公民网络电子身份标识eID的发展与应用

胡传平（公安部第三研究所，上海200031）



公民网络电子身份标识eID的发展与应用

胡传平
（公安部第三研究所，上海200031）

摘要：当今世界各国对构建可信的互联网环境已达成广泛共识，其中网络身份可信是核心环节。网络电子身份设施已成为电子政务、电子商务和各类网络在线应用的重要基础，在提高资源利用率、促进创新、经济增长、提升用户便利、加强安全和隐私保护等方面具有重大意义。公民网络电子身份识别eID应用环境十分广泛，包括政务民生应用、电子商务应用、社交网络应用、校园应用、移动互联网应用等等。

关键词：网络电子身份；网络身份管理；隐私保护；网络信任

互联网在电子政务、电子商务以及社会化媒体等方面的应用不断普及，在给人类生活带来极大便利的同时，网络谣言、网络欺诈、身份盗用等问题也随之产生并日趋严峻，给人类社会的正常生活秩序带来了新的挑战。根据中国互联网协会2015年2月发布的数据，在国内6亿多网民中，有46.3%的网民遭遇过网络安全问题。其中，账号或密码被盗等情况最为严重，达到25.9%。网络安全问题日益成为不容忽视的社会问题。造成这些问题的主要原因就在于对网络空间的用户身份难以做到有效的管理。2012年12月28日，全国人大常委会通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，特别强调了网络身份管理和网络用户身份信息的保护。目前已有的真实身份验证机制存在着严重的技术缺陷，由于其基本方法是通过用户提供真实的身份证信息来实现的，各网络服务提供商因此掌握了大量用户身份信息，这无疑存在着严重的用户隐私泄露风险。例如：我国CSDN论坛、天涯论坛、猫扑论坛、携程网等近期先后被黑客侵入，累计上亿人次的信息遭到泄露。公民网络电子身份标识eID从技术上很好地解决了以上问题，可以为我国网络身份管理提供有效的技术支撑。

一、eID的发展概况

eID（electronic IDentity）是国际通行的网络电子身份叫法。我国eID定义为公民网络电子身份标识。eID是网络上远程证明个人真实身份的权威性电子信息文件，由公安部公民网络身份识别系统签发。eID以密码技术为基础，以智能卡芯片为载体，可在实现对网络个人身份的真实性和有效性确认的同时保护公民身份隐私，具有权威性、安全性、普适性、保护隐私等特点。通过eID可将现实社会的人口管理机制延伸到网络虚拟社会，实现现实社会与虚拟社会的统一管理。

（一）国外eID发展现状

目前，世界发达国家都将网络身份管理作为关系其未来发展的重要工作任务，欧盟及其成员国、俄罗斯、澳大利亚、美国等均已从战略计划、标准、法律法规等方面大力推进该项工作［1-5］，其中绝大多数以eID作为核心的技术基础设施。各国均以政府主导推动网络身份管理工作，负责部门以内政部、内务部等（类似于我国公安部）负责国内安全的部门为主。

欧盟早在2005年就制定了《i2010欧洲联盟的发展信息和通信技术》的总体战略，该战略的宗旨在于增进效率，降低成本，保护隐私，提高对社会服务的便捷和质量。其中关于身份识别的内容为：由欧盟各个成员国决定并由该国安全部门主导发行各国的eID，欧盟成员国eID的发行需遵守欧盟的统一标准并在成员国之间得到互认。目前，在欧盟27个成员国中的德、法、意、西班牙、瑞典、荷兰和比利时等17个成员国已经发行了eID。从2012年1月俄罗斯也开始发行新的身份证，其中包含了公民网络身份识别技术并支持多层次的身份认证。2011年4月，美国总统奥巴马签发了《网络空间可信身份国家战略》，计划构建一个网络身份生态体系，推动个人和组织在网络上使用安全、高效、易用的身份解决方案的实施。2014年5月初，美国已在宾夕法尼亚州和密歇根州对eID进行上线测试。

（二）我国eID发展现状

自2009年以来，经过公安部第三研究所（以下简称“三所”）多年技术攻关，eID大规模服务的技术难题已经悉数攻克，后台的数据处理系统能够支撑容纳全国网民的eID发行，并已经建成全国唯一的、经国家密码管理局的系统安全性审查及权威鉴定的“公安部公民网络身份识别系统”。

三所研发的eID得到了公安部、科技部、国家发改委、国家密码管理局、国家互联网信息办公室等部委的大力支持。2012年，科技部设立了“十二五”国家“863”计划重大项目“网域空间身份管理与应用技术”，三所作为牵头承担单位。该项目国拨经费1.2亿元，是国家“863”计划设立以来信息安全领域最大的项目。国家发改委也专门设立了“网络真实身份管理系统”、“下一代互联网环境下网络身份验证应用示范”、“面向下一代互联网的eID市民卡”等多个信息安全专项，由三所承担建设与产业化任务。

在标准方面，三所正在牵头制订《网络电子身份格式规范》等30余项eID国家及行业标准。中国通信标准化协会于2013年年底专门设立了由三所牵头的“网域空间身份管理标准工作组”，eID标准体系已初步形成。这对于进一步规范eID产业技术路线、推动eID相关产业的延伸和产业规模扩展、维护eID生态圈具有重要意义。

2012年9月，eID试点在北京邮电大学正式启动，共发放了3万张eID，基本覆盖全校师生员工，开始了eID制发的全业务流程试点工作。在此基础上，三所与中国工商银行达成战略合作协议，在工商银行全国发行的金融IC卡中嵌入eID。现双方数据中心已建立起专线对接，形成了每天50万张以上eID制发能力。截至2015年1月，eID工行卡发放总量已超过1000万张。

二、eID技术体系与安全性

（一）eID技术体系

图1　eID体系框架

如图1所示，eID体系框架由eID签发机构、eID身份登记和发行机构、身份服务机构（IDP）、线上应用（网络应用）以及自然人eID载体等五方组成，主要解决线上身份识别的问题，同时保护网络上个人隐私安全。

其中，eID签发机构承担“公安部公民网络身份识别系统”签发和管理职能。eID身份登记和发行机构承担eID载体的登记和发行职能，具备广泛的发行渠道。身份服务机构（IDP）连接eID签发机构获得身份验证能力，并接入互联网应用服务机构，承担eID网络身份识别和相关安全服务。

图2　eID系统架构

eID系统架构如图2所示，eID服务平台基于公安部公民网络身份识别系统在保护个人隐私前提下提供各种形式的网络身份验证服务。该平台为地方性和行业性数字认证中心、网络运营商及可信第三方服务机构提供开放接口，共同构成覆盖全国的网络身份验证服务平台。

持有eID载体的用户访问互联网上的网站及应用系统时，网站或应用系统将连接到eID服务平台验证eID的真实性与有效性。当通过验证后，即可访问网站或应用系统的相关信息或进行各类业务操作（如网上递交身份、查询、转账、支付、投票等）。

（二）eID的安全性

eID载体符合国家商用密码技术要求和eID载体相关国家标准（包括行业标准），具有智能安全芯片及操作系统，提供独立的安全机制，并为eID应用提供统一的底层安全服务接口。eID由一对非对称密钥（公钥和私钥）及相关电子信息文件组成，该密钥对中的私钥由智能安全芯片内部产生，无法被读取、复制、篡改或非法使用，上述信息都存储在eID载体的智能安全芯片上，受到高强度安全机制的保护。

eID的唯一性标识采用国家商用密码算法生成，不含任何个人身份信息，有效保护了公民身份隐私。eID的唯一性标识是由用户证件号码、用户姓名和128字节随机数的字串进行运算得出的二进制编码，与公民身份一一对应，既确保了个人身份的真实性，又可有效避免身份信息曝光，达到了网络身份管理和隐私保护的双重目的。

公民可能同时拥有多个可以加载eID的载体（符合eID载体相关国家标准和行业标准），但eID基础设施（公安部公民网络身份识别系统）确保每个公民同时只能拥有一个处于可用状态的eID，即保证eID与其持有者本人的唯一对应关系。当eID载体丢失或损坏时，可以及时进行挂失、注销；申领了新的，旧的就自动被注销而无法再使用。而且，由于eID具有PIN码保护，必须输入正确的PIN码才能进行数字签名等操作，别人即使捡到也无法使用。

三、eID的应用

eID应用环境十分广泛，包括政务民生应用、电子商务应用、社交网络应用、校园应用、移动互联网应用等等。

（一）政务民生应用

eID可以加载到融合金融、社保、卫生健康、交通、教育等功能的新一代市民卡中，对各类民生应用群提供基于eID的统一认证服务。以公安机关互联网便民服务为例，可建立公安警务网上办事大厅，通过eID认证实现互联网应用接入公安主管业务部门网上审批模式，开展户政、治安、交管、出入境、消防、科技、法制、边防等网上民生办理事项，打造网上民生服务平台，为群众提供“全方位、全天候”的个性化服务。又如在公共医疗挂号服务中提供基于eID卡的实名认证，可在充分保护患者隐私的前提下，借助金融IC卡的支付功能实现挂号费和诊疗费的结算。

（二）电子商务应用

在电子商务应用中，以目前eID所加载的中国工商银行金融IC卡为例，只需要在桌面终端或移动终端上使用eID卡、输入保护PIN码，就可以实现安全快捷的真实身份验证和金融支付，确保每次交易是用户真实意愿的行为，防止网络钓鱼、木马病毒等各类网络欺诈给用户造成资金、隐私泄露等各类损失。有了eID，即使发生网络账号被盗情况，只要eID还在用户手上，就可以立即重置密码，保证用户互联网金融活动中的资金财产安全。

（三）社交网络应用

微博应用的一个重要环节就是实名认证，由网络服务提供者来搜集和验证个人信息（如姓名、身份证号码等）的传统方式存在诸多安全隐患，而使用eID只需要插上eID卡、输入保护PIN码，不用再向网络服务提供者提交任何个人身份信息。而且，eID使其认证更加可信，能够有效防止仿冒他人身份等恶意行为。这样既满足了实名认证的真实性和有效性要求，又达到了保护个人隐私的目的。

（四）校园应用

在校园应用中，eID可以用于论坛、邮件系统、校园信息门户、网上报销系统、校园网认证网关等网上应用。以论坛注册为例，传统的方式需要提交身份证号、手机号、学号、毕业证号等相关的个人身份信息，身份的验证要通过电子邮件完成，其个人身份信息留存于论坛系统中，存在被泄露的风险。而使用eID可以方便快捷地完成注册、登录、密码重置等操作，同时不用在系统留存任何身份信息，很好地保护了个人隐私。

（五）移动互联网应用

eID也适用于移动互联网环境。我们也可以通过手机实现安全快捷的eID登录。例如二维码登录，只需要使用手机上的eIDApp扫描代表某互联网应用登录请求的二维码，在手机里确认登录该互联网应用后，通过eID手机应用与eID服务平台的自动交互完成验证，即可成功登录该互联网应用。由于无须再输入账户名、密码，既方便快捷也有效避免了密码被盗的风险。

公民网络电子身份标识eID作为公安系统颁发的在网络上远程证明个人真实身份的权威性电子信息文件，是网络虚拟社会管理的必不可少的基础设施。eID可满足公民在网络交易和虚拟财产安全保障及个人隐私保护等方面的迫切需求，大幅提升公民网络活动的安全感，并且将推动越来越多的政府服务、民生服务、商业服务通过网络方式公开提供，在给公民带来很大便利的同时有效降低各类机构的服务成本，将会得到国家、商业机构及广大网民的共同认可，对建立诚信网络、治理网络空间、保护个人隐私具有重要意义。

参考文献：

［1］J. Grant. National Strategy for Trusted Identities in Cyberspace［M］. Presentation at NIST 2011. April 6，2011.

［2］European Commission. i2010-A European Information Society for growth and employment［J］.COM，2005:229.

［3］European Commission.A Roadmap for a pan-European elDM Framework by 2010［J］.2006.

［4］Aaron Saenz. Russia to adopt universal ID card in 2012 ［J/OL］. 2011，http://singularityhub.com/2011/01/18/russiato-adopt-universal-id-card-in-2012/.

［5］National Office for the Information Economy of Austra⁃lian Governmeng. Australian Business Number-Digital Signature［J/OL］. 2003，http://www.finance.gov.au/agi⁃mo-archive/_data/assets/file/0019/5095/ABN-DSC-specifi⁃cation.pdf.

责任编辑：贾永生

Research on the Development and Application of the Citizen Network Electronic Identity eID

Hu Chuanping
(The 3rd Research Institute of the Ministry of Public Security, Shanghai 200031, China)

Abstract：Countries all over the world have the common consciousness on constructing the trusty Internet environment, while network identity trust is the most important part of it. The network electronic identity system and basic infrastructure has been the important infrastructure of E-Government, E-Business and all kinds of online applications. It means much at enhancing resource utility, promoting creation and economic increase, advancing user convenience, strengthening security and privacy protection. The eID can be widely applied at a variety of aspects, such as e-commence, social network, campus affairs, government affairs and the people’s livelihood, etc.

Key words：network electronic identity; network identity management; privacy protection; network trust

基金项目：本文由国家“863”计划重大项目2012AA01A403和2012AA01A404资助。

作者简介：胡传平，男，上海人，博士，公安部第三研究所所长、研究员，研究方向：网络身份管理、物联网、信息网络安全。

收稿日期：2014-12-21

文章编号：1009-3192（2015）01-0039-04

文献标识码：A

中图分类号：TP393