基于eid的手機(jī)實(shí)名制認(rèn)證風(fēng)險分析

基于eid的手機(jī)實(shí)名制認(rèn)證風(fēng)險分析

實(shí)名制認(rèn)證存在漏洞手機(jī)認(rèn)證是指用戶在處理手機(jī)接入、轉(zhuǎn)讓和其他業(yè)務(wù)時，必須提供實(shí)際身份信息。目前,各運(yùn)營商按工信部部署,不僅要求新入網(wǎng)用戶全量實(shí)名登記,也通過優(yōu)惠政策,引導(dǎo)未實(shí)名認(rèn)證的老用戶補(bǔ)充登記身份信息。目前,各運(yùn)營商實(shí)名認(rèn)證大都是基于二代身份證,借助二代身份證讀卡校驗(yàn)設(shè)備、實(shí)名制認(rèn)證專用App等手段進(jìn)行認(rèn)證。需要指出的是,這些認(rèn)證手段與流程存在一些風(fēng)險與漏洞。一是使用偽造證件通過認(rèn)證風(fēng)險。在現(xiàn)場驗(yàn)證場景,因讀卡校驗(yàn)設(shè)備僅可識別二代身份證真?zhèn)?對于持戶口簿、軍人與武警身份證件等實(shí)名認(rèn)證的情況,僅能通過工作人員主觀鑒別、手工錄入方式進(jìn)行登記,存在使用偽造證件通過認(rèn)證的可能性。在非現(xiàn)場驗(yàn)證場景,因無法對實(shí)體證件進(jìn)行真?zhèn)涡ｒ?yàn),即便證件信息準(zhǔn)確無誤,也存在偽造證件通過認(rèn)證的可能性。二是認(rèn)證信息與使用人不一風(fēng)險。實(shí)名認(rèn)證要求通過“人證合一”審核,確保認(rèn)證信息與號碼使用人一致,但在實(shí)際操作中并不能百分百做到。對于App認(rèn)證方式,持證人也可利用圖像合成技術(shù),將二代身份證與他人照片合成從而通過審核。針對此類情況,目前各運(yùn)營商后臺系統(tǒng)尚無法識別,從而影響了實(shí)名制的準(zhǔn)確率與真實(shí)性。三是用戶信息被泄露與盜用風(fēng)險。推進(jìn)實(shí)名制的重要前提,就是個人信息安全應(yīng)得到保障。然而,在實(shí)際執(zhí)行中,個人信息被收集、販賣以獲利的情況時有發(fā)生,給用戶個人隱私帶來了不小的影響,甚至?xí)a(chǎn)生比較嚴(yán)重的社會問題。eid的內(nèi)涵互聯(lián)網(wǎng)的快速發(fā)展,對網(wǎng)絡(luò)信息安全提出了更高要求。近年來,國內(nèi)個人信息泄露現(xiàn)象呈上升趨勢。據(jù)統(tǒng)計(jì),從2011年到2014年年底,已泄露的中國公民信息多達(dá)11.27億條,成為網(wǎng)絡(luò)、電信詐騙的主要源頭。2014年10月,韓國三大銀行服務(wù)器被黑客攻破,80%用戶的隱私信息泄露,采用線下身份證識別線上身份是產(chǎn)生問題的重要根源。我國身份證編碼規(guī)則與韓國相似,網(wǎng)絡(luò)身份識別也普遍依賴二代身份證。目前,居民注冊網(wǎng)站和自證身份時,仍主要按照身份證信息填寫姓名、身份證號甚至手機(jī)號、住址等。這不僅不符合“人證合一”原則,而且不能起到身份識別和防止冒用作用。此外,網(wǎng)站存儲的個人信息還面臨著被黑客攻擊、內(nèi)部偷盜風(fēng)險,存在泄露個人隱私信息的隱患。那么,如何有效解決線上身份識別問題呢?電子身份證(EID)為我們提供了一種思路。EID是公安部第三研究所建設(shè)和開發(fā),并由“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”簽發(fā)給公民的網(wǎng)絡(luò)電子身份標(biāo)識,以密碼技術(shù)為基礎(chǔ),以智能安全芯片為載體,用于在網(wǎng)絡(luò)遠(yuǎn)程證實(shí)個人真實(shí)身份,可在嵌入安全智能芯片的銀行卡、社?？āIM卡、U盾中使用,是基于人口庫的權(quán)威、安全、保護(hù)用戶隱私的網(wǎng)絡(luò)身份標(biāo)識,可進(jìn)行跨地域、跨行業(yè)的網(wǎng)絡(luò)身份服務(wù)。EID依托公安部全國公民身份信息庫,利用用戶主動提交的身份信息生成唯一的網(wǎng)絡(luò)標(biāo)識符和數(shù)字證書。從設(shè)計(jì)原則上看,EID只是一段網(wǎng)絡(luò)標(biāo)識符,本身不含任何用戶身份信息。從管理思路上看,EID的建立和管理由統(tǒng)一機(jī)構(gòu)進(jìn)行,從而既能做到真實(shí)身份識別,又可有效保護(hù)用戶身份信息。EID并非實(shí)體證件,其載體種類與外形也不會對EID驗(yàn)證結(jié)果造成影響,只要載體中的安全智能芯片符合EID相關(guān)標(biāo)準(zhǔn)即可。市民只要持有效證件,在具有身份審核及面簽程序的EID登記發(fā)行機(jī)構(gòu)申請,經(jīng)“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”審核簽發(fā),即可通過任意需要EID身份識別場景的認(rèn)證。EID既可通過貼近帶有NFC功能的手機(jī)背面完成無線認(rèn)證,也可結(jié)合EID讀卡器并輸入密碼,通過有線方式認(rèn)證。與實(shí)體社會居民身份證對應(yīng),EID是網(wǎng)絡(luò)社會管理的基礎(chǔ)設(shè)施,可以實(shí)現(xiàn)實(shí)體社會與網(wǎng)絡(luò)社會的統(tǒng)一管理,且具有以下優(yōu)點(diǎn):一是保護(hù)隱私。只憑姓名和EID,無需提供個人隱私信息,即可完成認(rèn)證,且返回到網(wǎng)站、App的結(jié)果為狀態(tài)信息,即便EID被破解也是無意義的字符串。二是安全可信。對于賬號被盜等場景,可通過EID立即重置密碼,避免造成損失。若不甚丟失,只要掛失申領(lǐng),丟失的EID將自動注銷,且EID與其PIN碼綁定,他人獲取了也無法使用。四是標(biāo)準(zhǔn)統(tǒng)一。EID可作為機(jī)構(gòu)、企業(yè)實(shí)現(xiàn)員工與用戶遠(yuǎn)程身份管理的手段,通過統(tǒng)一管理的身份服務(wù),避免標(biāo)準(zhǔn)與載體各異,既方便使用,也節(jié)約成本。eid建設(shè)應(yīng)全面推進(jìn)運(yùn)營商引入應(yīng)用EID,不僅是消除電話實(shí)名認(rèn)證風(fēng)險的需要,也是提升流動人口營銷、校園前置營銷效率以及豐富電渠業(yè)務(wù)類型、發(fā)展手機(jī)支付等業(yè)務(wù)的關(guān)鍵。目前,我國EID仍處于科研試點(diǎn)階段,亟須加快試點(diǎn)推廣,提高EID的普及與接受程度。根據(jù)公安部要求,EID登記發(fā)行機(jī)構(gòu)必須具備嚴(yán)格的身份審核、面簽程序。與電話實(shí)名現(xiàn)場認(rèn)證“寬松”的氛圍不同,機(jī)構(gòu)結(jié)合二代身份證、指紋認(rèn)證等方式,可確保證件真實(shí)、人證合一。與此同時,每個公民只有與真實(shí)身份唯一對應(yīng)的EID,且必須結(jié)合PIN碼使用。因此,通過EID進(jìn)行實(shí)名認(rèn)證,可以有效消除偽造證件、人證不一風(fēng)險。此外,公民成功申請EID后,將生成一組“公鑰”和“私鑰”。其中,私鑰發(fā)放給申請人,其加密算法理論上無法破解,且即便被破解也只是無意義的字符串。公鑰由公安部統(tǒng)一管理,通過高強(qiáng)度安全機(jī)制,可有效保護(hù)個人信息安全,避免用戶信息泄露與被盜用。目前,公安部已廣泛開展EID應(yīng)用試點(diǎn)。例如,與北京郵電大學(xué)合作在全校發(fā)放3萬個EID進(jìn)行EID業(yè)務(wù)流程試點(diǎn),涉及學(xué)籍管理、成績查詢、財務(wù)報銷等應(yīng)用。再如,與工商銀行合作在芯片借記卡中加載EID,目前全國已發(fā)行近1000萬張。對于運(yùn)營商而言,筆者認(rèn)為可以從以下幾方面開拓創(chuàng)新,引入應(yīng)用EID。一是擴(kuò)大必須實(shí)名認(rèn)證辦理的業(yè)務(wù)范圍。將更多業(yè)務(wù)的辦理納入實(shí)名認(rèn)證范圍,并順應(yīng)互聯(lián)網(wǎng)環(huán)境下用戶行為特征變化趨勢,引導(dǎo)用戶在電子渠道通過實(shí)名認(rèn)證辦理,既可提高實(shí)名登記率,也便于業(yè)務(wù)監(jiān)控管理,提升發(fā)展質(zhì)量與效率。二是加快與銀行等EID試點(diǎn)行業(yè)的合作。在試點(diǎn)行業(yè),客戶對EID已經(jīng)接受與認(rèn)可,運(yùn)營商可利用這些行業(yè)的用戶規(guī)模優(yōu)勢,自上而下地開展合作,在EID辦理環(huán)節(jié)綁定手機(jī)號碼,既通過關(guān)聯(lián)審核面簽一站式實(shí)現(xiàn)電話實(shí)名制,又通過號碼與EID綁定提高電話用戶黏性。如果有外來務(wù)工人員新辦銀行卡,還能發(fā)展新增用戶。三是與公安部對接引入試點(diǎn)。通過在SIM卡中加載EID并打通線上、線下身份認(rèn)證環(huán)節(jié),為用戶提供更為豐富、便捷的服務(wù),提升用戶滿意度、忠誠度,搶占行業(yè)先機(jī)。此外,EID普及程度、居民接受程度、應(yīng)用推廣程度等在一定程度上也影響著EID的應(yīng)用與推廣。目前,許多國家和地區(qū)都積極以EID作為線上、線下身份識別的基礎(chǔ)設(shè)施,從戰(zhàn)略規(guī)劃、標(biāo)準(zhǔn)、法律等方面推進(jìn)網(wǎng)絡(luò)身份管理的部署。例如,歐盟27個成員國中目前有18個已發(fā)行了EID,10個國家已通過EID立法,廣泛應(yīng)用于電子政務(wù)、電子商務(wù)領(lǐng)域。美國在賓夕法尼亞州、密歇根州已開展EID上線測試。俄羅斯新發(fā)行的身份證中均包含了網(wǎng)上身份識別技術(shù)。中國香港也基于自愿申領(lǐng)、身份審核,在官方發(fā)行的電子身份證中加載EID,并已接入商業(yè)銀行金融服務(wù)。我國EID發(fā)展盡管得到了國家部委及部分省市的支持,但要實(shí)現(xiàn)大規(guī)模推廣仍面臨著應(yīng)用系統(tǒng)不健全、法律政策待完善等問題。為加快我國EID普及推廣,筆者認(rèn)為:一方面,應(yīng)加快EID試點(diǎn)推廣,與更多的銀行卡、社?？ā⑹謾C(jī)卡發(fā)行機(jī)構(gòu)合作,擴(kuò)大EID發(fā)行規(guī)模;與更多的網(wǎng)絡(luò)身份服務(wù)機(jī)構(gòu)、互聯(lián)網(wǎng)增值服務(wù)機(jī)構(gòu)合作,拓展EID應(yīng)用范圍,改進(jìn)EID使用體驗(yàn)。另一方面,組建國家層面的EID推進(jìn)工作組,在起草、制定EID相關(guān)國家標(biāo)準(zhǔn)與行業(yè)標(biāo)準(zhǔn)的同時,盡