《网络安全法》之电子身份认证技术解读

字号：大中小

　　随着互联网的普及，基于互联网的各种业务蓬勃发展，为了规范网络空间安全管理，2017年6月1日，《中华人民共和国网络安全法》正式开始实施。网络安全法规范了网络空间的各项安全管理措施，是我国网络空间法治建设的重要里程碑。

　　在网络安全法颁布实施之前，国家很多部委都颁布过关于要求网络实名制的相关文件。而网络安全法的颁布实施，将网络实名制要求上升到法律层面，从法律上确认网络实名制要求的正当性。

　　网络安全法二十四条中规定：“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息”。

　　对于拒绝提供真实身份信息的用户，网络安全法中规定了运营者应拒绝提供服务。同时网络安全法六十一条也规定了违反互联网实名制要求所需要承担的法律责任。网络安全法为网络实名制的实施提供了坚实的法律基础。

　　网络安全法对于互联网实名制的要求，也会促进基于互联网的实名认证技术的发展。在网络安全法二十六条中，特别提出了对研究、开发安全方便的电子身份认证技术的支持。当前，电子身份认证技术主要有基于银行卡的身份认证、基于生物特征的身份认证、基于数字证书的身份认证技术等等。各种身份认证的技术都有其自身的特点，根据其认证的强度，其法律效力及应用场景也各有不同。下面我们就对各种电子身份认证技术做个简要的介绍：

　　身份证件身份认证

　　第二代居民身份证是由公安部门所颁发的法定身份证件，法律效力强，作为国家基础信任源，对个人身份的核验具有很强的权威性。在互联网应用中，基于身份证证件的身份认证技术实现的方式也比较丰富，可通过阅读机具、NFC手机或者OCR识别的方式，读取身份证的有效信息，与公安身份信息系统中预留的信息进行比对，以辨别身份信息。

　　生物识别身份认证

　　得益于科学技术的进步，人脸识别、指纹识别、虹膜识别等生物方式开始在互联网业务中应用。例如人脸主要由用户在摄像头前刷脸，互联网相关机构通过第三方服务机构(需要公安身份信息系统配套)以图形识别方式对客户的脸部扫面数据与身份信息系统中预留的照片比对，以辨别身份信息。

　　由于人脸本身的相似性和易变性，刷脸验证等方式的效力更多依赖于技术的精准度。其风险在于人脸信息是极易泄露的生物信息，在遍布监控、摄像头的环境中，人脸信息很容易被捕捉和复制，这在一定程度上会降低人脸识别的准确性，增加被攻击的风险。当前，生物识别技术还只能作为一种网络身份认证的辅助手段。

　　银行卡身份认证

　　银行卡身份认证是目前使用较为广泛的身份认证技术，银行卡之所以可以被用于互联网身份的交叉验证，主要源于银行卡办理过程中“实名”的要求。我国《个人存款账户实名制规定》要求，“个人在金融机构开立个人存款账户时，应当出示本人身份证件，使用实名”；“在金融机构开立个人存款账户的，金融机构应当要求其出示本人身份证件，进行核对，并登记其身份证件上的姓名和号码”。这意味着，凡是金融机构出具的合法有效的银行卡，必定与该卡所有者的身份信息匹配。

　　大多数互联网金融平台，通常会要求用户绑定其本人所持有的某张银行卡，同时要求客户在注册完成时，象征性支付几元钱的款项至客户在支付机构开设的支付账户，以此确认银行卡的持卡人就是用户本人。银行卡验证方式实则利用了用户在银行开户时预留的身份证信息。银行柜台人员代替网络经营者，来完成身份证的审核。

　　数字证书身份认证

　　数字证书是目前互联网交易中保证交易真实性和机密性的重要手段，目前已经大量应用于网上银行、电子商务等互联网交易中。如果用户拥有某电子认证服务机构（CA）颁发的数字证书并能够使用其电子签名，则利用已有的数字证书进行互联网的身份认证无论从使用成本还是身份认证的可靠性上都是最好的选择。

　　其实现方式为：第三方电子认证服务机构通过注册机构验证完用户身份后，向用户核发数字证书。用户在办理数字证书时，需要经过面签，验证用户证件真伪、人证是否相符、是否是本人真实意愿，证书用户身份真实可靠。互联网相关服务商通过电子认证服务机构验证数字证书的真实性，并获取用户的身份认证信息，即可识别用户的真实身份，安全可靠，简单易行。

　　从上述介绍中可以看出，基于互联网的电子身份认证技术是不断推陈出新，各种形态的身份认证模式层出不穷。网络安全法中还特别提到，应该推动各种电子身份认证技术的互认。中国金融认证中心（以下简称CFCA），为了满足在线业务平台的电子身份认证需求，推动多种电子身份认证技术的融合互认，于2012年建设了网络身份认证平台。

　　该平台利用大数据分析、生物识别、可信身份标识等先进身份认证技术，提供多维度的在线身份认证产品。可为互联网金融、供应链金融、互联网征信、传统金融（银行、基金、信托）、电子政务、电子商务等行业提供多层次、适应多场景的网络身份认证服务。随着网络安全法的正式实施，已经有近百家互联网业务平台接入CFCA网络身份认证平台，该平台也将会为网络安全法的贯彻落实，建设中国特色的网络可信体系起到重要支撑作用。

　　作者：左小军