校长方滨兴院士在北邮大学生eID座谈会上的讲话摘要根据录音整理，2012-10-10大家好，非常高兴能来跟大家做个交流。

我之所以关心eID 这件事情，因为这是科技部重大项目的一部分，我们把其中的试点争取到北邮来了。

试点成功之后，就要在全国各高校推广。

因此，如果我们没有把试点做好、没有做完善，推广到其他学校，又出现各种问题，那会丢北邮的脸的。

你们大家都很辛苦地测试eID的使用，我今天就是要来听一下你们的想法，沟通一下你们的疑虑。

我先说说我的看法吧，我将从四个方面来谈，其中三个方面是将eID的好处，总结起来就是“保密、安全、可信”；另一个就是给大家解惑。

我上个月在大一新生军训结业时专门给他们讲过eID的这三个好处（/content/content.php?p=1_4_1097）。

首先说保密，这是指保护个人的隐私。

我们都知道，韩国曾经立法要求实名上网，原因是网络上的纠纷太多，难以追究责任。

现在他们又在酝酿取消上网实名制，为什么？这是因为他们的实名制是要将个人信息提交给网站，从而由网站来保存公众隐私信息。

由于运营商的安全技术不如黑客高，致使黑客从网站将公众信息盗走。

其根本原因就是因为韩国没有采用eID，因此没有保护用户隐私的措施。

为什么eID就能够保护个人隐私呢？因为eID是通过认证的方法来验证身份，而不是通过提交个人隐私信息的方法来验证身份，因此网站不会获得个人的隐私信息。

个人的隐私信息还是在该在的地方，例如你们的隐私信息在学校的学生数据库里面，外人访问不了；公民的隐私信息在公安部的人口数据库中，外界也访问不到。

当你向网站提交个人的eID身份信息时，网站会将该信息提交给公安或相应的权威部门进行认证，认证通过后会给网站一个回复。

由此，网站不需要保存公民的个人信息。

这样一来，就算是新浪网被黑客攻击了，黑客也拿不到你的个人信息。

目前购机票需要身份证，知道你身份证号码的人就可以查询你的航班行程，从而获得了你的行程信息。

但如果你用eID购买机票，没有eID就不能查询你的航班行程，这就保护了你的个人隐私。

第二个好处是安全。

当你的账号被盗了，你的账号密码被破解了，结果是你再也登录不上去，而黑客反而掌握了你的账号与密码。

就算你去找客服投诉，可客服怎么确定账户是你的呢？现在的火车购票网站，就出现大量的个人身份被抢注的现象。

既然知道身份证就可以注册，如何才能证明你是真的呢？所以我说这不安全。

但是有了eID，用eID登录，立即可以将账户与密码恢复，因为eID可以唯一证明你的身份。

所以说采取eID技术就非常安全，不怕被他人抢注。

比如在新浪网，我用我的eID登录，就可以将所有冒用我的个人身份注册的账号都清除掉，因为抢注者没有我的eID。

第三是可信，你说你这eID丢了那怎么办？我们先说现在的各种个人身份证件，丢失补办后，原来的那个照样可以使用。

就是说，一个人的身份证件同时可以有多个在用，这是因为没有撤消机制的缘故。

但eID有撤销机制，eID丢了，只要尽快补办，丢失的eID就会自动作废，别人拿走也没用。

我们还在研究回溯机制，比如说在你丢失eID期间，其他人用你的eID所干的任何事都可以追溯回来。

当然，理论上别人没有你的eID口令，也无法使用你的eID。

最后就是给大家一个解惑。

有人说为什么一定要我用eID？我就是不想用又能怎么样？我的回答是当然可以。

我们现在是在全校范围内发eID，共两万多个。

你若不喜欢，你别用就是了。

有些人说不就是不想用身份证，那没关系，别坐飞机、别住旅店就是了。

现在也不能坐火车了，甚至洗澡堂要过夜也需要身份证件了。

所以说你可以不用，谁也强迫不了谁。

但也许有一天你会发现，网络上的应用只接受eID注册的时候，那对你来说就会成为禁区，因为你没有eID。

比如说这次新浪微博既可以eID注册，也可以身份证注册。

但阿里云，只接受eID注册。

我们这次的试验是和全国联动的，也就是说我们所发的eID 是全国通用的，尽管打着北邮的徽标，但后面还有国徽。

因为我们发的eID是由公安部门提供的私钥。

换句话说，是国家所认可的。

其实这次的试验是同时在在佛山、新浪网、阿里巴巴、一些城市的网吧同时开展的。

因此我们发的eID是可以在开展了试验的地方使用的。

下面的时间留给同学们，请大家提问题。

问：我们在测试时密码不能输入字母，只能输入数字。

当他输入字母和数字的组合时就失败了。

希望在界面上能给出一个提示。

答：这个问题已经改正了。

假定没有改的话，就算是口令输错了，也可以通过eID来重置口令，这样之前口令就作废。

这正是eID 的最大好处。

问：我还有个问题，我们毕业之后eID如何处理？答：其实是通用的，只是学校在数据库中取消了你的认证信息，而转由国家授权的认证部门来认证你的个人身份。

因为你毕业后，学校不认为你有北邮在校生的身份了，但是作为公民的身份还是存在的，还可以继续使用，因为eID是公安部门统一发的，是全国通用的。

问：我们去网吧注册会员，需要身份证做凭证。

可以通过身份证作为身份识别的，为什么不能在身份证上加密码、还要再有一个eID呢？答：这是二代证的问题，二代证中不包含私钥信息，除非是三代证，但三代证还得经历很长时间才会面市。

问：我的第二个问题是eID丢失怎么补办？像现在身份证丢了，有户口本可以继续使用，如果eID丢了，您说坐飞机坐火车都要用，这期间怎么办？答：首先应该去立即补办，毕竟是电子的，处理起来很快。

如果是临时坐飞机，那就像现在办理临时身份证明一样，办理临时eID。

公安部门可以在网上下载你的信息，他们的权威性帮你重发一个eID应该是容易的。

问：信息社会的将来，eID有逐渐替代身份证的趋势，安全级别应该等同。

如果EID丢失，有什么更高级别的身份证明可以用于补办呢？答：你就到现场补办，公安人员具有识别人的专业技能与权威性。

毕竟仿冒者不敢到公安部门去冒领他人的eID。

他们敢到银行去冒开银行账户，是因为银行人员没有执法权，顶多是拒绝办理。

而如果有人到公安部门去冒领，其结果是可想而知的。

问：eID的应用那么广泛，我们比较担心安全问题，因为它外观上就是一个U盘，eID硬件安全问题如何解决呢？答：这是一个技术层面的问题，涉及到两方面问题。

一个U盘里面的信息是不可能被读出来的，因此很安全；二是在算法方面采取的是非对称密钥加密算法，理论上破解出来需要几十年。

问：任何系统都是有漏洞的，几十年后，随着技术的发展,eID会不会被攻克？答：是的，几十年后如果技术不提高是能够被攻破的，这主要是取决于密码强度。

只要我们不断关注密码算法的发展，并且密码长度要足够长，还是很安全的。

问：网站会不会不认可eID的机制呢？答：这取决于eID是否有好处。

如果大家认可eID能够保护用户隐私，愿意到有eID的地方去使用，那网站也会提供eID机制，否则会失去用户。

问：身份证如果丢失，被他人捡去可以使用。

当捡到eID的人在失主挂失之前随意用，怎么办？答：首先eID是有个自我保护的口令，捡到的人是不应该知道这个口令的。

保护eID的口令如果猜错几次，将会自动作废。

当然，就算猜出来了，eID还有一个追溯机制，可以追溯丢失期间被用于做了些什么。

而身份证如果丢失了，则没法记录。

问：eID始终是基于一个USB接口，接口不太友好，比如手机登录邮箱微博，如果这个接口有所不一致，怎么办？答：今后会开发一个像卡片似的eID，具有多种接口，包括RF 射频接口，USB接口等，甚至还可以有MINI USB接口，可插进手机中。

问：网络技术会发展，比如说我们在学校使用eID 是不是上网期间就必须使用eID呢？使用的系统是否硬性要求；占用电脑的USB接口不便于使用。

答：eID可以仅仅在注册时使用，到了帐户、口令之后就不用了。

当你的账号被别人盗走了，你可以用eID追回。

问：在犯罪时别人可能使用你的银行卡和身份证，eID如何追责答：罪犯用假的身份证是无法追责的。

但是不会有假的eID，所以不应该存在别人用你的eID使用的情况，除非你主动给别人使用。

问：eID卡上有没有保存我们的个人信息。

我在去试的那天，实际上是和我们用的U盾差不多，应该也是要输入PIN码，我想知道PIN码的安全性。

如果这个东西有bug 那么被人利用了以后入侵我们这些个人信息，然后我们的个人电脑和所有人的电脑会不会都被威胁？答：首先eID是不需要保存个人信息的，因为它是要到权威认证部门去认证的，所保存的私钥也不可被读出来。

当你丢了之后，别人需要首先知道你的pin码，所以它就靠次数限制，输错次数多了就会锁死。

另外，就算掌握了eID的pin码，也不会知道个人信息。

因为个人信息都在公安部门或学校，有eID也读不了这些个人信息，只能验证eID代表的是谁。

问：eID将来应用非常广泛，将来它的接口会开放，如果每个人都有这样一个开发接口，那么它会不会泄露一点点信息？eID在进行注册的时候，网站验证是否实名，网站必然会让我输入个人信息，那么是不是任何网站都可以验证这个信息？答：不会的，这完全是密码体系保障的。

你插了eID之后，网站会将你的eID信息提交给认证部门，由认证部门判断你是否时真实的，但认证部门不会像网站提供你的个人信息。

问：开放了这个接口，会不会有人恶意向公安部攻击？答：理论上会。

但一个网站恶意攻击公安部门的认证系统，是不是不太现实？公安部门可以切断与这个网站的联系，不再支持这个网站的认证请求就行了。

问：eID有没有一个防伪技术呢？就是会不会有人去仿造eID卡?答：如果你自己造一个，在认证部门没有对应的公钥是没有意义的。

但你又不可能读出别人的eID的私钥，所以仿造是不可行的。

问：eID会不会对我们的上网进行记录？答：是否会对上网行为记录与eID没有关系，不用eID，网站如果想记录照样记录。

问：用eID会不会像防火墙一样，实名限制了我们的网上使用？答：eID本身并不限制谁，它只是支持实名制而已。

所谓实名制是要大家提供真实身份注册，使用了eID可以保证所提供的确实是真的名字，而不是冒名。

所以不存在是否喜欢eID的问题，而是存在是否喜欢实名制的问题。

现在新浪微博要求实名制，是否限制你的使用与eID没有关系。

事实上不用eID的实名制网站是知道你的身份的，而使用eID注册，网站甚至都不知道你的真实身份，除非你犯了法，公安部门介入了，否则还真没人知道你是谁。

问：别人的系统已经用了很长时间，加上这个eID，其磨合期和技术积累是否测试完备？是否会影响别人系统的使用？答：因为eID仅仅是用在注册环节，所以顶多会注册不成功，不会影响其他功能。

所以eID模块只是在原系统之上进行补充而已。

问：eID有我们的身份，那么作为一个公民的话，在网站上是否能把我们的活动都记录下来？如果我们使用eID上网，那么我们是不是在上网的时候不能去讨论国家的相关信息，因为我们会受到监控？答:你的问题与前面的一样，是否记录你的网络活动与eID本身没有关系。