楊林 國偉 孫玉龍

1. 公安部第一研究所 2. 北京中盾安信科技發(fā)展有限公司

引言

隨著“互聯(lián)網(wǎng)+”時代的全面到來，網(wǎng)絡數(shù)字經濟的快速發(fā)展，線上線下身份管理一體化的需求越來越強勁，種種因網(wǎng)絡身份不實、信用管理缺失、電信網(wǎng)絡詐騙帶來的問題已嚴重影響人民群眾的日常生活，影響我國“互聯(lián)網(wǎng)+”行動戰(zhàn)略的推進，并對國家安全和社會穩(wěn)定造成了重大威脅。2013年以來，為改善網(wǎng)絡身份管理比較薄弱的局面，公安部第一研究所在公安部的直接領導下，在中央網(wǎng)信辦、國家發(fā)改委、科技部等部委的大力支持下，積極開展居民身份證網(wǎng)上應用研究，助力線上線下身份管理一體化，建立了“權威、統(tǒng)一、安全、便捷”的中國特色網(wǎng)絡可信身份認證體系，并于2016年申報獲批承建國家發(fā)改委“互聯(lián)網(wǎng)+”重大工程保障支撐類項目——“互聯(lián)網(wǎng)+可信身份認證平臺”（以下簡稱CTID平臺）。目前該項目已完成全部建設目標，進入公安部和國家發(fā)改委全面驗收階段。公安部第一研究所在網(wǎng)絡可信身份認證基礎理論研究、核心技術研發(fā)、標準體系制定、基礎設施建設、試點示范應用等方面都積累了較為豐富的經驗，在政務、金融、電信、互聯(lián)網(wǎng)應用等領域發(fā)揮了積極作用。本文將重點介紹“互聯(lián)網(wǎng)+可信身份認證平臺”的建設和應用情況。

一、平臺建設目標

CTID平臺的建設目標是為國務院全面實施“放管服”改革、深化“互聯(lián)網(wǎng)+”行動計劃、推進網(wǎng)絡實名制戰(zhàn)略、便捷企業(yè)和群眾網(wǎng)上辦事、實現(xiàn)線上線下身份管理一體化提供基礎支撐，也為公安機關防范打擊網(wǎng)絡違法犯罪和切實維護國家網(wǎng)絡安全、助力公安大數(shù)據(jù)戰(zhàn)略、建設智慧公安提供支撐保障。

平臺基于居民身份證的技術、安全和管理體系，利用國密算法對法定身份證件信息進行不可逆的脫敏處理，形成與法定身份證件唯一映射的網(wǎng)上功能憑證（簡稱網(wǎng)證），建立全國統(tǒng)一的網(wǎng)絡可信身份認證平臺，實現(xiàn)多模式、大規(guī)模、高并發(fā)在線安全認證，從源頭上解決網(wǎng)上身份認證隱私保護和數(shù)據(jù)安全問題。

CTID平臺采用“多地多中心”的總體架構設計。各中心通過集成網(wǎng)絡、計算、存儲、安全等設備，搭建了彼此獨立的私有云平臺，并按業(yè)務功能分為數(shù)據(jù)處理中心、主認證服務中心、從認證服務中心等，如圖1所示。

1. 數(shù)據(jù)處理中心

主要建設工作是將公安網(wǎng)內法定證件信息及身份信息進行接入、匯聚、整合、脫敏等處理，形成國家法定身份信息庫，提供真實身份核驗、虛實身份關聯(lián)、行為日志分析及數(shù)據(jù)共享等服務。

2. 認證服務中心

主要建設工作是通過集成部署網(wǎng)絡、計算存儲、安全、通用軟件等軟硬件設備，搭建應用軟件運行的基礎環(huán)境，完成真實身份核驗平臺、網(wǎng)絡身份簽發(fā)平臺和網(wǎng)絡身份認證平臺的應用部署，實現(xiàn)針對互聯(lián)網(wǎng)的身份認證、核驗及簽發(fā)的服務能力。

3. 運營支撐中心和安全運維中心

建立崗位職責分工明確、團隊人員配備合理的運維團隊，制定專業(yè)化和標準化的運維制度與流程，構建自動化、智能化運維管理平臺，保障國家基礎設施連續(xù)、穩(wěn)定運行。同時，通過運營隊伍的建設積極跟進新技術的研發(fā)和進展，尤其在核心技術領域能夠適應未來全地域、全行業(yè)身份認證服務的快速增長需求。

二、平臺業(yè)務功能

CTID平臺對外提供真實身份核驗、網(wǎng)證開通和管理、網(wǎng)證認證等三大功能，基于實體身份證、網(wǎng)證、居民身份信息、人像等多種認證因子，形成了從最簡單的身份信息比對，到需要實體證件參與的多因子認證等多種身份認證模式。平臺構建的多因子、多層次、多安全等級的網(wǎng)絡可信身份認證體系，可滿足不同行業(yè)、不同應用場景、不同安全等級要求的身份認證需要。

（一）真實身份核驗

基于法定身份證件信息，CTID平臺通過真實身份核驗接口給第三方網(wǎng)絡業(yè)務系統(tǒng)提供網(wǎng)上用戶真實身份信息比對與核驗等服務。同時，根據(jù)應用方的業(yè)務需求生成居民的身份標識，即平臺簽發(fā)給業(yè)務應用方標識居民個人身份的編碼。

業(yè)務流程如圖2所示。第三方APP客戶端通過真實身份采集SDK，將采集的身份信息和人像加密發(fā)送至其服務端，由其服務端向CTID平臺提交核驗請求，經CTID平臺進行真實身份核驗后，把核驗結果返回給服務端，在身份核驗正確的情況下，則按需返回身份標識。

（二）網(wǎng)證開通和管理

CTID平臺通過CTID APP提供網(wǎng)證開通和管理服務。網(wǎng)證開通是基于居民身份證和出入境證件信息，采用國密算法，進行脫敏、去標識化處理，統(tǒng)一生成不可逆、不含明文信息，用于在網(wǎng)絡空間中證明居民個人身份的電子文件（即網(wǎng)證），與居民身份證件具有一一對應關系。網(wǎng)證管理提供居民進行網(wǎng)證生命周期管理，可對網(wǎng)證進行注銷、凍結、解凍、網(wǎng)證口令修改和重置、更新關聯(lián)手機號碼等操作。

網(wǎng)證開通業(yè)務流程如圖3所示。用戶出示居民身份證件，CTID APP采集居民身份證件、人臉圖像、手機號碼和網(wǎng)證口令等信息，加密后提交給CTID平臺，CTID平臺進行真實身份核驗后生成網(wǎng)證，并下發(fā)到CTID客戶端。

（三）網(wǎng)證認證

基于網(wǎng)證開通時生成的網(wǎng)證庫，CTID平臺通過網(wǎng)證認證接口給第三方網(wǎng)絡應用系統(tǒng)提供用戶身份真實性、有效性和正確性的確認。用網(wǎng)證進行身份認證，用戶不用出示明文信息，可極大地保護個人隱私信息。通過網(wǎng)證與其他認證因子的組合，CTID平臺提供多模式的認證方式，以適應網(wǎng)絡業(yè)務應用不同的使用場景和安全等級的要求。認證業(yè)務等級分為三級，見表1。

?

網(wǎng)證認證業(yè)務流程如圖4所示。第三方APP客戶端通過網(wǎng)證認證SDK調取用戶存儲在客戶端的網(wǎng)證，采集人像或身份證件信息，將網(wǎng)證、人像等信息加密后發(fā)送至其服務端，向CTID平臺提交身份認證請求，經CTID平臺進行身份認證成功后，返回認證結果和網(wǎng)絡身份標識。

三、平臺應用情況

為積極發(fā)揮公安科技領軍作用，公安部第一研究所聯(lián)合國內100多家行業(yè)龍頭單位發(fā)起成立了“中關村安信網(wǎng)絡身份認證產業(yè)聯(lián)盟”，緊緊圍繞“互聯(lián)網(wǎng)+”政務服務、益民服務等重點領域，扎實推進廣東、浙江、廈門等20多個省市試點應用工作。同時，公安部第一研究所還積極參與國家可信區(qū)塊鏈推進計劃，牽頭數(shù)字身份項目組大力推進區(qū)塊鏈技術在可信數(shù)字身份中的應用。

自平臺對外提供服務以來，已累計對接政務、金融、電信、互聯(lián)網(wǎng)應用行業(yè)用戶260多家，提供網(wǎng)上身份認證服務超過21億次，日均認證量超1500萬次。

（一）全國一體化政務服務平臺

2018年12月，在國務院辦公廳和公安部的統(tǒng)一部署下，“互聯(lián)網(wǎng)+可信身份認證平臺”正式成為全國一體化政務服務平臺統(tǒng)一身份認證系統(tǒng)的自然人實名認證支撐平臺，為國家政務服務平臺、中國政府網(wǎng)、“浙里辦”、“粵省事”等40多個國家級和?。▍^(qū)、市）政務平臺提供實名、實人認證服務。截至2020年3月，CTID平臺向全國一體化政務服務平臺累計服務4.49億次。

2020年，自新冠肺炎疫情防控工作開展以來，CTID為全國一體化政務服務平臺國家健康防疫信息碼提供了全面技術支撐，在真實身份核驗、健康碼互通互認、防疫信息精準共享等方面發(fā)揮了重要作用，得到國家有關部門和社會各界的廣泛認可。

（二）互聯(lián)網(wǎng)+公安政務服務

針對公安政務服務領域對網(wǎng)上身份認證的共性需求，CTID為公安部“互聯(lián)網(wǎng)+政務服務”平臺、國家移民局政務服務平臺、12123 APP等各級公安政務服務平臺提供權威、統(tǒng)一的身份認證支撐服務超過3.8億次，助力公安部門在網(wǎng)上信訪、治安管理、戶政管理、網(wǎng)絡安全保衛(wèi)、交通管理、出入境管理等各領域為百姓提供更智能、更便捷、更省心的服務，打造“一網(wǎng)通辦、便民惠警”的公安在線政務服務新型態(tài)，讓廣大人民群眾有更多、更直接、更實在的獲得感。

（三）金融科技創(chuàng)新

目前，工商銀行、建設銀行、招商銀行、陽光保險、螞蟻金服、財付通等超過40家金融機構接入CTID平臺，實現(xiàn)金融行業(yè)線上線下網(wǎng)絡身份管理一體化，優(yōu)化了銀行、保險業(yè)務處理流程，大幅度降低金融業(yè)的流程成本，保障用戶數(shù)據(jù)安全，推動金融科技創(chuàng)新發(fā)展。

四、平臺建設成果

（一）基礎數(shù)據(jù)方面

完成了全國居民法定身份證件基礎數(shù)據(jù)的匯聚和治理、身份認證所需基礎數(shù)據(jù)的存儲和災備，形成了精準、安全、可靠的基礎數(shù)據(jù)源。截至2020年3月，CTID平臺匯聚了包括居民身份證、戶口本、中國公民普通護照、大陸居民往來港澳臺通行證、港澳臺居民來往大陸通行證、外國人永久居留身份證等法定身份證件信息基礎數(shù)據(jù)超過50億條。

（二）服務能力方面

通過租賃電信運營商的IDC機房，完成了認證平臺基礎設施搭建。到2019年底，建成可支撐全國政務應用和部分市場化應用的網(wǎng)絡身份認證基礎能力，形成“1+1+2”運營服務體系（1個數(shù)據(jù)處理中心、1個認證服務中心、2個運營研發(fā)中心），認證服務并發(fā)處理能力達到每秒2萬次。

（三）平臺功能方面

基于實體身份證、網(wǎng)證、居民身份信息、人像等多種認證因子，形成了多種身份認證模式，構建了多因子、多層次、多安全等級的網(wǎng)絡可信身份認證體系，可滿足不同行業(yè)、不同應用場景、不同安全等級要求的身份認證需要。

（四）數(shù)據(jù)分析方面

開發(fā)了基于大數(shù)據(jù)的認證數(shù)據(jù)管理系統(tǒng)，搭建了大數(shù)據(jù)分析平臺，具備全網(wǎng)認證數(shù)據(jù)的收集、分析及挖掘能力，為網(wǎng)絡行為可追溯可追究、創(chuàng)新社會綜合治理能力提供強有力的支撐。

（五）安全體系方面

平臺在整體通過等級保護三級標準評測的基礎上，針對數(shù)據(jù)區(qū)等核心區(qū)域，按照等級保護四級進行強化建設，同時不斷強化終端應用、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、系統(tǒng)架構等方面的安全措施。

1. 終端應用安全

采用了安全控件、數(shù)據(jù)加密等技術，確保終端上不留存?zhèn)€人信息?！皩嵢恕闭J證時還采用了隨機動作連續(xù)、幅度及背景檢測等活體識別技術，對臉?；蚍抡嬉曨l等偽造手段進行識別和防范，有效防止終端數(shù)據(jù)泄露和身份冒用。

2. 數(shù)據(jù)傳輸安全

采用國產商用密碼算法加密技術，傳輸中對信道上全部數(shù)據(jù)進行加密，通過數(shù)字信封等技術保護業(yè)務數(shù)據(jù)，通過數(shù)字簽名技術保證數(shù)據(jù)的完整性和有效性，通過時間戳等方法保證傳輸數(shù)據(jù)的時效性。

3. 數(shù)據(jù)存儲安全

采用了數(shù)據(jù)變換、加密存儲等技術，互聯(lián)網(wǎng)后臺存儲的數(shù)據(jù)都是經過國產商用密碼算法單向變換的脫敏信息，原始的生物特征和身份信息均存儲在公安信息網(wǎng)內，按照等級保護四級進行強化，確保個人信息安全存儲。

4. 系統(tǒng)架構安全

采用了安全隔離設計、冗余設計、系統(tǒng)加固等技術，將系統(tǒng)劃分成不同的網(wǎng)絡安全區(qū)域，層層設防，分區(qū)保護；采用“雙活備份”，兩套設備及鏈路同時工作，自動切換，防止硬件及網(wǎng)絡故障導致系統(tǒng)癱瘓；配備多種安全軟件和硬件對關鍵環(huán)節(jié)和部位進行安全加固，保證系統(tǒng)穩(wěn)定運行。

在CTID平臺建設過程中，公安部第一研究所始終堅持核心技術自主可控。

（六）團隊建設方面

培養(yǎng)了具備核心互聯(lián)網(wǎng)平臺研發(fā)、大數(shù)據(jù)分析挖掘、人工智能應用、安全系統(tǒng)構建、系統(tǒng)技術支持、客戶服務管理、IT機房運維、平臺運營服務等方面的專業(yè)技術團隊，保障系統(tǒng)穩(wěn)定安全運營。

五、總結與展望

CTID平臺的建設和應用，能有效破解當前公民個人隱私信息在網(wǎng)上大量留存、泄露事件頻發(fā)等問題，推動線上線下身份管理一體化，解決群眾網(wǎng)上辦事堵點問題，有利于讓億萬人民在共享互聯(lián)網(wǎng)發(fā)展成果上有更多獲得感，有利于全面加強互聯(lián)網(wǎng)的權威統(tǒng)一可信身份認證管理和網(wǎng)絡身份認證生態(tài)治理，為人民群眾營造風朗氣清的網(wǎng)絡信任空間。

當前，公安部第一研究所正在國家發(fā)改委和公安部的領導下，以CTID平臺作為先導工程，組織建設網(wǎng)絡空間高可靠、高并發(fā)、高可信的國家網(wǎng)上身份認證基礎設施，開展網(wǎng)絡可信認證和治理服務，規(guī)范互聯(lián)網(wǎng)身份數(shù)據(jù)采集與留存，制定網(wǎng)絡空間身份管理政策法規(guī)，為網(wǎng)絡社會治理現(xiàn)代化的實施提供管理條件，為互聯(lián)網(wǎng)政務、商務、金融和社會生產生活等提供國家強大的服務能力支撐，保護公民隱私安全，落實國家可信戰(zhàn)略，保護國家戰(zhàn)略數(shù)據(jù)安全，保衛(wèi)國家網(wǎng)絡安全和政治安全。公安部第一研究所也將繼續(xù)發(fā)揮“中關村安信網(wǎng)絡身份認證產業(yè)聯(lián)盟”的作用，整合網(wǎng)絡身份認證產業(yè)鏈上下游伙伴，共建可信數(shù)字身份生態(tài)。