2018—2019年中国网络可信身份服务发展蓝皮书
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第二节 美国网络空间可信身份国家战略(NSTIC)实施情况

NSTIC是在美国网络安全战略发生重大转变的背景下提出的,是美国网络安全战略的重要构成。在NSTIC的指引下,美国政府、行业联盟和企业不断推进可信身份的发展。

一、美国商务部NSTIC国家项目办公室统筹协调NSTIC推进实施

美国商务部NSTIC国家项目办公室与国家电信和信息管理局合作,共同推进NSTIC实施。NSTIC国家项目办公室的主要职责包括:一是促进私营机构参与身份生态系统建设;二是为实现可信身份战略的愿景,建立必要的具有一致性的法律和策略框架;三是与业界合作,研究需要制定的新标准和合作领域;四是支持为达成计划目标所需要的跨机构的协作与协调;五是对国家战略及实现活动的进度进行评估,包括目的、目标及里程碑等;六是促进重要的网络空间可信身份国家战略的引导项目和其他实现项目的开展。

此外,为推进身份生态体系建设,美国国家标准技术研究院投入资金,设立了由私营机构主导的指导委员会—身份生态体系指导小组(IDESG)。IDESG于2012年8月正式成立,主要职责是基于NSTIC的指导原则,研究制定网络可信身份生态体系框架及一系列网络可信身份标准、最佳实践和协议。

二、出台网络可信身份体系框架等一系列政策和标准

NSTIC发布后,在美国政府的支持下,IDESG积极开展网络可信身份体系框架制定工作,并于2015年10月15日发布了《网络可信身份生态体系框架》第一版(以下简称“体系框架第一版”)。体系框架第一版包含了体系框架功能模块、体系框架基本功能要求及补充指南、体系框架认证机制三个核心文件,为所有身份框架体系的参与者提供了一套基本的标准和政策。在该体系框架下,私营机构可以建立多个信任框架。例如,建立用于识别智能卡物理和逻辑访问的信任框架,或建立由移动电话供应商开发的、使消费者和企业能够使用移动设备进行安全、隐私增强的身份和访问管理的信任框架。

与此同时,美国国家标准技术研究院也加快了网络可信身份标准规范研制工作。2017年发布了新修订的数字身份指南(NIST SP 800-63)系列标准,为联邦机构提供数字身份服务提出了要求。该系列标准包括数字身份指南、注册和身份证明指南、身份认证和身份数据全生命周期管理指南等,描述了身份框架概述,在数字系统中使用身份认证器、凭据和断言,以及选择保证级别的基于风险的过程。与旧版本相比,新版NIST SP 800-63有几个重大变化:一是将保证级别分解为身份证明、身份认证和联合声明等几个独立的部分;二是创建了多个章节,明显区分规范性语言和信息性语言,使得每个章节都包含强制性要求和推荐性措施;三是在英国和加拿大同行的支持下,对身份认证进行了重大改革,支持通过虚拟渠道进行亲自认证;四是阐明了基于知识的认证仅限于身份认证过程的特定部分;五是解决了集中生物特征匹配所需的安全性问题等。

三、通过政务示范应用和资金投入推进身份生态体系建设

NSTIC发布后,NSTIC国家项目办公室启动实施试点计划,推动可实现NSTIC愿景和网络可信身份服务市场的发展。2012—2016年,试点计划共支持了24个项目,提供了4500多万美元资助,如表4-1所示。试点项目覆盖医疗、金融、教育、零售、航空航天、政府等领域,主要集中在三个方面:一是身份服务市场发展;二是新兴的身份服务框架和组件;三是身份服务标准和互操作性。试点机构既包括政府部门,也包括私营机构。例如,2014年美国政府拨款240万美元给密歇根州和宾夕法尼亚州,用于开展可信身份识别系统的试点工作,主要试点内容是可信身份的跨地区互联互通和电子政务统一ID项目。在技术方案层面,两个地区采用了州内政府部门使用统一身份数据库的技术,并积极探索使用隐私增强技术。又如,2016年美国政府拨款375万美元给ID.me公司,主要试点内容是向得克萨斯州奥斯汀市提供一种共享经济相关利益各方均可接受的身份解决方案,向缅因州提供联邦身份模型以增加公民获得福利的机会,并在联邦和州两级演示可互操作的凭据。

表4-1 2012—2016年NSTIC试点项目

四、美国企业构建多个联盟推进网络可信身份服务发展

美国企业已构建多个联盟推进网络可信身份服务发展。例如,卓越身份联盟(Better Identity Coalition),该联盟致力于推动形成跨地区跨部门互联互通的身份认证解决方案。该联盟的创始成员包括来自不同领域的领导者,还包括金融服务、医疗保健、技术、电信、金融科技、支付和安全等领域的公司。这些公司包括Aetna、Bank of America、IDEMIA、JPMorgan Chase、Kabbage、Mastercard、Onfido、PNC Bank、Symantec、US Bank和Visa等。某些NSTIC的顾问和负责人也加入了部分企业,继续开展可信身份服务相关工作。例如,NSTIC前负责人格兰特成为了一家相关企业的技术总监,积极倡导政府部门与企业合作,为在线服务提供更安全和易用的身份识别解决方案。

上一章目录下一章