考慮下這個(gè)場(chǎng)景：你恰好在線購(gòu)買了一雙89美元的運(yùn)動(dòng)鞋。為了完成這個(gè)交易，你必須在商戶的web站點(diǎn)輸入你的個(gè)人身份信息并創(chuàng)建一個(gè)帳戶——只是以防你以后打算從他們這里購(gòu)買更多的鞋——使用的是你已經(jīng)在其它無(wú)數(shù)站點(diǎn)一樣的密碼。

聽(tīng)起來(lái)熟悉么？生活在一個(gè)絕大多數(shù)食品、服務(wù)、業(yè)務(wù)和運(yùn)營(yíng)都已經(jīng)轉(zhuǎn)移到Web上的時(shí)代里，一個(gè)人會(huì)認(rèn)為在數(shù)以億計(jì)的消費(fèi)者當(dāng)中任何個(gè)人的在線身份和敏感信息會(huì)是安全的。好吧，重新考慮下。

在如今的因特網(wǎng)經(jīng)濟(jì)環(huán)境下，消費(fèi)者難得面對(duì)面地與商戶碰面。相反，顧客們被要求創(chuàng)建因特網(wǎng)身份，并且一次又一次地使用它以便購(gòu)買食品和服務(wù)。盡管這個(gè)看起來(lái)是毫無(wú)壞處的，卻會(huì)頻繁地引起一個(gè)危險(xiǎn)的問(wèn)題：不像一個(gè)活生生的人可以在商鋪購(gòu)物，并且當(dāng)使用他/她的信用卡時(shí)被驗(yàn)明真身；在因特網(wǎng)市場(chǎng)上購(gòu)物的顧客們被要求創(chuàng)建一個(gè)“電子身份”以便從他們喜愛(ài)的在線商鋪購(gòu)買東西。如果某個(gè)有經(jīng)驗(yàn)的竊賊獲得這些詳細(xì)信息，他們僅僅點(diǎn)擊幾下鼠標(biāo)就能夠輕易地盜竊你的身份。

從企業(yè)的角度來(lái)看，不僅是攻擊者不斷地努力收集此類身份數(shù)據(jù)（通常與信用卡和其它有價(jià)值的個(gè)人信息相關(guān)），同樣還有不斷發(fā)展的確保在線身份數(shù)據(jù)安全的挑戰(zhàn)增加了業(yè)務(wù)運(yùn)營(yíng)的成本。為了解決這個(gè)和消費(fèi)者欺詐相關(guān)的問(wèn)題，美國(guó)商務(wù)部開(kāi)始制定一個(gè)計(jì)劃創(chuàng)建更為強(qiáng)健的因特網(wǎng)身份，在人口稠密的區(qū)域減少因特網(wǎng)身份盜竊和欺詐事件。這些努力的結(jié)果就是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（National Institute of Standards and Technology ，簡(jiǎn)稱NIST）國(guó)家項(xiàng)目辦公室成立“國(guó)家網(wǎng)絡(luò)空間可信身份戰(zhàn)略工程”（National Strategy for Trusted Identities in Cyberspace，簡(jiǎn)稱NSTIC）。

該NSTIC工程由公眾和政府人員聯(lián)合組成，他們正在設(shè)計(jì)標(biāo)準(zhǔn)框架來(lái)嘗試減少身份欺詐發(fā)生，讓世界上的消費(fèi)者安全地在線操作，無(wú)需不得不牢記各種各樣的密碼、或是攜帶多個(gè)安全口令牌。事實(shí)上，這個(gè)NSTIC工程正在改造進(jìn)行在線身份驗(yàn)證的方式。對(duì)于NSTIC來(lái)說(shuō)第一個(gè)主要交付是用于構(gòu)建電子身份環(huán)境治理架構(gòu)的建議文檔。在2012年1月這個(gè)名為“用于構(gòu)建電子身份環(huán)境治理的建議”的文檔向公眾發(fā)布，用于評(píng)審和考量。

該NSTIC身份建議的基本架構(gòu)強(qiáng)調(diào)創(chuàng)建一個(gè)“身份代理人”，其遵循了現(xiàn)今因特網(wǎng)金融經(jīng)紀(jì)人的運(yùn)作方式。例如，如果某個(gè)消費(fèi)者擁有一個(gè)PayPal的帳戶，并且該消費(fèi)者要購(gòu)物的商戶站點(diǎn)和PayPal公司有協(xié)議。這個(gè)消費(fèi)者可以選擇在當(dāng)前商戶的web站點(diǎn)輸入他/她的支付信息，或者更為理想的是點(diǎn)擊站點(diǎn)上的PayPal公司圖標(biāo)。如果他們選擇后者，購(gòu)物人被重定向到PayPal公司的web站點(diǎn)，在這里他/她登錄、接受支付費(fèi)用，然后再被重定向到商戶的結(jié)賬頁(yè)面，該頁(yè)面的支付信息顯示為“全額支付完成”。無(wú)需消費(fèi)者在該商戶站點(diǎn)輸入支付信息就可以完成一切操作。但是如果用戶想在以后返回該商戶站點(diǎn)購(gòu)物時(shí)被辨認(rèn)出來(lái)的話，他/她仍然必須向該商戶直接提供個(gè)人身份信息，即使這些金融信息由第三方的金融經(jīng)紀(jì)人（如PayPal公司）保管。

NSTIC建議顧客的身份數(shù)據(jù)通過(guò)類似的身份代理人來(lái)解決這個(gè)問(wèn)題。像PayPal公司這樣的身份代理人會(huì)允許每個(gè)用戶注冊(cè)、存儲(chǔ)他們的個(gè)人身份信息，并且需要時(shí)，代表用戶提交它們。在NSTIC架構(gòu)下，經(jīng)過(guò)認(rèn)證的身份代理人將同因特網(wǎng)商戶與其他身份代理人建立關(guān)系，所以當(dāng)消費(fèi)者被提示提供他/她的在線身份信息時(shí)，該商戶會(huì)將消費(fèi)者重定向給代理人。在這里消費(fèi)者會(huì)提供強(qiáng)健的身份數(shù)據(jù)來(lái)核實(shí)他/她就是事實(shí)上請(qǐng)求鑒定的那個(gè)人，隨后該代理人會(huì)和商戶共享這個(gè)數(shù)據(jù)。

如今這個(gè)身份代理人的方法從技術(shù)上被許多廠商支持，但是各自以專有的方式進(jìn)行。其中的一些主要商家像Google、Amazon、Apple和Microsoft使用集中化的身份店鋪用于他們自己和業(yè)務(wù)伙伴的授權(quán)。但是盡管這個(gè)方法將人們必須維護(hù)的因特網(wǎng)身份數(shù)量降至最低，可它們的適用范圍有限，并且他們?nèi)匀徊坏貌灰蕾囉跇?biāo)準(zhǔn)的用戶名/密碼來(lái)認(rèn)證某人的身份。

所以NSTIC的工作成果對(duì)于一般的企業(yè)來(lái)說(shuō)意味著什么呢？盡管NSTIC正在努力致力于提高標(biāo)準(zhǔn)、流程和協(xié)議的適用級(jí)別，這些需要到位以便讓可信第三方保護(hù)消費(fèi)者身份。這首先會(huì)要求主要的商家、例如大型企業(yè)的認(rèn)同。從道德上講，任何在線商戶應(yīng)該全力保護(hù)它的消費(fèi)者的在線身份及信息，但是從經(jīng)濟(jì)利益角度上這是沒(méi)有激勵(lì)性的。因?yàn)檫@讓消費(fèi)者輕易地在商戶店面間再次使用他們的帳戶，會(huì)為競(jìng)爭(zhēng)對(duì)手打開(kāi)市場(chǎng)大門。而且盡管NSTIC正在做出努力來(lái)減少位于美國(guó)的商戶站點(diǎn)的欺詐事件，但是因特網(wǎng)已經(jīng)向世界范圍的市場(chǎng)打開(kāi)，這讓人們對(duì)因特網(wǎng)代理人能否跨越地理界限產(chǎn)生質(zhì)疑。

還有一個(gè)企業(yè)如何能夠?yàn)榱怂麄冏约旱哪繕?biāo)利用NSTIC工作成果？通常企業(yè)們必須為他們的員工定義一個(gè)唯一的身份并且發(fā)布不同的憑證。到目前為止，NSTIC的關(guān)注點(diǎn)一直是消費(fèi)者使用：沒(méi)有理由這些同樣的身份不能訪問(wèn)像業(yè)務(wù)系統(tǒng)、電子郵件和保險(xiǎn)金應(yīng)用這樣的公司資源。將消費(fèi)者的身份信息和他/她的雇主共享可以減少一般人需要維護(hù)的憑證的總數(shù)。此外，通過(guò)使用NSTIC憑證，工作場(chǎng)所的欺詐訪問(wèn)也可能會(huì)減少，并且讓企業(yè)為那些想遠(yuǎn)程辦公、或者經(jīng)常出差的員工提供更多的外部訪問(wèn)。

擴(kuò)展性可能也是個(gè)問(wèn)題。世界上有數(shù)不盡的公司和商戶站點(diǎn)不是大型因特網(wǎng)商戶。許多消費(fèi)者繼續(xù)在這些站點(diǎn)上創(chuàng)建他們的身份。將這些小型公司和商戶的站點(diǎn)納入這個(gè)架構(gòu)，而且對(duì)于想?yún)⑴c其中的公司，讓成本降低是一項(xiàng)棘手的問(wèn)題。此外，消費(fèi)者如何“強(qiáng)健地”認(rèn)證仍是懸而未決的問(wèn)題。所有的消費(fèi)者會(huì)在郵箱中收到硬件口令牌么？要建立、分發(fā)和維護(hù)強(qiáng)健的憑證仍然價(jià)格不菲。理想情況下，隨著NSTIC推動(dòng)人們普遍接受它的身份模型，電子經(jīng)濟(jì)的規(guī)模效應(yīng)會(huì)降低強(qiáng)認(rèn)證技術(shù)的成本。

最后要考慮的一點(diǎn)、而且可能在大多數(shù)消費(fèi)者的心目當(dāng)中是最重要的：就是身份代理人怎么能夠保護(hù)消費(fèi)者的身份數(shù)據(jù)，以及如果這些代理人被入侵會(huì)發(fā)生什么事情。至少就那些小型站點(diǎn)來(lái)說(shuō)，可能所有消費(fèi)者的身份不會(huì)被侵害。但是身份代理人需要維護(hù)消費(fèi)者全部的身份數(shù)據(jù)。這些數(shù)據(jù)的泄漏可能給消費(fèi)者以及身份代理人造成影響深遠(yuǎn)的問(wèn)題，甚至是迄今為止我們尚未遇到的。

因此，盡管NSTIC在說(shuō)服小型和大型商戶及企業(yè)踏上在線身份保護(hù)列車上仍然有很長(zhǎng)的路要走，從理想上來(lái)講，減少因特網(wǎng)身份盜竊和欺詐仍然會(huì)驅(qū)動(dòng)市場(chǎng)在不遠(yuǎn)的將來(lái)接受它。