互联网电子身份证技术及实现

互联网电子身份证技术及实现
北京环球聚浪网络科技有限公司 石丰
摘要：本文介绍互联网身份管理现状和技术发展趋势，分析身份管理的需求，提出互联网电子身份证系统的解决方案。

关键词：身份管理（IDM, Identity Management） 可信计算 PKI公钥基础设施 访问控制（AC，Access Control） 互联网电子身份证 互联网实名制
一、互联网身份管理现状和技术发展趋势
自互联网诞生之日起，身份管理就是一个重要课题，起初表现在各种设备识别技术和访问控制技术上。

设备或系统识别包括MAC地址、NIC、IP地址和DNS 解析等技术，它帮助通信的双方了解对方是“哪一个”设备或应用程序系统。

类似地，在电话通信领域，通过给电话交换机每一个用户端口分配一个电话号码，或给移动电话的SIM卡（UIM卡等）分配一个移动电话号码来区分终端。

当然，电话运营商并不关心是“谁”在通信，他只关心“谁”为终端的通信买单，因此，预付费业务等业务，运营商并不取得用户的身份信息。

但是，由于电话诈骗等违法现象泛滥，监管部门希望了解“谁”为通信行为负责，因此催生了手机实名制。

解决的办法很简单：用户申请业务时，绑定身份信息到SIM卡。

互联网的身份管理相对较为复杂：首先，一个用户可能变换使用多个终端、多个网络，一个终端可能有多个用户使用，这个问题在公共上网场所，如网吧，尤其突出。

第二，在我国，大多数家庭上网的IP是动态分配的，不能以绑定IP 的方法来确定是“谁”。

第三，无论是MAC、NIC、IP地址还是DNS，甚至SIM 卡都是按照“正常使用”设计的，缺乏“可信计算”的设计。

换句话讲，这些特征是可以被非法复制的。

当应用变得十分关键，比如管理银行账号，买卖股票等，
以设备或通信端口特征绑定身份信息来实现身份管理很难预防非法复制等现象。

现实中，互联网的身份管理由各个服务提供商分别建立用户访问控制系统实现。

一般可分为三种形式：
1）“匿名”访问：不做身份管理，任何用户都可以访问，多体现在让用户浏览的门户网站；
2）“假名”访问：需要用户注册一个假名（用户名、昵称、账户名等），设置一个密码，并记录用户的一些属性，如用户的账户余额、角色等级等。

当用户登录时，服务提供商首先匹配用户名密码来验明正身，然后根据用户属性及服务策略为用户提供服务；
3）“实名”访问：同“假名”访问，在用户注册时增加实名身份认证，并作为用户属性保留下来。

“用户名+密码”的登录方式是非常不安全的，因此，对一些有价值的账户，服务提供商会采用一些安全措施来保护，如动态令牌，USB-KEY等。

有些措施的安全程度足以让用户利用网络账户进行大额转账。

以安全的“实名”访问控制来实现互联网身份管理或所谓的“网络实名制”似乎是可行的。

事实上，许多网络运营商、服务提供商以及政府相关部门开始了各种网络实名制的尝试。

比如：QQ版主和管理员实名登记，淘宝卖家实名登记，高校校内网BBS的实名登记等。

所有这些尝试都存在一些问题，使这种实名制很难复制到整个互联网。

主要的问题有三点：
第一，成本高，用户使用不便。

如果采用以运营商自建实名制体系来推广网络实名制，则成千上万家运营商都要改造他们的系统，同时要核查每一个用户的真实身份信息，大量的重复核查带来巨大浪费。

对用户而言，他们每人在互联网上可能注册几十甚至上百个虚拟身份，如果每个身份都要与不同的实名方式绑定，会给用户带来极大的不便与困
惑。

第二，隐私泄露风险。

实名制需要用户将真实身份信息提供给服务提供商，并将这些信息与其账户绑定。

如何保证掌握大量真实身份信息的服务提供商不泄露这些信息，不论是出于利益动机的主动行为，还是内部管理不严的被动泄露，都将是政府管理部门推广实名制的“两难选择”：如果规定必须达到一定资质的运营商才能索取用户真实身份信息，那么无法普及实名制，强制推行等于封杀大量达不到资质的运营商；如果不要求验明资质，所有运营商都采用实名制，那么无法保证个人身份信息不被泄露，甚至会出现专门搜集这些信息的虚假网站。

这个“两难选择”是政府管理部门迟迟不能出台网络实名制可操作方案的重要原因之一。

第三，账号安全性问题。

对运营商和用户来说，如何保证绑定了实名的账号的安全性同样是一个“两难选择”：如果不重视账号安全性，那么用户账号很容易被盗并被冒用；如果重视账号的安全性，就需要建立额外的安全措施，比如向用户提供携带数字证书的USB-KEY，动态令牌等等，但建设这样的安全措施，大大增加了运营商的成本。

结论是不能用现有方式推广网络实名制。

如何通过身份管理构建安全、诚信、和谐的网络环境成为各国政府网络管理部门、所有网络运营商、企业单位以及个人用户共同关心的问题。

国际电信联盟（ITU-T）的身份管理标准组集合了上百家跨国公司、政府和研究机构，上千名专家经过多年讨论，将这类需求归纳为五个方面的利益： z用户；
z网络运营商和服务提供商；
z政府部门和企业部门；
z网络安全和公共政策；
z关于隐私保护的非政府团体。

根据以上需求ITU-T拟定了身份管理（IDM）的标准报告，目前已发表6份报告，其具体条款还在讨论补充中（详见http://www.itu.int/ITUT/studygroups/com17/fgidm/index.html）。

按照ITU-T标准的要求，许多跨国公司或团体开发了一些IDM的解决方案。

如分布式的“OpenID”，微软在Vista操作系统里增加的“CardSpace”等。

这些解决方案仅仅部分解决了身份管理的需求，主要为用户解决了管理个人多个网络账户的便利性，以及一定程度的安全性。

由于OpenID和CardSpace并不验证用户身份信息的真实性，它只能作为用户自己管理的工具，不能作为运营商验证用户实名信息的依据，后者只能在用户注册时以另外方式获得或缺省。

尽管如此，OpenID和CardSpace为用户带来的便利性不容忽视：一旦国内主流的网络运营商接受它们的登录方式，会吸引大量用户使用。

如果采用OpenID和CardSpace作为身份管理的基本解决方案，只要将在OpenID和CardSpace登记的个人身份信息进行核查就基本实现IDM的要求。

但这是万万不可以的，涉及到国家的信息安全！
事实上，中国的主流商业网站均有外资背景，在要求他们实现“实名”访问控制的实名制的同时，已经使他们合理合法地掌握了相当数量的中国网民的真实身份信息。

这种情况进一步发展将十分危险。

因此，中国通信标准化协会成立了专门的工作组（TC8 WG4），重点讨论网络身份管理的各项标准。

其宗旨是参考并遵从ITU-T的IDM标准，提出符合中国网络特点和管理要求的身份管理解决方案的各项技术标准和政策建议。

身份管理不仅是技术标准，更是法律、法规和管理政策的集合。

二、身份管理需求分析
上节提到，国际电信联盟（ITU-T）身份管理专题组的专家们归纳了五个方面的利益需求，下面结合中国国情和中国互联网市场，对上述需求做进一步阐述。

1、用户的需求
1）证明自己身份。

在现实社会中，人们通常需要证明自己的身份，
居民身份证提供了这样的手段，方便人们处理入学、找工作、购置房产、
旅行、开办银行户头等事务。

在虚拟的互联网环境中，人们同样常常需
要证明自己的身份，目前做法的凭据仍然是靠居民身份证。

线上验证不
可靠（如游戏的防沉迷系统形同虚设），线下验证费时费力。

IDM的解
决办法是给每一个公民发放互联网电子身份证，方便用户在互联网上
“可信地”（指利用可信计算的原理）证明自己的身份。

从技术角度讲，
互联网电子身份证比居民身份证更加安全和不可复制。

2）账户的安全。

首先是互联网电子身份证自身的安全，否则不法之徒可以盗用用户身份逃避责任并嫁祸他人，电子身份证采用可信计算的原理实现金融级的安全性。

如果电子身份证是可信的，服务提供商可以利用验证电子身份证作为访问控制的条件，这样就使用户的其它账户达到安全。

3）登录的便捷。

一个网民可能拥有多个互联网账户，他需要记住多对用户名及密码以及使用多种安全措施，对用户而言不胜其烦。

使用电子身份证可以实现像OpenID或Cardspace一样的“一键登录”的功能。

4）隐私的保护。

上节提到，用“实名”访问的方法实现实名制会出现一个两难境地。

用户担心其实名信息及联络方式被网站有意或无意泄露。

而互联网电子身份证采用“前台匿名，后台实名”的方式实现实名制，服务提供商不需要知道用户的隐私信息就可以完成实名认证。

2、网络运营商及服务提供商的需求
1）安全性。

一方面运营商希望保护其用户账号的安全，提高服务水平，并避免由于账号丢失带来的纠纷；另一方面，通过对用户合法性的认证，避免受到恶意攻击。

2）经济性。

独立建立一套安全的账户保护体系对任何一个运营商而言都是沉重的负担。

互联网电子身份证体系是国家网络安全的基础设施，运营商只是使用者，无需投资。

3）商业机会。

基于身份管理的服务（IBS，Identity Based Service）将为各服务运营商提供新的商业机会。

3、政府和企业部门的需求
1）许多政府和企业部门的公共服务需要认证身份，如：网上报税，缴纳水电费，定机票、旅店等等。

2）政府和企业部门的内部管理系统，如：政务系统、企业ERP系统等等。

4、网络安全和公共政策
1）利用电子身份证作为各类网络服务的访问控制手段可大大提高
网络安全性，减少盗号、冒用身份、网络欺诈、恶意攻击等。

2）利用电子身份证作为各类网络服务的访问控制手段可使用户的
网络行为留下不可否认的凭据，在发生纠纷或违法事件时，便于仲裁或
执法部门取证。

3）“前台匿名，后台实名”的原则可在最大程度地保护个人隐私的
前提下实现网络实名制。

个人隐私信息保留在由公安部统一管理的数据
库中。

只有事先批准的业务网站（如，银行）在得到用户授权的前提下
可以取得用户规定的部分隐私信息。

只有经过一定司法程序，执法部门
才能调用部分用户的隐私信息。

除此之外，任何个人，公司，政府部门
都无法直接从身份管理系统取得用户的隐私信息。

但是，任何人都可以
验证一个用户是否经过实名认证，并可以举报其网上违法违规行为。

5、来自隐私保护的非政府组织的需求
在中国，这样的非政府组织并不多见，即使存在，其影响力也非常有
限。

但是，这并不说明可以忽视隐私保护。

有关这部分的需求更多地
体现在用户需求和政府的公共政策上。

三、互联网电子身份证系统介绍
1、系统组成
互联网电子身份证系统主要包括身份管理中心控制平台（IDCP）、身份管理网络节点（IDNP）、身份管理终端节点（IDEP）。

1）IDCP的主要功能模块
¾注册和证书颁发模块（类似PKI中的RA）：
B/S，C/S的用户操作（申请，吊销，更新，查询）界面的服务端程序；
身份核查：照片比对，身份证核查接口；
申领CA证书接口，后期建设自主的CA中心；
¾电子身份证用户数据库；
¾业务绑定关系数据库；
¾证书撤销列表（CRL）维护；
提供1分钟到48小时间隔的CRL更新及增量CRL；
业务绑定CRL；
支持在线证书状态查询（OCSP）；
¾标准时间源、时间戳服务；
¾审计和监控以及后台管理系统；
¾业务生成环境（SCE），提供标准开放接口，设计各种基于身份管理的增值业务（IBS）；
¾备灾中心
项目初期同城建立备灾中心，后期建立异地备灾中心；
电子身份证用户数据库采用同步实时备份；
其他数据依据重要等级不同采用不同时间间隔的延时备份；
所有业务流程的延时重启。

2）IDNP的主要功能模块
¾验证模块：它可以独立地部署在各个IDC机房，为该机房内所有网络运营商服务；也可以嵌入到运营商的程序中，仅为该运营商服务。

它可以是纯软件形式，也可以是加密卡、加密机。

可提高验证模块效率和安全性；
¾与应用程序的服务端程序接口；
¾与IDNP接口：CRL、时间戳、审计等。

3）IDEP的主要功能模块
¾IDEP有三种形态：硬件证书（USB－KEY）+客户端、软件证书+客户端、软件证书+浏览器插件（注：硬件或软件证书即为用户的互联网电子身份证）；
¾与IDCP接口：B/S、C/S的用户操作（申请、吊销、更新、查询）界面的用户端程序、审计接口；
¾与应用程序的客户端（网页）的接口。

4）互联网电子身份证系统将实现的主要功能
¾电子身份证的申请和发放，它包括用户的注册方式，身份验证、核查、比对等；
¾“标识符”服务。

即为每一个网民发放一个终身的（初期允许有变化）、
唯一的网络身份证号码，用来标识身份，并由此做到“前台匿名，后台
实名”，将有价值的真实身份信息保护起来；
¾“信用状”服务。

本示范项目采用X.509数字证书作为信用状，包括一个可信计算的机制，通过它通信双方可以完成识别，即“接收方可以确
认当前通信请求是唯一掌握该标识符的信用状的个体发出的”；同时还
可以保证加密传输，数据完整，以及“不可否认”（通过签名机制）；
¾属性服务。

平台可以根据用户的授权将用户的部分身份信息，按照一定的策略传递给其它运营商；
¾类型和信誉度服务。

平台可以根据登记用户的验证等级，以及操作记录等信息，确定用户的“类型或信誉度”，并将此信息传递给任何需要的
运营商或其它用户；
¾审计和监控。

2、主要功能举例
任何互联网应用都可以使用电子身份证，前提是：a)其用户或部分用户拥有电子身份证（即IDEP）；b)应用服务端部署IDNP或与一个IDNP保持通信。

本文提出4种主要功能。

1）注册电子身份证
当用户注册或登录一个应用时，服务端检测用户是否拥有电子身份证，如果没有，应用系统提示并引导用户跳转到电子身份证注册网页进行注册。

流程见图3。

2）身份验证
当拥有电子身份证的用户登录一个应用时，应用系统将会验证其电子身份证作为访问控制的手段，流程见图4。

3）数字签名和声明
当用户进行关键操作（比如在交易系统进行支付、转账）时，依赖方可以要求用户对操作进行数字签名，该签名可以保证用户“不可否认”做过上述操作，因为该签名可以被任意第三方包括法庭验证。

《电子签名法》支持此类证据。

4）背书
从技术上讲，背书就是公正第三方为用户的签名内容或声明再一次签名。

在版权登记和交易系统中，系统对用户的登记、授权和转让等的签名内容进行签名并公示。

3、接口架构
图1显示了身份管理（IDM）的基本架构，它表现出电子身份证系统与其它应用系统的接口关系。

图1
ITU—T的IDM标准要求身份信息的传递和管理组成一个“上层平面”，即不与应用流程有任何重叠和交叉，类似于通信网络的7号信令系统不与话音承载系统有重叠一样，此类设计保证了导入新业务的灵活性。

图1的上半部分结构即组成了一个IDM平面。

所有与身份信息管理相关的信息均在此平面流动。

ITU—T的IDM标准要求身份验证是“非中心的、离线的”，符合一个“三方模型”，见图2。

图2 三方模型
互联网电子身份证系统采用“集中在线”和“分散离线”相结合的方式：对身份证书本身的操作（注册申请、更新、注销等）采用集中在线式有以下两个原因：首先，用户申请网络身份证需要许多个人真实信息，只有集中处理才能安全有效，当然集中也不仅指一个物理或地理中心，可以按照行政区划分为若干分中心；其次，注册和对证书的管理实效性不强，允许系统有停机维护的间隔，所以集中式服务不存在影响其它业务的风险。

分散离线式是IDNP 的主要服务方式，分散和离线是针对IDCP 中心而言的，即IDNP 向用户提供身份验证等服务，不需要实时与中心通信。

在IDM 基础设施里，IDNP 遍布所有IDC 以及应用程序中，用户可以就近选择（或自动选择）其中一个为其提供身份验证服务，这就保证了在任何时候都有一个IDNP 可以提供身份服务，保证应用程序不会因为身份验证出现故障而受影响。

或者出现故障也只影响一个应用，不影响用户使用其它应用。

身份验证（包括数字签名、声明等功能）均在IDNP、应用服务器和用户应用端（客户端或浏览器+IDEP）三者之间完成，符合“三方模型”。

具体流程及其说明见图4。

4、流程举例
1） 电子身份证（软证书）注册发放流程（如图3）
Requesting/Asserting Entity Relying Party Entity Identity Provider(s)
Identity Assertion Query(ies) to Identity Resources Response Response
图3 软证书申请、发放流程
流程说明：
○1用户启动客户端程序，通过客户端在本机生成公私钥对(在虚拟的密钥容器中产生密钥对，并将公钥、私钥返回到客户端)并通过客户端输入身份信息；
○2用户将公钥和用户信息构造成P10之后加入伪私钥（用户利用口令进行加密后的私钥，参照P5标准），通过客户端提交到WebService服务器；
○3WebService服务器处理接收到的信息；
○4将处理后的信息提交到申请注册系统；
○5电子身份证申请注册系统默认审核通过后, 再由电子身份证系统进行最终电子身份证签发；
○6网络身份证管理中心下发网络身份证给WebService服务器；
○7WebService服务器处理接收到的信息；
○8WebService服务器回传电子身份证给客户端程序，客户端获得电子身份证后，将电子身份证和伪私钥构造成为“P12”电子身份证文件；
○9WebService服务器备份“P12”网络身份证文件到目录服务器；
10客户端程序备份“P12”电子身份证文件到网吧服务器。

（非网吧用户可以○
无此过程）；
11客户端程序根据获取到的电子身份证及伪私钥，通过密钥容器提供的接口○
安装电子身份证（电子身份证可以选择安装到容器或IE浏览器）。

使用证书时，用口令解开伪私钥为真私钥，可以选择“一次一密”或“开机一密”。

2）验证流程
图4是一个身份验证的完整“三方模型”，符合IDM总需求的要求。

其中IDNP 模块可以部署到应用服务器，但保留逻辑上的独立，也可以独立甚至异地部署。

图4 身份验证流程
流程说明：
○1 用户请求服务；
○2 服务系统要求用户传递证书；
○3 用户传递身份证书；
○4 服务系统向IDNP传递并要求验证证书；
○5 IDNP返回结果并返回用户证书公钥加密的一个随机数；
○6 服务系统向用户传递随机数的密文；
○7 用户向服务系统传递解密后的随机数；
○8 服务系统将随机数传递给IDNP检验；
○9 IDNP返回检验结果；
10 服务系统根据策略提供用户服务。

○
注：○1○2○8○9可以省略，合并到其它步骤。

作者简介
石丰，1985年毕业于清华大学通信专业。

曾任职于SIEMENS、NORTEL等电信设备制造公司以及BELL和TELUS等电信运营公司。