個人網上身份多源認證服務研究

徐 祺，崔久強

(上海市數(shù)字證書認證中心有限公司，上海 200080)

個人網上身份多源認證服務研究

徐 祺，崔久強

(上海市數(shù)字證書認證中心有限公司，上海 200080)

針對目前身份認證服務市場應用不規(guī)范、身份信息非法或超需求收集、認證流程繁冗、認證手續(xù)復雜、多方重復認證等問題，提出開展個人網上身份多源認證服務研究，設計了可互操作的通用身份模型架構、制定和完善身份認證策略框架，試圖建立個人可信身份生態(tài)基礎設施，向用戶提供實名身份鑒別服務、應用登錄認證服務和應用電子簽名服務等，為各類電子政務、電子商務等互聯(lián)網活動提供統(tǒng)一的可信身份認證服務。

個人；身份認證；多源

0 引言

隨著“互聯(lián)網+”、云計算、大數(shù)據(jù)、移動互聯(lián)網、物聯(lián)網等技術與政府業(yè)務信息化的不斷融合，各地政府機構開始推動政務服務云建設，用互聯(lián)網作為服務渠道推動政務服務創(chuàng)新，成為各地主管部門建設服務型政府的重要抓手[1-3]。各地政府部門逐步推出了各類政務APP、微信自助服務，將資質申請、行政審批、數(shù)據(jù)上報等業(yè)務逐步遷移到智能移動終端上實現(xiàn)。與此同時，各大互聯(lián)網巨頭也紛紛啟動“互聯(lián)網+城市服務”戰(zhàn)略，向社會公眾開放自身的基礎服務能力，為各地政府提供“智慧城市”的一站式解決方案，形成開放的城市公共服務平臺，為廣大市民提供更高效、便捷的線上服務。

1 個人網上身份多源認證分析

據(jù)支付寶發(fā)布的《2015“互聯(lián)網+”城市服務報告》[4]顯示，截至2015年底，全國19個省份、124個城市入駐支付寶城市服務平臺，提供包括車主服務、政務辦事、醫(yī)療、交通出行、充值繳費等9大類服務，共計4000多項業(yè)務，為超過1億的用戶提供簡單便捷的服務體驗。用戶通過支付寶、微博和手機淘寶三個入口，均可進入“城市服務”平臺，在手機上完成交通違章查詢、路況及公交查詢、生活繳費、醫(yī)院掛號、三金查詢、出入境辦理、結婚登記預約等事項。微信的城市服務也于 2014年 12月正式上線，微信用戶可以在“城市服務”下得到包含醫(yī)療、交管、交通、公安戶政、出入境、繳費、教育、公積金等16項民生公共服務。

越來越多的大型電子商務、社交網絡平臺都紛紛加入智慧城市服務的隊伍中，他們利用自有的身份認證方式、服務渠道為旗下用戶提供智慧生活服務。在眾多電子政務、電子商務、社會公共服務應用逐步接入城市服務的大趨勢下，公眾進入每一個移動應用前都需要進行身份認證[5-8]，然而目前身份認證服務市場魚龍混雜，身份信息非法或超需求收集、買賣、身份信息批量竊取等個人信息保護不力現(xiàn)象十分嚴重。對于每個業(yè)務應用系統(tǒng)要面對多個身份渠道供應商，而對于每個身份渠道也需要用戶根據(jù)具體的身份認證強度等級提供相應的服務，面對跨地域、跨部門、跨業(yè)務領域的大規(guī)模渠道商，個人身份多源認證面臨認證次數(shù)重復、認證流程繁冗、認證手續(xù)復雜、多方重復認證等問題，造成了大量人力、財力和物力的浪費。第一、缺乏身份認證互信互認機制，造成身份認證渠道多樣，重復認證現(xiàn)象明顯，不能實現(xiàn)不同數(shù)據(jù)源身份交叉應用。第二、微博、社交網站等新型網絡應用，為提供個性化的服務而涉及用戶敏感信息，身份渠道供應商面臨身份管理和訪問控制機制不健全情況下引發(fā)的一系列安全威脅。第三、對于終端用戶而言，需要記憶大量業(yè)務系統(tǒng)各自應用賬號和密碼，造成管理不便。在多渠道、多源頭、多平臺環(huán)境下構建安全可靠的身份管理和訪問控制體系是智慧城市信息系統(tǒng)建設的重要任務。

2 個人網上身份多源認證服務研究

隨著網絡規(guī)模的日益增長，個人身份多源認證需要支持上千萬甚至數(shù)十億用戶的身份認證與應用授權。在分析可互操作的通用身份模型需求的基礎上，制定和完善身份認證策略框架，建立個人可信身份生態(tài)基礎設施和服務架構，加強身份認證技術創(chuàng)新和應用模式創(chuàng)新，建設個人網絡空間可信身份生態(tài)體系，以個人為中心確立網絡空間主體和現(xiàn)實生活中人與組織的關系對應和歸屬，實現(xiàn)虛擬身份與社會身份的真實映射，在網絡空間為各主體構建信任關系，為各類電子政務、電子商務等互聯(lián)網活動提供統(tǒng)一的可信身份認證服務[9,10]。

2.1 總體架構

個人網上身份多源認證服務平臺總體架構如圖1所示，包括身份信息源、平臺管理、業(yè)務應用、標準規(guī)范與制度管理、安全與運維保障體系等5個方面。

身份信息源包括目前市民常用的網上社交、移動支付軟件（如微信、支付寶等）和現(xiàn)行通用的各類身份認證方式（如銀行卡驗證、身份證信息比對、公安三所eID認證、公安一所身份證網上副本、三大電信運營商實名制手機號、駕駛證信息、社保賬號信息、公積金信息等）。平臺管理負責對個人網上身份多源認證服務進行管理和服務配置，主要包括身份標識管理、認證等級策略管理、訪問控制策略管理、身份源管理、接入應用管理、用戶管理、授權管理、審計管理、配置管理和服務管理等。通過多源認證平臺認證后，用戶可實現(xiàn)網上預約辦事、家庭賬單查詢與繳納、社保信息查詢與管理、公積金信息查詢與管理、納稅信息查詢與管理、個人信用報告查詢、在線圖書借閱、個人電子檔案管理、醫(yī)院門診掛號、網上政務在線辦事等服務。同時還要遵守國家及行業(yè)的標準規(guī)范與制度，為了保障用戶隱私安全，還需要加強安全與運維保障體系。

圖1 個人網上身份多源認證服務平臺架構圖

2.2 平臺功能

個人網上身份多源認證服務平臺主要為用戶提供實名身份鑒別服務、應用登錄認證服務和應用電子簽名服務等。

圖2 個人網上身份多源認證服務平臺實名身份鑒別服務流程

1.實名身份鑒別服務查看公開信息、使用姓名+身份證注冊的用戶可以使用基本功能、使用人臉識別認證[11-12]的用戶可以在線辦理業(yè)務），不同的認證渠道商認證通過的用戶帶有不同的權限標識，通過分級策略實現(xiàn)身份的映射互通。同時，該平臺還開展基于大數(shù)據(jù)的身份糾錯模式，在互聯(lián)互通的身份映射機制基礎上，會存在同一用戶在不同的電子商務平臺或社交網絡平臺具有不同的身份（如A用戶在支付寶認證渠道下是代表用戶A，而在手機運營商渠道下可能代表用戶B），平臺針對此情況開展基于大數(shù)據(jù)的身份糾錯模式，增加其他身份認證手段（人臉識別、銀行卡驗證）保證同一用戶在多源認證統(tǒng)一服務模式下具有同一身份標識。

2.應用登錄認證服務

對于低頻應用（如個人所得稅自主申報）進行身份認證時，應用不需要建立和維護個人用戶的應用賬戶信息，在每次交易時均需要對用戶進行實名身份鑒別。對于高頻應用初次注冊時由用戶選擇登陸方式，認證通過后提示用戶進行實名身份鑒別，通過后由平臺維護用戶的賬戶信息；若后續(xù)選擇同樣的認證方式進行認證，不需要再次實名身份鑒別，由平臺返回對應的實名信息；可以根據(jù)用戶需求更換認證方式。

個人網上身份多源認證服務平臺集成在原有業(yè)務應用系統(tǒng)中，當應用需要對用戶身份進行確認時，可跳轉至多源認證服務平臺進行身份鑒別，鑒別通過后由應用系統(tǒng)根據(jù)實名結果為用戶創(chuàng)建并維護賬戶信息。其中，多源身份認證平臺的實名鑒別服務一方面根據(jù)用戶自主選擇的認證源渠道確定用戶身份，另一方面根據(jù)用戶選擇的應用系統(tǒng)對實名認證強度的要求進行綜合認證。通過該平臺能夠建立互聯(lián)互通的身份映射機制，實現(xiàn)不同身份認證的手段對應不同的權限級別（如使用短信認證的用戶只能

圖3 個人網上身份多源認證服務平臺應用登錄認證服務流程

3.應用數(shù)字簽名服務

當用戶選擇需要進行電子簽名的應用時，由多源認證服務平臺調用數(shù)字證書和時間戳服務，實時簽發(fā)數(shù)字證書，為用戶提供后臺電子簽名服務，對每一筆交易均包含時間戳，便于日后的安全審計和責任認定。

2.3 平臺應用

個人網上身份多源認證服務針對在軟件體系架構和技術形態(tài)多樣化的環(huán)境下，用戶身份認證統(tǒng)一管理中存在的量化身份模型難以建立、跨域身份鑒別機制難以形成、多種身份認證方式難以融合、用戶個人敏感數(shù)據(jù)難以保護等關鍵問題，攻克異源、異構、異平臺海量用戶接入城市服務應用中統(tǒng)一身份認證、授權管理、責任認定、行為審計等技術難題，對用戶身份認證、跨域鑒別、信息保護等影響身份管理功能有效實現(xiàn)和部署的關鍵問題進行深入研究，形成互聯(lián)互通、操作性較強的身份管理框架、身份標識分類、身份鑒別標準、認證分級規(guī)則、信息保護策略和責任認定機制等。針對電子政務業(yè)務應用場景建立實名認證服務（如出入境辦理、結婚登記預約等）機制，針對電子商務業(yè)務應用場景建立實名（如網上支付、物流快遞等）或匿名（如網上論壇、網上購物等）服務機制，創(chuàng)新多渠道多源頭身份認證服務模式、業(yè)務模式和應用模式等，為智慧城市網絡服務提供完整、快速、安全、可靠、可控的電子認證服務。

[1]嚴霄鳳.在智慧城市建設中推廣電子認證服務[J].軟件, 2012, 33(3): 109-112.

[2]王云.互聯(lián)網+時代泰州智慧城市創(chuàng)新發(fā)展探討[J].軟件, 2015, 36(11): 09-11.

[3]崔久強, 徐祺.移動互聯(lián)網身份認證技術研究[J].信息安全與技術, 2015(7).

[4]《支付寶發(fā)布2015“互聯(lián)網＋”城市服務報告》[N].南方日報2016-01-18.

[5]劉會議.移動互聯(lián)網中身份認證技術的研究[D].山東大學, 2014.

[6]霍艷清.基于PKI技術的電子政務網身份認證系統(tǒng)的設計與實現(xiàn)[D].吉林大學, 2014.

[7]張巖.基于PKI的多安全要素跨域身份認證系統(tǒng)設計[D].太原理工大學, 2015.

[8]范月, 許晉, 高宇童.eID移動身份認證系統(tǒng)的研究與實現(xiàn)[J].信息網絡安全, 2015(3).

[9]潛昕, 羅沙白, 盧康權.構建基于分布式SOA架構的統(tǒng)一身份認證體系[J].軟件, 2013, 34(1): 17-19.

[10]劉艷民, 鄂海紅.基于OpenID2.0的認證授權系統(tǒng)的分析與設計[J].軟件, 2015, 36(10): 01-04.

[11]基于人臉識別的實名認證方法及系統(tǒng)[P].李國, 崔久強,徐祺, 杜守國, 陳犖祺, 劉承, 馮曄.中國專利: CN103-634120A.

[12]非現(xiàn)場個人數(shù)字證書申請方法及系統(tǒng)[P].崔久強, 杜守國,劉承, 徐祺, 陳犖祺, 馮曄, 王天華.中國專利: CN103825744A.

Research on Multiple-Source Authentication Service for Personal Online Identification

XU Qi, CUI Jiu-qiang
(Shanghai Electronic Certificate Authority Center Co., ltd, Shanghai 20080, China)

To address the current issues in the identity authentication service market regarding abnormal application, illicit information or excessive collection, burdensome authentication process, complicated certificate formalities, and multipart repetitive authentication, this paper proposed the research on personal identification and multiple-source authentication service.Through designing the interoperability and universal identity modular architecture, establishing and improving identification policy framework, it constructs the trusted identity ecological infrastructure.Providing services to customers, such as verify their real-name identities, login authentication, and electronic signature applications.Meanwhile, the credible identity certificate service can be applied to e-government affairs, e-commerce, and other Internet activities.

Personal; Authentication; Multiple-Source

TP391.1

A

10.3969/j.issn.1003-6970.2017.03.007

上海市信息化發(fā)展專項資金項目(201601071)。

徐祺(1985-)男，碩士，工程師，主要從事電子政務、電子商務和信息安全領域的研究；崔久強(1973-)，男，工程師，主要研究方向為電子認證、信息安全、電子政務、電子商務和數(shù)字證書等。

本文著錄格式：徐祺，崔久強.個人網上身份多源認證服務研究[J].軟件，2017，38（3）：34-37