國內(nèi)外分布式數(shù)字身份建設研究

王妮娜 楊 帆 桑 杰 許雪姣

1(數(shù)據(jù)通信科學技術研究所 北京 100191)2(興唐通信科技有限公司 北京 100191)3(北京科技大學數(shù)理學院 北京 100083)

隨著科技的發(fā)展,網(wǎng)絡化、數(shù)字化逐漸滲透到人類活動的各個領域.現(xiàn)實世界中金融、社交、公共服務等社會活動所依賴的傳統(tǒng)自然人實體身份證明,如身份證件、學位證書和駕駛證等,將在網(wǎng)絡空間被新的身份表達形式所延續(xù)——數(shù)字身份.數(shù)字身份是現(xiàn)實空間的身份在網(wǎng)絡空間的映射,是網(wǎng)絡刻畫實體的數(shù)字表達.對于自然人來說,數(shù)字身份包含了個人標識及與標識所綁定的個人信息,并以可驗證身份憑證的方式為自然人在數(shù)字空間提供真實身份及屬性的證明.

數(shù)字身份的廣泛應用必定伴隨國家對數(shù)字身份治理要求的提高.傳統(tǒng)數(shù)字身份依賴于中心化機構(gòu)的支持與管理,實體未享有對其數(shù)字身份的自主權,存在身份與賬戶共生、身份信息易被泄露的風險.在中心化背景下,不同機構(gòu)的數(shù)字身份屬性信息相互隔離,不可共享,且難以在保護身份隱私條件下公開證明身份信息.支持權威機構(gòu)發(fā)布和治理的、實現(xiàn)自主控制、分布式證明真實性的防偽數(shù)字身份,將成為數(shù)字身份在網(wǎng)絡空間中發(fā)展的新目標.

1 數(shù)字身份發(fā)展現(xiàn)狀

1.1 概 述

一般認為,數(shù)字身份經(jīng)歷了3個階段的演進,分別是中心化數(shù)字身份(centralized identity)、聯(lián)盟式數(shù)字身份(federated identity)、分布式數(shù)字身份(decentralized identity, DID)[1].

1) 中心化數(shù)字身份.

數(shù)字身份由單一的中心化機構(gòu)提供,并由該機構(gòu)對身份進行管理和控制.中心化機構(gòu)負責存儲服務提供商所需的用戶身份信息,其可直接參與所有身份驗證過程.因此作為身份提供商的中心化機構(gòu)可以潛在地了解用戶在何時何地進行身份驗證,從而跟蹤用戶并了解用戶的行為.

盡管中心化數(shù)字身份模型在國內(nèi)外已得到廣泛的應用,但現(xiàn)階段身份應用中存在的痛點問題已逐步顯現(xiàn):

① 不利于身份信息安全共享和互通證明.基于中心化機構(gòu)管理的數(shù)字身份,用戶的身份信息通常存在于各個機構(gòu)中,用戶需重復認證和注冊,不同的身份系統(tǒng)之間相互獨立,無法有效進行身份信息的安全共享和證明,不利于數(shù)字身份的應用.

② 不同機構(gòu)對用戶數(shù)據(jù)的保護等級不同,易造成用戶隱私泄露.

③ 基于中心化的身份認證模式負載量極大.在互聯(lián)網(wǎng)應用充分融合的發(fā)展趨勢下,用戶身份認證數(shù)量將達到空前量級,中心化身份管理和認證方式將產(chǎn)生巨大的認證負擔.

2) 聯(lián)盟式數(shù)字身份.

由多個中心化機構(gòu)或者聯(lián)盟進行管理和控制的數(shù)字身份,用戶的身份數(shù)據(jù)具備一定程度的可移植性.本質(zhì)上聯(lián)盟式身份管理仍然是一種中心化身份管理解決方案,它支持跨多個域或機構(gòu)的單點登錄.聯(lián)盟式身份模型通過建立多個身份提供商之間的信任關系,從而形成一個信任圈.使得屬于該信任圈的身份提供商可以互相委托身份驗證請求.

3) 分布式數(shù)字身份.

身份信息是由用戶完全擁有和控制的數(shù)字身份,通過將數(shù)據(jù)所有權歸還至個人,從根本上解決用戶的隱私安全問題.在分布式數(shù)字身份中,身份不依賴于中心化機構(gòu)管理,各個身份提供商在分布式賬本(distributed ledger)上注冊具有互操作性的憑證發(fā)布信息,并將憑證直接頒發(fā)至請求用戶;用戶與服務提供商以點對點的方式實現(xiàn)身份驗證.分布式身份技術的實現(xiàn)推動了自我主權身份(self-sovereign identity, SIS)的應用和發(fā)展.分布式強調(diào)的是去中心化驗證的特性,而自我主權則更加傾向于對用戶身份的所有權,表達了用戶對個人身份信息隱私的保護和對使用其身份信息的許可權.

在備受矚目的數(shù)據(jù)泄露和數(shù)據(jù)濫用事件之后,用戶越來越意識到對自己的數(shù)據(jù)和數(shù)字身份缺乏控制和隱私,且相應的法律法規(guī)也強調(diào)了對用戶數(shù)據(jù)的保護.在政策、需求及技術等多因素的共同驅(qū)使下,數(shù)字身份正由中心化向分布式逐步邁進.

1.2 國外發(fā)展趨向

2021年6月3日,歐盟委員會提出歐盟數(shù)字身份(European Digital Identity)框架計劃[2].該計劃旨在為所有歐盟公民、居民和企業(yè)提供在歐盟各國可通用的數(shù)字身份.在歐盟出臺的《電子身份認證和信任服務條例》(Regulation on Electronic Identification and Trust Services, eIDAS)[3]中,規(guī)定歐盟各成員國各自的國家數(shù)字身份系統(tǒng)需要做到彼此互認.根據(jù)這一計劃,歐盟成員國需向其公民、常住居民、企業(yè)提供數(shù)字錢包,其錢包將與能夠證明其個人信息的國家身份文件相連接(如駕照、學歷證書、銀行賬戶等).該數(shù)字錢包能夠充分保證個人數(shù)據(jù)安全性,輕松便捷驗證個人身份并訪問在線服務.此外,歐盟近年對個人數(shù)據(jù)的保護也給予高度重視,其于2018年5月25日頒布了《一般數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)[4],旨在保護自然人對個人數(shù)據(jù)的權利.隨著分布式數(shù)字身份概念的提出,為最大化程度保護用戶的個人數(shù)據(jù),歐盟也將自我主權的思想積極融入到數(shù)字身份計劃的實施中.歐盟委員會正在建設的國家級區(qū)塊鏈基礎設施(European blockchain services infrastructure, EBSI),其核心功能之一就是提供基于DID的歐盟國家公民電子身份認證服務.

近年來,美國同樣聚焦于開發(fā)分布式數(shù)字身份的應用.萬維網(wǎng)聯(lián)盟(WWW Consortium, W3C)于2019年成立DID專項工作組,并隨后于2021年9月正式發(fā)布《DID——核心架構(gòu)、數(shù)據(jù)模型及表示(v1-0)》標準[5].2021年5月,IEEE成立了致力于物聯(lián)網(wǎng)應用與DID技術相結(jié)合的專項工作組,旨在實現(xiàn)基于DID的智能設備可信接入和設備間的點到點直接通信.美國國土安全部(United States Department of Homeland Security, DHS)已分批次投入專項資金(截至2021年已達400萬美元),用于支持DID的技術研究和應用實現(xiàn),包括與美國公民及移民服務局(United States Citizenship and Immigration Services, USCIS)合作,通過區(qū)塊鏈技術實現(xiàn)官方證件數(shù)字化、基于區(qū)塊鏈技術開發(fā)可替代美國社會安全號碼的身份標識等.同時,美國國土安全部支持本國企業(yè)在W3C組織中發(fā)起并成立DID工作組.

歐盟旨在建立一個在歐盟各成員國間能彼此互認的數(shù)字身份,使歐盟各行業(yè)以數(shù)字化的方式在成員國間實現(xiàn)最大互通.美國在分布式數(shù)字身份建設方面取得初步進展,已開展多個基于區(qū)塊鏈技術的數(shù)字身份相關項目,且獲得美國國土安全部多方面的支持.總體而言,歐盟及美國在數(shù)字身份的建設方面,聚焦于如何將身份主權交至個人手中,其數(shù)字身份技術的發(fā)展態(tài)勢已經(jīng)由中心化向分布式的方向演進.

1.3 國內(nèi)發(fā)展趨向

當前,我國數(shù)字身份系統(tǒng)的發(fā)展受多方因素的影響.

首先,近年來我國數(shù)字化發(fā)展迅速,各領域、各行業(yè)對數(shù)字身份系統(tǒng)展現(xiàn)出迫切的應用需求[6].在“十四五規(guī)劃綱要”中,明確指出以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式、生活方式和治理方式的變革,從數(shù)字經(jīng)濟、數(shù)字社會及數(shù)字政府多方面推動“數(shù)字中國”的建設.數(shù)字身份是各領域、各行業(yè)數(shù)字化的基石,是促進數(shù)字經(jīng)濟發(fā)展的必備基礎,是數(shù)字化時代的重要基礎設施.為適應我國數(shù)字化的快速發(fā)展,落實數(shù)字身份系統(tǒng)在各行各業(yè)中的應用勢在必行.

其次,為保護個人數(shù)據(jù),我國已頒布實施了一系列相關的法律法規(guī)和標準,其中包括《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》等.隨著用戶對數(shù)據(jù)隱私保護意識的提高,分布式數(shù)字身份及自主身份管理或成為我國數(shù)字身份發(fā)展的新方向.由我國多家機構(gòu)組成的分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟于2020年8月共同發(fā)布了《DIDA白皮書》[7],其詳盡地闡釋了分布式數(shù)字身份的現(xiàn)狀及未來發(fā)展,并就基礎設施建設、技術規(guī)范等問題進行了全面的研究,是我國首份系統(tǒng)研究分布式數(shù)字身份技術的白皮書.未來的數(shù)字身份應幫助我國居民掌握其個人數(shù)據(jù),實現(xiàn)數(shù)據(jù)在各數(shù)字化活動之間自由流轉(zhuǎn).

最后,互聯(lián)網(wǎng)已經(jīng)成為我國重要的基礎設施,加強網(wǎng)絡監(jiān)管是保障國家信息安全、促進數(shù)字化發(fā)展、維護健康網(wǎng)絡環(huán)境的根本需求.近年來,我國對于網(wǎng)絡環(huán)境的監(jiān)管力度逐漸增強.我國已頒布了《中華人民共和國網(wǎng)絡安全法》等法規(guī),以增強網(wǎng)絡監(jiān)管力度,完善網(wǎng)絡監(jiān)管體系.一方面,眾多的互聯(lián)網(wǎng)企業(yè)應共同參與到治理網(wǎng)絡違法犯罪的活動中,落實安全保護技術措施,完善各自平臺的條例條規(guī),配合相關部門的監(jiān)管工作.另一方面,個人用戶在網(wǎng)絡中的責任不斷被強調(diào).數(shù)字身份是居民在網(wǎng)絡中的身份映射,網(wǎng)絡不是法外之地.目前我國網(wǎng)絡平臺已實施注冊用戶實名認證,并逐步增強網(wǎng)絡犯罪相關方面的法律規(guī)范,完善對網(wǎng)絡惡意行為追溯追責的技術支撐手段.但是,目前的監(jiān)管措施及技術更適用于中心化管理的環(huán)境,當數(shù)字身份由中心化向分布式轉(zhuǎn)變時,如何兼容實施身份可信、隱私保護、身份監(jiān)管,將成為我國數(shù)字身份建設的另一挑戰(zhàn).

2 現(xiàn)有數(shù)字身份應用案例分析

通過調(diào)研國內(nèi)外分布式數(shù)字身份應用案例,本節(jié)將從多個角度對案例進行橫向?qū)Ρ?深入探討分布式數(shù)字身份的技術性和安全性.

2.1 技術方面

本節(jié)將敘述實現(xiàn)自我主權數(shù)字身份的技術基礎及現(xiàn)有案例采用的方法.根據(jù)國際電子技術委員會對身份的定義,可以將數(shù)字身份描述為身份標識符及其關聯(lián)的屬性結(jié)合.W3C組織為推進自我主權身份的實現(xiàn),在2019年首次發(fā)布了分布式標識符(decentralized identifiers, DIDs)規(guī)范[5]和可驗證憑證(verifiable credential, VC)數(shù)據(jù)模型規(guī)范[8].在自我主權身份背景下,DIDs與VC為身份標識及屬性提供了基礎規(guī)范.DIDs和VC可由實體通過數(shù)字身份錢包自主管理,實現(xiàn)對其身份的自主控制.在分布式身份生態(tài)系統(tǒng)[8]中,通常包含發(fā)行方、持有者和驗證方3個參與方,以及1個去中心化的注冊機構(gòu)(其一般由分布式賬本實現(xiàn)).

2.1.1 分布式賬本

在分布式身份背景下,分布式賬本包括身份標識注冊表、公鑰注冊表、模式(schema)注冊表、憑證定義(credential definitions)注冊表和撤銷注冊表.分布式賬本為身份標識和密鑰提供了統(tǒng)一的維護和驗證機制,是實現(xiàn)身份標識和密鑰去中心化管理的基礎設施.分布式賬本具有去中心化、無單點故障、難以篡改等特點,為實現(xiàn)分布式數(shù)字身份提供了技術保障.

目前,國外自我主權身份應用案例中,所支持的分布式賬本主要包括Ethereum,Hyperledger Fabric,Hyperledger Besu,Sovrin等.

2.1.2 DIDs的產(chǎn)生與作用

DIDs是一種新型的身份標識符,其可由實體自主產(chǎn)生.W3C將DIDs的創(chuàng)建、解析、更新和刪除定義為DID Method,目前DID Method并沒有統(tǒng)一的標準,機構(gòu)或組織可在W3C CCG工作組所管理的DID Method注冊表上進行注冊.在現(xiàn)有的案例中,DIDs的產(chǎn)生通常依賴于與其所綁定的密鑰,包括:

1) 直接將公鑰本身作為DIDs,如Trinsic DID;

2) 取公鑰的加密哈希函數(shù)作為DID,如Jolocom DID取公鑰keccak256的哈希值、uPort DID取公鑰secp256k1的哈希值;

3) 取模板化DID文檔(templated DID Document)的加密哈希函數(shù)或編碼作為DIDs,如百度CloudDID;

4) 取部分公鑰進行重新編碼,如Sovrin DID取公鑰的前16B進行base 58編碼.

DIDs作為一種新型標識,與傳統(tǒng)身份標識相比具有多個作用:

1) DIDs是實體的一個身份標識;

2) DIDs用于創(chuàng)建連接邀請;

3) DIDs用于將模式或憑證定義寫入分布式賬本(對于發(fā)行方而言);

4) DIDs用于建立安全通信通道;

5) DIDs作為實體的假名.

2.1.3 VC的產(chǎn)生與作用

可驗證憑證由發(fā)行方向持有者頒發(fā),包含1組對持有者屬性的聲明.可驗證憑證包含了發(fā)行方的DIDs及數(shù)字簽名,生態(tài)系統(tǒng)中的任何參與方都可在分布式賬本上獲得發(fā)行方的公鑰,從而對憑證進行驗證.

可驗證憑證的產(chǎn)生包括:

1) 創(chuàng)建模式.構(gòu)建憑證的結(jié)構(gòu)以及設置需要頒發(fā)的屬性.這里的屬性設置包括2個部分:一部分是持有者實體的屬性設置;另一部分是關于憑證驗證的屬性設置,如是否設置撤銷.若啟用撤銷,則需將該撤銷設置寫入分布式賬本中的“撤銷注冊表”.模式通常由權威機構(gòu)或發(fā)行方創(chuàng)建,并寫入“模式注冊表”以供各發(fā)行方訪問使用.

2) 創(chuàng)建憑證定義.各發(fā)行方基于模式創(chuàng)建特定于發(fā)行方的憑證定義,其中增加了發(fā)行方的DIDs及公鑰等信息,并寫入分布式賬本中的“憑證定義注冊表”.

3) 發(fā)行方發(fā)行.發(fā)行方根據(jù)憑證定義填充實體的屬性并簽名,最終向持有者頒發(fā)可驗證憑證.

可驗證的憑證與其他類型的數(shù)字文檔不同,其能夠驗證以下事項:

1) 原始發(fā)行實體(數(shù)據(jù)源);

2) 申請憑證的實體(數(shù)據(jù)的主體);

3) 內(nèi)容是否被篡改(數(shù)據(jù)的真實性);

4) 頒發(fā)者是否在特定時間點撤銷憑證(數(shù)據(jù)的狀態(tài)).

2.1.4 數(shù)字身份錢包

在自我主權身份的背景下,數(shù)字身份錢包是一種由實體(通常指持有者)所控制的加密數(shù)據(jù)庫,用于存儲自我主權身份所需的憑證、密鑰及其他信息.錢包為身份所有者提供了自行創(chuàng)建密鑰的功能,與分布式賬本共同組成了去中心化公鑰的基礎設施,擺脫了基于中心化CA(certificate authority)對密鑰的頒發(fā)與托管.同樣地,錢包還提供了創(chuàng)建身份標識的功能,身份標識和公鑰可注冊到分布式賬本上.目前,已存在的數(shù)字錢包產(chǎn)品通常以Web或移動應用程序的形式向用戶提供.

根據(jù)歐盟數(shù)字身份框架計劃,歐盟成員國將向其公民、常住居民、企業(yè)提供EUDI錢包[9],錢包將與能夠證明其個人信息的身份文件相連接(如駕照、學歷證書、銀行賬戶等).EUDI錢包組件如圖1所示:

圖1 歐盟EUDI錢包架構(gòu)

EUDI錢包的功能包括:

1) 可在本地或遠程進行電子識別、存儲和管理認可的屬性電子證明(QEAA)和非認可的屬性電子證明(EAA);

2) 請求并從提供者的證明中獲取認可的屬性電子證明(QEAA)和非認可的屬性電子證明(EAA);

3) 提供或訪問加密功能;

4) EUDI錢包與外部實體間的相互身份驗證;

5) 對PID,QEAA,EAA進行選擇、組合,并與依賴方共享;

6) 支持用戶感知和顯式授權機制的用戶界面;

7) 以認可的電子簽名/印章(QES)方式簽署數(shù)據(jù);

8) 向外部各方提供接口.

2.2 安全方面

本節(jié)將從安全性角度出發(fā),首先敘述一些典型的分布式數(shù)字身份應用案例,然后對它們進行橫向?qū)Ρ确治?最后對調(diào)研涉及的所有案例進行保障等級劃分.

2.2.1 德國Jolocom智能錢包

Jolocom智能錢包是由Jolocom GmbH公司開發(fā)的自我主權身份解決方案,用于數(shù)字身份的訪問和管理,身份持有者的個人信息加密存儲在錢包中.Jolocom基于數(shù)字簽名技術和DID技術實現(xiàn)了憑證的可驗證性,憑證驗證方可根據(jù)憑證發(fā)行方的公開DIDs對數(shù)字簽名進行驗證.Jolocom智能錢包支持可驗證憑證的選擇性披露,從而使得持有者對數(shù)字身份達到細粒度的控制.并通過DIDs標識符、密鑰及分布式賬本技術實現(xiàn)了點對點的安全通信.同時,Jolocom錢包支持用戶創(chuàng)建多個DIDs用于與不同實體間的通信,使用戶在特定背景下的交互過程中始終保持匿名.

2.2.2 美國Sovrin網(wǎng)絡

Sovrin網(wǎng)絡是由美國的Evernym公司基于分布式賬本技術建立的身份驗證區(qū)塊鏈,用于支持分布式數(shù)字身份和可驗證憑證的驗證.Sovrin網(wǎng)絡支持點對點的相互認證和安全通信,與Jolocom類似,雙方的通信由1對僅被對方知道的匿名DIDs標識所建立.但與Jolocom不同的是,Sovrin網(wǎng)絡通過零知識證明技術實現(xiàn)了對可驗證憑證的匿名化.憑證驗證方所接收的信息并不是明文或密文的,而是憑證的密碼學驗證方法,更大程度地保護了實體的隱私安全.值得一提的是,Sovrin網(wǎng)絡的創(chuàng)造者Evernym公司也開發(fā)了一款名為Connect.me的數(shù)字身份錢包,旨在為用戶提供存儲數(shù)字憑證的容器.

2.2.3 瑞士Zug ID

Zug ID是由瑞士楚格市政府與盧塞恩大學共同創(chuàng)建的數(shù)字身份項目,也是早期的自我主權身份項目之一.不同于Jolocom和Sovrin的DID技術,Zug ID僅在Ethereum網(wǎng)絡上注冊唯一的身份標識,無法做到通信的匿名化.身份憑證由楚格市政府頒發(fā),其中所有的身份信息均經(jīng)市政府的密鑰進行簽名,Zug ID持有者可對身份信息進行選擇性出示.Zug ID的持有者可通過Uport移動應用程序接收、存儲及使用憑證,其身份信息以數(shù)字證書的形式加密存儲在Uport的數(shù)字保險柜(locker)中,該移動應用程序與身份錢包功能相似.

2.2.4 安全性綜合分析

綜合上述案例,本文針對以下3個方面進行安全性對比分析.安全通信方面,Jolocom與Sovrin支持產(chǎn)生多個DIDs標識用于建立通信,使身份持有者在不同場景下的通信保持匿名,而Zug ID僅支持通過唯一的身份標識建立通信;憑證披露方面,三者均支持憑證信息的選擇性披露,在此基礎上Sovrin還支持以零知識證明的方式向驗證方出示證明,具有更高的隱私保護性;信息存儲方面,三者均提供了數(shù)字身份錢包或具有相同功能的移動程序,用于將持有者的身份信息加密存儲在本地.

2.2.5 安全等級劃分

美國國家標準技術研究院(National Institute of Standards and Technology, NIST)于2017年發(fā)布的數(shù)字身份驗證準則SP 800-63[10-12]中提出IAL(identity assurance level),AAL(authenticator assurance level),FAL(federation assurance level)的概念,其均被劃分為3個保障等級.IAL是指身份保障等級,其針對身份核驗過程,是保證身份核驗可靠性的等級;AAL是指鑒別保障等級,其針對身份鑒別過程,是保證身份鑒別可靠性的等級;FAL是指聯(lián)合過程中斷言強度的等級,聯(lián)合表示向依賴方傳遞身份驗證和屬性信息的過程.注意,FAL不是必須存在的,因為并非所有數(shù)字系統(tǒng)都將利用聯(lián)盟身份體系結(jié)構(gòu).本文根據(jù)身份標識來源的不同,將各應用案例劃分為政府機構(gòu)產(chǎn)生、私營機構(gòu)產(chǎn)生和自主產(chǎn)生3個類別;將各數(shù)字身份案例依次采用IAL,AAL,FAL的等級標準進行劃分,具體如表1、表2和表3所示.

表1 國內(nèi)外數(shù)字身份應用案例的IAL

表2 國內(nèi)外數(shù)字身份應用案例的AAL

表3 國內(nèi)外數(shù)字身份應用案例的FAL

在以DID為技術支持的數(shù)字身份錢包產(chǎn)品中,驗證方與持有者之間的身份鑒別均基于公開密鑰加密算法實現(xiàn),雖然鑒別過程未涉及其他的驗證因素,但本文將這類產(chǎn)品歸入AAL 3的保障等級.某些數(shù)字身份系統(tǒng)在應對不同安全等級的服務時,劃分了不同的等級驗證方式,對于此類數(shù)字身份,本文對其不同等級的驗證方式單獨歸類.

在所調(diào)研的數(shù)字身份應用中,聯(lián)盟式數(shù)字身份的案例共有2例:加拿大Verified.Me和德國的IDnow,該類案例包括了聯(lián)合過程.值得一提的是,上述產(chǎn)品均是通過銀行等金融機構(gòu)實現(xiàn)對實體的身份驗證.

3 挑戰(zhàn)與建議

我國數(shù)字身份的建設正處于由中心化向分布式轉(zhuǎn)變的探索階段.一方面,居民對個人隱私數(shù)據(jù)的保護意識逐漸增強;另一方面,我國對網(wǎng)絡安全的監(jiān)管問題逐漸重視.建設符合我國國情和法律法規(guī)、滿足居民信息安全需求的數(shù)字身份是我國的主導方向.

在現(xiàn)存的分布式身份DIDs產(chǎn)生機制中,DIDs由用戶通過錢包等產(chǎn)品申請或自主創(chuàng)建獲得,并自主注冊至分布式賬本.首先,身份的注冊過程不依賴于中心化機構(gòu),各國對其監(jiān)管政策不同,導致身份可信度參差不齊,使數(shù)字身份背后的軌跡圖難以追蹤;其次,同一實體基于DID Method可獨立生成多個DIDs,同一實體的各DIDs間在邏輯上無關聯(lián),難以追溯某一DIDs背后的實體在網(wǎng)絡上的其他行為.因此,盡管自我主權的數(shù)字身份滿足了身份隱私保護的需求,但在現(xiàn)有應用案例中,仍然存在缺乏可信性、身份真實性難追溯等諸多問題.應另辟自我主權身份的建設道路,建設統(tǒng)一簽發(fā)、分布式認證、統(tǒng)一監(jiān)管的自我主權數(shù)字身份體系.

從技術體系而言,應考慮從初始自主DIDs的注冊過程入手,以經(jīng)中心化的權威機構(gòu)所認證的身份為可信根(如法定身份證件[13]),并啟動自主身份DIDs的產(chǎn)生,從而增強對自主身份的監(jiān)管.DIDs作為根身份的衍生假名,為監(jiān)管提供了技術手段用于可追蹤、可追溯,以實現(xiàn)對數(shù)字身份實體的可追責.從技術角度來講,對于同一實體產(chǎn)生的多個DIDs,應從DID Method入手,實現(xiàn)由同一實體所創(chuàng)建的DIDs在邏輯上可關聯(lián)于根身份,為可追蹤、可追溯、可追責的實現(xiàn)提供技術可能.

4 結(jié) 語

目前,我國數(shù)字身份建設仍以中心化形式為主,對分布式數(shù)字身份僅處于初步的探索階段,可供參考的案例較少.盡管國外的分布式數(shù)字身份應用并不適用于我國國情,但在技術層面上仍具有一定參考價值.我國數(shù)字身份建設應牢牢把握基于中心化機構(gòu)授權或發(fā)行可信的根身份,再在各應用場景中擴展分布式數(shù)字身份,充分發(fā)揮權威機構(gòu)的身份保障作用.在可實現(xiàn)自主管理的基礎上,建設適合我國國情的分布式數(shù)字身份.