一种网络映射证件签发方法
技术领域
本发明涉及身份证件管理技术领域,具体涉及一种网络映射证件签发方法。
背景技术
现有技术中,中国政府部门根据法律所赋予或授予的资格或权力而颁发身份证、护照的法定身份证件,以在法律层面实现可靠的身份管理,长期以来为保障公民权益、维护社会秩序、保障国家安全发挥了巨大作用。随着互联网技术得到迅猛发展,现实社会向网络空间深度延伸,网络社会已成为现实社会重要组成部分。互联网给人们生活带来翻天覆地变化的同时,也显著改变了人们的行为方式,如收发邮件、社交、购物、银行交易的以前只在现实社会中发生的行为和业务,迅速在网络空间出现并得到迅速发展。在诸多领域,网络业务正呈现出超越、取代,甚至颠覆传统业务之势。同时,由于缺少有效的法定身份管理措施导致网络违法犯罪频发,已严重威胁到公民权益、社会稳定和国家安全,研究制定统一规范的网络法定身份管理办法势在必行。为解决网络法定身份管理问题,现在业界逐步出现了各具特色的技术和方法,包括以下几种解决方案。
1、电子法定身份证件上搭载个人数字证书功能。此技术方案首先要求电子法定身份证件具备搭载个人数字证书的能力,其次签发机关向证件持证人签发电子法定身份证件的同时签发与电子法定身份证件绑定的个人数字证书。目前,多数欧盟国家所签发的电子身份证采用此解决方案。现场查验模式下,持证人通过出示电子法定身份证件实物证明自己法定身份;在网络查验模式下,持证人通过出示电子法定身份证件搭载的个人数字证书,以远程在线方式证明自己法定身份,并具备现场查验模式等效的法律效力,既解决了线下身份认证问题,同时也解决了线上法定身份认证难题,理论上说是相对比较完善、完美的技术路线。对于直接签发搭载个人数字证书的电子法定身份证件的国家,一次性解决了线上、线下身份管理问题。但中国已签发超过14亿张且近期还不计划升级、改版的二代身份证,以及遵循国际民航组织技术规范签发的电子护照、电子回乡证、电子台胞证等未搭载的个人数字证书的电子法定证件,和最近两年签发的外国人永久居留身份证和港澳台居民居住证,中国现阶段采用此解决方案首先须对居民身份证、电子护照、电子回乡证、电子台胞证、外国人永久居留身份证和港澳台居民居住证进行升级改版,显然是不现实的。
2、电子法定身份证件之外,另行签发个人数字证书,此技术方案不要求电子法定身份证件具备搭载个人数字证书的能力,而是把个人数字证书搭载在USBKey、手机、银行卡的其他硬件介质上,其签发机关既能是签发电子法定身份证件的政府机关,如《中华人民共和国电子签名法》中规定的电子认证服务提供者的第三方商业机构,其最明显的特点在于,个人数字证书与电子法定证件相互独立,电子法定身份证件仅用于现场查验模式下证明持证人法定身份,而个人数字证书用于在网络查验模式下远程在线证明证书持有人身份。其最大的缺点也在于因个人数字证书与电子法定证件相互独立,公民针对不同的身份查验场景需使用不同的身份凭证,不仅会对公民使用带来不便,更重要的是,像中国过去10年动用巨大的行政资源、财力和物力基本实现了13亿人,人手一张二代身份证,如再次动用国家力量为全民签发个人数字证书基本是不可行的,若借助商业机构来签发个人数字证书,不仅经济投入十分巨大,普及时间需要数年甚至十年,同时其法律效力和权威性也无法与法定身份证件本身相提并论。
3、从2018年5月25日起,欧盟的《通用数据保护条例》(简称GDPR,General DataProtection Regulation)开始强制施行。这个规范加强了对个人信息的保护,并且加大了对于数据泄露的处罚力度;2018年5月1日,《GB/T 35273-2017信息安全技术个人信息安全规范》开始实施,明确收集个人信息后,个人信息控制者宜立即进行去标识化处理;2018年6月1日我国《网络安全法》开始实施,实施以来,已至少有五省向互联网公司开出执法罚单;《互联网个人信息安全保护指引(征求意见稿)》面向社会征求意见;2019年10月1日,《儿童个人信息网络保护规定》正式实施。国际国内都把网络空间的个人信息安全提到了很高的位置,网络空间的身份管理是提高网络空间治理的基础。
4、在没有统一、规范、成熟的网络法定身份管理解决方案情况下,各商家为落实国家网络实名制政策,探索出了形形色色的网络身份认证手段和方法。早期,是要求用户主动输入身份证号码和姓名的信息,用户输入什么***就接受什么,结果发现很难保证用户输入的身份证号码和姓名的信息的真实性,例如黄牛能用“庆丰包子”的姓名抢购火车票就是典型的例子。后来,身份验证方式也跟着升级了,其中手段之一就是把用户输入的身份证号和姓名提交到全国公民身份号码查询服务中心***的第三方机构对网络用户提交的个人身份信息进行核实,第三方***中存在用户的信息且各项信息匹配则验证通过。这种方式采用的是信息比对信息的方式进行验证,能够识别虚假编造出来的身份信息,但无法识别冒用的真实身份信息。原因是身份证号码及其他个人信息脱离身份证这个载体,其本身就仅仅是一串字符,第三方核查***只能解决***中是不是存在这个人的信息,却不能解决“实名即实人”问题。后来,用户身份验证措施得到了进一步改进,用户被要求提供银行***、电话号码,甚至本人手持身份证的照片,以进一步验证身份。这些辅助手段对实名制落实确实起到了一定程度的强化作用,但验证效果随着身份欺诈手段不断升级而被逐渐抵消,随之而来的却是身份验证成本不断被推高和用户体验的急剧下降。导致如此结果的根本原因在于,这些辅助验证手段都不是基于电子严谨的规则和流程,解决的是形式上的验证,无法达到现实生活中通过法定证件验证身份那样的效力。而且带来了个人信息数据的泄露,个人信息数据面临着被盗用、滥用、泄露等安全问题,安全威胁不断增大,不仅关系到个人的隐私、财产安全等方面,也影响到国家和社会安全。据中国互联网协会发布的《中国网民权益保护调查报告2016》显示,近一年时间国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。
中国专利CN1339894A提供了一种身份证明及其制作方法,在身份证明制作过程中,发证机关首先构造第一信息包,第一信息包包括身份信息和生物信息;然后选择一种非对称密钥算法,用私钥对第一信息包进行数字密押,生成第二信息包;最后将密押生成的第二信息包存储在一媒体中,制成身份证明,但是没能解决上述存在的能够识别虚假编造出来的身份信息,无法识别冒用的真实身份信息的问题。
发明内容
为了克服以上的缺陷,本发明提供了一种网络映射证件签发方法。
本发明所述方法包括以下步骤:
步骤1、证载信息抽取,
步骤1.1、所述证载信息即法定身份证件实体证上记载的信息,划分为姓名、性别、出生日期、证件号码的个人基本信息;相片和指纹图像的生物特征信息;以及物理防伪、数字防伪的证件防伪特征信息3大类;
步骤1.2、制作签发网络映射证件,从法定身份证件证载信息中抽取必要内容,具体抽取证载信息中哪些内容需根据实际需要和相关策略确定;
步骤1.3、直接通过读取电子法定身份证件获得证载信息,或通过电子法定身份证件制作、签发数据库获得证载信息;
步骤2、映射变换:
步骤2,1、将抽取的证载信息经特定变换形成网络映射证件中存放的要素数据的过程;
步骤2,1、映射变换采用数学变换或密码变换,根据实际需要和相关策略来确定。
网络映射证件中存放的要素具备以下几项特征:一是源自法定身份证件证载信息;二是变换是不可逆的,即通过要素数据不能逆推出证载信息原文;三是公开发布不会泄露持有人个人信息和隐私;四是支持通过网络远程在线安全认证,且认证过程具备抗旁路攻击、中间人攻击、重放攻击,以及防窃听和仿造能力。
步骤3、不同类型的证载信息映射变换后生成不同类型的映射证件要素:姓名、性别、出生日期、证件号码的个人基本信息经映射变换后生成基本信息核验要素;
步骤3.1、核实业务***通过其他途径获得的个人信息是否属于网络映射证件合法持有人;相片、指纹图像/模板的生物特征信息经映射变换后生成人证同一性认证要素;
步骤3.2、认证被认证方是否为网络映射证件合法持有人本人;
步骤3.3、物理防伪、数字防伪的证件防伪特征信息,即个性化密钥关联因子的数字防伪特征信息,经映射变换后生成证件实体认证要素,认证被认证方是否在线出示了网络映射证件所关联绑定的电子法定身份证件实物。
步骤4、签名:
步骤4.1、映射证件要素数据,附加映射证件序列号、版本号、有效期、颁发者、持有人的相关信息后,用网络映射证件签发机构网络映射证件签名数字证书签名,完成网络映射证件签发;
步骤4.2、签名数据须附在网络映射证件电子文件中一并发布,验证网络映射证件自身的真实性、完整性。
步骤5、网络映射证件撤销列表签发:
步骤5.1、当网络映射证件所关联绑定的实体证件因注销、挂失的原因失效时,网络映射证件签发机构须在第一时间签发撤销列表,将失效的实体证件对应的网络映射证件同步失效;
步骤5.2、网络映射证件撤销列表,用网络映射证件签发机构网络映射证件签名数字证书签名并定期更新;
步骤5.3、当发生实体证件失效时进行紧急更新;
步骤5.4、网络映射证件有效期不能超过对应实体证件的有效期,实体证件自然过期网络映射证件也自然过期,对此不必通过签发撤销列表确认其失效。
步骤6、签名数字证书、网络映射证件、网络映射证件撤销列表发布,网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表是网络映射证件验证机构验证网络映射证件时使用的,网络映射证件签发机构面向网络映射证件验证机构或子***实时发布;网络映射证件持有人也能下载自己的网络映射证件,认证过程中主动出示。
与现有技术相比,本发明所述方法的优越效果在于:
1、本发明所述方法以现有电子法定身份证件及其相关的数据库资源为基础,提出安全可靠、经济易行、满足互联网应用需求、符合中国国情的网络空间法定身份管理方案,解决了中国当前面临的网络法定身份管理难题,降低了通过大数据关联分析进行个人画像的风险。
2、建立了一套以电子法定身份证件网络映射证件为核心的网络法定身份管理***,在网络空间建立与现实社会中对应的法定身份管理体系并将现实生活中使用法定身份证件证明身份的模式和流程移植到网络空间,发挥了法定身份证件在现实社会应用等效的法律效力,解决了网络空间法定身份管理难题问题。
3、本发明解决了未搭载个人数字证书的电子法定身份证件无法直接应用于网络法定身份管理的技术难题;相对于目前现有的依托人口信息库衍生的形形色色的网络身份认证方式,本发明不再停留在个人信息的形式比对层面,真正解决了法定身份认证“实名即实人”问题,有效避免了人工因素造成的主观和非主观失误问题;保持了与现实社会中法定身份管理体系相同的体系架构,维持了法定身份证件证明持证人法定身份证件真实有效和人证同一性两大核心要点,借助网络映射证件技术实现了电子法定身份证件网上、网下一体化应用,不仅强化了《中华人民共和国居民身份证法》的法律、法规、行政规章普适性,同时符合公众既有普遍认知和习惯,易于接受和普遍推广;
4、本发明根据映射证件载体指纹信息、行业标识属性参与映射变换或数学变换,使同一个持有人的映射证件和身份标识在不同载体、不同行业区别开,杜绝了大数据关联分析对人进行画像的风险。
附图说明
图1为本发明所述方法的直接由网络映射证件签发机构提供网络映射证件验证服务的***组成示意图;
图2为本发明所述方法的网络业务***完成网络映射证件验证服务的***组成示意图;
图3为本发明所述方法的网络映射证件的签发与管理的示意图。
具体实施方式
本发明所述方法包括以下步骤:
步骤1、证载信息抽取,
步骤1.1、所述证载信息即法定身份证件实体证上记载的信息,划分为姓名、性别、出生日期、证件号码的个人基本信息;相片和指纹图像的生物特征信息;以及物理防伪、数字防伪的证件防伪特征信息3大类;
步骤1.2、制作签发网络映射证件,从法定身份证件证载信息中抽取必要内容,具体抽取证载信息中哪些内容需根据实际需要和相关策略确定;
步骤1.3、直接通过读取电子法定身份证件获得证载信息,或通过电子法定身份证件制作、签发数据库获得证载信息;
步骤2、映射变换:
步骤2,1、将抽取的证载信息经特定变换形成网络映射证件中存放的要素数据的过程;
步骤2,1、映射变换采用数学变换或密码变换,根据实际需要和相关策略来确定。
网络映射证件中存放的要素具备以下几项特征:一是源自法定身份证件证载信息;二是变换是不可逆的,即通过要素数据不能逆推出证载信息原文;三是公开发布不会泄露持有人个人信息和隐私;四是支持通过网络远程在线安全认证,且认证过程具备抗旁路攻击、中间人攻击、重放攻击,以及防窃听和仿造能力。
步骤3、不同类型的证载信息映射变换后生成不同类型的映射证件要素:姓名、性别、出生日期、证件号码的个人基本信息经映射变换后生成基本信息核验要素;
步骤3.1、核实业务***通过其他途径获得的个人信息是否属于网络映射证件合法持有人;相片、指纹图像/模板的生物特征信息经映射变换后生成人证同一性认证要素;
步骤3.2、认证被认证方是否为网络映射证件合法持有人本人;
步骤3.3、物理防伪、数字防伪的证件防伪特征信息,即个性化密钥关联因子的数字防伪特征信息,经映射变换后生成证件实体认证要素,认证被认证方是否在线出示了网络映射证件所关联绑定的电子法定身份证件实物。
步骤4、签名:
步骤4.1、映射证件要素数据,附加映射证件序列号、版本号、有效期、颁发者、持有人的相关信息后,用网络映射证件签发机构网络映射证件签名数字证书签名,完成网络映射证件签发;
步骤4.2、签名数据须附在网络映射证件电子文件中一并发布,验证网络映射证件自身的真实性、完整性。
步骤5、网络映射证件撤销列表签发:
步骤5.1、当网络映射证件所关联绑定的实体证件因注销、挂失的原因失效时,网络映射证件签发机构须在第一时间签发撤销列表,将失效的实体证件对应的网络映射证件同步失效;
步骤5.2、网络映射证件撤销列表,用网络映射证件签发机构网络映射证件签名数字证书签名并定期更新;
步骤5.3、当发生实体证件失效时进行紧急更新;
步骤5.4、网络映射证件有效期不能超过对应实体证件的有效期,实体证件自然过期网络映射证件也自然过期,对此不必通过签发撤销列表确认其失效。
步骤6、签名数字证书、网络映射证件、网络映射证件撤销列表发布,网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表是网络映射证件验证机构验证网络映射证件时使用的,网络映射证件签发机构面向网络映射证件验证机构或子***实时发布;网络映射证件持有人也能下载自己的网络映射证件,认证过程中主动出示。
网络映射证件验证机构的功能是提供网络映射证件验证服务;网络业务***简称为XX网站,是法定身份的依赖方,即某些业务需要认证客户法定身份,如实名制条件下开立银行账户、申请电子邮件地址、开设微博账号、淘宝开店。受行政认可的客户法定身份认证方法是面签,也就是在业务***营业网点由业务员人工当面查验客户二代证、电子护照、电子港澳居民往来内地通行证、电子台湾同胞往来内地通行证、外国人永久居留身份证和港澳台居民居住证的法定身份证件的方式确认客户法定身份;网络业务***接入基于电子法定身份证件网络映射证件的网络法定身份管理***后,借助网络映射证件验证机构提供的网络映射证件验证服务即可远程在线方式确认客户法定身份。网络映射证件持有人,即网络业务***客户,从网络映射证件签发机构申请网络映射证件,并用网络映射证件向网络业务***证明自己的法定身份,参与具有实名制要求的相关业务。网络映射证件验证服务,既由第三方独立机构提供,也能直接由网络映射证件签发机构提供,还能由网络业务***自行完成。采用将网络映射证件验证服务逻辑上独立体现。
下面结合附图对本发明具体实施方式作进一步详细说明。对于由网络映射证件签发机构提供网络映射证件验证服务的情况,如图1所示,网络映射证件及撤销列表发布体现为内部流程。对于由网络业务***自行完成网络映射证件验证服务的情况,如图2所示,网络映射证件验证流程的③④⑤步体现为内部流程。网络映射证件签发的签发及相关业务由网络映射证件签发机构负责,其具体业务逻辑如图3所示。所说的相关业务,包括网络映射证件签名数字证书签发、网络映射证件撤销列表签发,以及网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表的对外发布。网络映射证件签发行政授权及签名数字证书签发,网络映射证件签发机构,首先须符合中国的法律、法规规定并得到政府或相关部门授权,确保所签发的网络映射证件的法定效力;其次,签发代表网络映射证件签发机构权威性的网络映射证件签名数字证书。
本发明并不限于上述实施方式,在不背离本发明的实质内容的情况下,本领域技术人员能想到的任何变形、改进、替换均落入本发明的保护范围。