本文发表于2020年第3期的《警察技术专刊》
摘要:“互联网+可信身份认证平台”(简称CTID平台)是为贯彻落实习近平总书记关于开展我国网络可信身份战略研究的指示要求,在中央网信办的指导下、由国家发改委立项、公安部组织建设的国家互联网+重大工程保障支撑项目,2016年以来,CTID平台在基础理论研究、核心技术研发、基础设施建设、试点示范应用、安全运维保障、行业标准制定、产业推广应用等方面都取得了显著成效,为国家深化“互联网+”行动计划、全面实施“放管服”改革和网络可信战略的实施提供了强有力的保障支撑。经过多年建设与推广应用,CTID平台已成为基础身份数据权威完整、网络服务能力稳定快速、行业应用实践广泛深入、认证分级和模式丰富齐全、个人隐私信息保护安全合规的国家互联网基础设施平台。
关键词:CTID平台建设与应用网络可信身份战略网证先导工程基础设施产业联盟
引言
随着“互联网+”时代的全面到来,网络数字经济的快速发展,线上线下身份管理一体化的需求越来越强劲,种种因网络身份不实、信用管理缺失、电信网络诈骗带来的问题已严重影响人民群众的日常生活,影响我国“互联网+”行动战略的推进,并对国家安全和社会稳定造成了巨大的威胁。2013年以来,为改善网络身份管理比较薄弱的局面,公安部第一研究所在公安部的直接领导下,在中央网信办、国家发改委、科技部等部委的大力支持下,积极开展居民身份证网上应用研究,助力线上线下身份管理一体化,建立了“权威、统一、安全、便捷”的中国特色网络可信身份认证体系,并于2016年申报获批承建国家发改委“互联网+”重大工程保障支撑类项目——“互联网+可信身份认证平台”(以下简称CTID平台)。目前该项目已完成全部建设目标,进入公安部和国家发改委全面验收阶段。公安部第一研究所在网络可信身份认证基础理论研究、核心技术研发、标准体系制定、基础设施建设、试点示范应用等方面都积累了较为丰富的经验,在政务、金融、电信、互联网应用等领域发挥了积极作用。本文将重点介绍“互联网+可信身份认证平台”的建设和应用情况。
一、平台建设目标
CTID平台的建设目标是为国务院全面实施“放管服”改革、深化“互联网+”行动计划、推进网络实名制战略、便捷企业和群众网上办事、实现线上线下身份管理一体化提供基础支撑,也为公安机关防范打击网络违法犯罪和切实维护国家网络安全、助力公安大数据战略、建设智慧公安提供支撑保障。
平台基于居民身份证的技术、安全和管理体系,利用国密算法对法定身份证件信息进行不可逆的脱敏处理,形成与法定身份证件唯一映射的网上功能凭证(简称网证),建立全国统一的网络可信身份认证平台,实现多模式、大规模、高并发在线安全认证,从源头上解决网上身份认证隐私保护和数据安全问题。
CTID平台采用“多地多中心”的总体架构设计。各中心通过集成网络、计算、存储、安全等设备,搭建了彼此独立的私有云平台,并按业务功能分为数据处理中心、主认证服务中心、从认证服务中心等,如图1所示。
图1平台总体架构
1.数据处理中心
主要建设工作是将公安网内法定证件信息及身份信息进行接入、汇聚、整合、脱敏等处理,形成国家法定身份信息库,提供真实身份核验、虚实身份关联、行为日志分析及数据共享能服务。
2.认证服务中心
主要建设工作是通过集成部署网络、计算存储、安全、通用软件等软硬件设备,搭建应用软件运行的基础环境,完成真实身份核验平台、网络身份签发平台和网络身份认证平台的应用部署,实现针对互联网的身份认证、核验及签发的服务能力。
3.运营支撑中心和安全运维中心
建立岗位职责分工明确、团队人员配备合理的运维团队,制定专业化和标准化的运维制度与流程,构建自动化、智能化运维管理平台,保障国家基础设施连续、稳定运行。同时,通过运营队伍的建设积极跟进新技术的研发和进展,尤其在核心技术领域能够适应未来全地域、全行业身份认证服务的快速增长需求。
二、平台业务能力
CTID平台对外提供真实身份核验、网证开通和管理、网证认证等三大功能,基于实体身份证、网证、居民身份信息、人像等多种认证因子,形成了从最简单的身份信息比对,到需要实体证件参与的多因子认证等多种身份认证模式。平台构建的多因子、多层次、多安全等级的网络可信身份认证体系,可满足不同行业、不同应用场景、不同安全等级要求的身份认证需要。
(一)真实身份核验
基于法定身份证件信息,CTID平台通过真实身份核验接口给第三方网络业务系统提供网上用户真实身份信息比对与核验等服务。同时,根据应用方的业务需求生成居民的身份标识,即平台签发给业务应用方标识居民个人身份的编码。
业务流程如图2所示。第三方APP客户端通过真实身份采集SDK,将采集的身份信息和人像加密发送至其服务端,由其服务端向CTID平台提交核验请求,经CTID平台进行真实身份核验后,把核验结果返回给服务端,在身份核验正确的情况下,则按需返回身份标识。
图2真实身份信息核验流程
(二)网证开通和管理
CTID平台通过CTIDAPP提供网证开通和管理服务。网证开通是基于居民身份证和出入境证件信息,采用国密算法,进行脱敏、去标识化处理,统一生成不可逆、不含明文信息,用于在网络空间中证明居民个人身份的电子文件(即网证),与居民身份证件具有一一对应关系。网证管理提供居民进行网证生命周期管理,可对网证进行注销、冻结、解冻、网证口令修改和重置、更新关联手机号码等操作。
网证开通业务流程如图3所示。用户出示居民身份证件,CTIDAPP采集居民身份证件、人脸图像、手机号码和网证口令等信息,加密后提交给CTID平台,CTID平台进行真实身份核验后生成网证,并下发到CTID客户端。
图3网证开通流程
(三)网证认证
基于网证开通时生成的网证库,CTID平台通过网证认证接口给第三方网络应用系统提供用户身份真实性、有效性和正确性的确认。用网证进行身份认证,用户不用出示明文信息,可极大地保护个人隐私信息。通过网证与其他认证因子的组合,CTID平台提供多模式的认证方式,以适应网络业务应用不同的使用场景和安全等级的要求。认证业务等级分为三级,见表1。
表1居民身份网络认证分级表
注:“▲”代表选择因子;“—”代表不选择因子
网证认证业务流程如图4所示。第三方APP客户端通过网证认证SDK调取用户存储在客户端的网证,采集人像或身份证件信息,将网证、人像等信息加密后发送至其服务端,向CTID平台提交身份认证请求,经CTID平台进行身份认证成功后,返回认证结果和网络身份标识。
图4网证认证业务流程
三、平台应用情况
为积极发挥公安科技领军作用,公安部第一研究所联合国内100多家行业龙头单位发起成立了“中关村安信网络身份认证产业联盟”,紧紧围绕“互联网+”政务服务、益民服务等重点领域,扎实推进广东、浙江、厦门等20多个省市试点应用工作。同时,公安部第一研究所还积极参与国家可信区块链推进计划,牵头数字身份项目组大力推进区块链技术在可信数字身份中的应用。
自平台对外提供服务以来,已累计对接政务、金融、电信、互联网应用行业用户超过260多家,提供网上身份认证服务超过21亿次,日均认证量超1500万次。
(一)全国一体化政务服务平台
2018年12月,在国务院办公厅和公安部的统一部署下,“互联网+可信身份认证平台”正式成为全国一体化政务服务平台统一身份认证系统的自然人实名认证支撑平台,为国家政务服务平台、中国政府网、“浙里办”、“粤省事”等40多个国家级和省(区、市)政务平台提供实名、实人认证服务。截止2020年3月,CTID平台向全国一体化政务服务平台累计服务4.49亿次。
2020年,自新冠肺炎疫情防控工作开展以来,CTID为全国一体化政务服务平台国家健康防疫信息码提供了全面技术支撑,在真实身份核验、健康码互通互认、防疫信息精准共享等方面发挥了重要作用,得到国家有关部门和社会各界的广泛认可。
(二)互联网+公安政务服务
针对公安政务服务领域对网上身份认证的共性需求,CTID为公安部“互联网+政务服务”平台、国家移民局政务服务平台、12123APP等各级公安政务服务平台提供权威、统一的身份认证支撑服务超过3.8亿次,助力公安部门在网上信访、治安管理、户政管理、网络安全保卫、交通管理、出入境管理等各领域为百姓提供更智能、更便捷、更省心的服务,打造“一网通办、便民惠警”的公安在线政务服务新型态,让广大人民群众有更多、更直接、更实在的获得感。
(三)金融科技创新
目前,工商银行、建设银行、招商银行、阳光保险、蚂蚁金服、财付通等超过40家金融机构接入CTID平台,实现金融行业线上线下网络身份管理一体化,优化了银行、保险业务处理流程,大幅度降低金融业的流程成本,保障用户数据安全,推动金融科技创新发展。
四、平台建设成果
(一)基础数据方面
完成了全国居民法定身份证件基础数据的汇聚和治理、身份认证所需基础数据的存储和灾备,形成了精准、安全、可靠的基础数据源。截止2020年3月,CTID平台汇聚了包括居民身份证、户口本、中国公民普通护照、大陆居民往来港澳台通行证、港澳台居民来往大陆通行证、外国人永久居留身份证等法定身份证件信息基础数据超过50亿条。
(二)服务能力方面
通过租赁电信运营商的IDC机房,完成了认证平台基础设施搭建。到2019年底,建成可支撑全国政务应用和部分市场化应用的网络身份认证基础能力,形成“1+1+2”运营服务体系(1个数据处理中心、1个认证服务中心、2个运营研发中心),认证服务并发处理能力达到每秒2万次。
图5“1+1+2”运营服务体系
(三)平台功能方面
基于实体身份证、网证、居民身份信息、人像等多种认证因子,形成了多种身份认证模式,构建了多因子、多层次、多安全等级的网络可信身份认证体系,可满足不同行业、不同应用场景、不同安全等级要求的身份认证需要。
(四)数据分析方面
开发了基于大数据的认证数据管理系统,搭建了大数据分析平台,具备全网认证数据的收集、分析及挖掘能力,为网络行为可追溯可追究、创新社会综合治理能力提供强有力的支撑。
(五)安全体系方面
平台在整体通过等级保护三级标准评测的基础上,针对数据区等核心区域,按照等级保护四级进行强化建设,同时不断强化终端应用、数据传输、数据存储、系统架构等方面的安全措施。
图6平台安全架构
1.终端应用安全
采用了安全控件、数据加密等技术,确保终端上不留存个人信息。“实人”认证时还采用了随机动作连续、幅度及背景检测等活体识别技术,对脸模或仿真视频等伪造手段进行识别和防范,有效防止终端数据泄露和身份冒用。
2.数据传输安全
3.数据存储安全
采用了数据变换、加密存储等技术,互联网后台存储的数据都是经过国产商用密码算法单向变换的脱敏信息,原始的生物特征和身份信息均存储在公安信息网内,按照等级保护四级进行强化,确保个人信息安全存储。
4.系统架构安全
采用了安全隔离设计、冗余设计、系统加固等技术,将系统划分成不同的网络安全区域,层层设防,分区保护;采用“双活备份”,两套设备及链路同时工作,自动切换,防止硬件及网络故障导致系统瘫痪;配备多种安全软件和硬件对关键环节和部位进行安全加固,保证系统稳定运行。
在CTID平台建设过程中,公安部第一研究所始终坚持核心技术自主可控。
(六)团队建设方面。
培养了具备核心互联网平台研发、大数据分析挖掘、人工智能应用、安全系统构建、系统技术支持、客户服务管理、IT机房运维、平台运营服务等方面的专业技术团队,保障系统稳定安全运营。
五、总结与展望
CTID平台的建设和应用,能有效破解当前公民个人隐私信息在网上大量留存、泄露事件频发等问题,推动线上线下身份管理一体化,解决群众网上办事堵点问题,有利于让亿万人民在共享互联网发展成果上有更多获得感,有利于全面加强互联网的权威统一可信身份认证管理和网络身份认证生态治理,为人民群众营造风朗气清的网络信任空间。
当前,公安部第一研究所正在国家发改委和公安部的领导下,以CTID平台为先导工程,组织建设网络空间高可靠、高并发、高可信的国家网上身份认证基础设施,开展网络可信认证和治理服务,规范互联网身份数据采集与留存,制定网络空间身份管理政策法规,为网络社会治理现代化的实施提供基础支撑,为互联网政务、商务、金融和社会生产生活等提供国家强大的服务能力支撑,保护公民隐私安全,落实国家可信战略,保护国家战略数据安全,保卫国家网络安全和政治安全。公安部第一研究所也将继续发挥“中关村安信网络身份认证产业联盟”的作用,整合网络身份认证产业链上下游伙伴,共建可信数字身份生态。
参考文献
[1]中华人民共和国网络安全法.2016年11月7日中华人民共和国主席令第五十三号
[2]居民身份网络认证整体技术框架
[3]2018~2019年中国网络可信身份服务发展蓝皮书.中国电子信息产业发展研究院
[4]高凯烨.我国网络可信身份应用现状及特点研究.网络空间安全,2018(10):71-73.
[5]王琎.我国电子认证服务业发展现状、趋势及建议.中国计算机报.2019-04-01(12).