原作者:
来源Technology Review: The Government Has an Online Identity Plan for You
译者夜神月Moon

大多数人在管理他们的互联网身份时,都需要应付一份长长的用户名和密码清单。而且多数的业内专家认为这一互联网身份管理的方式是很难被改变的。

然而,一些技术人员已经找到了用以解决互联网账号过多的问题的办法。比如:通过实施称为OpenID的开放标准,允许用户使用单一的信任凭证登录多家网站。一些企业也在寻求填补这一空白的方法,比如FaceBook就提供了一种技术允许用户使用自己的FaceBook账号登入其他的网站。

现在,美国政府希望可以介入这一领域,并改善在线身份管理的现状。最近,国土安全部(美国)在网上发布了一项名为“国家网络身份认证策略”的草案,这项草案为政府如何推动互联网身份管理系统的实施提供了建议。互联网身份管理系统不仅可以服务于诸如“国税局网站”一类的政府网站,还可以用于包括社交网站在内的其他网站。

这一草案并未提倡建立国家身份识别卡(身份证)体系,或建立由政府管理的互联网身份识别系统。而是提出了一种整合所有在线身份识别技术的方式,以建立一套更为简单并且更为注重隐私的身份系统。整个系统脱离政府的控制。

草案中认为,一套完整的互联网身份识别系统应该是安全的,注重隐私的,并且可以与其他的在线身份识别系统兼容,同时还应该拥有低廉的成本和易用性。草案建议,系统建立之初使用用户已有的账号来建立系统,比如Google或FaceBook账号。账号提供者需要通过安全性和可靠性认证。然后,用户可以选择一个公司或组织来注册他们的身份。这一身份认证将使用标准格式保存起来,并且可以在大部分网站通用。

草案同时给出了多个案例,以描述新系统可能的功用。例如:用户可以将她的身份与她的移动电话互相绑定,并且使用这一系统登入政府网站办理缴税业务,而不必再为政府网站重新建立账号。这样一来也可以减少政府用于维护身份认证基础设施的开销。或者,用户使用他电脑上的身份认证信息来登入在线药房,而在线药房可以依据他的身份信息来验证他是否年满18岁,以及他的处方是否合法,但不得获取其他额外的信息。

独立的互联网产业专家Kaliya Hamlin是Internet Identity Workshop论坛的贡献者,这一论坛一直致力于研发和探讨身份管理技术。对于这项草案,她表示:草案的提出为解决在线身份管理当中所存在的问题做出了很大的帮助。草案中花费了一些篇幅来讨论现行系统的可用性问题,例如:诸如“妈妈的婚前姓氏”之类的愚蠢的“安全问题”最终会危害系统的安全性。Hamlin同时指出,草案中的很多案例已经可以使用现有的标准来解决了,比如使用标准化的信息卡就可以解决在线药房的案例。信息卡是为了使用安装于PC上的软件来管理数字信息而提出的一种标准,可以用来验证用户某些方面的信息,同时避免其他信息的泄漏。

Hamlin计划在11月于华盛顿组建一个身份识别策略工作室(Identity Strategy Workshop),在那里业内专家们可以对政府的这项议案作出研究。

微软“计算机信任计划(trustworthy computing)”项目组“全局安全战略和外交”主管Paul Nicholas表示:此项草案极大的推进了识别和认证组织、个人以及相关基础设施的能力。

然而,一些专家担心草案中描绘的愿景目标是难以达成的。社区网络身份管理系统ClaimID的创始人之一Fred Stutzman说:“我能预见到,想要让这一方案成为主流并实施于日常应用当中将会重重困难。”虽然他相信有优秀的技术可以解决身份管理问题,但他也预见到了,要将这些技术改进得足够容易使用是有困难的。

Hamlin表示在现有的体系之下,草案可以被业内人士所接受,但它却并没有适应普通民众的需求。她认为:草案实际上是模糊的,需要通过讨论来明确政府的参与如何帮助这项计划的实施。

但是,让Hamlin感到鼓舞的是草案中明确建议政府通过立法手段建立身份管理系统的标准并明确提供认证服务的公司所需遵循的规则。事实上,身份识别方法经常会超出其应有的使用范围(提供额外的功能),这使得公司们不愿去建立系统与其他的身份识别系统相交互。

国土安全部会在七月19号表决这项草案。美国联邦政府计划在秋季将这项计划付诸实施。

请看原文:
美国提出由政府主导的在线身份管理计划