國際篇

第四章 美國網(wǎng)絡(luò)可信身份服務(wù)業(yè)進(jìn)展及啟示

第一節(jié) 美國網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略概要

2011年4月15日，為響應(yīng)2009年《網(wǎng)絡(luò)空間安全評估》中提出的“建立基于網(wǎng)絡(luò)安全的身份管理戰(zhàn)略，保障隱私與公民自由”，美國發(fā)布了《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》（簡稱“NSTIC”），計(jì)劃用10年左右的時(shí)間，構(gòu)建一個(gè)網(wǎng)絡(luò)身份生態(tài)體系，推動(dòng)個(gè)人和組織在網(wǎng)絡(luò)上使用安全、高效、易用的身份解決方案。NSTIC共8章，核心內(nèi)容包括指導(dǎo)原則、前景構(gòu)想、身份生態(tài)體系構(gòu)成、任務(wù)目標(biāo)和行動(dòng)實(shí)施等。

一、NSTIC明確了身份生態(tài)體系必須遵循四項(xiàng)原則

一是身份解決方案應(yīng)當(dāng)增強(qiáng)隱私保護(hù)并且由用戶自愿應(yīng)用。政府不會(huì)命令用戶必須獲得屬于身份生態(tài)體系的憑據(jù)，機(jī)構(gòu)也不會(huì)強(qiáng)迫要求用戶提供屬于身份生態(tài)體系的憑據(jù)作為唯一的交互工具。用戶將自由選擇使用滿足依賴方所要求的最低風(fēng)險(xiǎn)的身份生態(tài)體系的憑據(jù)，或使用由信任方提供的非身份生態(tài)體系機(jī)制的服務(wù)。

二是身份解決方案應(yīng)當(dāng)是安全、可擴(kuò)展的。安全性既能夠保證身份解決方案的保密性、完整性和可用性，又能夠在必需的時(shí)候保障業(yè)務(wù)的不可抵賴性。身份解決方案同時(shí)應(yīng)是可用的、適應(yīng)性強(qiáng)的，在多樣化的身份生態(tài)系統(tǒng)中，如果服務(wù)提供商破產(chǎn)、不能堅(jiān)持政策或轉(zhuǎn)變服務(wù)主題，那么參與者可以簡單地更換服務(wù)提供商。

三是身份解決方案應(yīng)當(dāng)是互操作的。鼓勵(lì)服務(wù)提供商接受多種多樣的憑據(jù)和身份媒介，使個(gè)體能夠使用多種憑據(jù)來向服務(wù)提供商出具他們的數(shù)字身份；此外，身份解決方案的互操作性將使個(gè)體能夠輕松地更換服務(wù)提供商，這樣將合理調(diào)動(dòng)市場的激勵(lì)機(jī)制滿足個(gè)體的期望。

四是身份解決方案應(yīng)當(dāng)是高效且易于應(yīng)用的。對用戶而言，身份解決方案將減少甚至消除由于技術(shù)及政策造成的需要個(gè)人維護(hù)多個(gè)身份憑據(jù)的情況，用戶只需要維護(hù)較少的身份憑據(jù)，即可訪問服務(wù)提供商；而且，身份解決方案應(yīng)當(dāng)易懂、直觀、易用，用戶只需較少的培訓(xùn)即可使用，尤其是要便于弱勢群體使用。對服務(wù)提供者而言，身份解決方案是能夠降低交易成本、提高運(yùn)營效率的。

二、NSTIC提出以用戶為中心的身份生態(tài)體系構(gòu)想

NSTIC提出的身份生態(tài)體系構(gòu)想是：個(gè)人和組織可利用安全、高效、易用和具備互操作的身份解決方案，在一種信心提高、隱私保護(hù)意識增強(qiáng)、選擇增多和創(chuàng)新活躍的環(huán)境下獲得在線服務(wù)。該構(gòu)想反映了一種以用戶為中心的身份生態(tài)體系，適用于個(gè)人、企業(yè)、非營利組織、宣傳團(tuán)體、協(xié)會(huì)和各級政府等。

三、NSTIC提出身份生態(tài)體系由參與者、策略、流程和相關(guān)技術(shù)構(gòu)成

參與者主要包括個(gè)人、非個(gè)人實(shí)體、身份提供者、屬性提供者、依賴方等。個(gè)人或非個(gè)人實(shí)體（如組織、軟件、硬件和服務(wù)等）是在線交易或使用在線業(yè)務(wù)的主體，他們從身份提供者處獲得身份證書，從屬性提供者處獲得屬性聲明，并將身份證書和屬性聲明直接展示給依賴方，以從事在線交易或使用在線業(yè)務(wù)。身份生態(tài)體系的策略基礎(chǔ)是身份生態(tài)體系框架，該框架為體系的所有參與者提供一套基礎(chǔ)標(biāo)準(zhǔn)和政策，這些基礎(chǔ)標(biāo)準(zhǔn)和政策提供了最低的安全保障，同時(shí)也說明更高級別安全保障的詳細(xì)細(xì)節(jié)，以確保參與者能獲得足夠的保護(hù)。

四、NSTIC明確身份生態(tài)體系構(gòu)建的目的

一是建立綜合的身份生態(tài)體系框架，細(xì)分任務(wù)包括：以公平信息實(shí)踐原則（FIPPs）為基礎(chǔ)，建立隱私增強(qiáng)保護(hù)機(jī)制；扶持私營機(jī)構(gòu)建立基于風(fēng)險(xiǎn)模型的身份鑒別和認(rèn)證標(biāo)準(zhǔn)，并盡可能與國際一致；界定參與者的責(zé)任，建立問責(zé)機(jī)制和補(bǔ)救流程，解決身份憑據(jù)被錯(cuò)誤發(fā)放或利用，以及身份系統(tǒng)導(dǎo)致的其他錯(cuò)誤問題；建立指導(dǎo)小組對制定標(biāo)準(zhǔn)和認(rèn)證流程進(jìn)行管理。

二是建立和實(shí)施可互操作的身份生態(tài)體系，細(xì)分任務(wù)包括：促進(jìn)私營機(jī)構(gòu)基于商業(yè)利益自愿實(shí)施身份生態(tài)體系，促進(jìn)州、地方、部落和自治政府參與身份生態(tài)體系，促進(jìn)聯(lián)邦政府采用身份生態(tài)系統(tǒng)，建設(shè)和實(shí)施身份生態(tài)體系互操作基礎(chǔ)設(shè)施。

三是增強(qiáng)用戶參與身份生態(tài)體系的信心和意愿。通過宣傳和教育，讓公眾知情并積極參與；聯(lián)邦政府鼓勵(lì)其他可推動(dòng)身份生態(tài)系統(tǒng)廣泛使用的手段。

四是確保身份生態(tài)體系的長期成功和可持續(xù)性。細(xì)分任務(wù)包括：通過科技和研發(fā)推動(dòng)創(chuàng)新；推動(dòng)身份生態(tài)系統(tǒng)的國際化。

五、NSTIC明確身份生態(tài)體系實(shí)施各方的職責(zé)和進(jìn)度計(jì)劃

實(shí)施身份生態(tài)體系需要政府部門和企業(yè)的共同努力，NSTIC明確了私人企業(yè)負(fù)責(zé)具體建立和實(shí)施身份生態(tài)體系，聯(lián)邦政府負(fù)責(zé)指引和保障，國家項(xiàng)目辦公室負(fù)責(zé)制定實(shí)施路線圖等。同時(shí)，NSTIC還明確了在3～5年內(nèi)使身份生態(tài)體系的技術(shù)、標(biāo)準(zhǔn)初步具備實(shí)施條件；10年內(nèi)使身份生態(tài)體系基本建成。