隨著傳統(tǒng)金融機構(gòu)業(yè)務互聯(lián)網(wǎng)化和新型互聯(lián)網(wǎng)金融模式的快速發(fā)展，用戶在享受便捷服務的同時，由于互聯(lián)網(wǎng)空間中身份的虛擬性和不確定性，難以對其行為進行監(jiān)督和規(guī)范，信息泄露、暗網(wǎng)交易、數(shù)據(jù)清洗等引發(fā)的欺詐風險急劇增加，嚴重危害人民群眾的財產(chǎn)安全和合法權益?；ヂ?lián)網(wǎng)信任與身份管理體系是安全的基石，在各種實體間建立信任關系，實行統(tǒng)一的身份管理，是支付交易、資金結(jié)算、信息共享等各類互聯(lián)網(wǎng)業(yè)務的前提。

　　eID身份認證技術能夠在保證個人隱私數(shù)據(jù)安全存儲的前提下，便捷有效的實現(xiàn)客戶身份驗證，避免信息泄露。本文針對eID技術發(fā)展現(xiàn)狀及前沿探索情況進行了梳理。

　　eID介紹

　　(一)eID基本概念

　　公民網(wǎng)絡電子身份標識(electronic Identity,以下簡稱eID)是由公安部公民網(wǎng)絡身份標識系統(tǒng)統(tǒng)一簽發(fā)，以密碼技術為基礎、智能芯片為載體，用于在互聯(lián)網(wǎng)上遠程識別身份的、普適性的網(wǎng)絡電子身份標識。

　　(二)eID主要功能

　　1.身份認證

　　eID的核心功能是身份認證，幫助線上應用遠程識別訪問者的身份。認證方式有兩種：實名認證和可追溯匿名認證。

　　(1)實名認證(人證合一)

　　當線上應用需要知道訪問者的真實身份時，可采用實名認證服務。用戶在客戶端輸入自己的姓名和身份證號，并用自己的eID卡對身份信息進行簽名，然后將身份信息和eID簽名提交至服務器。服務器調(diào)用實名認證接口完成信息核驗，確認當前訪問者的真實身份與其所生成的身份一致。

　　(2)可追溯匿名認證

　　當線上應用不需要知道訪問者的真實身份，只需獲得一個唯一標識時，可采用可追溯匿名服務。用戶只需在客戶端對隨機數(shù)進行eID簽名，服務器調(diào)用匿名認證接口，獲得用戶的匿名網(wǎng)絡身份，作為當前用戶在本系統(tǒng)的標識使用。

　　2.數(shù)字簽名

　　eID的載體中具有用戶私鑰，能對數(shù)據(jù)電文簽名，可作為交易保護的技術手段?；趀ID的簽名驗簽技術可以有效驗證線上行為是否出自本人意愿，具有對抗抵賴的優(yōu)勢。

　　3.身份標記化

　　eID網(wǎng)絡身份標識是依據(jù)國家標準(20120532-T-469《網(wǎng)絡電子身份格式規(guī)范》)針對公民身份做的統(tǒng)一編碼，實現(xiàn)公民身份的統(tǒng)一標記化。eID網(wǎng)絡身份標識編碼體系可以防止大數(shù)據(jù)環(huán)境下對用戶網(wǎng)絡身份的追蹤。

　　(三)eID的技術實現(xiàn)

　　1.密碼技術(PKI體系)

　　公鑰基礎設施(Public Key Infrastructure，以下簡稱PKI)是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范。利用公共密鑰算法，建立證書發(fā)放、管理和使用的體系，支持和完成網(wǎng)絡系統(tǒng)中的身份認證、信息加密、保證數(shù)據(jù)完整性和抗抵賴性。公共密鑰算法原理是使用一個公共密鑰和一個私有密鑰，由一個密鑰進行加密的信息內(nèi)容，只能由與之配對的另一個密鑰才能進行解密。公鑰可以廣泛地發(fā)給與自己有關的通信者，私鑰則需要十分安全地存放起來。eID通過采用PKI體系數(shù)字證書技術，保障信息在存儲、傳輸和交換過程中的安全。用戶使用eID向應用方自證身份時，應用方會向“公安部公民網(wǎng)絡身份識別系統(tǒng)”發(fā)出請求，以核實用戶網(wǎng)絡身份的真實性和有效性。用戶身份通過驗證，應用方會得到用戶在當前應用上的“網(wǎng)絡身份應用標識編碼”用于標識用戶。由于用戶在不同的線上應用的網(wǎng)絡身份應用標識編碼不同，可避免用戶線上應用中的行為數(shù)據(jù)被匯聚、分析和追蹤。

　　2.標識編碼技術(eIDCode/AppeIDCode)

　　網(wǎng)絡身份標識編碼體系可以落實“前臺匿名，后臺實名”的網(wǎng)絡身份安全管理要求，避免用戶在不同網(wǎng)絡應用中的行為數(shù)據(jù)被匯聚、分析和追蹤，保護個人身份和隱私信息。

　　我國eID發(fā)展歷程

　　(一)我國eID項目確立

　　十二五期間公安部第三研究所牽頭國家863信息安全重大專項—eID網(wǎng)域空間身份管理。目前該項目已完成原型系統(tǒng)的研制和技術驗證，建成“公安部公民網(wǎng)絡身份識別系統(tǒng)”。國家發(fā)展改革委專門設立“網(wǎng)絡真實身份管理系統(tǒng)”、“下一代互聯(lián)網(wǎng)環(huán)境下網(wǎng)絡身份驗證應用示范”、“面向下一代互聯(lián)網(wǎng)的eID市民卡”等多個信息安全專項，由公安部第三研究所承擔建設與產(chǎn)業(yè)化任務。

　　(二)eID標準體系建立

　　全國信息安全標準化技術委員會發(fā)布了《網(wǎng)絡電子身份格式規(guī)范》等4項eID相關國標。2013年公安部標委會發(fā)布了《網(wǎng)絡電子身份標識eID載體安全技術要求》等7項eID管理類的公安行業(yè)標準。2016年中國通信標準化協(xié)會發(fā)布了《網(wǎng)絡電子身份標識eID術語規(guī)范》、《網(wǎng)絡電子身份標識eID體系架構(gòu)》等eID相關標準20余項，初步形成eID標準體系框架，有助于規(guī)范技術路線，推動產(chǎn)業(yè)的延伸和擴展。

　　(三)eID應用體系說明

　　eID登記發(fā)行及服務流程涉及下圖所示的機構(gòu)或系統(tǒng)。

　　1.eID登記發(fā)行階段

　　此階段涉及“公安部公民網(wǎng)絡身份識別系統(tǒng)”、eID登記發(fā)行機構(gòu)和自然人用戶。eID登記發(fā)行機構(gòu)為與公安部第三研究所合作的銀行。用戶在eID登記發(fā)行機構(gòu)申領eID載體并開通時，公安部第三研究所對用戶個人信息處理措施如下：

　　(1)為確定用戶身份，用戶申領eID載體及開通時，需提供個人信息，包括姓名、身份證號等。

　　(2)簽發(fā)eID時，有可能需要通過人臉識別技術來確定用戶的身份，因此用戶需提供用戶的臉部照片。

　　(3)為了關聯(lián)用戶的eID與eID載體，用戶需提供載體的硬件識別標識。

　　(4)在eID登記發(fā)行階段獲取的個人身份信息，遵循前臺匿名后臺實名原則進行保護。前臺匿名是指在身份驗證過程中通過eID標識完成，eID標識不能逆推出個人身份信息。后臺實名是指個人信息存儲于與互聯(lián)網(wǎng)物理隔絕的后臺內(nèi)網(wǎng)系統(tǒng)中。

　　2.eID服務階段

　　此階段涉及“公安部公民網(wǎng)絡身份識別系統(tǒng)”、eID網(wǎng)絡身份運營和服務機構(gòu)、線上應用機構(gòu)和自然人用戶。用戶在線上應用機構(gòu)使用服務時，根據(jù)線上應用機構(gòu)的需求和設置，用戶需要通過eID來證明自己的身份或意愿。在此階段，用戶的個人信息使用情況如下：

　　(1)實名身份認證服務

　　使用服務需要用戶輸入姓名、身份號碼信息，然后對提交的身份信息進行簽名確認。線上應用機構(gòu)會提供用戶的姓名、身份號碼信息、eID載體以及證書信息，后臺服務將eID載體和證書信息轉(zhuǎn)化為對應的eID標識并通過密碼算法驗證與姓名、身份號碼信息的一致性，然后提供用戶的身份認證結(jié)果。

　　(2)匿名身份認證服務

　　在此服務中，用戶無須提供個人的身份信息。對于已合法持有用戶身份信息的線上應用機構(gòu)，按照約定方式對應用端身份信息進行特定標記轉(zhuǎn)換，應用機構(gòu)可以在用戶不輸入身份信息的前提下，通過驗證簽名結(jié)果獲得用戶身份的特定標記，完成eID身份與應用端身份信息的一致性驗證。

　　(3)簽名驗簽服務

　　用戶可通過簽名，實現(xiàn)本人對所簽名內(nèi)容的認可?？捎糜陔娮诱?，電子商務中電子合同簽約、賬戶登錄、快捷支付、密碼找回等場景。在此服務中，用戶無須提供個人的身份信息。

　　(四)eID載體說明

　　在國內(nèi)，eID目前主要有通用eID與SIMeID兩種，其中通用eID加載于銀行金融IC卡、社?？?、USBkey等。SIMeID主要加載于支持SIM卡功能的載體，常見的有SIM卡和SIM貼膜卡兩種。

　　(五)不同載體的優(yōu)劣性

　　eID是基于PKI的身份認證，但不同形式eID的區(qū)別如下表所示：

　　Mobile-ID在我國稱為SIMeID，其優(yōu)勢在于方便快捷，不需要額外的讀卡器和安裝軟件即可使用。SIM卡芯片內(nèi)部擁有獨立的處理器、安全存儲單元和密碼運算處理器，只能運行專用安全芯片操作系統(tǒng)，其內(nèi)建芯片安全機制可以抵抗物理和邏輯攻擊，確保芯片內(nèi)部數(shù)據(jù)無法被非法讀取、篡改或使用。

　　SIMeID推廣應用情況簡介

　　國內(nèi)部分銀行已逐步開展SIMeID試點工作，著手搭建具備eID功能的應用，將實現(xiàn)用戶在遠程開戶、轉(zhuǎn)賬匯款等環(huán)節(jié)使用SIMeID身份認證和電子簽名功能。

　　在非金融行業(yè)，SIMeID應用正在研究推進中，例如深圳市中信網(wǎng)安認證有限公司與公安部第三研究所聯(lián)合開發(fā)搭建“互聯(lián)網(wǎng)電子身份認證平臺”。