范建伟

（中移动金融科技有限公司，北京 100037）

1 数字身份认证研究背景

数字身份是对居民身份证所承载的身份信息（姓名、身份证号、有效期限等）进行相关处理，生成不可逆、不含明文信息，且与法定证件一一映射的数据文件，能够在不泄露个人真实身份信息的前提下实现在线身份认证，实现“一次认证、多次使用、全网通办”。数字身份认证研究具有重要意义。

1.1 重要性

我国在“十四五规划纲要”明确以数字化转型整体驱动生产方式、生活方式和治理方式变革，从数字经济、数字社会、数字政府、数字生态四方面建设“数字中国”。数字身份是各个领域数字化的基石,是促进数字经济发展的必备基础,是数字时代的重要基础设施,其重要性不言而喻。

1.2 迫切性

2016 年以来，国务院发布《关于加快推进“互联网+政务服务”工作的指导意见》等系列文件，2022 年2月22 日又印发《关于加快推进电子证照扩大应用领域和全国互通互认的意见》，2022 年3 月11 日，国务院总理李克强在北京人民大会堂出席记者会表示，“我们今年要实施一项新政策，就是把人们常用的身份证电子化”。2022 年国家在加快布局和推进数字身份认证领域工作，数字身份认证落地需求迫切。

2 数字身份认证现有技术方案

随着新一代信息技术的加速发展和数字化全面融入国民经济各个领域，各行业对数字身份认证的需求迅速增长，尤其是社会公共场所、公共设施，以及部分企事业单位对于数字身份认证的需求尤为迫切。

目前市场上数字身份认证方式多是依赖智能电子移动终端进行二维码扫码的认证方式，流程见图1。

图1 传统数字身份认证流程

流程描述：

（1） 用户将保存在APP 中的身份二维码向业务平台展示；

（2） 业务平台分析二维码；

（3） 业务平台将分析之后的结果关联用户信息，将认证要素传给认证服务器进行认证；

（4） 认证服务器将认证结果返回给业务平台；

（5） 业务平台将认证结果返回给用户APP；

（6） 扫描终端扫描用户APP 展示的身份二维码。

3 数字身份认证现有技术的缺点

当今社会，移动智能终端逐渐普及，通过移动智能终端扫码进行数字身份认证，能避免人民未携带身份证的情况下进出必要场所或进行相应业务办理。

依赖智能移动终端进行二维码扫码的数字认证方式，往往身份二维码信息会保存在APP 客户端、APP云端或服务器，以及相应的应用服务设施，这些保存方式的缺点是二维码身份信息容易被盗取使用，无法保障用户信息安全，同时单纯基于软件的数字身份信息认证方案安全等级较低，容易被手机非法应用或病毒攻击，导致身份信息泄露。

现有技术方案的缺点/问题：

（1） 身份二维码存储方式安全级别低，可以通过软件攻破、图像信息截取等方式进行盗用截取；

（2） 数字身份二维码在APP 客户端、APP 云端或服务器，以及相应的应用服务设施多方存储及流转，信息安全无法保障。

4 超级SIM 卡是安全可信的硬件存储载体

近年来，SIM卡经过不断发展，持续进行版本升级迭代，SIM卡能力逐渐强大。

4.1 三大特点

（1） 安全存储：访问操作需满足相应的权限验证，有效的防止未授权实体对卡进行访问；

（2） 安全连接：基于GP 安全机制，建立安全传输通道，保障数据传输的一致性和完整性；

（3） 安全计算：在硬件层实现了国际以及国密安全算法，可以防止计算过程被监听、篡改。

4.2 四个优势

（1） 支持终端机型增多：通过BIP 通道下载卡应用的能力，在3.0+卡上实现应用空发下载，不依赖于终端系统及APP，支持苹果手机；

（2） 支持安全要求更高的卡应用：支持国密算法，具有高安全性；

（3） 支持离线使用应用：相比二维码，手机在断网、亮屏、熄屏、关机（1 天左右）均可使用卡应用；

（4） 手机换新应用继续用：适用于各种NFC 机型，换机不影响应用使用。

5 基于SIM 卡的数字身份认证技术方案设计与实现

5.1 实现方案

基于上述的问题难点及关键技术点，提出了新型身份认证方案，具体实现方案见图2。

图2 基于SIM 卡的数字身份认证写卡实现流程

写卡方案：

（1） 用户通过APP 向数字身份平台发送数字身份写入请求；

（2） 数字身份平台获取用户身份信息，向指令模块发送组件指令；

（3） 指令模块收到组件指令，进行拼接指令，对用户身份数据进行SM2+SM4 加密处理；

（4） 指令模块通过加密机加密后的数字身份信息指令发送到数字身份平台；

（5） 数字身份平台将加密指令发送至用户APP；

（6） 用户端APP 使用向SIM卡发送写卡指令；

（7） SIM卡执行写卡指令后向用户APP 返回执行结果；

（8） 用户APP 向数字身份平台返回执行结果；

（9） 数字身份平台更新执行结果状态，并告知用户APP 身份认证开通结果。

图3 基于SIM 卡的数字身份认证读卡实现流程

读卡方案：

（1） 用户通过APP 向数字身份平台发送数字身份读取请求；

（2） 数字身份平台向指令模块发送组件指令；

（3） 指令模块收到组件指令，进行拼接指令，向数字身份平台发送指令；

（4） 数字身份平台将指令模块发送的指令发送到用户APP；

（5） 用户APP 向SIM卡发送读卡指令；

（6） SIM卡执行读卡指令后向用户APP 返回执行结果；

（7） 用户APP 向数字身份平台返回执行结果；

（8） 数字身份平台对身份认证数据进行解密，并告知用户APP 身份认证信息。

5.2 体系架构

以国家可信数字身份平台（公安部“互联网+”可信身份认证CTID 平台）为能力底座，以超级SIM卡为载体，搭载公安部签发的网络身份凭证，通过超级SIM卡管理平台（TSM平台）调用卡指令服务，提供BIP、机卡以及NFC 等SIM卡交互能力，为持卡用户面向线上线下的丰富场景应用提供安全、可信、便捷的身份认证服务，锻造差异化优势，打造NFC认证、单离线认证等具有鲜明SIM数字身份特色的认证体系。（见图4）

图4 基于SIM 卡的数字身份认证体系

5.3 功能设计

目前已完成了基于SIM卡的数字身份平台建设，其以公安部可信数字身份CTID 平台为依托，基于网证、二维码、人像等多种认证因子，形成多种身份认证模式，构建了多因子、多层次、多安全等级的网络可信身份认证体系，形成APP、小程序、H5 等产品形态，并具备SDK、平台API 等能力开放形式，可满足不同行业、不同应用场景、不同安全等级要求的身份认证需要。（见图5）

图5 基于SIM 卡的数字身份平台功能架构

6 基于SIM 卡的数字身份认证方案优点

基于SIM 卡的数字身份是结合SIM 卡特有安全存储机制，将国家可信的数字身份信息通过本地指令模块写入SIM 卡，借助SIM卡安全计算(国密算法)能力及通信(数据短信、BIP、机卡通道)能力，对接国家可信数字身份系统，在保障数字身份信息的前提下，向个人用户、行业客户提供身份认证服务。对应现有技术缺点，本方案的优势如下：

（1） 存储安全可靠。SIM卡特有安全存储机制，有效的保障个人身份信息安全。

（2） 使用安全可靠。用户数字身份信息不在前端展示，不存储于APP 及APP 服务器，保护用户信息不被盗用截取，保障信息安全。

（3） 认证快捷高效。借用SIM卡的安全计算能力及通信能力，用户在息屏、无网络条件下，就可实现数字身份的快速认证，无需排队等候。

7 应用效果

目前基于SIM卡的数字身份已上线，客户在忘带身份证的情况下，也能完成身份认证，实现各类场景业务办理，是在“数字化改革”转型中的有效探索。也是响应政府“最多跑一次”服务理念的全新尝试。

截至2022 年7 月，数字身份已累计实现文旅、访客、政务、金融、营业厅业务办理、疫情防控等30 个核心场景应用落地，覆盖福建、江苏、浙江、江西、云南等10 余省份，月均申领4.8 万人，月均场景认证8194 次，累计申领26 万人，累计场景认证51583 次。

8 展望

对于SIM数字身份认证的发展提出3 点展望。第一，持续完善法律法规，突破政策法规严格监管限制，拓展SIM数字身份在酒店、铁路、民航等百姓高频场景应用，让用户感受更多“无障化”的数智生活。第二，加快数字身份认证技术研究，推动数字身份服务在商业模式上的创新，营造健康发展的生态环境。第三，推动国家数字身份基础设施建设，深耕超级SIM卡数字技术能力，力求为数字身份认证的发展提供技术支撑和平台建设，为用户提供安全、可信、便捷的身份认证服务，推动实际应用落地，助力国家“可信数字身份+”服务体系建设。