基于SIM 卡的數字身份實現與應用

范建偉

（中移動金融科技有限公司，北京 100037）

1 數字身份認證研究背景

數字身份是對居民身份證所承載的身份信息（姓名、身份證號、有效期限等）進行相關處理，生成不可逆、不含明文信息，且與法定證件一一映射的數據文件，能夠在不泄露個人真實身份信息的前提下實現在線身份認證，實現“一次認證、多次使用、全網通辦”。數字身份認證研究具有重要意義。

1.1 重要性

我國在“十四五規劃綱要”明確以數字化轉型整體驅動生產方式、生活方式和治理方式變革，從數字經濟、數字社會、數字政府、數字生態四方面建設“數字中國”。數字身份是各個領域數字化的基石,是促進數字經濟發展的必備基礎,是數字時代的重要基礎設施,其重要性不言而喻。

1.2 迫切性

2016 年以來，國務院發布《關于加快推進“互聯網+政務服務”工作的指導意見》等系列文件，2022 年2月22 日又印發《關于加快推進電子證照擴大應用領域和全國互通互認的意見》，2022 年3 月11 日，國務院總理李克強在北京人民大會堂出席記者會表示，“我們今年要實施一項新政策，就是把人們常用的身份證電子化”。2022 年國家在加快布局和推進數字身份認證領域工作，數字身份認證落地需求迫切。

2 數字身份認證現有技術方案

隨著新一代信息技術的加速發展和數字化全面融入國民經濟各個領域，各行業對數字身份認證的需求迅速增長，尤其是社會公共場所、公共設施，以及部分企事業單位對于數字身份認證的需求尤為迫切。

目前市場上數字身份認證方式多是依賴智能電子移動終端進行二維碼掃碼的認證方式，流程見圖1。

圖1 傳統數字身份認證流程

流程描述：

（1） 用戶將保存在APP 中的身份二維碼向業務平臺展示；

（2） 業務平臺分析二維碼；

（3） 業務平臺將分析之后的結果關聯用戶信息，將認證要素傳給認證服務器進行認證；

（4） 認證服務器將認證結果返回給業務平臺；

（5） 業務平臺將認證結果返回給用戶APP；

（6） 掃描終端掃描用戶APP 展示的身份二維碼。

3 數字身份認證現有技術的缺點

當今社會，移動智能終端逐漸普及，通過移動智能終端掃碼進行數字身份認證，能避免人民未攜帶身份證的情況下進出必要場所或進行相應業務辦理。

依賴智能移動終端進行二維碼掃碼的數字認證方式，往往身份二維碼信息會保存在APP 客戶端、APP云端或服務器，以及相應的應用服務設施，這些保存方式的缺點是二維碼身份信息容易被盜取使用，無法保障用戶信息安全，同時單純基于軟件的數字身份信息認證方案安全等級較低，容易被手機非法應用或病毒攻擊，導致身份信息泄露。

現有技術方案的缺點/問題：

（1） 身份二維碼存儲方式安全級別低，可以通過軟件攻破、圖像信息截取等方式進行盜用截取；

（2） 數字身份二維碼在APP 客戶端、APP 云端或服務器，以及相應的應用服務設施多方存儲及流轉，信息安全無法保障。

4 超級SIM 卡是安全可信的硬件存儲載體

近年來，SIM卡經過不斷發展，持續進行版本升級迭代，SIM卡能力逐漸強大。

4.1 三大特點

（1） 安全存儲：訪問操作需滿足相應的權限驗證，有效的防止未授權實體對卡進行訪問；

（2） 安全連接：基于GP 安全機制，建立安全傳輸通道，保障數據傳輸的一致性和完整性；

（3） 安全計算：在硬件層實現了國際以及國密安全算法，可以防止計算過程被監聽、篡改。

4.2 四個優勢

（1） 支持終端機型增多：通過BIP 通道下載卡應用的能力，在3.0+卡上實現應用空發下載，不依賴于終端系統及APP，支持蘋果手機；

（2） 支持安全要求更高的卡應用：支持國密算法，具有高安全性；

（3） 支持離線使用應用：相比二維碼，手機在斷網、亮屏、熄屏、關機（1 天左右）均可使用卡應用；

（4） 手機換新應用繼續用：適用于各種NFC 機型，換機不影響應用使用。

5 基于SIM 卡的數字身份認證技術方案設計與實現

5.1 實現方案

基于上述的問題難點及關鍵技術點，提出了新型身份認證方案，具體實現方案見圖2。

圖2 基于SIM 卡的數字身份認證寫卡實現流程

寫卡方案：

（1） 用戶通過APP 向數字身份平臺發送數字身份寫入請求；

（2） 數字身份平臺獲取用戶身份信息，向指令模塊發送組件指令；

（3） 指令模塊收到組件指令，進行拼接指令，對用戶身份數據進行SM2+SM4 加密處理；

（4） 指令模塊通過加密機加密后的數字身份信息指令發送到數字身份平臺；

（5） 數字身份平臺將加密指令發送至用戶APP；

（6） 用戶端APP 使用向SIM卡發送寫卡指令；

（7） SIM卡執行寫卡指令后向用戶APP 返回執行結果；

（8） 用戶APP 向數字身份平臺返回執行結果；

（9） 數字身份平臺更新執行結果狀態，并告知用戶APP 身份認證開通結果。

圖3 基于SIM 卡的數字身份認證讀卡實現流程

讀卡方案：

（1） 用戶通過APP 向數字身份平臺發送數字身份讀取請求；

（2） 數字身份平臺向指令模塊發送組件指令；

（3） 指令模塊收到組件指令，進行拼接指令，向數字身份平臺發送指令；

（4） 數字身份平臺將指令模塊發送的指令發送到用戶APP；

（5） 用戶APP 向SIM卡發送讀卡指令；

（6） SIM卡執行讀卡指令后向用戶APP 返回執行結果；

（7） 用戶APP 向數字身份平臺返回執行結果；

（8） 數字身份平臺對身份認證數據進行解密，并告知用戶APP 身份認證信息。

5.2 體系架構

以國家可信數字身份平臺（公安部“互聯網+”可信身份認證CTID 平臺）為能力底座，以超級SIM卡為載體，搭載公安部簽發的網絡身份憑證，通過超級SIM卡管理平臺（TSM平臺）調用卡指令服務，提供BIP、機卡以及NFC 等SIM卡交互能力，為持卡用戶面向線上線下的豐富場景應用提供安全、可信、便捷的身份認證服務，鍛造差異化優勢，打造NFC認證、單離線認證等具有鮮明SIM數字身份特色的認證體系。（見圖4）

圖4 基于SIM 卡的數字身份認證體系

5.3 功能設計

目前已完成了基于SIM卡的數字身份平臺建設，其以公安部可信數字身份CTID 平臺為依托，基于網證、二維碼、人像等多種認證因子，形成多種身份認證模式，構建了多因子、多層次、多安全等級的網絡可信身份認證體系，形成APP、小程序、H5 等產品形態，并具備SDK、平臺API 等能力開放形式，可滿足不同行業、不同應用場景、不同安全等級要求的身份認證需要。（見圖5）

圖5 基于SIM 卡的數字身份平臺功能架構

6 基于SIM 卡的數字身份認證方案優點

基于SIM 卡的數字身份是結合SIM 卡特有安全存儲機制，將國家可信的數字身份信息通過本地指令模塊寫入SIM 卡，借助SIM卡安全計算(國密算法)能力及通信(數據短信、BIP、機卡通道)能力，對接國家可信數字身份系統，在保障數字身份信息的前提下，向個人用戶、行業客戶提供身份認證服務。對應現有技術缺點，本方案的優勢如下：

（1） 存儲安全可靠。SIM卡特有安全存儲機制，有效的保障個人身份信息安全。

（2） 使用安全可靠。用戶數字身份信息不在前端展示，不存儲于APP 及APP 服務器，保護用戶信息不被盜用截取，保障信息安全。

（3） 認證快捷高效。借用SIM卡的安全計算能力及通信能力，用戶在息屏、無網絡條件下，就可實現數字身份的快速認證，無需排隊等候。

7 應用效果

目前基于SIM卡的數字身份已上線，客戶在忘帶身份證的情況下，也能完成身份認證，實現各類場景業務辦理，是在“數字化改革”轉型中的有效探索。也是響應政府“最多跑一次”服務理念的全新嘗試。

截至2022 年7 月，數字身份已累計實現文旅、訪客、政務、金融、營業廳業務辦理、疫情防控等30 個核心場景應用落地，覆蓋福建、江蘇、浙江、江西、云南等10 余省份，月均申領4.8 萬人，月均場景認證8194 次，累計申領26 萬人，累計場景認證51583 次。

8 展望

對于SIM數字身份認證的發展提出3 點展望。第一，持續完善法律法規，突破政策法規嚴格監管限制，拓展SIM數字身份在酒店、鐵路、民航等百姓高頻場景應用，讓用戶感受更多“無障化”的數智生活。第二，加快數字身份認證技術研究，推動數字身份服務在商業模式上的創新，營造健康發展的生態環境。第三，推動國家數字身份基礎設施建設，深耕超級SIM卡數字技術能力，力求為數字身份認證的發展提供技術支撐和平臺建設，為用戶提供安全、可信、便捷的身份認證服務，推動實際應用落地，助力國家“可信數字身份+”服務體系建設。