科技

电子身份验证有漏洞谁来证明“你就是你”

5月16日，有报道显示中国银联通过大数据统计分析，得出个人网络财产安全的“蚁溃之堤”——个人信息泄露是90%电信诈骗案件成因。

这意味着，在网络世界中，别人可以通过证明“他是我”，借由“我”的身份“招摇撞骗”，掳走“我”的财产。在安全专家的语系里，这样的产业链条被称为黑产。亚信安全副总裁陆光明表示，“从产业规模看，2016年底我国网络电子认证市场还不到200亿元，但是黑产的规模已经高达千亿元左右。”

网络可信身份认证该出手了。“《中华人民共和国居民身份证法》确定居民身份证是公民身份管理的可信依据，网络身份验证也需要可信度、权威级相当的可信平台。”中国工程院院士沈昌祥在日前召开的C3安全峰会上表示，网络身份可信验证工作刻不容缓。

身份信息在黑市上被明码标价

“850块钱，就能买到开房记录、列车记录、航班记录等11项个人隐私数据，在身份黑市上，隐私的买卖是被明码标价的，能够用于制作假通缉令等的身份证户籍信息，一条只需要10—40元。”中国科学院信息工程研究所副所长荆继武展示了一张明晰的价码账单，仿造一个企业身份信息的“五证”仅需要千元左右。无论对于自然人还是法人来说，我国网络信息保护的形势都非常严峻。

“易获得”是个人电子信息难以规避的“软肋”。安全领域内，八成以上的信息泄露由内部人员所为。“很少有黑客愿意花那么大的代价从外攻破系统获取信息，从内攻破是更便利、更容易的。”陆光明说。

“既然防不胜防，能不能让这些偷窃泄露来的信息分文不值呢？现实生活中身份证的使用对此提供了很好的借鉴。”陆光明说。

如何让网络身份认证与现实身份认证一样“强有力”“无漏洞”，成为一个系统工程，关系到新技术应用、新体系构建、以及与已有法律体系的共享共建。国际上，欧盟2006年出台了开展网络可信身份体系建设的法规。美国2011年公布网络空间可信身份国家战略，提出10年时间建设美国网络身份体系。

网络身份验证难有“防骗”功效

当下使用的网络身份验证难有“防骗”功效，沈昌祥将问题归纳为3类：方法不安全、难保真实性；欠公平公正、难防篡改；缺乏法律效力、难以执法。沈昌祥解释：“例如大量汇集在微信、支付宝上的个人信息，虽然是实名认证，但隶属于第三方企业，难以保障它们的不可更改性、不可复制性。”

陆光明对此持相同观点，他表示，在国外以企业公信力作为社会公信力的商业行为居多，例如谷歌的互联网账号可用作其他跨行业的社会认证。但是，Facebook的身份数据泄露，严重到甚至可能会对美国高层政策施以影响，这一事件令人对这种模式的安全性产生顾虑。

被泄露之外，被利用更使身份信息安全问题“雪上加霜”。陆光明说，韩国2011年就爆发过一次非常严重的身份数据泄露事件，当时有3500万用户数据泄露，占当时韩国网民的95%左右。此事使得韩国政府开始限制网络身份收集，也宣告了其网络实名制的结束。

“身份非法买卖严重影响网络实名制的实施效果。”荆继武说，身份黑市交易可以将个人的网络身份绑定到一个完全不属于本人的现实身份上。

“黑户”的存在，不仅侵害了可能并不知情的个人的利益，也使得真正需要准确掌握身份信息数据的电商深感困扰。“一家电商的责任人表示，他每天有几十万新注册用户，其中有很多黑产用户，电商企业需要花费很多精力、成本去校验新用户，将‘黑户’挑拣出来，确保系统安全。”陆光明说。

荆继武总结道：“现有的身份信息管理技术手段单一、难奏效，需要完备的身份信息数据管理体系。”

搭建有公信力的第三方验证平台

“一些互联网公司开发的APP，注册时需要身份证、姓名、电话等信息。我相信很多人都不愿意透露、被捆绑。”陆光明说，用户很难确定企业是否会将这些信息挪作他用。