可信身份認證和標識密碼技術的跨網域建設與應用

賈軼 包俊嶺 呂永剛 張家華 歐陽震諍

（1.內蒙古包頭市公安局科技信息化支隊 內蒙古自治區(qū)包頭市 014030 2.北京迪曼森科技長沙分公司 湖南省長沙市 410006）

隨著國家“互聯(lián)網+”戰(zhàn)略的實施，各級政府積極投入“互聯(lián)網+政務服務”建設和“放管服”改革，通過政務服務平臺為企業(yè)和群眾提供便捷的網上業(yè)務辦理。在訪問控制安全的前提下，提供統(tǒng)一權威的網絡身份認證服務是網上政務辦理的基本前提和重要基礎[1]。2019年，內蒙古包頭市公安局建設并啟用了可信身份認證服務平臺，該平臺基于“互聯(lián)網+”可信身份認證技術（Cyber Trusted identity, CTID)和標識密碼技術(Identity Key Infrastructure,IKI)密切結合設計建設，全面提供“互聯(lián)網+”可信身份認證和電子簽名服務，實現在網絡空間活動中證明“我是我”及“我的行為”，既保證了網絡用戶網上活動身份的真實性、保密性和安全性，又保證了關鍵業(yè)務辦理行為的不可抵賴性。2021年，依托于跨網域認證服務平臺，各行政專網統(tǒng)一向可信身份認證服務平臺提出身份認證請求，通過數據交換實現業(yè)務辦理，建立網絡可信身份體系，以此推動全市“互聯(lián)網+”可信身份的線上和線下業(yè)務應用，助力線上業(yè)務更廣泛、更深入開展，成為數字經濟發(fā)展的必然需求。

1 建設的必要性

依據《國務院辦公廳關于印發(fā)“互聯(lián)網+政務服務”技術體系建設指南的通知》國辦函[2016]108 號文件要求，通過網上大廳、辦事窗口、移動客戶端、自助終端等多種形式，結合第三方平臺為群眾提供一站式政務服務,推動“互聯(lián)網+政務服務”工作，有效優(yōu)化政務服務能力、提高為企業(yè)和群眾業(yè)務辦理的效率[2]。針對線下業(yè)務大量快速向線上遷移，通過傳統(tǒng)的實體身份證、戶口本等法定證件來證明身份的方式已經不能滿足線下為民服務需求，更不能滿足線上身份認證場景需求，在打造“互聯(lián)網+政務”線上服務和線下辦事緊密融合過程中如何建立網上統(tǒng)一身份認證體系，如何實現身份的互認，線上如何證明“我是我”，如何豐富線下身份鑒別方式等系列身份管理問題亟待解決[3]。

另一方面，分布于公安網、政務網、互聯(lián)網中的大量業(yè)務應用如何打通各個網絡之間的壁壘，實現跨網域的權威統(tǒng)一的可信身份認證，成為提高政務部門服務質量與服務效率的難點、提升群眾滿意度的關鍵瓶頸。

2020年3月，包頭市公安局提出跨網域可信身份認證問題與服務系統(tǒng)框架思路，同年4月份完成跨網域認證創(chuàng)新應用項目申報。截止2021年8月跨網域可信身份認證分布式服務系統(tǒng)建設已進入試運行階段，除公安外，為其它各委辦局、房管、公積金等部門通過跨網域技術提供了可信身份認證服務。

2 可信身份認證跨網域技術原理

2.1 可信身份認證

公安部第一研究所建設的國家“互聯(lián)網+”可信身份認證平臺（以下簡稱CTID 平臺）基于公安部法定身份證件制證數據，采用國密算法，對法定身份證件所承載的身份信息進行脫敏、去標識化處理，統(tǒng)一生成不可逆、不含明文信息，且與法定身份證件一一映射的數據文件（網證），能夠在不泄露身份信息的前提下實現在線身份認證[4]。網證的產生過程如圖1所示。

圖1：網證的產生過程

IKI 標識密碼技術是基于SM2 算法生成標識密鑰，使用CTID網證生成的居民網絡身份標識（PID）參與計算生成簽名密鑰對和加密密鑰對，使用簽名密鑰簽名實現簽名的強不可抵賴性，符合《中華人民共和國電子簽名法》，構建“人—居民身份證—網上身份標識—密碼身份”四位一體的緊密可信身份體系，提供更便捷、更安全的電子簽名服務，實現網絡環(huán)境證明“我是我”和網上行為可信（可追溯、防篡改、抗抵賴），是符合《中華人民共和國密碼法》和《中華人民共和國電子簽名法》的應用。

2.2 跨網域技術原理

借助跨網域認證服務平臺,面向公安網、政務網、互聯(lián)網提供基于公安部一所CTID 平臺的統(tǒng)一身份認證及基于標識密碼技術的電子簽名等基礎密碼服務。

跨網域認證服務平臺通過網絡專線與公安網、政務網、互聯(lián)網之間進行通訊，該平臺與公安網、政務網、互聯(lián)網之間的數據傳輸、數據處理、數據存儲等環(huán)節(jié)均通過密碼服務提供統(tǒng)一安全服務保障。

“互聯(lián)網+”可信身份認證和標識密碼技術的跨網域應用技術路線如圖2所示。

圖2：可信身份認證和標識密碼技術的跨網域應用技術路線

2.3 跨網域可信身份認證業(yè)務流程

部署在公安網、政務網、互聯(lián)網的各政務服務平臺向跨網域認證服務平臺發(fā)起可信身份認證請求，請求數據通過簽名驗簽服務器簽名并加密進行發(fā)送。

跨網域認證服務平臺監(jiān)聽讀取請求數據，調用簽名驗簽服務器解密請求數據，并驗證請求數據簽名值，將請求數據發(fā)送至網絡可信身份認證服務平臺獲取可信身份認證響應數據。

跨網域認證服務平臺調用簽名驗簽服務器對可信身份認證響應數據簽名并加密，傳輸至部署在公安網、政務網、互聯(lián)網的各政務服務平臺。

部署在公安網、政務網、互聯(lián)網的各政務服務平臺監(jiān)聽讀取響應數據，調用簽名驗簽服務器解密響應數據，并驗證響應數據簽名值，將可信身份認證響應結果返回到具體應用。跨網域可信身份認證業(yè)務流程如圖3所示。

圖3：跨網域可信身份認證業(yè)務流程

3 跨網域可信身份認證系統(tǒng)架構

3.1 總體架構設計

跨網域可信身份認證充分考慮了系統(tǒng)的可靠性、實用性、可維護性和安全性等各方面因素，采用多層架構設計。總體架構如圖4所示。

圖4：跨網域可信身份認證總體架構

3.1.1 應用層

實現互聯(lián)網用戶、政務網用戶、公安網用戶的可信身份認證和標識密碼技術的跨網域應用。

3.1.2 服務支撐層

監(jiān)聽讀取不同網絡的用戶可信身份認證請求，調用簽名驗簽服務器解密請求數據，并驗證請求數據簽名值，將請求數據發(fā)送至平臺服務層，獲取可信身份認證響應數據。

3.1.3 平臺服務層

為服務支撐層提供可信身份認證基礎服務和電子簽名基礎服務，調用簽名驗簽服務器解密響應數據，并驗證響應數據簽名值，將可信身份認證響應結果返回到服務支撐層。

3.1.4 身份標識服務層

為平臺服務層提供身份認證的基礎數據。

3.2 總體網絡拓撲圖

總體網絡拓撲圖如圖5所示，主要分為四個部分：

圖5：跨網域可信身份認證網絡拓撲圖

3.2.1 用戶端不同網絡的用戶可采用PC 終端、移動端APP、自助終端機使用跨網域可信身份認證功能。

3.2.2 跨網域認證服務平臺端

跨網域認證服務平臺部署在政務云中。通過與互聯(lián)網端提供的可信身份認證和標識密碼技術服務，實現終端跨網域認證數據的秒級響應交互。

3.2.3 互聯(lián)網端互聯(lián)網端部署了可信身份認證和標識密碼技術基礎服務，為跨網域認證服務平臺提供網絡可信身份認證服務。

3.2.4 公安部一所CTID 平臺端

為互聯(lián)網端的可信身份認證平臺，提供了基礎認證數據。

4 主要技術特點

4.1 “CTID+IKI”構建網絡可信生態(tài)

標識密碼技術采用SM2、SM3、SM4 算法、標識密鑰生成方法，具備實體標識計算證明標識的特性，簽名具有不可抵賴性，符合《中華人民共和國密碼法》和《中華人民共和國電子簽名法》。

CTID 平臺由國家權威部門牽頭建設，使用法定證件制證數據作為比對源，通過實名核驗、活體檢測、人臉比對，實現人證合一，確保信息源權威性，比對結果安全可信。以 CTID 平臺網證在應用域內的 PID 為實體標識，使用 IKI 標識密碼技術計算生成密鑰，為用戶生成唯一的可信身份標識，通過數字簽名技術，保障用戶在網絡應用業(yè)務流程中行為可靠，實現網絡行為可信，確保用戶網上行為具有法律效力，從而構建了完整的網絡可信體系生態(tài)環(huán)境。

4.2 采用標識密碼技術保證各網域之間數據處理、傳輸、存儲等過程安全

部署在公安網、政務網、互聯(lián)網的各政務服務平臺及跨網域認證服務平臺后臺都配備基于標識密碼技術，提供數字簽名/驗簽，加密/解密等安全密碼服務的簽名驗簽服務器。兩個平臺發(fā)出的數據都經過簽名并加密，接受的數據都經過解密并驗簽再解析，請求/響應數據都保存至數據庫備份，以保證平臺之間數據交互可追溯、防篡改、抗抵賴。

4.3 標識密碼技術及配套軟硬件在各終端的應用

部署在公安網、政務網、互聯(lián)網的各政務服務平臺面向公安、政務、線上金融、醫(yī)療、教育等應用PC 端、移動端提供可信身份認證及安全密碼服務。

配套的標識密碼技術軟硬件包括智能密碼鑰匙、安全芯片、移動智能終端軟件密碼模塊、Java/C等主流編程語言SDK軟件模塊等，能為各政務服務平臺應用提供設備集成多形態(tài)、應用業(yè)務多場景、不同場景安全等級多層次的支撐，有效滿足市場化需求。

5 應用案例

5.1 警員身份認證

2021年8月，在隸屬于公安專網的包頭市公安局“互聯(lián)網+政務”民生服務平臺中實現了警員刷臉登錄，替代以往通過用戶名+密碼進行身份認證的登錄方式，充分發(fā)揮可信身份認證跨網域技術的優(yōu)勢和安全效果，有效保護警員登錄應用系統(tǒng)過程中身份信息的安全，同時只有警員本人才能訪問應用系統(tǒng)，實現強身份認證機制，以確保警員身份的真實性。目前跨網域警員可信身份認證日均認證量可達300 ～400 人次。

5.2 政務推廣

2021年9月，包頭市政務服務大廳業(yè)務辦理窗口及自助機設備接通了跨網域可信身份認證服務，調用工信局共享服務平臺的身份核驗接口，通過后臺在線核驗居民身份證及人臉生物特征識別，解決了窗口工作人員采用人工肉眼進行身份認證時，因工作經驗不足或辦事群眾面部特征改變等因素出現的判斷失誤、認證錯誤等問題，實現了“實名、實人、實證”網絡身份認證基礎服務，提高了身份認證的準確率及辦事窗口工作效率。目前包頭市及各旗縣政務服務大廳人工窗口約220 個，自助機設備約30 臺，均提供了跨網域可信身份認證服務。

為持續(xù)加強“互聯(lián)網+政務”線上服務和線下辦事緊密融合，實現實名用戶精準化，公積金管理中心8 個網點，50 個窗口將要對接跨網域可信身份認證服務，共同構建一體化網絡可信身份體系。

5.3 智能門禁系統(tǒng)

內蒙古包頭市公安局科信支隊在市局范圍內全面推廣智能門禁系統(tǒng)的應用。該門禁系統(tǒng)包括智能門禁機、門禁系統(tǒng)管理平臺和用戶APP 等組成部分，其中具有用戶權限管理、數據下發(fā)等功能的門禁系統(tǒng)管理平臺部署在公安專網內；智能門禁機和用戶APP 分布于互聯(lián)網端，依托于跨網域認證服務平臺進行身份核驗實現警員刷臉開門，加強門禁系統(tǒng)的安全性，提升了使用的便捷性。

5.4 應用拓展

為能夠高質量服務于政務應用領域，加快網上政務辦理審批的能力，包頭市公安局搭建了基于標識密碼技術的電子印章管理系統(tǒng)，在治安、交管、戶籍等60 余項網辦業(yè)務事項中，實現了群眾在互聯(lián)網端提交申請，政務服務部門內部網絡環(huán)境協(xié)同辦公和審批的跨網域應用，為進一步實現電子印章跨部門、跨地區(qū)協(xié)同打下夯實的基礎。電子印章在政務服務平臺各項在線便民服務應用中，充分結合跨網域可信身份核驗的權威性及便捷性，提供實人身份核驗服務，確保群眾辦理業(yè)務的真實性。

6 結語

基于跨網域的核心技術，打通了公安網、政務網、互聯(lián)網在身份核驗、電子印章等方面的交互壁壘，在物理隔離的網絡間實現了數據安全傳輸和可信身份的跨網域認證，構建了網絡可信身份服務體系，提升了“互聯(lián)網+政務服務”能力，不斷拓展應用向社會提供可信身份認證服務，助推全社會的“互聯(lián)網+政務服務”應用發(fā)展。通過“讓群眾少跑腿，讓數據多跑路”，群眾足不出戶就能完成業(yè)務辦理，提升社會整體效率改善營商環(huán)境。