部落和自治政府參與身份生態體系，促進聯邦政府采用身份生態系統，建設和實施身份生態體系互操作基礎設施。

三是增強用戶參與身份生態體系的信心和意愿。通過宣傳和教育，讓公眾知情并積極參與；聯邦政府鼓勵其他可推動身份生態系統廣泛使用的手段。

四是確保身份生態體系的長期成功和可持續性。細分任務包括：通過科技和研發推動創新；推動身份生態系統的國際化。

五、NSTIC明確身份生態體系實施各方的職責和進度計劃

實施身份生態體系需要政府部門和企業的共同努力，NSTIC明確了私人企業負責具體建立和實施身份生態體系，聯邦政府負責指引和保障，國家項目辦公室負責制定實施路線圖等。同時，NSTIC還明確了在3～5年內使身份生態體系的技術、標準初步具備實施條件；10年內使身份生態體系基本建成。