全球网络身份管理的现状与发展(txt+pdf+epub+mobi电子书下载)

作者：胡传平 邹翔 杨明慧 严则明　等编著

出版社：人民邮电出版社

格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT

全球网络身份管理的现状与发展试读：

前言

第1章 网络身份管理综述

1.1 什么是网络身份管理

1.1.1 网络身份管理的基本概念

1.1.2 网络身份管理的参与方

1.1.3 网络身份管理需求

1.2 网络实名制

1.3 网络身份管理与网络实名制的区别

1.4 网络身份管理的关键作用

1.4.1 保障网络空间安全

1.4.2 保护个人财产安全与隐私

1.4.3 提高社会管理与服务效率

第2章 欧洲网络身份管理现状

2.1 欧盟网络身份管理发展现状

2.1.1 研究框架计划（1998～2002年）

2.1.2 战略计划和路线图（2000～2008年）

2.1.3 推进情况和发展趋势（2009年）

2.2 欧盟相关技术发展现状

2.2.1 技术标准

2.2.2 研究项目

2.3 欧盟相关法律法规现状

2.3.1 欧盟电子签名法

2.3.2 网络身份管理与隐私保护法律法规

2.4 欧盟各成员国发展现状

2.4.1 比利时

2.4.2 德国

2.4.3 奥地利

2.4.4 西班牙

2.4.5 爱沙尼亚

2.4.6 意大利

2.4.7 英国

2.5 俄罗斯

2.6 各国eID的官方网站

2.7 总结

第3章 亚洲网络身份管理现状

3.1 韩国发展现状

3.1.1 法律基础——居民登记法、电子签名法和电子商务基本法

3.1.2 网络审查立法和机构

3.1.3 效果及失败原因分析

图书在版编目（CIP）数据

全球网络身份管理的现状与发展/胡传平等编著.--北京：人民邮电出版社，2014.1

ISBN　978-7-115-33491-6

Ⅰ.①全…　Ⅱ.①胡…　Ⅲ.①计算机网络管理—研究　Ⅳ.①TP393.07

中国版本图书馆CIP数据核字（2013）第251321号

◆编著　胡传平　邹翔　杨明慧　严则明　等

责任编辑　邢建春

责任印制　杨林杰

◆人民邮电出版社出版发行　　北京市丰台区成寿寺路11号

邮编　100164　　电子邮件　315@ptpress.com.cn

网址　http://www.ptpress.com.cn

大厂聚鑫印刷有限责任公司印刷

◆开本：700×1000　1/16

印张：14.5　　2014年1月第1版

字数：282千字　　2014年1月河北第1次印刷定价：59.00元读者服务热线：(010)81055488　印装质量热线：(010)81055316反盗版热线：(010)81055315广告经营许可证：京崇工商广字第0021号内容提要

本书从网络身份管理的基本概念入手，对世界各国网络身份管理现状、国际标准化组织及机构研究现状进行了全面介绍，重点分析了网络身份管理的技术体系、网络电子身份标识及相关实例，并对网络身份管理的技术发展趋势进行了展望。

本书是根据作者近年来在网络身份管理方面的研究成果和实践经验而写成的，对网络身份管理相关研究与开发工作具有指导意义，对信息安全工程师和相关安全工作者有很好的参考价值。序

随着互联网应用在世界各国的迅猛发展，网络空间己经成为一种新的社会形态，而网络身份虚拟性的深层次社会影响己成为各国政府关注的焦点，美国、欧盟及其成员国、俄罗斯等都己从战略计划、技术研发、标准制定、法律法规等方面大力推进网络身份管理工作。

提及网络身份管理，我们很容易将之等效于“网络实名制”。实际上，网络实名制是一种政策，是政府部门对网络管理所采取的一种模式，是将网络虚拟身份与社会物理身份相对应的一种要求；网络身份管理则是对网络身份唯一性判定、真实性鉴别的一种能力要求。网络身份管理在对网络用户管理时，可以采用基于公民网络电子身份标识（eID）的管理模式来支持网络实名制的管理要求。同时，网络身份管理所面对的还可以是网络设备、企事业法人、官方代表等具有特定网络身份的角色。因此，网络身份管理与网络实名制之间虽有些相通之处，但更多的是区别。

本书明确给出了网络身份管理的基本概念，并介绍了欧盟、亚洲、北美洲及大洋洲的各国在网络身份管理方面的法律法规、管理机制、关键技术与实施情况，以及国内外网络身份管理标准化研究现状，网络身份管理技术的模型、体系架构和关键技术，同时介绍了基于eID的网络身份管理模式。由此，从网络身份管理的各个侧面向读者展示了其历史渊源，相关国家的法律法规、国家战略规划、技术标准以及具体实施情况，介绍了世界各国网络身份管理发展现状和趋势，向读者深入浅出地揭开网络身份管理的本质。尤其是书中以比利时和德国发行基于eID的个人身份卡为实例进行了详细介绍和分析，以便让读者更深入地了解国际社会对网络身份管理的重视，以及所采取的管理模式及相应的技术手段。

当前，我国己经普遍实施网络实名制管理政策，但尚缺少强有力的技术支持。国家高技术研究发展计划（“863”计划）在“十二五”期间设立了公民网络电子身份标识方面的重大项目，作者所带领的团队是该重大项目的课题承担单位，是我国试行基于eID的网络身份管理模式的重要技术支撑力量。作者在网络身份管理领域进行了长期的研究，并具有大范围应用试点的实践积累，在网络身份管理方面形成了深厚的积淀。本书总结了世界各国网络身份管理推进路线的共性趋势和一般规律，就我国网络身份管理的推进路线提出了科学、合理的建议，展现了作者对网络身份管理中前沿动态和相关科学问题的深入思考。相信本书有助于加深读者对网络身份管理概念和本质的认识，并引发关于我国网络身份管理推进路线的一些思考和共鸣。中国工程院院士2013年9月10日于北京

前言

网络空间中用户身份的确认己成为大多数互联网业务的前提，然而，网络身份也面临着被盗用、滥用、泄漏等安全问题，由此造成了日益严重的安全和隐私威胁。2011年底，发生了国内最大的开发者技术在线社区CSDN用户数据库泄露事件，黑客在互联网上公布了600万CSDN用户的注册邮箱账号和对应的明文密码数据。自此，中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件全面爆发。随后，天涯、网易、人人、猫扑、多玩等多家大型网站的用户数据陆续被公布，规模达到千万量级。该事件的愈演愈烈，为我们揭示出围绕网络身份的一条巨大的黑色产业链的冰山一角。无独有偶，2011年7月，韩国门户网站Nate和社交网站Cyworld遭到黑客攻击，导致3500万用户信息外泄，包括用户姓名、ID、手机号码、E-mail 地址、加密后的居民登录证号和密码等数据，而韩国人口不到5000万，意味着全国超过70%的公民身份信息遭到了外泄。

随着互联网与现实生活联系越来越紧密，网络身份的重要地位将日益突显，所面临的安全威胁也将不断增大，不仅关系到我们个人的隐私、财产安全等方面，大规模的网络身份数据也影响到国家和社会安全，因此如何安全应用、保护和管理我们的网络身份己变得越来越重要。

在近年的工作实践中，我们深感在互联网时代保护个人网络身份安全的重要性，这不仅需要全社会的共同参与，全体网民增强自我身份保护意识，而且需要构建全方位的网络身份管理体系。笔者在近年来网络身份管理方面的研究成果和实践经验基础上，整理总结编写了本书。全书共分10章，简单介绍如下。

第1章就网络身份管理的基本概念以及现实需求进行综述。

第2章～第4章分别介绍欧洲、亚洲、北美洲及大洋洲的各国在网络身份管理方面的法律法规、管理机制、关键技术，以及各国政府网络电子身份标识计划的推行与实施情况。

第5章主要介绍国内外网络身份管理标准化研究现状及国际标准化组织的相关研究成果。

第6章详细阐述网络身份管理技术的模型、体系架构和关键技术，并进行了实例说明。

第7章介绍基于网络电子身份标识的网络身份管理，包括网络电子身份标识的概念、承载与发行形式、应用模式、试点项目等。

第8章和第9章分别以比利时和德国发行结合网络电子身份标识的个人身份卡为实例进行详细介绍和分析。

第10章就我国网络身份管理的推进路线进行了分析，并对网络身份管理的技术发展趋势进行展望。

本书由胡传平、邹翔、杨明慧、严则明等负责策划、编写和通稿。

本书的编写得到公安部第三研究室网络电子身份技术研究团队全体成员的大力支持，参加研究和写作的成员还有：汪志鹏博士、胥怡心博士、姚静晶、倪力舜、胡永涛、金波、黄道丽、丁建华、陈兵、王福、陈慧，在此表示衷心感谢。感谢直接参与本书文字编辑、校对等工作的同济大学硕士生饶洁、刘孟占、黄苏扬、李铭洋。

本书能够出版，需要感谢方滨兴院士的帮助和指导。

本书凝聚了作者长期的网络身份管理工作的实践经验以及研究思考的成果。作者广泛收集了国内外相关材料，参考了一些最新论著，在本书编写过程中也引用了部分材料，在此表示感谢。第1章 网络身份管理综述

以互联网为代表的众多网络环境己日渐成为日常生活的基本元素。中国互联网信息中心（CNNIC）《第32次中国互联网络发展状况统计报告》显示，截至2013年6月底，我国网络用户总数达到了5.91[1]亿，互联网普及率为44.1%，信息获取、商务交易、交流沟通、网络娱乐等应用，满足了我们在互联网时代的各种需求。在现实生活中我们使用身份证、护照、企业组织机构代码等证明自己或者代表企业的身份，而在接入和使用各类互联网业务时，如发送电子邮件、使用网上银行、网上购物、在线游戏、网上聊天等，也都需要使用各种网络身份的完成注册、登录、认证和传输等操作，网络身份己日渐成为我们获取各类个性化互联网服务的必备元素。1.1 什么是网络身份管理1.1.1 网络身份管理的基本概念

身份的本身意义指是谁，是什么样的人。人类社会最初身份只是个体成员交往中识别个体差异的标志和象征。在现实社会，普遍使用身份证、户口簿、护照等作为对个人进行身份标识的方式。而在互联网上，我们在访问各种互联网应用中所使用的网络身份标识（如用户ID、网络ID、电子邮件地址、网游账号等）为安全验证提交给互联网应用服务提供方的身份信息（姓名、身份证号等）以及我们所声称的社会身份等，形成了“网络身份”，也称为“数字身份”。

根据维基百科中的定义，身份管理（IdM，identity management）即管理各类个人识别码，包括身份认证、授权和权限管理等过程，可以是在系统内部，也可以跨系统或跨企业边界使用，其目的是在提高安全性和生产效率的同时，降低成本、缩短停机时间和减少重复的任[2]务。网络身份管理是在网络空间中实施身份管理，用以实现网络空间的各类主体（个人用户、企业用户、互联网服务提供方等）的相互识别，如同在现实空间中使用居民身份证来证明自己的身份或鉴别对方一样。

全球许多国家都将在网络空间中实施身份管理作为关系其未来发展的重要工作任务。各国政府推行网络身份管理的驱动因素很多，主要包括构建电子政府、维护社会安全、改善社会福利、保护电子商务安全以及网络交易安全等。

网络身份管理所涵盖的范围包括如下几方面。

1）网络身份的产生，即用户如何获取自己的网络身份，例如用户自行指定、互联网服务提供方生成、第三方身份服务提供方生成等，身份可以采用标识符、数字证书等形式。

2）网络身份的保护，即如何防止网络身份被盗用或冒用，例如以密码口令形式保护银行账号或电子邮箱、以生物识别技术验证网络身份、以数字证书形式签发网络身份，以及在网络身份使用过程中使用安全的网络协议。

3）网络身份的使用，即在进行网络操作时需要出示何种形式或安全级别的网络身份，如何进行网络身份验证。

4）网络身份的维护，包括网络身份的修改、更换、挂失、恢复、注销等，即网络身份生命周期的管理。1.1.2 网络身份管理的参与方

网络身份管理的参与方主要包括内容如下。（1）个体

个体指使用网络在线业务的个人用户。广义上，个体可以扩展到同样需要使用网络在线业务和身份鉴别的非个人实体，可以是一个机构、硬件、软件或服务。个体具有的网络身份（也称数字身份）是指在线业务中标识特定主体的一系列属性。属性是描述个体内在所具有的或者被归属的某种特征或特性（例如，个体的年龄至少是18岁）。个体、身份和属性间关系如图1-1所示。

如图1-1所示，个体或者其代表的企业可以拥有一个或者多个身份，由个体选择使用何种身份，而这些身份由不同的属性和身份标识组成，不同的身份包含的属性集通常会有交集。当个体代表企业的时候，他可以拥有企业的部分属性，而此时企业的属性集也可以包含其法人代表。图1-1个体、身份和属性间关系（来源：http://en.wikipedia.org/wiki/Identity_management）（2）身份服务提供方

负责产生、维护、保护与个体相关的数字身份，也称为身份提供商。身份提供商发放在线业务中用于证明主体身份的身份标识，其中验证和登记个体真实身份的过程一般由具有权威性和公信力的登记机构来开展；并且，身份服务商需要在必要时能够对数字身份进行修改、更换、挂失、恢复、注销等。（3）身份标识及载体

身份标识用于在网络在线业务中证明个体身份，一般被存储在物理或者虚拟形态的设备或者对象中，此设备或对象也称为身份载体。身份载体可能有多种形式，例如智能卡、智能密码钥匙、集成在PC中的安全芯片、移动电话SIM卡等形式的硬件载体，也可以以软件数字证书、软件令牌等形式存在。身份载体可被用于存储一个或多个身份标识、声明或者与对应个体相关的属性。身份载体及身份标识的选择和使用，依赖于不同的应用，也依赖于参与方对风险的分析与评估。同个体真实身份的验证和登记过程一样，与个体真实身份绑定的身份载体的发放，应由具有权威性和公信力的机构来开展。此外，身份标识在使用时也可以以链接形式提供，链接到该个体的权限、角色、特权以及其他属性。（4）依赖方

一般指各类网络应用服务提供方，依赖方根据其对个体身份标识和属性的接收与验证，做出与业务相关的判断。依赖方根据实际业务需要确定身份服务提供方和属性服务提供方。面向不同业务，依赖方可以选择不同身份服务提供方提供的、不同安全强度的主体身份标识。此外，依赖方通常还需要向在线业务主体标识和鉴别自己的身份，以实现业务双方的相互鉴别。（5）属性服务提供方

负责与产生、维护身份属性相关的过程。根据依赖方的需求，属性提供商向依赖方提供可信的、经过验证的属性声明，依赖方据此对个体进行授权。属性维护包括验证、更新和撤销属性声明。属性服务提供方与身份服务提供方可以是同一个，也可以是不同的机构或主体。1.1.3 网络身份管理需求

不同的社会主体在网络身份管理方面的需求既有共同点，也有不同点。对于个人或企业用户来说，主要有三方面需求。

一是便利。个人可以方便地完成网络身份验证过程以获得网络服务，需要用户记忆、输入以及操作的过程尽量简化，获得良好的用户体验。在当前的网络环境中，个人需要自行维护大量的用户名和密码信息。优化网络身份验证用户体验的一个很好的例子就是“单点登录”，用户只需要登录一次就可以访问所有相互信任的应用系统。这种情况虽然在一定程度上减轻了用户的负担，但是往往会导致密码的重复使用行为，从而使在线欺诈和身份盗用更容易发生。

二是安全。保护个人网上活动的安全，降低个人网络身份被盗用或冒用的风险，使个人能够安心地进行网络在线工作、消费和娱乐，从而既能保证个人网上活动的保密性、完整性和可用性，又能保障关键业务的不可抵赖性，避免由于身份被窃取而造成个人财产损失或其他安全威胁。

三是隐私。在网络空间保持个人身份的私密性及匿名性，对于增强个人隐私保护和维护公民自由是至关重要的。要确保各类互联网服务提供方在一定范围内收集个人信息，仅仅使用和分发业务必需的信息，对收集、存储的个人信息实施具有足够安全强度的保护，防止个人信用、财产的损失或个人隐私信息的泄漏。

对于互联网服务提供方来说，主要有两方面需求。

一是确认用户身份的真实性和有效性。确认用户确实拥有其所声称的身份或具有其所宣称的身份属性（例如年龄大于18岁），从而提供相应的业务，杜绝虚假身份和身份欺诈以及由此造成的交易纠纷等。

二是身份管理方案的经济性。身份管理方案应具有高性价比，能够有效降低互联网服务提供方的身份管理成本和用户身份隐私信息泄漏的风险。当前大多数互联网服务提供方使用的都是相对脆弱的用户名和密码，即使如此，所需要的身份管理和保护成本也是日渐增加的，己成为一种沉重的负担。

对于政府来说，主要有三方面需求。

一是维护国家安全和社会安全，有效遏制网络欺诈、身份盗窃和在线信息滥用的增长，防止由此造成的个人或组织的财产、名誉等各类损失。

二是推动个人和组织使用权威、高效、易用和互操作性的身份管理解决方案安全访问在线服务。

三是保护公民隐私，防止公民身份信息被非法获取，防范大规模网络身份信息的泄漏。1.2 网络实名制

提起网络身份管理，人们往往会联想到“网络实名制”。事实上，网络身份管理与“网络实名制”在概念上是不同的。这一点将在下节中讨论，本节重点介绍实名制在我国的发展历程。

我国网络实名制的源头，一般都认为是2002年清华大学李希光教授所提出的“人大应该立法禁止任何人匿名在网上发表东西”的观[3]点。

从2003年开始，各地网吧管理部门要求所有在网吧上网的客户必须向网吧提供身份证进行实名登记，理由是防止未成年人进入网吧。

2004年5月，中国互联网协会发布了《互联网电子邮件服务标准》，该意见稿首次提出“实名制”，并且强调电子邮件服务商应要求客户提交真实的客户资料，该资料将是判断邮箱服务归属的标准。同年9月，中国青少年网络协会成立了游戏专业委员会，并决定建立中国青少年全国游戏玩家俱乐部，为网络游戏中实施实名制打下基础。同年，教育部发布的《关于进一步加强高等学校校园网络管理工作的意见》，明确提出在高校教育网实施网络实名制，并作为中国教[4]育部对中国高校进行审核的重要依据。

2005年2月，信息产业部会同有关部门要求境内所有网站主办者必须通过为网站提供接入、托管、内容服务的服务商来备案登记，或者登录信息产业部备案网站自行备案。无论是企事业单位网站或个人网站，都必须在备案时提供有效证件号码，对未及时向备案管理系统报备相关信息的网站实施暂时关闭，通知相关接入服务提供者暂时停止其接入服务。同年3月，以清华大学水木清华BBS为首的一批高校BBS开始了向仅限实名制校内交流平台的转变。同年7月，腾讯公司发布公告称，根据深圳公安局《关于开展网络公共信息服务场所清理[5]整治工作的通知》，配合有关部门对腾讯开展的网络公共信息服务进行整理，对 QQ 群创建者和管理员进行实名登记工作。而此时正好媒体报道韩国网络实名制的情况，因而腾讯的这一举措被广泛看作是“中国全面推行网络实名制的序幕”。同年8月，文化部、信息产业部联合下发《关于网络游戏发展和管理的若干意见》。该意见稿称为防止未成年人沉溺于网络游戏，要求“PK类练级游戏（依靠PK来提高级别）应当通过身份证登录，实行实名游戏制度，拒绝未成年人登录[6]进入”。

2006年10月，信息产业部提出对博客实行实名制，在网上引起很大的反对声音。

2007年8月，新浪、搜狐、网易等10多家知名博客服务提供商在互联网协会的牵头下共同签署了《博客服务自律公约》，希望通过厂商的规范作用，鼓励、引导博客作者逐渐走向实名制。此外，《公约》还要求博客服务提供商制定有效的实名博客用户信息安全管理制度，保护博客用户资料。

2008年 1月底，宁夏、甘肃省区推行版主实名制。之后，吉林省也宣布要实施版主实名制，并明确“跟帖一律先审后发”的原则。2月15日，《人民公安报》刊发长文，首次确认要在全国推广版主实名制。2月18日，重庆市成为第4个公开宣布推广版主实名制的省市。2月19日，北京市宣布年底前实现全市网吧上网登记实名制。这些地方的实名制先行之举，表明大范围的网络实名制渐行渐近。同年8月，工业和信息化部正式答复十一届全国人大一次会议上提出的网络实名制立法提案，表示立即实行网络实名制“存在一定的困难”，但“实现有限网络实名制管理”将是未来互联网健康发展的方向。2008年12月23日杭州市第十一届人民代表大会常务委员会第十二次会议审[7]议通过的《杭州市计算机信息网络安全保护管理条例》，于2009年4月1日浙江省第十一届人民代表大会常务委员会第十次会议批准，自2009年5月1日起施行，其中规定：发帖、写博、网游要提供有效身份证明。杭州由此成为全国第一个通过地方立法实施“网络实名制”的城市。

2010年，工商总局发布《网络商品交易及有关服务行为管理暂行办法》，并于同年7月1日正式实施。根据这一办法，通过网络从事商品交易及有关服务行为的自然人，应当向提供网络交易平台服务的经营者提出申请，提交其姓名和地址等真实身份信息，即“网店实名[8]制”。同年6月，文化部正式对外出台“网游实名制”相关法案《网络游戏管理暂行办法》，并于8月1日正式实施，根据这一办法，网络游戏运营商应当要求网络游戏用户使用有效身份证件进行实名注册，并保存用户注册信息；网络游戏虚拟货币交易服务企业提供服务时，应保证用户使用有效身份证件进行注册，并绑定与该用户注册信[9]息相一致的银行账户。同年9月26日，财政部发布《互联网销售彩票管理暂行办法》，根据这一办法，彩票购买者利用互联网购买彩票，应当通过彩票发行机构的互联网销售彩票管理系统注册开设投注账户。投注账户仅限彩票购买者本人使用，账户信息包括彩票购买者姓名、有效身份证件号码、联系电话、交易记录、资金收付记录等[10]。

自提出之日起，网络实名制推行的必要性一直存在争议。网络实名制的初衷是为了防止匿名在网上散布谣言、制造恐慌和恶意侵害他人名誉的一系列网络犯罪。而引发争论的焦点正是担心“网络实名制”将会压缩公民诉求表达的渠道。

从本质上来说，“网络社会”并不是完全虚拟的，而是现实社会的延伸。目前，我国网民数量己经达到5.91 亿，网络己经渗透进社会生活的各个方面。《第32次中国互联网络发展状况统计报告》显示，截至2013年6月，我国网络购物用户规模达到2.7亿，网络购物使用率提升至45.9%。淘宝、京东等电商的网络购物、铁道部的网络购票、航空公司的网上值机、各大银行的网上水、电、煤气费用交纳，网络的触角早就延伸到我们的衣食住行，每个人早在不知不觉中提供了诸多的信息。例如淘宝用户需要提供个人的身份证号、银行账号、手机号等信息，甚至连喜欢的衣服颜色、爱读的图书类型都在网络上留下了痕迹。可以说，很多网友在担忧所谓的国家强制“实名”的时候，大概都没有意识到，也许自己早就被“实名”了。

韩国是世界上第一个也是唯一一个实行互联网实名制的国家。2005年9月，韩国信息通信部举行听证会，提出在大型门户网站实行有限实名制，并要求网民在这些网站的留言板发表回复时有义务使用实名。

从提出到正式实施，历时将近两年，韩国从2007年7月开始实施互联网实名制。从那以后，每天访问人数超过30万的35家主要网站要求网民用真实姓名和身份证号注册并通过验证后，才能在各网站上写帖子和跟帖。从2009年4月起，互联网实名制的范围扩展到每天访问人数超过10万的153家主要网站。到2011年，几乎所有韩国网站都要求网民在注册和评论前必须登记真实姓名和身份证号码。

2011年7月，韩国著名门户网站Nate和社交网站Cyworld被黑客攻击，约有3500万名网民（韩国2010年的总人口为4800余万）的个人信息外泄，包括名字、身份证号码、生日甚至地址。此次事件让韩国民众和政府受到极大触动。2012年8月23日，韩国宪法裁判所8名法官一致做出判决，裁定网络实名制违宪，韩国广播通信委员会将根据判决修改相关法律，并将废除网络实名制。

韩国网络实名制（其发展历程将在第3章做详细介绍）失败的原因在于韩国政府站在管控的角度推行网络实名制，忽视了网民对网络身份管理的内在需求和对网民个人信息安全的保护。因此，从降低网民在网络上遭受各种侵害的风险、保护网民合法权益出发，通过立法加强网络信息保护、推行网络身份管理，而不是简单的实施上网实名，是网络社会管理的正确途径。此外，网站等大多数网络服务提供商并不能很好地承担保护公民个人信息的责任，需要具有权威性和公信力的部门来负责实施网络身份管理，建立起坚实的基础设施支撑体系，以实现公民隐私的有效保护。1.3 网络身份管理与网络实名制的区别

网络身份管理在制度层面包括在网络环境下为了建立、使用、验证网络身份所制订的各种规则，这些规则可以由个人或企业用户、互联网服务提供方、第三方身份服务提供方或政府等各类机构所制订，既可以是自愿的，也可以是强制性的；既包括使用真实身份的规则，也包括使用虚拟身份的规则。而一般所说的“网络实名制”是指将上网者的身份和其真实姓名、身份证号等信息相互对应的一种制度。相对于“网络实名制”，网络身份管理是网络空间中围绕各类主体的相互识别所建立的包括技术、经济、法律、行政、道德等方面在内的综合体系，代表了未来社会管理和公共服务的发展趋势。二者的区别主要体现在以下几个方面。（1）身份信息的采集、传输、存储和使用必须严格受控

非受控的采集、传输、存储和使用真实姓名、身份证号等信息很容易造成公民身份隐私的泄漏，造成网上欺诈、身份窃取和在线信息滥用等风险。在实名制下，网络接入服务提供者、互联网信息服务提供者、互联网上网服务提供者都可以建立自己的用户个人信息数据库。这使得各类服务提供方可以直接接触用户身份信息，而其安全保护能力和意识有强有弱，就不可避免地存在着这些身份信息被泄露的风险。广大网络用户的普遍担心，一是个人身份信息数据库的安全性受到质疑，被收集的个人信息和隐私得不到有效保护，存在被泄露的危险；二是被收集的个人信息可能被非法使用、处理。2011年以来我国和韩国发生的大规模身份数据网上泄漏事件正反映了这一问题。因此，身份信息的采集、传输、存储和使用必须严格受控，我国与世界上大多数国家都是由负责社会公共安全的部门负责采集、传输、存储公民身份信息（在我国即公安部建立的“全国公民身份信息系统”），并且身份信息的使用也是相对受控的。互联网上身份信息的采集、传输、存储和使用应以己建立的“全国公民身份信息系统”为基础，避免重复建设，这样不仅降低了身份信息被泄露的风险，也节省了网络运营商和服务商的成本，他们不需要自己建立庞大的公民身份信息系统。（2）并不是所有的网络活动都需要实名

现实生活中，乘坐飞机、搭乘火车、入住宾馆、银行开户、证券开户等场合都需要出示居民身份证等有效证件，进行真实身份信息的核查。而在逛街购物、饭店就餐、景点旅游、观看电影等场合并不需要实名。究其原因，乘坐飞机、搭乘火车、入住宾馆等事关人身安全和社会公共安全，银行开户、证券开户等事关个人财产安全。因此，在这些场合，实名不仅是社会管理的需求，更是个人、商家的共同的迫切需求。

在网络空间中也是一样，在进行电子商务交易、享受政府网上公共服务、网上查询个人相关信息（如医疗保险）、在线开户等场合需要实名，因为事关个人财产安全和个人隐私，实名是这些应用的内在需求。而在互联网浏览信息、即时通信聊天、使用搜索引擎、观看网络视频等场合并不需要实名。（3）网络身份管理的关键作用是建立网络上各参与方之间信任关系

事实上，随着信息技术的广泛应用，现代社会对网络的依赖程度越来越高，很多的经济活动和社会服务都通过网络来进行，建立网络上各参与方之间的信任关系是这些应用的基础，而身份是网络上各参与方之间的信任关系的基础。事实上，网络上各参与方之间的信任关系的强弱与应用的重要性和敏感性相关。在使用大额电子商务、金融交易和与个人相关的政府网上公共服务时，必须出示参与方的真实身份信息，以确认参与方的真实性和可追溯性；在网络应用的注册环节和一些小额金融交易环节，只需要实现参与者的可标识性和可追溯性即可，并不需要出示参与方的真实身份信息；在某些场合只需要确认参与者满足某个条件即可，例如网络游戏中需要确认是否是成年人（年满18岁）。此外，同一类应用，不同的场合对身份的需求也是不同的。仍以网络游戏为例，在装备等虚拟财产丢失或被盗时，如在注册环节中确认了用户真实身份，则可以通过出示真实身份实现争议的处理和找回；而在日常登录网络游戏时，用户只需要使用其游戏账户和口令登录即可，并不需要出示其真实身份。

因此，必须建立起网络身份管理的综合体系，在严格受控的条件下进行身份信息的采集、传输、存储和使用，围绕着个人安全、社会公共安全的内在需求，来实现网络空间中围绕各类不同信任程度需求应用环境下主体间的相互识别。1.4 网络身份管理的关键作用

互联网时代，我们需要的是一个安全、高速发展和健康的网络空间。网络身份管理是实现这一目标的基础环节，其关键作用主要体现在保障网络空间安全、保护个人财产安全与隐私、提高社会管理和服务效率3个方面。如图1-2所示。图1-2 网络身份管理的关键作用1.4.1 保障网络空间安全

随着社会生活对网络空间的依赖程度不断增强，网络空间的安全己成为我们整个社会公共安全的一部分。然而，由于网络空间的身份虚拟性，使得网络空间更容易滋生各种违法犯罪活动。当前，互联网上充斥着钓鱼网站、木马病毒、黑客、垃圾邮件，遍布信息资料被窃、账号（如网银）被盗等安全威胁，身份欺诈、网络诽谤等违法犯罪行为频繁发生。以1.2节中描述的2011年以来我国和韩国发生的大规模身份数据网上泄漏事件为例，一旦其与现实世界金融诈骗等手段结合起来，将对社会经济甚至政治与文化等领域造成了巨大影响和严重威胁。

网络身份管理是网络空间安全的重要组成部分，通过建立起网络身份管理的综合体系，实现网络空间中围绕各类应用不同信任程度需求的主体间相互识别，具体包括提供身份生命周期的管理、安全与可信的接入控制、身份信息与属性信息的校验、用户控制个人隐私信息、用户选择身份服务提供方的能力等，可以有效降低身份欺诈与身份盗窃的安全隐患，改善和提高网络空间的安全性。1.4.2 保护个人财产安全与隐私

随着信息技术的发展和普及，个人信息资料具有巨大的商业价值，而且这些隐私信息由于互联网的开放性又易被他人非法地传播和利用，个人网上银行的账户信息、各种论坛的用户资料、游戏账号及密码等重要的数据信息都可能通过各种方式被窃取，给广大网络用户的隐私保护敲响了警钟。并且，在电子商务、电子政务等网络应用中，交易双方都有核实对方身份的要求，如何判别商务网站是可信的、不是钓鱼网站，确保交易信息及用户账号信息不被窃取、篡改，都是交易成功的前提。

在个人财产安全方面，网络身份管理有助于促进网络诚信体系的建立，主要包括技术和管理两个方面，技术上主要依赖于加密、参与方的身份鉴别、信息存取控制策略等手段，管理上则要求严格规范数据信息交流，减少中间环节，确保身份验证和识别的安全性，提高效率，为个人财产安全提供有力保障。

保护个人隐私是网络身份管理的主要目标之一。在2011年4月美国发布的《网络空间可信身份国家战略》（NSTIC，national strategy for trusted identities in cyberspace）中，隐私保护问题是该战略的基[11]本指导原则、目标任务和行动保障之一。根据网络身份管理基于具体应用在不同环节对参与方信任程度的需求决定对身份信息的使用，可分为真实身份出示、真实身份标识、身份属性证明等不同层次。仅在事关金融安全、个人财产安全和社会公共安全的场合，如大额电子商务、金融交易和与个人相关的政府网上公共服务等网络活动中进行真实身份出示，严格规范身份信息使用范围和方法，避免了身份信息的盗取和滥用，可有效保障个人隐私安全。1.4.3 提高社会管理与服务效率

改善政府管理与服务方式，提高管理与服务效率的一个重要举措就是应用现代信息和通信技术，将管理和服务通过网络技术进行集成，在互联网上实现组织结构和工作流程的优化重组，超越时间和空间及部门之间的分隔限制，向社会提供优质和全方位的、规范而透明的、高水准的管理和服务。

网络身份管理可为政府网上便民服务提供证实公民网络真实身份的手段，有效防止公共资源的滥用及公民个人隐私的泄露，使更多的政府服务功能及公共服务资源可以通过网络方式提供给公民。原先很多需要公民到现场办理的业务可以在家中等场所远程在线办理，给公民带来充分的便利并节约了其时间、交通等成本；同时，政府公共服务的相关人员、场地等成本也得到了有效降低，从而为公共资源的信息化、高效化、合理化配置提供了基础支撑，最终有效提高了社会管理与服务的效率。

总的来说，网络身份管理是网络空间中围绕各类主体的相互识别所建立的包括技术、经济、法律、行政、道德等方面在内的综合体系，不是某个时期或阶段的“头痛医头，脚痛医脚”权宜之计，而是未来信息社会的安全、高速和健康发展的基础。建立健全我国的网络身份管理体系，需要在认真分析世界各国在网络身份管理法律法规、管理机制、关键技术、标准规范等方面的推行与实施现状及发展趋势基础上，结合我国国情，对其技术和管理体系进行“顶层设计”，并有步骤、有计划地在全社会共同努力下稳步推进和实施。第2章 欧洲网络身份管理现状

在网络身份管理的推进方面，欧洲，尤其是欧盟及其各成员国一直走在前列。欧盟自20世纪90年代起，从制度、技术及管理等方面，为网络身份管理的大范围部署与推广做了充分的准备。进入21世纪，欧盟各成员国纷纷开始正式推进其网络身份管理战略，并取得了不同程度的进展。2.1 欧盟网络身份管理发展现状2.1.1 研究框架计划（1998～2002年）

欧盟委员会在1998年启动的第五次技术发展和示范研究框架计划（FP5，fifth framework programme）[1]中，提出信息与通信技术的爆炸性发展将会催生远程学习、远程医疗、远程工作和电子商务等新型产品与服务，以及与此同时带来的个人身份丢失和个人隐私泄漏的巨大风险，并围绕着电子政务、个人隐私保护等方面设置了一系列课题开展网络身份管理研究。

2002年开始的欧盟第六次技术发展和示范研究框架计划（FP6，sixth framework programme）[2]计划中，相继有PRIME [3]、FIDIS [4]、TRASER [5]等研究计划陆续推出，不仅包括原有的电子政务等方面的研究，也开展了面向如何在未来网络中如何引入并部署身份管理的研究，包括关键技术、架构、平台、应用场景等。2.1.2 战略计划和路线图（2000～2008年）

自2000年起，包括意大利、比利时、奥地利、德国等在内的很多欧盟成员国开始积极推行网络电子身份标识计划。随着电子政务和电子商务的发展，不少国家在其电子身份证中引入网络认证功能，即网络电子身份标识（eID，electronic identity），并通过制定或完善网络身份管理（eIDM，eID management）的法律制度、管理机制以及国家战略，探索身份认证的顶层管理机制。2.4节将详细介绍欧盟各成员国网络身份管理发展现状。

2004年，欧盟电子政务服务与公共机构、工商界和公民的对接（IDABC，interoperable delivery of European egovernment services to public administrations，businesses and citizens）[6]启动，其目的是改善欧盟公共机构间的协作，提高效率，吸引人们到欧洲居住、工作和投资。IDABC计划由欧盟委员会的企业和工业委员会管理，其管理委员会和专家组中有许多公共部门的政策制定者，使之成为协调欧盟电子政务服务政策的独特论坛。IDABC 计划首先就欧洲互操作框架（EIF，European interoperability framework）进行了定义。EIF定义了3种不同的互操作级别：一是组织级别的互操作性，定义了由不同管理部门共同提供服务的业务目标和过程；二是语义级别的互操作性，定义了各类应用进行信息交换的语法和语义；三是技术级别的互操作性，包括联网计算机系统相关的开放接口、中间件、可访问性和安全服务。

2005年6月，欧盟委员会正式提出了全称是“i2010——促进增长和就业的欧洲信息社会（i2010 –a European information society for [12]growth and employment）”，简称“i2010”战略计划。该计划提出了欧盟2005年到2010年的信息社会与媒介的政策框架，旨在打造一体化的欧洲信息社会和媒介政策，促进信息通信技术（ICT，information and communication technology）对经济、社会与个人生活的贡献。计划提出了欧盟信息社会发展政策的3个优先领域：一是建设“单一欧洲信息空间”，催生开放、竞争的信息社会和媒体内部市场；二是加强 ICT 研究的创新和投资，以期促进增长、创造更多更好的工作岗位；三是建立高度包容的欧洲信息社会，促进增长和就业持续协调发展，优先提供更好的公共服务和提高生活品质。

随着i2010战略计划的推进，欧盟委员会2006年发布了《2010年泛欧洲eID管理框架路线图（》a roadmap for a pan-European eIDM [13]framework by 2010）报告，路线如图2-1所示，展示了实施 i2010 战略计划过程中具有里程碑意义的事件。报告指出可靠和准确地识别个人身份己成为在线提供政府服务和商务服务的基础和中心环节。报告提出欧盟各成员国的企业和社会管理部门都应受益于网络电子身份标识（eID）所带来的最大便利，为此，在欧盟各成员国现有eID管理系统基础上，必须建立一个泛欧洲级别的eID管理框架。该路线图指出了泛欧洲eID管理框架的时间安排、组成模块及发展过程中的各个里程碑，并就泛欧洲eID管理框架的核心原则进行了规定，即在欧盟成员国网络身份管理发展中，要以公民个人为中心，全面为公民提供服务并且保护公民隐私。每个欧盟成员国应当颁发eID并能够基于eID在线识别公民身份，确保其可用性。每个欧盟成员国的eID管理系统都应当遵守以上核心原则，使得各成员国发行的eID在整个欧盟都可以得到承认，欧盟成员国公民持有个人的eID即可在欧盟内任一国家享受相应的求职、医疗、保险等一系列在线政府服务和商务服务。图2-1 2010年泛欧洲eID管理框架路线

2008年起，欧盟19个成员国及一些私营部门共同参与实施了“STORK”[7]一期项目，其目标是发展欧洲eID通用平台，提升欧盟成员国电子公共服务体系水平，建立健全公共管理进行跨境鉴定和服务，实现跨国界的政府居民身份认可管理和跨界的公共服务，即允许欧盟成员国公民使用其本国eID在另一成员国获得电子公共服务。该项目提出采用以用户为中心的方法，STORK平台的作用是识别会话中用户的身份，并将必需的数据传递给服务提供者，而哪些身份数据传递给服务提供者是在用户个人控制之下的，必须首先得到用户的首肯，从而用户个人隐私得到充分的保护和尊重。

2008年，泛欧洲公共在线采购项目（PEPPOL，pan-European public procurement online）启动，旨在实现欧盟跨境电子政府采购，即在欧盟的任何公司都可以用电子方式联系任何欧盟层级政府完成网上公共采购。无论公司大小，也无论公司在欧洲何处，都可以在线参与竞标各项程序，如标书递送、在线实时参与开标等。从而有效降低了交易成本，使公共采购更透明、更有竞争力并减少腐败，将使政府与中小企业获益匪浅，尤其给欧盟中小企业带来实质性的收益。2.1.3 推进情况和发展趋势（2009年）

2009年欧盟委员会下设的欧洲网络与信息安全局（ENISA，European Network and information Security Agency）发布了《泛欧洲网络身份管理倡议发展现状的报告》（report on the state of pan-[14]European eIDM initiatives，2009）。该报告在政策层面，对《2010年泛欧洲eID管理框架路线图》所确定的目标、原则和里程碑及其执行情况进行了分析和讨论；在架构层面，对 STORK 项目所确定的实现路线图目标的整体架构及其执行情况进行了分析和讨论；在应用层面，报告讨论了围绕着《有关盟内服务贸易市场的第2006/123/EC号指令》的“单一接触（points of single contact）”实现所做的一系列努力进行了分析和讨论。《泛欧洲网络身份管理倡议发展现状的报告》将所有的有关eID管理的举措分为两大类，一类主要针对提高跨境身份证明，包括规范化倡议（如《有关盟内服务贸易市场的第2006/123/EC 号指令》）、互操作性倡议（如 STORK 项目）等；而另一类主要针对提高跨境身份证资源的可用性，包括建立身份信息资源互换机制的倡议（如BRITE计划）、实现终端用户使用身份认证资源的倡议（如PEPPOL计划）等，如图2-2所示。报告提出应通过建立身份信息资源互换机制提高跨境身份资源的可用性，并通过互操作性倡议提高跨境身份证明的可用性，以保证欧洲eID管理系统进程到2010年取得突破性进展。图2-2 欧洲网络身份管理倡议框架

2011年，欧盟委员会又推出了i2010的后续推进计划，“数字化议程”（digital agenda）计划，制定了欧盟到2020年的发展战略，其中指出eID技术和认证服务是今后政府和私营机构在互联网上开展业务所必须的。2012年7月，欧盟启动为期 3年的“STORK2.0”项目，包括 19个成员国以及 58个合作伙伴共同参与。“STORK2.0”项目计划在“STORK”一期项目成果基础上，在各国层面以至全欧层面建立起单一欧洲eID认证与鉴别体系。项目目前正如火如茶地进行。跨境身份认证将使用欧盟成员国己有的政府服务，由5个试点项目进行测试。同时，其他的服务也将连接到该平台，这样欧盟用户将可以享受到越来越多的跨境服务。在不久的将来，作为跨国公司的老板，退税、获得档案资料等，都不需要亲自去有关部门，只需要使用国家eID，输入自己的个人数据，STORK平台将从当地政府获得身份认证。当然，前提是在参与STORK项目的欧盟成员国范围内。

通过立法和授权加强各国现有电子政府系统的互操作性与通用性，STORK项目正进一步改善和提升跨境eID基础设施的建设，推进各层级政府与公众的完全数字化互动，从而最终实现“数字化欧洲”蓝图，使得欧洲公民可以真正自由地流动、无国界生活与工作，为欧盟经济增长和社会发展寻求新驱动力。2.2 欧盟相关技术发展现状2.2.1 技术标准

IDABC 计划面向泛欧洲电子政务服务（PEGS，pan-European eGovernment Services），定义了一系列有关组织、语义和技术方面互操作性的推荐和通用标准，主要包括如下内容。

1）数据表示与交换：数据计算机工作站/PDA及移动电话接口设计原则及具体说明、字符集、合作授权、文档格式、文档管理、数据库文件、静止图像及矢量图、移动图像及动画、音视频信息及视频会议、文件压缩等。

2）数据集成：基于XML的数据描述与表示、数据建模、数据传输、元数据交换、文档对象建模、地理数据及安全保护，以及遗留的基于EDI格式标准。

3）中间件：Web服务描述、Web服务的发布与发现、Web 服务调用，基于J2EE技术的分布式应用架构、EJB、JDBC、Java Servlet、JSP、JMS、JTA、JavaMail、JAXP、J2EE Connector、JAAS等，远程过程调用、内部接口等。

4）互联服务：文件和消息传输协议、电子邮件传输与安全、消息存储服务、邮箱访问、目录和域名服务、网络服务等。

5）安全服务：公共网络访问安全、内部访问安全基线、敏感信息安全处理、安全运维等。

此外，还包括工作流管理、开源软件管理等。

欧洲标准化委员会（CEN，Comité Européen de Normalisation）自2007年5月起先后发布了欧洲身份卡（ECC，European citizen card）系列标准，对欧洲身份卡的物理/电气和传输协议特性（CEN/TS 15480-1:2007 [8]）、卡片逻辑数据结构和安全服务（CEN/TS 15480-2:2007 [9]）、互操作性（CEN/TS 15480-3:2010）、发布与应用推荐方案（CEN/TS 15480-4:2012）等方面进行了规范。

欧洲电信标准化组织（ETSI，European Teleco mmunications Standards Institute）专门成立了电子签名和基础设施技术委员会（TCESI，Technical Committee on Electronic Signatures and Infrastructures）负责身份管理及电子签名相关标准制定工作，现己形成了包括算法、签名的创建和验证、签名设备、证书策略、时间戳[15]等系列标准，将在第5章“国际标准化组织及机构的有关研究”中做详细介绍。2.2.2 研究项目

欧盟围绕网络身份管理开展了一系列研究项目，本节就PRIME（privacy and identity management for Europe）、BioPass、PERMIS、SPOCS和ISA这几个项目做简要介绍。（1）PRIME项目

PRIME 是欧盟第六次技术发展和示范研究框架计划（FP6）下的一个研究项目，从2004年3月至2008年2月共4年时间。该项目提出了远远超过现有举措的目标，系统框架整合了所有的技术和非技术方面有关隐私增强的网络身份管理解决方案，针对性地解决人机接口、本体、授权、加密、保证和信任、先进架构等核心基础问题。在考虑遗留的应用和现有以及将来的身份管理标准的基础上，使用原型方法和面向最终用户实验的方法验证研究结果。该项目囊括了来自于应用和服务提供商、数据保护机构、学术界和工业界研究机构的著名专家，并邀请主要利益相关方加入其咨询小组。在项目执行期间和完成后，项目所确定的框架作为所有行动者之间的通用语言，加强他们的角色和责任，并向业界转化其成果并进行标准化，充分发挥项目成果的作用，在支持欧盟相关隐私法规的同时增强欧盟的领导力。（2）BioPass项目

2009年，为提升欧盟未来eID芯片卡的安全性，欧盟启动了“BioPass”研究项目，该项目研究符合欧洲身份卡（ECC）系列标准的电子身份卡，为所有欧盟范围内的电子政务应用开发具有高安全性[16]与互操作性的智能卡平台。该项目己经取得的研究成果包括高级非接触式接口（近场通信NFC等）、生物特征识别组件、高级建模技术、嵌入式软件平台等，为欧盟未来eID奠定了技术基础。2011年7月，该项目研究报告被移交至德国联邦教育与研究部（BMBF，“Bundesministerium für Bildung und Forschung”federal ministry of education and research)，并被列入德国“信息和通信技术2020（ICT2020）”计划[10]。此外，包括保加利亚、捷克共和国、法国、希腊、匈牙利、波兰、罗马尼亚和瑞士在内的许多欧洲国家，都计划在今后几年内引进采用 BioPass 项目开发的技术，研制符合相关国际标准的eID卡。BioPass项目计划在以下关键技术方面取得进一步突破：非接触式电源优化、高速（1Mbit/s以上）非接触式接口协议的定义和标准化、面向隐私保护的新型加密协议、高级卡内生物特征识别技术、嵌入式即插即用软件平台等。（3）PERMIS项目

PERMIS是英国Kent大学面向网络身份认证和权限管理基础设施而研发的项目。该项目采用基于角色的访问控制模型，通过颁发属性证书的方式对用户权限和访问策略进行管理集成，主要关注分布式环

试读结束[说明：试读内容隐藏了图片]

下载完整电子书