郝久月 楊林 李頔 吳瑤 王劍冰
1. 公安部第一研究所 2. 北京中盾安信科技發(fā)展有限公司 3. 廈門中盾安信科技有限公司
面對日益嚴峻的網絡安全問題、數字經濟快速健康發(fā)展以及數字化、智能化深入發(fā)展對社會治理提出的新要求,如何確認用戶網絡空間的主體身份已經成為目前亟待解決的問題,網絡可信身份已經成為實現經濟健康發(fā)展與社會和諧穩(wěn)定的基礎信任根,是個人在物理世界與數字世界間穿行的橋梁。
區(qū)塊鏈技術的應用為數字身份的可信驗證、自主授權、行為確權、可信存證及隱私保護等需求的實現提供了一個可行方向,網絡可信身份與區(qū)塊鏈技術的融合應用更是為網絡空間身份管理提供了強有力的支撐。美國國家標準與技術研究所2020年發(fā)布的《新興區(qū)塊鏈身份管理系統(tǒng)分類方法》[2]及歐盟2022年最新發(fā)布的《數字身份:利用自主身份概念建立信任》[7]都指出,區(qū)塊鏈技術對于數字身份有重要價值。
因此,本文立足探討區(qū)塊鏈技術支撐網絡可信身份體系建設,旨在以權威網絡可信身份為基礎,結合區(qū)塊鏈技術應用構建“中心化簽發(fā)、分布式認證”的數字身份分布式認證服務體系,提供便捷的數字身份認證服務,有利于產業(yè)生態(tài)建設,支撐數字身份線上線下一體化應用。
數字身份的技術演進經歷了三個階段,分別是:中心化身份管理、聯(lián)盟式身份管理和分布式數字身份,如圖1所示[1,9,10]。
(1)中心化身份管理模式
往往由單一的中心機構進行管理和控制,但易形成數據孤島,造成重復認證、多地認證的現象。
(2)聯(lián)盟式身份管理模式
由多個機構或者聯(lián)盟間進行管理和控制,用戶身份在一定程度上可共享、可移植。例如支付寶、微信的跨平臺登錄,需要通過用戶的授權和許可才能進行身份數據的共享,但實際身份的控制和管理權并不在用戶手上,最終還是集中到為數不多的幾個巨頭壟斷,用戶資產只能在同機構內流通,存在過度收集、隱私濫用、單點故障等風險隱患。此外,互聯(lián)網巨頭利用用戶數據產生了大量價值,但用戶并沒有對自己的數據擁有話語權和價值收入。
(3)分布式數字身份(或自主主權身份)
區(qū)塊鏈在去中心化架構上的成功實踐,激發(fā)了從聯(lián)盟身份管理模式轉向以用戶為中心的身份管理思路,新近提出的分布式數字身份(或自主主權身份)提倡由用戶完全擁有和控制自己的身份數據,利用區(qū)塊鏈技術改變應用廠商控制用戶身份的模式,由身份所有者即用戶本身來自主控制和管理自己的身份信息,將數據所有權歸還給用戶。在一定程度上可更有效地解決個人隱私問題,并通過制定標準協(xié)議來提供身份跨應用的互操作性?;趨^(qū)塊鏈的難篡改、可溯源等特性,可進一步保證認證結果的真實有效。
近年來,多個標準組織、開源社區(qū)共同推進并制定了一系列分布式數字身份相關的技術標準和協(xié)議,逐步完善了分布式數字身份的技術棧。其中主要包括:Trust Over IP基金會的ToIP協(xié)議棧、W3C組織制定的分布式身份標識符(DID)和可驗證憑證(VC)規(guī)范、OASIS組織制定的分布式密鑰管理系統(tǒng)(DKMS)規(guī)范、RWOT工作組推動的分布式身份認證(DID Auth)規(guī)范、DIF基金會推動的分布式身份認證(DID Comm)協(xié)議等等。這些規(guī)范的制定,為在不同的應用之間進行互聯(lián)互通身份認證提供了數據格式和通信協(xié)議的標準,在這些技術的共同作用下,形成了分布式數字身份的整體方案[4,5]。歐盟自主主權身份是目前分布式數字身份領域應用范圍最大和技術推進最深入的項目,也是歐盟委員會與27個歐盟成員國合作構建的歐洲區(qū)塊鏈服務基礎設施(EBSI)的核心組成部分。
近年來,國內各大廠商在分布式數字身份技術研究及應用上均有建樹。主要區(qū)塊鏈廠商如螞蟻、騰訊、華為、百度、BSN、微眾銀行等都已跟進分布式數字身份技術并形成相關解決方案。2020年6月,中鈔區(qū)塊鏈技術研究院與飛天誠信聯(lián)合15家單位發(fā)起分布式數字身份產業(yè)聯(lián)盟DIDA并發(fā)布白皮書。2020年8月,信通院星火·鏈網推出基于分布式數字身份的星火·標識體系。2020年12月,公安部第一研究所、中盾安信、信通院聯(lián)合19家單位發(fā)布《基于可信數字身份的區(qū)塊鏈應用服務白皮書》。2021年11月,北京金融科技產業(yè)聯(lián)盟組織,央行數研所牽頭發(fā)布《金融分布式數字身份技術研究報告》。
隨著數字身份技術的不斷演進發(fā)展,在給人民帶來福祉、提升幸福感的同時伴隨著如個人隱私暴露、個人信息非法交易、電信詐騙等諸多問題。
(1)一些股權結構復雜的超大型互聯(lián)網企業(yè)、外資企業(yè)借助網絡實名管理方式,采集、留存大量我國公民的個人信息,掌握大量公民消費、出行等行為數據,嚴重威脅國家政治安全、經濟安全和社會公共秩序。
(2)公民身份號碼和人臉等個人生物特征信息具有唯一性,一經泄露即終身泄露,且容易被關聯(lián)利用,造成用戶合法權益受到侵害。
(3)部分網絡應用服務商未落實安全管理制度和技術防護措施,導致大量用戶個人信息泄露,甚至被內部人員倒賣。
(4)分散實名的網絡實名管理方式缺乏統(tǒng)一的信任基礎,制約企業(yè)生產效率、數據要素市場化進程和數字化服務的普惠應用。
(5)實施基于公民身份號碼、手機號的實名管理方式,容易產生實名不實人、冒用身份等問題。
盡管以W3C為主的國際分布式數字身份技術具有自主性、隱匿性等技術特點,較好地保護了用戶個人隱私,但從社會治理方面看,其解決思路并不完全符合我國國情。我國數字身份建設仍需滿足我國社會管理的需求,實現真實身份溯源和線上線下一體化身份應用模式。近年來,網信辦相繼出臺《互聯(lián)網用戶賬號名稱管理規(guī)定》等管理規(guī)定,多次強調要全面落實網絡實名制要求,明確注冊用戶需“后臺實名”。2016年《網絡安全法》中提出“國家實施網絡可信身份戰(zhàn)略,支持研究開發(fā)安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認”。因此,我國應建設具有中國特色和國際數字身份標準特征、安全可信、高效可控的數字身份分布式認證服務體系,依托權威可信身份,促進跨部門、跨地域的身份互認和互通,支持對個人信息“最小方式、最小范圍、最短時間”的自主可控處理,保護個人隱私。2021年底,在科技部的支持下,公安部第一研究所開展“十四五”國家重點研發(fā)計劃區(qū)塊鏈專項《基于法定證件的數字身份區(qū)塊鏈技術研究與應用》關鍵技術演進,旨在依托區(qū)塊鏈技術支撐數字身份技術發(fā)展,通過數字身份規(guī)?;瘧么龠M區(qū)塊鏈技術落地,為我國網絡可信身份體系建設發(fā)展提供技術儲備,推動區(qū)塊鏈技術、數字身份等領域創(chuàng)新應用。
符合我國國情發(fā)展的自上而下的多層級的數字身份信任體系,見圖2。一是以國家法定身份證件為信任根,基于其創(chuàng)建基礎級數字身份;二是授權可信的數字身份簽發(fā)方,基于基礎級數字身份簽發(fā)業(yè)務級數字身份;三是實現可驗證憑證的可信流轉,滿足不同業(yè)務系統(tǒng)身份互認互通互信需求;四是構建可信數字身份應用生態(tài)產業(yè)聯(lián)盟,支撐我國數字身份體系發(fā)展建設。
數字身份分布式認證服務體系架構通過區(qū)塊鏈技術應用,構建“1個數字身份服務鏈+N個業(yè)務服務鏈”的多鏈應用服務模式,如圖3所示。
(1)主節(jié)點面向自然人提供基礎級數字身份簽發(fā)及認證服務、基礎級業(yè)務憑證的簽發(fā)及認證服務。
(2)采用聯(lián)盟鏈準入機制,接入機構申請接入數字身份服務鏈時需首先在主節(jié)點(盟主)進行備案、審核,通過后獲取CA數字證書可接入身份鏈,成為服務節(jié)點。
(3)身份鏈上各接入節(jié)點通過共識機制建立信任,支持各類業(yè)務憑證可信流轉,實現分布式認證;鏈上共識數據包括數字身份文檔、身份憑證狀態(tài)、身份關聯(lián)目錄、身份派生關系、業(yè)務信息摘要及認證日志摘要等等。
(4)支持接入機構根據自身業(yè)務開展衍生服務。以權威網絡可信身份為根,疊加業(yè)務屬性,構建“根身份+業(yè)務身份”的衍生應用。
(5)支持接入機構基于業(yè)務鏈自行簽發(fā)業(yè)務身份,并通過權威統(tǒng)一身份標識建立“根身份”和“業(yè)務身份”的關聯(lián)關系,實現多層級身份的溯源管理。
(6)通過建立跨鏈機制支持各類業(yè)務憑證的鏈間可信流轉,支持業(yè)務鏈數字身份的互通、互認、互信,支持我國可信數字身份生態(tài)建設。
按照“統(tǒng)一簽發(fā)、分布認證、多方共識”的總體思路設計數字身份分布式認證服務管理模型,共分為四類角色:基礎級數字身份提供方、業(yè)務級數字身份提供方、數字身份持有方和數字身份依賴方。
將數字身份按安全性、功能性及可用性進行可信度等級劃分,并在身份頒發(fā)、憑證管理及身份認證等階段制定對應的安全性標準,建立基于區(qū)塊鏈的數字身份管理模型,實現基于身份等級的權限管理和訪問控制。通過建立基礎級數字身份、業(yè)務級數字身份的對應關系,可實現身份互認和身份聚合。
技術架構設計上,可從資源層、技術層、能力層、應用層四個層級進行劃分,同時在隱私保護及風險控制、標準規(guī)范及管理制度建設上輔以相應規(guī)劃,如圖5所示。
資源層:提供計算、存儲、網絡、數據等基礎軟硬件資源;
技術層:提供區(qū)塊鏈、密碼應用、分布式密鑰管理系統(tǒng)(DPKI)及隱私計算等底層技術能力;
能力層:通過智能合約實現全節(jié)點數字身份的全生命周期管理、數字身份關聯(lián)與溯源、多元數字身份聚合、數字身份互認,豐富數字身份應用服務模式,保障上鏈數據真實有效,防范數據篡改及偽造;
應用層:針對數字身份分級應用提供基礎級數字身份及憑證應用服務、業(yè)務級數字身份及憑證應用服務,允許個人對隱私信息進行自主管理,支持在個人授權后選擇性使用個人信息;
標準規(guī)范:針對數字身份分布式管理及應用、身份互認、隱私保護等方面編制相關標準規(guī)范,支撐我國在該領域的標準體系建設;
管理要求:制定授權機構接入管理辦法、應用管理辦法等,為機構接入及應用提供指引服務;
隱私保護:通過零知識證明、多方安全計算、可信執(zhí)行環(huán)境的相關研究設計,實現個人信息“最小方式、最小范圍、最短時間”處理的數字身份隱私保護機制。例如,當用戶身份中具有多個屬性時,用戶可以自主地選擇性出示部分屬性,實現自主控制、精準授權的最小化披露;
風險控制:針對數字身份偽冒、盜用等安全風險建立風險控制機制,進行系統(tǒng)風險評估、應用智能合約安全評測、交易風險評估,設計身份認證行為安全風險評估模型。
數字身份分布式認證服務需要突破的關鍵技術包括:
基礎級數字身份的簽發(fā)機制:實現高性能、高安全的分布式數字身份標識和身份電子證照憑證的中心化簽發(fā),與網證/身份證號碼等法定身份數據形成單向映射,不可鏈接至原始身份信息且映射關系安全存儲,用于用戶真實身份追溯;
身份錢包SDK:私鑰的安全創(chuàng)建、存儲和管理,以及支持數字身份生態(tài)應用基于SDK創(chuàng)建標準兼容、可互操作的身份錢包APP,平衡易用性、安全性和可監(jiān)管性;
零知識證明:高效安全的基于零知識證明技術實現的具備選擇性披露、范圍證明、防止鏈接等隱私保護能力的密碼學算法;
分布式密鑰管理系統(tǒng):實現高性能、高安全的、基于區(qū)塊鏈智能合約技術的、符合運營級CA要求的分布式公鑰管理系統(tǒng);
身份溯源技術:可驗證憑證、可驗證聲明和分布式數字身份標識的基于知識圖譜技術的可視化分析和溯源。
數字身份分布式認證服務平臺基于“互聯(lián)網+”可信數字認證平臺(以下簡稱“CTID平臺”)建設。CTID平臺面向個人簽發(fā)居民身份網絡可信憑證(簡稱“網證CTID”),作為用戶基礎級數字身份?,F階段,數字身份認證服務平臺正在開展仿真驗證平臺的建設工作,搭建區(qū)塊鏈底鏈、研發(fā)聯(lián)盟鏈運營管理系統(tǒng)、數字身份生命周期管理系統(tǒng)、身份應用APP/SDK,先期與金融、政務等行業(yè)對接進行試點示范。未來,數字身份分布式認證服務平臺將作為數字身份聯(lián)盟鏈的主節(jié)點,與各行業(yè)系統(tǒng)共建數字身份聯(lián)盟鏈,實現身份互認、互通的聯(lián)盟鏈服務目標。
以用戶入職場景為例,包含數字身份鏈和教育、金融等業(yè)務鏈,業(yè)務鏈作為數字身份鏈服務節(jié)點,如圖6所示。業(yè)務機構A可簽發(fā)教育數字身份和學位證書憑證,業(yè)務機構B可簽發(fā)金融數字身份和信用報告憑證,兩種業(yè)務身份都在用戶終端歸集。使用時,可通過數字身份服務鏈對應節(jié)點上進行身份溯源,查詢用戶金融數字身份和用戶教育數字身份對應同一基礎數字身份,從而實現兩種業(yè)務數字身份的互認和憑證的互通。
身份通證服務用于解決用戶來重復認證和多次提交出示,借助區(qū)塊鏈技術應用實現的基礎身份和業(yè)務身份的跨業(yè)務應用的協(xié)同應用。以入住酒店為例,現階段用戶需要分別通過CTID認證后訪問不同業(yè)務系統(tǒng),獲取不同的業(yè)務屬性憑證,多次出示給酒店。使用身份通證服務后,可以將用戶CTID認證結果、不同業(yè)務系統(tǒng)簽發(fā)的業(yè)務屬性憑證上鏈共享并在終端歸集后,用戶按需自主創(chuàng)建個人身份電子憑證,統(tǒng)一出示給酒店即可辦理入住,有效提升效率,改進用戶體驗,如圖7所示。
基于權威網絡可信身份和區(qū)塊鏈技術的數字身份分布式認證服務體系具有如下優(yōu)勢:
(1)實現分布式驗證和身份溯源。依托區(qū)塊鏈的分布式技術特點,認證過程不直接依賴于簽發(fā)方,而是信任區(qū)塊鏈的多方共識和不可篡改機制,支持數字身份的分布式驗證;以權威網絡可信身份為信任“根”,實現多層級數字身份溯源。
(2)有利于個人隱私保護,“還數于民”。更好地落實個人信息保護要求,個人知悉、同意、授權,由中心化處理個人信息向用戶自主控制、精準授權方式演進。用戶可持有私鑰和個人身份信息,自主控制對數據加密和簽名,身份數據可用而不可見,有效保障用戶知情權、訪問權、拒絕權、可攜權、刪除權、更正權和持續(xù)控制權。
(3)形成多方信任機制,共建產業(yè)生態(tài)。聯(lián)合基礎級身份和業(yè)務級身份,利用區(qū)塊鏈共識機制等特點,由生態(tài)賦能向“多方共識”生態(tài)共建轉型,用戶在公共服務、金融支付、物聯(lián)網等各類現實業(yè)務中實現數字身份的可信流轉,解決跨域跨鏈數字身份建設缺乏統(tǒng)一的信任基礎、身份互認互通困難等問題。由向各行業(yè)、各區(qū)域業(yè)務系統(tǒng)提供身份認證服務能力,發(fā)展至與各業(yè)務系統(tǒng)共同建設互信互認的信任機制,共建數字身份服務體系。