“互聯網+ 可信身份認證平臺”政務服務應用
——以浙江“最多跑一次”改革實踐為例

解曉勇 浙江省公安廳治安監督管理總隊

引言

2015年，在公安部第一研究所大力支持下，浙江省公安廳被確定為全國首個省級第二代居民身份證互聯網身份認證服務試點單位，廳治安總隊成立專班，圓滿完成相關試點工作。2016年，公安部“互聯網+可信身份認證平臺”（以下簡稱平臺）獲國家發改委“互聯網+”重大工程基礎保障類項目批復立項。

2017年，浙江啟動政務服務“最多跑一次”改革，省委省政府要求：群眾和企業到政府辦理一件事情，在申請材料齊全、符合法定受理條件時，從受理申請到形成辦理結果全過程只需一次上門或零上門。在2018年中央深改組第二次會議上，習近平總書記專門聽取了浙江“最多跑一次”改革情況匯報。李克強總理在十三屆全國人大作政府工作報告時強調：要深入推進“互聯網+政務服務”，力爭做到“只進一扇門、最多跑一次”。浙江省通過深度運用平臺認證技術，推動“最多跑一次”改革，已經取得了階段性成效。

一、業務需求

公安機關是群眾聯系最密切、審批數量最多、基層窗口分布最廣的政府部門，特別是治安系統，全省僅戶籍業務年辦理量就高達2900萬人次，在“最多跑一次”改革過程中同樣遇到種種困難和問題：

一是身份認證難。在群眾辦理業務過程中，當窗口民警采用傳統人工肉眼對身份信息進行認證時，常因工作經驗差異或辦事群眾面部特征改變出現判斷困難、甚至認證錯誤的問題。

二是群眾不方便。改革雖已大幅簡化程序，減少時間、環節和材料，但為證明身份，多數公安業務仍需群眾本人攜帶身份證、戶口本等現場確認，忘帶證件時更需多次奔波。

三是信息共享難。群眾再次辦理業務或到其他單位辦理業務時，因身份信息無法共享，仍需再次現場確認并重復提供證明，費時費力，也給辦事窗口增加了工作量。

四是社會投入大。各單位均設立各類現場辦事窗口，占用大量人力及寶貴的土地資源，僅全省1178個治安派出所的戶籍窗口就投入4000多名警力，群眾途中往返也造成紙張、交通等資源浪費。

2018年2月，廳治安總隊“最多跑一次”專班研究提出：公安部第一研究所研發的可信身份認證技術及服務平臺可以解決“最多跑一次”現行遇到的問題和困難。通過建設全省可信身份認證統一服務平臺，在PC端、手機端、自助終端等進行身份認證，可以有效破解“最多跑一次”改革遇到的問題和困難，實現企業群眾辦事“最多跑一次”、甚至“跑零次”的要求，并做到“一次認證、多次復用、全網通辦”。

省政府專家會同公安部一所充分論證，一致認為：浙江公安提出的“互聯網+可信身份認證平臺”應用“最多跑一次”改革是一次顛覆性、徹底性變革，可以再造工作流程，改變業務生態，推動政務信息化飛躍，通過后臺在線校驗居民身份證及人臉生物特征識別，為各級政府部門、各類網上主體提供統一的、可信的、多安全認證級別的“實名、實人”網絡身份認證基礎服務，最終實現“全省受理、全國通辦、全網流轉”的目標，對深化“最多跑一次”改革、推進政府數字化轉型有重要意義，完全契合浙江“最多跑一次”改革要求。

二、平臺應用的整體架構

“互聯網+可信身份認證平臺”是居民身份證向網絡社會身份管理應用的延伸，是群眾網上辦事的“第一關卡”，也是各類政務服務的基礎保障。安全、有效、便捷的技術認證手段，能增強群眾安全感和體驗感，有效提升政務服務水平。

（一）技術架構

可信身份認證服務從兩個角度出發：

一方面，提供基礎認證平臺服務，在框架結構設計上如圖1所示，結合了組件式開發，靈活選擇所需應用，在視覺層面采用全息信息模型設計。基于可信身份認證體系，對數據進行了深度匯聚分析，在可信終端上進行可信身份認證操作，達到人機AI體感交互，可信身份認證流程更便捷、更通暢。

另一方面，出于數據安全角度考慮，數據傳輸至平臺時先進行本地加密操作，平臺到公安部一所認證平臺的認證數據通過簽名服務器加密，保障數據的安全性。平臺只存認證記錄而不留存認證數據，進一步保障數據的安全性。

（二）總體架構設計

平臺系統架構的設計不僅包含系統的組織結構和網絡拓撲，還囊括了系統建設需求和構成系統各元素之間的對應關系。在進行系統架構設計時，遵循三大原則：最大化復用原則、復雜問題簡單化原則、靈活擴展性原則。

平臺充分考慮了系統的高可用性、高性能、實用性、可維護性、先進性、可拓展性和安全性等各方面，采用多層架構設計。總體架構如圖2所示。

1. 基礎設施層

位于整個系統最基礎的位置，為浙江省可信身份認證提供網絡傳輸、計算能力、存儲空間等基本服務。基礎設施平臺的主要建設內容包括網絡系統、計算存儲系統、云服務及公安部一所認證接口等。

2. 數據存儲層

為認證信息數據、圖片數據及日志數據提供物理存儲；主要配備對應的存儲介質，包括MySql關系型數據庫存儲、Redis高速緩存、ES日志索引文件、文檔索引及數據存儲內容。

3. 應用支撐層

建立在硬件網絡層和系統軟件數據存儲層之上，直接向具體的應用軟件系統提供服務。一方面是以技術架構平臺為基礎，基于中間件系列產品建立支持服務平臺；另一方面是對技術架構平臺的擴展，由于封裝了構建應用軟件需要解決的如Spring framework框架和數據集成中間件等在內的公共和底層服務，并且提供可復用的基礎構件和業務構件，可以實現快速構建應用系統的目標。

4. 數據訪問層

為數據存儲與服務層之間提供數據交互功能，主要包含關系型數據庫的訪問、緩存型數據的訪問以及索引型數據的訪問。

5. 平臺服務層

提供Restful標準服務接口，封裝系統業務實現過程中的常用組件以及對應功能性服務的實現，如消息隊列、郵件發送、加密算法等，為系統服務的實現提供支撐。

6. 應用層

認證服務管理平臺提供管理、查詢界面以便用戶設定系統參數，查詢平臺驗證記錄及驗證日志，行業應用的劃分及統計等功能。

7. 認證服務接口

提供系統功能接口，可通過該接口定義不同的實現方式來實現對應的業務功能，方便擴展。

8. 信息安全體系

包括物理安全、網絡安全、系統安全和應用安全四個層面的防護體系，按照“分級保護、分域防范”的策略，建立保護、檢測、反應、恢復功能相互協同的積極防御體系。

9. 運行保障體系

包括建設、維護系統運行所需的項目管理、人員培訓、技術支持及組織保障措施。

平臺系統網絡拓撲圖如圖3所示，主要分為三個部分：

（三）總體網絡拓撲

1. 互聯網端

用戶可采用PC終端、移動端APP或微信公眾號、自助終端機使用可信身份認證功能。

2. 政務云端

平臺部署在政務云端，與一所簽名服務器部署在同一局域網，發揮簽名服務器驗簽功能。通過專線與一所互聯網可信平臺接口對接，實現終端認證數據的無延時交互。

3. 公安部一所認證接口端

通過各路專線與所有試點省份可信平臺互聯，提供認證接口服務。

三、關鍵技術及創新點

在分步推進中，治安總隊會同技術支持單位為應用方提供強有力的技術支撐，在實踐中創新應用，破解難題，總結提煉浙江經驗。

（一）關鍵技術

1. 數據加密

平臺為浙江省內各類政務、警務等業務提供“實名、實人、實證”的身份認證服務，實時與公安部一所的全國身份認證信息庫比對，驗證過程中產生的認證數據和個人信息均存儲于國家級專用保密平臺，終端、業務系統與平臺間進行認證數據傳輸時通過3DES算法對數據進行加密，以HTTP的方式提交至平臺進行認證，確保數據傳輸的安全性、保密性。

2. 安全傳輸

簽名服務器是完成公安部可信身份認證必不可少的硬件設備，對外提供數字簽名和數字信封功能。因可信身份認證功能其技術和網絡硬性要求，簽名服務器必須與部署平臺服務主機歸屬同一網段，保證外網無法訪問或接觸到該簽名服務器，從設備終端安全上進行防護。

3. 活體檢測

可信身份認證設備采用1080P雙目高清攝像頭，支持靜默人臉檢測、人像采集，與二代居民身份證的人像進行比對時識別率高，使用人臉關鍵點定位和人臉追蹤等技術，驗證用戶是否為真實活體本人，可有效抵御照片、換臉、面具、遮擋及屏幕翻拍等常見攻擊手段。

（二）主要創新點

1. 應用組件化

根據前期試點用戶及群眾的反饋意見，專班將可信身份認證封裝成網上辦事最基礎的通用組件，統一發布到全省唯一的浙江政務服務網，全省各級政府部門調用更加方便快捷，系統對接改造代價小。

2. 場景多樣化

以與群眾息息相關的戶籍、旅館住宿等民生事項為切入點，不斷拓展可信身份認證應用場景。在應用場景中，“網證”等同于居民身份證應用，群眾可“刷臉”辦、“掃碼”辦，并創新推出委托代辦，解決委托真實性難以認定的難題。

3. 應用標準化

將可信身份認證寫入《政府數字化轉型工作指南》浙江省地方標準，固化為政務服務網的基礎應用支撐。

4. 支撐法律化

借助“最多跑一次”改革有利契機，推動浙江省人大常委會出臺政策法規，并制定浙江平臺使用規范，有效解決了前期試點時可信身份認證在浙江省內應用的法律依據不足問題。

5. 平臺體系化

目前，平臺作為浙江政務服務網的應用支撐體系之一，已整體遷往省政務云，統一由省大數據發展管理局保障運行資源。同時，公安廳組建專門團隊，承擔平臺日常管理、運維、技術對接等事項。

四、功能實現

平臺建設主要可實現包括可信身份認證服務、網證認證、委托代辦、標準API接口及可信身份認證終端等五方面功能，具體如下：

（一）可信身份認證服務

可信身份認證以公民身份號碼為唯一標識碼，結合身份證證面信息、密碼、人像等驗證技術，提供對網上身份信息真實性、有效性、同一性的認證服務。根據不同的認證等級要求，可信身份認證提供14種認證模式，封裝成基礎技術組件，嵌入到浙江省政務服務網的公共技術資源模塊中，供相關業務系統調用。

可信認證服務數據流轉流程如圖4所示。

（二）網證認證

“居民身份證網上功能憑證”（簡稱網證）是由公安部一所根據公民法定身份證件信息及公民網證開通申請，在網上生成并簽發的終身唯一編號的“身份證網上副本”，與實體身份證相對應。網證認證的整體流程如圖5所示。

網證認證旨在群眾未帶身份證辦理業務時，可作為權威、有效、可信的證件，幫助群眾辦理相關事宜。其使用流程如下：

1. 網證申請

群眾攜帶本人身份證到具備網證專用開通設備的辦理網點驗證身份申請開通網證。申請流程如圖6所示。

2. 網證下載

網證申請開通成功后在APP端下載網證。下載流程如圖7所示。

3. 網證使用

在使用時展示網證二維碼供可信身份認證設備掃碼認證。使用流程如圖8所示。

（三）委托代辦

指“委托他人代為辦理”，即“本人在外地或當下無法抽身時，可以將委托授權范圍內的相關業務辦理文件委托家人或朋友代為辦理業務”。代辦流程如圖9所示。

（四）標準API接口

平臺為接入單位提供了統一化、標準化的API接口，接入單位申請通過后會生成唯一的appKey、secretKey，只需通過appKey、secretKey即可接入平臺，無需重復開發，提高了對接效率，同時便于平臺對所有接入單位進行統一管理。

（五）可信身份認證終端

終端是配套平臺推出的線下硬件設備，為群眾在辦事時提供可信身份認證、網證開通、網證下載、委托代辦、憑證打印等功能服務的一體化設備。終端內置權威認可的可信讀卡模塊，實現公民身份證網上憑證的開通功能。搭配硬件終端上的二維碼掃描模塊，可實現無證辦理人員的網證身份認證功能。終端設備如圖10所示。

五、應用效果

（一）治安試點先行

2018年4月，公安廳在杭州下城公安分局8個派出所探索治安戶籍業務試點應用。同年7月，在媒體體驗會上引起各界強烈反響，人民日報、新浪網等紛紛點贊浙江創新舉措。

（二）全警推廣應用

2019年6月，治安總隊會同杭州市公安局在全市派出所及交警、出入境等業務全面推廣應用。目前，杭州185個公安辦事網點涵蓋出入境、車駕管、戶籍、流口、治安等197項公安高頻事項，并逐步延伸至酒店入住、網吧登記及典當、民用靶場等公安管理社會場景。

（三）拓展網證應用

2019年，公安廳在浙江多地依托“浙里辦”APP推出網證在全國公安的首輪應用。截至2019年底，僅杭州一市網證申請總數達108.5萬余人，業務讀取和認證應用總量達165.5萬人次。網證在“浙里辦”的展示效果如圖11所示。

（四）全省政務推廣

浙江省政府2018、2019連續兩年將平臺建設和推廣納入全省“最多跑一次”年度工作要點，作為政府數字化轉型基礎支撐項目全省推廣，除公安外，各地行政服務中心、房管、公積金、自然資源、市場監管、教育考試、人力社保等部門先后接入應用。截至2020年3月20日，全省平臺認證總量1521萬人次，日認證量199386人次，接入單位共615家，認證網點4.7萬多個。

（五）拓展經社領域

為服務經濟社會發展，在政務應用基礎上，平臺向經濟、社會領域拓展應用。如目前全省已有4.6萬家酒店旅館應用可信身份認證，忘證群眾可直接刷臉入住；部分醫院已運用該技術提供無證實名掛號服務；注冊會計師報考系統、研究生現場考試均接入應用，確保參考人員身份真實性。

六、結語和展望

當前已進入大數據時代，各行各業與大數據技術緊密結合，從而衍生出區塊鏈技術，區塊鏈作為核心技術自主創新的重要突破口，已上升為國家戰略。而所有基于區塊鏈和大數據技術的應用都離不開“實人、實名、實證”的網絡可信體系，構建網絡可信體系，其核心就是網絡可信身份管理。

隨著“數字浙江”建設的推進，2020年浙江省政府將在全省開展“碼上浙江”建設。網證應用將滲透至各行各業需要進行身份認證的業務環節中，后續將向教育、金融、交通、旅游等多領域深度推廣應用，將更多的民生應用不斷納入到可信身份管理體系中，為數字政府管理、經濟社會發展、企業群眾辦事提供更加便捷、高效、安全的服務。