身份认证是所有网络应用的基础,并贯穿于所有的网络应用的全过程。可以这样讲,没有身份认证就没有网络应用。
按身份认证实施人、认证对象来划分,在一个网络应用的建立、运行过程中,身份认证基本上可以分为如表1中的四种类型。
表1:基于网络应用的身份认证的类型
认证类型 | 主要认证实施人 | 被认证对象 | 认证目的或目标 | 认证结果 |
管理性认证 | 政府管理机构及法律法规所规定的单位。 | 提供网络应用服务的法人或自然人 | 确保提供网络应用服务的法人或自然人提供的网络应用服务合法、合规。 | 合法合规的法人或自然人所提供的网络应用服务,允许上线。 |
检查性认证 | 政府管理机构及法律法规所规定的单位。 | 法人或自然人在网络上呈现出来的已经上线的网络应用服务。 | 在网络上呈现出来的网络应用服务为合法、合规的网络应用服务。 | 下线不合法、不合规的网络服务。 |
登录性认证 | 提供网络应用服务的服务器。 | 对登录服务器的登录人,进行身份认证。 | 确保以某个账号登录服务器的人,确实是该账号的合法持有人。 | 登录人不是登录账号的合法持有人时,拒绝登录。 |
执法性认证 | 具有执法、监管职责的单位 | 实施了非安全的网络行为并产生相应后果的团伙或个人。 | 确定实施了非安全的网络行为并产生相应后果的团伙成员或个人的真实身份。 | 按相关规定,对实施了非安全的网络行为并产生相应后果的团伙成员或个人进行相应的处罚。 |
通过对官媒发布的各种网络安全事件的情况通报的研究,可以发现,任何一件网络安全事件中,本应起到对阻止网络安全事件发生的三种认证(管理性认证、检查性认证、登录性认证),最少有一种认证失效,进而直接导致该起网络安全事件的直接发生。而执法性认证,在实施非安全网络行为人的刻意伪装之下,查找这些实施人,也是困难重重,需要消耗大量的人力和物力。同时还可以发现,只要是《网络安全之要点》中的“类型2)”网络安全事件,必然伴随着“登录性认证”失效的情况出现。
对于同百姓链接最为紧密、嵌入到百姓生活的方方面面、品种繁多、变化最快的各种各样的民用的网络应用而言,建立起低成本、高效、准确的登录性认证体系(方法)就成了构建起行之有效的网络安全管理办法的要点中的要点。