MCPLive > 杂志文章 > 扛起保护个人信息大旗?eID的长与短

扛起保护个人信息大旗?eID的长与短

2016-09-05张明芮《微型计算机》2016年9月上

另辟蹊径的eID

细想起来,所有的隐私泄露问题,都是网站保存了用户信息却又无法妥善保管引起的。既然个人信息让网站保管不靠谱,那不如所有的信息由一个权威部门来保管和核实。因此公安部第三研究所用了5年时间技术攻关,研发出网络身份证eID识别技术,并建立全国唯一的“公安部公民网络身份识别系统”。

目前我国公民申领的eID卡,就是普通银行卡上嵌入了eID芯片。

目前我国公民申领的eID卡,就是普通银行卡上嵌入了eID芯片。

公安三所eID技术展示现场

公安三所eID技术展示现场

eID全称electronic Identity,直译为电子身份标识或电子身份证件。按照国内外对网络身份管理的现状和趋势,eID应具有唯一性和信息不可否认性。说简单点,就是专门在网上使用的身份证。

2014年在上海召开的第16届中国国际工业博览会上,公安部第三研究所技术人员现场展示了eID技术的应用。这是一张搭载了特殊芯片的银行卡,将它贴在支持NFC的手机上读取之后,便完成了《航旅纵横》和《安保泓物流联盟》两款App的个人身份认证流程,不需要用户再提交自己的姓名、住址、电话、身份证号码甚至银行账户等个人信息。认证之后,《航旅纵横》为航旅人士提供了安全的航旅动态信息服务;《安保泓物流联盟》依靠eID的电子签名技术作为物流快递行业签收、派发物品的依据,有效避免了用户隐私信息在中间环节泄露的风险,物品的递送状态一目了然。

公安三所eID项目负责人严则明主任介绍,eID采用“国密SM2”算法,由智能芯片生成私钥,确保无法被读取、复制、篡改或非法使用,从而保证芯片载体及其持有人一对应。它由公安部门统一签发证书、并经现场身份审核、发放给公民,是公民可用于在网上远程证实身份的、可靠的、普适性的网络电子身份证件。它符合我国《电子签名法》第十三、十四条的规定,具有数字签名及抗否认的法律效力。

从表面上看,NFC读取eID信息并验证,似乎也跟浏览器记录表单的行为相似,其实不然。在整个过程中,网站压根儿就不知道任何用户信息,它只是提供一个认证通道。当用户向网站提交eID信息时,网站将该信息提交给公安机关或相应的权威部门进行认证,然后通知网站是否认证通过。因此网站不需要保存公民的个人信息。这样一来,就算网站遇到内鬼或黑客,也得不到任何用户信息。

那么提交eID的数据被截取怎么办?北京邮电大学教授吴旭表示,“eID的加密算法在理论上是不可破解的,即使被读出来,也只是没有意义的字符串。”另一方面,eID内其实也不存储任何个人隐私信息,就算黑客利用天顶星科技读出了eID的内容,也只能知道这个eID代表谁,不会有更多的收获。

在《航旅纵横》这款APP上,已经有eID的登陆方式。

在《航旅纵横》这款APP上,已经有eID的登陆方式。

eID的发展现状

eID是全世界都很重视的课题,国外eID建设都由各国的安全部门主导。欧盟在2005年要求各成员国政府主导,分别建设eID管理体系,并要求各国的eID在成员国之间得到承认并互通,在电子政务和电子商务领域得到普及应用。比利时动作比欧盟更快,是最早最快推行eID的国家之一,该国依据《国家个人登记处组织法》从2003 年开始至2009年初发行了覆盖了其总人口的80%以上的eID。比利时现行法律的规定,其公民必须拥有eID。
 
德国在2010年11月开始发行电子身份证,可享受需要身份认证的各种网上服务和在线签署购买合同或递交各种申请。美国在2010年6月发布了“国家网络安全网络空间可信身份的国家战略”(NSTIC)草案,目标是建立以用户为中心的网络身份生态认证系统。俄罗斯在2012年1月1日开始发行普适性的身份证,具有医疗保险、学生证件、公交卡和借记卡的功能,并包含公民唯一的eID并支持多层次的身份验证。 最终目的是取代目前的国家身份系统。韩国于2012年开始发行电子身份证,计划2017年发行完毕。

从目前来看,eID认证有着许多的优越性。除了前述的“认证不留痕”以外,办理其他业务时能快速证明“你是你”。例如你的帐号被盗,要找回帐号需要找客服投诉,但客服怎么知道你是你?相信大部分人都遇到过QQ帐号申诉时令人崩溃的证明流程。但如果用eID登录,分分钟就能证实你的身份。

分享到:

用户评论

用户名:

密码: