介紹
eID主要用於解決隱私保護下的線上身份識別問題,它不是明文的身份信息,也不是像“居民身份證”那樣的證件,而是搭載在一張銀行卡安全智慧型晶片上的密碼信息,看上去與普通的銀行卡沒什麼區別。未來的線上身份識別,用戶只需將搭載了eID的銀行卡插入通用智慧卡讀卡器並輸入密碼、或貼近帶有NFC(近場通信)功能手機的背面後,網站在後台可線上辨別eID的真偽和有效性,但並不掌握eID持有人的身份信息,也沒必要存儲用戶的身份信息。
eID產生背景
當前網路空間與現實社會呈現出加速融合的趨勢,雲計算、移動網際網路、物聯網的日漸成熟與廣泛套用,泛在網際網路環境正在逐步形成,將成為我們社會生活的主要載體,雲計算使網路資源進一步的集中,從而建立起日益強大的計算能力,移動網際網路使人們通過移動設備,可以隨時隨地的接入網路空間,物聯網使虛擬世界與物理世界逐漸融為一體,通過人與人,物與物,以及物與人之間相互聯繫,形成虛擬社會和現實社會在網路空間交匯融合。
網路空間發展給我們帶來方便快捷的同時,也為國家安全和社會穩定帶來新挑戰。除了國與國之間在網路空間鬥爭以外,網路謠言,網路欺詐,網路恐怖主義的問題日趨嚴峻,導致這些問題的主要原因是缺乏網路信任與身份的管理。例如,2011年7月,韓國最大的入口網站之一Nate和著名社交網站CyberWorld遭到黑客攻擊,導致3500萬名(相當於韓國總人口的70%以上)用戶的姓名、居民身份證號碼、電話號碼、電子信箱以及密碼等個人信息泄漏,嚴重危害到公民個人和社會公共安全。2012年央視315晚會曝光羅維鄧白氏公司通過各種渠道蒐集掌握了超過2億公民的身份、交易活動地域、時間、資產情況等個人隱私信息。並且,網路匿名性使得網路誠信體系難以建立,網民行為缺乏責任意識,進一步加劇了網路虛擬社會的無序狀態。
此外,網路身份難以確認導致面向個人、機構的眾多民生服務業務無法開展,大規模政務信息化建設難以發揮便民利民的應有作用。總之,由於網路空間中身份的虛擬性和不確定性,使得網路空間中的各類虛擬實體和角色(個人、組織、硬體、網路、軟體和服務等)缺乏有效的管理,因此也難以對其行為進行監督和規範。因此網路信任與身份管理體系,是網路空間安全的基石,在各種實體間建立信任關係,實行統一的身份管理,是電子商務、電子政務、信息共享等各類網路業務的前提,是改善網路社會治理環境、促進網路誠信的緊迫需求。
2012年年底全國人大審議通過的《關於加強網路信息保護的決定》和正在修訂的國務院《網際網路信息服務管理辦法》,為採用安全有效的技術措施識別和驗證網際網路上公民真實身份提供了基本法律依據。此外,2004年國家出台了《電子簽名法》,為數字證書的認證與效力提供了法律保障。目前已授予資質為公眾服務的地區性、行業性CA共30餘家,但其主要集中在企業領域發行數字證書,面向個人的數字證書由於身份確認困難及典型套用不足而推進緩慢。2012年全國人大通過《關於加強網路信息保護規定》,對加強網路信息保護,推行網路身份管理做了具體規定。這個上位法的出台,對於下一步我們整個網路信任體系建設,將起到一個極大的推動作用。
國家支持
“十二五”期間網路空間的身份管理,也就是eID這項工作得到科技部、國家發改委等有關部委的大力支持,參與這項研究的有全國20多個單位,設立了多個國家級信息安全專項,開展了一系列基於eID的虛擬身份管理前期準備工作,突破了面向全國億級用戶eID管理、認證服務、隱私保護等方面的一系列關鍵技術,在系統平台建設、標準規範制定、套用示範和推廣等方面取得重要進展,為我國全面開展網路空間虛擬身份管理工作奠定了堅實基礎。
公安部第三研究所投入建設的eID系統通過了國家密碼管理局的系統安全性審查及權威技術鑑定,並被公安部和國家密碼管理局正式命名為“公安部公民網路身份識別系統”。所有eID的簽發均由該系統提交全國人口庫進行嚴格的身份審核,確保eID的真實性、有效性,並且每個公民只能有1個與其真實身份唯一對應的eID。
在標準工作方面,中國通信標準化協會網路與信息安全工作委員會(TC8)成立了“網域空間身份管理子組”,專門進行eID相關標準的立項編制工作。截止2014年6月,已經組織了30餘項eID國家標準、通信行業標準以及公安行業標準申報立項以及徵求意見稿編制工作,包括基礎標準、管理標準、服務標準、套用標準四個層次的eID標準體系已初步形成。其中基礎標準規範了eID的體系架構及編碼格式等方面技術要求;管理標準規範了eID的全生命周期管理、載體及讀寫設備等方面技術要求,使得可以載入於符合標準安全機制要求的各類智慧卡或智慧型密碼鑰匙晶片中,例如:社保卡、市民卡、銀行卡、居住證、SIM卡或SE安全模組等;服務標準規範了eID的認證服務、桌面套用、移動套用接口及審計等方面技術要求;套用標準規範了電子政務、金融、下一代網際網路等套用環境中使用eID的技術要求。
eID是加強網路社會治理,實現網路空間中政府公共服務、民生事務服務、商業電子服務的重要基礎。
一是為政府公共服務方式的重大突破鋪墊基礎,提高公共服務能力和居民生活質量,使居民在家中或辦公地點通過網路方便的享受政府各類公共服務,並將催生諸多創新套用,從而有力推動的套用深化及信息產業發展。
二是為民生事務服務提供安全保障,可以通過網路方便的實現醫療、教育、社保等方面的民生服務。
三是完善網路誠信體系,滿足居民對於網上交易、虛擬財產安全及個人隱私保護的迫切需求,推進電子商務的全面發展。
四是建立起網路治理的長效機制和重要陣地,為全國人大“加強網路信息保護的決定”等法規的落實提供支撐手段。通過eID建立融合網路空間中各類虛擬實體和角色(個人、組織、硬體、網路、軟體和服務等)的網路身份管理基礎架構、方法、技術、標準、法規體系框架,將是形成我國網路信任與身份管理體系的關鍵。
eID保護公民隱私
目前國內的網路遠程身份驗證普遍使用“關聯比對”方法,即將用戶輸入的“姓名+身份證號”,甚至是手機號、住址等個人信息,傳到後台對個人信息的正確性進行比對來認定其身份。然而這種認證方式存在兩大嚴重問題:
一是個人信息比對正確並不能代表本人真實意願,無法防範個人身份被冒用或盜用;
二是採集個人信息的網路套用服務機構安全水平不一,個人信息面臨大規模泄漏風險,而這又是網路、電信詐欺以及信用卡偽卡犯罪的主要源頭。
eID採用了國產算法,通過高強度安全機制,可以確保密碼信息無法被讀取、複製、篡改或非法使用,從而確保eID和持有人一一對應。通俗地講,當用戶需要在網上自證身份時候,只憑姓名和eID,不需要其他個人隱私信息,就可以在實名的網站完成註冊,而真實的個人信息保存在公安資料庫中或是其託管的資料庫中,網站是看不到的。網站將eID提交給公安資料庫進行查詢,返回結果僅是狀態信息,即此人是否真實存在,以及eID是否有效,結果中並不帶有任何姓名、身份證號等個人隱私信息。這樣既達到了實名的真實性要求,又達到了保護個人隱私的目的。
eID的發放和使用
“網路身份證”並不是像“居民身份證”那樣的實體證件。它是一個晶片,可以搭載在任何一個銀行卡、社保卡等卡片裡,甚至可以製成手環戴在手上。當我們把搭載了“網路身份證”的銀行卡放在讀卡器或智慧型手機背面讀取時,不需要在網上提交自己的姓名、住址、電話、身份證號碼等個人信息。
目前,新發行的工商銀行金融IC借記卡同時還是一張eID卡,只要持卡人選擇開通該業務,即可獲得一個eID網路電子身份標識。為確保卡片和本人一致,這張可以標識個人網路電子身份的卡片只能由本人線上下申請辦理,線上上套用時,eID只是一串有證書保護的無意義的數字,而這串無意義數字所對應的個人信息,只掌握在“公安部公民網路身份識別系統”資料庫里。持卡人通過eID登錄網站或者APP的時候,是以密碼技術而不是直接以姓名、性別、身份證號碼等個人的具體信息為信任基礎。這樣,即便網站或者APP遭到攻擊,eID持卡人的身份信息不會被泄露。
目前eID的套用場景涉及移動支付、便民服務、智慧物流、電子政務(工商登記)等領域,包括360手機助手、航旅縱橫、工商全程電子化登記、金格信簽平台、中國兒童失蹤預警平台等。
蘇州工商全程電子化登記試點於2015年11月6日正式啟動,新設企業註冊只要登入蘇州市工商局“全程電子化登記”模組,按照提示進行註冊、登錄,然後錄入企業信息,插入eID銀行卡進行身份認證和電子簽名,再點擊提交就可以了。開創了以全國統一標準規範的電子營業執照、公民網路身份認證和電子簽名為支撐的全流程電子化的登記模式,即從網上申請、網上受理、網上審核,到網上發照整個登記流程實現無紙化,申請人與受理審核人員零見面的登記模式。
世界範圍內eID的發行和套用情況
2011年4月美國發布網路空間可信身份管理戰略,要建立覆蓋全國範圍的網路身份生態系統,使個人、組織等各類實體和角色,遵循統一的標準和流程,來相互鑑別和認證,實現相互信任。2014年開始,美國已經在賓夕法尼亞州和密西根州線上測試,美國此舉旨在推進對個人、組織以及相關基礎設施的識別能力,建立網路空間的信任體系,從而加強網路防禦並建立網路威懾,謀求對網路空間的主導權和控制權。
歐盟在其2020年歐盟戰略旗艦計畫中提出要建立一個覆蓋整個歐盟的身份管理體系,通過該體系的建設,來加強個人、組織以及各個實體之間的相互信任。通過設立在歐洲的基礎設施,將使成員國之間的互操作性為所有公共和私人服務提供者接受,建立強大的身份驗證、數據保護和隱私保護能力。歐盟27個成員國中,有18個已經發行了網路電子身份(eID)。其中比較典型的有比利時、德國、奧地利等。
比利時於2003年開始發行新式身份證,其中除了傳統的姓名、住址、照片等身份信息外,也承載了eID,可用於網路身份認證和電子簽名套用。至2011年12月,比利時eID的使用人數已超過900萬,覆蓋了全國80%以上的人口。
德國於2010年11月開始發行新式身份證,相比比利時,其一是身份證採用了射頻晶片,支持非接觸式操作;二是其所承載的eID考慮了公民隱私保護,個人在使用eID進行電子政務、電子商務等活動中,不會將非必要的身份或屬性信息暴露給服務提供方。
奧地利由於已經發行的身份證中沒有載入eID,換髮成本太高,採用了創新的技術路線。奧地利設定了一個經公共簽發機關批准的身份管理系統並制定了一系列eID卡技術標準,使得eID可以載入在符合eID卡標準的任何智慧卡上,如自動提款卡、社會安全卡、學生身份證、工作證等,代表了未來歐盟eID卡的發展趨勢。