国际篇

第四章 美国网络可信身份服务业进展及启示

第一节 美国网络空间可信身份国家战略概要

2011年4月15日，为响应2009年《网络空间安全评估》中提出的“建立基于网络安全的身份管理战略，保障隐私与公民自由”，美国发布了《网络空间可信身份国家战略》（简称“NSTIC”），计划用10年左右的时间，构建一个网络身份生态体系，推动个人和组织在网络上使用安全、高效、易用的身份解决方案。NSTIC共8章，核心内容包括指导原则、前景构想、身份生态体系构成、任务目标和行动实施等。

一、NSTIC明确了身份生态体系必须遵循四项原则

一是身份解决方案应当增强隐私保护并且由用户自愿应用。政府不会命令用户必须获得属于身份生态体系的凭据，机构也不会强迫要求用户提供属于身份生态体系的凭据作为唯一的交互工具。用户将自由选择使用满足依赖方所要求的最低风险的身份生态体系的凭据，或使用由信任方提供的非身份生态体系机制的服务。

二是身份解决方案应当是安全、可扩展的。安全性既能够保证身份解决方案的保密性、完整性和可用性，又能够在必需的时候保障业务的不可抵赖性。身份解决方案同时应是可用的、适应性强的，在多样化的身份生态系统中，如果服务提供商破产、不能坚持政策或转变服务主题，那么参与者可以简单地更换服务提供商。

三是身份解决方案应当是互操作的。鼓励服务提供商接受多种多样的凭据和身份媒介，使个体能够使用多种凭据来向服务提供商出具他们的数字身份；此外，身份解决方案的互操作性将使个体能够轻松地更换服务提供商，这样将合理调动市场的激励机制满足个体的期望。

四是身份解决方案应当是高效且易于应用的。对用户而言，身份解决方案将减少甚至消除由于技术及政策造成的需要个人维护多个身份凭据的情况，用户只需要维护较少的身份凭据，即可访问服务提供商；而且，身份解决方案应当易懂、直观、易用，用户只需较少的培训即可使用，尤其是要便于弱势群体使用。对服务提供者而言，身份解决方案是能够降低交易成本、提高运营效率的。

二、NSTIC提出以用户为中心的身份生态体系构想

NSTIC提出的身份生态体系构想是：个人和组织可利用安全、高效、易用和具备互操作的身份解决方案，在一种信心提高、隐私保护意识增强、选择增多和创新活跃的环境下获得在线服务。该构想反映了一种以用户为中心的身份生态体系，适用于个人、企业、非营利组织、宣传团体、协会和各级政府等。

三、NSTIC提出身份生态体系由参与者、策略、流程和相关技术构成

参与者主要包括个人、非个人实体、身份提供者、属性提供者、依赖方等。个人或非个人实体（如组织、软件、硬件和服务等）是在线交易或使用在线业务的主体，他们从身份提供者处获得身份证书，从属性提供者处获得属性声明，并将身份证书和属性声明直接展示给依赖方，以从事在线交易或使用在线业务。身份生态体系的策略基础是身份生态体系框架，该框架为体系的所有参与者提供一套基础标准和政策，这些基础标准和政策提供了最低的安全保障，同时也说明更高级别安全保障的详细细节，以确保参与者能获得足够的保护。

四、NSTIC明确身份生态体系构建的目的

一是建立综合的身份生态体系框架，细分任务包括：以公平信息实践原则（FIPPs）为基础，建立隐私增强保护机制；扶持私营机构建立基于风险模型的身份鉴别和认证标准，并尽可能与国际一致；界定参与者的责任，建立问责机制和补救流程，解决身份凭据被错误发放或利用，以及身份系统导致的其他错误问题；建立指导小组对制定标准和认证流程进行管理。

二是建立和实施可互操作的身份生态体系，细分任务包括：促进私营机构基于商业利益自愿实施身份生态体系，促进州、地方、部落和自治政府参与身份生态体系，促进联邦政府采用身份生态系统，建设和实施身份生态体系互操作基础设施。

三是增强用户参与身份生态体系的信心和意愿。通过宣传和教育，让公众知情并积极参与；联邦政府鼓励其他可推动身份生态系统广泛使用的手段。

四是确保身份生态体系的长期成功和可持续性。细分任务包括：通过科技和研发推动创新；推动身份生态系统的国际化。

五、NSTIC明确身份生态体系实施各方的职责和进度计划

实施身份生态体系需要政府部门和企业的共同努力，NSTIC明确了私人企业负责具体建立和实施身份生态体系，联邦政府负责指引和保障，国家项目办公室负责制定实施路线图等。同时，NSTIC还明确了在3～5年内使身份生态体系的技术、标准初步具备实施条件；10年内使身份生态体系基本建成。