专题介绍
——“互联网+”居民身份证网上应用

1 项目背景

随着互联网的发展，现实社会中的行为延伸到网络社会，网络社会已成为现实社会的重要组成部分，网络身份的重要地位已日益突出。公民身份信息在网上随处留存，各类不符合实名制要求的网上认证模式被滥用，如何安全应用、保护和管理网络身份变得越来越重要。

网民 权益损失巨大

2016年7月，中国互联网络信息中心发布第36次《中国互联网络发展状况统计报告》：截至2015年6月，我国网民规模达到6.68亿,我国已成为全世界网民最多的国家。网络业务迅猛发展的同时，也因信息泄露产生了严重的网民权益损失。据《中国网民权益保护调查报告（2015）》显示，近一年来因个人信息泄露、诈骗信息等原因导致网民整体损失约805亿元。

互联 网治理手段亟需创新

为创新立体化社会治安防控体系，依法严密防范和惩治各类违法犯罪活动，全面推进平安中国建设，2014年12月30日和2015年4月13日，中办、国办分别印发了《关于加强社会治安防控体系建设的意见》，从国家层面对健全点线面结合、网上网下结合的立体化社会治安防控体系提出具体要求。

网络 经济发展亟待网络身份可信体系助力

为把互联网的创新成果与经济社会各领域深度融合，实现中国经济提质增效升级，2015年7月4日，国务院发布了《关于积极推进“互联网+”行动的指导意见》；对实施普惠金融、益民服务、高效物流、电子商务、便捷交通等“互联网+”行动计划作出具体部署。我国网络身份可信体系建设已迫在眉睫。

国内 现有网络身份认证应用现状

目前国内网络实名身份认证方式多样，主要可归结为四类：第一类是通过网民本人去指定场所面签获得的可信身份凭证，如银行U盾、CA证书等，进行身份认证；第二类是网民在网络上提供个人身份信息，如姓名、身份证号码等，通过信息比对的方式进行身份认证；第三类是通过被认为实名发放的个人信息载体进行间接实名身份认证，如手机号码、银行卡等；第四类是网民在网络上提供照片，如身份证照片、本人照片等，通过人工或自动识别进行身份认证。这几类认证方式都可能存在身份被盗用、冒用的问题，无法真正实现“实名即实人”的网络实名身份认证。

2 项目概述

当前网络的迅猛发展必然要求其身份认证形式丰富多样，否则其缺乏内在核心动力，无法实现可持续化发展。但无论身份认证服务形式有多丰富，它都必须基于法律认可的身份信息根，因此，需要建立国家网络可信身份管理认证平台。

图1

针对网络可信身份管理的应用需求，提出建设基于二代证的网络身份认证信息系统，为全国各行业、互联网网站及个人提供统一的、权威的、多级可信的身份认证服务，有利于促进互联网的健康发展，有利于加快我国网络实名制的进程，有利于推进社会公民信用体系的建设，有利于保障国家网络信息的安全。

总体思路

依托现有二代证制证数据资源，签发与实体身份证件唯一对应的居民身份证网上副本，建设一整套基于身份证的网络身份认证信息系统，面向居民及行业用户提供网络身份认证服务，支撑中国特色的网络可信体系，为服务“互联网+”国家重大战略打下坚实基础。

基本原则

立足身份证现有条件及成熟技术，充分挖掘和利用二代证权威性、智能性、广泛性、安全性、经济性五大优势，坚持“四不”原则。将二代证作为网络可信身份认证体系的基础信任根，为网络可信生态信任链传递提供信任基础；为网络应用服务商提供网民身份认证服务，不参与网络应用服务商的具体网上业务，不关联网民的网上行为、交易。

五大优势

◆ 权威性：《中华人民共和国 居民身份证法》

◆ 广泛性：全国已发放14亿多张二代证

◆ 智能性：内嵌国产智能芯片

◆ 安全性：我国自主研发的数字安全技术和国产安全算法

◆ 经济性：利用现有安全和管理体系，不增加经济负担

“四不”原则

◆ 不改变身份证现有安全机制，保证身份证卡体安全、应用安全；

◆ 不在互联网上存储、传输身份信息，确保持证人隐私安全；

◆ 不增加身份证制作及管理成本，不影响现有身份证受理、制作、发放的流程；

◆ 不额外增加信息载体，实现线上线下“一证通”，不增加公民的经济负担。

技术路线

采用“人、二代证、居民身份证网上副本”三位一体认证模式。第一步验证“真实性”。通过认证平台确认公民在线上出示的居民身份证网上副本的真实性。第二步验证“有效性”。通过验证身份证与居民身份证网上副本的唯一对应关系，以及居民身份证网上副本在黑白名单库中的比对结果，确认居民身份证网上副本的有效性；第三步验证“人证同一性”。通过持证人认证码及生物特征比对确认“人证同一性”。

注：居民身份证网上副本——以居民身份证为基础，通过特定的法则映射生成，与实体证件一一对应，包含身份证的基本信息要素，是身份证在网络上的特殊存在形式，是网民在网络上的身份凭证。

3 技术方案

目标

为了实现向全国各行业、互联网网站及个人提供统一的、权威的、多级可信的身份认证服务，系统建设目标如下：

一是建设网络身份认证信息系统。本系统是基于二代证进行网上身份认证的基础设施，为互联网服务提供商提供统一的、可信的、多级的网络身份认证服务，可支持多种不同安全等级的网络应用场景，如电子商务、电子政务、网络社交以及网络娱乐。

二是建设网络可信身份服务的配套标准体系。拟组织建设网络可信身份的国家标准、通信行业标准以及公安行业标准等配套标准，为构建网络空间信任体系奠定坚实的基础。

系统组成

网络身份认证信息系统由身份认证服务平台、居民身份证网上副本管理系统、安全管理系统等系统组成，其中身份认证服务平台包括数据中心系统和身份认证服务系统两个部分，如下图所示。

身份认证服务平台

由数据中心系统及身份认证服务系统两部分组成。

图2 系统组成结构图

◆ 数据中心系统。负责从全国各居民身份证制作中心（所）动态采集身份证制证信息，为网络身份认证提供数据支撑。

◆ 身份认证服务系统。以数据中心系统提供的数据服务为基础，接受网络业务系统的身份认证请求，借助网络业务系统实现同客户端用户（身份认证对象）之间交互，完成对客户端用户身份真实判别，并将认证结果返回给网络业务系统。

居民身份证网上副本管理系统

以二代身份证制证信息为基础，为需要网络身份认证的网民签发一张带有权威机构签名的电子证书，即居民身份证网上副本。同时可由网民对其居民身份证网上副本设置认证码，以加强居民身份证网上副本使用的安全强度。居民身份证网上副本可冻结、解冻、注销，认证码可重置。

居民身份证网上副本在公安派出所、银行和电信营业厅等可信点申请, 今后也可在全国各身份证制作中心直接生成。

安全管理系统

主要签发标识相关业务环节身份的站点证书。

服务接口

网络身份认证信息系统与公安网及互联网等相关业务系统之间，以及各个子系统及功能模块之间的技术接口如图所示。

图3 网络身份认证信息系统技术接口示意图

其中，涉及向网络业务系统开放的外部接口如下：

A. DN读卡接口（提供USB、蓝牙DN读卡器读卡控件及开发文档）

B. 手机NFC读卡接口（提供手机NFC读卡控件及开发文档）

C. 活体人像检测接口（提供活体人像检测控件及开发文档）

D. 认证数据传输接口（网络业务系统自行开发）

E. 身份认证服务接口（提供《身份认证服务使用说明》）

专有名词及专用设备

DN码：身份证在制作时在芯片非加密区生成的序列号。

认证码：在申请时居民身份证网上副本设置，作为身份认证需要验证的要素之一。

DN读卡器：读取DN码的装置，目前有USB口、蓝牙、USBHID口三种类型，可满足用户不同需求不同场合下使用。

NFC手机：将读取DN码的功能集成在具有NFC功能的手机上，方便快捷的读取DN码。目前华为、中国移动均已推出具备该功能的手机，其他手机厂商如中兴、小米、三星、苹果等手机厂商也在抓紧开发。

认证 模式和典型应用

以“居民身份证网上副本”为核心的线上身份认证模式

该模式主要流程包括如下三部分：

◆ 申请居民身份证网上副本

网民持二代身份证在居民身份证网上副本可信申请点登录居民身份证网上副本管理系统，提交二代身份证信息，设置认证码，并经生物特征比对完成人证同一性校验后，生成居民身份证网上副本。

1）网民在居民身份证网上副本可信申请点提交二代身份证信息、设置认证码，进行活体检测并提交静态人像，生成居民身份证网上副本身份要素数据包；

2）居民身份证网上副本管理系统根据可信申请点提交的身份要素数据进行验证，生产居民身份证网上副本。

图4 申请居民身份证网上副本流程

◆ 下载居民身份证网上副本

网民通过互联网登录居民身份证网上副本下载系统，通过DN读卡器读取二代身份证DN码并输入认证码，即可完成居民身份证网上副本的下载。

图5 下载居民身份证网上副本居民身份证网上副本流程

1）网民使用个人终端登录居民身份证网上副本管理系统客户端，提交二代身份证DN、认证码、通过活体检测提交静态人像；

2）居民身份证网上副本管理系统客户端将获取到的二代身份证DN、认证码、静态人像提交居民身份证网上副本管理系统；

3）居民身份证网上副本管理系统根据二代身份证DN、认证码、静态人像查询到对应的居民身份证网上副本，下载到个人终端中。

◆ 使用居民身份证网上副本进行身份认证

网民在线上通过业务系统客户端（电脑、智能手机、pad等）提供自己的二代身份证实体证件、居民身份证网上副本和人证一致性凭据（认证码、生物特征信息），并经网络业务系统数字签名后，提交身份认证服务平台认证网民身份，身份认证服务平台将认证结果反馈给网络业务系统，使用居民身份证网上副本进行身份认证流程如图所示：

1）网民在网络业务系统办理业务；

图6 使用居民身份证网上副本进行身份认证流程

2）网络业务客户端向网络业务系统发起业务办理请求；

3）网络业务系统向网络业务客户端发出实名身份认证要求；

4）网络业务客户端执行获取DN、活体检测、人像采集、认证码采集、居民身份证网上副本获取等操作；

5）网络业务客户端将获取的DN、静态人像、认证码、居民身份证网上副本等进行安全处理，生成身份要素数据包；

6）网络业务系统客户端向网络业务系统传送身份要素数据包；

7）网络业务系统对身份要素数据包进行签名，生成身份认证数据，传送到身份认证服务平台；

8）身份认证服务平台对身份认证数据进行验证，并将认证结果返回给网络业务系统；

9）网络业务系统向网络业务系统客户端返回认证结果。

◆ 典型应用

网上警局办理业务

以申请驾照为例，可通过手机访问网上警局软件，网民可先上传个人证明材料，再根据软件的提示，刷二代证、输入认证码、导入居民身份证网上副本、自拍人像。网上警局软件将上述操作获得的认证信息加密、签名后，提交身份认证平台，平台对接收到的数据进行签名验证、查询、比对后，返回认证结果，若认证通过，则网上警局业务审批通过网民的驾照申请。

银行远程开户

通过手机运行银行开户软件，在开户操作时进行网络实名身份认证。根据软件提示，填写个人信息，刷二代证、输入认证码、导入居民身份证网上副本、自拍人像。银行软件将上述操作获得的信息进行校验、加密、签名后，提交身份认证平台，平台对接收到的数据进行签名验证、查询、比对后，返回认证结果，认证通过开户流程才可继续进行。

电商平台个人网上开店

申领了“居民身份证网上副本”的准店主填写完经营内容等开店信息后，根据电商平台提示，用手机刷二代证、输入认证码、导入居民身份证网上副本、自拍人像。电商平台将上述操作获得的信息进行校验、加密、签名后，提交身份认证平台，平台对接收到的数据进行签名验证、查询、比对后，返回认证结果，认证通过后，完成网上开店工作。

办理实名手机卡

可通过手机卡代售点渠道商的手机运行实名认证软件，根据软件的提示，输入手机卡购买人的个人信息，刷二代证、拍摄人像。实名认证软件将上述操作获得的信息进行校验、加密、签名后，提交身份认证平台，平台对接收到的数据进行签名验证、查询、比对后，返回认证结果。认证通过后，才可再输入手机号码，办理实名手机卡。

4 项目应用前景

作为网络可信体系建设的基础，为各行各业与百姓生活息息相关的重要管理系统提供统一可信的后台身份认证服务，改变各行业系统信息资源分散的现状，最终实现社会治理结构的不断创新。

配合落实国家“互联网+”重大战略，在传统身份认证与网络之间架起桥梁，巩固公民社会信用代码地位和作用，为网络金融、电子商务、电子政务、电信等领域提供可信支撑，丰富和方便了如网上订票、旅馆登记、在线支付、税收缴纳、社交娱乐等各类便民服务手段。

促进“网上派出所”、“网上警务室”、“网上办事服务大厅”等网上便民服务建设，公民在网上即可实时办理各类业务，切实提升公安机关管理与服务社会的能力。