漫谈网络身份的安全

网络已日渐成为我们日常生活的基本元素，而网络空间中用户身份的确认已成为大多数互联网业务的前提。因此，网络身份的安全日益受到普遍关注,美国、欧盟及其成员国、俄罗斯等都已从战略计划、技术研发、标准制定、法律法规等方面大力推进网络身份管理工作，从国家顶层设计层面保障公民网络身份安全。

2012年12月28日，全国人大常委会通过了的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，特别强调了网络信息发布的实名要求和网络用户的隐私保护。但是，现在公民上网申请互联网服务机构的应用服务时，在注册环节往往需要向互联网服务机构的后台提供本人的身份信息，有的互联网服务机构还要求用户通过手机短信等方式进一步认证，其结果是用“网络真名”代替了“网络实名”。

公民在使用真实身份完成注册后将面临多种安全威胁，最突出的就是身份信息和个人隐私信息的泄漏，被泄露的原因有多种，一是互联网服务机构自身的安全防护能力不够，被黑客攻入而使后台数据遭窃；二是互联网服务机构内部疏于管理，内部人员盗卖信息。造成的后果包括账号被盗窃后的个人数字财富损失、身份假冒后的犯罪行为以及相关的各种诈骗活动。其中，电信诈骗案件的泛滥同个人身份信息和隐私信息泄露案件密不可分，我们注意到十几年前，陌生电话往往只是推销，而现在的陌生电话往往是犯罪分子掌握了个人身份和隐私信息而对被害人实施的精准诈骗。电信和网络诈骗2011～2013年每年呈70%的复合增长，公安部有关部门拦截和360互联网安全中心统计被标记的诈骗电话每年上亿次。据统计，我国的互联网应用有6.5亿网民和355万个在册的服务网站，身份盗用和网络欺诈每年造成的相关损失高达数千亿元。

正是由于目前我国网络身份认证普遍基于个人身份信息比对和手机认证这些方式的缺陷，使得盗窃和倒卖个人身份信息、身份证证件照片等案件屡禁不止，甚至还有经营买卖第二代身份证的非法网站。可以预言只要基于身份信息比对建立网络信任的方法不改变，倒卖身份信息的案件将长期存在。

目前，关于网络远程身份识别的大规模应用还有一个认识误区就是非常火爆的生物特征识别，包括照片、影像和指纹远程识别等技术。我们必须认识到，生物识别技术如果用于网络远程身份识别的大规模应用场景，那就不仅仅是生物识别技术本身的识别率有多高，而是要面对网络远程识别端环境的不可控问题，存在着公民强生物特征（如指纹特征信息等）被窃取的重大隐患。并且，一旦公民生物特征被窃取，网络身份的伪造、盗用将更加泛滥。因此，生物识别技术至多只能作为网络远程身份识别的辅助手段。国际上生物特征识别技术在网络大规模的应用实践中，只是在终端设备上取代传统的密码输入，最常见的如苹果手机的TouchID指纹开机，苹果声称指纹特征信息只存在手机的安全芯片里、技术安全上保证不出手机本身的。