NO.62 | 2019.12.31
banner
title開花結果 友善列印>>
數位身分識別的發展趨勢-行動身分認證_應用服務組 洪醇憶副管理師

  數位身分識別係為於數位世界中證明身分,是一種以電子化方式存取可辨識個體之屬性與憑證、使任何人皆可參與數位經濟的解決方案。
 

圖1:數位識別應用
(圖片來源:World Economic Forum[1]

  不同形式之數位身分認證對應不同的安全等級。ISO/IEC 29115和eIDAS之數位身分信任等級,定義了不同驗證方式的可信程度(Level of Assurance, LoA)。LoA評等取決於識別方式,LoA等級越高,則風險越低;可信等級越高、首次身分註冊程序亦越嚴謹。行之多年且被廣泛使用的自主驗證之數位身分(如用戶於社群網站、搜尋網站自創之帳號密碼)已被評估為可信等級過低,手機App+生物辨識則符合「實質可信」(LoA3)驗證程度。數位服務日益多元,其安全等級需求也各有不同。在各種數位身分識別形式中,行動身分認證可依服務提供者需求提供LoA2~LoA4之認證,在安全級別和應用規模上皆較數位身分證更為彈性。以下淺談行動身分認證之技術、市場及相關應用。
 

圖2:ISO 29115可信安全等級
(圖片來源:World Bank, GSMA & SIA[2]
  • 行動身分認證技術
  1. 技術架構
  行動身分認證係由電信服務業者提供身分認證,行動用戶透過行動網路、以行動電話號碼或行動設備驗證身分。行動用戶無須於不同數位服務中重複輸入相關資料,亦可免個人資料儲存於服務網站之暴露和誤用風險。
 

圖3:行動身分認證流程
(圖片來源:本中心製作)
  
  GSMA於2014年MWC發表行動身分認證計畫Mobile Connect[3],以OpenID Connect和OAuth 2.0為基礎,將電信業者視為可信任之身分提供者,以行動門號作為身分認證之工具。Open ID的概念為透過用戶於第三方(如搜尋網站、社群網站或電信公司)已登記之單一帳號密碼登入不同線上服務,由第三方進行用戶身分驗證,節省身分認證機制的建置成本,用戶亦可免去建立多組帳號密碼和重複輸入的程序。而在OAuth概念下,用戶可授權服務方網站有限地存取用戶資料,使網站及手機 App間接連結電信業者資料庫以確認用戶身分,並同時保障用戶端的個資安全[4][5]
  1. 用戶端操作流程
  行動身分認證使用者僅須輸入行動電話號碼即可登入服務,不必再記憶多組帳號密碼。經行動身分認證平臺驗證電信身分後,透過發送簡訊(傳送驗證碼或URL)、App、生物識別或SIM卡內嵌程式進行身分之真實和有效性驗證。
 

圖4:使用者操作流程
(圖片來源:本中心製作)
  • 行動身分認證之應用
  1. 市場趨勢
  2018年全球SIM(Subscriber Identity Module)卡連結數已達79億,滲透率103%。行動身分認證之互動操作技術日益精進,易於上手,且接入性高。隨行動服務普及、行動用戶成長,行動身分認證為數位身分識別之重要趨勢。SIM卡可確認身分有效性、以安全的機制接取行動網路,不僅可應用在人(個人行動裝置),亦可應用於物(機器或設備)。Juniper研究預測,至2024年,數位身分識別App數量將達6億(複合成長率67%)、生物辨識應用逾5億,而以行動號碼進行單一身分登入(Single Sign-In, SSO)之應用可達17億。[6]製卡商金雅拓(Gemalto)認為數位身分識別之未來將由行動通訊所主導[7],全球移動通訊系統協會(Groupe Speciale Mobile Association, GSMA)國際電信聯合會(International Telecommunication Union, ITU)和世界銀行(World Bank)皆認為行動身分識別將成為未來推動數位身分識別普及化的重要解決方案。
  1. 國內外應用與發展
  行動身分認證可由政府(如愛沙尼亞之Mobiil-ID[8])或民間(如美國之Zenkey)主導;目前除了日本,各國行動身分認證皆以跨電信業者方式提供相關應用服務。如圖5所示,各國行動身分認證多採OpenID技術標準,其應用範疇以電子商務、生活娛樂、金融等商業應用為主。愛沙尼亞和芬蘭之行動身分認證採具備公開金鑰基礎建設(Public Key Infrastructure, PKI)之SIM卡認證形式,在商業應用之外,亦可用於政府服務。

  愛沙尼亞之行動身分認證Mobiil-ID應用相當成熟,在2019年愛沙尼亞歐洲議會選舉中,30%的線上投票(I-Voting)是透過Mobiil-ID進行。Mobiil-ID最初由電信商發起,政府於2011年納入數位政府(e-Estonia)服務。Mobiil-ID應用涵蓋政府行政服務(稅務申報、訴訟申請、投票、數位醫療/處方、公司註冊等)、教育、金融(目前共11家銀行採用Mobiil-ID行動認證)、保險和電子商務等服務。芬蘭之行動身分認證Finnish Mobile Certificate[9]可支援包含政府、金融保險、健康照護、法定交易(Regulatory Transaction)、線上購物等逾兩萬種服務。
 

圖5:各國行動身分認證比較
(圖片來源:本中心製作)
 
  我國申請行動門號時須檢附雙證供身分查核,可確保行動身分認證之安全等級。國內現行之行動身分認證有臺灣網路認證推行之TWID行動身分認證平臺和中華電信「我的號碼」,主要應用於政府服務和金融領域。

  TWID於2016年正式啟動,為不同網路平臺服務提供身分識別需求;2018年11月底正式與與五大電信合作,推出行動身分認證服務[10],行動用戶可使用行動門號直接於手機上完成實名認證。目前TWID主要應用包含政府服務、金融/保險(玉山銀行e指購、新光人壽網路保戶服務)和物流(EZ Way易利委)等。以衛福部之「全民健保行動快易通」App為例,過去須以自然人憑證或健保卡註冊,現在透過TWID,則可直接以手機號碼進行認證。凡本國籍、4G月租型行動門號用戶即可使用行動身分實名認證服務,於「全民健保行動快易通」查詢中西醫、牙科門診之就醫、用藥、住院、過敏、檢驗資料及影像、器捐/安寧緩和醫療意願、及保費繳納明細。TWID對服務提供者依認證次數收費,用戶無須支付額外費用。

  中華電信依遁GSMA定義之Mobile Connect規範,自行研發「我的號碼」[11]行動身分認證。2018年中華電信與凱基銀行進行「運用電信行動身分認證辦理普惠金融業務金融科技創新實驗」案,持有中華電信門號六個月以上且皆正常繳費者,就可以行動門號及過往電信費繳費記錄辦理線上核貸及信用卡申請[12],此實驗案為國內首例以電信資訊作為強化信用評等依據之應用。
 

圖6:「全民健保行動快易通」認證流程
(圖片來源:本中心製作)
  • 結論
  根據McKinsey Digital[13],數位身分識別的關鍵要素包含:普遍性、包容性、安全性、個人資料保護,及政府政策之保障。行動身分認證以隨身行動裝置作為個人身分識別,操作簡便,具備普遍性及包容性;其認證流程經用戶授權,可保護個人資料,而不同的App存放區域和認證方式則可區分安全等級。有關政府政策之保障,則需個人資料保護和資料取用之相關規範並進,建立完善的數位身分認證機制。

  數位身分識別之推動須將法規和管理機制、身分認證平臺之介面標準、和商業模式等納入綜合評估規劃。我國現行個資法在嚴格限制資料利用之方式,民眾亦無足夠之資料控制權。而在數位身分認證的電子簽章法部分,則欠缺如歐盟eIDAS之認證等級、互通性、效力等規範。國內提供跨電信業者認證的服務平臺TWID係採用其自行開發之技術架構,介接之應用主要為政府(健保局、台北卡)、金融、保險等服務,尚未擴及其他電子商務之應用。目前國內之行動身分認證多採用SMS及OTP認證,以行動門號作為身分驗證之應用仍有限。欲推動數位身分認證,應再審視既有平臺技術、用戶操作方式、服務提供者之接入門檻、和政府政策保障等,提供具開放性且易接入之平臺,進而致力於普及推廣。在資料管理和相關規範制定之外,針對使用者需求規劃數位服務、並將使用者所需適應的變化降到最低,方能有利數位身分認證之推展。


[1] World Economic Forum, Identity in a Digital World A new chapter in the social contract, 2018.
[2] World Bank, GSMA & SIA, Digital Identity: Towards Shared Principles for Public and Private Sector Cooperation, p21, 2016.
[3] GSMA Mobile Connect Launched by 17 Mobile Operators in 13 Countries, 2015. https://www.gsma.com/newsroom/press-release/gsma-mobile-connect-launched-by-17-mobile-operators-in-13-countries/
[4] Mobile Connect Developers, OpenID Connect, 2019. https://developer.mobileconnect.io/openid-connect
[5] OpenID , OpenID Connect FAQ and Q&As, 2019. https://openid.net/connect/faq/
[6] Juniper Research, Digital Identity, 2019.
[7] Gemalto, Digital identity trends-5 forces that are shaping 2020, 2019. https://www.gemalto.com/govt/identity/digital-identity-services/trends
[8] 愛沙尼亞語,意即Mobile ID。
[9] 芬蘭語:Mobiliivarmenne。
[10] iThome,TWID身分識別中心與五大電信聯手讓手機就是你的電子身分證,2018。
https://www.ithome.com.tw/news/127333
[12] 中時電子報,金融監理沙盒 凱基銀搶頭香,2018。https://www.chinatimes.com/newspapers/20180919000474-260202?chdtv