破坏网络可信身份认证，黑灰产业链正在兴起

《2015网络可信身份发展年报》

阿里移动安全

 

第一章  2015年网络可信身份发展现状

1.1 网络可信身份发展的需求产生新的变化

2002年我国开始了网络实名制建设的探讨，其本质目的在于保障网络空间用户身份可信，避免谣言、欺诈等各种违法犯罪行为。在多年的实践中，网络平台或用户开展网络身份认证主要出于以下两方面的要求：

 

一方面，国家相关职能部门为保证行业健康有序的发展，要求从事经营或服务***质的互联网用户进行必要的身份认证，如电子商务的经营者（网店主）、互联网接入服务提供者（域名注册、网络空间租用等）。

 

另一方面，为了保障互联网个人用户的合法权益，维护企业业务的健康发展，网络平台也会采取一些措施防止自身的用户受到违法犯罪行为的侵害。在2015年对网络可信身份发展的需求产生了一些新的变化，主要体现在以下两个方面：

 

第一，网络可信身份发展上升到国家战略高度，成为支撑“互联网+”发展的重要基础。截至2015年12月，我国网民总数已达6.88亿人，如何对互联网进行有效管理，已经成为促进社会、经济进一步发展的重要课题。

 

第二，新兴互联网业务的发展，促使互联网个人用户自愿提供个人真实身份信息来获取某种特定服务。在过去极少数用户愿意主动提供姓名和身份 证号码进行实名制登记，而当前这种现象正在逐渐改变，如互联网征信产品的用户，通过自愿提供自身各方面信息呈现信用状况，从而获得相应的增值服务（如信用消费、信用签证等）；互联网+警务的发展，使得用户通过身份认证后便可以快速的办理相关业务，大大提高了政府相关职能部门的服务效率；网络婚介用户通过实名认证以及多方位提供自己的个人信息来增加相亲成功几率……这些新业务的发展，给网络空间可信身份建设带来了新的机遇。

 

1.2 网络可信身份发展存在的问题

1.  破坏网络可信身份认证，黑灰产业链正在兴起

身份认证是保障网络空间身份可信的重要手段，因身份虚假的网络账号是网络违法犯罪行为的重要工具，因此，衍生出了一系列身份造假、仿冒他人身份以破坏网络身份可信的黑灰产业链，这些产业链包括以下几种类型：

 

a)  利用黑客手段批量窃取公民身份信息

如酒店、保险、航空、医疗、快递等行业的公司都曾遭遇过信息泄露事件，《中国网民权益保护调查报告(2015)》显示，近80%的网民个人身份信息曾遭泄露，包括网民的姓名、学历、家庭住址、身份 证号及工作单位等，个人信息泄露给网民的日常生活带来困扰。

 

b)  身份材料非法收集及买卖

除了数字身份信息的窃取外，现实生活中还活跃着公民实体身份信息收集及买卖的产业链，包括实体身份 证的买卖。据不完全统计，身份 证买卖QQ 群及QQ空间超过300个，预估活跃人群超过25万人（如下图）。

进行身份 证违法买卖的网络空间

 

 

目前黑灰产业链中身份材料主要有两种手段获取，一种是证件被盗、丢失后被转卖；另外一种则是利用公民对个人身份信息保护意识的薄弱，编造各种虚假用途，或者利用蝇头小利（如兼职招聘、中奖登记等方式）骗取身份材料。这种手段已经从互联网普及率较低的农村，蔓延至工厂、学校，由此可见黑灰产的猖獗。

据统计,被用于虚假认证的身份 证主要来自河南、四川、湖北、湖南等身份，而使用这些身份进行网络虚假认证的却集中在广东、福建、浙江、江苏等沿海地区。

虚假身份认证的地区分布

 

c)  虚假身份办理手机卡及银行卡

由于手机号及银行卡验证是目前网络实名验证的重要辅助手段，因此衍生出了未实名登记的手机卡及身份 证、盗用等黑灰色产业链。

据不完全统计，目前在灰产中流通的未实名登记的手机卡达亿级，获取一个未实名登记的手机卡价格在50-100元左右（包含一定的话费）。而这些未实名登记的手机卡，还被不法分子利用猫池、短信验证码平台等技术手段，用于批量接收手机短信验证码，突破了利用手机验证码进行身份认证的方式。

 

目前黑灰色产业链中已形成了银行卡收购、销售、使用的一条龙服务，并与身份 证、USBKey、手机卡、开户资料等配套销售。目前市面上出售一套银行卡料的金额为100元左右，出售一张普卡金额为200元，成套银行卡资料如包含USBKey、开户材料等，价格在400-600元不等。银行卡相较于手机卡的价格高出很多，但是市场依然庞大，危害更加严重。

虚假身份办理银行卡的广告示例

 

滁州警方破获特大网上非法倒 卖 身份 证银行卡案件

 

d)  利用技术手段突破网络身份认证流程

这里包括身份信息造假、身份 证明材料造假，利用软件修改手机或电脑参数突破认证流程等。此类产业链因危害大，相较线下违法犯罪行为存在较大差异，因此立法、司法等行政机关对其认知不一，定刑困难，未能开展有效的管理和处罚，导致无法对违法犯罪行为形成有效威慑。

 

2.  公民个人信息保护问题

在当前网络空间可信身份发展多种形态下，保护公民个人信息问题不容小觑，韩国2011年信息外泄事件及近期美国金融史上最大的网络盗 窃案都在警示整个社会。对此，国家也出台了很多公民个人信息保护的法律法规及规范，但是我国现阶段还没有专门的公民信息保护 法律，保护信息的范围也略显单一，且很多相关法律和实名制的规范都还在征求意见中，尚未形成法律法规体系，因为调整范围和调整方法上的局限，现行法律对于公民个人信息保护提供不了完整的解决方案。

在网络可信身份行业内，大多还在解决身份认证问题，保护信息服务业务较少，在日常业务开展中也带来不小的挑战。所以，保护公民个人信息既要有体系化的法律法规和行政管理作保障，还需要加大鼓励个人信息保护产业的发展。

 

第二章2015年阿里巴巴实人认证发展情况

2.1 服务阿里生态，提升实人认证能力

2015年，阿里聚安全实人认证已服务淘宝集市个人开店认证、二手 交易用户认证、广告用户认证、虚拟运营商售卡实人认证等十多个场景，以下几个方面能力得到了大幅提升：

 

第一，  认证产品服务化能力。通过服务多场景海量用户，在实践过程中实人认证的可靠性得到了有效验证；

第二，  人像识别、活体检测等能力在实践过程中迭代升级，达到世界领先水平；

第三，  基于大数据风险识别及拦截，累积庞大的风险数据库，识别身份造假、冒用等近千万；

第四，  领先的数据安全体系。阿里聚安全搭建了安全可靠的底层安全架构，包括世界领先的异地多活数据中心，建立了最完备的容灾备份体系；自主研发的海量关系型数据库OceanBase，是中国首个具有自主知识产权的数据库，确保国家级数据战略安全。

 

2.2 推动手机卡实名登记变革

2015年，阿里巴巴对阿里通信在线售卡及开卡流程进行了改造，实现在线手机号购卡及开卡的实人认证。手机卡购卡的实人认证，在原来手机实名制登记的基础上进行了有效升级，在大大提升手机号使用者身份的有效性的同时，免去了物流寄送手机卡过程中回收用户身份信息的环节，在给用户提供便利的同时也降低了信息泄露的风险。阿里巴巴这项举措得到了工信部的充分肯定，对推动信息通信行业发展、促进行业转型升级发挥重要作用。

 

2.3 服务“警察叔叔”，提升市民办事体验

2016年1月5日，杭州市公安局响应“智慧城市”、“文明城市”的政策方针，推出了警务APP“警察叔叔”，该应用通过互联网+警务的形式，在全国范围内首次使用了实人认证技术。该应用使市民能够在手机上方便地进行线上办事，提升了政务的体验和效率。

警察叔叔APP

 

2.4 参与建立网络可信身份产业联盟

2015年，在公安 部第一研究所推动下，阿里巴巴参与发起建立网络可信身份产业联盟，旨在通过行业、产业的联合发展，推动网络可信身份体系建立。在2015年乌镇世界互联网大会上，阿里巴巴作为中国居民身份 证网上应用试点单位参展，阿里巴巴在网络可信身份体系建设上的经验及成果得到了广泛认可及赞许。

世界互联网大会上参与中国居民身份 证网上应用展示

 

第三章 2016年网络身份认证发展趋势

3.1 从实名认证向实人认证发展

当前，虚假身份给网络犯罪带来了极大的便利，黑灰产业链的发展，造成了现有网络空间中存在大量实名不实人的情况，实名制无法起到其真正的作用和效果。《中国网民权益保护调查报告(2015)》显示，近一年来，网民因个人信息泄露、垃圾信息、诈 骗信息等问题，导致总体损失约805亿元，其中约4500万网民近一年遭受的经济损失在1000元以上。因实人认证需要同时满足用户身份真实性、有效性、人证一致性的要求，将大大提升违法犯罪成本，对净化网络空间起到至关重要的作用。

 

与此同时，新兴业务的发展也对用户身份真实性提出了更高要求。如网络打车的出现，乘客对司机身份的真实性、可靠性提出了更高的要求；网络婚介、电子政务的前提也是建立在用户身份真实性的基础之上。因此，随着互联网+的不断发展，实人认证将成为很多业务发展的基础要求。

3.2 大数据风险识别及生物识别技术将推动新的变革

在过去不仅仅如何保障用户身份真实性是一大难题，另外一个重要的因素是如何在保障用户身份真实性的同时不会对绝大部分正常的用户体验带来伤害，不会因为身份认证的高门槛而将用户拒之千里。产生这一系列问题的原因就在于身份认证方式的单一性，只要认证方式是固定的，黑灰产业链突破的难度就会大大降低，而一旦将这单一的认证方式难度提高，这将对所有用户产生影响，得不偿失。近年来大数据分析及生物识别技术的不断发展，将有效改变这一局面。

 

一方面，利用大数据的风险识别可以对用户行为进行有效分析，从而对用户进行精准的分类分层，可实时判断每一个用户的认证动机，对不同风险等级的用户采取不同的认证方式，保障正常用户的快捷体验，而风险用户则无法简单的通过盗用他人信息通过认证。大数据的充分运用，能在保障单次认证有效性的同时，通过账户异常行为的预警识别，对可能存在被盗或买卖的账户进行二次认证，确保身份信息持续有效。

 

另一方面，生物识别技术的发展及智能手机的普及，使生物识别技术用于网络实人认证成为可能，包括目前人像、指纹已成为主流的认证方式，而声纹、虹膜识别技术的发展也将大大丰富身份认证的方式，提升实人认证的可靠性。

3.3 身份数据保护成为重中之重

数据安全是网络身份认证的生命线。身份数据保护是一个全链路系统性的工作，包括认证设备、客户端程序、网络传输、服务器等全方位技术提升及机制保障。近年来用户信息泄露事件频发，给我们敲响警钟，促使身份数据安全保障进入更加全面发展的阶段。

 

---

完整PDF版《2015网络可信身份发展年报》， 请点击这里