关于国家网络身份认证公共服务管理（网号体系）的思考

副站长

     2024年7月26日，公安部和国家互联网信息办公室（国家网信办）就《国家网络身份认证公共服务管理办法（征求意见稿）》发布公告，向全社会公开征求意见。在征求意见稿中，官方正式使用了“网号”这一称呼，并定义了组成国家网络身份认证公共服务体系（本文称之为“网号体系”）的三个重要概念：网号、网证和身份核验。

作为最早推动和参与“声纹+”可信身份认证的一名科技工作者，我认为这是我国在网络可信身份认证方面的一个重要里程碑式的事件，必将在保护公民身份信息安全和促进数字经济发展方面做出重要贡献。
1、黑产猖獗、诈骗横行的关键原因在于包括身份信息在内的个人信息的泄漏
近年来，互联网黑产和电信网络诈骗问题异常突出，严重危害广大人民群众的信息安全和财产安全，给社会经济稳定造成了很大威胁。综合分析显示，黑产猖獗的根本原因在于个人信息泄露严重，为各类犯罪提供了滋生蔓延的肥沃土壤。个人信息泄漏的主要渠道包括：

第一，各大互联网企业平台用户信息管理漏洞，导致用户账号、手机号等基本信息外泄；

第二，不法分子通过技术手段攻击企业数据库窃取用户信息；

第三，部分应用程序收集使用个人信息不当；第四，用户个人终端存在木马病毒等安全隐患。诈骗分子往往通过多个渠道综合收集个人信息，建立信息库，并进行关联分析，从而获取目标人的身份、联系方式、经济情况等详尽信息。正是这种对隐私信息的滥用聚合，才为各类针对性电信网络诈骗提供了可能。因此，杜绝个人隐私信息泄漏是打击黑产电信诈骗的治本之策。

2、网号和网证本身不含有用户信息，用户信息由国家授权机构管理，商业机构不能随意保存，网号和网证可以看作只是针对用户身份信息的索引
为切实保护用户信息安全，网号（是指向用户信息的索引）和网证（能指向网号，在网号和个人信息之间充当防火墙的作用）不包含任何个人敏感隐私信息，仅作为连接用户与身份信息的纽带而存在。打个比喻，网号就像“房间号”，需要用“钥匙”（即经过核验或认证）才可以打开房门进入有真实身份信息的“房间”，但商业机构无法通过该“房间号”看到用户信息“房间”内部情况。

也就是说，网号本身不携带任何属性信息，对商业机构完全不可见、不可解析。用户的真实身份信息应存放在国家授权的独立机构中，商业机构不能访问也不允许采集、处理、保存和销售。当用户需进行身份认证时，商业机构根据网号/网证向授权机构请求核验，不涉及用户信息。用户主动提供的信息以网号为根、以网证为中介，实现与商业机构的隔离。

网号的这种“房间号索引”加独立“信息房间”的隔离机制，杜绝了商业机构对用户信息的随意获取、存储、滥用或销售（黑灰产），起到了用户信息“防火墙”的作用。

建立网号索引与隔离式信息存储，既充分保护了用户隐私，也降低了商业公司的信息安全风险，实现双方互利共赢。这种新型数字身份体系架构，有助于构建用户信息源权威、商业调用通道畅通、责任定义明确的良性局面。

3、“静态网号+动态认证”架构可以确保即使网号/网证被非授权搜集，“一认一用”的机制则也会避免其被非授权应用
基于网号的国家网络身份认证公共服务可以直观地认为是一个“静态网号+动态认证”的数字身份系统，权威而唯一不变的是网号（“房间号”），要证明这个网号是某人的（“房间”），必须经过权威的身份认证（取得“钥匙”，而且该钥匙只有效一次），因而，即使网号被他人获知也无法完成实际的身份验证与信息获取，确保了极强的安全性；而具有可读性和可视性的网证更是在网号与个人信息之间又加入了一道防火墙，增加了对用户信息非授权获取的难度。由于网号本身不含任何真实身份数据，仅作为索引存在，因此哪怕不法分子获取目标人的网号，也无法直接解析或关联到真实身份信息。

与网号静态索引相配套的是“一认一用”的动态认证机制。每次进行身份验证时，用户都需要根据应用场景所对应的不同安全等级要求，通过包括生物特征在内的动态因素参与认证，单次认证后即失效，非本人即使获取网号也无法通过认证。这就如同即使知道别人的电子邮件地址，但如果没有密码，也无法看到邮件内容一样，当然基于网号的国家网络身份认证公共服务比邮件系统更复杂、更安全，但用户用起来更便利。也就是说，静态的网号和动态的身份认证在数字身份系统中完美结合，相互制衡且缺一不可，就是这个看似简单的设计，却将身份认证安全提升到了一个全新的高度。

4、网号在不同平台或区域可以配以别称，别称只与网号纵向关联，别称之间横向不通，这样可有效阻止基于个人身份信息的黑灰产业
基于网号的国家网络身份认证公共服务，可以配合别称使用。网号由国家权威机构发布，每人一个，唯一且终身不变；但在不同平台（比如网购平台）或不同区域（比如省或行业或单位）可以有别称。别称只与网号纵向关联，但不同平台或区域间的别称横向不直接相通，其关联要通过网号体系才能实现；一个网号可以对应多个别称，别称也有生命周期，可以随时更改、弃用。这样一种设计，可防止个人身份信息被不同平台非法聚合使用，从而进一步保护用户隐私，阻止黑灰产业的泛滥。

商业平台仅能识别对应场景的网号别称，无法将其关联至完整的网号或跨平台的其他别称。例如，小明的支付网号在支付宝平台对应别称A1，在微信平台对应别称A2。两个平台均无法得知A1和A2其实是同一网号的两个别称，也无从获知该网号的实际名称和相应的身份信息。平台间无法通过别称进行用户关联。这种网号别称的设置，可有效切断各机构恶意聚合分析用户信息的可能性。网号别称之间也无固定对应规则，采用动态映射关系，一场景一别称，避免横向串联，增加了反推网号的难度。通过别称机制，可将用户身份信息分散隔绝，最大化减少泄露风险，切实打击身份信息黑产的动力与可能。

5、“集中式+分布式+端式”架构，可缓解算力、带宽压力，同时保障无网情况下的正常使用
为保证身份认证的高效性与可靠性，数字身份系统可采用“集中式、分布式与端式”的混合架构，中心、分中心与端之间，上下互通，有同步机制确保一致性。集中式认证中心是根，代表权威；分布式节点是干，可承担相应平台或区域的计算和存储，缓解传输拥堵，分担计算压力，从而提升整体处理效率；而用户本地终端作为边缘节点是叶，在可信存储和可信计算的保障下，支持脱网状态的离线认证，保障在不可抗力或特殊应用场景下即使断网也可以实现身份认证。

同级（如地域与地域、行业与行业、地域与行业等）之间不允许互通，但经过国家权威机构认证后具有身份核验资质的认证机构所出具的身份认证结果可以左右互认，从而降低不必要的计算和时间成本。这种架构充分利用了不同层次节点的优势，缓解了对集中式数据中心的算力和带宽依赖，提高了系统容错能力。无论身份认证交易量怎样增长，都可通过扩展分布式节点应对，确保整体性能不退化。同时，边缘离线验证也可大幅减少对网络环境依赖，增强认证的可用性。三者有机配合，可使认证系统兼具高效与稳定可靠的特性，既解决了大规模商业应用的性能需求，也保证了边缘场景的可靠运行。这样的系统可以更好地服务于复杂多变的实际业务需求，促进数字经济的高效发展。

6、结论：安全、便捷、无隐私泄漏
综上所述，建立在“静态网号+动态认证”设计理念之上的国家网络身份认证公共服务，可效解决传统方式的种种痛点。它极大增强了对用户隐私和身份信息的保护，构建了实时动态的认证手段，并采用混合计算架构保证了高效稳定的系统运行。这套系统充分考虑了信息安全、认证便捷性和计算效率三个关键维度，实现了用户、商业和技术实施方的多赢局面。既回应了当下对个人信息隐私保护的迫切需求，也符合数字经济对高效便捷身份验证的要求。因此，充分发挥科技力量，建立一个数据安全、使用便捷、无隐私泄漏的网号体系，是推动经济社会数字化转型的重要基础。这正是数字经济时代赋予我们的历史使命和责任担当。