eID:网络“身份证”筑起个人信息安全防护网
一天,张女士接到了一个陌生电话,对方号称是公安执法人员,声称张女士持有的银行卡涉嫌经济犯罪,要求强制冻结账户。起初张女士半信半疑,但当对方说出了她的身份证号、家庭住址、工作单位等信息后,张女士将银行卡密码全部说出,结果造成了上百万元的财产损失。
互联网让人们享受到很多便利,但也让很多人深受个人信息泄露之害,如何保证人们网络身份信息安全,成为各方关注的焦点。由公安部推出的“网络身份标识”,凭借“公民网络电子身份标识”(eID),可以使人们的互联网身份认证和个人隐私保护变得更简单、更安全。然而,eID标识自推出以来普及率并不高。专家表示,网络信息安全技术的推广,还需互联网企业积极进行技术对接,共同营造健康、安全的互联网环境。
eID技术防范泄漏
银行卡资金被盗,冒充亲属拨打电话诈骗,掌握了他人全部身份信息后冒充执法机关索要钱财……网络诈骗手段之多让人们避之不及。
在公安部第三研究所信息网络安全公安部重点实验室副主任严则明看来,导致个人信息泄露的根源在于,我国绝大部分网络应用只能以姓名、身份证号等真实且唯一的身份信息在网上进行身份认证,缺少相对应的网络身份识别和服务等公共基础设施。针对网络虚拟社会管理、保护公民网络安全以及个人隐私等迫切需求,经过多年技术攻关,我国自主研发出了eID技术,并建立起了全国唯一的“公安部公民网络身份识别系统”。
“eID技术采用了‘国密SM2’算法,通过高强度安全机制,可以确保身份信息无法被读取、复制、篡改或非法使用,从而确保芯片载体及其持有人一一对应。”严则明介绍,eID的加密算法在理论上是不可破解的,即使被读出,也只是没有意义的字符串,这样公民在网络信息注册或网上进行商业行为时,就不需要明确的个人信息,出示eID即可。据悉,目前,公安部第三研究所在国内共提交了8件与eID技术相关的专利申请。
“eID的核心是网络身份标识码(eID_code),其与用户的真实身份相对应,正是它有效保障了用户信息的安全。”国家知识产权局专利局电学发明审查部计算机处审查员王昆经过专利检索分析发现,目前,为了确保eID达到预期的效果,主要采用了以下方法生成网络身份标识码:首先,服务器端进行初始化,并预先进行随机数生成和分配处理。之后,服务器端接收客户端发送来的网络身份标识码生成请求,从中提取用户身份识别信息,对其进行审核处理。随后,根据所述的身份识别信息及对应的随机数,进行加密编码处理得到哈希值,再根据所得到的哈希值生成网络身份标识码,该标识码与公民身份一一对应,其本身不含任何用户身份信息。
配套技术有待完善
据悉,eID自正式推出以来,在全国范围内的发卡数量约为5500万,其中很大部分来自于银行卡的开通和加载,eID认证并没有得到很好的推广。“我们需要不断探索eID在不同应用领域内的价值,这个过程非常复杂,也需要更多领域内的应用配合试点。”严则明坦言。
eID技术需要互联网企业的对接,而现实中的对接不畅给eID的大规模推广增加了难度。那么,有碍eID推广的技术难题是什么呢?
“在推广使用中,eID面临的现实障碍主要有两个,一是读取eID卡存在一定制约。传统读卡器的不稳定因素很容易影响用户体验,同时,配置传统读卡器需要一定成本,而且一般的移动设备不具备读取eID卡的功能。”王昆表示,针对这些问题,可以搭配使用NFC技术(近距离无线通讯技术),将NFC芯片内置到移动设备中,从而使移动设备可以读取eID卡内信息,并减少对外置读卡器的依赖,降低eID的使用成本和传统读卡器所带来的各种不稳定性因素。
eID推广面临的另一个障碍是,由于eID载体终端环境的复杂性及其部署的广泛性,容易导致eID载体与服务系统状态的不一致,从而影响eID的使用。对此,王昆认为,这个问题也可以从技术上解决:“首先,eID服务系统在接收到载体终端的请求后,可设置阶段性迁移里程碑序列。随后,在确定载体终端的eID状态在序列中的位置后,服务系统自动引导载体终端的eID状态逐步向最后一个阶段性里程碑迁移,最终实现eID载体终端与服务系统的状态一致。”
据了解,目前,与eID类似的解决方案已在网约车等领域广泛使用,如用户通过网络约车成功后,双方在手机上显示的电话号码即被编码处理,从而达到保护个人隐私的目的。“实现网络信息安全,需要有相应的技术作支撑,更需要互联网企业积极研发对接相关技术的产品,共同守护公民网络信息安全。”王昆表示。