美国正在建立基于身份和属性认证的网络身份生态系统

1、美国正在建立基于身份和属性认证的网络身份生态系统（一）概述2009年5月，奥巴马政府发布网络空间安全评估报告，突出强调了网络空间的战略地位，指出美国当前网络安全形势严峻，为此设定了网络安全近期和中期行动计划，其中近期计划第10项和中期计划第13项明确，要建立基于网络安全的身份管理战略，保障隐私与公民自由。在网络安全形势日益严峻，以及网络身份管理重要性日益突显的情况下，美国将可信身份和属性作为构建可信网络空间的基础和关键，并提出美国网络空间可信身份国家战略，旨在构建一个以用户为中心的网络身份生态系统，在该体系环境下个人和组织遵循协商一致的标准和流程来鉴别和认证数字身份，从而实现相互信任。身份生态

2、系统包括实现可信身份标识、鉴别和授权的各参与方，以及相应的政策、流程和技术。各参与者主要有业务主体、身份提供商、属性提供商、依赖方和评估认证机构、身份媒介。身份提供商验证主体身份，保证主体身份“真实性”。在业务开展前，身份提供商将为业务主体提供一个匿名或者可以唯一标识其身份的身份凭证。为了实现更高的安全保障等级，身份提供商将会验证主体的物理身份，并确保数字身份凭证准确反映其真实物理身份，从而保证其业务主体“身份真实性”。属性提供商负责建立主体身份属性的相关数据库，提供属性证明，作为依赖方向主体提供业务授权的依据。属性提供商确认主体身份属性信息，将属性信息与身份信息进行绑定，以身份属性证明或者其

3、他形式进行公布。评估认可机构通过对依赖方评估对其发放可信标记，以表明其符合身份生态系统的要求。在在线业务的开展过程中，依赖方通过可信标记向业务主体标识和鉴别自己身份，同时，根据需求对主体身份凭证和相关属性凭证进行验证，以便决定是否给予主体特定的在线业务授权，以更好的实现业务信息内容的“保密性”和主体行为的“可追溯性”。（二）关键要素分析1、制定完善的政策和法律法规美国注重将科学的管理理念、成熟的管理方法、规范的技术标准、先进的技术应用等，以法律或法规的形式固定下来，以此来提高国家和社会在网络空间管理方面的科学性和规范性。美国主要的互联网法规电信法提出了美国需要确保的利益：国家安全、未成年人、知

4、识产权及计算机安全。国家安全自不必说，而知识产权和计算机安全直接涉及美国的支柱性产业互联网产业。未成年人则是国家的未来，他们的成长事关社会健康发展。美国还先后颁布了国家信息基础设施保护法、公共网络安全法、网络安全信息法等，已经形成较为健全的法律法规体系。2、建立并协调相关组织机构以落实网络空间国际战略在维护网络安全方面，美国政府已有多家部门负责，政府下属有六大网络安全专职机构，即美国计算机应急响应小组，隶属国土安全部；联合作战部队全球网络行动中心，隶属国防部；国家网络调查联合任务小组，隶属联邦调查局；情报界网络事故响应中心，隶属国家情报总监办公室；网络空间安全威胁行动中心，隶属于国家安全局；国

5、防网络犯罪中心，隶属国防部。奥巴马上任后不久，就成立了“网络空间政策评估小组”，以彻底评估信息和通信基础设施的安全防护状况及应对能力。他随后采纳了评估小组提交的网络空间政策评估报告中的建议，如设立与总统保持密切联系的“白宫网络安全协调员”，并成立“白宫网络安全办公室”，协调美国联邦政府的军事和民事部门网络安全政策和行动。2009年5月,奥巴马成立了“网络战备司令部”，建立白宫网络办公室。但承担网络空间主要行动的是美国国防部，国防部出台了网络空间行动战略，并通过网络来履行各项职责，目前美国国防部操控着超过15,000个网络和7百万台计算设备。2009年底，美国还成立了“全国通信与网络安全控制联合

6、协调中心”，主要工作就是协调和整合六大网络安全专职机构的信息，以提供跨领域的网络空间发展趋势判断能力，分析并上报全国网络空间的运行状况。为了能够在网络空间进行有效作战和高效地组织资源，美国国防部专门设立了美国网络司令部，直接隶属美国战略司令部。网络司令部将协调美国各军种中网络空间行动机构有效运作，确保更好地履行美国国防部的使命。2010年5月，美国“网络战备司令部”正式启动。服务于网络空间行动的机构，还包括美国陆军网络司令部、美国舰队网络司令部/美国第10舰队、第24空军、美国海军陆战队网络司令部和美国海岸卫队网络司令部。相互同步和协调的职责已经由美国战略司令部委派给美国网络司令部。3、形成分

7、工明确的产业划分美国信息安全企业总体上可以划分为三种类型：解决政府等国家级信息安全问题的政府信息安全承包商、提供行业解决方案和完整产品线的专业信息安全企业以及提供专用、新型技术和产品的独立信息安全企业，这三类企业可简单概括为“国家队”、“专业队”和“特种队”，如表36所示。表36 美国信息安全企业分类企业类型业务范围主要企业国家队专门从事美政府部门、情报部门、军方、关键基础设施信息安全保障业务，提供整体架构设计和集成解决方案洛克希德马丁、saic、通用动力公司、波音和雷神公司等专业队提供完整的产品、设备，以及具体某个层面的解决方案一些进入信息安全领域的传统大型it企业，包括ibm、微软、思科、

8、intel、emc等特种队以创新为主，专门提供信息安全专用的、新型的技术和产品，捆绑在前两类企业中，向政府和企业用户提供产品和技术赛门铁克、rsa等“国家队”专门从事美政府部门、情报部门、军方、关键基础设施信息安全保障业务，提供整体架构设计和集成解决方案，主要包括洛克希德马丁、波音和雷神公司等。“专业队”主要提供完整的产品、设备，以及具体某个层面的解决方案，主要是一些进入信息安全领域的传统大型it企业，包括ibm、微软、思科、intel、emc等。“特种队”以创新为主，专门提供信息安全专用的、新型的技术和产品，捆绑在前两类企业中，向政府和企业用户提供产品和技术，包括赛门铁克、rsa等。其中，美

9、国信息安全“国家队”主要由一些长期从事国家安全相关业务的承包商组成，如洛克希德马丁、波音公司、通用动力公司、雷神公司等都是美国重要的国防承包商，其年度营业额中很大一部分都来自于政府或国防合同，如雷神公司的营业额超过90%来自于国防合约。4、构建较为完善的基础设施美国的商业pki基础设施建设已经比较完善，并有相应的verisign等认证机构。政府基础设施也比较完善，有联邦pki等。早在上世纪90年代，美国一些联邦政府机构就使用了pki技术，但是各机构之间缺乏互操作性。为解决不同信任域之间的互操作性问题，联邦政府开始构建美国联邦pki体系。这个体系以联邦桥ca（fbca）为核心。2002年，fbc

10、a开始运行，当时与4个联邦政府机构ca实现了交叉认证，即：农业部（usda/ncf）、国防部（dod）、财政部（treasury）和国家航空航天局（nasa）。目前联邦pki体系不仅包括fbca，还包括联邦通用策略框架ca（fcpca/common）、电子政务ca（egca）、公众及商务类通用ca（c4ca）。电子政务ca（egca）。egca向已经批准的联邦机构认证服务提供者和联邦机构依赖方应用签发证书，以促进相互间的信任。目前egca有三个：前两个ca支持不同的策略和担保等级，向认证服务提供者签发传输层安全证书；另一个ca向批准的应用签发证书，不论担保等级。公众及商务类通用ca（c4ca）

11、。c4ca的主要目的是确保那些不渴望与fbca进行交叉认证的pki应用也能作为身份解决方案。但是，c4ca吸收的成员是很有限的。目前，外交部（dos）ca已经被批准与c4ca实现交叉认证，以将电子服务扩展至公众。5、不断改进技术和应用模式美国较著名的认证机构有verisign、geotrust、thawte、globalsign、comodo、entrust、equifax等。这些认证机构具有权威的身份鉴证流程、规范运营管理程序，以及良好的责任担保和赔付保障制度，并且多数已经通过webtrust审计，服务范围涉及多个国家和地区。电子护照的技术及应用发展较成熟。外交部（dos）将数字签名嵌入电子护照中，防止护照的欺诈和伪造；同时数字签名还应用于移民签证的验证定位管理信息系统，电子邮件安全，投标文件加密，xml版权保护外交部的网络安全管理等多方面。又如，国防部（dod）向其每位雇员、服役军人及相关赞助承包商发放基于硬件设备的pki证书，最初是以用于公共通道的控制cac（common access card，是一种用于路由器网络的标准硬件令牌，可以代替密码口令作为登录国防部网站实现强认证，对网页信息和资料库