公民網(wǎng)絡(luò)電子身份標(biāo)識eID的發(fā)展與應(yīng)用

胡傳平（公安部第三研究所，上海200031）

?

公民網(wǎng)絡(luò)電子身份標(biāo)識eID的發(fā)展與應(yīng)用

胡傳平
（公安部第三研究所，上海200031）

摘要：當(dāng)今世界各國對構(gòu)建可信的互聯(lián)網(wǎng)環(huán)境已達(dá)成廣泛共識，其中網(wǎng)絡(luò)身份可信是核心環(huán)節(jié)。網(wǎng)絡(luò)電子身份設(shè)施已成為電子政務(wù)、電子商務(wù)和各類網(wǎng)絡(luò)在線應(yīng)用的重要基礎(chǔ)，在提高資源利用率、促進(jìn)創(chuàng)新、經(jīng)濟(jì)增長、提升用戶便利、加強安全和隱私保護(hù)等方面具有重大意義。公民網(wǎng)絡(luò)電子身份識別eID應(yīng)用環(huán)境十分廣泛，包括政務(wù)民生應(yīng)用、電子商務(wù)應(yīng)用、社交網(wǎng)絡(luò)應(yīng)用、校園應(yīng)用、移動互聯(lián)網(wǎng)應(yīng)用等等。

關(guān)鍵詞：網(wǎng)絡(luò)電子身份；網(wǎng)絡(luò)身份管理；隱私保護(hù)；網(wǎng)絡(luò)信任

互聯(lián)網(wǎng)在電子政務(wù)、電子商務(wù)以及社會化媒體等方面的應(yīng)用不斷普及，在給人類生活帶來極大便利的同時，網(wǎng)絡(luò)謠言、網(wǎng)絡(luò)欺詐、身份盜用等問題也隨之產(chǎn)生并日趨嚴(yán)峻，給人類社會的正常生活秩序帶來了新的挑戰(zhàn)。根據(jù)中國互聯(lián)網(wǎng)協(xié)會2015年2月發(fā)布的數(shù)據(jù)，在國內(nèi)6億多網(wǎng)民中，有46.3%的網(wǎng)民遭遇過網(wǎng)絡(luò)安全問題。其中，賬號或密碼被盜等情況最為嚴(yán)重，達(dá)到25.9%。網(wǎng)絡(luò)安全問題日益成為不容忽視的社會問題。造成這些問題的主要原因就在于對網(wǎng)絡(luò)空間的用戶身份難以做到有效的管理。2012年12月28日，全國人大常委會通過的《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》，特別強調(diào)了網(wǎng)絡(luò)身份管理和網(wǎng)絡(luò)用戶身份信息的保護(hù)。目前已有的真實身份驗證機(jī)制存在著嚴(yán)重的技術(shù)缺陷，由于其基本方法是通過用戶提供真實的身份證信息來實現(xiàn)的，各網(wǎng)絡(luò)服務(wù)提供商因此掌握了大量用戶身份信息，這無疑存在著嚴(yán)重的用戶隱私泄露風(fēng)險。例如：我國CSDN論壇、天涯論壇、貓撲論壇、攜程網(wǎng)等近期先后被黑客侵入，累計上億人次的信息遭到泄露。公民網(wǎng)絡(luò)電子身份標(biāo)識eID從技術(shù)上很好地解決了以上問題，可以為我國網(wǎng)絡(luò)身份管理提供有效的技術(shù)支撐。

一、eID的發(fā)展概況

eID（electronic IDentity）是國際通行的網(wǎng)絡(luò)電子身份叫法。我國eID定義為公民網(wǎng)絡(luò)電子身份標(biāo)識。eID是網(wǎng)絡(luò)上遠(yuǎn)程證明個人真實身份的權(quán)威性電子信息文件，由公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)簽發(fā)。eID以密碼技術(shù)為基礎(chǔ)，以智能卡芯片為載體，可在實現(xiàn)對網(wǎng)絡(luò)個人身份的真實性和有效性確認(rèn)的同時保護(hù)公民身份隱私，具有權(quán)威性、安全性、普適性、保護(hù)隱私等特點。通過eID可將現(xiàn)實社會的人口管理機(jī)制延伸到網(wǎng)絡(luò)虛擬社會，實現(xiàn)現(xiàn)實社會與虛擬社會的統(tǒng)一管理。

（一）國外eID發(fā)展現(xiàn)狀

目前，世界發(fā)達(dá)國家都將網(wǎng)絡(luò)身份管理作為關(guān)系其未來發(fā)展的重要工作任務(wù)，歐盟及其成員國、俄羅斯、澳大利亞、美國等均已從戰(zhàn)略計劃、標(biāo)準(zhǔn)、法律法規(guī)等方面大力推進(jìn)該項工作［1-5］，其中絕大多數(shù)以eID作為核心的技術(shù)基礎(chǔ)設(shè)施。各國均以政府主導(dǎo)推動網(wǎng)絡(luò)身份管理工作，負(fù)責(zé)部門以內(nèi)政部、內(nèi)務(wù)部等（類似于我國公安部）負(fù)責(zé)國內(nèi)安全的部門為主。

歐盟早在2005年就制定了《i2010歐洲聯(lián)盟的發(fā)展信息和通信技術(shù)》的總體戰(zhàn)略，該戰(zhàn)略的宗旨在于增進(jìn)效率，降低成本，保護(hù)隱私，提高對社會服務(wù)的便捷和質(zhì)量。其中關(guān)于身份識別的內(nèi)容為：由歐盟各個成員國決定并由該國安全部門主導(dǎo)發(fā)行各國的eID，歐盟成員國eID的發(fā)行需遵守歐盟的統(tǒng)一標(biāo)準(zhǔn)并在成員國之間得到互認(rèn)。目前，在歐盟27個成員國中的德、法、意、西班牙、瑞典、荷蘭和比利時等17個成員國已經(jīng)發(fā)行了eID。從2012年1月俄羅斯也開始發(fā)行新的身份證，其中包含了公民網(wǎng)絡(luò)身份識別技術(shù)并支持多層次的身份認(rèn)證。2011年4月，美國總統(tǒng)奧巴馬簽發(fā)了《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》，計劃構(gòu)建一個網(wǎng)絡(luò)身份生態(tài)體系，推動個人和組織在網(wǎng)絡(luò)上使用安全、高效、易用的身份解決方案的實施。2014年5月初，美國已在賓夕法尼亞州和密歇根州對eID進(jìn)行上線測試。

（二）我國eID發(fā)展現(xiàn)狀

自2009年以來，經(jīng)過公安部第三研究所（以下簡稱“三所”）多年技術(shù)攻關(guān)，eID大規(guī)模服務(wù)的技術(shù)難題已經(jīng)悉數(shù)攻克，后臺的數(shù)據(jù)處理系統(tǒng)能夠支撐容納全國網(wǎng)民的eID發(fā)行，并已經(jīng)建成全國唯一的、經(jīng)國家密碼管理局的系統(tǒng)安全性審查及權(quán)威鑒定的“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”。

三所研發(fā)的eID得到了公安部、科技部、國家發(fā)改委、國家密碼管理局、國家互聯(lián)網(wǎng)信息辦公室等部委的大力支持。2012年，科技部設(shè)立了“十二五”國家“863”計劃重大項目“網(wǎng)域空間身份管理與應(yīng)用技術(shù)”，三所作為牽頭承擔(dān)單位。該項目國撥經(jīng)費1.2億元，是國家“863”計劃設(shè)立以來信息安全領(lǐng)域最大的項目。國家發(fā)改委也專門設(shè)立了“網(wǎng)絡(luò)真實身份管理系統(tǒng)”、“下一代互聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)身份驗證應(yīng)用示范”、“面向下一代互聯(lián)網(wǎng)的eID市民卡”等多個信息安全專項，由三所承擔(dān)建設(shè)與產(chǎn)業(yè)化任務(wù)。

在標(biāo)準(zhǔn)方面，三所正在牽頭制訂《網(wǎng)絡(luò)電子身份格式規(guī)范》等30余項eID國家及行業(yè)標(biāo)準(zhǔn)。中國通信標(biāo)準(zhǔn)化協(xié)會于2013年年底專門設(shè)立了由三所牽頭的“網(wǎng)域空間身份管理標(biāo)準(zhǔn)工作組”，eID標(biāo)準(zhǔn)體系已初步形成。這對于進(jìn)一步規(guī)范eID產(chǎn)業(yè)技術(shù)路線、推動eID相關(guān)產(chǎn)業(yè)的延伸和產(chǎn)業(yè)規(guī)模擴(kuò)展、維護(hù)eID生態(tài)圈具有重要意義。

2012年9月，eID試點在北京郵電大學(xué)正式啟動，共發(fā)放了3萬張eID，基本覆蓋全校師生員工，開始了eID制發(fā)的全業(yè)務(wù)流程試點工作。在此基礎(chǔ)上，三所與中國工商銀行達(dá)成戰(zhàn)略合作協(xié)議，在工商銀行全國發(fā)行的金融IC卡中嵌入eID。現(xiàn)雙方數(shù)據(jù)中心已建立起專線對接，形成了每天50萬張以上eID制發(fā)能力。截至2015年1月，eID工行卡發(fā)放總量已超過1000萬張。

二、eID技術(shù)體系與安全性

（一）eID技術(shù)體系

圖1　eID體系框架

如圖1所示，eID體系框架由eID簽發(fā)機(jī)構(gòu)、eID身份登記和發(fā)行機(jī)構(gòu)、身份服務(wù)機(jī)構(gòu)（IDP）、線上應(yīng)用（網(wǎng)絡(luò)應(yīng)用）以及自然人eID載體等五方組成，主要解決線上身份識別的問題，同時保護(hù)網(wǎng)絡(luò)上個人隱私安全。

其中，eID簽發(fā)機(jī)構(gòu)承擔(dān)“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”簽發(fā)和管理職能。eID身份登記和發(fā)行機(jī)構(gòu)承擔(dān)eID載體的登記和發(fā)行職能，具備廣泛的發(fā)行渠道。身份服務(wù)機(jī)構(gòu)（IDP）連接eID簽發(fā)機(jī)構(gòu)獲得身份驗證能力，并接入互聯(lián)網(wǎng)應(yīng)用服務(wù)機(jī)構(gòu)，承擔(dān)eID網(wǎng)絡(luò)身份識別和相關(guān)安全服務(wù)。

圖2　eID系統(tǒng)架構(gòu)

eID系統(tǒng)架構(gòu)如圖2所示，eID服務(wù)平臺基于公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)在保護(hù)個人隱私前提下提供各種形式的網(wǎng)絡(luò)身份驗證服務(wù)。該平臺為地方性和行業(yè)性數(shù)字認(rèn)證中心、網(wǎng)絡(luò)運營商及可信第三方服務(wù)機(jī)構(gòu)提供開放接口，共同構(gòu)成覆蓋全國的網(wǎng)絡(luò)身份驗證服務(wù)平臺。

持有eID載體的用戶訪問互聯(lián)網(wǎng)上的網(wǎng)站及應(yīng)用系統(tǒng)時，網(wǎng)站或應(yīng)用系統(tǒng)將連接到eID服務(wù)平臺驗證eID的真實性與有效性。當(dāng)通過驗證后，即可訪問網(wǎng)站或應(yīng)用系統(tǒng)的相關(guān)信息或進(jìn)行各類業(yè)務(wù)操作（如網(wǎng)上遞交身份、查詢、轉(zhuǎn)賬、支付、投票等）。

（二）eID的安全性

eID載體符合國家商用密碼技術(shù)要求和eID載體相關(guān)國家標(biāo)準(zhǔn)（包括行業(yè)標(biāo)準(zhǔn)），具有智能安全芯片及操作系統(tǒng)，提供獨立的安全機(jī)制，并為eID應(yīng)用提供統(tǒng)一的底層安全服務(wù)接口。eID由一對非對稱密鑰（公鑰和私鑰）及相關(guān)電子信息文件組成，該密鑰對中的私鑰由智能安全芯片內(nèi)部產(chǎn)生，無法被讀取、復(fù)制、篡改或非法使用，上述信息都存儲在eID載體的智能安全芯片上，受到高強度安全機(jī)制的保護(hù)。

eID的唯一性標(biāo)識采用國家商用密碼算法生成，不含任何個人身份信息，有效保護(hù)了公民身份隱私。eID的唯一性標(biāo)識是由用戶證件號碼、用戶姓名和128字節(jié)隨機(jī)數(shù)的字串進(jìn)行運算得出的二進(jìn)制編碼，與公民身份一一對應(yīng)，既確保了個人身份的真實性，又可有效避免身份信息曝光，達(dá)到了網(wǎng)絡(luò)身份管理和隱私保護(hù)的雙重目的。

公民可能同時擁有多個可以加載eID的載體（符合eID載體相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)），但eID基礎(chǔ)設(shè)施（公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)）確保每個公民同時只能擁有一個處于可用狀態(tài)的eID，即保證eID與其持有者本人的唯一對應(yīng)關(guān)系。當(dāng)eID載體丟失或損壞時，可以及時進(jìn)行掛失、注銷；申領(lǐng)了新的，舊的就自動被注銷而無法再使用。而且，由于eID具有PIN碼保護(hù)，必須輸入正確的PIN碼才能進(jìn)行數(shù)字簽名等操作，別人即使撿到也無法使用。

三、eID的應(yīng)用

eID應(yīng)用環(huán)境十分廣泛，包括政務(wù)民生應(yīng)用、電子商務(wù)應(yīng)用、社交網(wǎng)絡(luò)應(yīng)用、校園應(yīng)用、移動互聯(lián)網(wǎng)應(yīng)用等等。

（一）政務(wù)民生應(yīng)用

eID可以加載到融合金融、社保、衛(wèi)生健康、交通、教育等功能的新一代市民卡中，對各類民生應(yīng)用群提供基于eID的統(tǒng)一認(rèn)證服務(wù)。以公安機(jī)關(guān)互聯(lián)網(wǎng)便民服務(wù)為例，可建立公安警務(wù)網(wǎng)上辦事大廳，通過eID認(rèn)證實現(xiàn)互聯(lián)網(wǎng)應(yīng)用接入公安主管業(yè)務(wù)部門網(wǎng)上審批模式，開展戶政、治安、交管、出入境、消防、科技、法制、邊防等網(wǎng)上民生辦理事項，打造網(wǎng)上民生服務(wù)平臺，為群眾提供“全方位、全天候”的個性化服務(wù)。又如在公共醫(yī)療掛號服務(wù)中提供基于eID卡的實名認(rèn)證，可在充分保護(hù)患者隱私的前提下，借助金融IC卡的支付功能實現(xiàn)掛號費和診療費的結(jié)算。

（二）電子商務(wù)應(yīng)用

在電子商務(wù)應(yīng)用中，以目前eID所加載的中國工商銀行金融IC卡為例，只需要在桌面終端或移動終端上使用eID卡、輸入保護(hù)PIN碼，就可以實現(xiàn)安全快捷的真實身份驗證和金融支付，確保每次交易是用戶真實意愿的行為，防止網(wǎng)絡(luò)釣魚、木馬病毒等各類網(wǎng)絡(luò)欺詐給用戶造成資金、隱私泄露等各類損失。有了eID，即使發(fā)生網(wǎng)絡(luò)賬號被盜情況，只要eID還在用戶手上，就可以立即重置密碼，保證用戶互聯(lián)網(wǎng)金融活動中的資金財產(chǎn)安全。

（三）社交網(wǎng)絡(luò)應(yīng)用

微博應(yīng)用的一個重要環(huán)節(jié)就是實名認(rèn)證，由網(wǎng)絡(luò)服務(wù)提供者來搜集和驗證個人信息（如姓名、身份證號碼等）的傳統(tǒng)方式存在諸多安全隱患，而使用eID只需要插上eID卡、輸入保護(hù)PIN碼，不用再向網(wǎng)絡(luò)服務(wù)提供者提交任何個人身份信息。而且，eID使其認(rèn)證更加可信，能夠有效防止仿冒他人身份等惡意行為。這樣既滿足了實名認(rèn)證的真實性和有效性要求，又達(dá)到了保護(hù)個人隱私的目的。

（四）校園應(yīng)用

在校園應(yīng)用中，eID可以用于論壇、郵件系統(tǒng)、校園信息門戶、網(wǎng)上報銷系統(tǒng)、校園網(wǎng)認(rèn)證網(wǎng)關(guān)等網(wǎng)上應(yīng)用。以論壇注冊為例，傳統(tǒng)的方式需要提交身份證號、手機(jī)號、學(xué)號、畢業(yè)證號等相關(guān)的個人身份信息，身份的驗證要通過電子郵件完成，其個人身份信息留存于論壇系統(tǒng)中，存在被泄露的風(fēng)險。而使用eID可以方便快捷地完成注冊、登錄、密碼重置等操作，同時不用在系統(tǒng)留存任何身份信息，很好地保護(hù)了個人隱私。

（五）移動互聯(lián)網(wǎng)應(yīng)用

eID也適用于移動互聯(lián)網(wǎng)環(huán)境。我們也可以通過手機(jī)實現(xiàn)安全快捷的eID登錄。例如二維碼登錄，只需要使用手機(jī)上的eIDApp掃描代表某互聯(lián)網(wǎng)應(yīng)用登錄請求的二維碼，在手機(jī)里確認(rèn)登錄該互聯(lián)網(wǎng)應(yīng)用后，通過eID手機(jī)應(yīng)用與eID服務(wù)平臺的自動交互完成驗證，即可成功登錄該互聯(lián)網(wǎng)應(yīng)用。由于無須再輸入賬戶名、密碼，既方便快捷也有效避免了密碼被盜的風(fēng)險。

公民網(wǎng)絡(luò)電子身份標(biāo)識eID作為公安系統(tǒng)頒發(fā)的在網(wǎng)絡(luò)上遠(yuǎn)程證明個人真實身份的權(quán)威性電子信息文件，是網(wǎng)絡(luò)虛擬社會管理的必不可少的基礎(chǔ)設(shè)施。eID可滿足公民在網(wǎng)絡(luò)交易和虛擬財產(chǎn)安全保障及個人隱私保護(hù)等方面的迫切需求，大幅提升公民網(wǎng)絡(luò)活動的安全感，并且將推動越來越多的政府服務(wù)、民生服務(wù)、商業(yè)服務(wù)通過網(wǎng)絡(luò)方式公開提供，在給公民帶來很大便利的同時有效降低各類機(jī)構(gòu)的服務(wù)成本，將會得到國家、商業(yè)機(jī)構(gòu)及廣大網(wǎng)民的共同認(rèn)可，對建立誠信網(wǎng)絡(luò)、治理網(wǎng)絡(luò)空間、保護(hù)個人隱私具有重要意義。

參考文獻(xiàn)：

［1］J. Grant. National Strategy for Trusted Identities in Cyberspace［M］. Presentation at NIST 2011. April 6，2011.

［2］European Commission. i2010-A European Information Society for growth and employment［J］.COM，2005:229.

［3］European Commission.A Roadmap for a pan-European elDM Framework by 2010［J］.2006.

［4］Aaron Saenz. Russia to adopt universal ID card in 2012 ［J/OL］. 2011，http://singularityhub.com/2011/01/18/russiato-adopt-universal-id-card-in-2012/.

［5］National Office for the Information Economy of Austra?lian Governmeng. Australian Business Number-Digital Signature［J/OL］. 2003，http://www.finance.gov.au/agi?mo-archive/_data/assets/file/0019/5095/ABN-DSC-specifi?cation.pdf.

責(zé)任編輯：賈永生

Research on the Development and Application of the Citizen Network Electronic Identity eID

Hu Chuanping
(The 3rd Research Institute of the Ministry of Public Security, Shanghai 200031, China)

Abstract：Countries all over the world have the common consciousness on constructing the trusty Internet environment, while network identity trust is the most important part of it. The network electronic identity system and basic infrastructure has been the important infrastructure of E-Government, E-Business and all kinds of online applications. It means much at enhancing resource utility, promoting creation and economic increase, advancing user convenience, strengthening security and privacy protection. The eID can be widely applied at a variety of aspects, such as e-commence, social network, campus affairs, government affairs and the people’s livelihood, etc.

Key words：network electronic identity; network identity management; privacy protection; network trust

基金項目：本文由國家“863”計劃重大項目2012AA01A403和2012AA01A404資助。

作者簡介：胡傳平，男，上海人，博士，公安部第三研究所所長、研究員，研究方向：網(wǎng)絡(luò)身份管理、物聯(lián)網(wǎng)、信息網(wǎng)絡(luò)安全。

收稿日期：2014-12-21

文章編號：1009-3192（2015）01-0039-04

文獻(xiàn)標(biāo)識碼：A

中圖分類號：TP393