假期和家人外出游玩,在景区停车场观察到一个数据安全问题:车主们习惯在车上留下挪车电话,以免影响其他车主,但此时手机号码隐私安全存在比较大的隐患。其实也有其他方法可以选择,比如换为留一张加密手机号码的二维码,让对方扫码拨打加密手机号码挪车,即可解决泄露手机号码隐私这个问题。
通过此现象联想到类似问题——实名认证,这个词相信大家都不陌生了,很多常用的移动应用都会要求用户进行实名认证。
实名认证一词最早来源于威客网,指在注册网络 ID 时需要对用户的身份信息真实性进行核查。实名认证的形式运用在线下场景较早,例如机票购买、酒店住宿、银行开户等等都需要身份信息登记备案。后来随着网络信息技术的推广运用,实名认证的说法开始出现,通过线上使用的频率扩散开来,主要用于网络交流、网站注册等的保证。
实名认证的做法一开始就是以保障三方面权益为目的,一方是顾客,二方是商家,三方是中介。希望通过一张身份证来保护各方安全,实名认证的出发点很好,但是又和个人隐私安全存在些矛盾,相关保护措施若是缺失或者存在漏洞,将会危及到个人隐私安全。关于用户隐私数据信息泄露的案例国内外也有很多,这不是个小问题。针对这个问题,一个比较好的解决方案是 eID 认证。
eID 的定义
国际上对 eID 的定义是:“由政府颁发给公民的用于线上和线下识别身份的证件”。在我国,有别于用于线下身份识别的第二代身份证,eID 是用于线上身份识别。
像欧盟的多个国家已经颁发了 eID 来替代传统的身份证件,使 eID 既具备了线下身份识别的功能,又具备了网络远程身份识别的功能。目前,已经发行 eID 的国家和地区有德国、法国、西班牙、意大利、俄罗斯、比利时、爱沙尼亚、奥地利、丹麦、芬兰、葡萄牙、斯洛文尼亚、立陶宛、马耳他、卢森堡、荷兰、瑞典、冰岛、阿联酋以及我国香港特别行政区等。其中,eID 在德国、西班牙、意大利、比利时、爱沙尼亚和奥地利已经普及,广泛用于电子政务、电子商务、社交网络等各个领域。
在我国,eID 是以密码技术为基础、以智能安全芯片为载体,由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识,能够在不泄露身份信息的前提下在线远程识别身份。根据载体类型的不同,eID 目前主要有通用 eID 与 SIMeID 两种,其中通用 eID 常加载于银行金融 IC 卡、USBkey、手机安全芯片等;SIMeID 主要加载于支持 SIM/USIM 功能的载体,常见的有 SIM 卡、USIM 卡、SIM 贴膜卡、eSIM 芯片等。使用 eID 相关产品和服务时,请认准 eID 标识。
eID 产生的背景
目前国内的网络远程身份验证普遍使用“关联比对”方法,即将用户输入的“姓名 + 公民身份号码”等个人信息传到后台,通过对个人信息的正确性进行比对来认定其身份。
“关联比对”方法在大规模应用的场景下主要存在几个问题:
个人信息比对正确并不能代表本人真实意愿,无法防范个人身份被冒用或盗用的风险;
容易造成个人信息泄露。采集个人信息的网络应用服务机构安全水平不一,个人信息大规模泄露的风险越来越高。
面对以上问题,eID 在权威性、安全性、普适性、隐私性方面具有其他技术不可比拟的优势,可满足公民在个人隐私、网络交易及虚拟财产等多方面的安全保障需求:
权威性:eID 基于面对面的身份核验,由“公安部公民网络身份识别系统”统一签发,可进行跨地域、跨行业的网络身份服务;
安全性:eID 含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用;
普适性:eID 不受载体物理形态的限制,只要载体中的安全智能芯片符合 eID 载体相关标准即可;
隐私性:eID 的唯一性标识采用国家商用密码算法生成,不含任何个人身份信息,有效保护了公民身份信息。
eID 实施框架
eID 的实施框架图中的“五位一体”分为下面五个角色:
eID 签发中心:eID 签发中心是由公安部第三研究所承建的“公安部公民网络身份识别系统”,承担 eID 签发和管理职能。
eID 登记发行机构:承担 eID 载体的登记和发行职能,可提供加载 eID 的载体、有着广泛的发行渠道和严格的身份审核及面签程序的机构均可申请成为 eID 的登记发行机构。目前发行机构如:中国工商银行、中国建设银行和北京农商银行等。
eID 网络身份运营机构(IDSO):eID 网络身份运营机构(“IDSO”,即 Identity Service Operator,简称为“eID 运营机构”),连接 eID 签发机构与 eID 网络身份服务机构,承担 eID 网络身份识别基础服务,并与 eID 网络身份服务机构合作向线上应用机构提供 eID 网络身份公共增值服务和相关安全增值服务。目前只有两家运营机构:金联汇通和辰通信息。
eID 网络身份服务机构(IDSP):eID 网络身份服务机构(“IDSP”,即 Identity Service Provider,简称为“eID 服务机构”),连接 eID 网络身份运营机构与线上应用机构,向线上应用机构提供 eID 网络身份增值服务。
机构和应用申请接入流程可参考:http://eid.cn/cooperation/jie…
eID 相关流程
“公安部公民网络身份识别系统”向用户签发 eID 时,会以用户个人身份信息和随机数计算出一个唯一代表用户身份的编码,即用户的网络身份标识编码(eIDcode)。该编码不含任何个人身份信息,且不可逆推出个人身份信息。
用户使用 eID 通过网络向应用方自证身份时,应用方会通过连接“公安部公民网络身份识别系统”的运营和服务机构,请求验证核实用户网络身份的真实性和有效性。一旦用户网络身份通过验证,应用方会得到一个与该应用相对应的用户网络身份应用标识编码(appeIDcode)。
因此,虽然用户拥有唯一的网络身份标识编码(eIDcode),但在不同的应用机构只能得到不同的网络身份应用标识编码(appeIDcode),从而避免用户在不同网络应用中的行为数据被汇聚、分析和追踪,最大程度的保护个人身份和隐私信息。
eID≠“网络实名制”
eID 是保护个人身份信息的网络电子身份标识,当网络应用要求用户实名注册时,用户可以通过 eID 自证合法身份,目前在试点阶段,并不强制使用。
在线下,根据《居民身份证法》用户可以持本人身份证自证身份;但在线上,以身份证或公民身份号码等身份信息自证身份不能确保身份的可靠性(例如被别人冒用身份),且面临身份信息泄露的风险,而 eID 可以解决这个难题。
(如果大家有关于 eID 的问题,欢迎留言一起讨论!)
延展问题
Q1 中国目前有什么手机可以载入这种 eID?
A1: eID 在手机内置硬件设备上进行试点的要求是:手机芯片内必须要内置独立的 SE 安全芯片。
在 2017 年华为推出的麒麟 970 处理器上集成了 SE 安全芯片,该芯片独立于手机运算。到目前为止,高通的处理器中只有骁龙 845 处理器手机内置了 SE 芯片,国内手机厂商使用此芯片的不多。另外,从安全层面考虑,目前的试点还是会基于国产芯片进行。
基于上面两个原因,华为目前是第一个 eID 手机硬件试点厂商。
详细信息可参考:http://eid.cn/eidfiles/html/n…
Q2 看起来 SIMeID 方便吧?为什么还没开始推广?
A2: eID 目前还处于试点阶段,不是强制阶段。2018 年 6 月 eID 与中移动集团 SIMeID 合作,启动了 SIMeID 合作项目,目前还在试点阶段,在深圳和江西等地已经开始有试点。
当然,SIMeID 方案一是解决了加载 eID 的金融 IC 卡使用过程中需要读卡设备或 NFC 手机的问题,二是支持用户可以在不更换原有 SIM 卡的情况下使用 SIMeID,使用更加简单方便。更重要的是,SIM 贴膜卡芯片使用国产安全芯片和国密算法,真正做到保障用户信息安全。后续推广 SIMeID 会更快速些。
详细信息可参考:http://eid.cn/eidfiles/html/n…
参考资料
http://eid.cn/index.html
https://en.wikipedia.org/wiki…
作者:TalkingData 韩广利
封面图来源于网络,如有侵权,请联系删除