个人网上身份多源认证服务研究

徐 祺，崔久强

(上海市数字证书认证中心有限公司，上海 200080)

个人网上身份多源认证服务研究

徐 祺，崔久强

(上海市数字证书认证中心有限公司，上海 200080)

针对目前身份认证服务市场应用不规范、身份信息非法或超需求收集、认证流程繁冗、认证手续复杂、多方重复认证等问题，提出开展个人网上身份多源认证服务研究，设计了可互操作的通用身份模型架构、制定和完善身份认证策略框架，试图建立个人可信身份生态基础设施，向用户提供实名身份鉴别服务、应用登录认证服务和应用电子签名服务等，为各类电子政务、电子商务等互联网活动提供统一的可信身份认证服务。

个人；身份认证；多源

0 引言

随着“互联网+”、云计算、大数据、移动互联网、物联网等技术与政府业务信息化的不断融合，各地政府机构开始推动政务服务云建设，用互联网作为服务渠道推动政务服务创新，成为各地主管部门建设服务型政府的重要抓手[1-3]。各地政府部门逐步推出了各类政务APP、微信自助服务，将资质申请、行政审批、数据上报等业务逐步迁移到智能移动终端上实现。与此同时，各大互联网巨头也纷纷启动“互联网+城市服务”战略，向社会公众开放自身的基础服务能力，为各地政府提供“智慧城市”的一站式解决方案，形成开放的城市公共服务平台，为广大市民提供更高效、便捷的线上服务。

1 个人网上身份多源认证分析

据支付宝发布的《2015“互联网+”城市服务报告》[4]显示，截至2015年底，全国19个省份、124个城市入驻支付宝城市服务平台，提供包括车主服务、政务办事、医疗、交通出行、充值缴费等9大类服务，共计4000多项业务，为超过1亿的用户提供简单便捷的服务体验。用户通过支付宝、微博和手机淘宝三个入口，均可进入“城市服务”平台，在手机上完成交通违章查询、路况及公交查询、生活缴费、医院挂号、三金查询、出入境办理、结婚登记预约等事项。微信的城市服务也于 2014年 12月正式上线，微信用户可以在“城市服务”下得到包含医疗、交管、交通、公安户政、出入境、缴费、教育、公积金等16项民生公共服务。

越来越多的大型电子商务、社交网络平台都纷纷加入智慧城市服务的队伍中，他们利用自有的身份认证方式、服务渠道为旗下用户提供智慧生活服务。在众多电子政务、电子商务、社会公共服务应用逐步接入城市服务的大趋势下，公众进入每一个移动应用前都需要进行身份认证[5-8]，然而目前身份认证服务市场鱼龙混杂，身份信息非法或超需求收集、买卖、身份信息批量窃取等个人信息保护不力现象十分严重。对于每个业务应用系统要面对多个身份渠道供应商，而对于每个身份渠道也需要用户根据具体的身份认证强度等级提供相应的服务，面对跨地域、跨部门、跨业务领域的大规模渠道商，个人身份多源认证面临认证次数重复、认证流程繁冗、认证手续复杂、多方重复认证等问题，造成了大量人力、财力和物力的浪费。第一、缺乏身份认证互信互认机制，造成身份认证渠道多样，重复认证现象明显，不能实现不同数据源身份交叉应用。第二、微博、社交网站等新型网络应用，为提供个性化的服务而涉及用户敏感信息，身份渠道供应商面临身份管理和访问控制机制不健全情况下引发的一系列安全威胁。第三、对于终端用户而言，需要记忆大量业务系统各自应用账号和密码，造成管理不便。在多渠道、多源头、多平台环境下构建安全可靠的身份管理和访问控制体系是智慧城市信息系统建设的重要任务。

2 个人网上身份多源认证服务研究

随着网络规模的日益增长，个人身份多源认证需要支持上千万甚至数十亿用户的身份认证与应用授权。在分析可互操作的通用身份模型需求的基础上，制定和完善身份认证策略框架，建立个人可信身份生态基础设施和服务架构，加强身份认证技术创新和应用模式创新，建设个人网络空间可信身份生态体系，以个人为中心确立网络空间主体和现实生活中人与组织的关系对应和归属，实现虚拟身份与社会身份的真实映射，在网络空间为各主体构建信任关系，为各类电子政务、电子商务等互联网活动提供统一的可信身份认证服务[9,10]。

2.1 总体架构

个人网上身份多源认证服务平台总体架构如图1所示，包括身份信息源、平台管理、业务应用、标准规范与制度管理、安全与运维保障体系等5个方面。

身份信息源包括目前市民常用的网上社交、移动支付软件（如微信、支付宝等）和现行通用的各类身份认证方式（如银行卡验证、身份证信息比对、公安三所eID认证、公安一所身份证网上副本、三大电信运营商实名制手机号、驾驶证信息、社保账号信息、公积金信息等）。平台管理负责对个人网上身份多源认证服务进行管理和服务配置，主要包括身份标识管理、认证等级策略管理、访问控制策略管理、身份源管理、接入应用管理、用户管理、授权管理、审计管理、配置管理和服务管理等。通过多源认证平台认证后，用户可实现网上预约办事、家庭账单查询与缴纳、社保信息查询与管理、公积金信息查询与管理、纳税信息查询与管理、个人信用报告查询、在线图书借阅、个人电子档案管理、医院门诊挂号、网上政务在线办事等服务。同时还要遵守国家及行业的标准规范与制度，为了保障用户隐私安全，还需要加强安全与运维保障体系。

图1 个人网上身份多源认证服务平台架构图

2.2 平台功能

个人网上身份多源认证服务平台主要为用户提供实名身份鉴别服务、应用登录认证服务和应用电子签名服务等。

图2 个人网上身份多源认证服务平台实名身份鉴别服务流程

1.实名身份鉴别服务查看公开信息、使用姓名+身份证注册的用户可以使用基本功能、使用人脸识别认证[11-12]的用户可以在线办理业务），不同的认证渠道商认证通过的用户带有不同的权限标识，通过分级策略实现身份的映射互通。同时，该平台还开展基于大数据的身份纠错模式，在互联互通的身份映射机制基础上，会存在同一用户在不同的电子商务平台或社交网络平台具有不同的身份（如A用户在支付宝认证渠道下是代表用户A，而在手机运营商渠道下可能代表用户B），平台针对此情况开展基于大数据的身份纠错模式，增加其他身份认证手段（人脸识别、银行卡验证）保证同一用户在多源认证统一服务模式下具有同一身份标识。

2.应用登录认证服务

对于低频应用（如个人所得税自主申报）进行身份认证时，应用不需要建立和维护个人用户的应用账户信息，在每次交易时均需要对用户进行实名身份鉴别。对于高频应用初次注册时由用户选择登陆方式，认证通过后提示用户进行实名身份鉴别，通过后由平台维护用户的账户信息；若后续选择同样的认证方式进行认证，不需要再次实名身份鉴别，由平台返回对应的实名信息；可以根据用户需求更换认证方式。

个人网上身份多源认证服务平台集成在原有业务应用系统中，当应用需要对用户身份进行确认时，可跳转至多源认证服务平台进行身份鉴别，鉴别通过后由应用系统根据实名结果为用户创建并维护账户信息。其中，多源身份认证平台的实名鉴别服务一方面根据用户自主选择的认证源渠道确定用户身份，另一方面根据用户选择的应用系统对实名认证强度的要求进行综合认证。通过该平台能够建立互联互通的身份映射机制，实现不同身份认证的手段对应不同的权限级别（如使用短信认证的用户只能

图3 个人网上身份多源认证服务平台应用登录认证服务流程

3.应用数字签名服务

当用户选择需要进行电子签名的应用时，由多源认证服务平台调用数字证书和时间戳服务，实时签发数字证书，为用户提供后台电子签名服务，对每一笔交易均包含时间戳，便于日后的安全审计和责任认定。

2.3 平台应用

个人网上身份多源认证服务针对在软件体系架构和技术形态多样化的环境下，用户身份认证统一管理中存在的量化身份模型难以建立、跨域身份鉴别机制难以形成、多种身份认证方式难以融合、用户个人敏感数据难以保护等关键问题，攻克异源、异构、异平台海量用户接入城市服务应用中统一身份认证、授权管理、责任认定、行为审计等技术难题，对用户身份认证、跨域鉴别、信息保护等影响身份管理功能有效实现和部署的关键问题进行深入研究，形成互联互通、操作性较强的身份管理框架、身份标识分类、身份鉴别标准、认证分级规则、信息保护策略和责任认定机制等。针对电子政务业务应用场景建立实名认证服务（如出入境办理、结婚登记预约等）机制，针对电子商务业务应用场景建立实名（如网上支付、物流快递等）或匿名（如网上论坛、网上购物等）服务机制，创新多渠道多源头身份认证服务模式、业务模式和应用模式等，为智慧城市网络服务提供完整、快速、安全、可靠、可控的电子认证服务。

[1]严霄凤.在智慧城市建设中推广电子认证服务[J].软件, 2012, 33(3): 109-112.

[2]王云.互联网+时代泰州智慧城市创新发展探讨[J].软件, 2015, 36(11): 09-11.

[3]崔久强, 徐祺.移动互联网身份认证技术研究[J].信息安全与技术, 2015(7).

[4]《支付宝发布2015“互联网＋”城市服务报告》[N].南方日报2016-01-18.

[5]刘会议.移动互联网中身份认证技术的研究[D].山东大学, 2014.

[6]霍艳清.基于PKI技术的电子政务网身份认证系统的设计与实现[D].吉林大学, 2014.

[7]张岩.基于PKI的多安全要素跨域身份认证系统设计[D].太原理工大学, 2015.

[8]范月, 许晋, 高宇童.eID移动身份认证系统的研究与实现[J].信息网络安全, 2015(3).

[9]潜昕, 罗沙白, 卢康权.构建基于分布式SOA架构的统一身份认证体系[J].软件, 2013, 34(1): 17-19.

[10]刘艳民, 鄂海红.基于OpenID2.0的认证授权系统的分析与设计[J].软件, 2015, 36(10): 01-04.

[11]基于人脸识别的实名认证方法及系统[P].李国, 崔久强,徐祺, 杜守国, 陈荦祺, 刘承, 冯晔.中国专利: CN103-634120A.

[12]非现场个人数字证书申请方法及系统[P].崔久强, 杜守国,刘承, 徐祺, 陈荦祺, 冯晔, 王天华.中国专利: CN103825744A.

Research on Multiple-Source Authentication Service for Personal Online Identification

XU Qi, CUI Jiu-qiang
(Shanghai Electronic Certificate Authority Center Co., ltd, Shanghai 20080, China)

To address the current issues in the identity authentication service market regarding abnormal application, illicit information or excessive collection, burdensome authentication process, complicated certificate formalities, and multipart repetitive authentication, this paper proposed the research on personal identification and multiple-source authentication service.Through designing the interoperability and universal identity modular architecture, establishing and improving identification policy framework, it constructs the trusted identity ecological infrastructure.Providing services to customers, such as verify their real-name identities, login authentication, and electronic signature applications.Meanwhile, the credible identity certificate service can be applied to e-government affairs, e-commerce, and other Internet activities.

Personal; Authentication; Multiple-Source

TP391.1

A

10.3969/j.issn.1003-6970.2017.03.007

上海市信息化发展专项资金项目(201601071)。

徐祺(1985-)男，硕士，工程师，主要从事电子政务、电子商务和信息安全领域的研究；崔久强(1973-)，男，工程师，主要研究方向为电子认证、信息安全、电子政务、电子商务和数字证书等。

本文著录格式：徐祺，崔久强.个人网上身份多源认证服务研究[J].软件，2017，38（3）：34-37