基于SIM 卡的數(shù)字身份實(shí)現(xiàn)與應(yīng)用

范建偉

（中移動(dòng)金融科技有限公司，北京 100037）

1 數(shù)字身份認(rèn)證研究背景

數(shù)字身份是對(duì)居民身份證所承載的身份信息（姓名、身份證號(hào)、有效期限等）進(jìn)行相關(guān)處理，生成不可逆、不含明文信息，且與法定證件一一映射的數(shù)據(jù)文件，能夠在不泄露個(gè)人真實(shí)身份信息的前提下實(shí)現(xiàn)在線身份認(rèn)證，實(shí)現(xiàn)“一次認(rèn)證、多次使用、全網(wǎng)通辦”。數(shù)字身份認(rèn)證研究具有重要意義。

1.1 重要性

我國在“十四五規(guī)劃綱要”明確以數(shù)字化轉(zhuǎn)型整體驅(qū)動(dòng)生產(chǎn)方式、生活方式和治理方式變革，從數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)、數(shù)字政府、數(shù)字生態(tài)四方面建設(shè)“數(shù)字中國”。數(shù)字身份是各個(gè)領(lǐng)域數(shù)字化的基石,是促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的必備基礎(chǔ),是數(shù)字時(shí)代的重要基礎(chǔ)設(shè)施,其重要性不言而喻。

1.2 迫切性

2016 年以來，國務(wù)院發(fā)布《關(guān)于加快推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”工作的指導(dǎo)意見》等系列文件，2022 年2月22 日又印發(fā)《關(guān)于加快推進(jìn)電子證照擴(kuò)大應(yīng)用領(lǐng)域和全國互通互認(rèn)的意見》，2022 年3 月11 日，國務(wù)院總理李克強(qiáng)在北京人民大會(huì)堂出席記者會(huì)表示，“我們今年要實(shí)施一項(xiàng)新政策，就是把人們常用的身份證電子化”。2022 年國家在加快布局和推進(jìn)數(shù)字身份認(rèn)證領(lǐng)域工作，數(shù)字身份認(rèn)證落地需求迫切。

2 數(shù)字身份認(rèn)證現(xiàn)有技術(shù)方案

隨著新一代信息技術(shù)的加速發(fā)展和數(shù)字化全面融入國民經(jīng)濟(jì)各個(gè)領(lǐng)域，各行業(yè)對(duì)數(shù)字身份認(rèn)證的需求迅速增長，尤其是社會(huì)公共場(chǎng)所、公共設(shè)施，以及部分企事業(yè)單位對(duì)于數(shù)字身份認(rèn)證的需求尤為迫切。

目前市場(chǎng)上數(shù)字身份認(rèn)證方式多是依賴智能電子移動(dòng)終端進(jìn)行二維碼掃碼的認(rèn)證方式，流程見圖1。

圖1 傳統(tǒng)數(shù)字身份認(rèn)證流程

流程描述：

（1） 用戶將保存在APP 中的身份二維碼向業(yè)務(wù)平臺(tái)展示；

（2） 業(yè)務(wù)平臺(tái)分析二維碼；

（3） 業(yè)務(wù)平臺(tái)將分析之后的結(jié)果關(guān)聯(lián)用戶信息，將認(rèn)證要素傳給認(rèn)證服務(wù)器進(jìn)行認(rèn)證；

（4） 認(rèn)證服務(wù)器將認(rèn)證結(jié)果返回給業(yè)務(wù)平臺(tái)；

（5） 業(yè)務(wù)平臺(tái)將認(rèn)證結(jié)果返回給用戶APP；

（6） 掃描終端掃描用戶APP 展示的身份二維碼。

3 數(shù)字身份認(rèn)證現(xiàn)有技術(shù)的缺點(diǎn)

當(dāng)今社會(huì)，移動(dòng)智能終端逐漸普及，通過移動(dòng)智能終端掃碼進(jìn)行數(shù)字身份認(rèn)證，能避免人民未攜帶身份證的情況下進(jìn)出必要場(chǎng)所或進(jìn)行相應(yīng)業(yè)務(wù)辦理。

依賴智能移動(dòng)終端進(jìn)行二維碼掃碼的數(shù)字認(rèn)證方式，往往身份二維碼信息會(huì)保存在APP 客戶端、APP云端或服務(wù)器，以及相應(yīng)的應(yīng)用服務(wù)設(shè)施，這些保存方式的缺點(diǎn)是二維碼身份信息容易被盜取使用，無法保障用戶信息安全，同時(shí)單純基于軟件的數(shù)字身份信息認(rèn)證方案安全等級(jí)較低，容易被手機(jī)非法應(yīng)用或病毒攻擊，導(dǎo)致身份信息泄露。

現(xiàn)有技術(shù)方案的缺點(diǎn)/問題：

（1） 身份二維碼存儲(chǔ)方式安全級(jí)別低，可以通過軟件攻破、圖像信息截取等方式進(jìn)行盜用截??；

（2） 數(shù)字身份二維碼在APP 客戶端、APP 云端或服務(wù)器，以及相應(yīng)的應(yīng)用服務(wù)設(shè)施多方存儲(chǔ)及流轉(zhuǎn)，信息安全無法保障。

4 超級(jí)SIM 卡是安全可信的硬件存儲(chǔ)載體

近年來，SIM卡經(jīng)過不斷發(fā)展，持續(xù)進(jìn)行版本升級(jí)迭代，SIM卡能力逐漸強(qiáng)大。

4.1 三大特點(diǎn)

（1） 安全存儲(chǔ)：訪問操作需滿足相應(yīng)的權(quán)限驗(yàn)證，有效的防止未授權(quán)實(shí)體對(duì)卡進(jìn)行訪問；

（2） 安全連接：基于GP 安全機(jī)制，建立安全傳輸通道，保障數(shù)據(jù)傳輸?shù)囊恢滦院屯暾裕?/p>

（3） 安全計(jì)算：在硬件層實(shí)現(xiàn)了國際以及國密安全算法，可以防止計(jì)算過程被監(jiān)聽、篡改。

4.2 四個(gè)優(yōu)勢(shì)

（1） 支持終端機(jī)型增多：通過BIP 通道下載卡應(yīng)用的能力，在3.0+卡上實(shí)現(xiàn)應(yīng)用空發(fā)下載，不依賴于終端系統(tǒng)及APP，支持蘋果手機(jī)；

（2） 支持安全要求更高的卡應(yīng)用：支持國密算法，具有高安全性；

（3） 支持離線使用應(yīng)用：相比二維碼，手機(jī)在斷網(wǎng)、亮屏、熄屏、關(guān)機(jī)（1 天左右）均可使用卡應(yīng)用；

（4） 手機(jī)換新應(yīng)用繼續(xù)用：適用于各種NFC 機(jī)型，換機(jī)不影響應(yīng)用使用。

5 基于SIM 卡的數(shù)字身份認(rèn)證技術(shù)方案設(shè)計(jì)與實(shí)現(xiàn)

5.1 實(shí)現(xiàn)方案

基于上述的問題難點(diǎn)及關(guān)鍵技術(shù)點(diǎn)，提出了新型身份認(rèn)證方案，具體實(shí)現(xiàn)方案見圖2。

圖2 基于SIM 卡的數(shù)字身份認(rèn)證寫卡實(shí)現(xiàn)流程

寫卡方案：

（1） 用戶通過APP 向數(shù)字身份平臺(tái)發(fā)送數(shù)字身份寫入請(qǐng)求；

（2） 數(shù)字身份平臺(tái)獲取用戶身份信息，向指令模塊發(fā)送組件指令；

（3） 指令模塊收到組件指令，進(jìn)行拼接指令，對(duì)用戶身份數(shù)據(jù)進(jìn)行SM2+SM4 加密處理；

（4） 指令模塊通過加密機(jī)加密后的數(shù)字身份信息指令發(fā)送到數(shù)字身份平臺(tái)；

（5） 數(shù)字身份平臺(tái)將加密指令發(fā)送至用戶APP；

（6） 用戶端APP 使用向SIM卡發(fā)送寫卡指令；

（7） SIM卡執(zhí)行寫卡指令后向用戶APP 返回執(zhí)行結(jié)果；

（8） 用戶APP 向數(shù)字身份平臺(tái)返回執(zhí)行結(jié)果；

（9） 數(shù)字身份平臺(tái)更新執(zhí)行結(jié)果狀態(tài)，并告知用戶APP 身份認(rèn)證開通結(jié)果。

圖3 基于SIM 卡的數(shù)字身份認(rèn)證讀卡實(shí)現(xiàn)流程

讀卡方案：

（1） 用戶通過APP 向數(shù)字身份平臺(tái)發(fā)送數(shù)字身份讀取請(qǐng)求；

（2） 數(shù)字身份平臺(tái)向指令模塊發(fā)送組件指令；

（3） 指令模塊收到組件指令，進(jìn)行拼接指令，向數(shù)字身份平臺(tái)發(fā)送指令；

（4） 數(shù)字身份平臺(tái)將指令模塊發(fā)送的指令發(fā)送到用戶APP；

（5） 用戶APP 向SIM卡發(fā)送讀卡指令；

（6） SIM卡執(zhí)行讀卡指令后向用戶APP 返回執(zhí)行結(jié)果；

（7） 用戶APP 向數(shù)字身份平臺(tái)返回執(zhí)行結(jié)果；

（8） 數(shù)字身份平臺(tái)對(duì)身份認(rèn)證數(shù)據(jù)進(jìn)行解密，并告知用戶APP 身份認(rèn)證信息。

5.2 體系架構(gòu)

以國家可信數(shù)字身份平臺(tái)（公安部“互聯(lián)網(wǎng)+”可信身份認(rèn)證CTID 平臺(tái)）為能力底座，以超級(jí)SIM卡為載體，搭載公安部簽發(fā)的網(wǎng)絡(luò)身份憑證，通過超級(jí)SIM卡管理平臺(tái)（TSM平臺(tái)）調(diào)用卡指令服務(wù)，提供BIP、機(jī)卡以及NFC 等SIM卡交互能力，為持卡用戶面向線上線下的豐富場(chǎng)景應(yīng)用提供安全、可信、便捷的身份認(rèn)證服務(wù)，鍛造差異化優(yōu)勢(shì)，打造NFC認(rèn)證、單離線認(rèn)證等具有鮮明SIM數(shù)字身份特色的認(rèn)證體系。（見圖4）

圖4 基于SIM 卡的數(shù)字身份認(rèn)證體系

5.3 功能設(shè)計(jì)

目前已完成了基于SIM卡的數(shù)字身份平臺(tái)建設(shè)，其以公安部可信數(shù)字身份CTID 平臺(tái)為依托，基于網(wǎng)證、二維碼、人像等多種認(rèn)證因子，形成多種身份認(rèn)證模式，構(gòu)建了多因子、多層次、多安全等級(jí)的網(wǎng)絡(luò)可信身份認(rèn)證體系，形成APP、小程序、H5 等產(chǎn)品形態(tài)，并具備SDK、平臺(tái)API 等能力開放形式，可滿足不同行業(yè)、不同應(yīng)用場(chǎng)景、不同安全等級(jí)要求的身份認(rèn)證需要。（見圖5）

圖5 基于SIM 卡的數(shù)字身份平臺(tái)功能架構(gòu)

6 基于SIM 卡的數(shù)字身份認(rèn)證方案優(yōu)點(diǎn)

基于SIM 卡的數(shù)字身份是結(jié)合SIM 卡特有安全存儲(chǔ)機(jī)制，將國家可信的數(shù)字身份信息通過本地指令模塊寫入SIM 卡，借助SIM卡安全計(jì)算(國密算法)能力及通信(數(shù)據(jù)短信、BIP、機(jī)卡通道)能力，對(duì)接國家可信數(shù)字身份系統(tǒng)，在保障數(shù)字身份信息的前提下，向個(gè)人用戶、行業(yè)客戶提供身份認(rèn)證服務(wù)。對(duì)應(yīng)現(xiàn)有技術(shù)缺點(diǎn)，本方案的優(yōu)勢(shì)如下：

（1） 存儲(chǔ)安全可靠。SIM卡特有安全存儲(chǔ)機(jī)制，有效的保障個(gè)人身份信息安全。

（2） 使用安全可靠。用戶數(shù)字身份信息不在前端展示，不存儲(chǔ)于APP 及APP 服務(wù)器，保護(hù)用戶信息不被盜用截取，保障信息安全。

（3） 認(rèn)證快捷高效。借用SIM卡的安全計(jì)算能力及通信能力，用戶在息屏、無網(wǎng)絡(luò)條件下，就可實(shí)現(xiàn)數(shù)字身份的快速認(rèn)證，無需排隊(duì)等候。

7 應(yīng)用效果

目前基于SIM卡的數(shù)字身份已上線，客戶在忘帶身份證的情況下，也能完成身份認(rèn)證，實(shí)現(xiàn)各類場(chǎng)景業(yè)務(wù)辦理，是在“數(shù)字化改革”轉(zhuǎn)型中的有效探索。也是響應(yīng)政府“最多跑一次”服務(wù)理念的全新嘗試。

截至2022 年7 月，數(shù)字身份已累計(jì)實(shí)現(xiàn)文旅、訪客、政務(wù)、金融、營業(yè)廳業(yè)務(wù)辦理、疫情防控等30 個(gè)核心場(chǎng)景應(yīng)用落地，覆蓋福建、江蘇、浙江、江西、云南等10 余省份，月均申領(lǐng)4.8 萬人，月均場(chǎng)景認(rèn)證8194 次，累計(jì)申領(lǐng)26 萬人，累計(jì)場(chǎng)景認(rèn)證51583 次。

8 展望

對(duì)于SIM數(shù)字身份認(rèn)證的發(fā)展提出3 點(diǎn)展望。第一，持續(xù)完善法律法規(guī)，突破政策法規(guī)嚴(yán)格監(jiān)管限制，拓展SIM數(shù)字身份在酒店、鐵路、民航等百姓高頻場(chǎng)景應(yīng)用，讓用戶感受更多“無障化”的數(shù)智生活。第二，加快數(shù)字身份認(rèn)證技術(shù)研究，推動(dòng)數(shù)字身份服務(wù)在商業(yè)模式上的創(chuàng)新，營造健康發(fā)展的生態(tài)環(huán)境。第三，推動(dòng)國家數(shù)字身份基礎(chǔ)設(shè)施建設(shè)，深耕超級(jí)SIM卡數(shù)字技術(shù)能力，力求為數(shù)字身份認(rèn)證的發(fā)展提供技術(shù)支撐和平臺(tái)建設(shè)，為用戶提供安全、可信、便捷的身份認(rèn)證服務(wù)，推動(dòng)實(shí)際應(yīng)用落地，助力國家“可信數(shù)字身份+”服務(wù)體系建設(shè)。