近期,在微信、支付宝里躺了两年的 “网证”,再次进入公众视野。
据中新网报道,在本周举行的互联网之光博览会上,公安部第一研究所会展工作人员介绍,以后在上网或使用 App 时,将可以使用网证代替输入身份信息进行认证,能够有效保护个人隐私。
但值得思考的是,大数据时代的个人信息保护涉及到多方面因素,仅靠一张网络身份凭证,是否真能解决这一难题?
1 何为网证?有何用处?
寻求这一问题解答之前,需要先了解什么是网证。
网证,即居民身份证网上功能凭证,是由 CTID 平台(中国电子身份证认证平台)签发给个人的权威网络身份凭证。
网证的本质是一个数据文件,是通过算法将实体身份证里的信息变换成没有明文信息的、不可逆的、完全脱敏的一个定长的数据,且这一数据与身份信息 “唯一绑定”。
但需要注意的是,网证不能替代实体身份证。
目前,微信和支付宝是 “网证”的两大主流载体。在实际应用场景中,网证在部分试点地区中可以适用于线上、线下政务服务,住宿登记、物流寄件等有实名制要求的场景。
不过,这些片段式的应用场景并非网证推出的真正意义所在,其更长远目标在于打造网络身份认证生态产业链。
信任域的不同会造成互联网身份认证效率不高,提高认证成本等问题,由此,需要一个构件一个可信体系,使得各个应用场景能够在统一的信任根的基础上衍生发展,相互关联,相互信任;即以身份证为根的中国特色网络可信体系。
公安部第一研究所副所长于锐在接受《法制日报》采访时介绍道:
所谓有中国特色的网络可信体系,就是以居民身份证为根来构建,围绕这个根构建三层体系,根层是国家法定证件——身份证。
中间是第三方作证层,是可用来司法采证使用的身份认证凭证,像 CA(电子签名认证证书)。
第三层业务凭证层,像手机号、QQ 号等,这样就形成了一个生态链,不同的应用根据可信程度需求的不同,采取安全级别、强度不同的身份认证方法,实现不同层级的信任传递。
2017 年 11 月,公安部第一研究院牵头成立了中关村安信网络身份认证产业联盟(OIDAA),会员覆盖社会公共安全、电子政务、电子商务、金融、电信、终端设备、芯片等多个领域,三大运营商,阿里巴巴、腾讯、联想、蚂蚁金服等企业均包括其中。
据悉,这一联盟将推动建立中国特色网络身份认证体系,将网络身份认证从碎片化信任域时代过渡到统一体系下身份认证时代。
如今,网证再迈出关键一步——用户在上网或使用 App 时,使用网证代替输入身份信息进行认证,能够在不泄露身份信息的前提下实现在线身份认证,以此有效保护个人隐私。
公安部第一研究所工作人员表示,当前已不是仅在福建、广东等地开展试点,而是在正常地推行运用,未来会慢慢地推行到全国。
那么,网证是如何保障个人身份信息安全?
2 如何保障安全?
前面提到,网证的本质是一个数据文件,能够与个人身份信息实现唯一绑定,但这个数据文件没有任何明文,不包含个人隐私。
另外,虽然这个 “网证”数据文件存放于互联网上,但其数据文件并非完整数据,更为重要的是,即使遭到黑客攻击,被获得了完整数据,也无法逆推得出用户信息,单向性的特征给网证安全再加一层保障。
据于锐介绍,数据文件的作用只是链接实体身份证和互联网 + 可信身份认证平台,而作为整个体系技术数据支撑的居民身份证明文数据是存放在公安信息网里,是国家专业机关的专业网,与互联网物理隔离。
并且,公安专网是单向的、只进不出的,确保了公民身份证制证数据安全。
另外,网证还能够实现 “一证多存”和 “多证存一”。
其中,“一证多存”指向存放于不同应用、不同端口中,既可以存放在微信卡包、支付宝等应用中,也支持存放于华为钱包等手机应用,或者是移动端之外的 iPad、电脑里。
“多证存一”指一家人的 “网证”都可以存在一个手机里。因此,一旦家庭成员出现手机丢失的情况,也能够通过别的终端进行挂失,且立即生效。
在网证安全性中,采用 “刷脸”进行实人认证也是一大容易出现隐患的环节,如果人脸特征信息在传输过程中遭到窃取,则后患无穷。
对此,于锐对《法制日报》解释称,由于身份证中金具有照片和指纹两个生物特征,在线上进行网证实人认证时如果采用指纹形式,其安全风险较高,容易通过指纹特征逆向伪造指纹图像。
而人脸属于弱隐私特征,通过人脸特征难以逆向获得用户个人图像。于锐表示:
人脸识别技术用的是神经网络的深度学习算法,想通过人脸的深度学习特征去回推出人的容貌,目前不可能。
正是因为人脸这种特定的特点,现在全世界线上认证大多使用人脸识别。现在我们正在结合声纹、眼纹来加强活体认证的准确性。
可见,网证在诞生之初,就已做好了充分的准备。
但是,在 “道高一尺魔高一丈”的互联网环境中,网证或许还存在着一些值得审视的问题。
3 上网用 “网证”,数据隐私就安全了吗?
有观点认为,在网证推行之前,大多数网站、App 已经录入了用户的身份证信息,如果使用网证登录,是否会获得网证与身份证信息的联结对应,使得与身份信息唯一绑定的网证遭到 “污染”,这是问题之一。
另外,多数 App 的注册页面采用手机号登入,而手机号目前已与身份证信息实现了绑定,那么,即便无需进行身份证验证的场景,仅通过手机登陆,是否会形成 “手机号—身份证—网证”这一链路,同样值得深思。
总的来说,如何解决用户已经半公开的隐私信息与网证之间的联结关系,是网证需要解决的隐私难题。
另外,即便没有形成对应联结,对于已在互联网上登陆过的用户身份信息,将如何进行处理,同样值得审视。
以人脸数据为例,据央视新闻报道,只要花 2 元钱就能买到上千张人脸照片,而 5000 多张人脸照片的标价还不到 10 元,平均下来一份人脸信息仅有 0.002 元。
而这些已经泄露的人脸数据又是否会影响 “网证”的推行,这也是症结所在。
虽然在群众讨论中网证仍存在一些尚待解决的不确定性问题,但从网证推进的步伐来看,躺在用户微信、支付宝里的网证,用处越来越多了。
转载请注明:IT运维空间 » 安全防护 » 躺在微信、支付宝里的 “网证”,真能保护隐私吗?
发表评论