一种基于Identification &Status 认证的独立身份认证服务机构的新架构*

李跃武，许 斌，高崇明,2，杨建锋

（1.新疆数字证书认证中心,新疆 乌鲁木齐 800000；2.新疆量子通信技术有限公司,新疆 乌鲁木齐 800000）

0 引言

电子认证技术是网络安全的第一道屏障[1]，是实现网络实体身份可信管理的技术，是网络信任体系的基础核心技术，也是网络空间安全治理的重要技术支撑。普遍认为电子认证技术已从1.0 时代迈向2.0 时代，主要表现在：

（1）以离线数字证书为主导的身份证明演化为以在线服务为主导的身份管理；

（2）以静态的双因素身份鉴别技术发展为以风险控制为主导并融合多种技术的身份鉴别；

（3）简单的是或否单一判断模式的电子认证转变为具有多模式多安全等级的电子认证；

（4）专业化的共享共用身份管理服务逐步替代孤岛隔离的分散的身份管理；

（5）基于大数据的行为溯源和追踪技术加强了对网络实体的可信管理与追溯等[2]。

电子认证技术的这种变化，也被当成业界努力应对传统电子认证技术所面临的重大挑战时，有效发展的成果；但是，站在更大的视野来看，当今的网络空间治理是治理现实社会与虚拟社会相结合的“新社会”[3]。应当看到，任何一种通过对身份的鉴别决定对资源的访问权的方法，客观上都会造成主体间的等级分化，本质上是制定了一种等级制度。这种制度的制定，应当在更大的视野下，考虑底线思维，以适应公平、公正的基本要求，这是本文要考虑的问题。

1 关于身份认证-访问控制的再认识

1.1 关于“身份”含义的重要辨析

长期以来，电子认证是一个未经严格定义的技术词汇。即使在《电子认证2.0 白皮书》中，也采用了“民间”关于此概念的说法。电子认证隐含了身份标识（identification）、身份验证与证明（certification and proof）、身份鉴别（authentication）与授权（authorization）等过程的复合涵义，实际上等同于常用的访问控制[4-5]的含义。在ISO7498-2中，访问控制被定义为，基于访问认证和数据对象的一种选择性地允许或禁止某种资源访问的安全技术。访问控制涉及到访主体（subject）和客体（object）两个方面。

全国信息安全标准化技术委员会鉴别与授权工作组发布的《电子认证2.0 白皮书》中倡导：“专业化的共享共用身份管理服务逐步替代孤岛隔离的分散的身份管理”与“基于大数据的行为溯源和追踪技术加强网络实体的可信管理与追溯”。这实际上是强调,在ISO7498-2 中，在访问请求信息中主体信息的身份信息部分附加更多的辅助信息。如图1 所示，该模型是一个含有附加信息的典型认证模型。这些信息，与主体的既往行为有关，而既往的行为是人工智能方法通过对大数据分析获得的。在访问控制机制中，决策依据不再单纯是主体的标识，而已经包含了“身份”一词的另一重含义——社会中的位置（status）。Status 一词源于拉丁语statum，是stare的过去分词，本意是“立得住”的程度，即地位状况。对一个人来说，他的identification，比如姓名或身份证号，只是他的标识；而status 才是他的处境、他的地位、他的法律地位，以及当人们使用“身份”这个词汇时内心里想表达的那个真正的含义。

图1 访问控制模型

因此，通过这样深入理性的分析可知，当信息安全业界使用“身份认证”一词时，即使长期以来，强调了对identification的认证，但是事实上，从《电子认证白皮书2.0》开始，已经更多地包含了对status（可以理解为“法律地位”）的认证。

无论在现实社会，还是在虚拟社会，对任何人（实体）赋予一个标识（identification），是一个纯技术问题；但是承认他的地位（status），并继而根据其后续的表现修改其地位（status）的工作，则属于典型的社会管理范畴。

基于status的认证，要比简单基于identification的认证，更符合《电子认证2.0 白皮书》倡导集中的身份认证服务和经人工智能技术对大数据检测获取的“身份”信息时，所想表达的含义。

1.2 关于“身份”概念中归属于status 一词表达的部分涵义

实体“身份”一词实际包含两重涵义，一是对实体的标识，二是实体的重要性、社会地位、法律地位、被公认的贵贱程度等。第一重涵义可由词汇实体标识表达，对应的英文是identification；第二涵义就是实体的身份地位，对应的词汇是status。在现实社会，判别与决定把一项资源是否授权给某个实体，依据的不是这个实体的标识（identification），而是这个实体的身份地位（status）。这与网络虚拟社会中，判定是否将某一资源授权于某个实体所遵循的依据是可类比的。因此，当谈到身份认证时，实际上是对status的鉴别，identification 只是赖以检索该status的指标，而不是本身。恰如在法院，具有审判权力的是当庭法官这个身份，而不是特定的法警的警号，警号只是赖以判断某人是否为当庭法官的索引，而不是判断的直接依据。

1.3 电子认证引入status 认证概念

建议引入status 概念，以专门表达在身份问题中，实体标识（identification）无法表达的，与该标识所关联的实体本身的“身份”的涵义。

上述分析可见，即使传统的身份认证过程，其实本质上也是对英文status 所表达的涵义的认证，只是由于词汇的模糊，其本质（status）被隐匿在了其标识（identification）之后了；而随着电子认证技术的发展与电子认证内涵的丰富，已经需要解开这种隐匿，使身份的复合涵义得到揭示与正视。

如图2 所示是引入status 认证的访问控制架构。

图2 引入status 认证的访问控制架构

status 认证的访问控制将完整的身份认证过程拆解为两个步骤：一是主体访问请求过程中主体对身份鉴别机构的请求过程，二是身份鉴别机构对客体资源控制机构的请求过程。为此设立独立的身份鉴别服务机构，其职能是：

（1）管理主体（subject）的双重因性（identification和status）的关系；

（2）建立并持续完善可与客体管理机构便于协同的主体status 库；

（3）与各客体管理机构（授权机构）持续协商客体的授权依据，作为与主体关联的新的status内容；

（4）管理控制客体与主体之间的安全传输通道。

下文内容通过制定主体访问客体的过程规范，说明新的架构的工作流程及新的访问控制机制。

主体要访问某网站的客体资源时（以主体访问网站1 为例），发出访问请求，这个访问请求并不直接送达网站1，而是送往独立的身份认证服务器；身份认证服务器收到此访问请求，解析主体标识（identification）以及拟访问的网站1；经过下述的身份认证服务器实现的功能过程，决定是否允许给主体访问相应客体的内容。如果允许，向主体与客体管理机构发出允许响应指令，并建立主体与客体之间的符合安全策略要求的传输通道，进入允许访问的处理过程；如果不允许，给出拒绝响应指令，结束认证过程。

其中，身份认证服务器实现的功能与过程为：

（1）查询此identification 希望访问的网站1的备案信息，读取可以表征该网站1 逻辑控制的信息；

（2）认证服务器根据网站1的逻辑控制信息，结合用户的identification，联合查询identification&status 数据库，取得足以表征网站1是否可以向来访主体授权的status 数据，通过安全传输信道发送给网站1；

（3）身份认证服务器记录该主体的访问请求，并据此维护该主体的status；

（4）身份认证服务器持续地与网站1 保持联络，获取来自网站1 对该访问主体的行为评价，作为维护identification&status 数据库的重要参考，也作为对网站1的可信程度的评定依据；

（5）根据访问主体最初的访问请求信息，以及网站1的授权反馈信息，由访问控制服务器决定是否在主体与客体之间建立安全传输通道。

Status 数据库是一个核心的组成构件，其作用是保存所有客体（如网站1）的各种访问控制条件（可能是一组术语表或命名空间的逻辑正则表达），以及根据各个主体的历史行为经综合判别所给出的符合性判定。

Status 数据库本质上是一个用于描述主体身份（法律地位或按规则赋予的地位）的多维度数据集。其数据的变化不取决于主体的个别行为，或网站的个别反馈信息，而依赖于长期的行为积累。在虚拟社会中，这可以由人工智能通过大数据分析用户的历史行为，结合初始赋值建立。

1.4 基于status 认证的重要意义

引入status的身份认证架构，最直接的结果是，用户的identification（具体来讲是身份证号码、电话号码、姓名）不再直接暴露在各个网站。网站仅负责向身份认证管理机构报备自己的安全控制策略以便身份认证管理机构判别什么样的主体可以获得授权，而这些具体的网站不再期望获得网民的实名。这样就可以有效避免网络诈骗等网络空间治理中的很多衍生难题。

1.5 Status 认证可能面临的负面问题

Status 数据库的建立，在技术上使得人工智能、大数据等新技术用于网络空间治理成为可能；在管理上也可以有效避免因实名制被滥用所衍生的重大社会管理代价。但是由于这些数据的产生，本质上是建立在网络主体的初始赋值和个人历史行为的，这使得status具有了与现实社会类似的价值与意义，有的是负面的。

虽然尚不能实证地得到此方案可能引发的负面问题，但是借助于现实社会中status（身份地位）在社会管理中的重要作用，可以类比的推想虚拟社会中由status 可能引入的负面问题。

可以想象，负面的问题一定是不可避免的，因而政府的正确干预是极其必要的。如果偏离了政府的正确管理，即使假设人工智能的感知能力完全与人类社会对人的评价能力一致，也会出现超越底线的问题。英国著名学者阿兰·德波顿在其《身份的焦虑》一书中，对现实社会中的身份问题有非常深刻、系统和富有启发的研究[6]，其主要思想简要归纳为：

（1）在虚拟空间，人们会像在现实社会中祈财求名提高声望一样，努力在虚拟世界追求status；

（2）在网络空间所获取的status，将如同现实社会中的名望势力和地位一样，成为趋利的对象，而人类社会中种种社会问题也将可能搬上虚拟空间，比如傲慢、偏见、歧视、盲目崇拜等；

（3）对物质、平等的过度的期望，嫉妒心理的泛滥等；

（4）对精英的过度崇拜，把身份与德行关联起来，认为好的status 不会与愚蠢、有罪和堕落挂钩。

1.6 利弊的权衡与正确干预的必要性

正如现实社会中，status 有那么多负面作用，人类社会依然通过status 有效地管理了社会进程一样，因此在虚拟空间，基于status的管理制度在很大程度上也是必须的。那些种种负面作用，只是必不可少的代价。

正如前文所说，未来人们面对的社会必定是虚拟社会与现实社会紧密结合在一起的“新社会”，而采用了status 数据库的管理方式，更加接近于现实社会的传统方式。这是因为现实社会的这种管理方式，是全世界范围内经过数千年演进到今天的，是经过了历史的检验的。

当然，有些因素是要有特殊安排的。比如必要时可以启动人工干预的方式，修正那些人工智能的运算可能引起的极端情况。

2 结语

本文首先聚焦了电子身份认证问题中“身份”的涵义问题；其次通过深入的辨析，构建了通过对status 认证来实现未来网络身份认证的全新身份认证体系架构。该架构引入了一个公共基础设施，服务于访问主体（网民）与访问客体（被访问网站的各类资源）。这种公共基础设施及其所隐含的管理机制，本质上可视为在网络空间管理中，将现实社会管理体系中公安部门的治安机构与社区的某些社会安全管理职能的数字化实现。该架构可以有效解决目前流行的身份认证方案所面临的问题，如可以防止由于直接将用户个人隐私信息暴露给被访问网站所造成的个人隐私易被泄露的风险，也可杜绝隐私泄露后的网络诈骗风险。本架构符合全国信息安全标准化技术委员会鉴别与授权工作组发布的《电子认证2.0 白皮书》中关于鼓励建立独立的身份认证服务机构的倡议。最后讨论表明，基于status的认证方案，使未来网络的虚拟社会具有与传统的现实社会类似的管理依据，更符合人类社会演进的习惯性和规律性。讨论发现，现实社会的主体到虚拟社会的主体的认证的问题，本质上是一个跨越并衔接现实与虚拟两界的社会管理问题。进而可以建议，国家构建具有公共管理职能的服务管理体系，以通过科学配套的国家法律、行政法规、制度政策、行为规范和操作标准，来改变目前虚拟与现实社会中共同存在的由于网络空间隐私泄露所造成的各类犯罪现象难以根治的困局。未来的路还很长，但本架构可以作为物性的支撑基础设施的雏形。