基于eid的手机实名制认证风险分析

基于eid的手机实名制认证风险分析

实名制认证存在漏洞手机认证是指用户在处理手机接入、转让和其他业务时，必须提供实际身份信息。目前,各运营商按工信部部署,不仅要求新入网用户全量实名登记,也通过优惠政策,引导未实名认证的老用户补充登记身份信息。目前,各运营商实名认证大都是基于二代身份证,借助二代身份证读卡校验设备、实名制认证专用App等手段进行认证。需要指出的是,这些认证手段与流程存在一些风险与漏洞。一是使用伪造证件通过认证风险。在现场验证场景,因读卡校验设备仅可识别二代身份证真伪,对于持户口簿、军人与武警身份证件等实名认证的情况,仅能通过工作人员主观鉴别、手工录入方式进行登记,存在使用伪造证件通过认证的可能性。在非现场验证场景,因无法对实体证件进行真伪校验,即便证件信息准确无误,也存在伪造证件通过认证的可能性。二是认证信息与使用人不一风险。实名认证要求通过“人证合一”审核,确保认证信息与号码使用人一致,但在实际操作中并不能百分百做到。对于App认证方式,持证人也可利用图像合成技术,将二代身份证与他人照片合成从而通过审核。针对此类情况,目前各运营商后台系统尚无法识别,从而影响了实名制的准确率与真实性。三是用户信息被泄露与盗用风险。推进实名制的重要前提,就是个人信息安全应得到保障。然而,在实际执行中,个人信息被收集、贩卖以获利的情况时有发生,给用户个人隐私带来了不小的影响,甚至会产生比较严重的社会问题。eid的内涵互联网的快速发展,对网络信息安全提出了更高要求。近年来,国内个人信息泄露现象呈上升趋势。据统计,从2011年到2014年年底,已泄露的中国公民信息多达11.27亿条,成为网络、电信诈骗的主要源头。2014年10月,韩国三大银行服务器被黑客攻破,80%用户的隐私信息泄露,采用线下身份证识别线上身份是产生问题的重要根源。我国身份证编码规则与韩国相似,网络身份识别也普遍依赖二代身份证。目前,居民注册网站和自证身份时,仍主要按照身份证信息填写姓名、身份证号甚至手机号、住址等。这不仅不符合“人证合一”原则,而且不能起到身份识别和防止冒用作用。此外,网站存储的个人信息还面临着被黑客攻击、内部偷盗风险,存在泄露个人隐私信息的隐患。那么,如何有效解决线上身份识别问题呢?电子身份证(EID)为我们提供了一种思路。EID是公安部第三研究所建设和开发,并由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识,以密码技术为基础,以智能安全芯片为载体,用于在网络远程证实个人真实身份,可在嵌入安全智能芯片的银行卡、社保卡、SIM卡、U盾中使用,是基于人口库的权威、安全、保护用户隐私的网络身份标识,可进行跨地域、跨行业的网络身份服务。EID依托公安部全国公民身份信息库,利用用户主动提交的身份信息生成唯一的网络标识符和数字证书。从设计原则上看,EID只是一段网络标识符,本身不含任何用户身份信息。从管理思路上看,EID的建立和管理由统一机构进行,从而既能做到真实身份识别,又可有效保护用户身份信息。EID并非实体证件,其载体种类与外形也不会对EID验证结果造成影响,只要载体中的安全智能芯片符合EID相关标准即可。市民只要持有效证件,在具有身份审核及面签程序的EID登记发行机构申请,经“公安部公民网络身份识别系统”审核签发,即可通过任意需要EID身份识别场景的认证。EID既可通过贴近带有NFC功能的手机背面完成无线认证,也可结合EID读卡器并输入密码,通过有线方式认证。与实体社会居民身份证对应,EID是网络社会管理的基础设施,可以实现实体社会与网络社会的统一管理,且具有以下优点:一是保护隐私。只凭姓名和EID,无需提供个人隐私信息,即可完成认证,且返回到网站、App的结果为状态信息,即便EID被破解也是无意义的字符串。二是安全可信。对于账号被盗等场景,可通过EID立即重置密码,避免造成损失。若不甚丢失,只要挂失申领,丢失的EID将自动注销,且EID与其PIN码绑定,他人获取了也无法使用。四是标准统一。EID可作为机构、企业实现员工与用户远程身份管理的手段,通过统一管理的身份服务,避免标准与载体各异,既方便使用,也节约成本。eid建设应全面推进运营商引入应用EID,不仅是消除电话实名认证风险的需要,也是提升流动人口营销、校园前置营销效率以及丰富电渠业务类型、发展手机支付等业务的关键。目前,我国EID仍处于科研试点阶段,亟须加快试点推广,提高EID的普及与接受程度。根据公安部要求,EID登记发行机构必须具备严格的身份审核、面签程序。与电话实名现场认证“宽松”的氛围不同,机构结合二代身份证、指纹认证等方式,可确保证件真实、人证合一。与此同时,每个公民只有与真实身份唯一对应的EID,且必须结合PIN码使用。因此,通过EID进行实名认证,可以有效消除伪造证件、人证不一风险。此外,公民成功申请EID后,将生成一组“公钥”和“私钥”。其中,私钥发放给申请人,其加密算法理论上无法破解,且即便被破解也只是无意义的字符串。公钥由公安部统一管理,通过高强度安全机制,可有效保护个人信息安全,避免用户信息泄露与被盗用。目前,公安部已广泛开展EID应用试点。例如,与北京邮电大学合作在全校发放3万个EID进行EID业务流程试点,涉及学籍管理、成绩查询、财务报销等应用。再如,与工商银行合作在芯片借记卡中加载EID,目前全国已发行近1000万张。对于运营商而言,笔者认为可以从以下几方面开拓创新,引入应用EID。一是扩大必须实名认证办理的业务范围。将更多业务的办理纳入实名认证范围,并顺应互联网环境下用户行为特征变化趋势,引导用户在电子渠道通过实名认证办理,既可提高实名登记率,也便于业务监控管理,提升发展质量与效率。二是加快与银行等EID试点行业的合作。在试点行业,客户对EID已经接受与认可,运营商可利用这些行业的用户规模优势,自上而下地开展合作,在EID办理环节绑定手机号码,既通过关联审核面签一站式实现电话实名制,又通过号码与EID绑定提高电话用户黏性。如果有外来务工人员新办银行卡,还能发展新增用户。三是与公安部对接引入试点。通过在SIM卡中加载EID并打通线上、线下身份认证环节,为用户提供更为丰富、便捷的服务,提升用户满意度、忠诚度,抢占行业先机。此外,EID普及程度、居民接受程度、应用推广程度等在一定程度上也影响着EID的应用与推广。目前,许多国家和地区都积极以EID作为线上、线下身份识别的基础设施,从战略规划、标准、法律等方面推进网络身份管理的部署。例如,欧盟27个成员国中目前有18个已发行了EID,10个国家已通过EID立法,广泛应用于电子政务、电子商务领域。美国在宾夕法尼亚州、密歇根州已开展EID上线测试。俄罗斯新发行的身份证中均包含了网上身份识别技术。中国香港也基于自愿申领、身份审核,在官方发行的电子身份证中加载EID,并已接入商业银行金融服务。我国EID发展尽管得到了国家部委及部分省市的支持,但要实现大规模推广仍面临着应用系统不健全、法律政策待完善等问题。为加快我国EID普及推广,笔者认为:一方面,应加快EID试点推广,与更多的银行卡、社保卡、手机卡发行机构合作,扩大EID发行规模;与更多的网络身份服务机构、互联网增值服务机构合作,拓展EID应用范围,改进EID使用体验。另一方面,组建国家层面的EID推进工作组,在起草、制定EID相关国家标准与行业标准的同时,尽