楊林 國偉 孫玉龍

1. 公安部第一研究所 2. 北京中盾安信科技發(fā)展有限公司

引言

隨著“互聯(lián)網(wǎng)+”時(shí)代的全面到來，網(wǎng)絡(luò)數(shù)字經(jīng)濟(jì)的快速發(fā)展，線上線下身份管理一體化的需求越來越強(qiáng)勁，種種因網(wǎng)絡(luò)身份不實(shí)、信用管理缺失、電信網(wǎng)絡(luò)詐騙帶來的問題已嚴(yán)重影響人民群眾的日常生活，影響我國“互聯(lián)網(wǎng)+”行動(dòng)戰(zhàn)略的推進(jìn)，并對(duì)國家安全和社會(huì)穩(wěn)定造成了重大威脅。2013年以來，為改善網(wǎng)絡(luò)身份管理比較薄弱的局面，公安部第一研究所在公安部的直接領(lǐng)導(dǎo)下，在中央網(wǎng)信辦、國家發(fā)改委、科技部等部委的大力支持下，積極開展居民身份證網(wǎng)上應(yīng)用研究，助力線上線下身份管理一體化，建立了“權(quán)威、統(tǒng)一、安全、便捷”的中國特色網(wǎng)絡(luò)可信身份認(rèn)證體系，并于2016年申報(bào)獲批承建國家發(fā)改委“互聯(lián)網(wǎng)+”重大工程保障支撐類項(xiàng)目——“互聯(lián)網(wǎng)+可信身份認(rèn)證平臺(tái)”（以下簡稱CTID平臺(tái)）。目前該項(xiàng)目已完成全部建設(shè)目標(biāo)，進(jìn)入公安部和國家發(fā)改委全面驗(yàn)收階段。公安部第一研究所在網(wǎng)絡(luò)可信身份認(rèn)證基礎(chǔ)理論研究、核心技術(shù)研發(fā)、標(biāo)準(zhǔn)體系制定、基礎(chǔ)設(shè)施建設(shè)、試點(diǎn)示范應(yīng)用等方面都積累了較為豐富的經(jīng)驗(yàn)，在政務(wù)、金融、電信、互聯(lián)網(wǎng)應(yīng)用等領(lǐng)域發(fā)揮了積極作用。本文將重點(diǎn)介紹“互聯(lián)網(wǎng)+可信身份認(rèn)證平臺(tái)”的建設(shè)和應(yīng)用情況。

一、平臺(tái)建設(shè)目標(biāo)

CTID平臺(tái)的建設(shè)目標(biāo)是為國務(wù)院全面實(shí)施“放管服”改革、深化“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃、推進(jìn)網(wǎng)絡(luò)實(shí)名制戰(zhàn)略、便捷企業(yè)和群眾網(wǎng)上辦事、實(shí)現(xiàn)線上線下身份管理一體化提供基礎(chǔ)支撐，也為公安機(jī)關(guān)防范打擊網(wǎng)絡(luò)違法犯罪和切實(shí)維護(hù)國家網(wǎng)絡(luò)安全、助力公安大數(shù)據(jù)戰(zhàn)略、建設(shè)智慧公安提供支撐保障。

平臺(tái)基于居民身份證的技術(shù)、安全和管理體系，利用國密算法對(duì)法定身份證件信息進(jìn)行不可逆的脫敏處理，形成與法定身份證件唯一映射的網(wǎng)上功能憑證（簡稱網(wǎng)證），建立全國統(tǒng)一的網(wǎng)絡(luò)可信身份認(rèn)證平臺(tái)，實(shí)現(xiàn)多模式、大規(guī)模、高并發(fā)在線安全認(rèn)證，從源頭上解決網(wǎng)上身份認(rèn)證隱私保護(hù)和數(shù)據(jù)安全問題。

CTID平臺(tái)采用“多地多中心”的總體架構(gòu)設(shè)計(jì)。各中心通過集成網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、安全等設(shè)備，搭建了彼此獨(dú)立的私有云平臺(tái)，并按業(yè)務(wù)功能分為數(shù)據(jù)處理中心、主認(rèn)證服務(wù)中心、從認(rèn)證服務(wù)中心等，如圖1所示。

1. 數(shù)據(jù)處理中心

主要建設(shè)工作是將公安網(wǎng)內(nèi)法定證件信息及身份信息進(jìn)行接入、匯聚、整合、脫敏等處理，形成國家法定身份信息庫，提供真實(shí)身份核驗(yàn)、虛實(shí)身份關(guān)聯(lián)、行為日志分析及數(shù)據(jù)共享等服務(wù)。

2. 認(rèn)證服務(wù)中心

主要建設(shè)工作是通過集成部署網(wǎng)絡(luò)、計(jì)算存儲(chǔ)、安全、通用軟件等軟硬件設(shè)備，搭建應(yīng)用軟件運(yùn)行的基礎(chǔ)環(huán)境，完成真實(shí)身份核驗(yàn)平臺(tái)、網(wǎng)絡(luò)身份簽發(fā)平臺(tái)和網(wǎng)絡(luò)身份認(rèn)證平臺(tái)的應(yīng)用部署，實(shí)現(xiàn)針對(duì)互聯(lián)網(wǎng)的身份認(rèn)證、核驗(yàn)及簽發(fā)的服務(wù)能力。

3. 運(yùn)營支撐中心和安全運(yùn)維中心

建立崗位職責(zé)分工明確、團(tuán)隊(duì)人員配備合理的運(yùn)維團(tuán)隊(duì)，制定專業(yè)化和標(biāo)準(zhǔn)化的運(yùn)維制度與流程，構(gòu)建自動(dòng)化、智能化運(yùn)維管理平臺(tái)，保障國家基礎(chǔ)設(shè)施連續(xù)、穩(wěn)定運(yùn)行。同時(shí)，通過運(yùn)營隊(duì)伍的建設(shè)積極跟進(jìn)新技術(shù)的研發(fā)和進(jìn)展，尤其在核心技術(shù)領(lǐng)域能夠適應(yīng)未來全地域、全行業(yè)身份認(rèn)證服務(wù)的快速增長需求。

二、平臺(tái)業(yè)務(wù)功能

CTID平臺(tái)對(duì)外提供真實(shí)身份核驗(yàn)、網(wǎng)證開通和管理、網(wǎng)證認(rèn)證等三大功能，基于實(shí)體身份證、網(wǎng)證、居民身份信息、人像等多種認(rèn)證因子，形成了從最簡單的身份信息比對(duì)，到需要實(shí)體證件參與的多因子認(rèn)證等多種身份認(rèn)證模式。平臺(tái)構(gòu)建的多因子、多層次、多安全等級(jí)的網(wǎng)絡(luò)可信身份認(rèn)證體系，可滿足不同行業(yè)、不同應(yīng)用場景、不同安全等級(jí)要求的身份認(rèn)證需要。

（一）真實(shí)身份核驗(yàn)

基于法定身份證件信息，CTID平臺(tái)通過真實(shí)身份核驗(yàn)接口給第三方網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)提供網(wǎng)上用戶真實(shí)身份信息比對(duì)與核驗(yàn)等服務(wù)。同時(shí)，根據(jù)應(yīng)用方的業(yè)務(wù)需求生成居民的身份標(biāo)識(shí)，即平臺(tái)簽發(fā)給業(yè)務(wù)應(yīng)用方標(biāo)識(shí)居民個(gè)人身份的編碼。

業(yè)務(wù)流程如圖2所示。第三方APP客戶端通過真實(shí)身份采集SDK，將采集的身份信息和人像加密發(fā)送至其服務(wù)端，由其服務(wù)端向CTID平臺(tái)提交核驗(yàn)請(qǐng)求，經(jīng)CTID平臺(tái)進(jìn)行真實(shí)身份核驗(yàn)后，把核驗(yàn)結(jié)果返回給服務(wù)端，在身份核驗(yàn)正確的情況下，則按需返回身份標(biāo)識(shí)。

（二）網(wǎng)證開通和管理

CTID平臺(tái)通過CTID APP提供網(wǎng)證開通和管理服務(wù)。網(wǎng)證開通是基于居民身份證和出入境證件信息，采用國密算法，進(jìn)行脫敏、去標(biāo)識(shí)化處理，統(tǒng)一生成不可逆、不含明文信息，用于在網(wǎng)絡(luò)空間中證明居民個(gè)人身份的電子文件（即網(wǎng)證），與居民身份證件具有一一對(duì)應(yīng)關(guān)系。網(wǎng)證管理提供居民進(jìn)行網(wǎng)證生命周期管理，可對(duì)網(wǎng)證進(jìn)行注銷、凍結(jié)、解凍、網(wǎng)證口令修改和重置、更新關(guān)聯(lián)手機(jī)號(hào)碼等操作。

網(wǎng)證開通業(yè)務(wù)流程如圖3所示。用戶出示居民身份證件，CTID APP采集居民身份證件、人臉圖像、手機(jī)號(hào)碼和網(wǎng)證口令等信息，加密后提交給CTID平臺(tái)，CTID平臺(tái)進(jìn)行真實(shí)身份核驗(yàn)后生成網(wǎng)證，并下發(fā)到CTID客戶端。

（三）網(wǎng)證認(rèn)證

基于網(wǎng)證開通時(shí)生成的網(wǎng)證庫，CTID平臺(tái)通過網(wǎng)證認(rèn)證接口給第三方網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供用戶身份真實(shí)性、有效性和正確性的確認(rèn)。用網(wǎng)證進(jìn)行身份認(rèn)證，用戶不用出示明文信息，可極大地保護(hù)個(gè)人隱私信息。通過網(wǎng)證與其他認(rèn)證因子的組合，CTID平臺(tái)提供多模式的認(rèn)證方式，以適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用不同的使用場景和安全等級(jí)的要求。認(rèn)證業(yè)務(wù)等級(jí)分為三級(jí)，見表1。

?

網(wǎng)證認(rèn)證業(yè)務(wù)流程如圖4所示。第三方APP客戶端通過網(wǎng)證認(rèn)證SDK調(diào)取用戶存儲(chǔ)在客戶端的網(wǎng)證，采集人像或身份證件信息，將網(wǎng)證、人像等信息加密后發(fā)送至其服務(wù)端，向CTID平臺(tái)提交身份認(rèn)證請(qǐng)求，經(jīng)CTID平臺(tái)進(jìn)行身份認(rèn)證成功后，返回認(rèn)證結(jié)果和網(wǎng)絡(luò)身份標(biāo)識(shí)。

三、平臺(tái)應(yīng)用情況

為積極發(fā)揮公安科技領(lǐng)軍作用，公安部第一研究所聯(lián)合國內(nèi)100多家行業(yè)龍頭單位發(fā)起成立了“中關(guān)村安信網(wǎng)絡(luò)身份認(rèn)證產(chǎn)業(yè)聯(lián)盟”，緊緊圍繞“互聯(lián)網(wǎng)+”政務(wù)服務(wù)、益民服務(wù)等重點(diǎn)領(lǐng)域，扎實(shí)推進(jìn)廣東、浙江、廈門等20多個(gè)省市試點(diǎn)應(yīng)用工作。同時(shí)，公安部第一研究所還積極參與國家可信區(qū)塊鏈推進(jìn)計(jì)劃，牽頭數(shù)字身份項(xiàng)目組大力推進(jìn)區(qū)塊鏈技術(shù)在可信數(shù)字身份中的應(yīng)用。

自平臺(tái)對(duì)外提供服務(wù)以來，已累計(jì)對(duì)接政務(wù)、金融、電信、互聯(lián)網(wǎng)應(yīng)用行業(yè)用戶260多家，提供網(wǎng)上身份認(rèn)證服務(wù)超過21億次，日均認(rèn)證量超1500萬次。

（一）全國一體化政務(wù)服務(wù)平臺(tái)

2018年12月，在國務(wù)院辦公廳和公安部的統(tǒng)一部署下，“互聯(lián)網(wǎng)+可信身份認(rèn)證平臺(tái)”正式成為全國一體化政務(wù)服務(wù)平臺(tái)統(tǒng)一身份認(rèn)證系統(tǒng)的自然人實(shí)名認(rèn)證支撐平臺(tái)，為國家政務(wù)服務(wù)平臺(tái)、中國政府網(wǎng)、“浙里辦”、“粵省事”等40多個(gè)國家級(jí)和省（區(qū)、市）政務(wù)平臺(tái)提供實(shí)名、實(shí)人認(rèn)證服務(wù)。截至2020年3月，CTID平臺(tái)向全國一體化政務(wù)服務(wù)平臺(tái)累計(jì)服務(wù)4.49億次。

2020年，自新冠肺炎疫情防控工作開展以來，CTID為全國一體化政務(wù)服務(wù)平臺(tái)國家健康防疫信息碼提供了全面技術(shù)支撐，在真實(shí)身份核驗(yàn)、健康碼互通互認(rèn)、防疫信息精準(zhǔn)共享等方面發(fā)揮了重要作用，得到國家有關(guān)部門和社會(huì)各界的廣泛認(rèn)可。

（二）互聯(lián)網(wǎng)+公安政務(wù)服務(wù)

針對(duì)公安政務(wù)服務(wù)領(lǐng)域?qū)W(wǎng)上身份認(rèn)證的共性需求，CTID為公安部“互聯(lián)網(wǎng)+政務(wù)服務(wù)”平臺(tái)、國家移民局政務(wù)服務(wù)平臺(tái)、12123 APP等各級(jí)公安政務(wù)服務(wù)平臺(tái)提供權(quán)威、統(tǒng)一的身份認(rèn)證支撐服務(wù)超過3.8億次，助力公安部門在網(wǎng)上信訪、治安管理、戶政管理、網(wǎng)絡(luò)安全保衛(wèi)、交通管理、出入境管理等各領(lǐng)域?yàn)榘傩仗峁└悄?、更便捷、更省心的服?wù)，打造“一網(wǎng)通辦、便民惠警”的公安在線政務(wù)服務(wù)新型態(tài)，讓廣大人民群眾有更多、更直接、更實(shí)在的獲得感。

（三）金融科技創(chuàng)新

目前，工商銀行、建設(shè)銀行、招商銀行、陽光保險(xiǎn)、螞蟻金服、財(cái)付通等超過40家金融機(jī)構(gòu)接入CTID平臺(tái)，實(shí)現(xiàn)金融行業(yè)線上線下網(wǎng)絡(luò)身份管理一體化，優(yōu)化了銀行、保險(xiǎn)業(yè)務(wù)處理流程，大幅度降低金融業(yè)的流程成本，保障用戶數(shù)據(jù)安全，推動(dòng)金融科技創(chuàng)新發(fā)展。

四、平臺(tái)建設(shè)成果

（一）基礎(chǔ)數(shù)據(jù)方面

完成了全國居民法定身份證件基礎(chǔ)數(shù)據(jù)的匯聚和治理、身份認(rèn)證所需基礎(chǔ)數(shù)據(jù)的存儲(chǔ)和災(zāi)備，形成了精準(zhǔn)、安全、可靠的基礎(chǔ)數(shù)據(jù)源。截至2020年3月，CTID平臺(tái)匯聚了包括居民身份證、戶口本、中國公民普通護(hù)照、大陸居民往來港澳臺(tái)通行證、港澳臺(tái)居民來往大陸通行證、外國人永久居留身份證等法定身份證件信息基礎(chǔ)數(shù)據(jù)超過50億條。

（二）服務(wù)能力方面

通過租賃電信運(yùn)營商的IDC機(jī)房，完成了認(rèn)證平臺(tái)基礎(chǔ)設(shè)施搭建。到2019年底，建成可支撐全國政務(wù)應(yīng)用和部分市場化應(yīng)用的網(wǎng)絡(luò)身份認(rèn)證基礎(chǔ)能力，形成“1+1+2”運(yùn)營服務(wù)體系（1個(gè)數(shù)據(jù)處理中心、1個(gè)認(rèn)證服務(wù)中心、2個(gè)運(yùn)營研發(fā)中心），認(rèn)證服務(wù)并發(fā)處理能力達(dá)到每秒2萬次。

（三）平臺(tái)功能方面

基于實(shí)體身份證、網(wǎng)證、居民身份信息、人像等多種認(rèn)證因子，形成了多種身份認(rèn)證模式，構(gòu)建了多因子、多層次、多安全等級(jí)的網(wǎng)絡(luò)可信身份認(rèn)證體系，可滿足不同行業(yè)、不同應(yīng)用場景、不同安全等級(jí)要求的身份認(rèn)證需要。

（四）數(shù)據(jù)分析方面

開發(fā)了基于大數(shù)據(jù)的認(rèn)證數(shù)據(jù)管理系統(tǒng)，搭建了大數(shù)據(jù)分析平臺(tái)，具備全網(wǎng)認(rèn)證數(shù)據(jù)的收集、分析及挖掘能力，為網(wǎng)絡(luò)行為可追溯可追究、創(chuàng)新社會(huì)綜合治理能力提供強(qiáng)有力的支撐。

（五）安全體系方面

平臺(tái)在整體通過等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)評(píng)測的基礎(chǔ)上，針對(duì)數(shù)據(jù)區(qū)等核心區(qū)域，按照等級(jí)保護(hù)四級(jí)進(jìn)行強(qiáng)化建設(shè)，同時(shí)不斷強(qiáng)化終端應(yīng)用、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、系統(tǒng)架構(gòu)等方面的安全措施。

1. 終端應(yīng)用安全

采用了安全控件、數(shù)據(jù)加密等技術(shù)，確保終端上不留存?zhèn)€人信息?！皩?shí)人”認(rèn)證時(shí)還采用了隨機(jī)動(dòng)作連續(xù)、幅度及背景檢測等活體識(shí)別技術(shù)，對(duì)臉模或仿真視頻等偽造手段進(jìn)行識(shí)別和防范，有效防止終端數(shù)據(jù)泄露和身份冒用。

2. 數(shù)據(jù)傳輸安全

采用國產(chǎn)商用密碼算法加密技術(shù)，傳輸中對(duì)信道上全部數(shù)據(jù)進(jìn)行加密，通過數(shù)字信封等技術(shù)保護(hù)業(yè)務(wù)數(shù)據(jù)，通過數(shù)字簽名技術(shù)保證數(shù)據(jù)的完整性和有效性，通過時(shí)間戳等方法保證傳輸數(shù)據(jù)的時(shí)效性。

3. 數(shù)據(jù)存儲(chǔ)安全

采用了數(shù)據(jù)變換、加密存儲(chǔ)等技術(shù)，互聯(lián)網(wǎng)后臺(tái)存儲(chǔ)的數(shù)據(jù)都是經(jīng)過國產(chǎn)商用密碼算法單向變換的脫敏信息，原始的生物特征和身份信息均存儲(chǔ)在公安信息網(wǎng)內(nèi)，按照等級(jí)保護(hù)四級(jí)進(jìn)行強(qiáng)化，確保個(gè)人信息安全存儲(chǔ)。

4. 系統(tǒng)架構(gòu)安全

采用了安全隔離設(shè)計(jì)、冗余設(shè)計(jì)、系統(tǒng)加固等技術(shù)，將系統(tǒng)劃分成不同的網(wǎng)絡(luò)安全區(qū)域，層層設(shè)防，分區(qū)保護(hù)；采用“雙活備份”，兩套設(shè)備及鏈路同時(shí)工作，自動(dòng)切換，防止硬件及網(wǎng)絡(luò)故障導(dǎo)致系統(tǒng)癱瘓；配備多種安全軟件和硬件對(duì)關(guān)鍵環(huán)節(jié)和部位進(jìn)行安全加固，保證系統(tǒng)穩(wěn)定運(yùn)行。

在CTID平臺(tái)建設(shè)過程中，公安部第一研究所始終堅(jiān)持核心技術(shù)自主可控。

（六）團(tuán)隊(duì)建設(shè)方面

培養(yǎng)了具備核心互聯(lián)網(wǎng)平臺(tái)研發(fā)、大數(shù)據(jù)分析挖掘、人工智能應(yīng)用、安全系統(tǒng)構(gòu)建、系統(tǒng)技術(shù)支持、客戶服務(wù)管理、IT機(jī)房運(yùn)維、平臺(tái)運(yùn)營服務(wù)等方面的專業(yè)技術(shù)團(tuán)隊(duì)，保障系統(tǒng)穩(wěn)定安全運(yùn)營。

五、總結(jié)與展望

CTID平臺(tái)的建設(shè)和應(yīng)用，能有效破解當(dāng)前公民個(gè)人隱私信息在網(wǎng)上大量留存、泄露事件頻發(fā)等問題，推動(dòng)線上線下身份管理一體化，解決群眾網(wǎng)上辦事堵點(diǎn)問題，有利于讓億萬人民在共享互聯(lián)網(wǎng)發(fā)展成果上有更多獲得感，有利于全面加強(qiáng)互聯(lián)網(wǎng)的權(quán)威統(tǒng)一可信身份認(rèn)證管理和網(wǎng)絡(luò)身份認(rèn)證生態(tài)治理，為人民群眾營造風(fēng)朗氣清的網(wǎng)絡(luò)信任空間。

當(dāng)前，公安部第一研究所正在國家發(fā)改委和公安部的領(lǐng)導(dǎo)下，以CTID平臺(tái)作為先導(dǎo)工程，組織建設(shè)網(wǎng)絡(luò)空間高可靠、高并發(fā)、高可信的國家網(wǎng)上身份認(rèn)證基礎(chǔ)設(shè)施，開展網(wǎng)絡(luò)可信認(rèn)證和治理服務(wù)，規(guī)范互聯(lián)網(wǎng)身份數(shù)據(jù)采集與留存，制定網(wǎng)絡(luò)空間身份管理政策法規(guī)，為網(wǎng)絡(luò)社會(huì)治理現(xiàn)代化的實(shí)施提供管理?xiàng)l件，為互聯(lián)網(wǎng)政務(wù)、商務(wù)、金融和社會(huì)生產(chǎn)生活等提供國家強(qiáng)大的服務(wù)能力支撐，保護(hù)公民隱私安全，落實(shí)國家可信戰(zhàn)略，保護(hù)國家戰(zhàn)略數(shù)據(jù)安全，保衛(wèi)國家網(wǎng)絡(luò)安全和政治安全。公安部第一研究所也將繼續(xù)發(fā)揮“中關(guān)村安信網(wǎng)絡(luò)身份認(rèn)證產(chǎn)業(yè)聯(lián)盟”的作用，整合網(wǎng)絡(luò)身份認(rèn)證產(chǎn)業(yè)鏈上下游伙伴，共建可信數(shù)字身份生態(tài)。