破壞網(wǎng)絡(luò)可信身份認(rèn)證，黑灰產(chǎn)業(yè)鏈正在興起

《2015網(wǎng)絡(luò)可信身份發(fā)展年報》

阿里移動安全

第一章  2015年網(wǎng)絡(luò)可信身份發(fā)展現(xiàn)狀

1.1 網(wǎng)絡(luò)可信身份發(fā)展的需求產(chǎn)生新的變化

2002年我國開始了網(wǎng)絡(luò)實(shí)名制建設(shè)的探討，其本質(zhì)目的在于保障網(wǎng)絡(luò)空間用戶身份可信，避免謠言、欺詐等各種違法犯罪行為。在多年的實(shí)踐中，網(wǎng)絡(luò)平臺或用戶開展網(wǎng)絡(luò)身份認(rèn)證主要出于以下兩方面的要求：

一方面，國家相關(guān)職能部門為保證行業(yè)健康有序的發(fā)展，要求從事經(jīng)營或服務(wù)***質(zhì)的互聯(lián)網(wǎng)用戶進(jìn)行必要的身份認(rèn)證，如電子商務(wù)的經(jīng)營者（網(wǎng)店主）、互聯(lián)網(wǎng)接入服務(wù)提供者（域名注冊、網(wǎng)絡(luò)空間租用等）。

另一方面，為了保障互聯(lián)網(wǎng)個人用戶的合法權(quán)益，維護(hù)企業(yè)業(yè)務(wù)的健康發(fā)展，網(wǎng)絡(luò)平臺也會采取一些措施防止自身的用戶受到違法犯罪行為的侵害。在2015年對網(wǎng)絡(luò)可信身份發(fā)展的需求產(chǎn)生了一些新的變化，主要體現(xiàn)在以下兩個方面：

第一，網(wǎng)絡(luò)可信身份發(fā)展上升到國家戰(zhàn)略高度，成為支撐“互聯(lián)網(wǎng)+”發(fā)展的重要基礎(chǔ)。截至2015年12月，我國網(wǎng)民總數(shù)已達(dá)6.88億人，如何對互聯(lián)網(wǎng)進(jìn)行有效管理，已經(jīng)成為促進(jìn)社會、經(jīng)濟(jì)進(jìn)一步發(fā)展的重要課題。

第二，新興互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，促使互聯(lián)網(wǎng)個人用戶自愿提供個人真實(shí)身份信息來獲取某種特定服務(wù)。在過去極少數(shù)用戶愿意主動提供姓名和身份 證號碼進(jìn)行實(shí)名制登記，而當(dāng)前這種現(xiàn)象正在逐漸改變，如互聯(lián)網(wǎng)征信產(chǎn)品的用戶，通過自愿提供自身各方面信息呈現(xiàn)信用狀況，從而獲得相應(yīng)的增值服務(wù)（如信用消費(fèi)、信用簽證等）；互聯(lián)網(wǎng)+警務(wù)的發(fā)展，使得用戶通過身份認(rèn)證后便可以快速的辦理相關(guān)業(yè)務(wù)，大大提高了政府相關(guān)職能部門的服務(wù)效率；網(wǎng)絡(luò)婚介用戶通過實(shí)名認(rèn)證以及多方位提供自己的個人信息來增加相親成功幾率……這些新業(yè)務(wù)的發(fā)展，給網(wǎng)絡(luò)空間可信身份建設(shè)帶來了新的機(jī)遇。

1.2 網(wǎng)絡(luò)可信身份發(fā)展存在的問題

1.  破壞網(wǎng)絡(luò)可信身份認(rèn)證，黑灰產(chǎn)業(yè)鏈正在興起

身份認(rèn)證是保障網(wǎng)絡(luò)空間身份可信的重要手段，因身份虛假的網(wǎng)絡(luò)賬號是網(wǎng)絡(luò)違法犯罪行為的重要工具，因此，衍生出了一系列身份造假、仿冒他人身份以破壞網(wǎng)絡(luò)身份可信的黑灰產(chǎn)業(yè)鏈，這些產(chǎn)業(yè)鏈包括以下幾種類型：

a)  利用***手段批量竊取公民身份信息

如酒店、保險、航空、醫(yī)療、快遞等行業(yè)的公司都曾遭遇過信息泄露事件，《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告(2015)》顯示，近80%的網(wǎng)民個人身份信息曾遭泄露，包括網(wǎng)民的姓名、學(xué)歷、家庭住址、身份 證號及工作單位等，個人信息泄露給網(wǎng)民的日常生活帶來困擾。

b)  身份材料非法收集及買賣

除了數(shù)字身份信息的竊取外，現(xiàn)實(shí)生活中還活躍著公民實(shí)體身份信息收集及買賣的產(chǎn)業(yè)鏈，包括實(shí)體身份 證的買賣。據(jù)不完全統(tǒng)計，身份 證買賣QQ群及QQ空間超過300個，預(yù)估活躍人群超過25萬人（如下圖）。

進(jìn)行身份 證違法買賣的網(wǎng)絡(luò)空間

目前黑灰產(chǎn)業(yè)鏈中身份材料主要有兩種手段獲取，一種是證件被盜、丟失后被轉(zhuǎn)賣；另外一種則是利用公民對個人身份信息保護(hù)意識的薄弱，編造各種虛假用途，或者利用蠅頭小利（如兼職招聘、中獎登記等方式）騙取身份材料。這種手段已經(jīng)從互聯(lián)網(wǎng)普及率較低的農(nóng)村，蔓延至工廠、學(xué)校，由此可見黑灰產(chǎn)的猖獗。

據(jù)統(tǒng)計,被用于虛假認(rèn)證的身份 證主要來自河南、四川、湖北、湖南等身份，而使用這些身份進(jìn)行網(wǎng)絡(luò)虛假認(rèn)證的卻集中在廣東、福建、浙江、江蘇等沿海地區(qū)。

虛假身份認(rèn)證的地區(qū)分布

c)  虛假身份辦理手機(jī)卡及銀行卡

由于手機(jī)號及銀行卡驗(yàn)證是目前網(wǎng)絡(luò)實(shí)名驗(yàn)證的重要輔助手段，因此衍生出了未實(shí)名登記的手機(jī)卡及身份 證、盜用等黑灰色產(chǎn)業(yè)鏈。

據(jù)不完全統(tǒng)計，目前在灰產(chǎn)中流通的未實(shí)名登記的手機(jī)卡達(dá)億級，獲取一個未實(shí)名登記的手機(jī)卡價格在50-100元左右（包含一定的話費(fèi)）。而這些未實(shí)名登記的手機(jī)卡，還被不法分子利用貓池、短信驗(yàn)證碼平臺等技術(shù)手段，用于批量接收手機(jī)短信驗(yàn)證碼，突破了利用手機(jī)驗(yàn)證碼進(jìn)行身份認(rèn)證的方式。

目前黑灰色產(chǎn)業(yè)鏈中已形成了銀行卡收購、銷售、使用的一條龍服務(wù)，并與身份 證、USBKey、手機(jī)卡、開戶資料等配套銷售。目前市面上出售一套銀行卡料的金額為100元左右，出售一張普卡金額為200元，成套銀行卡資料如包含USBKey、開戶材料等，價格在400-600元不等。銀行卡相較于手機(jī)卡的價格高出很多，但是市場依然龐大，危害更加嚴(yán)重。

虛假身份辦理銀行卡的廣告示例

滁州警方破獲特大網(wǎng)上非法倒 賣 身份 證銀行卡案件

d)  利用技術(shù)手段突破網(wǎng)絡(luò)身份認(rèn)證流程

這里包括身份信息造假、身份 證明材料造假，利用軟件修改手機(jī)或電腦參數(shù)突破認(rèn)證流程等。此類產(chǎn)業(yè)鏈因危害大，相較線下違法犯罪行為存在較大差異，因此立法、司法等行政機(jī)關(guān)對其認(rèn)知不一，定刑困難，未能開展有效的管理和處罰，導(dǎo)致無法對違法犯罪行為形成有效威懾。

2.  公民個人信息保護(hù)問題

在當(dāng)前網(wǎng)絡(luò)空間可信身份發(fā)展多種形態(tài)下，保護(hù)公民個人信息問題不容小覷，韓國2011年信息外泄事件及近期美國金融史上最大的網(wǎng)絡(luò)盜竊案都在警示整個社會。對此，國家也出臺了很多公民個人信息保護(hù)的法律法規(guī)及規(guī)范，但是我國現(xiàn)階段還沒有專門的公民信息保護(hù) 法律，保護(hù)信息的范圍也略顯單一，且很多相關(guān)法律和實(shí)名制的規(guī)范都還在征求意見中，尚未形成法律法規(guī)體系，因?yàn)檎{(diào)整范圍和調(diào)整方法上的局限，現(xiàn)行法律對于公民個人信息保護(hù)提供不了完整的解決方案。

在網(wǎng)絡(luò)可信身份行業(yè)內(nèi)，大多還在解決身份認(rèn)證問題，保護(hù)信息服務(wù)業(yè)務(wù)較少，在日常業(yè)務(wù)開展中也帶來不小的挑戰(zhàn)。所以，保護(hù)公民個人信息既要有體系化的法律法規(guī)和行政管理作保障，還需要加大鼓勵個人信息保護(hù)產(chǎn)業(yè)的發(fā)展。

第二章2015年阿里巴巴實(shí)人認(rèn)證發(fā)展情況

2.1 服務(wù)阿里生態(tài)，提升實(shí)人認(rèn)證能力

2015年，阿里聚安全實(shí)人認(rèn)證已服務(wù)淘寶集市個人開店認(rèn)證、二手 交易用戶認(rèn)證、廣告用戶認(rèn)證、虛擬運(yùn)營商售卡實(shí)人認(rèn)證等十多個場景，以下幾個方面能力得到了大幅提升：

第一，  認(rèn)證產(chǎn)品服務(wù)化能力。通過服務(wù)多場景海量用戶，在實(shí)踐過程中實(shí)人認(rèn)證的可靠性得到了有效驗(yàn)證；

第二，  人像識別、活體檢測等能力在實(shí)踐過程中迭代升級，達(dá)到世界領(lǐng)先水平；

第三，  基于大數(shù)據(jù)風(fēng)險識別及攔截，累積龐大的風(fēng)險數(shù)據(jù)庫，識別身份造假、冒用等近千萬；

第四，  領(lǐng)先的數(shù)據(jù)安全體系。阿里聚安全搭建了安全可靠的底層安全架構(gòu)，包括世界領(lǐng)先的異地多活數(shù)據(jù)中心，建立了最完備的容災(zāi)備份體系；自主研發(fā)的海量關(guān)系型數(shù)據(jù)庫OceanBase，是中國首個具有自主知識產(chǎn)權(quán)的數(shù)據(jù)庫，確保國家級數(shù)據(jù)戰(zhàn)略安全。

2.2 推動手機(jī)卡實(shí)名登記變革

2015年，阿里巴巴對阿里通信在線售卡及開卡流程進(jìn)行了改造，實(shí)現(xiàn)在線手機(jī)號購卡及開卡的實(shí)人認(rèn)證。手機(jī)卡購卡的實(shí)人認(rèn)證，在原來手機(jī)實(shí)名制登記的基礎(chǔ)上進(jìn)行了有效升級，在大大提升手機(jī)號使用者身份的有效性的同時，免去了物流寄送手機(jī)卡過程中回收用戶身份信息的環(huán)節(jié)，在給用戶提供便利的同時也降低了信息泄露的風(fēng)險。阿里巴巴這項舉措得到了工信部的充分肯定，對推動信息通信行業(yè)發(fā)展、促進(jìn)行業(yè)轉(zhuǎn)型升級發(fā)揮重要作用。

2.3 服務(wù)“警察叔叔”，提升市民辦事體驗(yàn)

2016年1月5日，杭州市公安局響應(yīng)“智慧城市”、“文明城市”的政策方針，推出了警務(wù)APP“警察叔叔”，該應(yīng)用通過互聯(lián)網(wǎng)+警務(wù)的形式，在全國范圍內(nèi)首次使用了實(shí)人認(rèn)證技術(shù)。該應(yīng)用使市民能夠在手機(jī)上方便地進(jìn)行線上辦事，提升了政務(wù)的體驗(yàn)和效率。

警察叔叔APP

2.4 參與建立網(wǎng)絡(luò)可信身份產(chǎn)業(yè)聯(lián)盟

2015年，在公安 部第一研究所推動下，阿里巴巴參與發(fā)起建立網(wǎng)絡(luò)可信身份產(chǎn)業(yè)聯(lián)盟，旨在通過行業(yè)、產(chǎn)業(yè)的聯(lián)合發(fā)展，推動網(wǎng)絡(luò)可信身份體系建立。在2015年烏鎮(zhèn)世界互聯(lián)網(wǎng)大會上，阿里巴巴作為中國居民身份 證網(wǎng)上應(yīng)用試點(diǎn)單位參展，阿里巴巴在網(wǎng)絡(luò)可信身份體系建設(shè)上的經(jīng)驗(yàn)及成果得到了廣泛認(rèn)可及贊許。

世界互聯(lián)網(wǎng)大會上參與中國居民身份 證網(wǎng)上應(yīng)用展示

第三章 2016年網(wǎng)絡(luò)身份認(rèn)證發(fā)展趨勢

3.1 從實(shí)名認(rèn)證向?qū)嵢苏J(rèn)證發(fā)展

當(dāng)前，虛假身份給網(wǎng)絡(luò)犯罪帶來了極大的便利，黑灰產(chǎn)業(yè)鏈的發(fā)展，造成了現(xiàn)有網(wǎng)絡(luò)空間中存在大量實(shí)名不實(shí)人的情況，實(shí)名制無法起到其真正的作用和效果?！吨袊W(wǎng)民權(quán)益保護(hù)調(diào)查報告(2015)》顯示，近一年來，網(wǎng)民因個人信息泄露、垃圾信息、詐騙信息等問題，導(dǎo)致總體損失約805億元，其中約4500萬網(wǎng)民近一年遭受的經(jīng)濟(jì)損失在1000元以上。因?qū)嵢苏J(rèn)證需要同時滿足用戶身份真實(shí)性、有效性、人證一致性的要求，將大大提升違法犯罪成本，對凈化網(wǎng)絡(luò)空間起到至關(guān)重要的作用。

與此同時，新興業(yè)務(wù)的發(fā)展也對用戶身份真實(shí)性提出了更高要求。如網(wǎng)絡(luò)打車的出現(xiàn)，乘客對司機(jī)身份的真實(shí)性、可靠性提出了更高的要求；網(wǎng)絡(luò)婚介、電子政務(wù)的前提也是建立在用戶身份真實(shí)性的基礎(chǔ)之上。因此，隨著互聯(lián)網(wǎng)+的不斷發(fā)展，實(shí)人認(rèn)證將成為很多業(yè)務(wù)發(fā)展的基礎(chǔ)要求。

3.2 大數(shù)據(jù)風(fēng)險識別及生物識別技術(shù)將推動新的變革

在過去不僅僅如何保障用戶身份真實(shí)性是一大難題，另外一個重要的因素是如何在保障用戶身份真實(shí)性的同時不會對絕大部分正常的用戶體驗(yàn)帶來傷害，不會因?yàn)樯矸菡J(rèn)證的高門檻而將用戶拒之千里。產(chǎn)生這一系列問題的原因就在于身份認(rèn)證方式的單一性，只要認(rèn)證方式是固定的，黑灰產(chǎn)業(yè)鏈突破的難度就會大大降低，而一旦將這單一的認(rèn)證方式難度提高，這將對所有用戶產(chǎn)生影響，得不償失。近年來大數(shù)據(jù)分析及生物識別技術(shù)的不斷發(fā)展，將有效改變這一局面。

一方面，利用大數(shù)據(jù)的風(fēng)險識別可以對用戶行為進(jìn)行有效分析，從而對用戶進(jìn)行精準(zhǔn)的分類分層，可實(shí)時判斷每一個用戶的認(rèn)證動機(jī)，對不同風(fēng)險等級的用戶采取不同的認(rèn)證方式，保障正常用戶的快捷體驗(yàn)，而風(fēng)險用戶則無法簡單的通過盜用他人信息通過認(rèn)證。大數(shù)據(jù)的充分運(yùn)用，能在保障單次認(rèn)證有效性的同時，通過賬戶異常行為的預(yù)警識別，對可能存在被盜或買賣的賬戶進(jìn)行二次認(rèn)證，確保身份信息持續(xù)有效。

另一方面，生物識別技術(shù)的發(fā)展及智能手機(jī)的普及，使生物識別技術(shù)用于網(wǎng)絡(luò)實(shí)人認(rèn)證成為可能，包括目前人像、指紋已成為主流的認(rèn)證方式，而聲紋、虹膜識別技術(shù)的發(fā)展也將大大豐富身份認(rèn)證的方式，提升實(shí)人認(rèn)證的可靠性。

3.3 身份數(shù)據(jù)保護(hù)成為重中之重

數(shù)據(jù)安全是網(wǎng)絡(luò)身份認(rèn)證的生命線。身份數(shù)據(jù)保護(hù)是一個全鏈路系統(tǒng)性的工作，包括認(rèn)證設(shè)備、客戶端程序、網(wǎng)絡(luò)傳輸、服務(wù)器等全方位技術(shù)提升及機(jī)制保障。近年來用戶信息泄露事件頻發(fā)，給我們敲響警鐘，促使身份數(shù)據(jù)安全保障進(jìn)入更加全面發(fā)展的階段。

完整PDF版《2015網(wǎng)絡(luò)可信身份發(fā)展年報》， 請點(diǎn)擊這里