電子身份認證

電子身份認證

電子身份認證能夠利用簡單的身份載體,通過網路實現政府部門的各項便民服務程序。其關鍵要素就是私鑰形式的選擇,比較流行的形式有個人密碼和個人指紋,目的就是為了確保政務的安全可靠運行和政府通信的保密和安全,專門為政府部門服務的“證書管理機構”自然由政府來規劃和組建。

適用範圍


電子身份認證能夠利用簡單的身份載體,如帶有智能晶元的身份卡、個人指紋等,將個人的醫療資料、個人身份證、工作狀況、個人信用、個人經歷、收入及納稅狀況、公積金、養老保險、房產資料等信息集合在一起,通過網路實現政府部門的各項便民服務程序。電子身份認證的核心是數字簽名技術,它保證了用戶身份的唯一性和合法性,實現“數字簽名”所必須建設的公鑰基礎設施(PKI)是電子政務在技術上和法規上最重要的基礎設施之一。

主要步驟


公鑰基礎設施可以實現確認發方的身份,保證發方所發信息的機密性,保證發方所發信息不被篡改,以及發方無法否認已發該信息的事實。數字簽名在運行中包含以下的步驟:
第一,發方的身份由第三方證書管理機構(Certification Authority,)例如GlobalSign,。
第二,在經過確認后,由證書管理機構發出包含公鑰在內的發方身份證書並鎖定所發文件。
第三,收方需要自動向證書管理機構核查下列事項,這份身份證書是否正確,發方的身份證明是否已經失效、過時,發方文件是否被篡改,所發文件是否與發方身份相符等。
公鑰基礎設施包括:一整套的數字簽名和加密技術,一個在地理上合理分佈的、有相當數量的證書管理機構,以及一個包括發方、收方和證書管理機構在內的數據通信網路。建立這樣一個公鑰基礎設施,顯然不僅需要投入大量的人力、物力和財力,而且與整個電子政務的安全和有效運轉息息相關。由於電子政務、電子商務和電子社區的建設均有賴於數字簽名的實現,公鑰基礎設施的重要性及對其龐大的需求是顯而易見的。在國外,公鑰基礎設施的建設尚處於通過試點取得經驗的階段。從發展的眼光來看,一個國家的公鑰基礎設施可能不止一套,可以有針對不同領域和用途的多套公鑰基礎設施系統。因為,系統所處理的業務不同,對公鑰基礎設施的複雜性、安全性和可靠性的要求也不同。就電子政務的發展而言,為了確保政務的安全可靠運行和政府通信的保密和安全,專門為政府部門服務的“證書管理機構”自然由政府來規劃和組建。
另外一個實施電子身份認證的關鍵要素就是私鑰形式的選擇,目前比較流行的形式有個人密碼和個人指紋。其中個人密碼採用與唯一的個人號碼相結合的形式,在進行身份認證時,被認證用戶需要向系統提供自己的身份號碼,然後輸入密碼,這時系統根據號碼在資料庫中提取該號碼所對應的密碼信息,
與用戶輸入的密碼進行比對,以確認用戶是否是合法的數字簽名用戶,接下來用戶就可以獲得數字簽名的使用權。採用個人密碼的形式,實施起來比較簡單,費用也比較低廉,但整體的安全性不夠強。採用個人指紋的形式進行身份驗證,其基本的原理與個人密碼相似,也需要提供個人的身份號碼,利用指紋代替密碼,作為驗證時使用的私鑰,由於技術上的限制,目前的指紋驗證採用一對一的驗證模式,即一個身份號碼對應一個人的指紋,其特點是安全性高、無重複,但實施起來費用較高。指紋識別作為面象識別的一種,是今後身份識別的發展趨勢,未來將會出現指紋一對多的驗證形式,用戶可以不使用個人身份號碼,而採用指紋作為身份的唯一載體進行身份認證。
電子政務中的電子身份認證
電子政務倡導建立數字化、網路化的社會體系,企事業單位和公眾的各種行為都可以在網路上實現,保證這些行為的有效性和合法性的基礎是建立起完備的身份管理體系,使無論是企業還是個人都在網路上擁有唯一的、可信的身份數據,各種服務和交易行為都要建立在身份認證的基礎之上。由於對身份的識別和確認具有很強的權威性,因而公用的身份認證體系需要由政府建設維護,建立起完備、高效的電子身份驗證體系成為了電子政務的一項重要職能。
在研究、開發和建設國家公鑰基礎設施的同時,各國對與數字簽名有關的立法和法規的研究和制定也相當重視。一個關於數字簽名的法規需要確定:在哪些領域和在什麼情況下,電子文件和數字簽名是可以使用和認可的;數字簽名在法律程序中作為證據的使用;禁止對於法律許可的數字簽名的“歧視”;對法律認可的數字簽名技術安全性和先進性的要求和技術認證等,目前在法國數字簽名已可以作為司法的證據使用。同時,與此有關的立法和法規還要制定公鑰基礎設施的技術要求、標準和管理規定;給“證書管理機構”的建立制定一個管理的辦法和規定,如證書管理機構的資格認證,確定證書管理機構的法律責任,以及國家對於證書管理機構的管理部門等。
電子商務中身份認證的解釋
目前的電子商務認證分個人認證和企業認證,從事電子商務的企業可以花錢在中介機構註冊認證,中介機構發個證書給企業。現在的一般企業網站都是有證書認證的,在ie的工具,Internet選項,內容,證書里可以查看電子證書,這個證書能證明網站所有者的身份,不做網站的則是在交易過程中,把類似U盤樣的東西插在電腦上外加很多密碼來確認身份。個人的認證就是去銀行開網銀,辦銀盾,也是U盤樣的個東西,做網上支付和實名認證時,就用到了目的。

驗證漏洞


2016年底中國網路電子認證市場還不到200億元,但是黑產的規模已經高達千億元左右。《中華人民共和國居民身份證法》確定居民身份證是公民身份管理的可信依據,網路身份驗證也需要可信度、權威級相當的可信平台。
2018年5月16日,有報道顯示中國銀聯通過大數據統計分析,得出個人網路財產安全的“蟻潰之堤”——個人信息泄露是90%電信詐騙案件成因。
歸納為3類:
方法不安全、難保真實性;欠公平公正、難防篡改;缺乏法律效力、難以執法。例如大量彙集在微信支付寶上的個人信息,雖然是實名認證,但隸屬於第三方企業,難以保障它們的不可更改性、不可複製性。

行業認證


網吧電子身份認證
2018年9月20日,澎湃新聞記者從國家網路安全宣傳周法治日主題新聞發布會上獲悉,這一“電子身份認證”服務,目前已在上海7個區的469家網吧試點,預計在10月底,進行全市覆蓋。