身份认证是伴随网络应用从始到终的必有的一个环节。对于一个网络应用而言,用户注册时的身份认证和注册用户密码丢失、找回密码时的身份认证,则是最为关键的两个身份认证节点。这两次认证,直接关系着线下人的身份信息是否被人盗用、冒用或者干脆是伪造身份的问题。
无论是类型1)亦或是类型2)的网络安全事件,最少伴随以上三种问题中的一个。这样从逻辑上讲,在网络世界中,只要能解决网上行为人的对网下行为人的身份盗用、冒用,以及伪造网上行为人身份的问题,从根本上或者讲从机制上讲,就可以解决了两种类型网络安全事件发生的可能性,最少是具备了彻底根除两类网络安全事件发生的可能性。
身份认证系统就为此目的而设计。
身份认证系统由通过私用网络连接在一起的身份认证系统接口系统及有关的信息系统而构成。其主要作用就是为各种网络应用中的注册环节和密码找回环节为网络应用提供具有法律效力、符合相关法律、法规的注册人或找回人的身份证明。
图1中的身份认证系统,是一个最小的身份认证系统,它由居民身份信息系统、固网路由信息系统、移动网路由信息系统通过私用网络连接而成。这个身份认证系统就能完成个人在网络应用服务器上的注册阶段、找回密码阶段的身份认证提供认证服务。可提供的认证模式,见表1
图2为加入了公民征信系统的系统示意图。加入了公民征信系统,就可以在法律、法规所规定的需要了解公民征信信息的网上行为发生环节(如注册环节、购买动车票、飞机票、申办信用卡等)提供实时的公民信用信息的法定证明。
图3为加入了工商登记系统的系统示意图。它可以为任何法人活动,特别是法人的网上活动提供法人合法、合规的法定证明。如法人成了时,法人组成人的信用调查、资格调查(只要在身份认证系统中加入公民资格认证系统即可实现)。法人从事网上服务的收款账户设立(该规定现在没有,但为杜绝任何以个人或者公司形象出现的网上诈骗活动,需要设定《提供网上服务的收款账户的管理规范》及《网上服务的购买、支付管理规范》这两个法定网上交易行为的管理规范。)是否符合相关的管理规定的尽责调查。
固网路由信息系统中包含的信息为:居民申请上网光猫的MAC码,申请人的身份证号码,联系电话号码,上网光猫的安装地理位置信息,固网运行商所管理的所有路由器的MAC码、所有路由器的连接关系等信息。
移动网路由信息系统包含的信息为:居民申请的电话号码及对应的SIM卡的ICCID号,申请人的身份证号码,移动运行商所管理的所有的移动基站的所处的地理位置、每个基站的基站识别码、每个基站上的小区识别码、每个手机的实施位置等信息。
下面以双网终端匿名认证模式的过程描述,来简要说明个人在某个网络应用服务器上进行注册时的身份认证过程。
身份认证过程:
步骤1:
用手机分别登录身份认证系统接口系统官网、网络应用服务器官网,下载、安装相应的APP。而后手机切换为移动数据连接方式。
步骤2:
用固网终端登录身份认证系统接口系统官网认证页面,填写身份证号码、身份证号码注册的手机号码,用手机上的身份认证系统接口系统APP,扫一扫屏幕上的“双网匿名认证”二维码。
步骤3:
身份认证系统接口系统将收到的身份证号码、路由指纹、地理位置信息、电话号码、SIM卡的ICCID号、手机“看到的”周围的所有基站的基站识别码、每个基站上的小区识别码分别送入居民身份信息系统(送入身份证号码)、固网路由信息系统(送入身份证号码、路由指纹、地理位置信息)、移动网路由信息系统(送入身份证号码、地理位置信息、电话号码、SIM卡的ICCID号、手机“看到的”周围的所有基站的基站识别码、每个基站上的小区识别码)分别进行校验比对。三个系统都校验通过,则在固网终端上送出有有效时间限制的准许匿名注册的二维码。(注1:)
步骤4:
用固网终端登录网络应用服务器注册页面,填写手机号码,用手机上的的APP,扫一扫屏幕上的“准许匿名注册”的二维码。
步骤5:
网络应用服务器将收到的准许匿名注册的二维码、路由指纹、地理位置信息、电话号码、SIM卡的ICCID号、手机“看到的”周围的所有基站的基站识别码、每个基站上的小区识别码发送到身份认证系统接口系统,进行比对验证,验证通过,这返回准许匿名注册的信息,否则返回不准许注册的信息。
步骤6:
网络应用服务器收到准许注册的信息后,进行现行的注册流程。
密码丢失,找回密码环节的身份认证过程,略。
身份认证系统具有的最突出的三大优点:
1)保密性强,认证准确,安全可靠
所有认证请求,都只能向身份认证系统接口系统提出,各个信息系统只同身份认证系统接口系统进行信息交换,并不直接面对“最终用户”,从而完全避免了来自“公用网络”的任何攻击。
2)系统可扩展性、管理时效性强
在身份认证过程中需要的管理项目,只要能以信息管理系统的形式接入私用网络接入身份认证系统,即可发生相应的管理效力。而任何接入的信息管理系统中的管理信息一旦发生变化,则该信息所对应的管理行为,则立刻生效。
比如“公民征信系”一旦接入,则任何需要查询公民征信系统的管理过程立刻生效。“老赖”名单一旦在“公民征信系”生效,则该老赖的法律、法规所规定的受限制的线上、线下(只要该活动后台有网络支撑且需实名)活动,马上生效。而“老赖”名单一旦在“公民征信系”失效,则该老赖的法律法规规定的受限制的线上、线下(只要该活动后台有网络支撑且需实名)活动,马上失效。任何法律规定的公民征信系统可以征集的线上、线下的活动的非诚信结果,则都可以快速及时的汇集到“公民征信系”。这个快速反应的时效性,将对任何企图从事网络非安全活动或非诚信活动的人,建起一个 “一处失信,处处失信”的机会成本极高的阻挡门槛。
3)性价比高
任何的管理行为,都是要付出相应的管理成本的。
从理论上讲,一个接入身份认证系统中的信息系统,所对应的纸质的证明文件,就可以消失(当然这需要相关的法律、法规进行明确和确认)。对应的申请办理这份纸质证明文件的办事大厅最少可以大幅减少办事大厅的办理席位。提供虚假纸质证明文件的管理漏洞将被堵住,相应的腐败行为将不复存在。
从理论上讲,任何的可以用业务流程或管理结果的结果数据呈现出来的管理法规或管理规范,都可以快速、准确的投射到身份认证系统或以身份认证系统为基础的网络行为管理过程之中。
人们完全有理由期待,当越来越多的法律法规所规定的负有管理职责部门的管理系统都接入身份认证系统,相应的业务流程在一次次的碰撞、修正后会越来越合理、规范后,人们将迎来一个“越来越清澈”网络世界。
在这个“清澈的”网络世界中:
做电商平台的企业,不用担心在他的平台上,有假卖家、假买家、假货的存在,进而也不用担心有人用“三假”问题对其进行道德攻击。
通过网络提供产品、服务的企业,也可以心无旁骛的专心做好自己的产品或服务,不用考虑通过造假也不要担心竞争对手通过造假来获得竞争优势。(当造假成本远远大于不造假的收益,谁还造假)
从网上获得产品或服务的消费者,也不需要担心碰到“消费陷阱”或“网络诈骗”。
家长不用担心孩子会被拐卖、未成年的小朋友会沉迷网络游戏,也不用担心在小朋友的成长过程中,会接触到当下各种防不胜防的网上不良信息。
涉世未深的大学生的家长,再也不用担心突然某天接到“校园贷”追债电话。
负责调查发生在没有目击证人、没有监控录像的车祸肇事逃逸案的警察叔叔,再也不用绞尽脑汁的去大海捞针寻找目击证人和逃逸的肇事者,身份认证系统将会直接给出有限的几个“肇事者”的嫌疑人和可能的目击证人名单。
人口调查是和平时期,各国政府必须要面对的最大规模的社会动员。借助身份认证系统政府可以组织频次更高、数据更准、投入更少的各种各样的人口调查。
等等、等等。
多么美好的未来的网络世界,那么问题来了,仅靠一个身份认证系统就可以达到吗?答案显然是否定的!那么又有几个障碍点?相应的解决方案又是什么?
表1:认证模式及其主要特征
| 认证模式 |
主要技术特征 |
| 固网终端实名认证模式 |
通过固网终端完成注册,注册时向网络应用服务器提供身份证号码。 |
| 移动网终端实名认证模式 |
通过移动网终端(手机)完成注册,注册时向网络应用服务器提供身份证号码。 |
| 固网终端匿名认证模式 |
通过固网终端完成注册,注册时不向网络应用服务器提供身份证号码。 |
| 移动网终端匿名认证模式 |
通过移动网终端(手机)完成注册,注册时不向网络应用服务器提供身份证号码。 |
| 双网终端实名认证模式 |
通过固网、移动网终端(手机)完成注册,注册时向网络应用服务器提供身份证号码。 |
| 双网终端匿名认证模式 |
通过固网、移动网终端(手机)完成注册,注册时不向网络应用服务器提供身份证号码。 |
图1:身份认证系统示意图
图(2)加入了公民征信系统的系统示意图
图(3)加入了工商登记系统的系统示意图
注1:如果注册人不是固网申请人本人,则应填写申请人的身份证号码外加同申请人的关系说明。身份认证系统接口系统在得到申请人的许可或担保后,才能进行后续的验证。