隨著傳統(tǒng)金融機(jī)構(gòu)業(yè)務(wù)互聯(lián)網(wǎng)化和新型互聯(lián)網(wǎng)金融模式的快速發(fā)展，用戶在享受便捷服務(wù)的同時，由于互聯(lián)網(wǎng)空間中身份的虛擬性和不確定性，難以對其行為進(jìn)行監(jiān)督和規(guī)范，信息泄露、暗網(wǎng)交易、數(shù)據(jù)清洗等引發(fā)的欺詐風(fēng)險急劇增加，嚴(yán)重危害人民群眾的財產(chǎn)安全和合法權(quán)益?；ヂ?lián)網(wǎng)信任與身份管理體系是安全的基石，在各種實(shí)體間建立信任關(guān)系，實(shí)行統(tǒng)一的身份管理，是支付交易、資金結(jié)算、信息共享等各類互聯(lián)網(wǎng)業(yè)務(wù)的前提。

　　eID身份認(rèn)證技術(shù)能夠在保證個人隱私數(shù)據(jù)安全存儲的前提下，便捷有效的實(shí)現(xiàn)客戶身份驗(yàn)證，避免信息泄露。本文針對eID技術(shù)發(fā)展現(xiàn)狀及前沿探索情況進(jìn)行了梳理。

　　eID介紹

　　(一)eID基本概念

　　公民網(wǎng)絡(luò)電子身份標(biāo)識(electronic Identity,以下簡稱eID)是由公安部公民網(wǎng)絡(luò)身份標(biāo)識系統(tǒng)統(tǒng)一簽發(fā)，以密碼技術(shù)為基礎(chǔ)、智能芯片為載體，用于在互聯(lián)網(wǎng)上遠(yuǎn)程識別身份的、普適性的網(wǎng)絡(luò)電子身份標(biāo)識。

　　(二)eID主要功能

　　1.身份認(rèn)證

　　eID的核心功能是身份認(rèn)證，幫助線上應(yīng)用遠(yuǎn)程識別訪問者的身份。認(rèn)證方式有兩種：實(shí)名認(rèn)證和可追溯匿名認(rèn)證。

　　(1)實(shí)名認(rèn)證(人證合一)

　　當(dāng)線上應(yīng)用需要知道訪問者的真實(shí)身份時，可采用實(shí)名認(rèn)證服務(wù)。用戶在客戶端輸入自己的姓名和身份證號，并用自己的eID卡對身份信息進(jìn)行簽名，然后將身份信息和eID簽名提交至服務(wù)器。服務(wù)器調(diào)用實(shí)名認(rèn)證接口完成信息核驗(yàn)，確認(rèn)當(dāng)前訪問者的真實(shí)身份與其所生成的身份一致。

　　(2)可追溯匿名認(rèn)證

　　當(dāng)線上應(yīng)用不需要知道訪問者的真實(shí)身份，只需獲得一個唯一標(biāo)識時，可采用可追溯匿名服務(wù)。用戶只需在客戶端對隨機(jī)數(shù)進(jìn)行eID簽名，服務(wù)器調(diào)用匿名認(rèn)證接口，獲得用戶的匿名網(wǎng)絡(luò)身份，作為當(dāng)前用戶在本系統(tǒng)的標(biāo)識使用。

　　2.數(shù)字簽名

　　eID的載體中具有用戶私鑰，能對數(shù)據(jù)電文簽名，可作為交易保護(hù)的技術(shù)手段?；趀ID的簽名驗(yàn)簽技術(shù)可以有效驗(yàn)證線上行為是否出自本人意愿，具有對抗抵賴的優(yōu)勢。

　　3.身份標(biāo)記化

　　eID網(wǎng)絡(luò)身份標(biāo)識是依據(jù)國家標(biāo)準(zhǔn)(20120532-T-469《網(wǎng)絡(luò)電子身份格式規(guī)范》)針對公民身份做的統(tǒng)一編碼，實(shí)現(xiàn)公民身份的統(tǒng)一標(biāo)記化。eID網(wǎng)絡(luò)身份標(biāo)識編碼體系可以防止大數(shù)據(jù)環(huán)境下對用戶網(wǎng)絡(luò)身份的追蹤。

　　(三)eID的技術(shù)實(shí)現(xiàn)

　　1.密碼技術(shù)(PKI體系)

　　公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，以下簡稱PKI)是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。利用公共密鑰算法，建立證書發(fā)放、管理和使用的體系，支持和完成網(wǎng)絡(luò)系統(tǒng)中的身份認(rèn)證、信息加密、保證數(shù)據(jù)完整性和抗抵賴性。公共密鑰算法原理是使用一個公共密鑰和一個私有密鑰，由一個密鑰進(jìn)行加密的信息內(nèi)容，只能由與之配對的另一個密鑰才能進(jìn)行解密。公鑰可以廣泛地發(fā)給與自己有關(guān)的通信者，私鑰則需要十分安全地存放起來。eID通過采用PKI體系數(shù)字證書技術(shù)，保障信息在存儲、傳輸和交換過程中的安全。用戶使用eID向應(yīng)用方自證身份時，應(yīng)用方會向“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”發(fā)出請求，以核實(shí)用戶網(wǎng)絡(luò)身份的真實(shí)性和有效性。用戶身份通過驗(yàn)證，應(yīng)用方會得到用戶在當(dāng)前應(yīng)用上的“網(wǎng)絡(luò)身份應(yīng)用標(biāo)識編碼”用于標(biāo)識用戶。由于用戶在不同的線上應(yīng)用的網(wǎng)絡(luò)身份應(yīng)用標(biāo)識編碼不同，可避免用戶線上應(yīng)用中的行為數(shù)據(jù)被匯聚、分析和追蹤。

　　2.標(biāo)識編碼技術(shù)(eIDCode/AppeIDCode)

　　網(wǎng)絡(luò)身份標(biāo)識編碼體系可以落實(shí)“前臺匿名，后臺實(shí)名”的網(wǎng)絡(luò)身份安全管理要求，避免用戶在不同網(wǎng)絡(luò)應(yīng)用中的行為數(shù)據(jù)被匯聚、分析和追蹤，保護(hù)個人身份和隱私信息。

　　我國eID發(fā)展歷程

　　(一)我國eID項目確立

　　十二五期間公安部第三研究所牽頭國家863信息安全重大專項—eID網(wǎng)域空間身份管理。目前該項目已完成原型系統(tǒng)的研制和技術(shù)驗(yàn)證，建成“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”。國家發(fā)展改革委專門設(shè)立“網(wǎng)絡(luò)真實(shí)身份管理系統(tǒng)”、“下一代互聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)身份驗(yàn)證應(yīng)用示范”、“面向下一代互聯(lián)網(wǎng)的eID市民卡”等多個信息安全專項，由公安部第三研究所承擔(dān)建設(shè)與產(chǎn)業(yè)化任務(wù)。

　　(二)eID標(biāo)準(zhǔn)體系建立

　　全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《網(wǎng)絡(luò)電子身份格式規(guī)范》等4項eID相關(guān)國標(biāo)。2013年公安部標(biāo)委會發(fā)布了《網(wǎng)絡(luò)電子身份標(biāo)識eID載體安全技術(shù)要求》等7項eID管理類的公安行業(yè)標(biāo)準(zhǔn)。2016年中國通信標(biāo)準(zhǔn)化協(xié)會發(fā)布了《網(wǎng)絡(luò)電子身份標(biāo)識eID術(shù)語規(guī)范》、《網(wǎng)絡(luò)電子身份標(biāo)識eID體系架構(gòu)》等eID相關(guān)標(biāo)準(zhǔn)20余項，初步形成eID標(biāo)準(zhǔn)體系框架，有助于規(guī)范技術(shù)路線，推動產(chǎn)業(yè)的延伸和擴(kuò)展。

　　(三)eID應(yīng)用體系說明

　　eID登記發(fā)行及服務(wù)流程涉及下圖所示的機(jī)構(gòu)或系統(tǒng)。

　　1.eID登記發(fā)行階段

　　此階段涉及“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”、eID登記發(fā)行機(jī)構(gòu)和自然人用戶。eID登記發(fā)行機(jī)構(gòu)為與公安部第三研究所合作的銀行。用戶在eID登記發(fā)行機(jī)構(gòu)申領(lǐng)eID載體并開通時，公安部第三研究所對用戶個人信息處理措施如下：

　　(1)為確定用戶身份，用戶申領(lǐng)eID載體及開通時，需提供個人信息，包括姓名、身份證號等。

　　(2)簽發(fā)eID時，有可能需要通過人臉識別技術(shù)來確定用戶的身份，因此用戶需提供用戶的臉部照片。

　　(3)為了關(guān)聯(lián)用戶的eID與eID載體，用戶需提供載體的硬件識別標(biāo)識。

　　(4)在eID登記發(fā)行階段獲取的個人身份信息，遵循前臺匿名后臺實(shí)名原則進(jìn)行保護(hù)。前臺匿名是指在身份驗(yàn)證過程中通過eID標(biāo)識完成，eID標(biāo)識不能逆推出個人身份信息。后臺實(shí)名是指個人信息存儲于與互聯(lián)網(wǎng)物理隔絕的后臺內(nèi)網(wǎng)系統(tǒng)中。

　　2.eID服務(wù)階段

　　此階段涉及“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”、eID網(wǎng)絡(luò)身份運(yùn)營和服務(wù)機(jī)構(gòu)、線上應(yīng)用機(jī)構(gòu)和自然人用戶。用戶在線上應(yīng)用機(jī)構(gòu)使用服務(wù)時，根據(jù)線上應(yīng)用機(jī)構(gòu)的需求和設(shè)置，用戶需要通過eID來證明自己的身份或意愿。在此階段，用戶的個人信息使用情況如下：

　　(1)實(shí)名身份認(rèn)證服務(wù)

　　使用服務(wù)需要用戶輸入姓名、身份號碼信息，然后對提交的身份信息進(jìn)行簽名確認(rèn)。線上應(yīng)用機(jī)構(gòu)會提供用戶的姓名、身份號碼信息、eID載體以及證書信息，后臺服務(wù)將eID載體和證書信息轉(zhuǎn)化為對應(yīng)的eID標(biāo)識并通過密碼算法驗(yàn)證與姓名、身份號碼信息的一致性，然后提供用戶的身份認(rèn)證結(jié)果。

　　(2)匿名身份認(rèn)證服務(wù)

　　在此服務(wù)中，用戶無須提供個人的身份信息。對于已合法持有用戶身份信息的線上應(yīng)用機(jī)構(gòu)，按照約定方式對應(yīng)用端身份信息進(jìn)行特定標(biāo)記轉(zhuǎn)換，應(yīng)用機(jī)構(gòu)可以在用戶不輸入身份信息的前提下，通過驗(yàn)證簽名結(jié)果獲得用戶身份的特定標(biāo)記，完成eID身份與應(yīng)用端身份信息的一致性驗(yàn)證。

　　(3)簽名驗(yàn)簽服務(wù)

　　用戶可通過簽名，實(shí)現(xiàn)本人對所簽名內(nèi)容的認(rèn)可?？捎糜陔娮诱?wù)，電子商務(wù)中電子合同簽約、賬戶登錄、快捷支付、密碼找回等場景。在此服務(wù)中，用戶無須提供個人的身份信息。

　　(四)eID載體說明

　　在國內(nèi)，eID目前主要有通用eID與SIMeID兩種，其中通用eID加載于銀行金融IC卡、社?？āSBkey等。SIMeID主要加載于支持SIM卡功能的載體，常見的有SIM卡和SIM貼膜卡兩種。

　　(五)不同載體的優(yōu)劣性

　　eID是基于PKI的身份認(rèn)證，但不同形式eID的區(qū)別如下表所示：

　　Mobile-ID在我國稱為SIMeID，其優(yōu)勢在于方便快捷，不需要額外的讀卡器和安裝軟件即可使用。SIM卡芯片內(nèi)部擁有獨(dú)立的處理器、安全存儲單元和密碼運(yùn)算處理器，只能運(yùn)行專用安全芯片操作系統(tǒng)，其內(nèi)建芯片安全機(jī)制可以抵抗物理和邏輯攻擊，確保芯片內(nèi)部數(shù)據(jù)無法被非法讀取、篡改或使用。

　　SIMeID推廣應(yīng)用情況簡介

　　國內(nèi)部分銀行已逐步開展SIMeID試點(diǎn)工作，著手搭建具備eID功能的應(yīng)用，將實(shí)現(xiàn)用戶在遠(yuǎn)程開戶、轉(zhuǎn)賬匯款等環(huán)節(jié)使用SIMeID身份認(rèn)證和電子簽名功能。

　　在非金融行業(yè)，SIMeID應(yīng)用正在研究推進(jìn)中，例如深圳市中信網(wǎng)安認(rèn)證有限公司與公安部第三研究所聯(lián)合開發(fā)搭建“互聯(lián)網(wǎng)電子身份認(rèn)證平臺”。