《美国正在建立基于身份和属性认证的网络身份生态系统美国身份建立网络身份生态系统》由会员分享,可在线阅读,更多相关《美国正在建立基于身份和属性认证的网络身份生态系统美国身份建立网络身份生态系统(4页珍藏版)》请在金锄头文库上搜索。
1、美国正在建立基于身份和属性认证的网络身份生态系统(一)概述2009年5月,奥巴马政府发布网络空间安全评估报告,突出强调了网络空间的战略 地位,指出美国当前网络安全形势严峻,为此设定了网络安全近期和中期行动计划,其中近 期计划第10项和中期计划第13项明确,要建立基于网络安全的身份管理战略,保障隐私与 公民自由。在网络安全形势日益严峻,以及网络身份管理重要性日益突显的情况下,美国将 可信身份和属性作为构建可信网络空间的基础和关键,并提出美国网络空间可信身份国家 战略,旨在构建一个以用户为中心的网络身份生态系统,在该体系环境下个人和组织遵循 协商一致的标准和流程来鉴别和认证数字身份,从而实现相互信
2、任。身份生态系统包括实现可信身份标识、鉴别和授权的各参与方,以及相应的政策、流程 和技术。各参与者主要有业务主体、身份提供商、属性提供商、依赖方和评估认证机构、身 份媒介。身份提供商验证主体身份,保证主体身份“真实性”。在业务开展前,身份提供商将 为业务主体提供一个匿名或者可以唯一标识其身份的身份凭证。为了实现更高的安全保障等 级,身份提供商将会验证主体的物理身份,并确保数字身份凭证准确反映其真实物理身份, 从而保证其业务主体“身份真实性”。属性提供商负责建立主体身份属性的相关数据库,提供属性证明,作为依赖方向主体提 供业务授权的依据。属性提供商确认主体身份属性信息,将属性信息与身份信息进行绑
3、定, 以身份属性证明或者其他形式进行公布。评估认可机构通过对依赖方评估对其发放可信标 记,以表明其符合身份生态系统的要求。在在线业务的开展过程中,依赖方通过可信标记向业务主体标识和鉴别自己身份,同时, 根据需求对主体身份凭证和相关属性凭证进行验证,以便决定是否给予主体特定的在线业务 授权,以更好的实现业务信息内容的“保密性”和主体行为的“可追溯性”。(二)关键要素分析1、制定完善的政策和法律法规美国注重将科学的管理理念、成熟的管理方法、规范的技术标准、先进的技术应用等, 以法律或法规的形式固定下来,以此来提高国家和社会在网络空间管理方面的科学性和规范 性。美国主要的互联网法规电信法提出了美国需
4、要确保的利益:国家安全、未成年人、 知识产权及计算机安全。国家安全自不必说,而知识产权和计算机安全直接涉及美国的支柱 性产业 互联网产业。未成年人则是国家的未来,他们的成长事关社会健康发展。美国还 先后颁布了国家信息基础设施保护法、公共网络安全法、网络安全信息法等,已经 形成较为健全的法律法规体系。么建立并协调相关组织机构以落实网络空间国际战略在维护网络安全方面,美国政府已有多家部门负责,政府下属有六大网络安全专职机构, 即美国计算机应急响应小组,隶属国土安全部;联合作战部队全球网络行动中心,隶属国防 部;国家网络调查联合任务小组,隶属联邦调查局;情报界网络事故响应中心,隶属国家情 报总监办公
5、室;网络空间安全威胁行动中心,隶属于国家安全局;国防网络犯罪中心,隶属 国防部。奥巴马上任后不久,就成立了“网络空间政策评估小组”,以彻底评估信息和通 信基础设施的安全防护状况及应对能力。他随后采纳了评估小组提交的网络空间政策评估 报告中的建议,如设立与总统保持密切联系的“白宫网络安全协调员”,并成立“白 宫网络安全办公室”,协调美国联邦政府的军事和民事部门网络安全政策和行动。2009年5月,奥巴马成立了 “网络战备司令部”,建立白宫网络办公室。但承担网络 空间主要行动的是美国国防部,国防部出台了网络空间行动战略,并通过网络来履行各项职 责,目前美国国防部操控着超过15, 000个网络和7百万
6、台计算设备。2009年底,美国还成 立了 全国通信与网络安全控制联合协调中心”,主要工作就是协调和整合六大网络安全 专职机构的信息,以提供跨领域的网络空间发展趋势判断能力,分析并上报全国网络空间的 运行状况。为了能够在网络空间进行有效作战和高效地组织资源,美国国防部专门设立了美 国网络司令部,直接隶属美国战略司令部。网络司令部将协调美国各军种中网络空间行动机 构有效运作,确保更好地履行美国国防部的使命。2010年5月,美国“网络战备司令部 正式启动。服务于网络空间行动的机构,还包括美国陆军网络司令部、美国舰队网络司令部 凑国第10舰队、第24空军、美国海军陆战队网络司令部和美国海岸卫队网络司令
7、部。相 互同步和协调的职责已经由美国战略司令部委派给美国网络司令部。3形成分工明确的产业划分美国信息安全企业总体上可以划分为三种类型:解决政府等国家级信息安全问题的政府 信息安全承包商、提供行业解决方案和完整产品线的专业信息安全企业以及提供专用、新型 技术和产品的独立信息安全企业,这三类企业可简单概括为“国家队”、“专业队”和 “特种队”,如表36所示。表36美国信息安全企业分类企业类型业务范围主要企业国家队专门从事美政府部门、情报部门、军方、关键 基础设施信息安全保障业务,提供整体架构设 计和集成解决方案洛克希德马丁、SAIG通用 动力公司、波音和雷神公司等专业队提供完整的产品、设备,以及具
8、体某个层面的解决方案一些进入信息安全领域的传 统大型rr企业,包括I脚 微软、思科、Intel、等特种队以创新为主,专门提供信息安全专用的、新型 的技术和产品,捆绑在前两类企业中,向政府 和企业用户提供产品和技术赛门铁克、RSA等“国家队”专门从事美政府部门、情报部门、军方、关键基础设施信息安全保障业 务,提供整体架构设计和集成解决方案,主要包括洛克希德 马丁、波音和雷神公司等。“专 业队”主要提供完整的产品、设备,以及具体某个层面的解决方案,主要是一些进入信息 安全领域的传统大型IT企业,包括I跑 微软、思科、Intek EM:等。“特种队”以创 新为主,专门提供信息安全专用的、新型的技术和
9、产品,捆绑在前两类企业中,向政府和企 业用户提供产品和技术,包括赛门铁克、RSA等。其中,美国信息安全“国家队”主要 由一些长期从事国家安全相关业务的承包商组成,如洛克希德马丁、波音公司、通用动力 公司、雷神公司等都是美国重要的国防承包商,其年度营业额中很大一部分都来自于政府或 国防合同,如雷神公司的营业额超过9嘛自于国防合约。4构建较为完善的基础设施美国的商业HQ基础设施建设已经比较完善,并有相应的verisign等认证机构。政府 基础设施也比较完善,有联邦EKI等。早在上世纪90年代,美国一些联邦政府机构就使用 了 FKI技术,但是各机构之间缺乏互操作性。为解决不同信任域之间的互操作性问题
10、,联邦 政府开始构建美国联邦购体系。这个体系以联邦桥GMFBS为核心。2002年,FBCA开 始运行,当时与4个联邦政府机构CA实现了交叉认证,即:农业部(USE&NZD、国防部(DoD、 财政部(Treasury和国家航空航天局(N*。目前联邦HQ体系不仅包括FBG还包括 联邦通用策略框架电子政务CA(m、公众及商务类通用CA(C4G0电子政务CA(m。B3CA向已经批准的联邦机构认证服务提供者和联邦机构依赖方应 用签发证书,以促进相互间的信任。目前B3S有三个:前两个CA支持不同的策略和担保等 级,向认证服务提供者签发传输层安全证书;另一个CA向批准的应用签发证书,不论担保 等级。公众及商
11、务类通用GVC4S。C4G的主要目的是确保那些不渴望与 g进行交叉认 证的HQ应用也能作为身份解决方案。但是,C4CA吸收的成员是很有限的。目前,外交部 (Do$ CA已经被批准与C4C实现交叉认证,以将电子服务扩展至公众。不断改进技术和应用模式美国较著名的认证机构有 Verisign, Geotrust Thawte. G1 obalsign. Ccmodo. Entrust Equifax等。这些认证机构具有权威的身份鉴证流程、规范运营管理程序,以及良好的责任 担保和赔付保障制度,并且多数已经通过樨btrust审计,服务范围涉及多个国家和地区。电子护照的技术及应用发展较成熟。外交部(EoS
12、)将数字签名嵌入电子护照中,防止护照 的欺诈和伪造;同时数字签名还应用于移民签证的验证定位管理信息系统,电子邮件安全, 投标文件加密,睥版权保护外交部的网络安全管理等多方面。又如,国防部(DcD向其 每位雇员、服役军人及相关赞助承包商发放基于硬件设备的证书,最初是以用于公共通 道的控制CAC( Ccrnnon Access Card是一种用于路由器网络的标准硬件令牌,可以代替密 码口令作为登录国防部网站实现强认证,对网页信息和资料库访问者的身份鉴别以及邮件的 加解密等)的形式应用;随后国防部开始改进。史卡,根据国土安全总统指令12号(Herne land Security Presidential Directive 1小5SIDT2)使用了新技术来提高联邦所控制的设备和 计算机系统的安全性。国防部也发放软证书用于谜b网服务,同时国防部IKI办公室还计划 增强机密网络的HQ设施,提高网络安全。
