本文讨论了数据安全问题,特别是车主手机号码隐私风险,提出使用加密二维码和eID来保护隐私。eID是一种网络电子身份标识,通过权威性、安全性和隐私保护优势,解决实名认证中可能存在的隐私问题。它与传统网络实名制不同,仅在网络应用中提供合法身份验证,有效防止身份冒用和信息泄露。
长假和家人一起游玩,在景区停车场发现了一个数据安全问题:车主们习惯在车上留下挪车电话,以免影响其他车主,此时手机号码隐私安全存在比较大的隐患。其实车主完全没有必要把电话号码留在车上,比如换为一张加密手机号码的二维码,让对方扫码拨打加密手机号码挪车,能解决了泄露手机号码隐私这个问题。
通过此现象联想到类似问题:实名认证,这个词相信大家都不陌生了,我们打开手机普遍的应用都会要求进行实名认证,实名认证一词最早来源于威客网,是注册网络ID时需要对用户的身份信息真实性进行核查。实名认证的形式利用在线下公共场合较早,例如机票购买,酒店住宿,银行等等都需要身份信息登记备案,后来随着网络信息技术的推广运用,实名认证的说法开始出现,通过线上使用的频率扩散开来,主要用于网络交流,网站注册等的保证。实名认证的做法一开始就是出于保障三方权益的目的,一方是顾客,二方是商家,三方是中介。希望通过一张身份证来保护各方安全,实名认证的出发点很好,但是又和个人隐私安全存在些矛盾,相关保护措施若是缺失或者存在漏洞将会危及到人隐私安全,并且关于用户隐私数据信息泄露的案例国内外也有很多,这不是个小问题。针对这个问题,一个比较好的解决方案是eID认证。
eID的定义
国际上对eID的定义是:“由政府颁发给公民的用于线上和线下识别身份的证件”。在我国,eID有别于用于线下身份识别的第二代身份证,用于线上身份识别。
欧盟多个国家已经颁发了eID来替代传统的身份证件,使eID既具备了线下身份识别的功能,又具备了网络远程身份识别功能。目前已经发行eID的国家有德国、法国、西班牙、意大利、俄罗斯、比利时、爱沙尼亚、奥地利、丹麦、芬兰、葡萄牙、斯洛文尼亚、立陶宛、马耳他、卢森堡、荷兰、瑞典、冰岛、阿联酋以及我国香港特别行政区等。其中,德国、西班牙、意大利、比利时、爱沙尼亚和奥地利已经普及,广泛用于电子政务、电子商务、社交网络等各个领域。
技术上,eID是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识,能够在不泄露身份信息的前提下在线远程识别身份。根据载体类型的不同,eID目前主要有通用eID与SIMeID两种,其中通用eID常加载于银行金融IC卡、USBkey、手机安全芯片等,SIMeID主要加载于支持SIM/USIM功能的载体,常见的有SIM卡、USIM卡、SIM贴膜卡、eSIM芯片等。使用eID相关产品和服务时,请认准eID标识。
eID产生的背景
目前国内的网络远程身份验证普遍使用“关联比对”方法,即将用户输入的“姓名+公民身份号码”等个人信息,传到后台对个人信息的正确性进行比对来认定其身份。
"关联比对"方法在大规模应用的场景下主要存在几个问题:
• 个人信息比对正确并不能代表本人真实意愿,无法防范个人身份被冒用或盗用的风险;
• 容易造成个人信息泄露。采集个人信息的网络应用服务机构安全水平不一,个人信息大规模泄露的风险越来越高。
面对以上问题,eID在权威性、安全性、普适性、隐私性方面具有其他技术不可比拟的优势,可满足公民在个人隐私、网络交易及虚拟财产等多方面的安全保障需求:
• 权威性:eID基于面对面的身份核验,由“公安部公民网络身份识别系统”统一签发,可进行跨地域、跨行业的网络身份服务;
• 安全性:eID含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用;
• 普适性:eID不受载体物理形态的限制,只要载体中的安全智能芯片符合eID载体相关标准即可;
• 隐私性:eID的唯一性标识采用国家商用密码算法生成,不含任何个人身份信息,有效保护了公民身份信息。
eID实施框架
eID的实施框架图中的“五位一体”分为下面五个角色。
eID签发中心:
eID签发中心是由公安部第三研究所承建的“公安部公民网络身份识别系统”,承担eID签发和管理职能。
eID登记发行机构:
承担eID载体的登记和发行职能,可提供加载eID的载体、有着广泛的发行渠道和严格的身份审核及面签程序的机构均可申请成为eID的登记发行机构。
目前发行机构如:中国工商银行、中国建设银行和北京农商银行等。
eID网络身份运营机构(IDSO):
eID网络身份运营机构(“IDSO”,即Identity Service Operator,简称为“eID运营机构”),连接eID签发机构与eID网络身份服务机构,承担eID网络身份识别基础服务,并与eID网络身份服务机构合作向线上应用机构提供eID网络身份公共增值服务和相关安全增值服务。
eID网络身份服务机构(IDSP):
eID网络身份服务机构(“IDSP”,即Identity Service Provider,简称为“eID服务机构”),连接eID网络身份运营机构与线上应用机构,向线上应用机构提供eID网络身份增值服务。
TD可以作为IDSP角色,为开发者提供围绕“个人身份信息及隐私保护”、“身份认证”、“网络账号保护”和“网络交易保护”等需求,可广泛应用于互联网各类产品与服务。
机构和应用申请接入流程:http://eid.cn/cooperation/jieruliucheng.html
eID相关流程
公安部公民网络身份识别系统”向用户签发eID时,会以用户个人身份信息和随机数计算出一个唯一代表用户身份的编码,即用户的网络身份标识编码(eIDcode)。该编码不含任何个人身份信息,且不可逆推出个人身份信息。用户使用eID通过网络向应用方自证身份时,应用方会通过连接“公安部公民网络身份识别系统”的运营和服务机构,请求验证核实用户网络身份的真实性和有效性。一旦用户网络身份通过验证,应用方会得到一个与该应用相对应的用户网络身份应用标识编码(appeIDcode)。因此,虽然用户拥有唯一的网络身份标识编码(eIDcode),但在不同的应用机构只能得到不同的网络身份应用标识编码(appeIDcode),从而避免用户在不同网络应用中的行为数据被汇聚、分析和追踪,最大程度的保护个人身份和隐私信息。
eID≠"网络实名制"
eID是保护个人身份信息的网络电子身份标识,当网络应用要求用户实名注册时,用户可以通过eID自证合法身份,目前在试点阶段,并不强制使用。
在线下,根据《居民身份证法》用户可以持本人身份证自证身份;但在线上以身份证或公民身份号码等身份信息自证身份不能确保身份的可靠性(被别人冒用身份)且面临身份信息泄露的风险,而eID可以解决这个难题。
扫一扫
2726
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
