当前,以移动互联网、大数据、云服务、AI等为代表的信息技术日新月异,引领了社会生产新变革,创造了人类生活新空间,拓展了国家治理新领域。但由于网络的虚拟性特点和现有认证方式及流程安全性方面的不足,导致在居民身份网络认证环节暴露出一系列的问题与痛点,引发了如“数据信息泄露、身份冒用、网上居民身份隐私数据传播”等新的安全问题,甚至威胁到了国家政治安全。《中华人民共和国网络安全法》明确规定国家实施网络可信身份战略,身份网络认证是实施网络可信身份战略的一个重要环节,用以解决网络世界中“我是谁”的问题,是网络应用业务规范化的基础。
但传统的社会治理体系难以直接应用于网络空间,其中如何标识、识别、有效管理网络参与者的身份是安全系统的第一道屏障,已成为网络治理面临的最为棘手的难题。因此有必要建立一套网络可信身份管理体系,作为我国网络可信身份战略资源,服务于国家安全、经济发展、网络治理。“互联网+可信身份认证平台”(以下简称CTID平台)作为网络可信身份管理体系的实践样板,可以解决当下各行业在线身份认证中存在的诸多问题,为大力发展数字民生、促进消费、创业创新、促进互联网的创新成果与经济社会各领域深度融合提供了技术支撑。
CTID平台对外提供真实身份核验、网证开通和管理、网证认证等三大功能,基于实体身份证、网证、居民身份信息、人像等多种认证因子,形成了从最简单的身份信息比对,到需要实体证件参与的多因子认证等多种身份认证模式。平台构建的多因子、多层次、多安全等级的网络可信身份认证体系,可满足不同行业、不同应用场景、不同安全等级要求的身份认证需要。
在技术架构设计上,基于“平台+应用”的模式,采用“四层三纵”结构进行搭建,系统总体架构如图1所示。
(一) 数据层
CTID平台整体服务的数据资源及支撑。通过对身份证数据和出入境数据的汇聚、清洗、融合、脱敏、数据同步等流程设计,有效地进行数据资源整合,形成对外提供真实身份核验、网证开通和管理服务的数据资源及支撑;通过网证开通产生的数据形成对外提供网证认证的数据资源及支撑;通过存储日志,形成行为追溯和分析的数据资源及支撑。
(二) 服务层
CTID平台整体能力层,聚焦互联网业务需求,根据不同行业、不同应用的特点构建分级分类的真实身份核验和网证认证、网证开通、网证管理、居民身份网络标识生成、人像比对等服务。
(三) 接入层
CTID平台服务能力的输出层,为CTID APP和第三方应用提供使用平台服务能力接入接口、流量控制和权限控制。目前有网证开通和管理的接口、真实身份核验接口和网证认证接口。
(四) 应用层
基于CTID平台能力发展的外部各种互联网应用,为了数据安全,防止个人身份隐私泄露,CTID平台为外部应用提供统一的真实身份信息采集、网证认证等控件,实现用户隐私信息与互联网应用服务商的隔离。
(五) 安全保障系统
按照国家网络安全法和网络安全等级保护制度等法律法规要求,以支撑业务应用为目标,以保护数据资产为核心,实现“全程审计-检测预警-威胁感知-威胁处置”的安全闭环,确保CTID平台安全。对参与身份认证的各个实体对象产生密钥及证书,并基于密钥及证书实现业务环节中的信息安全防护,同时提供对密钥统一、集中的安全管理。
(六) 运维保障系统
负责CTID平台各种硬件设备和软件系统的自动监控、运行维护和安全保障,实现对CTID整个平台内各个集群主机和服务状态信息的采集、汇聚、分析、告警四大功能,实现故障快速响应,确保系统稳定安全运行。
(七) 标准体系
基于面向的用户类型不同,形成的一套标准体系,涉及基础、业务、设备、管理、数据、安全等,指导行业应用享用平台能力,保障平台运行安全和提供快速响应的运维保障。
(一)基于法定身份证件,采用国密算法,构建适应网络空间身份认证的网证
利用大数据技术对身份证数据和出入境数据进行汇聚、清洗、融合和采用国产商用密码算法进行单向变换脱敏与保护,建立公安网与互联网的身份对照关系。通过将法定证件登记项目作为要素进行映射,经数学变换或密码变换生成网证,形成互联网空间的网络映射证件。通过网络映射证件技术实现电子法定身份证件网上、网下一体化应用,解决中国当前面临的网络法定身份管理难题,降低通过大数据关联分析进行个人画像的风险。
(二)采用目前主流技术,实现系统高稳定性,服务高并发性,平台服务连续性达到99.76%,支持最高并发10000TPS
1.硬件平台的灵活扩展
对实际物理机采用虚拟化技术,根据实际需求灵活调配资源,分为手动处理和自动扩展两种方式。
2.接入区高并发事物处理
使用专用负载均衡对高并发业务进行分发来满足业务处理,如还无法满足实际需求时,再使用x86服务器实现网络7层和4层的负载均衡,以满足高并发请求事物处理。
3.提高业务处理速度
单笔业务内尽量采用并行处理;业务静态数据采用内存缓存技术,提高数据命中率;使用任务队列方式进行业务间服务交换;采用类REST接口服务方式来减少服务消耗的系统资源与提高服务速度个人数据单向脱敏变换。
4.数据库存储与访问
对目前的事物交易数据进行分类,分为强一致性和弱一致性要求,强一致性数据的需要采用关系型数据库存储,采用读写分离+缓存的方式进行解决;弱一致性数据可采用分布式数据库存储,设置只读模式,采用集群方式进行数据服务。对非检索条件的非结构化数据采用对象数据库方式进行存储,例如模板、人像和安全策略等信息。采用统一数据库服务访问接口集群进行高并发访问服务。
5.认证记录的存储
采用分布式存储方式,使用统一的日志记录服务接口,后台使用分布式存储以提高日志存储速度。
6.网络与服务高可用
接入网络采用三大运营商BGP,保证只要有一个运营商的网络可用即可保障网络可用,平台内网络采用双路+SDN架构来保障内部网络的灵活配置与无单点故障。平台内所有服务均采用集群方式提供服务,任何服务器或软件的故障均不会影响服务质量。
(三)运用“2+N”模式算法融合,实现比单算法优的人像比对准确率
通过深度学习人像识别技术,CTID平台创新性实现“2+N”模式算法融合,使平台人像比对识别精度优于任何单算法,正确识别率达到98%,平均响应时间小于300ms。同时,可以实现动态线性扩展平台人像比对算法,使CTID平台人像比对算法可以紧跟人像比对技术的发展。
(四)采用国产化产品和国产密码算法,实现平台安全可控
安全可信的网络、存储和数据库等关键核心技术国产化替代,确保平台安全可控。全面支持国产密码算法,实现核心技术自主可控;借鉴多种认证与密钥协商等协议,实现身份认证流程中信息的安全防护;根据所使用环境的不同,进行权限控制管理,保障用户隐私。
互联网空间身份认证是一项重大的系统工程,是实施网络可信身份战略的一个重要环节,用以解决网络世界中“我是谁”的问题,是网络应用业务规范化的基础,需要在一整套法律、法规、政策和标准指导下,采用开放的技术架构,实现全地域、全行业的服务覆盖。
因此,在CTID平台实施过程中,同时启动了居民身份网络认证标准系列公共安全行业标准的制定。在制定过程中遵循切实可行、准确实用;采标为主、定标为辅;高前瞻性、易扩展性;先易后难、急者先行等原则。到目前为止,有12个公共安全行业标准进入报批阶段,具体标准名称见图2。本批次标准对居民身份网络认证系统组成、业务流程、协议接口、性能要求和信息安全进行了规范,形成了安全、便捷、统一的覆盖“中国居民”的身份网络认证技术框架,对提高我国网络身份管理技术水平,实现网络社会治理的现代化有积极意义。在两次标准审查会上,与会专家都对本系列标准的创新性、技术含量和规范性给予了高度评价。
相对于目前市面上现有依托人口信息库衍生的形形色色的网络身份认证方式,CTID平台不再停留在公民身份信息的形式比对层面,有效解决了公民个人隐私保护的难题,大幅提升人民群众网络活动的安全感。整体解决方案保持与现实社会中法定身份管理体系相同的体系架构,将现实生活中使用法定身份证件证明身份的模式和流程移植到网络空间,维持持证人法定身份证件真实有效和人证同一性两大核心要点,实现二代证等电子法定身份证件网上、网下一体化应用,不仅强化了《中华人民共和国居民身份证法》等法律、法规、行政规章普适性,同时符合公众既有普遍认知和习惯,易于接受和普遍推广。
目前CTID平台已经对外提供真实身份核验和认证服务超21亿次,覆盖电子政务、金融、保险等领域,从应用实践中也证明CTID平台充分满足互联网时代对于网上身份认证的需求,可极大提高我国网络身份管理技术水平。前期的实践积累也为打造我国网上身份认证基础设施奠定了坚实基础,对推进社会治理体系和治理能力现代化具有极大意义。
本文发表于2020年第3期的《警察技术专刊》
本文作者:吴国英、周卫东、王剑冰、管毅
推荐单位:公安部第一研究所(理事长)、北京中盾安信科技发展有限公司(副理事长)