基于eid的手機(jī)實(shí)名制認(rèn)證風(fēng)險(xiǎn)分析

基于eid的手機(jī)實(shí)名制認(rèn)證風(fēng)險(xiǎn)分析

實(shí)名制認(rèn)證存在漏洞手機(jī)認(rèn)證是指用戶(hù)在處理手機(jī)接入、轉(zhuǎn)讓和其他業(yè)務(wù)時(shí)，必須提供實(shí)際身份信息。目前,各運(yùn)營(yíng)商按工信部部署,不僅要求新入網(wǎng)用戶(hù)全量實(shí)名登記,也通過(guò)優(yōu)惠政策,引導(dǎo)未實(shí)名認(rèn)證的老用戶(hù)補(bǔ)充登記身份信息。目前,各運(yùn)營(yíng)商實(shí)名認(rèn)證大都是基于二代身份證,借助二代身份證讀卡校驗(yàn)設(shè)備、實(shí)名制認(rèn)證專(zhuān)用App等手段進(jìn)行認(rèn)證。需要指出的是,這些認(rèn)證手段與流程存在一些風(fēng)險(xiǎn)與漏洞。一是使用偽造證件通過(guò)認(rèn)證風(fēng)險(xiǎn)。在現(xiàn)場(chǎng)驗(yàn)證場(chǎng)景,因讀卡校驗(yàn)設(shè)備僅可識(shí)別二代身份證真?zhèn)?對(duì)于持戶(hù)口簿、軍人與武警身份證件等實(shí)名認(rèn)證的情況,僅能通過(guò)工作人員主觀鑒別、手工錄入方式進(jìn)行登記,存在使用偽造證件通過(guò)認(rèn)證的可能性。在非現(xiàn)場(chǎng)驗(yàn)證場(chǎng)景,因無(wú)法對(duì)實(shí)體證件進(jìn)行真?zhèn)涡ｒ?yàn),即便證件信息準(zhǔn)確無(wú)誤,也存在偽造證件通過(guò)認(rèn)證的可能性。二是認(rèn)證信息與使用人不一風(fēng)險(xiǎn)。實(shí)名認(rèn)證要求通過(guò)“人證合一”審核,確保認(rèn)證信息與號(hào)碼使用人一致,但在實(shí)際操作中并不能百分百做到。對(duì)于App認(rèn)證方式,持證人也可利用圖像合成技術(shù),將二代身份證與他人照片合成從而通過(guò)審核。針對(duì)此類(lèi)情況,目前各運(yùn)營(yíng)商后臺(tái)系統(tǒng)尚無(wú)法識(shí)別,從而影響了實(shí)名制的準(zhǔn)確率與真實(shí)性。三是用戶(hù)信息被泄露與盜用風(fēng)險(xiǎn)。推進(jìn)實(shí)名制的重要前提,就是個(gè)人信息安全應(yīng)得到保障。然而,在實(shí)際執(zhí)行中,個(gè)人信息被收集、販賣(mài)以獲利的情況時(shí)有發(fā)生,給用戶(hù)個(gè)人隱私帶來(lái)了不小的影響,甚至?xí)a(chǎn)生比較嚴(yán)重的社會(huì)問(wèn)題。eid的內(nèi)涵互聯(lián)網(wǎng)的快速發(fā)展,對(duì)網(wǎng)絡(luò)信息安全提出了更高要求。近年來(lái),國(guó)內(nèi)個(gè)人信息泄露現(xiàn)象呈上升趨勢(shì)。據(jù)統(tǒng)計(jì),從2011年到2014年年底,已泄露的中國(guó)公民信息多達(dá)11.27億條,成為網(wǎng)絡(luò)、電信詐騙的主要源頭。2014年10月,韓國(guó)三大銀行服務(wù)器被黑客攻破,80%用戶(hù)的隱私信息泄露,采用線(xiàn)下身份證識(shí)別線(xiàn)上身份是產(chǎn)生問(wèn)題的重要根源。我國(guó)身份證編碼規(guī)則與韓國(guó)相似,網(wǎng)絡(luò)身份識(shí)別也普遍依賴(lài)二代身份證。目前,居民注冊(cè)網(wǎng)站和自證身份時(shí),仍主要按照身份證信息填寫(xiě)姓名、身份證號(hào)甚至手機(jī)號(hào)、住址等。這不僅不符合“人證合一”原則,而且不能起到身份識(shí)別和防止冒用作用。此外,網(wǎng)站存儲(chǔ)的個(gè)人信息還面臨著被黑客攻擊、內(nèi)部偷盜風(fēng)險(xiǎn),存在泄露個(gè)人隱私信息的隱患。那么,如何有效解決線(xiàn)上身份識(shí)別問(wèn)題呢?電子身份證(EID)為我們提供了一種思路。EID是公安部第三研究所建設(shè)和開(kāi)發(fā),并由“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”簽發(fā)給公民的網(wǎng)絡(luò)電子身份標(biāo)識(shí),以密碼技術(shù)為基礎(chǔ),以智能安全芯片為載體,用于在網(wǎng)絡(luò)遠(yuǎn)程證實(shí)個(gè)人真實(shí)身份,可在嵌入安全智能芯片的銀行卡、社保卡、SIM卡、U盾中使用,是基于人口庫(kù)的權(quán)威、安全、保護(hù)用戶(hù)隱私的網(wǎng)絡(luò)身份標(biāo)識(shí),可進(jìn)行跨地域、跨行業(yè)的網(wǎng)絡(luò)身份服務(wù)。EID依托公安部全國(guó)公民身份信息庫(kù),利用用戶(hù)主動(dòng)提交的身份信息生成唯一的網(wǎng)絡(luò)標(biāo)識(shí)符和數(shù)字證書(shū)。從設(shè)計(jì)原則上看,EID只是一段網(wǎng)絡(luò)標(biāo)識(shí)符,本身不含任何用戶(hù)身份信息。從管理思路上看,EID的建立和管理由統(tǒng)一機(jī)構(gòu)進(jìn)行,從而既能做到真實(shí)身份識(shí)別,又可有效保護(hù)用戶(hù)身份信息。EID并非實(shí)體證件,其載體種類(lèi)與外形也不會(huì)對(duì)EID驗(yàn)證結(jié)果造成影響,只要載體中的安全智能芯片符合EID相關(guān)標(biāo)準(zhǔn)即可。市民只要持有效證件,在具有身份審核及面簽程序的EID登記發(fā)行機(jī)構(gòu)申請(qǐng),經(jīng)“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”審核簽發(fā),即可通過(guò)任意需要EID身份識(shí)別場(chǎng)景的認(rèn)證。EID既可通過(guò)貼近帶有NFC功能的手機(jī)背面完成無(wú)線(xiàn)認(rèn)證,也可結(jié)合EID讀卡器并輸入密碼,通過(guò)有線(xiàn)方式認(rèn)證。與實(shí)體社會(huì)居民身份證對(duì)應(yīng),EID是網(wǎng)絡(luò)社會(huì)管理的基礎(chǔ)設(shè)施,可以實(shí)現(xiàn)實(shí)體社會(huì)與網(wǎng)絡(luò)社會(huì)的統(tǒng)一管理,且具有以下優(yōu)點(diǎn):一是保護(hù)隱私。只憑姓名和EID,無(wú)需提供個(gè)人隱私信息,即可完成認(rèn)證,且返回到網(wǎng)站、App的結(jié)果為狀態(tài)信息,即便EID被破解也是無(wú)意義的字符串。二是安全可信。對(duì)于賬號(hào)被盜等場(chǎng)景,可通過(guò)EID立即重置密碼,避免造成損失。若不甚丟失,只要掛失申領(lǐng),丟失的EID將自動(dòng)注銷(xiāo),且EID與其PIN碼綁定,他人獲取了也無(wú)法使用。四是標(biāo)準(zhǔn)統(tǒng)一。EID可作為機(jī)構(gòu)、企業(yè)實(shí)現(xiàn)員工與用戶(hù)遠(yuǎn)程身份管理的手段,通過(guò)統(tǒng)一管理的身份服務(wù),避免標(biāo)準(zhǔn)與載體各異,既方便使用,也節(jié)約成本。eid建設(shè)應(yīng)全面推進(jìn)運(yùn)營(yíng)商引入應(yīng)用EID,不僅是消除電話(huà)實(shí)名認(rèn)證風(fēng)險(xiǎn)的需要,也是提升流動(dòng)人口營(yíng)銷(xiāo)、校園前置營(yíng)銷(xiāo)效率以及豐富電渠業(yè)務(wù)類(lèi)型、發(fā)展手機(jī)支付等業(yè)務(wù)的關(guān)鍵。目前,我國(guó)EID仍處于科研試點(diǎn)階段,亟須加快試點(diǎn)推廣,提高EID的普及與接受程度。根據(jù)公安部要求,EID登記發(fā)行機(jī)構(gòu)必須具備嚴(yán)格的身份審核、面簽程序。與電話(huà)實(shí)名現(xiàn)場(chǎng)認(rèn)證“寬松”的氛圍不同,機(jī)構(gòu)結(jié)合二代身份證、指紋認(rèn)證等方式,可確保證件真實(shí)、人證合一。與此同時(shí),每個(gè)公民只有與真實(shí)身份唯一對(duì)應(yīng)的EID,且必須結(jié)合PIN碼使用。因此,通過(guò)EID進(jìn)行實(shí)名認(rèn)證,可以有效消除偽造證件、人證不一風(fēng)險(xiǎn)。此外,公民成功申請(qǐng)EID后,將生成一組“公鑰”和“私鑰”。其中,私鑰發(fā)放給申請(qǐng)人,其加密算法理論上無(wú)法破解,且即便被破解也只是無(wú)意義的字符串。公鑰由公安部統(tǒng)一管理,通過(guò)高強(qiáng)度安全機(jī)制,可有效保護(hù)個(gè)人信息安全,避免用戶(hù)信息泄露與被盜用。目前,公安部已廣泛開(kāi)展EID應(yīng)用試點(diǎn)。例如,與北京郵電大學(xué)合作在全校發(fā)放3萬(wàn)個(gè)EID進(jìn)行EID業(yè)務(wù)流程試點(diǎn),涉及學(xué)籍管理、成績(jī)查詢(xún)、財(cái)務(wù)報(bào)銷(xiāo)等應(yīng)用。再如,與工商銀行合作在芯片借記卡中加載EID,目前全國(guó)已發(fā)行近1000萬(wàn)張。對(duì)于運(yùn)營(yíng)商而言,筆者認(rèn)為可以從以下幾方面開(kāi)拓創(chuàng)新,引入應(yīng)用EID。一是擴(kuò)大必須實(shí)名認(rèn)證辦理的業(yè)務(wù)范圍。將更多業(yè)務(wù)的辦理納入實(shí)名認(rèn)證范圍,并順應(yīng)互聯(lián)網(wǎng)環(huán)境下用戶(hù)行為特征變化趨勢(shì),引導(dǎo)用戶(hù)在電子渠道通過(guò)實(shí)名認(rèn)證辦理,既可提高實(shí)名登記率,也便于業(yè)務(wù)監(jiān)控管理,提升發(fā)展質(zhì)量與效率。二是加快與銀行等EID試點(diǎn)行業(yè)的合作。在試點(diǎn)行業(yè),客戶(hù)對(duì)EID已經(jīng)接受與認(rèn)可,運(yùn)營(yíng)商可利用這些行業(yè)的用戶(hù)規(guī)模優(yōu)勢(shì),自上而下地開(kāi)展合作,在EID辦理環(huán)節(jié)綁定手機(jī)號(hào)碼,既通過(guò)關(guān)聯(lián)審核面簽一站式實(shí)現(xiàn)電話(huà)實(shí)名制,又通過(guò)號(hào)碼與EID綁定提高電話(huà)用戶(hù)黏性。如果有外來(lái)務(wù)工人員新辦銀行卡,還能發(fā)展新增用戶(hù)。三是與公安部對(duì)接引入試點(diǎn)。通過(guò)在SIM卡中加載EID并打通線(xiàn)上、線(xiàn)下身份認(rèn)證環(huán)節(jié),為用戶(hù)提供更為豐富、便捷的服務(wù),提升用戶(hù)滿(mǎn)意度、忠誠(chéng)度,搶占行業(yè)先機(jī)。此外,EID普及程度、居民接受程度、應(yīng)用推廣程度等在一定程度上也影響著EID的應(yīng)用與推廣。目前,許多國(guó)家和地區(qū)都積極以EID作為線(xiàn)上、線(xiàn)下身份識(shí)別的基礎(chǔ)設(shè)施,從戰(zhàn)略規(guī)劃、標(biāo)準(zhǔn)、法律等方面推進(jìn)網(wǎng)絡(luò)身份管理的部署。例如,歐盟27個(gè)成員國(guó)中目前有18個(gè)已發(fā)行了EID,10個(gè)國(guó)家已通過(guò)EID立法,廣泛應(yīng)用于電子政務(wù)、電子商務(wù)領(lǐng)域。美國(guó)在賓夕法尼亞州、密歇根州已開(kāi)展EID上線(xiàn)測(cè)試。俄羅斯新發(fā)行的身份證中均包含了網(wǎng)上身份識(shí)別技術(shù)。中國(guó)香港也基于自愿申領(lǐng)、身份審核,在官方發(fā)行的電子身份證中加載EID,并已接入商業(yè)銀行金融服務(wù)。我國(guó)EID發(fā)展盡管得到了國(guó)家部委及部分省市的支持,但要實(shí)現(xiàn)大規(guī)模推廣仍面臨著應(yīng)用系統(tǒng)不健全、法律政策待完善等問(wèn)題。為加快我國(guó)EID普及推廣,筆者認(rèn)為:一方面,應(yīng)加快EID試點(diǎn)推廣,與更多的銀行卡、社?？?、手機(jī)卡發(fā)行機(jī)構(gòu)合作,擴(kuò)大EID發(fā)行規(guī)模;與更多的網(wǎng)絡(luò)身份服務(wù)機(jī)構(gòu)、互聯(lián)網(wǎng)增值服務(wù)機(jī)構(gòu)合作,拓展EID應(yīng)用范圍,改進(jìn)EID使用體驗(yàn)。另一方面,組建國(guó)家層面的EID推進(jìn)工作組,在起草、制定EID相關(guān)國(guó)家標(biāo)準(zhǔn)與行業(yè)標(biāo)準(zhǔn)的同時(shí),盡