eID技術研究發展及前沿探索

　　隨著傳統金融機構業務互聯網化和新型互聯網金融模式的快速發展，用戶在享受便捷服務的同時，由于互聯網空間中身份的虛擬性和不確定性，難以對其行為進行監督和規范，信息泄露、暗網交易、數據清洗等引發的欺詐風險急劇增加，嚴重危害人民群眾的財產安全和合法權益。互聯網信任與身份管理體系是安全的基石，在各種實體間建立信任關系，實行統一的身份管理，是支付交易、資金結算、信息共享等各類互聯網業務的前提。

　　eID身份認證技術能夠在保證個人隱私數據安全存儲的前提下，便捷有效的實現客戶身份驗證，避免信息泄露。本文針對eID技術發展現狀及前沿探索情況進行了梳理。

　　eID介紹

　　(一)eID基本概念

　　公民網絡電子身份標識(electronic Identity,以下簡稱eID)是由公安部公民網絡身份標識系統統一簽發，以密碼技術為基礎、智能芯片為載體，用于在互聯網上遠程識別身份的、普適性的網絡電子身份標識。

　　(二)eID主要功能

　　1.身份認證

　　eID的核心功能是身份認證，幫助線上應用遠程識別訪問者的身份。認證方式有兩種：實名認證和可追溯匿名認證。

　　(1)實名認證(人證合一)

　　當線上應用需要知道訪問者的真實身份時，可采用實名認證服務。用戶在客戶端輸入自己的姓名和身份證號，并用自己的eID卡對身份信息進行簽名，然后將身份信息和eID簽名提交至服務器。服務器調用實名認證接口完成信息核驗，確認當前訪問者的真實身份與其所生成的身份一致。

　　(2)可追溯匿名認證

　　當線上應用不需要知道訪問者的真實身份，只需獲得一個唯一標識時，可采用可追溯匿名服務。用戶只需在客戶端對隨機數進行eID簽名，服務器調用匿名認證接口，獲得用戶的匿名網絡身份，作為當前用戶在本系統的標識使用。

　　2.數字簽名

　　eID的載體中具有用戶私鑰，能對數據電文簽名，可作為交易保護的技術手段。基于eID的簽名驗簽技術可以有效驗證線上行為是否出自本人意愿，具有對抗抵賴的優勢。

　　3.身份標記化

　　eID網絡身份標識是依據國家標準(20120532-T-469《網絡電子身份格式規范》)針對公民身份做的統一編碼，實現公民身份的統一標記化。eID網絡身份標識編碼體系可以防止大數據環境下對用戶網絡身份的追蹤。

　　(三)eID的技術實現

　　1.密碼技術(PKI體系)

　　公鑰基礎設施(Public Key Infrastructure，以下簡稱PKI)是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。利用公共密鑰算法，建立證書發放、管理和使用的體系，支持和完成網絡系統中的身份認證、信息加密、保證數據完整性和抗抵賴性。公共密鑰算法原理是使用一個公共密鑰和一個私有密鑰，由一個密鑰進行加密的信息內容，只能由與之配對的另一個密鑰才能進行解密。公鑰可以廣泛地發給與自己有關的通信者，私鑰則需要十分安全地存放起來。eID通過采用PKI體系數字證書技術，保障信息在存儲、傳輸和交換過程中的安全。用戶使用eID向應用方自證身份時，應用方會向“公安部公民網絡身份識別系統”發出請求，以核實用戶網絡身份的真實性和有效性。用戶身份通過驗證，應用方會得到用戶在當前應用上的“網絡身份應用標識編碼”用于標識用戶。由于用戶在不同的線上應用的網絡身份應用標識編碼不同，可避免用戶線上應用中的行為數據被匯聚、分析和追蹤。

　　2.標識編碼技術(eIDCode/AppeIDCode)

　　網絡身份標識編碼體系可以落實“前臺匿名，后臺實名”的網絡身份安全管理要求，避免用戶在不同網絡應用中的行為數據被匯聚、分析和追蹤，保護個人身份和隱私信息。

　　我國eID發展歷程

　　(一)我國eID項目確立

　　十二五期間公安部第三研究所牽頭國家863信息安全重大專項—eID網域空間身份管理。目前該項目已完成原型系統的研制和技術驗證，建成“公安部公民網絡身份識別系統”。國家發展改革委專門設立“網絡真實身份管理系統”、“下一代互聯網環境下網絡身份驗證應用示范”、“面向下一代互聯網的eID市民卡”等多個信息安全專項，由公安部第三研究所承擔建設與產業化任務。

　　(二)eID標準體系建立

　　全國信息安全標準化技術委員會發布了《網絡電子身份格式規范》等4項eID相關國標。2013年公安部標委會發布了《網絡電子身份標識eID載體安全技術要求》等7項eID管理類的公安行業標準。2016年中國通信標準化協會發布了《網絡電子身份標識eID術語規范》、《網絡電子身份標識eID體系架構》等eID相關標準20余項，初步形成eID標準體系框架，有助于規范技術路線，推動產業的延伸和擴展。

　　(三)eID應用體系說明

　　eID登記發行及服務流程涉及下圖所示的機構或系統。

　　1.eID登記發行階段

　　此階段涉及“公安部公民網絡身份識別系統”、eID登記發行機構和自然人用戶。eID登記發行機構為與公安部第三研究所合作的銀行。用戶在eID登記發行機構申領eID載體并開通時，公安部第三研究所對用戶個人信息處理措施如下：

　　(1)為確定用戶身份，用戶申領eID載體及開通時，需提供個人信息，包括姓名、身份證號等。

　　(2)簽發eID時，有可能需要通過人臉識別技術來確定用戶的身份，因此用戶需提供用戶的臉部照片。

　　(3)為了關聯用戶的eID與eID載體，用戶需提供載體的硬件識別標識。

　　(4)在eID登記發行階段獲取的個人身份信息，遵循前臺匿名后臺實名原則進行保護。前臺匿名是指在身份驗證過程中通過eID標識完成，eID標識不能逆推出個人身份信息。后臺實名是指個人信息存儲于與互聯網物理隔絕的后臺內網系統中。

　　2.eID服務階段

　　此階段涉及“公安部公民網絡身份識別系統”、eID網絡身份運營和服務機構、線上應用機構和自然人用戶。用戶在線上應用機構使用服務時，根據線上應用機構的需求和設置，用戶需要通過eID來證明自己的身份或意愿。在此階段，用戶的個人信息使用情況如下：

　　(1)實名身份認證服務

　　使用服務需要用戶輸入姓名、身份號碼信息，然后對提交的身份信息進行簽名確認。線上應用機構會提供用戶的姓名、身份號碼信息、eID載體以及證書信息，后臺服務將eID載體和證書信息轉化為對應的eID標識并通過密碼算法驗證與姓名、身份號碼信息的一致性，然后提供用戶的身份認證結果。

　　(2)匿名身份認證服務

　　在此服務中，用戶無須提供個人的身份信息。對于已合法持有用戶身份信息的線上應用機構，按照約定方式對應用端身份信息進行特定標記轉換，應用機構可以在用戶不輸入身份信息的前提下，通過驗證簽名結果獲得用戶身份的特定標記，完成eID身份與應用端身份信息的一致性驗證。

　　(3)簽名驗簽服務

　　用戶可通過簽名，實現本人對所簽名內容的認可。可用于電子政務，電子商務中電子合同簽約、賬戶登錄、快捷支付、密碼找回等場景。在此服務中，用戶無須提供個人的身份信息。

　　(四)eID載體說明

　　在國內，eID目前主要有通用eID與SIMeID兩種，其中通用eID加載于銀行金融IC卡、社保卡、USBkey等。SIMeID主要加載于支持SIM卡功能的載體，常見的有SIM卡和SIM貼膜卡兩種。

　　(五)不同載體的優劣性

　　eID是基于PKI的身份認證，但不同形式eID的區別如下表所示：

　　Mobile-ID在我國稱為SIMeID，其優勢在于方便快捷，不需要額外的讀卡器和安裝軟件即可使用。SIM卡芯片內部擁有獨立的處理器、安全存儲單元和密碼運算處理器，只能運行專用安全芯片操作系統，其內建芯片安全機制可以抵抗物理和邏輯攻擊，確保芯片內部數據無法被非法讀取、篡改或使用。

　　SIMeID推廣應用情況簡介

　　國內部分銀行已逐步開展SIMeID試點工作，著手搭建具備eID功能的應用，將實現用戶在遠程開戶、轉賬匯款等環節使用SIMeID身份認證和電子簽名功能。

　　在非金融行業，SIMeID應用正在研究推進中，例如深圳市中信網安認證有限公司與公安部第三研究所聯合開發搭建“互聯網電子身份認證平臺”。