基于“卡码照”三合一的新型可信数字身份认证方案研究 (1).pdf

《基于“卡码照”三合一的新型可信数字身份认证方案研究 (1).pdf》由会员分享，可在线阅读，更多相关《基于“卡码照”三合一的新型可信数字身份认证方案研究 (1).pdf（4页珍藏版）》请在咨信网上搜索。

1、1092023.060 引言国务院关于加快推进电子证照扩大应用领域和全国互通互认的意见提出，群众常用证照基本实现电子化，可办理和实体证件同样的事项。目前市面上的电子身份证多为二维码形式，存在以下问题：一是具有安全隐患，存在一定风险。二维码形式的电子身份证易被截屏冒用，同时对识别设备要求低，且这些设备一般不具备加密、防拆机等安全功能，容易被不法分子侵入。二是操作步骤繁琐，存在一定门槛。用户使用二维码时需打开 App，进行人脸识别等多步操作后方能展码使用，较为繁琐，对于老年人尤其不够友好。另外，当遇到手机没有电或者没有网络的情况下无法使用。江苏移动与江苏省公安厅在信用认证服务领域开展合作，引入“苏

2、证通”电子身份证核心能力，以使用国密算法加持的超级 SIM 卡国产安全芯片为载体，打造“卡码照”三合一的可信数字身份认证产品“SIM数字身份”，支持手机息屏使用，向用户提供安全、可信、便捷的认证服务，并用于通信业务办理鉴权、门禁闸机通行管理等场景，为业内应用提供了借鉴。1 技术原理“卡”即超级 SIM 卡。超级 SIM 卡是中国移动推出的智能手机卡，承载了数字货币、交通卡、银行SIM盾等便民功能，具有安全便捷的特性。该卡基于 NFC-USIM 卡安全芯片，采用国密算法，达到金融级安全芯片等级，能够有效防止信息泄露，并且通过了 CCEAL6+测试，具备银联芯片安全认证的权威资质。将公安部门签发的

3、电子身份证，经加密后写入超级 SIM 卡安全区域，在电子身份证认证场景下，可通过 NFC技术，读取存储在超级SIM卡中的数字身份信息并完成核验。“码”即“苏证通”二维码。“苏证通”是江苏省公安厅开发上线的网上统一可信安全的电子身份证二维码，为江苏省政务服务部门提供自然人网上身份“实名”“实人”认证能力，是江苏省政务服务唯一、权威的网上身份认证方式。江苏省公安厅和江苏移动基于原“苏证通”电子身份证二维码，联合打造基于硬件的可信数字身份认证产品“SIM 数字身份”。以运营商的超级 SIM 卡为载体，将“苏证通”写入超级 SIM 卡，采用硬件存储方式，为持卡用户提供“靠一靠”就能身份认证的便民服务，

4、较二维码方式更为安全便捷。“照”即用户身份证照。用户通过实人实名活体检测后，可授权调取省公安厅人口库的用户身份证照片并展示。用户基于“卡码照”三合一的新型可信数字身份认证方案研究袁 媛 吴 磊 郭书芳中国移动通信集团江苏有限公司摘要：国务院“十四五”数字经济发展规划中提出，加快数字身份统一认证和电子证照互信互认，夯实数字经济信息基础设施底座。国务院关于加快推进电子证照扩大应用领域和全国互通互认的意见提出，群众常用证照基本实现电子化。目前市面上的电子身份证多为二维码形式，安全性和便捷性都存在可提升的空间。本文主要阐述了利用运营商国密算法加持的超级 SIM 卡硬件安全特性及公安机构电子身份证认证系

5、统的权威属性，打造“卡码照”三合一的新型可信数字身份认证产品“SIM 数字身份”。该方案使用硬件方式存储和读取用户身份信息，使用非对称式密钥对传输过程进行加密，能够最大化地保障人民群众信息安全。同时，本文还探索了 SIM 数字身份在通信行业业务办理鉴权、政企信息化项目等领域的应用，促进电信服务数字化转型。关键词：超级 SIM 卡；数字身份；电子证照；业务鉴权；BIP 写卡1102023.06无需携带实体身份证，在简单核验场景可使用证照直接进行人工校验，方便快捷。SIM 数字身份根据不同安全强度级别的身份认证要求，支持多种认证方式。实人实名认证方式适用于强安全等级场景，如酒店入住、机场铁路通行、

6、营业厅及政务系统办理业务等场景。实名认证方式适用于弱校验场景，例如门禁、闸机等只需要实名登记即可通行等场景。身份证照片的认证方式，适用于更弱的校验场景，如核酸检测、治安检查等场景。下面介绍几种典型的场景应用。2 营业厅使用 SIM 数字身份鉴权的思路和方法2.1 SIM 数字身份营业厅鉴权流程营业员在 CRM 中选择数字身份鉴权方式，用户使用开通了数字身份的 NFC 手机与前台“高拍仪”（电子身份证读取机具）“碰一碰”，高拍仪通过 NFC 接口读取存储在卡中的加密的数字身份信息，并拍摄现场用户人像照片，通过 CRM传递至公安平台（苏证通平台）进行认证。平台返回校验结果及身份信息，CRM 校验身

7、份信息与机主身份信息一致性后即可办理业务。数字身份鉴权平台交互流程如图 1 所示。图 1 数字身份鉴权流程图2.2 CRM 前台鉴权界面改造“SIM 数字身份”作为和服务密码、实体身份证并列的一种鉴权方式在前台 CRM 开放服务。营业员在前台 CRM 系统中输入用户手机号码，选择鉴权方式为“数字身份”。用户手机与前台高拍仪设备触碰后即可读取到用户手机卡中存储的身份信息，通过电脑摄像头拍摄客户人像，将现场人像照片及身份信息传输到公安后台进行比对，人证比对通过即可办理业务。前台高拍仪读取数字身份如图 2 所示。前台 CRM 系统人像比对操作界面如图 3 所示。比对通过后，CRM 系统显示用户证件照

8、片，界面如图 4 所示。图 3 人像比对操作界面图 2 NFC 方式读取 SIM 卡中身份信息图 4 比对通过后显示用户证件照1112023.062.3 高拍仪功能改造在高拍仪中植入 NFC 读取模块，使用读卡协议通过终端NFC 通道读取用户超级 SIM 卡中的身份信息。高拍仪读取数字身份流程如图 5 所示。2.4 技术特点和优势分析通过 BIP 通道将“苏证通”电子身份证写入国密算法加持的超级 SIM 卡中，核心算法逻辑封装成符合 JavaCard 标准的应用程序，在 SIM 卡中运行。开发高拍仪 NFC 模块，通过加密的读卡协议读取卡中存储的数字身份证信息，硬件方式安全可信。将“SIM 数

9、字身份”作为与短验、密码、实体身份证并存的前台校验方式，用户无需携带实体身份证，只要将手机与高拍仪“碰一碰”，便可读取手机 SIM 卡中的身份信息办理业务，方便快捷。3 门禁闸机系统使用 SIM 数字身份鉴权的思路和方法3.1 门禁闸机系统鉴权流程在门禁闸机设备中植入 NFC 模块，使用超级 SIM 卡读卡协议，当访客使用手机与闸机的NFC识别模块“碰一碰”时，闸机即可获取到访客超级 SIM 卡中存储的身份信息，与预约系统里登记的访客信息进行比对，如一致后则可开闸放行。同时也可和其他平台数据对接，实现“多码融合认证”。例如疫情初期，对接苏康码平台，即可通过用户身份证号调取苏康码信息，核验后根据

10、健康码码色开闸放行。门禁闸机系统读取数字身份校验流程如图 6 所示。图 5 高拍仪读取数字身份流程图图 6 门禁闸机系统读取数字身份校验流程图3.2 建立安全机制多平台交互安全（1）通信安全：NFC 读取通过安全协议进行通信，与其他平台（如苏康码平台）之间通过安全协议进行通信。（2）业务安全：通过数据加解密增加业务安全性，保证每次读取数字身份安全可靠。（3）接口规范：遵循统一的 Restful 的设计风格，使用JSON 作为数据交互的格式，使用基于非对称密钥的 SHA256-RSA 的数字签名算法。3.3 技术特点和优势分析一是建立超级 SIM 卡“轻”应用，无需扫码，无需携带1122023.

11、06实体身份证，简单“碰一碰”，即可实现身份信息无接触认证。二是建立安全机制，保障身份数据安全、通信安全和流程安全。三是建立安全技术架构，保障身份证数据存储安全、数据传输安全、与各个平台之间的通信安全等。四是建立访问控制机制，包括系统对数字身份操作的访问控制、数字身份 SDK 对 App的访问控制、服务器与数字身份 SDK 之间的访问控制等。4 结束语基于“卡码照”三合一的新型可信数字身份认证产品“SIM数字身份”，是将用户的个人身份证信息以加密形式存储在超级 SIM 卡的安全区域。在身份信息读取及核验的传输过程中使用国密算法进行加密处理，从而确保身份核验与认证的权威、真实、有效。目前该应用已

12、在营业厅业务办理场景、智能楼宇门禁管理场景、南京老门东文旅场景、南京江北新小区智慧社区场景等投入使用，便利人民群众日常生活的同时，也为其他行业的电子证照应用提供了新的思路和解决方案。作者简介：袁媛（1983），女，江苏扬州人，工程师，硕士；研究方向：超级 SIM 卡应用。（收稿日期：2022-12-21；责任编辑：王红）实验还对 IPv4 网络进行了类似测试，比较的参数则是IPv4 报文头的 TTL 值。对比测试发现，IPv4 的 DNS 劫持率较IPv6 高很多，这与文献 6 的研究结果一致。3 结束语现有的 DNS 劫持检测方法存在手段过于复杂或者检测范围狭窄等问题，为此本文提出了一种 I

13、Pv6 网络中基于 Hop Limit 的 DNS 劫持检测方法，由于劫持者通常仅劫持 DNS 报文，而不劫持 ICMP 报文，因此通过在上网终端上抓包分析，对比 DNS 应答报文的 Hop Limit 与 Ping 本地域名服务器的应答报文的 Hop Limit 值，如果两者不同，则判定 DNS 报文受到了劫持。该方法在国内三大运营商网络中分别对 Google，Quad9，Cloudflare等DNS进行了实验。测试发现，IPv6网络中，Google DNS 在某些运营商网络中存在 DNS 劫持；对于其他的公共 DNS 服务器，均未发生 DNS 劫持。实验也对 IPv4 网络进行了类似的测试

14、，发现 IPv4 网络的 DNS 劫持率远高于 IPv6网络。参考文献：1CHUNG，T.，CHOFFNES，D.，AND MISLOVE，A.Tunneling for transparency：A large-scale analysis of end-to-end violations in the internetC.In Proceedings of the 2016 ACM on Internet Measurement Conference，ACM，2016：199-213.2 张涛.恶意网址劫持技术的应用研究 J.通信技术，2020，53（03）：728-732.3Tom Cr

15、eighton，Chris Griffiths，Jason Livingood，Ralf Weber.2010.DNS Redirect Use by Service ProvidersJ.Internet Draft：draft-livingood-dns-redirect-03，1997.4Lan Wei，John Heidemann.Whac-A-Mole：Six Years of DNS SpoofingJ.2020.DOI：10.48550/arXiv.2011.12978.5Liu Baojun，Lu Chaoyi，Duan Haixin，Liu Ying，Li Zhou，Hao

16、Shuang，Yang Min.2018.Who is Answering My Queries：Understanding and Characterizing Interception of the DNS Resolution PathC.Proceedings of the Applied Networking Research Workshop.ACM，2019：1113-1128.6Audrey Randall，Enze Liu，Ramakrishna Padmanabhan，et al.2021.Home is Where the Hijacking is：Understandi

17、ng DNS Interception by Residential RoutersC.Internet Measurement Conference，New York，USA：IMC，2021：390-397.7B.Jones，N.Feamster，V.Paxson，N.Weaver，M.Allman.Detecting dns root manipulationC.International Conference on Passive and Active Network Measurement，2016：276288.8R.Hinden，S.Deering.IP Version 6 Addressing ArchitectureS.RFC 8291，IETF，2006.https：/www.rfc-editor.org/rfc/pdfrfc/rfc4291.txt.pdf.作者简介：刘永清（1979），男，安徽天长人，高级工程师，博士研究生；研究方向：网络安全，IPv6 网络。（收稿日期：2023-02-15；责任编辑：王红）（上接第108页）