《2015網絡可信身份發展年報》
阿里移動安全
第一章 2015年網絡可信身份發展現狀
1.1 網絡可信身份發展的需求產生新的變化
2002年我國開始了網絡實名制建設的探討,其本質目的在於保障網絡空間用戶身份可信,避免謠言、欺詐等各種違法犯罪行爲。在多年的實踐中,網絡平臺或用戶開展網絡身份認證主要出於以下兩方面的要求:
一方面,國家相關職能部門爲保證行業健康有序的發展,要求從事經營或服務***質的互聯網用戶進行必要的身份認證,如電子商務的經營者(網店主)、互聯網接入服務提供者(域名註冊、網絡空間租用等)。
另一方面,爲了保障互聯網個人用戶的合法權益,維護企業業務的健康發展,網絡平臺也會採取一些措施防止自身的用戶受到違法犯罪行爲的侵害。在2015年對網絡可信身份發展的需求產生了一些新的變化,主要體現在以下兩個方面:
第一,網絡可信身份發展上升到國家戰略高度,成爲支撐“互聯網+”發展的重要基礎。截至2015年12月,我國網民總數已達6.88億人,如何對互聯網進行有效管理,已經成爲促進社會、經濟進一步發展的重要課題。
第二,新興互聯網業務的發展,促使互聯網個人用戶自願提供個人真實身份信息來獲取某種特定服務。在過去極少數用戶願意主動提供姓名和身份 證號碼進行實名制登記,而當前這種現象正在逐漸改變,如互聯網徵信產品的用戶,通過自願提供自身各方面信息呈現信用狀況,從而獲得相應的增值服務(如信用消費、信用簽證等);互聯網+警務的發展,使得用戶通過身份認證後便可以快速的辦理相關業務,大大提高了政府相關職能部門的服務效率;網絡婚介用戶通過實名認證以及多方位提供自己的個人信息來增加相親成功機率……這些新業務的發展,給網絡空間可信身份建設帶來了新的機遇。
1.2 網絡可信身份發展存在的問題
1. 破壞網絡可信身份認證,黑灰產業鏈正在興起
身份認證是保障網絡空間身份可信的重要手段,因身份虛假的網絡賬號是網絡違法犯罪行爲的重要工具,因此,衍生出了一系列身份造假、仿冒他人身份以破壞網絡身份可信的黑灰產業鏈,這些產業鏈包括以下幾種類型:
a) 利用***手段批量竊取公民身份信息
如酒店、保險、航空、醫療、快遞等行業的公司都曾遭遇過信息泄露事件,《中國網民權益保護調查報告(2015)》顯示,近80%的網民個人身份信息曾遭泄露,包括網民的姓名、學歷、家庭住址、身份 證號及工作單位等,個人信息泄露給網民的日常生活帶來困擾。
b) 身份材料非法收集及買賣
除了數字身份信息的竊取外,現實生活中還活躍着公民實體身份信息收集及買賣的產業鏈,包括實體身份 證的買賣。據不完全統計,身份 證買賣QQ羣及QQ空間超過300個,預估活躍人羣超過25萬人(如下圖)。
進行身份 證違法買賣的網絡空間
目前黑灰產業鏈中身份材料主要有兩種手段獲取,一種是證件被盜、丟失後被轉賣;另外一種則是利用公民對個人身份信息保護意識的薄弱,編造各種虛假用途,或者利用蠅頭小利(如兼職招聘、中獎登記等方式)騙取身份材料。這種手段已經從互聯網普及率較低的農村,蔓延至工廠、學校,由此可見黑灰產的猖獗。
據統計,被用於虛假認證的身份 證主要來自河南、四川、湖北、湖南等身份,而使用這些身份進行網絡虛假認證的卻集中在廣東、福建、浙江、江蘇等沿海地區。
虛假身份認證的地區分佈
c) 虛假身份辦理手機卡及銀行卡
由於手機號及銀行卡驗證是目前網絡實名驗證的重要輔助手段,因此衍生出了未實名登記的手機卡及身份 證、盜用等黑灰色產業鏈。
據不完全統計,目前在灰產中流通的未實名登記的手機卡達億級,獲取一個未實名登記的手機卡價格在50-100元左右(包含一定的話費)。而這些未實名登記的手機卡,還被不法分子利用貓池、短信驗證碼平臺等技術手段,用於批量接收手機短信驗證碼,突破了利用手機驗證碼進行身份認證的方式。
目前黑灰色產業鏈中已形成了銀行卡收購、銷售、使用的一條龍服務,並與身份 證、USBKey、手機卡、開戶資料等配套銷售。目前市面上出售一套銀行卡料的金額爲100元左右,出售一張普卡金額爲200元,成套銀行卡資料如包含USBKey、開戶材料等,價格在400-600元不等。銀行卡相較於手機卡的價格高出很多,但是市場依然龐大,危害更加嚴重。
虛假身份辦理銀行卡的廣告示例
滁州警方破獲特大網上非法倒 賣 身份 證銀行卡案件
d) 利用技術手段突破網絡身份認證流程
這裏包括身份信息造假、身份 證明材料造假,利用軟件修改手機或電腦參數突破認證流程等。此類產業鏈因危害大,相較線下違法犯罪行爲存在較大差異,因此立法、司法等行政機關對其認知不一,定刑困難,未能開展有效的管理和處罰,導致無法對違法犯罪行爲形成有效威懾。
2. 公民個人信息保護問題
在當前網絡空間可信身份發展多種形態下,保護公民個人信息問題不容小覷,韓國2011年信息外泄事件及近期美國金融史上最大的網絡盜竊案都在警示整個社會。對此,國家也出臺了很多公民個人信息保護的法律法規及規範,但是我國現階段還沒有專門的公民信息保護 法律,保護信息的範圍也略顯單一,且很多相關法律和實名制的規範都還在徵求意見中,尚未形成法律法規體系,因爲調整範圍和調整方法上的侷限,現行法律對於公民個人信息保護提供不了完整的解決方案。
在網絡可信身份行業內,大多還在解決身份認證問題,保護信息服務業務較少,在日常業務開展中也帶來不小的挑戰。所以,保護公民個人信息既要有體系化的法律法規和行政管理作保障,還需要加大鼓勵個人信息保護產業的發展。
第二章2015年阿里巴巴實人認證發展情況
2.1 服務阿里生態,提升實人認證能力
2015年,阿里聚安全實人認證已服務淘寶集市個人開店認證、二手 交易用戶認證、廣告用戶認證、虛擬運營商售卡實人認證等十多個場景,以下幾個方面能力得到了大幅提升:
第一, 認證產品服務化能力。通過服務多場景海量用戶,在實踐過程中實人認證的可靠性得到了有效驗證;
第二, 人像識別、活體檢測等能力在實踐過程中迭代升級,達到世界領先水平;
第三, 基於大數據風險識別及攔截,累積龐大的風險數據庫,識別身份造假、冒用等近千萬;
第四, 領先的數據安全體系。阿里聚安全搭建了安全可靠的底層安全架構,包括世界領先的異地多活數據中心,建立了最完備的容災備份體系;自主研發的海量關係型數據庫OceanBase,是中國首個具有自主知識產權的數據庫,確保國家級數據戰略安全。
2.2 推動手機卡實名登記變革
2015年,阿里巴巴對阿里通信在線售卡及開卡流程進行了改造,實現在線手機號購卡及開卡的實人認證。手機卡購卡的實人認證,在原來手機實名制登記的基礎上進行了有效升級,在大大提升手機號使用者身份的有效性的同時,免去了物流寄送手機卡過程中回收用戶身份信息的環節,在給用戶提供便利的同時也降低了信息泄露的風險。阿里巴巴這項舉措得到了工信部的充分肯定,對推動信息通信行業發展、促進行業轉型升級發揮重要作用。
2.3 服務“警察叔叔”,提升市民辦事體驗
2016年1月5日,杭州市公安局響應“智慧城市”、“文明城市”的政策方針,推出了警務APP“警察叔叔”,該應用通過互聯網+警務的形式,在全國範圍內首次使用了實人認證技術。該應用使市民能夠在手機上方便地進行線上辦事,提升了政務的體驗和效率。
警察叔叔APP
2.4 參與建立網絡可信身份產業聯盟
2015年,在公安 部第一研究所推動下,阿里巴巴參與發起建立網絡可信身份產業聯盟,旨在通過行業、產業的聯合發展,推動網絡可信身份體系建立。在2015年烏鎮世界互聯網大會上,阿里巴巴作爲中國居民身份 證網上應用試點單位參展,阿里巴巴在網絡可信身份體系建設上的經驗及成果得到了廣泛認可及讚許。
世界互聯網大會上參與中國居民身份 證網上應用展示
第三章 2016年網絡身份認證發展趨勢
3.1 從實名認證向實人認證發展
當前,虛假身份給網絡犯罪帶來了極大的便利,黑灰產業鏈的發展,造成了現有網絡空間中存在大量實名不實人的情況,實名制無法起到其真正的作用和效果。《中國網民權益保護調查報告(2015)》顯示,近一年來,網民因個人信息泄露、垃圾信息、詐騙信息等問題,導致總體損失約805億元,其中約4500萬網民近一年遭受的經濟損失在1000元以上。因實人認證需要同時滿足用戶身份真實性、有效性、人證一致性的要求,將大大提升違法犯罪成本,對淨化網絡空間起到至關重要的作用。
與此同時,新興業務的發展也對用戶身份真實性提出了更高要求。如網絡打車的出現,乘客對司機身份的真實性、可靠性提出了更高的要求;網絡婚介、電子政務的前提也是建立在用戶身份真實性的基礎之上。因此,隨着互聯網+的不斷髮展,實人認證將成爲很多業務發展的基礎要求。
3.2 大數據風險識別及生物識別技術將推動新的變革
在過去不僅僅如何保障用戶身份真實性是一大難題,另外一個重要的因素是如何在保障用戶身份真實性的同時不會對絕大部分正常的用戶體驗帶來傷害,不會因爲身份認證的高門檻而將用戶拒之千里。產生這一系列問題的原因就在於身份認證方式的單一性,只要認證方式是固定的,黑灰產業鏈突破的難度就會大大降低,而一旦將這單一的認證方式難度提高,這將對所有用戶產生影響,得不償失。近年來大數據分析及生物識別技術的不斷髮展,將有效改變這一局面。
一方面,利用大數據的風險識別可以對用戶行爲進行有效分析,從而對用戶進行精準的分類分層,可實時判斷每一個用戶的認證動機,對不同風險等級的用戶採取不同的認證方式,保障正常用戶的快捷體驗,而風險用戶則無法簡單的通過盜用他人信息通過認證。大數據的充分運用,能在保障單次認證有效性的同時,通過賬戶異常行爲的預警識別,對可能存在被盜或買賣的賬戶進行二次認證,確保身份信息持續有效。
另一方面,生物識別技術的發展及智能手機的普及,使生物識別技術用於網絡實人認證成爲可能,包括目前人像、指紋已成爲主流的認證方式,而聲紋、虹膜識別技術的發展也將大大豐富身份認證的方式,提升實人認證的可靠性。
3.3 身份數據保護成爲重中之重
數據安全是網絡身份認證的生命線。身份數據保護是一個全鏈路系統性的工作,包括認證設備、客戶端程序、網絡傳輸、服務器等全方位技術提升及機制保障。近年來用戶信息泄露事件頻發,給我們敲響警鐘,促使身份數據安全保障進入更加全面發展的階段。
完整PDF版《2015網絡可信身份發展年報》, 請點擊這裏