- 2018—2019年中國網絡可信身份服務發展藍皮書
- 中國電子信息產業發展研究院(賽迪研究院)
- 1834字
- 2020-03-02 16:11:15
第二節 美國網絡空間可信身份國家戰略(NSTIC)實施情況
NSTIC是在美國網絡安全戰略發生重大轉變的背景下提出的,是美國網絡安全戰略的重要構成。在NSTIC的指引下,美國政府、行業聯盟和企業不斷推進可信身份的發展。
一、美國商務部NSTIC國家項目辦公室統籌協調NSTIC推進實施
美國商務部NSTIC國家項目辦公室與國家電信和信息管理局合作,共同推進NSTIC實施。NSTIC國家項目辦公室的主要職責包括:一是促進私營機構參與身份生態系統建設;二是為實現可信身份戰略的愿景,建立必要的具有一致性的法律和策略框架;三是與業界合作,研究需要制定的新標準和合作領域;四是支持為達成計劃目標所需要的跨機構的協作與協調;五是對國家戰略及實現活動的進度進行評估,包括目的、目標及里程碑等;六是促進重要的網絡空間可信身份國家戰略的引導項目和其他實現項目的開展。
此外,為推進身份生態體系建設,美國國家標準技術研究院投入資金,設立了由私營機構主導的指導委員會—身份生態體系指導小組(IDESG)。IDESG于2012年8月正式成立,主要職責是基于NSTIC的指導原則,研究制定網絡可信身份生態體系框架及一系列網絡可信身份標準、最佳實踐和協議。
二、出臺網絡可信身份體系框架等一系列政策和標準
NSTIC發布后,在美國政府的支持下,IDESG積極開展網絡可信身份體系框架制定工作,并于2015年10月15日發布了《網絡可信身份生態體系框架》第一版(以下簡稱“體系框架第一版”)。體系框架第一版包含了體系框架功能模塊、體系框架基本功能要求及補充指南、體系框架認證機制三個核心文件,為所有身份框架體系的參與者提供了一套基本的標準和政策。在該體系框架下,私營機構可以建立多個信任框架。例如,建立用于識別智能卡物理和邏輯訪問的信任框架,或建立由移動電話供應商開發的、使消費者和企業能夠使用移動設備進行安全、隱私增強的身份和訪問管理的信任框架。
與此同時,美國國家標準技術研究院也加快了網絡可信身份標準規范研制工作。2017年發布了新修訂的數字身份指南(NIST SP 800-63)系列標準,為聯邦機構提供數字身份服務提出了要求。該系列標準包括數字身份指南、注冊和身份證明指南、身份認證和身份數據全生命周期管理指南等,描述了身份框架概述,在數字系統中使用身份認證器、憑據和斷言,以及選擇保證級別的基于風險的過程。與舊版本相比,新版NIST SP 800-63有幾個重大變化:一是將保證級別分解為身份證明、身份認證和聯合聲明等幾個獨立的部分;二是創建了多個章節,明顯區分規范性語言和信息性語言,使得每個章節都包含強制性要求和推薦性措施;三是在英國和加拿大同行的支持下,對身份認證進行了重大改革,支持通過虛擬渠道進行親自認證;四是闡明了基于知識的認證僅限于身份認證過程的特定部分;五是解決了集中生物特征匹配所需的安全性問題等。
三、通過政務示范應用和資金投入推進身份生態體系建設
NSTIC發布后,NSTIC國家項目辦公室啟動實施試點計劃,推動可實現NSTIC愿景和網絡可信身份服務市場的發展。2012—2016年,試點計劃共支持了24個項目,提供了4500多萬美元資助,如表4-1所示。試點項目覆蓋醫療、金融、教育、零售、航空航天、政府等領域,主要集中在三個方面:一是身份服務市場發展;二是新興的身份服務框架和組件;三是身份服務標準和互操作性。試點機構既包括政府部門,也包括私營機構。例如,2014年美國政府撥款240萬美元給密歇根州和賓夕法尼亞州,用于開展可信身份識別系統的試點工作,主要試點內容是可信身份的跨地區互聯互通和電子政務統一ID項目。在技術方案層面,兩個地區采用了州內政府部門使用統一身份數據庫的技術,并積極探索使用隱私增強技術。又如,2016年美國政府撥款375萬美元給ID.me公司,主要試點內容是向得克薩斯州奧斯汀市提供一種共享經濟相關利益各方均可接受的身份解決方案,向緬因州提供聯邦身份模型以增加公民獲得福利的機會,并在聯邦和州兩級演示可互操作的憑據。
表4-1 2012—2016年NSTIC試點項目
四、美國企業構建多個聯盟推進網絡可信身份服務發展
美國企業已構建多個聯盟推進網絡可信身份服務發展。例如,卓越身份聯盟(Better Identity Coalition),該聯盟致力于推動形成跨地區跨部門互聯互通的身份認證解決方案。該聯盟的創始成員包括來自不同領域的領導者,還包括金融服務、醫療保健、技術、電信、金融科技、支付和安全等領域的公司。這些公司包括Aetna、Bank of America、IDEMIA、JPMorgan Chase、Kabbage、Mastercard、Onfido、PNC Bank、Symantec、US Bank和Visa等。某些NSTIC的顧問和負責人也加入了部分企業,繼續開展可信身份服務相關工作。例如,NSTIC前負責人格蘭特成為了一家相關企業的技術總監,積極倡導政府部門與企業合作,為在線服務提供更安全和易用的身份識別解決方案。