导读:公安部第一研究所在中央网信办的指导下,在国家发展改革委的支持下,在公安部的直接领导下,全力落实我国网络可信身份战略,以CTID平台为先导建设国家网络身份认证基础设施工程,有效解决个人信息过度采集留存问题.通过国家网络身份认证基础设施,优先向政务和强制实名制领域提供网络身份认证服务。本文略长,请读者朋友们耐心阅读,谢谢。
杨林,国伟,章锋,郝久月(公安部第一研究所)
当前,世界主要国家高度重视可信数字身份对数字经济发展和网络空间治理的重要支撑作用,纷纷出台战略规划,建立技术体系,完善法律法规,大力推动数字身份体系建设应用.近年来,我国也大力倡导和发展数字经济,数字化服务已深入人民群众生产生活各个方面.在给人民群众带来便利的同时,也产生了一些不容忽视的问题,如传统的基于实体证件的身份认证方式已难以适应网络化、数字化活动需求;个人身份信息滥采、滥用以及泄露问题依然突出,网络诈骗、侵犯公民个人隐私信息等违法案事件时有发生,严重扰乱了社会公共秩序,威胁着人民群众生命财产安全.因此,加快建立符合我国国情的网络可信身份服务管理体系.
1国内外网络可信身份体系发展态势
1.1国外网络可信身份体系发展趋势
纵观全球,主要国家和地区高度重视可信数字身份对数字经济发展和网络空间安全的重要支撑作用,纷纷出台战略规划,完善法律法规,开展试点应用,大力推进数字身份体系建设,经多年发展取得了很多成绩和经验,值得我国借鉴.
欧盟在数字身份的发展进程中不断发布各类法律法规,引导成员国在数字身份领域的发展,通过发放eID实体卡支持成员国间数字身份互认互通,实现线上线下一体化的网络身份管理.2022年初欧盟最新发布了《数字身份:利用自主身份概念建立信任》和《欧洲数字身份体系架构和参考框架》(eIDAS2.0),提出采用传统的eID和自主主权身份SSI混合发展的技术路线.目前欧盟基于eIDAS条例的电子身份识别和信任服务体系基本建成,并大力推广基于区块链技术的自主主权身份研究和应用.
美国于2011年发布《网络空间可信身份国家战略》,并于2017年由美国国家标准与技术研究所(NIST)发布了《数字身份指南》(SP800)系列标准.相较于欧盟,美国不强调技术体系的统一,更加重视网络可信身份的互操作性,追求商业机构的深度参与的、多系统松耦合架构的融合共存.
1.2我国网络可信身份体系发展现状
我国网络可信身份建设应与我国国情相适应,充分考虑我国人口管理现状和人口基数,以及数字中国、数字经济、社会治理的发展新需求,提出具有中国特色的网络可信身份发展路径:
一是我国数字身份体系建设要充分吸收国际经验,但更要适应中国国情,利用好我国在法定基础身份证件和国际标准的机读旅行证件管理过程中形成的数据、运行机制、应用体系和管理体制等;
二是在实现公民隐私保护和数据安全同时,满足“前台匿名、后台实名”的网络身份管理要求;
四是落实以人民为中心的理念,满足便捷操作,保证应用安全;
五是建设国家权威网络身份认证公共服务基础设施,积极推动数字身份生态建立和产业发展.
2013年以来,为深入贯彻落实习近平总书记网络强国重要思想,公安部第一研究所在中央网信办的指导下,开展我国网络可信身份战略研究,组织院士、专家、学者广泛调研、充分论证,形成了“以居民身份证为根、以密码技术为手段、以不改变群众习惯为要求、以安全便捷为目标、以匿名服务为解决方案”的中国特色网络身份认证策略,并设计了以“身份证网上凭证”为核心的技术实施方案,将“身份证网上凭证”打造为网上“认证的凭据、执法的证据、追溯的依据”.
公安部第一研究所在网络可信身份领域经历了理论研究、试点示范、科研创新、产业化推广、多元化拓展5个里程碑阶段(如图1所示),先后完成中央网信办2个课题任务以及“十三五”国家重点专项研究,并于2016年实现成果转化,建设完成国家互联网+可信身份认证平台(CTID平台).截至目前,CTID平台已为全国一体化政务服务平台及50余个行业、350多家机构提供身份认证服务超过200亿次.
图1我国网络可信身份体系发展历程
2我国网络可信身份体系理论及实践探索
2.1我国网络可信身份管理体系模型
网络可信身份管理涉及网络空间多个参与方,可进一步划分为网络身份监管机构、评估机构、基础身份管理机构、身份提供机构、服务提供机构和用户(服务使用方)6个角色,构筑起网络可信身份管理体系的六方模型(如图2所示).
图2网络可信身份管理体系模型
1)网络身份监管机构.具有法定权利或由主管部门授予监管职责的监管机构,对网络提供机构和网络服务机构的服务能力和安全运营能力进行监管,包括产品检测、风险检测、责任认定、网络执法等监管职责.
2)评估机构.网络身份监管机构认可的第三方独立测评机构,受网络身份监管机构的委托,对网络身份提供机构和网络服务机构的服务能力和安全运营能力进行评测,并出具客观、公平的测评结果,供监管机构决策使用.
3)基础身份管理机构.汇集包括权威国家级基础身份信息库,为身份提供机构提供基础身份信息的校验、属性信息的核验等服务;为多个身份提供机构提供互认服务.
4)身份提供机构.专业提供网络身份签发服务、网络身份鉴别服务等活动的服务提供商,向网络身份监管机构申请合格资质,通过评估机构测评成为合格的网络身份服务商后,可以为个人网络用户、网络业务应用提供网络可信身份服务,为业务应用等依赖方提供网络身份鉴别服务等.
5)服务提供机构.提供包括身份认证、属性验证、行为取证和信用服务等各类身份服务的提供者,依托身份服务机构和基础身份管理机构校验用户身份,为用户提供各项身份服务.
6)用户方.涉及电子商务、电子政务、社交生活、互联网金融等互联网服务提供方,这些主体依托身份服务提供机构提供的身份服务校验使用互联网应用的用户身份.
六方模型实现身份提供和业务服务统一监管、身份管理服务和业务服务分离的思路,可有效解决传统的三方模型(用户、身份提供机构、服务提供机构)或五方模型(用户、身份登记机构、证书服务机构、验证服务提供机构、身份依赖方)所面临的身份隐私信息易被过度采集、滥用、误用和盗用,身份信息易被复制和伪造,认证结果不可信,不同网络身份系统间互认互操作性困难等种种问题:
1)通过引入网络身份监管机构,对网络身份提供机构和服务提供机构进行有效监管,对身份提供机构能力进行评估,为《个人信息保护法》的落地实施提供监管机制.
2)通过引入基础身份管理机构,解决了身份信息信任基础问题及缺乏统一身份信息信任基础、网络身份溯源难等问题.
基于以上6个参与角色,网络可信身份管理体系的六方模型以用户为导向、以网络身份监管机构为指引、以基础身份管理机构为基础、以评估机构为支持、以身份服务提供机构和服务机构为核心,协同运转、相互联系,共同构建起中国特色的网络可信身份管理体系生态圈.
2.2我国网络可信身份体系建设思路
我国网络可信身份认证服务体系(如图3所示)按“1个平台、2种服务、1个APP入口,满足3大需求”的思路开展建设.
图3我国网络可信身份认证服务体系
“1个平台”即CTID平台致力于为政务、金融、互联网及社会生产生活各行业提供网络身份认证公共服务;将切实保护个人隐私身份信息,减少个人信息过度收集和不规范留存.
“2种服务”即以CTID平台为依托,形成一体化技术解决方案,同时提供网络可信身份认证服务和居民身份证电子证照服务,满足身份认证、留档存证和保护个人隐私“3大需求”.网络可信身份认证服务是面向个人提供匿名化的网络身份认证服务,可在不暴露公民身份信息的前提下证明真实身份,支持线上线下一体化应用.居民身份证电子证照服务是依托于居民身份证实体证件对应的数据文件,通过数字签名技术保证安全性,替代居民身份证复印件或影印件,在政务领域留档存证.群众在手机中安装一个APP,扫码即可办事,既便捷又安全,适应了群众在信息化、网络化、数字化条件下线上线下身份认证的需求.
2.3我国网络可信身份管理应用实践
CTID平台是支撑国家互联网+行动计划,在中央网信办、国家发展改革委和科技部的支持指导下,公安部领导组织建设的互联网+重大工程基础保障类项目.
在防疫支持方面,自疫情侵袭以来CTID平台持续支撑“国家防疫健康信息码服务系统”,依托CTID平台生成的个人身份标识,与个人健康数据进行关联和绑定,生成具备身份和业务双重属性的安全二维码,实现了“人码合一、身份共识、一码通行”.
在地方公共服务方面,CTID为无锡市提供了权威的身份认证服务能力,支持无锡市在电子政务、社会治理、社会服务、民生应用等各方面提供“跨域信任、跨域互通”的可信数字身份认证服务,为无锡市民签发全域多维通用的无锡数字身份.
图4CTID平台典型业务应用
3我国网络可信身份技术发展分析
3.1加强关键技术研究,服务数字社会创新应用
一是围绕身份识别精准化、一体化的迫切需求:研究人脸、指纹、声纹的采集技术,建立采集规范,形成人脸、指纹和声纹多生物特征的认证基础库和测试库;研究活体防伪检测技术,建立活体攻防测试库,建立基于视频的活体检测平台;结合自主研究的多生物特征融合技术,搭建多模生物特征认证系统.
二是以国家权威网络可信身份为基础,建立一套支持用户自主控制、具有用户自主主权的数字身份分布式认证技术体系框架.解决各域身份认证信任基础缺失、身份互认困难、多层级数字身份难以溯源等问题,为数字身份分布式认证总体架构及规范要求的提供标准支撑,有效减少在公共互联网上收集、存储个人信息等行为.
3.2加强生态建设规划,推动数字身份产业优化升级
配合完善网络可信身份管理及应用的政策法律法规及标准体系,构建以国家标准为主、行业标准为辅,覆盖基础标准、技术标准、管理标准、应用标准的网络可信身份管理和认证服务标准体系,规范促进数字身份产业发展.
3.3加强网络身份监管,提升行业安全服务能力
4我国网络可信身份体系未来展望
现阶段,公安部第一研究所正在中央网信办的指导下,在国家发展改革委的支持下,在公安部的直接领导下,全力落实我国网络可信身份战略,以CTID平台为先导建设国家网络身份认证基础设施工程,有效解决个人信息过度采集留存问题.通过国家网络身份认证基础设施,优先向政务和强制实名制领域提供网络身份认证服务,为支撑我国社会治理体系和治理能力现代化建设、建设数字中国、实现“中国之治”贡献力量.
作者简介
杨林,公安部第一研究所副研究员,北京中盾安信科技发展有限公司执行董事兼法人,中关村安信网络身份认证产业联盟秘书长.主要研究方向为数字身份、区块链和信息安全.
国伟,公安部第一研究所工程师,北京中盾安信科技发展有限公司总经理助理.主要研究方向为数字身份.
章锋,博士,北京中盾安信科技发展有限公司技术专家.主要研究方向为数字身份和区块链.
郝久月,博士,公安部第一研究所副研究员,北京中盾安信科技发展有限公司副总经理.主要研究方向为数字身份、大数据和区块链.
(本文刊载在《信息安全研究》2022年第8卷第12期,为便于阅读做了适当精简)