自主身份理念與關(guān)鍵要素分析*

景 越，李婧璇，劉衛(wèi)衛(wèi)

（中國(guó)信息通信研究院，北京 100191）

0 引 言

數(shù)字化服務(wù)日益普及、數(shù)字化生產(chǎn)加速演進(jìn)推動(dòng)著產(chǎn)業(yè)數(shù)字化的變革與經(jīng)濟(jì)社會(huì)的發(fā)展方式，數(shù)字身份作為眾多數(shù)字對(duì)象在網(wǎng)絡(luò)空間中相互映射、交互為分辨彼此所擁有的唯一標(biāo)記是任何互聯(lián)網(wǎng)活動(dòng)必不可缺的元素。數(shù)字身份的整體發(fā)展可劃分為中心化身份、聯(lián)邦化身份和自主身份三個(gè)階段[1]，對(duì)發(fā)展過(guò)程各階段的認(rèn)識(shí)和其發(fā)展核心元素的分析是探索未來(lái)發(fā)展趨勢(shì)的關(guān)鍵，也對(duì)構(gòu)建未來(lái)人、機(jī)、物等多方數(shù)字對(duì)象的全面互聯(lián)互通具有重要意義?；诖耍疚膶?duì)數(shù)字身份發(fā)展的三個(gè)階段進(jìn)行了介紹，對(duì)未來(lái)可能成為主導(dǎo)的自主身份體系進(jìn)行了詳細(xì)介紹，旨在為未來(lái)數(shù)字對(duì)象應(yīng)用以及相關(guān)業(yè)務(wù)發(fā)展方向提供參考。

1 數(shù)字身份背景介紹

1.1 背景

自20 世紀(jì)60 年代阿帕網(wǎng)的出現(xiàn)到80 年代TCP/IP 協(xié)議被廣泛接受，網(wǎng)絡(luò)協(xié)議將互聯(lián)網(wǎng)信息之間的交互變得更加標(biāo)準(zhǔn)化，網(wǎng)絡(luò)體系結(jié)構(gòu)的完善為網(wǎng)絡(luò)硬件、軟件和拓?fù)涮峁┝藰?biāo)準(zhǔn)，真正意義上的互聯(lián)網(wǎng)才逐步成型。然而，IP 協(xié)議所能解決的僅是賦予網(wǎng)絡(luò)世界中千萬(wàn)機(jī)器一個(gè)標(biāo)記地址，無(wú)法對(duì)這些機(jī)器的身份進(jìn)行核驗(yàn)，以及對(duì)操作這個(gè)機(jī)器的人、物、組織進(jìn)行驗(yàn)證。僅使用IP 協(xié)議是無(wú)法避免第三方偽裝成用戶的個(gè)人電腦或智能設(shè)備與外界進(jìn)行信息交互這種情況發(fā)生的?；ヂ?lián)網(wǎng)是在沒(méi)有身份層的情況下建立的[2]，因其缺少對(duì)用戶身份的認(rèn)證，我們?cè)谶M(jìn)行信息交互時(shí)無(wú)法知道網(wǎng)絡(luò)對(duì)面真正是誰(shuí)，這限制了我們的行為方式，同時(shí)使很多互聯(lián)網(wǎng)行為變得非常危險(xiǎn)。因此，為了讓用戶之間進(jìn)行更加安全、可信的信息交互，數(shù)字化身份的概念逐漸出現(xiàn)，其發(fā)展模式也在不斷地迭代更新。

1.2 中心化數(shù)字身份模型

最早出現(xiàn)的一種數(shù)字身份解決方案，是典型的日常應(yīng)用，有公民身份證、護(hù)照、微博、微信賬號(hào)等。在該類模型下，依托由具有政府背景、社會(huì)公信力的組織、機(jī)構(gòu)、企業(yè)等中心化主體集中保管用戶的個(gè)人信息，因該類管理機(jī)構(gòu)特殊的社會(huì)地位或身份，用戶會(huì)選擇將自己的個(gè)人信息提供給它們保管。此外，這種集中儲(chǔ)存用戶資料并多次調(diào)用使用的方式減少了每次填寫(xiě)重復(fù)的個(gè)人信息時(shí)所浪費(fèi)的時(shí)間和精力，為用戶創(chuàng)造了非常舒適的使用體驗(yàn)，該模式一直保持至今，也是互聯(lián)網(wǎng)應(yīng)用最廣泛使用的一種模式，如圖1 所示。

圖1 中心化模型下用戶與機(jī)構(gòu)的關(guān)系

在中心化身份模型下，用戶在互聯(lián)網(wǎng)中的存在完全依賴中心化機(jī)構(gòu)，從另一個(gè)角度可以看作是中心化機(jī)構(gòu)為用戶創(chuàng)造出的一個(gè)虛擬互聯(lián)網(wǎng)身份，即使該身份由用戶本人所控制，但實(shí)際上的所屬權(quán)全部屬于機(jī)構(gòu)本身。也就是說(shuō)，若脫離機(jī)構(gòu)的存在，或者在該機(jī)構(gòu)的數(shù)據(jù)庫(kù)中永久刪除用戶身份信息數(shù)據(jù)，那么原則上用戶可以絕對(duì)的在互聯(lián)網(wǎng)世界中消失，用戶身份從此將不再存在。因此，是第三方機(jī)構(gòu)為用戶創(chuàng)造了屬于用戶的數(shù)字身份，同時(shí)賦予用戶使用該身份的權(quán)限，一旦機(jī)構(gòu)受到攻擊，所有用戶身份相關(guān)數(shù)據(jù)信息將完全暴露并隨時(shí)可能受到迫害。除此之外，由于太多互聯(lián)網(wǎng)企業(yè)采用這種數(shù)字身份管理模式，大量網(wǎng)頁(yè)、應(yīng)用程序的出現(xiàn)導(dǎo)致用戶需要記錄大量的賬戶名和密碼，逐漸降低了用戶使用體驗(yàn)。

1.3 聯(lián)邦化數(shù)字身份模型

為優(yōu)化用戶體驗(yàn)，提高數(shù)字身份的安全性，在市場(chǎng)的推動(dòng)下逐漸演變出一種新的解決方案——聯(lián)邦化數(shù)字身份模型。與中心化模型最大的區(qū)別在于其插入了身份提供者（Identity Provider，IDP）的角色，更方便為用戶創(chuàng)建、維護(hù)、管理身份，同時(shí)為第三方網(wǎng)絡(luò)應(yīng)用提供身份驗(yàn)證服務(wù)，用戶可以通過(guò)一鍵登錄（Single Signon，SSO）的方式來(lái)訪問(wèn)其他受信任的網(wǎng)絡(luò)應(yīng)用提供商，如圖2 所示。

圖2 聯(lián)邦化模型下用戶、IDP、機(jī)構(gòu)的關(guān)系

在該模式下，用戶僅需在IDP 注冊(cè)一個(gè)身份賬戶，IDP 幫助用戶在其服務(wù)范圍內(nèi)授權(quán)登錄各種網(wǎng)絡(luò)應(yīng)用，幫助用戶實(shí)現(xiàn)一鍵式登錄服務(wù)。目前使用的IDP 協(xié)議主要有OAuth2.0、OpenID和SAML 三種[3]，自2015 年以來(lái)，大多數(shù)國(guó)內(nèi)外互聯(lián)網(wǎng)企業(yè)都將這種模式作為一項(xiàng)通用標(biāo)準(zhǔn)，例如，國(guó)內(nèi)的騰訊云采用的就是SAML 協(xié)議；國(guó) 外 如Facebook、Google、Microsoft、LinkedIn等也早在2010 年開(kāi)始陸續(xù)接納并采用該類協(xié)議。

IDP 的出現(xiàn)為用戶帶來(lái)了便利，這種一鍵式登錄方式也是我們?nèi)粘Ｊ褂眠^(guò)程中最為常見(jiàn)的方式，但新的問(wèn)題也逐漸出現(xiàn)。首先，越來(lái)越多的互聯(lián)網(wǎng)企業(yè)都在爭(zhēng)取成為新的IDP，IDP 數(shù)量急劇上升導(dǎo)致聯(lián)邦化模型逐漸退化為最初的中心化模式，用戶仍然面臨擁有太多IDP 賬戶密碼的問(wèn)題；其次，為給用戶提供一鍵式登錄服務(wù)，IDP 需要打通多類網(wǎng)絡(luò)應(yīng)用，該過(guò)程中泄露了大量的用戶數(shù)據(jù)，使用戶身份信息暴露在互聯(lián)網(wǎng)中，一些大型互聯(lián)網(wǎng)企業(yè)成為越來(lái)越多黑客的主要攻擊目標(biāo)，一旦用戶丟失其IDP賬戶，可能連帶導(dǎo)致其多個(gè)應(yīng)用程序中的數(shù)據(jù)陷于危險(xiǎn)處境，并且賬戶找回工作將非常復(fù)雜。由此可見(jiàn)，帶來(lái)便利的同時(shí)也存在著極大的安全問(wèn)題，新模型的出現(xiàn)雖然彌補(bǔ)了互聯(lián)網(wǎng)缺少身份層的問(wèn)題，但并沒(méi)有從根本上解決問(wèn)題，用戶身份所面臨的安全問(wèn)題仍然存在。

1.4 自主身份模型

自主身份的概念起源于2015 年[1]，模型利用區(qū)塊鏈技術(shù)透明度高、隱私性強(qiáng)等特點(diǎn)，綜合加密算法、可驗(yàn)證聲明以及分布式標(biāo)識(shí)等核心技術(shù)顛覆性地改變了數(shù)字身份發(fā)展的路徑。與前兩種模型最大的不同在于，自主數(shù)字身份模型大大降低了用戶對(duì)賬戶的依賴，降低了中心化機(jī)構(gòu)對(duì)用戶數(shù)據(jù)的掌控，并使該身份信息最大程度上由用戶個(gè)人所掌控，如圖3 所示。

圖3 自主身份模型下用戶與用戶直接構(gòu)成聯(lián)系

當(dāng)用戶進(jìn)行信息交互時(shí)，雙方需共同“維護(hù)”這個(gè)連接關(guān)系，一旦其中一方掉線則連接即刻斷開(kāi)，所有的網(wǎng)絡(luò)信息交互需要雙方達(dá)成共識(shí)才能繼續(xù)，理論上任何人與物都可以與另外一側(cè)進(jìn)行點(diǎn)對(duì)點(diǎn)交互，從根本上消除對(duì)中心化賬戶的需求。此外，用戶將驗(yàn)證身份的公鑰上傳至區(qū)塊鏈中，公鑰的互換通過(guò)加密、私有P2P 連接渠道進(jìn)行以保證驗(yàn)證安全性。這種去中心化的數(shù)字身份模型更像是現(xiàn)實(shí)世界錢包中的名片，經(jīng)過(guò)數(shù)字化并進(jìn)行數(shù)字簽名加密保障的名片不會(huì)在網(wǎng)絡(luò)中被多次傳播泄露。

2 自主身份

無(wú)論是中心化數(shù)字身份模型還是聯(lián)邦化數(shù)字身份模型，都沒(méi)有從根本上解決用戶數(shù)字身份信息易泄露、易丟失等安全方面的問(wèn)題，其根本原因在于用戶并沒(méi)有真正擁有使用數(shù)據(jù)本身的權(quán)力或能力。自主身份正是在這種背景下被提出，通過(guò)多種技術(shù)、參與方以及交互模式的協(xié)作共同嘗試改變目前所暴露出的問(wèn)題。自主身份體系包含七個(gè)關(guān)鍵元素：可驗(yàn)證憑證、可信關(guān)系、數(shù)字錢包、數(shù)字代理、分布式標(biāo)識(shí)、區(qū)塊鏈和治理架構(gòu)[1]。

2.1 可驗(yàn)證憑證

憑證是任何一個(gè)身份體系都不可缺少的元素，是數(shù)據(jù)、標(biāo)識(shí)、申明等信息的載體，常見(jiàn)的憑證有身份證、駕照、銀行卡等。憑證的功能是向?qū)Ψ阶C實(shí)自己的身份并通過(guò)憑證上的背書(shū)讓對(duì)方認(rèn)可、信任自己的這份證書(shū)。例如，身份證因受到公安部門的背書(shū)被社會(huì)所認(rèn)可；畢業(yè)證書(shū)因受到高校官方的背書(shū)，被部分社會(huì)機(jī)構(gòu)所認(rèn)可；平時(shí)的工作證因受到單位的背書(shū)在單位內(nèi)部被認(rèn)可。上述這些憑證都以人為對(duì)象，但憑證的對(duì)象遠(yuǎn)遠(yuǎn)不限于此，網(wǎng)頁(yè)安全證書(shū)就是面向互聯(lián)網(wǎng)網(wǎng)站的一種證書(shū)，因受到第三方證書(shū)頒發(fā)機(jī)構(gòu)（CA）的權(quán)威認(rèn)證，擁有證書(shū)的網(wǎng)站被認(rèn)為是安全可信的。

無(wú)論憑證以何種形式存在，其都包含四類關(guān)鍵元素。第一，標(biāo)識(shí)。一串用來(lái)標(biāo)記證書(shū)編號(hào)的數(shù)字，例如我們的身份證號(hào)、學(xué)位證書(shū)編號(hào)、工號(hào)等。第二，憑證的元數(shù)據(jù)。描述憑證自身的信息，例如有效期限、頒發(fā)者、所用的加密算法等。第三，申明。所描述對(duì)象的信息，例如人的姓名、年齡、性別、網(wǎng)站使用者等。第四，頒發(fā)者的簽名。用來(lái)驗(yàn)證背書(shū)機(jī)構(gòu)的數(shù)字簽名，例如頒發(fā)者的蓋章、簽名以及公鑰。

2.2 可信關(guān)系

可信關(guān)系是憑證在流通過(guò)程中的關(guān)系網(wǎng)，由發(fā)證方、持證方和驗(yàn)證方三者組成[1]，如圖4所示。發(fā)證方是憑證的源頭，其賦予憑證真正的意義，常見(jiàn)的發(fā)證方有政府、高校、銀行等，理論上，當(dāng)一個(gè)人擁有足夠的公信力時(shí)也可以作為獨(dú)立的發(fā)證方。持證方是憑證擁有者，可以擁有多個(gè)憑證來(lái)證明自己的身份，例如，我們可以通過(guò)展示自己的身份證、工作收入等向銀行證實(shí)自己的公民身份；食品通過(guò)包裝上的說(shuō)明證明食品安全性；網(wǎng)頁(yè)可以通過(guò)CA 授權(quán)得到的證書(shū)向用戶證明該網(wǎng)頁(yè)的官方真實(shí)性?？梢?jiàn)，持證方是一個(gè)廣泛的概念，可以是人、物或者組織。驗(yàn)證方則是對(duì)憑證進(jìn)行核驗(yàn)的對(duì)象，同樣可以是人、物或者機(jī)構(gòu)。例如，銀行通過(guò)驗(yàn)證身份證和收入證明來(lái)決定是否給公民授權(quán)信用卡；用戶通過(guò)查看食品包裝上的標(biāo)簽決定是否購(gòu)買該食物；瀏覽器通過(guò)檢驗(yàn)網(wǎng)頁(yè)證書(shū)來(lái)判斷該網(wǎng)頁(yè)是否存在風(fēng)險(xiǎn)等。

圖4 發(fā)證方、持證方和驗(yàn)證方之間的可信關(guān)系

2.3 數(shù)字錢包

數(shù)字錢包與物理世界中的錢包功能相似，其擁有統(tǒng)一存放各類憑證、存放公鑰、保護(hù)憑證防止被盜、方便用戶使用等功能，同時(shí)用戶可以在電子化設(shè)備，如手機(jī)、個(gè)人電腦上控制多個(gè)錢包并隨時(shí)隨地調(diào)用數(shù)字錢包中的各種憑證。數(shù)字錢包大體可分為兩類，第一類為移動(dòng)終端錢包，廠家將錢包直接與硬件設(shè)備系統(tǒng)綁定，在設(shè)計(jì)終端設(shè)備系統(tǒng)軟件的同時(shí)就將錢包添加到系統(tǒng)內(nèi)部，類似目前各種智能手機(jī)中的錢包功能，如Apple Pay、Google Pay 等；第二類為加密貨幣錢包，以第三方軟件的形式在各種操作系統(tǒng)中運(yùn)行，如比特幣、以太幣等加密貨幣錢包[1]。

在自主身份模型下，數(shù)字錢包需要兼?zhèn)涓嗟墓δ?。首先，因?yàn)樽灾魃矸萁换ナ且环N點(diǎn)對(duì)點(diǎn)的交互，交互可能發(fā)生在非常復(fù)雜多變的應(yīng)用場(chǎng)景下，因此自主數(shù)字錢包需要兼容各種不同標(biāo)準(zhǔn)、格式以及功能的可驗(yàn)證憑證。其次，錢包需要在各種不同的操作環(huán)境中實(shí)現(xiàn)同步，正如我們可以選擇將物理世界中的錢包裝在衣服上的任意一個(gè)口袋中。第三，錢包間需要實(shí)現(xiàn)憑證的轉(zhuǎn)移，用戶可以自由地將憑證從一個(gè)錢包中移除，移動(dòng)到另外一個(gè)錢包以滿足不同場(chǎng)景的應(yīng)用需求。

2.4 數(shù)字代理

數(shù)字代理是開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)數(shù)字錢包的代理商，數(shù)字代理需要保護(hù)用戶證書(shū)、公鑰安全，保障只有用戶本身才可以對(duì)證書(shū)進(jìn)行調(diào)用。此外，數(shù)字代理承擔(dān)了建立P2P 連接的角色。在接收到用戶的指令后，數(shù)字代理會(huì)在網(wǎng)絡(luò)中連接對(duì)方的數(shù)字代理并搭建交互通道，用戶將通過(guò)一種分布式加密的信息交互協(xié)議與對(duì)方進(jìn)行數(shù)字身份驗(yàn)證、憑證交互等操作，如圖5 所示。

圖5 數(shù)字代理保管用戶數(shù)字錢包并建立P2P 鏈接

2.5 分布式標(biāo)識(shí)

分布式標(biāo)識(shí)（Decentralized Identifier，DID）與區(qū)塊鏈中的公鑰地址功能相似，依靠分布式標(biāo)識(shí)可以識(shí)別網(wǎng)絡(luò)中成千上萬(wàn)的可驗(yàn)證憑證。DID 是一串統(tǒng)一資源標(biāo)識(shí)符（Uniform Resource Identifier，URI），但融合了區(qū)塊鏈和數(shù)字加密技術(shù)，使得其擁有以下四個(gè)特點(diǎn)[1]。第一，永久存在性。一個(gè)DID 被創(chuàng)造后將永久存在，不會(huì)伴隨其標(biāo)記對(duì)象的變化而變化，由于DID 是通過(guò)加密算法、編碼算法等多個(gè)隨機(jī)函數(shù)得到，保障了其在整個(gè)網(wǎng)絡(luò)中的唯一性。第二，可解性。DID 可以被解析成為一份DID 文檔，文檔包含擁有者的公鑰地址等元數(shù)據(jù)。第三，加密可驗(yàn)證性。DID 的擁有者可以利用私鑰證明自己擁有該DID，以此來(lái)自主地證明身份。第四，分布式。DID 與DID 文檔將存放在分布式系統(tǒng)中，例如區(qū)塊鏈、分布式哈希賬本、P2P 網(wǎng)絡(luò)中，以此來(lái)避免中心化機(jī)構(gòu)對(duì)其的掌控，如圖6 所示。

圖6 分布式標(biāo)識(shí)與公私鑰對(duì)關(guān)系

2.6 區(qū)塊鏈或可驗(yàn)證數(shù)據(jù)庫(kù)

自主身份體系的核心特點(diǎn)是用戶的數(shù)字身份不受任何中心化機(jī)構(gòu)管理，因此以區(qū)塊鏈為代表的分布式儲(chǔ)存方式是最佳的解決方案，其承擔(dān)了儲(chǔ)存用戶DID、DID 文檔以及公鑰的作用。在數(shù)字代理幫助用戶建立P2P 加密連接之前，會(huì)先利用DID 文檔中的數(shù)字簽名來(lái)驗(yàn)證用戶身份，驗(yàn)證通過(guò)以后才會(huì)建立連接。所有的標(biāo)識(shí)、簽名信息都需要借助區(qū)塊鏈完成，任意用戶之間加密通道的建立也需要區(qū)塊鏈為其提供保障，可見(jiàn)區(qū)塊鏈等技術(shù)是該身份模型中重要的基礎(chǔ)設(shè)施。

2.7 治理體系架構(gòu)

自主身份體系的構(gòu)建并不僅在技術(shù)層面，正如2.2 節(jié)中提到的可信關(guān)系，可信的背后實(shí)際上是社會(huì)中各種參與主體之間的信任，即驗(yàn)證方對(duì)發(fā)證方的信任。據(jù)估算，全球共有3000 多家CA 機(jī)構(gòu)去認(rèn)證各種網(wǎng)頁(yè)并頒發(fā)證書(shū)，但如此大量的CA 其本身公信力或社會(huì)對(duì)其的認(rèn)可程度有待考驗(yàn)，目前這種可信關(guān)系的建立主要依靠政府、大型企業(yè)的背書(shū)，但在去中心化的模型下，理論上任何人、物都可以成為一個(gè)獨(dú)立的CA 來(lái)證明自己的身份，因此，如何建立一套可以讓每個(gè)用戶為自己身份背書(shū)的治理方案也是推廣自主身份所面臨的最大困難之一。

3 結(jié) 語(yǔ)

數(shù)字身份作為任何互聯(lián)網(wǎng)活動(dòng)最基礎(chǔ)、最重要的一個(gè)環(huán)節(jié)，其發(fā)展緩慢的主要原因還是社會(huì)對(duì)其重視程度不夠，即使各種技術(shù)方案都在彌補(bǔ)因互聯(lián)網(wǎng)協(xié)議缺少身份層的問(wèn)題，但種種跡象表明這種依靠彌補(bǔ)漏洞解決問(wèn)題的方法隨時(shí)可能失效。伴隨著網(wǎng)民數(shù)量的急劇上升，潛在的安全風(fēng)險(xiǎn)將會(huì)增加，據(jù)美國(guó)網(wǎng)絡(luò)運(yùn)營(yíng)商Verizon 統(tǒng)計(jì)，有63%的網(wǎng)絡(luò)入侵行為是由用戶密碼泄露所造成的[4]；預(yù)計(jì)2021 年，因網(wǎng)絡(luò)犯罪活動(dòng)所造成的損失將達(dá)到6 萬(wàn)億美元[5]。為此，我國(guó)應(yīng)抓住這一發(fā)展過(guò)程中的關(guān)鍵時(shí)間點(diǎn)，從保障我國(guó)網(wǎng)民及國(guó)家安全的角度入手，提升對(duì)數(shù)字身份的重視程度，加速對(duì)區(qū)塊鏈技術(shù)、分布式標(biāo)識(shí)技術(shù)與自主身份體系的研究與投入。從政策引導(dǎo)、技術(shù)研究、產(chǎn)業(yè)培育到生態(tài)建設(shè)等方面，融合各方力量共同探索未來(lái)數(shù)字身份的發(fā)展路徑并開(kāi)辟新的市場(chǎng)。