互聯(lián)網(wǎng)認證體系是生態(tài)鏈 指紋認證跳出技術(shù)本身

　　在互聯(lián)網(wǎng)時(shí)代，信息開(kāi)放共享的同時(shí)，如何進(jìn)行安全的身份認證，又不泄露個(gè)人敏感信息，保障個(gè)人信息安全成為了各行業(yè)主管和監管部門(mén)、各大互聯(lián)網(wǎng)公司思考的問(wèn)題。身處這樣的時(shí)代，公安部第一研究所(以下簡(jiǎn)稱(chēng)“公安部一所”)推出了基于第二代居民身份證(以下簡(jiǎn)稱(chēng)“二代證”)的網(wǎng)絡(luò )身份認證方案。在此，筆者有幸拜訪(fǎng)了公安部一所，請于銳副所長(cháng)講講二代證如何在互聯(lián)網(wǎng)身份認證中應用。

　　公安部一所于銳

　　應用人臉活體驗證身份證網(wǎng)上應用很安全

　　在去年的第二屆世界互聯(lián)網(wǎng)大會(huì )上，公安部一所推出中國居民身份證網(wǎng)上應用項目，通過(guò)結合生物特征識別、密碼驗證技術(shù)，將二代證直接用于互聯(lián)網(wǎng)的身份認證，有效防止了”冒用“，降低了個(gè)人信息泄露的風(fēng)險。在采訪(fǎng)當中，公安部一所工作人員也向記者展示了基于二代證的網(wǎng)絡(luò )身份認證程序，通過(guò)具有NFC功能的手機識別二代證，結合使用網(wǎng)上副本與人臉活體認證完成驗證，確保了“實(shí)證、實(shí)人”。那么除了人臉識別，公安部一所是否考慮其他認證技術(shù)呢?比如當下火熱的指紋認證。

　　于銳表示：“這需要跳出認證技術(shù)本身，整個(gè)互聯(lián)網(wǎng)身份認證體系是一個(gè)生態(tài)鏈，可信程度不同，采取安全級別強度不同的身份認證方法，例如瀏覽網(wǎng)頁(yè)不需要任何認證，而涉及金融那就需要安全強度很高的認證技術(shù)，所以整個(gè)互聯(lián)網(wǎng)生態(tài)體系形成了一個(gè)信任鏈的傳遞。而我們做的，是把根據國家相關(guān)法律法規要求，由特定行政機關(guān)簽發(fā)、面向全社會(huì )應用、具備法定效力的居民身份證作為信任基礎，由其引伸出信任強度不同的認證手段。而指紋與人臉，專(zhuān)業(yè)上來(lái)說(shuō)，指紋是強隱私特征，非個(gè)人意愿難以獲取，當下指紋技術(shù)互聯(lián)網(wǎng)應用安全風(fēng)險較高，通過(guò)指紋特征可以逆向偽造指紋圖像，信息安全難以保障。而人臉是弱隱私特征，“人臉就是給人看的“，同時(shí)，通過(guò)人臉逆向獲得個(gè)人圖像較難。”

　　據了解，公安部一所現在主推基于居民身份證、采用活體人臉識別技術(shù)的可信身份認證工作，已經(jīng)在廈門(mén)、浙江、河南、南寧等地進(jìn)行試點(diǎn)。

　　推動(dòng)身份證NFC應用芯片商手機商齊入伙

　　二代證網(wǎng)上應用除了人臉識別技術(shù)，還涉及一個(gè)非常復雜的產(chǎn)業(yè)鏈，那就是NFC。在去年，中國移動(dòng)自主品牌NFC手機N1已實(shí)現二代證的識別，那么未來(lái)是不是有更多的NFC手機可以識別二代證呢?這樣是否安全?

　　于銳表示，N1是公安部一所和中國移動(dòng)合作開(kāi)發(fā)的中國第一款可以通過(guò)NFC與二代證進(jìn)行數據交互的智能手機。以此為契機，2015年底公安部一所組織電信運營(yíng)商和NFC芯片廠(chǎng)商以及包括中興、華為在內的國內一線(xiàn)手機生產(chǎn)商組成立了標準起草工作組，啟動(dòng)NFC與二代證進(jìn)行數據交互的國家標準制定工作，專(zhuān)門(mén)推動(dòng)二代證NFC識別在手機端的應用，在產(chǎn)業(yè)鏈源頭上讓智能終端支持二代證識別，目前，該標準已完成公示和征求意見(jiàn)，形成了送審稿。

　　目前，除中國移動(dòng)外，中興、華為、小米、錘子、三星等廠(chǎng)商均推出了可通過(guò)NFC識別二代證的手機，從產(chǎn)業(yè)鏈的角度來(lái)說(shuō)，NFC支持二代證識別，不僅僅是推動(dòng)二代證網(wǎng)上應用，更主要的可以拓展NFC的行業(yè)應用，豐富NFC應用場(chǎng)景。

　　此外，除了于銳副所長(cháng)提及的NFC硬件產(chǎn)業(yè)協(xié)作的問(wèn)題外，在公安部一所的展廳，記者還體驗了身份證網(wǎng)上副本的申請過(guò)程。在身份證網(wǎng)上副本自助申請設備上，記者只需使用本人二代證就可完成網(wǎng)上副本的申請，同時(shí)，還可為身份證設置一個(gè)“認證碼”，“簡(jiǎn)單來(lái)講，認證碼起到了類(lèi)似于信用卡的交易密碼的作用”公安部一所工程師介紹。

　　在介紹二代證網(wǎng)上應用時(shí)，于銳副所長(cháng)一直強調，二代證網(wǎng)上應用不是簡(jiǎn)單的身份證信息的比對，而是交互，是二代證本身與其網(wǎng)上副本以及可信認證平臺的交互，NFC手機僅是通道。

　　對產(chǎn)業(yè)發(fā)展秉持開(kāi)放態(tài)度二代證網(wǎng)絡(luò )解碼或受整頓

　　在問(wèn)及對整個(gè)產(chǎn)業(yè)鏈影響，是否會(huì )滋生更多商機時(shí)。于銳表示：“除了搭建基礎認證平臺外，公安部一所對整個(gè)產(chǎn)業(yè)鏈的推動(dòng)力是有限的，希望各行各業(yè)能夠在符合應用標準的前提下，尋找到商機，共同推動(dòng)二代證網(wǎng)上應用的發(fā)展。”在與各行各業(yè)的合作方面，“我們不參與網(wǎng)絡(luò )服務(wù)商的交易，不干涉網(wǎng)民的行為。公安部一所做的事情更多是服務(wù)，我們專(zhuān)注于構建互聯(lián)網(wǎng)身份認證服務(wù)平臺，基于此，公安部一所秉持開(kāi)放的態(tài)度，將與網(wǎng)絡(luò )服務(wù)商共同認證對接模式，共同構建我國的網(wǎng)絡(luò )可信體系。”

　　對于目前市面上出現了許多身份證SAM網(wǎng)絡(luò )遠程解碼方案(在后臺服務(wù)器上部署安全模塊，為多個(gè)網(wǎng)絡(luò )讀頭提供解碼服務(wù))是否合規等問(wèn)題，于銳副所長(cháng)表示，根據《GA467-2004居民身份證驗證安全模塊接口技術(shù)規范》、《GA450-2013臺式居民身份證閱讀器通用技術(shù)要求》規定，安全模塊和射頻模塊作為居民身份證閱讀機具的兩核心部件，(二者之間)接口必須采用本地緊耦合連接模式。將安全模塊從居民身份證閱讀機具中拆離部署在數據中心，通過(guò)互聯(lián)網(wǎng)遠程實(shí)現對二代證的防偽驗證和信息讀取，明顯不符合上述技術(shù)規范要求，同時(shí)相關(guān)軟硬件產(chǎn)品也沒(méi)有中國安全技術(shù)防范認證中心核發(fā)的認證標識，屬于違規生產(chǎn)和使用。使用不合規產(chǎn)品查驗居民身份證，存在極大的技術(shù)風(fēng)險、社會(huì )風(fēng)險和法律風(fēng)險，國家有關(guān)部委未來(lái)將在政策層面對該行為進(jìn)行整頓，相關(guān)責任人甚會(huì )承擔法律責任。

　　于銳副所長(cháng)在采訪(fǎng)中反復提到基礎與服務(wù)兩個(gè)字眼，可見(jiàn)公安部一所有志于建立我國網(wǎng)絡(luò )身份認證體系的基礎平臺，為國內互聯(lián)網(wǎng)發(fā)展服務(wù)。

　　二代證網(wǎng)上應用一直是業(yè)界關(guān)注的熱點(diǎn)，隨著(zhù)項目試點(diǎn)的推進(jìn)，產(chǎn)業(yè)合作的深化，相信二代證網(wǎng)上應用技術(shù)將逐步在各行各業(yè)得到使用，屆時(shí)中國公民將享受到更加便利的政務(wù)服務(wù)，與此同時(shí)，個(gè)人信息的網(wǎng)絡(luò )使用也將更加安全。