随着传统金融机构业务互联网化和新型互联网金融模式的快速发展,用户在享受便捷服务的同时,由于互联网空间中身份的虚拟性和不确定性,难以对其行为进行监督和规范,信息泄露、暗网交易、数据清洗等引发的欺诈风险急剧增加,严重危害人民群众的财产安全和合法权益。互联网信任与身份管理体系是安全的基石,在各种实体间建立信任关系,实行统一的身份管理,是支付交易、资金结算、信息共享等各类互联网业务的前提。
eID身份认证技术能够在保证个人隐私数据安全存储的前提下,便捷有效的实现客户身份验证,避免信息泄露。本文针对eID技术发展现状及前沿探索情况进行了梳理。
eID介绍
(一)eID基本概念
公民网络电子身份标识(electronic Identity,以下简称eID)是由公安部公民网络身份标识系统统一签发,以密码技术为基础、智能芯片为载体,用于在互联网上远程识别身份的、普适性的网络电子身份标识。
(二)eID主要功能
1.身份认证
eID的核心功能是身份认证,帮助线上应用远程识别访问者的身份。认证方式有两种:实名认证和可追溯匿名认证。
(1)实名认证(人证合一)
当线上应用需要知道访问者的真实身份时,可采用实名认证服务。用户在客户端输入自己的姓名和身份证号,并用自己的eID卡对身份信息进行签名,然后将身份信息和eID签名提交至服务器。服务器调用实名认证接口完成信息核验,确认当前访问者的真实身份与其所生成的身份一致。
(2)可追溯匿名认证
当线上应用不需要知道访问者的真实身份,只需获得一个唯一标识时,可采用可追溯匿名服务。用户只需在客户端对随机数进行eID签名,服务器调用匿名认证接口,获得用户的匿名网络身份,作为当前用户在本系统的标识使用。
2.数字签名
eID的载体中具有用户私钥,能对数据电文签名,可作为交易保护的技术手段。基于eID的签名验签技术可以有效验证线上行为是否出自本人意愿,具有对抗抵赖的优势。
3.身份标记化
eID网络身份标识是依据国家标准(20120532-T-469《网络电子身份格式规范》)针对公民身份做的统一编码,实现公民身份的统一标记化。eID网络身份标识编码体系可以防止大数据环境下对用户网络身份的追踪。
(三)eID的技术实现
1.密码技术(PKI体系)
公钥基础设施(Public Key Infrastructure,以下简称PKI)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。利用公共密钥算法,建立证书发放、管理和使用的体系,支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。公共密钥算法原理是使用一个公共密钥和一个私有密钥,由一个密钥进行加密的信息内容,只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者,私钥则需要十分安全地存放起来。eID通过采用PKI体系数字证书技术,保障信息在存储、传输和交换过程中的安全。用户使用eID向应用方自证身份时,应用方会向“公安部公民网络身份识别系统”发出请求,以核实用户网络身份的真实性和有效性。用户身份通过验证,应用方会得到用户在当前应用上的“网络身份应用标识编码”用于标识用户。由于用户在不同的线上应用的网络身份应用标识编码不同,可避免用户线上应用中的行为数据被汇聚、分析和追踪。
2.标识编码技术(eIDCode/AppeIDCode)
网络身份标识编码体系可以落实“前台匿名,后台实名”的网络身份安全管理要求,避免用户在不同网络应用中的行为数据被汇聚、分析和追踪,保护个人身份和隐私信息。
我国eID发展历程
(一)我国eID项目确立
十二五期间公安部第三研究所牵头国家863信息安全重大专项—eID网域空间身份管理。目前该项目已完成原型系统的研制和技术验证,建成“公安部公民网络身份识别系统”。国家发展改革委专门设立“网络真实身份管理系统”、“下一代互联网环境下网络身份验证应用示范”、“面向下一代互联网的eID市民卡”等多个信息安全专项,由公安部第三研究所承担建设与产业化任务。
(二)eID标准体系建立
全国信息安全标准化技术委员会发布了《网络电子身份格式规范》等4项eID相关国标。2013年公安部标委会发布了《网络电子身份标识eID载体安全技术要求》等7项eID管理类的公安行业标准。2016年中国通信标准化协会发布了《网络电子身份标识eID术语规范》、《网络电子身份标识eID体系架构》等eID相关标准20余项,初步形成eID标准体系框架,有助于规范技术路线,推动产业的延伸和扩展。
(三)eID应用体系说明
eID登记发行及服务流程涉及下图所示的机构或系统。
1.eID登记发行阶段
此阶段涉及“公安部公民网络身份识别系统”、eID登记发行机构和自然人用户。eID登记发行机构为与公安部第三研究所合作的银行。用户在eID登记发行机构申领eID载体并开通时,公安部第三研究所对用户个人信息处理措施如下:
(1)为确定用户身份,用户申领eID载体及开通时,需提供个人信息,包括姓名、身份证号等。
(2)签发eID时,有可能需要通过人脸识别技术来确定用户的身份,因此用户需提供用户的脸部照片。
(3)为了关联用户的eID与eID载体,用户需提供载体的硬件识别标识。
(4)在eID登记发行阶段获取的个人身份信息,遵循前台匿名后台实名原则进行保护。前台匿名是指在身份验证过程中通过eID标识完成,eID标识不能逆推出个人身份信息。后台实名是指个人信息存储于与互联网物理隔绝的后台内网系统中。
2.eID服务阶段
此阶段涉及“公安部公民网络身份识别系统”、eID网络身份运营和服务机构、线上应用机构和自然人用户。用户在线上应用机构使用服务时,根据线上应用机构的需求和设置,用户需要通过eID来证明自己的身份或意愿。在此阶段,用户的个人信息使用情况如下:
(1)实名身份认证服务
使用服务需要用户输入姓名、身份号码信息,然后对提交的身份信息进行签名确认。线上应用机构会提供用户的姓名、身份号码信息、eID载体以及证书信息,后台服务将eID载体和证书信息转化为对应的eID标识并通过密码算法验证与姓名、身份号码信息的一致性,然后提供用户的身份认证结果。
(2)匿名身份认证服务
在此服务中,用户无须提供个人的身份信息。对于已合法持有用户身份信息的线上应用机构,按照约定方式对应用端身份信息进行特定标记转换,应用机构可以在用户不输入身份信息的前提下,通过验证签名结果获得用户身份的特定标记,完成eID身份与应用端身份信息的一致性验证。
(3)签名验签服务
用户可通过签名,实现本人对所签名内容的认可。可用于电子政务,电子商务中电子合同签约、账户登录、快捷支付、密码找回等场景。在此服务中,用户无须提供个人的身份信息。
(四)eID载体说明
在国内,eID目前主要有通用eID与SIMeID两种,其中通用eID加载于银行金融IC卡、社保卡、USBkey等。SIMeID主要加载于支持SIM卡功能的载体,常见的有SIM卡和SIM贴膜卡两种。
(五)不同载体的优劣性
eID是基于PKI的身份认证,但不同形式eID的区别如下表所示:
Mobile-ID在我国称为SIMeID,其优势在于方便快捷,不需要额外的读卡器和安装软件即可使用。SIM卡芯片内部拥有独立的处理器、安全存储单元和密码运算处理器,只能运行专用安全芯片操作系统,其内建芯片安全机制可以抵抗物理和逻辑攻击,确保芯片内部数据无法被非法读取、篡改或使用。
SIMeID推广应用情况简介
国内部分银行已逐步开展SIMeID试点工作,着手搭建具备eID功能的应用,将实现用户在远程开户、转账汇款等环节使用SIMeID身份认证和电子签名功能。
在非金融行业,SIMeID应用正在研究推进中,例如深圳市中信网安认证有限公司与公安部第三研究所联合开发搭建“互联网电子身份认证平台”。