林龍 新大陸（福建）公共服務有限公司

引言

由“互聯網+可信身份認證平臺”（以下簡稱CTID平臺）生成的網證，是權威可信的數字身份，可以成為“人”穿行物理世界與數字世界的權威橋梁，實現線上線下身份管理一體化。隨著智能手機高度普及，以及近年來二維碼應用的高成熟度與普及率，二維碼無疑是網證線上線下首選的交互方式。本文將從以下三個方面闡述：（1）二維碼作為網證應用方式的考量，（2）安全二維碼的技術體系，（3）二維碼如何助力CTID一碼通行。

一、二維碼的應用分析

CTID平臺的目標是依托法定身份證件，打造網絡身份認證的“信任根”。由于平臺的統一性、權威性、可信性等特點，平臺生成的網證需要幫助“人”在線上線下的各種場景中證明“我就是我”，而且網證后續(xù)還有歸集人的其它證卡等多類數字身份的趨勢。因此，選擇二維碼作為CTID的交互介質，需要考慮以下幾個關鍵因素：

（1）安全性：安全是第一要務，所以必須要求交互的介質具備極高的安全能力。對使用主體而言，可以保護個人隱私，具備防盜用、防篡改、防偽造及防重構的能力；對核驗主體而言，能夠快速準確獲取想要的信息，并有權威機構對核驗結果背書；對生成單位而言，生成文件是“人”的唯一標識，需要保障“人”的基本權益不被侵犯。

（2）便捷性：便捷是第一法則，這就要求交互的介質一定要具備方便使用的能力。從使用主體的角度出發(fā)，介質一定要方便攜帶，可以快速出示、快速核驗，同時能夠遵循“隨用隨棄”原則；從核驗方的角度出發(fā)，可以方便讀取有效數據，具備快速識別、快速反饋的能力；從生成單位的角度出發(fā)，可以快速標識“人”，正確獲取有效數據，便于使用和推廣。

（3）通用性：兼容是第一法寶，要求承載的介質必須具備很好的兼容能力。對使用主體而言，具備好的兼容性，可以不分地域、不分行業(yè)、不分部門有效證明自己；對核驗主體而言，能夠兼容現有識別設施；對生成單位來說，受眾廣、層次復雜、接受度不同，需要通用性高。

（4）多等級：滿足驗證場景的差異化，支持多種身份認證方式。對使用主體而言，能夠滿足不同場景差異化的認證方式需求，按照組合提供2～4項可信因子的身份核驗能力；對核驗者而言，能夠根據場景要求，獲取權威的核驗結果；從生成機構的角度考慮，能為雙方提供相應的服務需求。

（5）低成本：成本是第一要素，要求承載的介質具備低成本普及能力。從使用主體角度考慮，無需增加自身的成本或代價來標示自己；從核驗方的角度考慮，可以以低成本甚至無成本獲取有效信息；從生成單位的角度考慮，未來用戶體量大，要考慮用戶和核驗方的成本。

二、安全二維碼助力網證線下通行

（一）二維碼

據工信部2020年3月統計，我國有16億手機用戶。由此可見，手機的普及率非常高，已成為老百姓日常出行的必備物品。

二維碼具備成本低、快捷方便等天然優(yōu)勢，且杜絕了明文信息傳遞，可有效保護個人隱私。QR碼是矩陣二維碼的典型代表，2000年6月已被納入國家標準，在國內外應用廣泛，具備信息容量大、可靠性高、可表達多種方式的文字信息、保密防偽性強、易讀取等優(yōu)點。自2007年開始，已成為手機二維碼的主要方式，是技術成熟、產業(yè)鏈成熟、普及度高的二維碼技術。

QR碼已成為公眾連接線上線下的最佳載體，老百姓幾乎無需任何培訓即可使用。借助手機、掃描器等設備，可以快速生成、讀取信息。用QR碼來呈現CTID，具備便捷度高、成本低、兼容能力強等優(yōu)點，已成為眾多介質中的首選。

（二）安全二維碼

考慮到身份核驗的場景多樣性，存在多維離散的核驗方式。而QR碼結構和編碼等均已開放，且目前市面上常使用的二維碼大多為各業(yè)務自定義的二維碼結構，業(yè)務隨意性大，給信息的交互和業(yè)務的互通造成了障礙，同時不能有效保障二維碼信息交互和業(yè)務安全，可能存在交互的數據被篡改或者用戶信息泄露等風險。

安全二維碼參照人民幣的防偽技術體系思路，利用手機二維碼圖的識別率高、容錯機制少的特點，充分利用二維碼制及圖案的特殊性質后，采用國密安全算法、數字水印等技術，將數據以明碼、暗碼、水印三種形式填充入QR二維碼圖中，實現二維碼的“自主、安全、可控、可信”。

CTID二維碼采用安全二維碼技術，使碼圖具備三層安全防護能力。第一層：數學安全，可杜絕明文傳輸，防竊取。采用對稱加密算法，對數據信息進行加密保護，并將加密后的信息封裝進安全二維碼的明碼區(qū)；第二層：數字簽名，可防偽造、防篡改、防抵賴。對加密后的信息采用非對稱加密算法添加數字簽名和時間戳；第三層：水印保護，防重構。在形成二維碼圖時，將第二層保護后的信息隨機打散，分別封裝進安全二維碼的暗碼區(qū)和水印區(qū)，其中水印作為暗碼的一種補充和增強，用于保護暗碼中的部分關鍵字節(jié)。安全二維碼結構封裝如圖1所示。

根據QR碼的結構，其中明碼指二維碼里符合國標碼制規(guī)范，可被普通二維碼識讀設備讀取的數據部分。暗碼指二維碼里超出國標碼制規(guī)范的定義范圍，不能被普通二維碼識讀設備讀取，只能通過CTID二維碼模組識讀的數據部分。水印指通過在碼圖中疊加隱沒圖像，實現特定信息的隱藏，從而提升二維碼數據安全性和防偽能力的一種獨特算法和基礎。

通過安全二維碼+專用掃描器具，除日常的中心式二維碼認證外，還可以有效適配以下三個場景的使用。場景1：離線驗證，安全二維碼可以有效支持去鑒權機構的驗證；場景2：無人值守自助式掃描，嵌入安全二維碼模組的掃描設備，可以有效杜絕無效二維碼的驗證請求，保護CTID鑒別中心，防止惡意壓力攻擊；場景3：高等級認證，可以滿足最高等級（碼+人臉+設備）的認證需求。

三、助力CTID一碼通行

（一）人的數字化是構建市域治理體系的基礎

本次新冠疫情是一場大戰(zhàn)也是一場對城市治理體系的大考，過程表明，推進市域社會治理現代化十分重要。市域社會治理是國家治理的基石，具有解決重大矛盾問題的資源能力和統籌能力，要努力將重大風險化解在市域。在現代化治理系統中，“人”的數字化歷程還有很長遠的道路要走。

在市域治理體系中，如果沒有解決人的數字化難題，所有城市治理體系中感知不到人的信息，治理體系必然欠缺了最重要的要素。CTID為市域治理體系提供了最佳的支撐點，即構建城市可信數字身份。

城市可信數字身份由兩部分組成。一部分是由國家級可信身份權威簽發(fā)給主體，在中華人民共和國主權范圍內可以唯一識別主體的身份標識，可幫助可信數字身份獲得權威認證、全域通行；另一部分是區(qū)域政府根據轄區(qū)內身份管理政策法規(guī)等，為同一主體簽發(fā)的區(qū)域級數字身份標識，可提供在所管轄區(qū)域內的身份通行能力，無論是在線上線下，都可以幫助百姓穿越各個業(yè)務場景，快速構建區(qū)域的身份服務生態(tài)。

城市可信數字身份是一個自然人在物理世界和數字“孿生世界”的權威身份。借助CTID二維碼圖結構，可以將上述兩個身份合并呈現在同一個二維碼圖中，兼顧安全二維碼的安全性能，助力實現市域內身份和數據的一碼通行。

（二）可信數字身份管理平臺

可信數字身份管理平臺依托CTID平臺能力，為區(qū)域政府及行業(yè)用戶提供身份信息比對服務、網證身份認證服務、數字身份二維碼服務、本地身份數據服務等，可快速對接各類服務場景，重構內部IT系統、提升用戶服務能力、拓展數字生態(tài)業(yè)務，開展全方位的管理服務創(chuàng)新和支撐可信數字身份應用需求，提升信息化基礎支撐能力。

可信數字身份管理平臺的功能架構包括可信數字身份能力中臺系統、二維碼客戶業(yè)務接入系統（Business Access System，簡稱BAS）、身份信息比對系統、網證身份認證系統、可信數字身份簽發(fā)系統等7個系統，適用于有生態(tài)構建需求且不具備生態(tài)構建能力的用戶群體。提供包括但不限于以下5種能力：（1）身份信息比對和身份認證模式服務，（2）網證身份下載、認證服務，（3）數字身份二維碼生成、核驗服務，（4）本地用戶的身份信息、卡證信息管理服務，（5）提供統一的能力開放接入。

通過建設可信數字身份管理平臺，創(chuàng)新行政服務模式與城市管理，推動城市服務信息化、數字化，將數字身份二維碼的能力對區(qū)域應用生態(tài)輸出，并在此基礎上拓展更多數字身份應用，為區(qū)域或行業(yè)用戶提供基于CTID的數字身份解決方案。

（三）構建一碼通行城市治理新能力

政府在提供身份通行和數據通行服務能力的基礎上，借助安全二維碼的碼元結構，可以將CTID作為區(qū)域可信數字身份的“信任根”，在市域內打造區(qū)域可信數字身份。根據不同認證強度要求確保本人使用，適用于市域內各種線上線下政務服務、公共服務、社會服務等場景，在所管轄的數字化生態(tài)中實現對場景應用每個環(huán)節(jié)的軌跡采集，關聯數字身份在所有管理系統的信息，可以進行對人員的全場景和全方位管理，構建新型數字化治理能力。而且，依托安全二維碼構建的服務場景具有成本低、速度快、普及度高等特點。

結合大數據技術，可信數字身份提供了一條政務數據治理的新路徑。在數字化場景中，線下所有實體證卡都可以是一個可信數字身份賬戶下的數據資產。通過政府和百姓雙向授權使用個人數據，為百姓提供精細化、人性化的服務，極大地推進服務型政府建設；基于可信數字身份的城市治理體系具有感知百姓、精準畫像、趨勢研判等能力，通過服務強化群眾參與社會治理，從而形成各主體協同合作、善治良序的社會共治新局面，提升社會治理現代化水平。未來百姓可免帶任何證卡通行，真正實現一碼走天下。

四、安全二維碼助力福州市一碼通行

（一）政務服務領域

依托可信數字身份公共服務平臺，通過e福州APP、便民服務自助終端、服務窗口等渠道方便辦事群眾隨時、隨地辦業(yè)務、用服務。

1. 網證+掌上辦

市民可在e福州APP使用網證完成身份認證，并能使用e福州APP的各項服務。

2. 網證+就近辦

市民可就近使用e福州便民服務終端、不動產自助終端進行網證的實人認證，通過掃網證二維碼直接登錄并使用便民服務終端的各項服務。

3. 網證+預約辦

市民通過e福州APP、“福州窗”微信公眾號、不動產微信公眾號等渠道在線預約辦事序號后，在市民服務中心、不動產登記和交易中心的自助機掃網證二維碼領取辦事序號。

4. 網證+窗口辦

在政務線下辦事窗口增設網證桌面核驗終端，提供網證+人像等核驗模式，市民可在未帶身份證時通過出示網證辦理業(yè)務或容缺受理。

5. 網證+上門辦

依托不動產登記和交易中心試點服務上門辦理。通過工作人員攜帶手持PDA到現場為用戶進行身份認證并辦理特定的不動產相關業(yè)務，方便殘疾人、老人、病人等無法出門辦事的特殊情況。

（二）公共服務領域

依托可信數字身份公共服務平臺輸出網證相關能力，通過與各場景原有業(yè)務系統結合，豐富網證在各應用領域的應用模式，實現網證在全市的一碼通行。

1. 網證+住宿

通過在聚春園會展酒店等合作酒店開展試點，部署網證核驗終端，實現旅客到店后無需使用身份證，在前臺掃網證二維碼完成身份核驗并辦理入住登記。

通過在民宿開展試點，部署網證核驗終端，實現旅客到店后無需使用身份證，在前臺掃網證二維碼完成身份核驗并辦理入住登記。

2. 網證+通行

在政府辦公區(qū)等園區(qū)場所應用網證過閘，通過增設人證核驗掃碼閘機，實現來訪人員使用網證核驗并登記，加強園區(qū)、場所的人員出入管理。

在福州汽車北站開展網證應用實人購票，通過部署桌面核驗終端，實現乘客出示網證實人購票，有效管控人員出行信息。

3. 網證+競拍

對接海峽縱橫電子競價平臺，為其提供權威可信的網證認證能力支持，用戶經過實人實名認證后參與競拍，進一步提升競價平臺的可追溯性與權威性。

4. 網證+文旅

網吧上網登記。通過網證核驗終端與省公安廳相關網吧登記系統接口對接，實現市民無需攜帶身份證，使用網證二維碼即可登記上網。

場館參觀登記。通過在林則徐紀念館等公共文化場館部署網證核驗終端，市民使用網證二維碼即可登記參觀，便利市民的同時為場館提供參觀人員情況的數據分析、統計。

圖書館借閱。在市圖書館原先與市統一身份認證平臺對接的基礎上，進一步打通網證核驗能力，實現市民使用網證即可辦理借書證、借閱圖書及使用電子閱覽室等。

5. 網證+會展

依托數字中國峰會，向參會嘉賓優(yōu)先免費發(fā)放可信數字身份，實現峰會注冊、入場等場景一碼通行。

6. 網證+支持港澳臺同等待遇應用

通過在e福州上實現港澳臺同胞身份認證，簽發(fā)與大陸居民同等待遇的身份碼，支持港澳臺同胞在e福州上享受與大陸居民同等待遇，享受乘坐公交地鐵、查詢醫(yī)社保等便民服務。

7. 網證+智慧社區(qū)

推動網證在智慧社區(qū)的應用，一是通過在小區(qū)門禁、樓棟門禁等關鍵卡口部署核驗終端，依托網證與小區(qū)門禁和訪客登記系統的結合，有效管控出入小區(qū)人員，為小區(qū)物業(yè)管理提供有效支撐手段，同時也為公安提供有效軌跡行為數據，滿足流口管控等場景應用需求。二是通過部署網證核驗門鎖，要求公租房、出租房住戶掃碼開鎖，實現相關管理部門精確掌握小區(qū)訪客和出租房租客信息，推動智慧社區(qū)精細化管理。

五、結語和展望

CTID打造了網絡身份認證的“信任根”，安全二維碼提升了二維碼的安全性能，讓可信數字身份更可信?？尚艛底稚矸莨芾砥脚_基于安全二維碼實現區(qū)域內身份通行和數據通行，助力地區(qū)或行業(yè)打造自身生態(tài)域內一碼通行的能力。

可信數字身份是打造生態(tài)域的基石，但仍是一項新興技術，還有很長遠的道路要走。應盡快開展相關技術、法規(guī)的研究、應用與普及，提升人民群眾在現代化治理體系中的參與感和話語權，進而助推國家治理體系和治理能力現代化的落實，保障和改善民生，增進人民福祉。