基于eid的手机实名制认证风险分析.docxVIP

基于eid的手机实名制认证风险分析 实名制认证存在漏洞 手机认证是指用户在处理手机接入、转让和其他业务时，必须提供实际身份信息。目前, 各运营商按工信部部署, 不仅要求新入网用户全量实名登记, 也通过优惠政策, 引导未实名认证的老用户补充登记身份信息。 目前, 各运营商实名认证大都是基于二代身份证, 借助二代身份证读卡校验设备、实名制认证专用App等手段进行认证。需要指出的是, 这些认证手段与流程存在一些风险与漏洞。一是使用伪造证件通过认证风险。在现场验证场景, 因读卡校验设备仅可识别二代身份证真伪, 对于持户口簿、军人与武警身份证件等实名认证的情况, 仅能通过工作人员主观鉴别、手工录入方式进行登记, 存在使用伪造证件通过认证的可能性。在非现场验证场景, 因无法对实体证件进行真伪校验, 即便证件信息准确无误, 也存在伪造证件通过认证的可能性。 二是认证信息与使用人不一风险。实名认证要求通过“人证合一”审核, 确保认证信息与号码使用人一致, 但在实际操作中并不能百分百做到。对于App认证方式, 持证人也可利用图像合成技术, 将二代身份证与他人照片合成从而通过审核。针对此类情况, 目前各运营商后台系统尚无法识别, 从而影响了实名制的准确率与真实性。 三是用户信息被泄露与盗用风险。推进实名制的重要前提, 就是个人信息安全应得到保障。然而, 在实际执行中, 个人信息被收集、贩卖以获利的情况时有发生, 给用户个人隐私带来了不小的影响, 甚至会产生比较严重的社会问题。 eid的内涵 互联网的快速发展, 对网络信息安全提出了更高要求。近年来, 国内个人信息泄露现象呈上升趋势。据统计, 从2011年到2014年年底, 已泄露的中国公民信息多达11.27亿条, 成为网络、电信诈骗的主要源头。2014年10月, 韩国三大银行服务器被黑客攻破, 80%用户的隐私信息泄露, 采用线下身份证识别线上身份是产生问题的重要根源。我国身份证编码规则与韩国相似, 网络身份识别也普遍依赖二代身份证。目前, 居民注册网站和自证身份时, 仍主要按照身份证信息填写姓名、身份证号甚至手机号、住址等。这不仅不符合“人证合一”原则, 而且不能起到身份识别和防止冒用作用。此外, 网站存储的个人信息还面临着被黑客攻击、内部偷盗风险, 存在泄露个人隐私信息的隐患。 那么, 如何有效解决线上身份识别问题呢?电子身份证 (EID) 为我们提供了一种思路。EID是公安部第三研究所建设和开发, 并由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识, 以密码技术为基础, 以智能安全芯片为载体, 用于在网络远程证实个人真实身份, 可在嵌入安全智能芯片的银行卡、社保卡、SIM卡、U盾中使用, 是基于人口库的权威、安全、保护用户隐私的网络身份标识, 可进行跨地域、跨行业的网络身份服务。EID依托公安部全国公民身份信息库, 利用用户主动提交的身份信息生成唯一的网络标识符和数字证书。从设计原则上看, EID只是一段网络标识符, 本身不含任何用户身份信息。从管理思路上看, EID的建立和管理由统一机构进行, 从而既能做到真实身份识别, 又可有效保护用户身份信息。 EID并非实体证件, 其载体种类与外形也不会对EID验证结果造成影响, 只要载体中的安全智能芯片符合EID相关标准即可。市民只要持有效证件, 在具有身份审核及面签程序的EID登记发行机构申请, 经“公安部公民网络身份识别系统”审核签发, 即可通过任意需要EID身份识别场景的认证。EID既可通过贴近带有NFC功能的手机背面完成无线认证, 也可结合EID读卡器并输入密码, 通过有线方式认证。 与实体社会居民身份证对应, EID是网络社会管理的基础设施, 可以实现实体社会与网络社会的统一管理, 且具有以下优点:一是保护隐私。只凭姓名和EID, 无需提供个人隐私信息, 即可完成认证, 且返回到网站、App的结果为状态信息, 即便EID被破解也是无意义的字符串。二是安全可信。对于账号被盗等场景, 可通过EID立即重置密码, 避免造成损失。若不甚丢失, 只要挂失申领, 丢失的EID将自动注销, 且EID与其PIN码绑定, 他人获取了也无法使用。四是标准统一。EID可作为机构、企业实现员工与用户远程身份管理的手段, 通过统一管理的身份服务, 避免标准与载体各异, 既方便使用, 也节约成本。 eid建设应全面推进 运营商引入应用EID, 不仅是消除电话实名认证风险的需要, 也是提升流动人口营销、校园前置营销效率以及丰富电渠业务类型、发展手机支付等业务的关键。目前, 我国EID仍处于科研试点阶段, 亟须加快试点推广, 提高EID的普及与接受程度。 根据公安部要求, EID登记发行机构必须具备严格的身份审核、面签程序。与电话实名现场认证“宽松”的氛围