“互聯網+可信身份認證平臺”的建設與應用

楊林 國偉 孫玉龍

1. 公安部第一研究所 2. 北京中盾安信科技發展有限公司

引言

隨著“互聯網+”時代的全面到來，網絡數字經濟的快速發展，線上線下身份管理一體化的需求越來越強勁，種種因網絡身份不實、信用管理缺失、電信網絡詐騙帶來的問題已嚴重影響人民群眾的日常生活，影響我國“互聯網+”行動戰略的推進，并對國家安全和社會穩定造成了重大威脅。2013年以來，為改善網絡身份管理比較薄弱的局面，公安部第一研究所在公安部的直接領導下，在中央網信辦、國家發改委、科技部等部委的大力支持下，積極開展居民身份證網上應用研究，助力線上線下身份管理一體化，建立了“權威、統一、安全、便捷”的中國特色網絡可信身份認證體系，并于2016年申報獲批承建國家發改委“互聯網+”重大工程保障支撐類項目——“互聯網+可信身份認證平臺”（以下簡稱CTID平臺）。目前該項目已完成全部建設目標，進入公安部和國家發改委全面驗收階段。公安部第一研究所在網絡可信身份認證基礎理論研究、核心技術研發、標準體系制定、基礎設施建設、試點示范應用等方面都積累了較為豐富的經驗，在政務、金融、電信、互聯網應用等領域發揮了積極作用。本文將重點介紹“互聯網+可信身份認證平臺”的建設和應用情況。

一、平臺建設目標

CTID平臺的建設目標是為國務院全面實施“放管服”改革、深化“互聯網+”行動計劃、推進網絡實名制戰略、便捷企業和群眾網上辦事、實現線上線下身份管理一體化提供基礎支撐，也為公安機關防范打擊網絡違法犯罪和切實維護國家網絡安全、助力公安大數據戰略、建設智慧公安提供支撐保障。

平臺基于居民身份證的技術、安全和管理體系，利用國密算法對法定身份證件信息進行不可逆的脫敏處理，形成與法定身份證件唯一映射的網上功能憑證（簡稱網證），建立全國統一的網絡可信身份認證平臺，實現多模式、大規模、高并發在線安全認證，從源頭上解決網上身份認證隱私保護和數據安全問題。

CTID平臺采用“多地多中心”的總體架構設計。各中心通過集成網絡、計算、存儲、安全等設備，搭建了彼此獨立的私有云平臺，并按業務功能分為數據處理中心、主認證服務中心、從認證服務中心等，如圖1所示。

1. 數據處理中心

主要建設工作是將公安網內法定證件信息及身份信息進行接入、匯聚、整合、脫敏等處理，形成國家法定身份信息庫，提供真實身份核驗、虛實身份關聯、行為日志分析及數據共享等服務。

2. 認證服務中心

主要建設工作是通過集成部署網絡、計算存儲、安全、通用軟件等軟硬件設備，搭建應用軟件運行的基礎環境，完成真實身份核驗平臺、網絡身份簽發平臺和網絡身份認證平臺的應用部署，實現針對互聯網的身份認證、核驗及簽發的服務能力。

3. 運營支撐中心和安全運維中心

建立崗位職責分工明確、團隊人員配備合理的運維團隊，制定專業化和標準化的運維制度與流程，構建自動化、智能化運維管理平臺，保障國家基礎設施連續、穩定運行。同時，通過運營隊伍的建設積極跟進新技術的研發和進展，尤其在核心技術領域能夠適應未來全地域、全行業身份認證服務的快速增長需求。

二、平臺業務功能

CTID平臺對外提供真實身份核驗、網證開通和管理、網證認證等三大功能，基于實體身份證、網證、居民身份信息、人像等多種認證因子，形成了從最簡單的身份信息比對，到需要實體證件參與的多因子認證等多種身份認證模式。平臺構建的多因子、多層次、多安全等級的網絡可信身份認證體系，可滿足不同行業、不同應用場景、不同安全等級要求的身份認證需要。

（一）真實身份核驗

基于法定身份證件信息，CTID平臺通過真實身份核驗接口給第三方網絡業務系統提供網上用戶真實身份信息比對與核驗等服務。同時，根據應用方的業務需求生成居民的身份標識，即平臺簽發給業務應用方標識居民個人身份的編碼。

業務流程如圖2所示。第三方APP客戶端通過真實身份采集SDK，將采集的身份信息和人像加密發送至其服務端，由其服務端向CTID平臺提交核驗請求，經CTID平臺進行真實身份核驗后，把核驗結果返回給服務端，在身份核驗正確的情況下，則按需返回身份標識。

（二）網證開通和管理

CTID平臺通過CTID APP提供網證開通和管理服務。網證開通是基于居民身份證和出入境證件信息，采用國密算法，進行脫敏、去標識化處理，統一生成不可逆、不含明文信息，用于在網絡空間中證明居民個人身份的電子文件（即網證），與居民身份證件具有一一對應關系。網證管理提供居民進行網證生命周期管理，可對網證進行注銷、凍結、解凍、網證口令修改和重置、更新關聯手機號碼等操作。

網證開通業務流程如圖3所示。用戶出示居民身份證件，CTID APP采集居民身份證件、人臉圖像、手機號碼和網證口令等信息，加密后提交給CTID平臺，CTID平臺進行真實身份核驗后生成網證，并下發到CTID客戶端。

（三）網證認證

基于網證開通時生成的網證庫，CTID平臺通過網證認證接口給第三方網絡應用系統提供用戶身份真實性、有效性和正確性的確認。用網證進行身份認證，用戶不用出示明文信息，可極大地保護個人隱私信息。通過網證與其他認證因子的組合，CTID平臺提供多模式的認證方式，以適應網絡業務應用不同的使用場景和安全等級的要求。認證業務等級分為三級，見表1。

?

網證認證業務流程如圖4所示。第三方APP客戶端通過網證認證SDK調取用戶存儲在客戶端的網證，采集人像或身份證件信息，將網證、人像等信息加密后發送至其服務端，向CTID平臺提交身份認證請求，經CTID平臺進行身份認證成功后，返回認證結果和網絡身份標識。

三、平臺應用情況

為積極發揮公安科技領軍作用，公安部第一研究所聯合國內100多家行業龍頭單位發起成立了“中關村安信網絡身份認證產業聯盟”，緊緊圍繞“互聯網+”政務服務、益民服務等重點領域，扎實推進廣東、浙江、廈門等20多個省市試點應用工作。同時，公安部第一研究所還積極參與國家可信區塊鏈推進計劃，牽頭數字身份項目組大力推進區塊鏈技術在可信數字身份中的應用。

自平臺對外提供服務以來，已累計對接政務、金融、電信、互聯網應用行業用戶260多家，提供網上身份認證服務超過21億次，日均認證量超1500萬次。

（一）全國一體化政務服務平臺

2018年12月，在國務院辦公廳和公安部的統一部署下，“互聯網+可信身份認證平臺”正式成為全國一體化政務服務平臺統一身份認證系統的自然人實名認證支撐平臺，為國家政務服務平臺、中國政府網、“浙里辦”、“粵省事”等40多個國家級和省（區、市）政務平臺提供實名、實人認證服務。截至2020年3月，CTID平臺向全國一體化政務服務平臺累計服務4.49億次。

2020年，自新冠肺炎疫情防控工作開展以來，CTID為全國一體化政務服務平臺國家健康防疫信息碼提供了全面技術支撐，在真實身份核驗、健康碼互通互認、防疫信息精準共享等方面發揮了重要作用，得到國家有關部門和社會各界的廣泛認可。

（二）互聯網+公安政務服務

針對公安政務服務領域對網上身份認證的共性需求，CTID為公安部“互聯網+政務服務”平臺、國家移民局政務服務平臺、12123 APP等各級公安政務服務平臺提供權威、統一的身份認證支撐服務超過3.8億次，助力公安部門在網上信訪、治安管理、戶政管理、網絡安全保衛、交通管理、出入境管理等各領域為百姓提供更智能、更便捷、更省心的服務，打造“一網通辦、便民惠警”的公安在線政務服務新型態，讓廣大人民群眾有更多、更直接、更實在的獲得感。

（三）金融科技創新

目前，工商銀行、建設銀行、招商銀行、陽光保險、螞蟻金服、財付通等超過40家金融機構接入CTID平臺，實現金融行業線上線下網絡身份管理一體化，優化了銀行、保險業務處理流程，大幅度降低金融業的流程成本，保障用戶數據安全，推動金融科技創新發展。

四、平臺建設成果

（一）基礎數據方面

完成了全國居民法定身份證件基礎數據的匯聚和治理、身份認證所需基礎數據的存儲和災備，形成了精準、安全、可靠的基礎數據源。截至2020年3月，CTID平臺匯聚了包括居民身份證、戶口本、中國公民普通護照、大陸居民往來港澳臺通行證、港澳臺居民來往大陸通行證、外國人永久居留身份證等法定身份證件信息基礎數據超過50億條。

（二）服務能力方面

通過租賃電信運營商的IDC機房，完成了認證平臺基礎設施搭建。到2019年底，建成可支撐全國政務應用和部分市場化應用的網絡身份認證基礎能力，形成“1+1+2”運營服務體系（1個數據處理中心、1個認證服務中心、2個運營研發中心），認證服務并發處理能力達到每秒2萬次。

（三）平臺功能方面

基于實體身份證、網證、居民身份信息、人像等多種認證因子，形成了多種身份認證模式，構建了多因子、多層次、多安全等級的網絡可信身份認證體系，可滿足不同行業、不同應用場景、不同安全等級要求的身份認證需要。

（四）數據分析方面

開發了基于大數據的認證數據管理系統，搭建了大數據分析平臺，具備全網認證數據的收集、分析及挖掘能力，為網絡行為可追溯可追究、創新社會綜合治理能力提供強有力的支撐。

（五）安全體系方面

平臺在整體通過等級保護三級標準評測的基礎上，針對數據區等核心區域，按照等級保護四級進行強化建設，同時不斷強化終端應用、數據傳輸、數據存儲、系統架構等方面的安全措施。

1. 終端應用安全

采用了安全控件、數據加密等技術，確保終端上不留存個人信息。“實人”認證時還采用了隨機動作連續、幅度及背景檢測等活體識別技術，對臉模或仿真視頻等偽造手段進行識別和防范，有效防止終端數據泄露和身份冒用。

2. 數據傳輸安全

采用國產商用密碼算法加密技術，傳輸中對信道上全部數據進行加密，通過數字信封等技術保護業務數據，通過數字簽名技術保證數據的完整性和有效性，通過時間戳等方法保證傳輸數據的時效性。

3. 數據存儲安全

采用了數據變換、加密存儲等技術，互聯網后臺存儲的數據都是經過國產商用密碼算法單向變換的脫敏信息，原始的生物特征和身份信息均存儲在公安信息網內，按照等級保護四級進行強化，確保個人信息安全存儲。

4. 系統架構安全

采用了安全隔離設計、冗余設計、系統加固等技術，將系統劃分成不同的網絡安全區域，層層設防，分區保護；采用“雙活備份”，兩套設備及鏈路同時工作，自動切換，防止硬件及網絡故障導致系統癱瘓；配備多種安全軟件和硬件對關鍵環節和部位進行安全加固，保證系統穩定運行。

在CTID平臺建設過程中，公安部第一研究所始終堅持核心技術自主可控。

（六）團隊建設方面

培養了具備核心互聯網平臺研發、大數據分析挖掘、人工智能應用、安全系統構建、系統技術支持、客戶服務管理、IT機房運維、平臺運營服務等方面的專業技術團隊，保障系統穩定安全運營。

五、總結與展望

CTID平臺的建設和應用，能有效破解當前公民個人隱私信息在網上大量留存、泄露事件頻發等問題，推動線上線下身份管理一體化，解決群眾網上辦事堵點問題，有利于讓億萬人民在共享互聯網發展成果上有更多獲得感，有利于全面加強互聯網的權威統一可信身份認證管理和網絡身份認證生態治理，為人民群眾營造風朗氣清的網絡信任空間。

當前，公安部第一研究所正在國家發改委和公安部的領導下，以CTID平臺作為先導工程，組織建設網絡空間高可靠、高并發、高可信的國家網上身份認證基礎設施，開展網絡可信認證和治理服務，規范互聯網身份數據采集與留存，制定網絡空間身份管理政策法規，為網絡社會治理現代化的實施提供管理條件，為互聯網政務、商務、金融和社會生產生活等提供國家強大的服務能力支撐，保護公民隱私安全，落實國家可信戰略，保護國家戰略數據安全，保衛國家網絡安全和政治安全。公安部第一研究所也將繼續發揮“中關村安信網絡身份認證產業聯盟”的作用，整合網絡身份認證產業鏈上下游伙伴，共建可信數字身份生態。