公安部第三研究所胡永涛:eID网络身份认证技术分析
移动支付网 2016/10/23 19:24:00

10月20日,由移动支付网和北京移动金融产业联盟联合主办的“MPSC 2016中国移动支付安全大会”在深圳隆重召开,500多位产业链各方齐聚一堂,探讨移动支付的未来,从政策、标准、技术、创新、未来等各个方面聚焦移动支付安全。公安部第三研究所eID事业部副主任胡永涛以《eID网络身份认证技术分析》为主题参与演讲。

公安部第三研究所eID事业部副主任胡永涛

身份认证的两个误区

胡永涛认为,当我们说身份认证的时候会有两个误区,一个是“你是你”的问题,另一个是“你是谁”的问题。帐户身份企业内部就可以管理自己的ID,可以防止冲突,企业自身可以规避。还有一个是法定身份,我们所说的“你是谁”的问题,不管是在哪个机构,法定身份会串联起来,最后面临的是统一管理,对于国家来说,是监管。

帐户身份认证,有短信、银行卡、电子邮件、微信、QQ号、网银、CA证书等各种身份认证技术。但是我们现在法定身份认证用来做什么?随着互联网的发展,互联网企业争做第一,没有第二,要有很多用户,有了用户以后向第三方拓展用户,如用QQ登陆,用户量足够多,使用足够高频。如何要求用户配合完成注销;由什么样的组织来承担符合市场公平,别的不说,有一天可以在微信用支付宝,在支付宝可以用微信。帐户认证用于身份认证的不可承受之重。9月30日打击电信诈骗,互联网公司一片吐槽,以后再也不用银行转帐。不仅仅限于央企,互联网企业也承担了很多本来不应该承担的责任。

统一身份认证是伪命题 eID各国欢迎

个人认为统一身份认证是伪命题,刚才所说的帐户身份认证,身份认证是既有技术,也有管理,从技术角度认证,很难说你这个技术是最好的。最简单的,人脸识别有不同的识别引擎,技术完全不一样,甚至参数选取也不一样,哪个更好?

说了这么多现在的问题,全世界各国都在讲eID,主要发达国家都在做eID,比如德国、比利时,有些国家甚至有一个专属网络身份。爱沙尼亚是全球数字化程度最高的国家,投票都在网上做,可以开展各类业务,居住类的,办公司等等。爱沙尼亚总理塔维·罗伊瓦斯在一次接受采访时曾很得意地表示:“数字签名支付了我们的国防”。

相比其他各国eID实践,我们国家的现状是,目前缺少网络身份认证基础设施。

1、九十年代规划的二代身份证技术上不支持21世纪的电子签名需求;
2、三代身份证的启动目前没有明确时间点,但互联网发展很快;
3、身份证采用传统的证件密钥管理机制,不能联网,只能脱机验证;
4、各类高安全要求的账户身份依然只能通过面签线下发行,太重;
5、对公民身份隐私信息的保护已经成为亟待解决的问题。

拥有法律基础 eID载体可存在多种形式

中国的eID是以密码技术为基础,以智能芯片为载体,由“公安部公民网络身份识别系统” 签发给公民,能够在不泄露身份信息的前提下,在互联网上远程识别身份的、普适性的网络电子身份标识。

在法律基础上,《中华人民共和国电子签名法》,在法律上完全认可eID,可靠的电子签名与手写签名或者盖章具有同等的法律效率。eID的发行,实际上是人和安全设备的绑定,属于电子签名人专署。

此外,胡永涛还认为,无论哪种身份,技术发展的核心问题要发展还是要安全?传统的安全是便利,软实现,而现在是软硬混合。eID也将迎接这一变化,不仅仅是银行卡,对穿戴式设备,SIM卡等载体,未来也将全面支持。


展开全文
相关阅读
资讯查询取消