數(shù)字身份安全治理研究

李 俊 柴海新

(國民認(rèn)證科技(北京)有限公司 北京 100085)

1 問題與挑戰(zhàn)

隨著物聯(lián)網(wǎng)和智能互聯(lián)網(wǎng)的迅猛發(fā)展，網(wǎng)絡(luò)空間中的實體類型和數(shù)量急劇增加.在復(fù)雜的異構(gòu)網(wǎng)絡(luò)環(huán)境中，自然人、設(shè)備、服務(wù)、應(yīng)用等各類實體都需要擁有數(shù)字身份以便進(jìn)行區(qū)分和識別，并進(jìn)行身份聯(lián)合以實現(xiàn)跨域信任，這不僅給數(shù)字身份的治理帶來較大壓力，同時也給保障實體數(shù)字身份的安全帶來挑戰(zhàn).

目前，網(wǎng)絡(luò)空間存在著個人身份信息嚴(yán)重泄露的現(xiàn)象，大量的身份信息成為黑產(chǎn)瞄準(zhǔn)的目標(biāo)，包括自然人的姓名和身份證號碼、手機號碼、銀行卡號、設(shè)備序列號、網(wǎng)絡(luò)賬號及口令等等.網(wǎng)絡(luò)身份的盜用、冒用泛濫成災(zāi)，各種詐騙、侵權(quán)案件頻繁發(fā)生.生物特征識別技術(shù)(如人臉識別)大面積濫用，導(dǎo)致大量的自然人生物特征泄露，造成嚴(yán)重后果.據(jù)統(tǒng)計[1]，2020年全球數(shù)據(jù)泄露造成巨大損失，其中消費者的個人可識別信息(personally identifiable information,PII)的泄露成本最高，平均每條記錄達(dá)到150美元.如何確保數(shù)字身份信息的安全是當(dāng)前急需解決的重要問題.

此外，數(shù)字身份的管理和治理還面臨電子認(rèn)證技術(shù)不統(tǒng)一帶來的差異化問題.不同類型和規(guī)模的應(yīng)用服務(wù)在電子認(rèn)證技術(shù)的安全性、便捷性以及隱私保護(hù)方面的差異化需求，導(dǎo)致數(shù)字身份在格式和接口方面的互操作性非常低.而且整個電子認(rèn)證行業(yè)仍然缺乏統(tǒng)一的評估評價體系，使得不同身份管理服務(wù)之間難以互聯(lián)互通，不利于構(gòu)建良好的數(shù)字身份生態(tài)系統(tǒng).

2 數(shù)字身份的基本概念

所謂身份是指實體(包括自然人、設(shè)備、部件、機構(gòu)等)的屬性集合，這些屬性能夠反映該實體的特性或本質(zhì)，從而使得該實體在特定語境中被充分識別.例如，自然人的姓名和身份證號碼、網(wǎng)絡(luò)用戶的電子郵件地址、設(shè)備的唯一序列號、產(chǎn)品的唯一編碼、企業(yè)的組織機構(gòu)代碼等等.而數(shù)字身份則是指身份信息的數(shù)字表示，能夠在網(wǎng)絡(luò)空間特定語境中唯一代表某個實體.

既然數(shù)字身份可以唯一識別某個實體，那么必然引申出用于驗證數(shù)字身份的概念：憑證(credential).憑證與身份緊密相關(guān)，脫離憑證而討論數(shù)字身份是毫無意義的.國家標(biāo)準(zhǔn)GB/T 25069—2010 《信息安全技術(shù) 術(shù)語》中對于憑證的定義為：“為確定實體所聲稱的身份而提供的數(shù)據(jù)[2]”，而根據(jù)國際標(biāo)準(zhǔn)ISO/IEC 24760-1:2019 《IT安全與隱私—身份管理框架—第1部分：術(shù)語和概念》的定義，憑證是“用于鑒別的身份的表示[3]”.因此，可以認(rèn)為，廣義上的數(shù)字身份不僅僅只是一個標(biāo)識符(identifier)，而應(yīng)由標(biāo)識符和與之綁定的憑證共同構(gòu)成.因此，對于實體進(jìn)行身份鑒別的過程，也可視為對于該實體身份標(biāo)識符所綁定的憑證進(jìn)行驗證的過程.近年來，圍繞憑證概念，出于對憑證的具體特性、功能和安全性的關(guān)注，出現(xiàn)了一個新的術(shù)語：“鑒別器(authenticator)”，一般是指在進(jìn)行身份鑒別時，聲稱方所擁有或掌控的可用于鑒別聲稱方身份的功能組件或方法.鑒別器可以是物理或邏輯組件，包含并綁定了實體的憑證或者憑證生成方法，并執(zhí)行身份鑒別協(xié)議.例如，口令、口令生成器、執(zhí)行數(shù)字簽名操作的密碼模塊等等.

實體所擁有的身份可分為多種類型.顧青等人[4]提出自然人可對應(yīng)多種身份，包括原始身份、國家賦予的身份、可信機構(gòu)賦予的身份、網(wǎng)絡(luò)上的身份以及其他網(wǎng)絡(luò)應(yīng)用的身份.實際上，從應(yīng)用場景的角度來看，數(shù)字身份可根據(jù)其在網(wǎng)絡(luò)空間中的不同需求分為兩大類別：實名身份和賬號身份.實名身份包含實體的姓名、身份證號碼、護(hù)照號碼等社會屬性，以法定證件為基礎(chǔ)，能夠從法律意義上區(qū)分某個實體.而賬號身份則僅需要區(qū)分某個系統(tǒng)服務(wù)的用戶即可，例如由一個單詞或者無意義的字符串構(gòu)成的標(biāo)識符，可能系統(tǒng)服務(wù)并不需要知道該用戶的真實姓名和身份證號碼等屬性.通俗地講，對于實名身份的鑒別需求可稱之為“證明你是誰”；而對于賬號身份的鑒別需求稱為“證明你是你”.

3 數(shù)字身份模型

3.1 模型架構(gòu)

美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)在其特別出版物SP 800-63-3中提出了數(shù)字身份模型(如圖1所示[5])：

圖1 數(shù)字身份模型

該模型中涉及到多個參與方角色，包括申請方(applicant)、聲稱方(claimant)、合法用戶(subscriber)、憑證服務(wù)提供方(credential service provider,CSP)、注冊機構(gòu)(registration authority,RA)、依賴方(relying party,RP)、驗證方(verifier).申請方是指申請成為系統(tǒng)合法用戶的實體；聲稱方是指聲稱自己是系統(tǒng)合法用戶的實體；合法用戶是指擁有合法身份并可被授權(quán)使用系統(tǒng)資源的實體；依賴方是指依賴于實體鑒別結(jié)果的業(yè)務(wù)服務(wù)方，只有鑒別成功后才能為實體提供業(yè)務(wù)服務(wù)；憑證服務(wù)提供方負(fù)責(zé)為實體頒發(fā)和管理憑證或鑒別器；注冊機構(gòu)負(fù)責(zé)創(chuàng)建實體身份，為實體分配標(biāo)識符；驗證方負(fù)責(zé)對實體身份信息和憑證或鑒別器進(jìn)行核實和驗證.上述角色中，有些角色既可屬于同一家機構(gòu)，也可屬于不同機構(gòu).例如，身份提供方(identity provider,IDP)可由CSP、RA和驗證方共同組成；RA和CSP可以是同一家機構(gòu)；依賴方和驗證方也可以是同一家機構(gòu).

3.2 圍繞數(shù)字身份的活動

數(shù)字身份具有完整的生命周期，從創(chuàng)建身份到使用和維護(hù)身份，最后注銷身份，整個過程中身份具有多種狀態(tài)，包括“未知”“創(chuàng)建”“活躍”“暫?！薄皻w檔”這5種狀態(tài)(如圖2所示[3]).“未知”狀態(tài)是指注冊機構(gòu)對于某個實體不擁有任何身份信息，意味著該實體對于系統(tǒng)而言是未知的，可能從未存在過，也可能曾經(jīng)存在過但已被徹底刪除；“創(chuàng)建”狀態(tài)是指實體已由申請方角色經(jīng)過登記活動后成為合法用戶，相關(guān)身份信息已經(jīng)注冊完畢并已獲頒發(fā)憑證或鑒別器；“活躍”狀態(tài)是指合法用戶的身份信息被激活后可正常使用和維護(hù)，例如使用身份信息進(jìn)行鑒別或聯(lián)合；“暫?！睜顟B(tài)是指身份管理系統(tǒng)暫時中止實體的身份信息的使用，實體暫時無法使用系統(tǒng)服務(wù)資源；“歸檔”狀態(tài)是指實體的身份信息保留在注冊機構(gòu)中，盡管實體可能已經(jīng)完成了注銷操作.

圖2 數(shù)字身份生命周期

在圖1所描述的數(shù)字身份模型中，實體在進(jìn)入系統(tǒng)之前，作為申請方角色，由注冊機構(gòu)進(jìn)行身份核驗(identity proofing)，分配標(biāo)識符，然后由憑證服務(wù)提供方為其創(chuàng)建、綁定并頒發(fā)憑證或鑒別器，此時實體就由申請方正式成為系統(tǒng)合法用戶.此活動稱為“登記(enrolment)”.通過登記活動，數(shù)字身份的狀態(tài)由“未知”轉(zhuǎn)換為“創(chuàng)建”.數(shù)字身份成功創(chuàng)建后應(yīng)執(zhí)行激活操作，將憑證或鑒別器正式投入使用，此時數(shù)字身份狀態(tài)由“創(chuàng)建”轉(zhuǎn)換為“活躍”，可以正常使用和維護(hù).數(shù)字身份的使用主要包括“鑒別(authentication)”和“聯(lián)合(federation)”活動.當(dāng)進(jìn)行鑒別活動時實體以聲稱方角色進(jìn)入系統(tǒng)，由驗證方對其憑證或鑒別器進(jìn)行驗證.完成鑒別后，如果依賴方和驗證方不屬于同一家機構(gòu)，則由驗證方生成包含鑒別結(jié)果的斷言并發(fā)送給依賴方，依賴方根據(jù)斷言獲得實體的身份，此時實體由聲稱方成為系統(tǒng)合法用戶，與依賴方建立可信的會話，這個過程稱為“聯(lián)合”活動.數(shù)字身份的維護(hù)主要是指注冊機構(gòu)對于所存儲的實體身份信息進(jìn)行及時更新等操作.當(dāng)實體身份需要變更時，例如執(zhí)行更換標(biāo)識符、延長憑證有效期等操作，此時需要執(zhí)行憑證更新或更換，數(shù)字身份的狀態(tài)由“活躍”轉(zhuǎn)換為“創(chuàng)建”，需要執(zhí)行激活操作才能回到“活躍”狀態(tài).當(dāng)實體身份臨時出現(xiàn)問題時，需要將其憑證的有效性臨時中止，此時數(shù)字身份的狀態(tài)由“活躍”轉(zhuǎn)換為“暫停”；當(dāng)問題得到解決后重新執(zhí)行激活操作，則數(shù)字身份由“暫?！鞭D(zhuǎn)換回“活躍”.當(dāng)實體身份在語境中已無存在必要時，可將其歸檔或者直接刪除(即“注銷”)，此時數(shù)字身份的狀態(tài)由“活躍”轉(zhuǎn)換為“歸檔”或者“未知”.如需徹底刪除，則應(yīng)將歸檔的實體身份信息也全部刪除.在上述過程中所涉及到的憑證或鑒別器相關(guān)的活動，例如憑證創(chuàng)建、憑證綁定、憑證頒發(fā)、憑證激活、憑證暫停、憑證更新或更換等操作，統(tǒng)稱為“憑證管理”活動.

圍繞數(shù)字身份生命周期的活動及其角色和功能如圖3所示：

圖3 圍繞數(shù)字身份生命周期的活動及其角色和功能

4 數(shù)字身份安全保障框架

數(shù)字身份模型中所描述的各個活動，例如注冊機構(gòu)對申請方進(jìn)行登記時所執(zhí)行的身份核驗活動，憑證服務(wù)提供方為申請方創(chuàng)建、綁定、頒發(fā)憑證或鑒別器的活動，驗證方對于聲稱方所執(zhí)行的鑒別活動、驗證方將斷言提交給依賴方的聯(lián)合活動以及注冊機構(gòu)與憑證服務(wù)提供方和驗證方之間的交互活動等，均存在各種各樣的安全風(fēng)險.如何對這些活動的安全風(fēng)險進(jìn)行評估和控制，從而實現(xiàn)對整個數(shù)字身份模型進(jìn)行可信度的衡量和管理呢，這就需要建立統(tǒng)一的數(shù)字身份安全保障框架，劃分保障等級，以幫助各參與方提高對數(shù)字身份模型各項活動的可信度管理水平，促進(jìn)各參與方之間互聯(lián)互通并建立互信機制.

國際標(biāo)準(zhǔn)ISO/IEC 29115:2013《信息技術(shù)—安全技術(shù)—實體鑒別保障框架》在分析了參與實體身份鑒別的各個角色職責(zé)的基礎(chǔ)上，提出了實體鑒別保障框架[6].該框架包含技術(shù)和管理2部分，在技術(shù)方面，列舉了實體身份鑒別各個階段所應(yīng)當(dāng)包含的詳細(xì)流程；在管理方面，列舉了身份提供方應(yīng)當(dāng)遵循的管理要求、準(zhǔn)則和注意事項.該標(biāo)準(zhǔn)提出了保障等級(level of assurance,LoA)，并將其劃分為“低、中、高、極高”這4個級別.保障等級描述了數(shù)字身份在生命周期中所采用的保障措施的可信任程度，反映了數(shù)字身份體系的過程、管理活動和技術(shù)控制手段的綜合作用.但由于數(shù)字身份全生命周期過程的多樣性和復(fù)雜性，單一的保障等級無法準(zhǔn)確反映數(shù)字身份系統(tǒng)的整體安全程度.例如，某個數(shù)字身份系統(tǒng)在登記活動中采取了非常嚴(yán)格的安全保障措施，安全風(fēng)險和隱患較少，但在憑證管理活動中采取的安全保障措施非常寬松，存在較多安全風(fēng)險和隱患，則該數(shù)字身份系統(tǒng)的整體保障等級就無法準(zhǔn)確衡量.NIST SP 800-63-3對于保障等級進(jìn)行了完善，根據(jù)數(shù)字身份生命周期的不同活動的特點，將保障等級分為3類[5]：身份保障等級(identity assurance level,IAL)、鑒別器保障等級(authenticator assurance level,AAL)、聯(lián)合保障等級(federation assurance level,FAL).IAL反映了數(shù)字身份系統(tǒng)在登記活動中所采取的身份核驗手段的安全程度，AAL反映了憑證管理活動和鑒別活動中所采取的相關(guān)控制手段的安全程度，F(xiàn)AL則反映了數(shù)字身份在聯(lián)合活動中所采取的控制手段的安全程度.通過將保障等級進(jìn)行分門別類的細(xì)化處理，數(shù)字身份模型的整體安全保障也得以實現(xiàn)細(xì)粒度的優(yōu)化改進(jìn).基于上述理解，通過對ISO/IEC 29115:2013和NIST SP 800-63-3進(jìn)行綜合考慮，同時結(jié)合我國國情，本文提出了綜合技術(shù)、管理以及分類保障等級的數(shù)字身份安全保障框架，如圖4所示.

圖4 數(shù)字身份安全保障框架

圖4中，聯(lián)合活動不是數(shù)字身份使用的必備活動，因此用虛線框表示.此外，注銷活動沒有單獨列出，而是隱含在憑證撤銷或銷毀活動中.

4.1 身份保障等級

IAL主要關(guān)注數(shù)字身份由“未知”狀態(tài)轉(zhuǎn)換到“創(chuàng)建”狀態(tài)以及由“活躍”或“歸檔”狀態(tài)轉(zhuǎn)換到“未知”狀態(tài)過程中的安全保障措施.實體以申請方角色進(jìn)入系統(tǒng)，注冊機構(gòu)對其進(jìn)行身份核驗并分配標(biāo)識符，而憑證服務(wù)提供方為其創(chuàng)建、綁定并頒發(fā)憑證或鑒別器，最終完成數(shù)字身份的創(chuàng)建，結(jié)束登記活動.對于賬號身份而言，由于不需要確認(rèn)實體的真實身份信息，因此身份核驗措施可以較為寬松，僅需實體進(jìn)行自我申明即可；但對于憑證的創(chuàng)建、綁定和頒發(fā)則應(yīng)注意防范風(fēng)險，減少憑證泄露、篡改、抵賴等安全威脅.對于實名身份而言，則需要嚴(yán)格采取身份核驗措施，根據(jù)業(yè)務(wù)需要以遠(yuǎn)程或現(xiàn)場的方式完成實名、實人、實證的核驗，解決身份假冒、重復(fù)登記、抵賴登記等安全問題，同時還需防范自然人用戶的隱私信息泄露風(fēng)險，切實保護(hù)用戶個人信息.此外，當(dāng)系統(tǒng)合法用戶執(zhí)行注銷操作時，其身份信息應(yīng)當(dāng)徹底刪除以確保安全.

4.2 鑒別器保障等級

AAL主要關(guān)注數(shù)字身份處于“活躍”狀態(tài)且用于鑒別活動時的安全保障措施.實體以聲稱方角色進(jìn)入系統(tǒng)，驗證方對其憑證或鑒別器進(jìn)行鑒別.鑒別活動根據(jù)憑證或鑒別器的特性，通過特定的協(xié)議完成對實體數(shù)字身份的鑒別.鑒別協(xié)議應(yīng)在保證安全的同時做到足夠方便快捷，并確保個人身份信息的安全.鑒別器可采用軟件、固件或硬件實現(xiàn)；可采用基于密碼學(xué)算法的方式實現(xiàn)；可采用多因素鑒別方式等.整個鑒別活動需注意抵御憑證偽造、復(fù)制、破解、重放等攻擊，防范中間人攻擊、會話劫持、偽造驗證方等安全風(fēng)險.

4.3 聯(lián)合保障等級

FAL主要關(guān)注數(shù)字身份處于“活躍”狀態(tài)且用于聯(lián)合活動時的安全保障措施.驗證方在完成對聲稱方的鑒別之后，將鑒別結(jié)果(包含聲稱方數(shù)字身份信息的部分內(nèi)容)以斷言的形式發(fā)送給依賴方，從而使得聲稱方成為合法用戶并與依賴方建立可信會話.聯(lián)合活動中存在多種安全風(fēng)險，例如，攻擊者偽造或修改斷言，導(dǎo)致聲稱方能夠提高自身身份等級以進(jìn)行越權(quán)訪問依賴方服務(wù)；驗證方可能否認(rèn)創(chuàng)建并發(fā)送斷言；聲稱方抵賴與斷言相關(guān)的行為；斷言的重定向和重放攻擊等.此外，斷言中可能包含數(shù)字身份信息，會導(dǎo)致個人敏感信息的泄露.驗證方需采取控制手段降低安全風(fēng)險，例如，使用驗證方數(shù)字簽名、對斷言進(jìn)行加密以及使用聲稱方數(shù)字簽名等.

5 實現(xiàn)數(shù)字身份安全治理的思路

實施網(wǎng)絡(luò)空間數(shù)字身份安全治理，建議遵循“制定戰(zhàn)略、建立制度、運用技術(shù)、構(gòu)建生態(tài)、加強監(jiān)管”的方針穩(wěn)步推行.

1)制定網(wǎng)絡(luò)空間可信身份戰(zhàn)略

從國家層面而言，建議參考借鑒歐美成熟經(jīng)驗，結(jié)合我國國情，明確數(shù)字身份安全保障框架，建設(shè)數(shù)字身份國家基礎(chǔ)設(shè)施，打造覆蓋全社會的身份生態(tài)系統(tǒng)，全面構(gòu)建和確保真實的人與虛擬世界的可信連接，堅持實行“前臺匿名、后臺實名”的原則，在實施網(wǎng)絡(luò)實名制的同時確保用戶的個人身份信息安全.

從企業(yè)層面而言，應(yīng)與網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略保持一致，基于公安部公民網(wǎng)絡(luò)電子身份標(biāo)識(eID)[7]或居民身份網(wǎng)絡(luò)可信憑證(CTID)[8]對用戶進(jìn)行可信身份核驗，不收集和存儲用戶的真實身份信息以及生物特征，不利用用戶真實身份信息和生物特征牟取利益，合理利用用戶身份資源開展業(yè)務(wù).

2)建立健全數(shù)字身份相關(guān)規(guī)范和制度

目前，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)鑒別與授權(quán)工作組(WG4)已經(jīng)構(gòu)建了鑒別與授權(quán)技術(shù)標(biāo)準(zhǔn)體系框架，將數(shù)字身份領(lǐng)域的相關(guān)標(biāo)準(zhǔn)分成標(biāo)識類、驗證與證明類、鑒別類、授權(quán)類和集成應(yīng)用與身份管理類這5個類別[9].一批數(shù)字身份相關(guān)標(biāo)準(zhǔn)正在抓緊研制中，例如，《信息安全技術(shù) 實體鑒別保障框架》《信息安全技術(shù) 網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求》《信息安全技術(shù) 生物特征識別信息保護(hù)基本要求》等標(biāo)準(zhǔn)已分別進(jìn)入報批稿或送審稿階段，還有一系列生物特征識別(如人臉識別、聲紋識別、步態(tài)識別、基因識別)的數(shù)據(jù)安全要求標(biāo)準(zhǔn)正在進(jìn)行草案編制.

除技術(shù)規(guī)范和標(biāo)準(zhǔn)之外，我國正在抓緊制定出臺《數(shù)據(jù)安全法》和《個人信息保護(hù)法》，為數(shù)據(jù)安全和個人隱私保護(hù)提供法律保障.在此基礎(chǔ)上，建議加緊制定與保護(hù)數(shù)字身份安全相關(guān)的法規(guī)和制度，例如，生物特征識別(如人臉識別)技術(shù)不應(yīng)在沒有征得用戶同意的情況下隨意使用，防止生物特征憑證大規(guī)模泄露；不應(yīng)在沒有征得用戶明示同意的情況下基于用戶身份信息進(jìn)行用戶畫像等等，從而為數(shù)字身份安全治理提供法律支撐.

3)綜合運用各種先進(jìn)技術(shù)

業(yè)界關(guān)于數(shù)字身份的技術(shù)非常多，各類創(chuàng)新層出不窮.大致可從鑒別因素、鑒別協(xié)議、聯(lián)合協(xié)議、憑證管理模式這些角度來分別進(jìn)行分析.從鑒別因素來看，傳統(tǒng)的口令、動態(tài)口令、U盾、生物特征識別技術(shù)，以及多因素認(rèn)證等都屬于此類技術(shù)；從鑒別協(xié)議來看，除傳統(tǒng)的挑戰(zhàn)-應(yīng)答鑒別協(xié)議、Kerberos協(xié)議以外，近年來出現(xiàn)的創(chuàng)新的在線快速身份(fast identity online,FIDO)協(xié)議[10]，已經(jīng)成為業(yè)界的主流鑒別協(xié)議；從聯(lián)合協(xié)議來看，OpenID Connect和安全斷言置標(biāo)語言(security assertion markup language,SAML)是主流的身份聯(lián)合協(xié)議；從憑證管理模式來看，隨著區(qū)塊鏈技術(shù)的發(fā)展，憑證管理從傳統(tǒng)的中心化管理模式向去中心化管理模式發(fā)展.這意味著數(shù)字身份的管理從以應(yīng)用為中心轉(zhuǎn)向以用戶為中心.目前，W3C組織已經(jīng)發(fā)布了去中心化標(biāo)識符(decentralized identifiers,DID)標(biāo)準(zhǔn)草案[11]和可驗證憑證(verifiable credentials,VC)數(shù)據(jù)模型標(biāo)準(zhǔn)草案[12].郭小波等人[13]比較了中心化管理和去中心化管理的優(yōu)劣，提出2種模式可并存結(jié)合使用，并使用區(qū)塊鏈和人工智能技術(shù)幫助完善網(wǎng)絡(luò)身份管理體系.為有效實施數(shù)字身份的安全治理，建議吸取各種先進(jìn)技術(shù)的優(yōu)點，融合集中化的管理和分布式的身份架構(gòu)，充分利用公鑰密碼算法和硬件可信環(huán)境等，集各家之長，全面提高IAL,AAL,FAL的安全等級，實現(xiàn)安全、便捷且保護(hù)隱私的身份認(rèn)證.

4)構(gòu)建良好的身份生態(tài)系統(tǒng)

實施數(shù)字身份安全治理，建議妥善協(xié)調(diào)數(shù)字身份模型中各參與方的利益，引導(dǎo)和推動政府機構(gòu)和民營機構(gòu)及社會團(tuán)體開展協(xié)作，共同打造良好的數(shù)字身份生態(tài)系統(tǒng).數(shù)字身份模型的各參與方應(yīng)實施統(tǒng)一的數(shù)字身份安全保障框架，對圍繞數(shù)字身份生命周期的活動進(jìn)行可信度衡量，提高不同身份管理系統(tǒng)之間的互信程度.考慮到計算設(shè)備在用戶使用數(shù)字身份過程中的重要地位，隨著安全芯片、可信執(zhí)行環(huán)境和生物特征識別技術(shù)在移動智能終端和物聯(lián)網(wǎng)控制設(shè)備中的日益普及，鑒別器的安全程度也在逐漸提高，并通過開放標(biāo)準(zhǔn)的統(tǒng)一接口，不斷提高數(shù)字身份模型的互操作性.同時，在不同安全域中推行不同保障等級之間的有效映射機制，從而簡化數(shù)字身份管理和治理的難度，為實現(xiàn)數(shù)字身份跨域信任提供技術(shù)支撐.

5)加強對身份提供方的監(jiān)管

建議對身份提供方(包括注冊機構(gòu)、憑證服務(wù)提供方、驗證方)實行備案制，并對其進(jìn)行分級評估.取得相應(yīng)服務(wù)資質(zhì)后才能開展身份服務(wù).身份提供方應(yīng)制定身份信息的保護(hù)策略，對于圍繞數(shù)字身份生命周期的活動進(jìn)行清晰、完整的描述，確保用戶易于理解，并征得用戶的明示同意.身份提供方應(yīng)切實做好記錄保留工作，必要時將身份信息處理過程的日志信息提供給用戶以及相關(guān)監(jiān)管機構(gòu)和審計方，以確保相關(guān)參與方能夠及時獲得身份信息的處理情況或異常情況等.

6 結(jié)束語

圍繞數(shù)字身份生命周期的活動及角色和功能較為復(fù)雜，需要各參與方統(tǒng)一認(rèn)識，實施數(shù)字身份安全保障框架，分別從身份保障等級、鑒別器保障等級和聯(lián)合保障等級提高安全程度，降低安全風(fēng)險，提高互操作性.而搞好數(shù)字身份的安全治理工作宜從“戰(zhàn)略、制度、技術(shù)、生態(tài)、監(jiān)管”這5個層面下功夫.通過有效地實施數(shù)字身份治理降低數(shù)字身份存在的風(fēng)險，確保數(shù)字身份的安全，可促進(jìn)個人與機構(gòu)之間在網(wǎng)絡(luò)空間中的各種互動，有助于網(wǎng)絡(luò)服務(wù)方更有效地提高服務(wù)質(zhì)量，獲取信任，節(jié)省成本，同時也幫助用戶消除身份信息泄露的威脅，減少被欺詐而受損的風(fēng)險，創(chuàng)造重要的經(jīng)濟價值和社會價值.