身份认证是伴随网络应用从始到终的必有的一个环节。对于一个网络应用而言,用户注册时的身份认证和注册用户密码丢失、找回密码时的身份认证,则是最为关键的两个身份认证节点。这两次认证,直接关系着线下人的身份信息是否被人盗用、冒用或者干脆是伪造身份的问题。

无论是类型1)亦或是类型2)的网络安全事件,最少伴随以上三种问题中的一个。这样从逻辑上讲,在网络世界中,只要能解决网上行为人的对网下行为人的身份盗用、冒用,以及伪造网上行为人身份的问题,从根本上或者讲从机制上讲,就可以解决了两种类型网络安全事件发生的可能性,最少是具备了彻底根除两类网络安全事件发生的可能性。

身份认证系统就为此目的而设计。

身份认证系统由通过私用网络连接在一起的身份认证系统接口系统及有关的信息系统而构成。其主要作用就是为各种网络应用中的注册环节和密码找回环节为网络应用提供具有法律效力、符合相关法律、法规的注册人或找回人的身份证明。

图1中的身份认证系统,是一个最小的身份认证系统,它由居民身份信息系统、固网路由信息系统、移动网路由信息系统通过私用网络连接而成。这个身份认证系统就能完成个人在网络应用服务器上的注册阶段、找回密码阶段的身份认证提供认证服务。可提供的认证模式,见表1

图2为加入了公民征信系统的系统示意图。加入了公民征信系统,就可以在法律、法规所规定的需要了解公民征信信息的网上行为发生环节(如注册环节、购买动车票、飞机票、申办信用卡等)提供实时的公民信用信息的法定证明。

图3为加入了工商登记系统的系统示意图。它可以为任何法人活动,特别是法人的网上活动提供法人合法、合规的法定证明。如法人成了时,法人组成人的信用调查、资格调查(只要在身份认证系统中加入公民资格认证系统即可实现)。法人从事网上服务的收款账户设立(该规定现在没有,但为杜绝任何以个人或者公司形象出现的网上诈骗活动,需要设定《提供网上服务的收款账户的管理规范》及《网上服务的购买、支付管理规范》这两个法定网上交易行为的管理规范。)是否符合相关的管理规定的尽责调查。

固网路由信息系统中包含的信息为:居民申请上网光猫的MAC码,申请人的身份证号码,联系电话号码,上网光猫的安装地理位置信息,固网运行商所管理的所有路由器的MAC码、所有路由器的连接关系等信息。

移动网路由信息系统包含的信息为:居民申请的电话号码及对应的SIM卡的ICCID号,申请人的身份证号码,移动运行商所管理的所有的移动基站的所处的地理位置、每个基站的基站识别码、每个基站上的小区识别码、每个手机的实施位置等信息。

下面以双网终端匿名认证模式的过程描述,来简要说明个人在某个网络应用服务器上进行注册时的身份认证过程。

身份认证过程:

步骤1:

用手机分别登录身份认证系统接口系统官网、网络应用服务器官网,下载、安装相应的APP。而后手机切换为移动数据连接方式。

步骤2:

用固网终端登录身份认证系统接口系统官网认证页面,填写身份证号码、身份证号码注册的手机号码,用手机上的身份认证系统接口系统APP,扫一扫屏幕上的“双网匿名认证”二维码。

步骤3:

身份认证系统接口系统将收到的身份证号码、路由指纹、地理位置信息、电话号码、SIM卡的ICCID号、手机“看到的”周围的所有基站的基站识别码、每个基站上的小区识别码分别送入居民身份信息系统(送入身份证号码)、固网路由信息系统(送入身份证号码、路由指纹、地理位置信息)、移动网路由信息系统(送入身份证号码、地理位置信息、电话号码、SIM卡的ICCID号、手机“看到的”周围的所有基站的基站识别码、每个基站上的小区识别码)分别进行校验比对。三个系统都校验通过,则在固网终端上送出有有效时间限制的准许匿名注册的二维码。(注1:)

步骤4:

用固网终端登录网络应用服务器注册页面,填写手机号码,用手机上的的APP,扫一扫屏幕上的“准许匿名注册”的二维码。

步骤5:

网络应用服务器将收到的准许匿名注册的二维码、路由指纹、地理位置信息、电话号码、SIM卡的ICCID号、手机“看到的”周围的所有基站的基站识别码、每个基站上的小区识别码发送到身份认证系统接口系统,进行比对验证,验证通过,这返回准许匿名注册的信息,否则返回不准许注册的信息。

步骤6:

网络应用服务器收到准许注册的信息后,进行现行的注册流程。

密码丢失,找回密码环节的身份认证过程,略。

身份认证系统具有的最突出的三大优点:

1)保密性强,认证准确,安全可靠

所有认证请求,都只能向身份认证系统接口系统提出,各个信息系统只同身份认证系统接口系统进行信息交换,并不直接面对“最终用户”,从而完全避免了来自“公用网络”的任何攻击。

2)系统可扩展性、管理时效性强

在身份认证过程中需要的管理项目,只要能以信息管理系统的形式接入私用网络接入身份认证系统,即可发生相应的管理效力。而任何接入的信息管理系统中的管理信息一旦发生变化,则该信息所对应的管理行为,则立刻生效。

比如“公民征信系”一旦接入,则任何需要查询公民征信系统的管理过程立刻生效。“老赖”名单一旦在“公民征信系”生效,则该老赖的法律、法规所规定的受限制的线上、线下(只要该活动后台有网络支撑且需实名)活动,马上生效。而“老赖”名单一旦在“公民征信系”失效,则该老赖的法律法规规定的受限制的线上、线下(只要该活动后台有网络支撑且需实名)活动,马上失效。任何法律规定的公民征信系统可以征集的线上、线下的活动的非诚信结果,则都可以快速及时的汇集到“公民征信系”。这个快速反应的时效性,将对任何企图从事网络非安全活动或非诚信活动的人,建起一个 “一处失信,处处失信”的机会成本极高的阻挡门槛。

3)性价比高

任何的管理行为,都是要付出相应的管理成本的。

从理论上讲,一个接入身份认证系统中的信息系统,所对应的纸质的证明文件,就可以消失(当然这需要相关的法律、法规进行明确和确认)。对应的申请办理这份纸质证明文件的办事大厅最少可以大幅减少办事大厅的办理席位。提供虚假纸质证明文件的管理漏洞将被堵住,相应的腐败行为将不复存在。

从理论上讲,任何的可以用业务流程或管理结果的结果数据呈现出来的管理法规或管理规范,都可以快速、准确的投射到身份认证系统或以身份认证系统为基础的网络行为管理过程之中。

人们完全有理由期待,当越来越多的法律法规所规定的负有管理职责部门的管理系统都接入身份认证系统,相应的业务流程在一次次的碰撞、修正后会越来越合理、规范后,人们将迎来一个“越来越清澈”网络世界。

在这个“清澈的”网络世界中:

做电商平台的企业,不用担心在他的平台上,有假卖家、假买家、假货的存在,进而也不用担心有人用“三假”问题对其进行道德攻击。

通过网络提供产品、服务的企业,也可以心无旁骛的专心做好自己的产品或服务,不用考虑通过造假也不要担心竞争对手通过造假来获得竞争优势。(当造假成本远远大于不造假的收益,谁还造假)

从网上获得产品或服务的消费者,也不需要担心碰到“消费陷阱”或“网络诈骗”。

家长不用担心孩子会被拐卖、未成年的小朋友会沉迷网络游戏,也不用担心在小朋友的成长过程中,会接触到当下各种防不胜防的网上不良信息。

涉世未深的大学生的家长,再也不用担心突然某天接到“校园贷”追债电话。

负责调查发生在没有目击证人、没有监控录像的车祸肇事逃逸案的警察叔叔,再也不用绞尽脑汁的去大海捞针寻找目击证人和逃逸的肇事者,身份认证系统将会直接给出有限的几个“肇事者”的嫌疑人和可能的目击证人名单。

人口调查是和平时期,各国政府必须要面对的最大规模的社会动员。借助身份认证系统政府可以组织频次更高、数据更准、投入更少的各种各样的人口调查。

等等、等等。

多么美好的未来的网络世界,那么问题来了,仅靠一个身份认证系统就可以达到吗?答案显然是否定的!那么又有几个障碍点?相应的解决方案又是什么?

表1:认证模式及其主要特征

认证模式

主要技术特征

固网终端实名认证模式

通过固网终端完成注册,注册时向网络应用服务器提供身份证号码。

移动网终端实名认证模式

通过移动网终端(手机)完成注册,注册时向网络应用服务器提供身份证号码。

固网终端匿名认证模式

通过固网终端完成注册,注册时不向网络应用服务器提供身份证号码。

移动网终端匿名认证模式

通过移动网终端(手机)完成注册,注册时不向网络应用服务器提供身份证号码。

双网终端实名认证模式

通过固网、移动网终端(手机)完成注册,注册时向网络应用服务器提供身份证号码。

双网终端匿名认证模式

通过固网、移动网终端(手机)完成注册,注册时不向网络应用服务器提供身份证号码。


图1:身份认证系统示意图

图(2)加入了公民征信系统的系统示意图

图(3)加入了工商登记系统的系统示意图

注1:如果注册人不是固网申请人本人,则应填写申请人的身份证号码外加同申请人的关系说明。身份认证系统接口系统在得到申请人的许可或担保后,才能进行后续的验证。

如何构建一个低成本、高效、准确的身份认证体系相关推荐

  1. 构建基于分布式SOA架构的统一身份认证体系

    摘要:本文充分利用SOA架构松耦合的特点,通过规范统一网络接口实现业务系统整合,既提升系统安全性,又简化资源访问操作,具有重要的理论和现实意义. 统一身份认证旨在将分散在各个信息系统中的用户和权限资源 ...

  2. 一个php文件实现支付宝身份认证

    一个php文件实现支付宝身份认证 1.生成二维码 <?php header('Content-type:text/html; Charset=utf-8'); /*** 请填写以下配置信息 ** ...

  3. 如何构建一个可持续的企业级数据赋能体系?

    简介: 对于所有企业来说,数据决定了基于算力.算法等能做出哪些场景和应用.在本次首席技术官大数据专享会上,友盟+首席产品官林鸣晖围绕业务数据化,数据资产化.资产应用化.应用价值化构建属于企业的可闭环. ...

  4. 在ASP.NET Core中实现一个Token base的身份认证

    以前在web端的身份认证都是基于Cookie | Session的身份认证, 在没有更多的终端出现之前,这样做也没有什么问题, 但在Web API时代,你所需要面对的就不止是浏览器了,还有各种客户端, ...

  5. 微服务架构下的身份认证

    从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验.为了适应架构的变化.需求的变化,身份认证与鉴权方案也在不断的变革.面对数十个甚至上百个微服务之间的调用,如何保证高效安全的 ...

  6. jws webservice 跳过https认证_基于OAuth2的OIDC (OpenId Connect)身份认证

    OIDC协议 OIDC(OpenID Connect)是在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议. OAuth2协议 OAuth2是一个授权协议,它无法提供完善的 ...

  7. 分布式身份认证——未来信任生态的基石

    一年前,微软在其官方博客中宣布,将在旗下微软身份验证(Microsoft Authenticator)应用程序内整合基于区块链的去中心化 ID 验证技术,标志着微软正式开始进入DID(分布式身份验证) ...

  8. 芯盾时代:一种会思考的新一代安全身份认证方式

    喂,有没有想过你在互联网上的"身份证"是什么?更通俗地讲,在互联网中,什么能证明"你是你"? 当我们登录一个银行APP时,是不是只凭"用户名+口令&q ...

  9. 国务院发文,完善身份认证、电子印章等应用,加强数字政府建设

    6月23日,国务院印发<国务院关于加强数字政府建设的指导意见>国发[2022]14号(以下简称<指导意见>),明确指出:要完善身份认证体系.健全电子印章服务体系.完善电子证照共 ...

  10. 深入聊聊微服务架构的身份认证问题

    从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验.为了适应架构的变化.需求的变化,身份认证与鉴权方案也在不断的变革.面对数十个甚至上百个微服务之间的调用,如何保证高效安全的 ...

最新文章

  1. 项目部署mysql安装_Tomcat7+jdk+mysql安装及项目部署
  2. 如何查找两个列表之间的差异?
  3. leetcode 小青蛙跳梯子
  4. Fence Repair POJ - 3253
  5. 通用的权限管理系统发布
  6. SQL select 语法(转)
  7. java classes 路径_Java获取项目路径及classes路径
  8. 恋爱记v1.0源码-在线生成表白页
  9. 计算机 项目管理 stage phase区别
  10. backup exec 安装时报‘Microsoft sql express安装失败
  11. vs c语言绘图函数,C语言图形编程(绘图函数部分)
  12. Linux 环境下,搭建 ZooKeeper 集群
  13. vue+elementui上传视频并回显
  14. elementUi中的图片预览功能(图片放大、缩小)preview-src-list属性
  15. 获取服务器端的webapps路径
  16. 怎样在家远程访问单位的电脑 如何利用远程桌面进行远程办公 3款软件测评
  17. Linux_CentOS7 的桌面图标怎样变小/变小的方法
  18. 大数加法(测试数据不完全,可能会有出错个例)
  19. Array.of()
  20. DBCO-PEG-SAS DBCO--聚乙二醇-琥珀酰亚胺琥珀酰亚胺酯

热门文章

  1. kmeans算法及python实现
  2. 中债估值 收益率_收债
  3. 队列DID:以知识青年“上山下乡”为例
  4. Lucene倒排索引简述 番外篇
  5. 虚拟机安装银河麒麟V10系统
  6. 蓝箭航天自主研发80吨液氧甲烷发动机喷管下线
  7. Intellij IDEA如何恢复删除的文件或文件夹
  8. 我曾做过陈士成,也做过孔乙己,还做过阿Q
  9. 基于Java平台实现发送短信功能
  10. vivo Y51的USB调试模式在哪里,开启vivo Y51USB调试模式的教程