写点什么

当我们在谈论 eID 的时候,我们在谈论什么?

  • 2019-08-19
  • 本文字数:3135 字

    阅读完需:约 10 分钟

当我们在谈论eID的时候,我们在谈论什么?

假期和家人外出游玩,在景区停车场观察到一个数据安全问题:车主们习惯在车上留下挪车电话,以免影响其他车主,但此时手机号码隐私安全存在比较大的隐患。其实也有其他方法可以选择,比如换为留一张加密手机号码的二维码,让对方扫码拨打加密手机号码挪车,即可解决泄露手机号码隐私这个问题。


通过此现象联想到类似问题——实名认证,这个词相信大家都不陌生了,很多常用的移动应用都会要求用户进行实名认证。


实名认证一词最早来源于威客网,指在注册网络 ID 时需要对用户的身份信息真实性进行核查。实名认证的形式运用在线下场景较早,例如机票购买、酒店住宿、银行开户等等都需要身份信息登记备案。后来随着网络信息技术的推广运用,实名认证的说法开始出现,通过线上使用的频率扩散开来,主要用于网络交流、网站注册等的保证。


实名认证的做法一开始就是以保障三方面权益为目的,一方是顾客,二方是商家,三方是中介。希望通过一张身份证来保护各方安全,实名认证的出发点很好,但是又和个人隐私安全存在些矛盾,相关保护措施若是缺失或者存在漏洞,将会危及到个人隐私安全。关于用户隐私数据信息泄露的案例国内外也有很多,这不是个小问题。针对这个问题,一个比较好的解决方案是 eID 认证。

eID 的定义

国际上对 eID 的定义是:“由政府颁发给公民的用于线上和线下识别身份的证件”。在我国,有别于用于线下身份识别的第二代身份证,eID 是用于线上身份识别。


像欧盟的多个国家已经颁发了 eID 来替代传统的身份证件,使 eID 既具备了线下身份识别的功能,又具备了网络远程身份识别的功能。目前,已经发行 eID 的国家和地区有德国、法国、西班牙、意大利、俄罗斯、比利时、爱沙尼亚、奥地利、丹麦、芬兰、葡萄牙、斯洛文尼亚、立陶宛、马耳他、卢森堡、荷兰、瑞典、冰岛、阿联酋以及我国香港特别行政区等。其中,eID 在德国、西班牙、意大利、比利时、爱沙尼亚和奥地利已经普及,广泛用于电子政务、电子商务、社交网络等各个领域。



在我国,eID 是以密码技术为基础、以智能安全芯片为载体,由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识,能够在不泄露身份信息的前提下在线远程识别身份。根据载体类型的不同,eID 目前主要有通用 eID 与 SIMeID 两种,其中通用 eID 常加载于银行金融 IC 卡、USBkey、手机安全芯片等;SIMeID 主要加载于支持 SIM/USIM 功能的载体,常见的有 SIM 卡、USIM 卡、SIM 贴膜卡、eSIM 芯片等。使用 eID 相关产品和服务时,请认准 eID 标识。


eID 产生的背景

目前国内的网络远程身份验证普遍使用“关联比对”方法,即将用户输入的“姓名+公民身份号码”等个人信息传到后台,通过对个人信息的正确性进行比对来认定其身份。


“关联比对”方法在大规模应用的场景下主要存在几个问题:


  • 个人信息比对正确并不能代表本人真实意愿,无法防范个人身份被冒用或盗用的风险;

  • 容易造成个人信息泄露。采集个人信息的网络应用服务机构安全水平不一,个人信息大规模泄露的风险越来越高。


面对以上问题,eID 在权威性、安全性、普适性、隐私性方面具有其他技术不可比拟的优势,可满足公民在个人隐私、网络交易及虚拟财产等多方面的安全保障需求:


  • 权威性:eID 基于面对面的身份核验,由“公安部公民网络身份识别系统”统一签发,可进行跨地域、跨行业的网络身份服务;

  • 安全性:eID 含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用;

  • 普适性:eID 不受载体物理形态的限制,只要载体中的安全智能芯片符合 eID 载体相关标准即可;

  • 隐私性:eID 的唯一性标识采用国家商用密码算法生成,不含任何个人身份信息,有效保护了公民身份信息。

eID 实施框架

eID 的实施框架图中的“五位一体”分为下面五个角色:



  • eID 签发中心

  • eID 签发中心是由公安部第三研究所承建的“公安部公民网络身份识别系统”,承担 eID 签发和管理职能。

  • eID 登记发行机构

  • 承担 eID 载体的登记和发行职能,可提供加载 eID 的载体、有着广泛的发行渠道和严格的身份审核及面签程序的机构均可申请成为 eID 的登记发行机构。

  • 目前发行机构如:中国工商银行、中国建设银行和北京农商银行等。

  • eID 网络身份运营机构(IDSO)

  • eID 网络身份运营机构(“IDSO”,即 Identity Service Operator,简称为“eID 运营机构”),连接 eID 签发机构与 eID 网络身份服务机构,承担 eID 网络身份识别基础服务,并与 eID 网络身份服务机构合作向线上应用机构提供 eID 网络身份公共增值服务和相关安全增值服务。

  • 目前只有两家运营机构:金联汇通和辰通信息。

  • eID 网络身份服务机构(IDSP)

  • eID 网络身份服务机构(“IDSP”,即 Identity Service Provider,简称为“eID 服务机构”),连接 eID 网络身份运营机构与线上应用机构,向线上应用机构提供 eID 网络身份增值服务。


机构和应用申请接入流程可参考:http://eid.cn/cooperation/jieruliucheng.html

eID 相关流程


“公安部公民网络身份识别系统”向用户签发 eID 时,会以用户个人身份信息和随机数计算出一个唯一代表用户身份的编码,即用户的网络身份标识编码(eIDcode)。该编码不含任何个人身份信息,且不可逆推出个人身份信息。


用户使用 eID 通过网络向应用方自证身份时,应用方会通过连接“公安部公民网络身份识别系统”的运营和服务机构,请求验证核实用户网络身份的真实性和有效性。一旦用户网络身份通过验证,应用方会得到一个与该应用相对应的用户网络身份应用标识编码(appeIDcode)。


因此,虽然用户拥有唯一的网络身份标识编码(eIDcode),但在不同的应用机构只能得到不同的网络身份应用标识编码(appeIDcode),从而避免用户在不同网络应用中的行为数据被汇聚、分析和追踪,最大程度的保护个人身份和隐私信息。

eID≠“网络实名制”

eID 是保护个人身份信息的网络电子身份标识,当网络应用要求用户实名注册时,用户可以通过 eID 自证合法身份,目前在试点阶段,并不强制使用。


在线下,根据《居民身份证法》用户可以持本人身份证自证身份;但在线上,以身份证或公民身份号码等身份信息自证身份不能确保身份的可靠性(例如被别人冒用身份),且面临身份信息泄露的风险,而 eID 可以解决这个难题。


(如果大家有关于 eID 的问题,欢迎留言一起讨论!)


延展问题


Q1 中国目前有什么手机可以载入这种 eID?


A1:eID 在手机内置硬件设备上进行试点的要求是:手机芯片内必须要内置独立的 SE 安全芯片。


在 2017 年华为推出的麒麟 970 处理器上集成了 SE 安全芯片,该芯片独立于手机运算。到目前为止,高通的处理器中只有骁龙 845 处理器手机内置了 SE 芯片,国内手机厂商使用此芯片的不多。另外,从安全层面考虑,目前的试点还是会基于国产芯片进行。


基于上面两个原因,华为目前是第一个 eID 手机硬件试点厂商。


详细信息可参考:http://eid.cn/eidfiles/html/news/20180822/20180822101147_889.html


Q2 看起来 SIMeID 方便吧?为什么还没开始推广?


A2: eID 目前还处于试点阶段,不是强制阶段。2018 年 6 月 eID 与中移动集团 SIMeID 合作,启动了 SIMeID 合作项目,目前还在试点阶段,在深圳和江西等地已经开始有试点。


当然,SIMeID 方案一是解决了加载 eID 的金融 IC 卡使用过程中需要读卡设备或 NFC 手机的问题,二是支持用户可以在不更换原有 SIM 卡的情况下使用 SIMeID,使用更加简单方便。更重要的是,SIM 贴膜卡芯片使用国产安全芯片和国密算法,真正做到保障用户信息安全。后续推广 SIMeID 会更快速些。


详细信息可参考:http://eid.cn/eidfiles/html/news/20180628/20180628142454_452.html


参考资料



本文转载自公众号 TalkingData(ID:TalkingData)


原文链接


https://mp.weixin.qq.com/s/3ysEgJRpSg2r0feCeWsQrA


2019-08-19 08:003147

评论

发布
暂无评论
发现更多内容

购物中心的运营保障,数衍科技数据桥接服务系统升级

科技怪咖

皮皮APP夏日防溺水公益讲座 联动武汉长江救援队筑建生命安全线

联营汇聚

基于STM32设计的拼图小游戏

DS小龙哥

8月月更

数据库中存媒体文件的字段用什么类型?一文带你了解二进制大对象BLOB

wljslmz

数据库 8月月更

一加和OPPO是什么关系?我来揭秘

Geek_8a195c

仅用3年!青软集团跃升华为云教育类目伙伴TOP2

科技怪咖

Flu tter开发小技巧

坚果

开源 8月月更

4.0 SDK Workshop 纪实:一起体验多人、多屏幕共享新功能

声网

人工智能 音视频

活动预告(29日)|诚邀您参与AWS & 观测云「可观测性体验日」

观测云

C/CPP中int和string的互相转换详解与多解例题分析

CtrlX

c c++ 后端 数据类型 8月月更

数据点按时间间隔以及数据值分割数据块

waitmoon

算法 SLO

开源一夏 |分布式事务--TCC解决方案

六月的雨在InfoQ

开源 分布式事务 TCC 最终一致性 8月月更

从事DevOps工作应该掌握哪些语言及工具

穿过生命散发芬芳

DevOps 8月月更

风险组件已经升级到最新版本,仍然提示风险,如何快速解决——kaptcha 安全漏洞

墨菲安全

Kaptcha 漏洞修复 开源安全 漏洞检测 开源安全与治理

微博系统“微博评论”高性能高可用计算架构

张立奎

计算机接口技术复习题(1-6章)

乌龟哥哥

8月月更

ARMS实践|日志在可观测场景下的应用

阿里巴巴中间件

阿里云 云原生 可观测

看准六点,帮你选对客户体验管理(CEM)系统

科技怪咖

悲观锁和乐观锁的区别以及实现方式

浅羽技术

Java 面试 面试题 秋招 8月月更

分布式雪花算法

源字节1号

前端开发 后端开发

云途加油站 | 一文读懂 Dynatrace 与Amazon Lambda 的“双剑合璧心法”

亚马逊云科技 (Amazon Web Services)

数据库 Serverless Lambda

自动化测试如何解决日志问题

老张

自动化测试 日志处理

【数据结构实践】从0到1带你利用Python实现自定义集合

迷彩

数据结构 集合运算 8月月更 自定义集合

解决 Flutter 嵌套过深,是选择函数还是自定义类组件?

岛上码农

flutter ios 前端 安卓开发 8月月更

[CSS入门到进阶] 外国前端开发者说的 Intrinsic Ratios in css 是什么意思?

HullQin

CSS JavaScript html 前端 8月月更

直播预告 | PolarDB-X 动手实践系列—— PolarDB-X on OSS 冷热数据分离存储

阿里云数据库开源

数据库 阿里云 开源 分布式 PolarDB-X

老板问我要ROI,我让他先挑宽门or窄门

科技怪咖

新元联手倍市得,以数字化手段实现人才公租房项目满意度持续监测

科技怪咖

合成资产赛道风云突变,Linear Finance有望成为最具潜力的黑马

鳄鱼视界

每日一R「14」错误处理

Samson

学习笔记 8月月更 ​Rust

数衍科技与超市发达成合作,共同探索数字小票的新应用

科技怪咖

当我们在谈论eID的时候,我们在谈论什么?_安全_韩广利_InfoQ精选文章