景 越，李婧璇，劉衛(wèi)衛(wèi)

（中國信息通信研究院，北京 100191）

0 引 言

數(shù)字化服務日益普及、數(shù)字化生產(chǎn)加速演進推動著產(chǎn)業(yè)數(shù)字化的變革與經(jīng)濟社會的發(fā)展方式，數(shù)字身份作為眾多數(shù)字對象在網(wǎng)絡空間中相互映射、交互為分辨彼此所擁有的唯一標記是任何互聯(lián)網(wǎng)活動必不可缺的元素。數(shù)字身份的整體發(fā)展可劃分為中心化身份、聯(lián)邦化身份和自主身份三個階段[1]，對發(fā)展過程各階段的認識和其發(fā)展核心元素的分析是探索未來發(fā)展趨勢的關鍵，也對構建未來人、機、物等多方數(shù)字對象的全面互聯(lián)互通具有重要意義?；诖耍疚膶?shù)字身份發(fā)展的三個階段進行了介紹，對未來可能成為主導的自主身份體系進行了詳細介紹，旨在為未來數(shù)字對象應用以及相關業(yè)務發(fā)展方向提供參考。

1 數(shù)字身份背景介紹

1.1 背景

自20 世紀60 年代阿帕網(wǎng)的出現(xiàn)到80 年代TCP/IP 協(xié)議被廣泛接受，網(wǎng)絡協(xié)議將互聯(lián)網(wǎng)信息之間的交互變得更加標準化，網(wǎng)絡體系結構的完善為網(wǎng)絡硬件、軟件和拓撲提供了標準，真正意義上的互聯(lián)網(wǎng)才逐步成型。然而，IP 協(xié)議所能解決的僅是賦予網(wǎng)絡世界中千萬機器一個標記地址，無法對這些機器的身份進行核驗，以及對操作這個機器的人、物、組織進行驗證。僅使用IP 協(xié)議是無法避免第三方偽裝成用戶的個人電腦或智能設備與外界進行信息交互這種情況發(fā)生的。互聯(lián)網(wǎng)是在沒有身份層的情況下建立的[2]，因其缺少對用戶身份的認證，我們在進行信息交互時無法知道網(wǎng)絡對面真正是誰，這限制了我們的行為方式，同時使很多互聯(lián)網(wǎng)行為變得非常危險。因此，為了讓用戶之間進行更加安全、可信的信息交互，數(shù)字化身份的概念逐漸出現(xiàn)，其發(fā)展模式也在不斷地迭代更新。

1.2 中心化數(shù)字身份模型

最早出現(xiàn)的一種數(shù)字身份解決方案，是典型的日常應用，有公民身份證、護照、微博、微信賬號等。在該類模型下，依托由具有政府背景、社會公信力的組織、機構、企業(yè)等中心化主體集中保管用戶的個人信息，因該類管理機構特殊的社會地位或身份，用戶會選擇將自己的個人信息提供給它們保管。此外，這種集中儲存用戶資料并多次調用使用的方式減少了每次填寫重復的個人信息時所浪費的時間和精力，為用戶創(chuàng)造了非常舒適的使用體驗，該模式一直保持至今，也是互聯(lián)網(wǎng)應用最廣泛使用的一種模式，如圖1 所示。

圖1 中心化模型下用戶與機構的關系

在中心化身份模型下，用戶在互聯(lián)網(wǎng)中的存在完全依賴中心化機構，從另一個角度可以看作是中心化機構為用戶創(chuàng)造出的一個虛擬互聯(lián)網(wǎng)身份，即使該身份由用戶本人所控制，但實際上的所屬權全部屬于機構本身。也就是說，若脫離機構的存在，或者在該機構的數(shù)據(jù)庫中永久刪除用戶身份信息數(shù)據(jù)，那么原則上用戶可以絕對的在互聯(lián)網(wǎng)世界中消失，用戶身份從此將不再存在。因此，是第三方機構為用戶創(chuàng)造了屬于用戶的數(shù)字身份，同時賦予用戶使用該身份的權限，一旦機構受到攻擊，所有用戶身份相關數(shù)據(jù)信息將完全暴露并隨時可能受到迫害。除此之外，由于太多互聯(lián)網(wǎng)企業(yè)采用這種數(shù)字身份管理模式，大量網(wǎng)頁、應用程序的出現(xiàn)導致用戶需要記錄大量的賬戶名和密碼，逐漸降低了用戶使用體驗。

1.3 聯(lián)邦化數(shù)字身份模型

為優(yōu)化用戶體驗，提高數(shù)字身份的安全性，在市場的推動下逐漸演變出一種新的解決方案——聯(lián)邦化數(shù)字身份模型。與中心化模型最大的區(qū)別在于其插入了身份提供者（Identity Provider，IDP）的角色，更方便為用戶創(chuàng)建、維護、管理身份，同時為第三方網(wǎng)絡應用提供身份驗證服務，用戶可以通過一鍵登錄（Single Signon，SSO）的方式來訪問其他受信任的網(wǎng)絡應用提供商，如圖2 所示。

圖2 聯(lián)邦化模型下用戶、IDP、機構的關系

在該模式下，用戶僅需在IDP 注冊一個身份賬戶，IDP 幫助用戶在其服務范圍內授權登錄各種網(wǎng)絡應用，幫助用戶實現(xiàn)一鍵式登錄服務。目前使用的IDP 協(xié)議主要有OAuth2.0、OpenID和SAML 三種[3]，自2015 年以來，大多數(shù)國內外互聯(lián)網(wǎng)企業(yè)都將這種模式作為一項通用標準，例如，國內的騰訊云采用的就是SAML 協(xié)議；國 外 如Facebook、Google、Microsoft、LinkedIn等也早在2010 年開始陸續(xù)接納并采用該類協(xié)議。

IDP 的出現(xiàn)為用戶帶來了便利，這種一鍵式登錄方式也是我們日常使用過程中最為常見的方式，但新的問題也逐漸出現(xiàn)。首先，越來越多的互聯(lián)網(wǎng)企業(yè)都在爭取成為新的IDP，IDP 數(shù)量急劇上升導致聯(lián)邦化模型逐漸退化為最初的中心化模式，用戶仍然面臨擁有太多IDP 賬戶密碼的問題；其次，為給用戶提供一鍵式登錄服務，IDP 需要打通多類網(wǎng)絡應用，該過程中泄露了大量的用戶數(shù)據(jù)，使用戶身份信息暴露在互聯(lián)網(wǎng)中，一些大型互聯(lián)網(wǎng)企業(yè)成為越來越多黑客的主要攻擊目標，一旦用戶丟失其IDP賬戶，可能連帶導致其多個應用程序中的數(shù)據(jù)陷于危險處境，并且賬戶找回工作將非常復雜。由此可見，帶來便利的同時也存在著極大的安全問題，新模型的出現(xiàn)雖然彌補了互聯(lián)網(wǎng)缺少身份層的問題，但并沒有從根本上解決問題，用戶身份所面臨的安全問題仍然存在。

1.4 自主身份模型

自主身份的概念起源于2015 年[1]，模型利用區(qū)塊鏈技術透明度高、隱私性強等特點，綜合加密算法、可驗證聲明以及分布式標識等核心技術顛覆性地改變了數(shù)字身份發(fā)展的路徑。與前兩種模型最大的不同在于，自主數(shù)字身份模型大大降低了用戶對賬戶的依賴，降低了中心化機構對用戶數(shù)據(jù)的掌控，并使該身份信息最大程度上由用戶個人所掌控，如圖3 所示。

圖3 自主身份模型下用戶與用戶直接構成聯(lián)系

當用戶進行信息交互時，雙方需共同“維護”這個連接關系，一旦其中一方掉線則連接即刻斷開，所有的網(wǎng)絡信息交互需要雙方達成共識才能繼續(xù)，理論上任何人與物都可以與另外一側進行點對點交互，從根本上消除對中心化賬戶的需求。此外，用戶將驗證身份的公鑰上傳至區(qū)塊鏈中，公鑰的互換通過加密、私有P2P 連接渠道進行以保證驗證安全性。這種去中心化的數(shù)字身份模型更像是現(xiàn)實世界錢包中的名片，經(jīng)過數(shù)字化并進行數(shù)字簽名加密保障的名片不會在網(wǎng)絡中被多次傳播泄露。

2 自主身份

無論是中心化數(shù)字身份模型還是聯(lián)邦化數(shù)字身份模型，都沒有從根本上解決用戶數(shù)字身份信息易泄露、易丟失等安全方面的問題，其根本原因在于用戶并沒有真正擁有使用數(shù)據(jù)本身的權力或能力。自主身份正是在這種背景下被提出，通過多種技術、參與方以及交互模式的協(xié)作共同嘗試改變目前所暴露出的問題。自主身份體系包含七個關鍵元素：可驗證憑證、可信關系、數(shù)字錢包、數(shù)字代理、分布式標識、區(qū)塊鏈和治理架構[1]。

2.1 可驗證憑證

憑證是任何一個身份體系都不可缺少的元素，是數(shù)據(jù)、標識、申明等信息的載體，常見的憑證有身份證、駕照、銀行卡等。憑證的功能是向對方證實自己的身份并通過憑證上的背書讓對方認可、信任自己的這份證書。例如，身份證因受到公安部門的背書被社會所認可；畢業(yè)證書因受到高校官方的背書，被部分社會機構所認可；平時的工作證因受到單位的背書在單位內部被認可。上述這些憑證都以人為對象，但憑證的對象遠遠不限于此，網(wǎng)頁安全證書就是面向互聯(lián)網(wǎng)網(wǎng)站的一種證書，因受到第三方證書頒發(fā)機構（CA）的權威認證，擁有證書的網(wǎng)站被認為是安全可信的。

無論憑證以何種形式存在，其都包含四類關鍵元素。第一，標識。一串用來標記證書編號的數(shù)字，例如我們的身份證號、學位證書編號、工號等。第二，憑證的元數(shù)據(jù)。描述憑證自身的信息，例如有效期限、頒發(fā)者、所用的加密算法等。第三，申明。所描述對象的信息，例如人的姓名、年齡、性別、網(wǎng)站使用者等。第四，頒發(fā)者的簽名。用來驗證背書機構的數(shù)字簽名，例如頒發(fā)者的蓋章、簽名以及公鑰。

2.2 可信關系

可信關系是憑證在流通過程中的關系網(wǎng)，由發(fā)證方、持證方和驗證方三者組成[1]，如圖4所示。發(fā)證方是憑證的源頭，其賦予憑證真正的意義，常見的發(fā)證方有政府、高校、銀行等，理論上，當一個人擁有足夠的公信力時也可以作為獨立的發(fā)證方。持證方是憑證擁有者，可以擁有多個憑證來證明自己的身份，例如，我們可以通過展示自己的身份證、工作收入等向銀行證實自己的公民身份；食品通過包裝上的說明證明食品安全性；網(wǎng)頁可以通過CA 授權得到的證書向用戶證明該網(wǎng)頁的官方真實性?？梢姡肿C方是一個廣泛的概念，可以是人、物或者組織。驗證方則是對憑證進行核驗的對象，同樣可以是人、物或者機構。例如，銀行通過驗證身份證和收入證明來決定是否給公民授權信用卡；用戶通過查看食品包裝上的標簽決定是否購買該食物；瀏覽器通過檢驗網(wǎng)頁證書來判斷該網(wǎng)頁是否存在風險等。

圖4 發(fā)證方、持證方和驗證方之間的可信關系

2.3 數(shù)字錢包

數(shù)字錢包與物理世界中的錢包功能相似，其擁有統(tǒng)一存放各類憑證、存放公鑰、保護憑證防止被盜、方便用戶使用等功能，同時用戶可以在電子化設備，如手機、個人電腦上控制多個錢包并隨時隨地調用數(shù)字錢包中的各種憑證。數(shù)字錢包大體可分為兩類，第一類為移動終端錢包，廠家將錢包直接與硬件設備系統(tǒng)綁定，在設計終端設備系統(tǒng)軟件的同時就將錢包添加到系統(tǒng)內部，類似目前各種智能手機中的錢包功能，如Apple Pay、Google Pay 等；第二類為加密貨幣錢包，以第三方軟件的形式在各種操作系統(tǒng)中運行，如比特幣、以太幣等加密貨幣錢包[1]。

在自主身份模型下，數(shù)字錢包需要兼?zhèn)涓嗟墓δ堋Ｊ紫?，因為自主身份交互是一種點對點的交互，交互可能發(fā)生在非常復雜多變的應用場景下，因此自主數(shù)字錢包需要兼容各種不同標準、格式以及功能的可驗證憑證。其次，錢包需要在各種不同的操作環(huán)境中實現(xiàn)同步，正如我們可以選擇將物理世界中的錢包裝在衣服上的任意一個口袋中。第三，錢包間需要實現(xiàn)憑證的轉移，用戶可以自由地將憑證從一個錢包中移除，移動到另外一個錢包以滿足不同場景的應用需求。

2.4 數(shù)字代理

數(shù)字代理是開發(fā)、運營、維護數(shù)字錢包的代理商，數(shù)字代理需要保護用戶證書、公鑰安全，保障只有用戶本身才可以對證書進行調用。此外，數(shù)字代理承擔了建立P2P 連接的角色。在接收到用戶的指令后，數(shù)字代理會在網(wǎng)絡中連接對方的數(shù)字代理并搭建交互通道，用戶將通過一種分布式加密的信息交互協(xié)議與對方進行數(shù)字身份驗證、憑證交互等操作，如圖5 所示。

圖5 數(shù)字代理保管用戶數(shù)字錢包并建立P2P 鏈接

2.5 分布式標識

分布式標識（Decentralized Identifier，DID）與區(qū)塊鏈中的公鑰地址功能相似，依靠分布式標識可以識別網(wǎng)絡中成千上萬的可驗證憑證。DID 是一串統(tǒng)一資源標識符（Uniform Resource Identifier，URI），但融合了區(qū)塊鏈和數(shù)字加密技術，使得其擁有以下四個特點[1]。第一，永久存在性。一個DID 被創(chuàng)造后將永久存在，不會伴隨其標記對象的變化而變化，由于DID 是通過加密算法、編碼算法等多個隨機函數(shù)得到，保障了其在整個網(wǎng)絡中的唯一性。第二，可解性。DID 可以被解析成為一份DID 文檔，文檔包含擁有者的公鑰地址等元數(shù)據(jù)。第三，加密可驗證性。DID 的擁有者可以利用私鑰證明自己擁有該DID，以此來自主地證明身份。第四，分布式。DID 與DID 文檔將存放在分布式系統(tǒng)中，例如區(qū)塊鏈、分布式哈希賬本、P2P 網(wǎng)絡中，以此來避免中心化機構對其的掌控，如圖6 所示。

圖6 分布式標識與公私鑰對關系

2.6 區(qū)塊鏈或可驗證數(shù)據(jù)庫

自主身份體系的核心特點是用戶的數(shù)字身份不受任何中心化機構管理，因此以區(qū)塊鏈為代表的分布式儲存方式是最佳的解決方案，其承擔了儲存用戶DID、DID 文檔以及公鑰的作用。在數(shù)字代理幫助用戶建立P2P 加密連接之前，會先利用DID 文檔中的數(shù)字簽名來驗證用戶身份，驗證通過以后才會建立連接。所有的標識、簽名信息都需要借助區(qū)塊鏈完成，任意用戶之間加密通道的建立也需要區(qū)塊鏈為其提供保障，可見區(qū)塊鏈等技術是該身份模型中重要的基礎設施。

2.7 治理體系架構

自主身份體系的構建并不僅在技術層面，正如2.2 節(jié)中提到的可信關系，可信的背后實際上是社會中各種參與主體之間的信任，即驗證方對發(fā)證方的信任。據(jù)估算，全球共有3000 多家CA 機構去認證各種網(wǎng)頁并頒發(fā)證書，但如此大量的CA 其本身公信力或社會對其的認可程度有待考驗，目前這種可信關系的建立主要依靠政府、大型企業(yè)的背書，但在去中心化的模型下，理論上任何人、物都可以成為一個獨立的CA 來證明自己的身份，因此，如何建立一套可以讓每個用戶為自己身份背書的治理方案也是推廣自主身份所面臨的最大困難之一。

3 結 語

數(shù)字身份作為任何互聯(lián)網(wǎng)活動最基礎、最重要的一個環(huán)節(jié)，其發(fā)展緩慢的主要原因還是社會對其重視程度不夠，即使各種技術方案都在彌補因互聯(lián)網(wǎng)協(xié)議缺少身份層的問題，但種種跡象表明這種依靠彌補漏洞解決問題的方法隨時可能失效。伴隨著網(wǎng)民數(shù)量的急劇上升，潛在的安全風險將會增加，據(jù)美國網(wǎng)絡運營商Verizon 統(tǒng)計，有63%的網(wǎng)絡入侵行為是由用戶密碼泄露所造成的[4]；預計2021 年，因網(wǎng)絡犯罪活動所造成的損失將達到6 萬億美元[5]。為此，我國應抓住這一發(fā)展過程中的關鍵時間點，從保障我國網(wǎng)民及國家安全的角度入手，提升對數(shù)字身份的重視程度，加速對區(qū)塊鏈技術、分布式標識技術與自主身份體系的研究與投入。從政策引導、技術研究、產(chǎn)業(yè)培育到生態(tài)建設等方面，融合各方力量共同探索未來數(shù)字身份的發(fā)展路徑并開辟新的市場。