可信身份认证和标识密码技术的跨网域建设与应用

贾轶 包俊岭 吕永刚 张家华 欧阳震诤

（1.内蒙古包头市公安局科技信息化支队 内蒙古自治区包头市 014030 2.北京迪曼森科技长沙分公司 湖南省长沙市 410006）

随着国家“互联网+”战略的实施，各级政府积极投入“互联网+政务服务”建设和“放管服”改革，通过政务服务平台为企业和群众提供便捷的网上业务办理。在访问控制安全的前提下，提供统一权威的网络身份认证服务是网上政务办理的基本前提和重要基础[1]。2019年，内蒙古包头市公安局建设并启用了可信身份认证服务平台，该平台基于“互联网+”可信身份认证技术（Cyber Trusted identity, CTID)和标识密码技术(Identity Key Infrastructure,IKI)密切结合设计建设，全面提供“互联网+”可信身份认证和电子签名服务，实现在网络空间活动中证明“我是我”及“我的行为”，既保证了网络用户网上活动身份的真实性、保密性和安全性，又保证了关键业务办理行为的不可抵赖性。2021年，依托于跨网域认证服务平台，各行政专网统一向可信身份认证服务平台提出身份认证请求，通过数据交换实现业务办理，建立网络可信身份体系，以此推动全市“互联网+”可信身份的线上和线下业务应用，助力线上业务更广泛、更深入开展，成为数字经济发展的必然需求。

1 建设的必要性

依据《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》国办函[2016]108 号文件要求，通过网上大厅、办事窗口、移动客户端、自助终端等多种形式，结合第三方平台为群众提供一站式政务服务,推动“互联网+政务服务”工作，有效优化政务服务能力、提高为企业和群众业务办理的效率[2]。针对线下业务大量快速向线上迁移，通过传统的实体身份证、户口本等法定证件来证明身份的方式已经不能满足线下为民服务需求，更不能满足线上身份认证场景需求，在打造“互联网+政务”线上服务和线下办事紧密融合过程中如何建立网上统一身份认证体系，如何实现身份的互认，线上如何证明“我是我”，如何丰富线下身份鉴别方式等系列身份管理问题亟待解决[3]。

另一方面，分布于公安网、政务网、互联网中的大量业务应用如何打通各个网络之间的壁垒，实现跨网域的权威统一的可信身份认证，成为提高政务部门服务质量与服务效率的难点、提升群众满意度的关键瓶颈。

2020年3月，包头市公安局提出跨网域可信身份认证问题与服务系统框架思路，同年4月份完成跨网域认证创新应用项目申报。截止2021年8月跨网域可信身份认证分布式服务系统建设已进入试运行阶段，除公安外，为其它各委办局、房管、公积金等部门通过跨网域技术提供了可信身份认证服务。

2 可信身份认证跨网域技术原理

2.1 可信身份认证

公安部第一研究所建设的国家“互联网+”可信身份认证平台（以下简称CTID 平台）基于公安部法定身份证件制证数据，采用国密算法，对法定身份证件所承载的身份信息进行脱敏、去标识化处理，统一生成不可逆、不含明文信息，且与法定身份证件一一映射的数据文件（网证），能够在不泄露身份信息的前提下实现在线身份认证[4]。网证的产生过程如图1所示。

图1：网证的产生过程

IKI 标识密码技术是基于SM2 算法生成标识密钥，使用CTID网证生成的居民网络身份标识（PID）参与计算生成签名密钥对和加密密钥对，使用签名密钥签名实现签名的强不可抵赖性，符合《中华人民共和国电子签名法》，构建“人—居民身份证—网上身份标识—密码身份”四位一体的紧密可信身份体系，提供更便捷、更安全的电子签名服务，实现网络环境证明“我是我”和网上行为可信（可追溯、防篡改、抗抵赖），是符合《中华人民共和国密码法》和《中华人民共和国电子签名法》的应用。

2.2 跨网域技术原理

借助跨网域认证服务平台,面向公安网、政务网、互联网提供基于公安部一所CTID 平台的统一身份认证及基于标识密码技术的电子签名等基础密码服务。

跨网域认证服务平台通过网络专线与公安网、政务网、互联网之间进行通讯，该平台与公安网、政务网、互联网之间的数据传输、数据处理、数据存储等环节均通过密码服务提供统一安全服务保障。

“互联网+”可信身份认证和标识密码技术的跨网域应用技术路线如图2所示。

图2：可信身份认证和标识密码技术的跨网域应用技术路线

2.3 跨网域可信身份认证业务流程

部署在公安网、政务网、互联网的各政务服务平台向跨网域认证服务平台发起可信身份认证请求，请求数据通过签名验签服务器签名并加密进行发送。

跨网域认证服务平台监听读取请求数据，调用签名验签服务器解密请求数据，并验证请求数据签名值，将请求数据发送至网络可信身份认证服务平台获取可信身份认证响应数据。

跨网域认证服务平台调用签名验签服务器对可信身份认证响应数据签名并加密，传输至部署在公安网、政务网、互联网的各政务服务平台。

部署在公安网、政务网、互联网的各政务服务平台监听读取响应数据，调用签名验签服务器解密响应数据，并验证响应数据签名值，将可信身份认证响应结果返回到具体应用。跨网域可信身份认证业务流程如图3所示。

图3：跨网域可信身份认证业务流程

3 跨网域可信身份认证系统架构

3.1 总体架构设计

跨网域可信身份认证充分考虑了系统的可靠性、实用性、可维护性和安全性等各方面因素，采用多层架构设计。总体架构如图4所示。

图4：跨网域可信身份认证总体架构

3.1.1 应用层

实现互联网用户、政务网用户、公安网用户的可信身份认证和标识密码技术的跨网域应用。

3.1.2 服务支撑层

监听读取不同网络的用户可信身份认证请求，调用签名验签服务器解密请求数据，并验证请求数据签名值，将请求数据发送至平台服务层，获取可信身份认证响应数据。

3.1.3 平台服务层

为服务支撑层提供可信身份认证基础服务和电子签名基础服务，调用签名验签服务器解密响应数据，并验证响应数据签名值，将可信身份认证响应结果返回到服务支撑层。

3.1.4 身份标识服务层

为平台服务层提供身份认证的基础数据。

3.2 总体网络拓扑图

总体网络拓扑图如图5所示，主要分为四个部分：

图5：跨网域可信身份认证网络拓扑图

3.2.1 用户端不同网络的用户可采用PC 终端、移动端APP、自助终端机使用跨网域可信身份认证功能。

3.2.2 跨网域认证服务平台端

跨网域认证服务平台部署在政务云中。通过与互联网端提供的可信身份认证和标识密码技术服务，实现终端跨网域认证数据的秒级响应交互。

3.2.3 互联网端互联网端部署了可信身份认证和标识密码技术基础服务，为跨网域认证服务平台提供网络可信身份认证服务。

3.2.4 公安部一所CTID 平台端

为互联网端的可信身份认证平台，提供了基础认证数据。

4 主要技术特点

4.1 “CTID+IKI”构建网络可信生态

标识密码技术采用SM2、SM3、SM4 算法、标识密钥生成方法，具备实体标识计算证明标识的特性，签名具有不可抵赖性，符合《中华人民共和国密码法》和《中华人民共和国电子签名法》。

CTID 平台由国家权威部门牵头建设，使用法定证件制证数据作为比对源，通过实名核验、活体检测、人脸比对，实现人证合一，确保信息源权威性，比对结果安全可信。以 CTID 平台网证在应用域内的 PID 为实体标识，使用 IKI 标识密码技术计算生成密钥，为用户生成唯一的可信身份标识，通过数字签名技术，保障用户在网络应用业务流程中行为可靠，实现网络行为可信，确保用户网上行为具有法律效力，从而构建了完整的网络可信体系生态环境。

4.2 采用标识密码技术保证各网域之间数据处理、传输、存储等过程安全

部署在公安网、政务网、互联网的各政务服务平台及跨网域认证服务平台后台都配备基于标识密码技术，提供数字签名/验签，加密/解密等安全密码服务的签名验签服务器。两个平台发出的数据都经过签名并加密，接受的数据都经过解密并验签再解析，请求/响应数据都保存至数据库备份，以保证平台之间数据交互可追溯、防篡改、抗抵赖。

4.3 标识密码技术及配套软硬件在各终端的应用

部署在公安网、政务网、互联网的各政务服务平台面向公安、政务、线上金融、医疗、教育等应用PC 端、移动端提供可信身份认证及安全密码服务。

配套的标识密码技术软硬件包括智能密码钥匙、安全芯片、移动智能终端软件密码模块、Java/C等主流编程语言SDK软件模块等，能为各政务服务平台应用提供设备集成多形态、应用业务多场景、不同场景安全等级多层次的支撑，有效满足市场化需求。

5 应用案例

5.1 警员身份认证

2021年8月，在隶属于公安专网的包头市公安局“互联网+政务”民生服务平台中实现了警员刷脸登录，替代以往通过用户名+密码进行身份认证的登录方式，充分发挥可信身份认证跨网域技术的优势和安全效果，有效保护警员登录应用系统过程中身份信息的安全，同时只有警员本人才能访问应用系统，实现强身份认证机制，以确保警员身份的真实性。目前跨网域警员可信身份认证日均认证量可达300 ～400 人次。

5.2 政务推广

2021年9月，包头市政务服务大厅业务办理窗口及自助机设备接通了跨网域可信身份认证服务，调用工信局共享服务平台的身份核验接口，通过后台在线核验居民身份证及人脸生物特征识别，解决了窗口工作人员采用人工肉眼进行身份认证时，因工作经验不足或办事群众面部特征改变等因素出现的判断失误、认证错误等问题，实现了“实名、实人、实证”网络身份认证基础服务，提高了身份认证的准确率及办事窗口工作效率。目前包头市及各旗县政务服务大厅人工窗口约220 个，自助机设备约30 台，均提供了跨网域可信身份认证服务。

为持续加强“互联网+政务”线上服务和线下办事紧密融合，实现实名用户精准化，公积金管理中心8 个网点，50 个窗口将要对接跨网域可信身份认证服务，共同构建一体化网络可信身份体系。

5.3 智能门禁系统

内蒙古包头市公安局科信支队在市局范围内全面推广智能门禁系统的应用。该门禁系统包括智能门禁机、门禁系统管理平台和用户APP 等组成部分，其中具有用户权限管理、数据下发等功能的门禁系统管理平台部署在公安专网内；智能门禁机和用户APP 分布于互联网端，依托于跨网域认证服务平台进行身份核验实现警员刷脸开门，加强门禁系统的安全性，提升了使用的便捷性。

5.4 应用拓展

为能够高质量服务于政务应用领域，加快网上政务办理审批的能力，包头市公安局搭建了基于标识密码技术的电子印章管理系统，在治安、交管、户籍等60 余项网办业务事项中，实现了群众在互联网端提交申请，政务服务部门内部网络环境协同办公和审批的跨网域应用，为进一步实现电子印章跨部门、跨地区协同打下夯实的基础。电子印章在政务服务平台各项在线便民服务应用中，充分结合跨网域可信身份核验的权威性及便捷性，提供实人身份核验服务，确保群众办理业务的真实性。

6 结语

基于跨网域的核心技术，打通了公安网、政务网、互联网在身份核验、电子印章等方面的交互壁垒，在物理隔离的网络间实现了数据安全传输和可信身份的跨网域认证，构建了网络可信身份服务体系，提升了“互联网+政务服务”能力，不断拓展应用向社会提供可信身份认证服务，助推全社会的“互联网+政务服务”应用发展。通过“让群众少跑腿，让数据多跑路”，群众足不出户就能完成业务办理，提升社会整体效率改善营商环境。