下载掌阅APP,畅读海量书库
立即打开
数字身份通常指对网络实体的数字化刻画所形成的数字信息,如个人标识及可与标识一一映射的绑定信息。数字身份可作为用户在网络上证明其身份(属性)真实性的凭证,用户在不同的应用服务中可使用不同的数字身份进行标识(如手机号码、电子邮箱、微博、微信等),这些身份属性信息可以辅助业务机构确定一个人的身份,但是此类信息是可以变更、隐藏,甚至是可以注销废弃的。基于上述情况,为了保证用户在网络空间活动中个人身份(标识)的可信及个人行为的可信,如何确认数字身份在网络空间中的可信是近年来国家的关注焦点。
数字身份技术的发展经历了中心化身份、第三方身份提供商IDP(ID provider)及自主主权身份SSI(self-sovereign identity)三个阶段。
中心化的身份认证服务令用户的身份认证和管理对单一的中心机构有强依赖性,且各终端应用所需的用户身份属性信息各异,应用间不互通,导致用户需针对不同的应用服务多次提交身份属性信息。因此,中心化的身份认证服务更适用于具有强身份认证需求的业务场景(如政务应用、治安管理等)。
基于IDP的身份认证针对中心化身份的问题,通过对用户进行跨平台或机构的统一管理,使用户使用少量的身份信息即可获取跨系统、机构、地域的互联网服务,提供了一定的便捷性,被大型互联网企业广泛采用。在基于IDP的身份中,用户向单个或多个IDP提交个人信息进行注册,使用同一用户名和密码即可实现多个IDP的认证,显著提升了用户体验。业界也涌现出OpenID、SAML、OAuth、FIDO等一系列国际标准,来实现不同IDP身份认证系统之间的互联互通和跨域访问授权。与中心化相比,用户无须大量登记个人身份信息,从一定程度上降低了隐私信息泄露的风险。但出于运营主体和运营壁垒的考量,很多业务在应用层面并不互联互通,跨应用的业务实现难度很大,尤其对于需要用户确权操作的跨应用业务,可能需要更改整个业务架构。
自主主权身份SSI是搭建在区块链上的数字身份,无须任何第三方机构参与,用户身份信息由用户自己保存,从根本上消除了身份窃取和泄露的可能性,在自主、安全、可控的层面上级别更高。凭借区块链的去中心化、分布式、共识机制、哈希加密等特性,自主主权身份支持用户在线轻松地进行身份验证。用户可根据实际需要有选择性地公开身份信息,甚至隐藏自己的身份。有效地保障了用户身份的隐私安全,使用户对自己的身份拥有绝对的使用权和控制权。可以说自主主权身份提供了一种新型的信任传递和数据交换框架。
自主主权身份的实现在一定程度上促进了网络可信身份管理的变革。用户在对自己身份获得更多控制权的同时,也带来了一些新的问题。一是用户应该如何选择上链的身份属性信息才能最大程度地降低身份信息泄露的风险。二是尽管区块链保障了链上数据的真实完整,但数据上链前的真实性以及数据上链的传输过程仍存在一定隐患。自主主权身份的应用给用户的身份隐私保护提供了一个解决方案。虽然目前仍存在一定的阻碍和限制,如何实施也还处于探索阶段,但随着技术的更新和迭代,自主主权身份必然会在数字经济时代占领一席之地。
网络身份认证按照认证的可信程度、方式、形式、性质以及应用范围和应用场景不同,可分成以下三个级别:法定信任基础级、第三方作证级、业务凭证级。
法定信任基础级使用依据国家法律法规、由特定行政机关签发、面向全社会应用、具备法定效力的身份证和护照等真实身份证件信息形成的身份凭证;第三方作证级使用根据相关法规和行政许可设立的、由第三方签发、面向行业系统应用、可作为司法采证的电子签名证书等身份凭证;业务凭证级使用各业务系统签发、面向自身系统及其关联系统应用、作为业务凭证的身份凭证。
可信数字身份是在真实身份核验的基础上,经加密及脱敏处理,由权威机构签发,用于网络空间中证明网络用户的电子文件,与居民法定证件信息具有一一对应关系,实现了端到端的全流程可信认证,符合网络身份的三级认证体系。
可信数字身份将现实社会的法定身份关系映射到线上,具有“前端匿名、后台实名”的特性,可以有效保护公民个人隐私信息,实现线上线下的身份融合和管理一体化,网络用户无须直接使用真实身份信息即可完成身份核验或认证。
可信数字身份凭证用于可信数字身份认证,由A、B、S三段数据构成。A段为可信数字身份,其基于居民法定证件身份信息具有法定身份登记、法定实名验证以及法定实人验证的能力;B段身份标识支持基于业务应用系统为个人签发,具有本地身份登记、本地实名验证以及本地实人验证的能力;S段则为“A+B”段内容的数字签名。
基于“A+B”段的可信数字身份支持数字身份的联合签发,一是为实现不同应用系统间的身份互认提供了有力支撑;二是支持政府、通信运营商、银行以可信数字身份为核心构建各自的数字身份生态;三是支持业务应用系统广泛对接各类业务场景,为实现共赢生态奠定基础。
可信数字身份标识(Personal ID,PID),其是网络用户在一个网络服务商内使用可信数字身份进行认证后所签发的与可信数字身份一一对应的身份标识,用于实现对网络用户在一个网络服务商内的终身有效管理。同一网络用户在不同的网络应用服务商中的可信标识相互独立,可有效防止网络用户的网上行为被网络应用服务商关联聚合、追踪标记。
可信数字身份具有权威、安全、可信、便捷的特性,是现实生活和网络行为的通用凭证。一是数据权威。基于法定身份证件信息,保障对网络用户的身份核验与认证权威、真实、有效。二是端到端保护。可信数字身份的签发和认证保证全程端到端每一个环节的安全可信,明文信息不落地,完全不泄露个人隐私信息,传输过程加密、签名,信息防泄露、防篡改。三是可追溯。通过对用户下发可信数字身份标识,支持用户认证的可追溯性。
权威可信的数字身份管理是网络安全的重要环节,是发展数字经济的安全保障,区块链的发展需要在身份可信的基础上健康发展。因此,研究可信数字身份和区块链技术的结合,将可信数字身份管理作为区块链应用的重要基础支撑,有利于促进各种应用和服务的融合,提高信息流转、汇聚和网络治理效率。同时借助身份认证、数据保护、区块链基础、安全策略等一系列措施,协调整体统一的可信数据流转,为实现“区块链+可信数字身份”的应用体系奠定基础。
如图6-1所示,在“区块链+可信数字身份”的四横两纵体系中,身份层以可信数字身份认证平台为基础,以法定身份证件为信任根,为各行业提供统一、权威、多级可信的网络身份认证服务;对外签发身份凭证,实现了网上、网下身份管理的一体化。
图6-1 区块链+可信数字身份总体架构设计
平台层部署可信数字身份管理平台和区块链数字身份服务平台进行数字身份的管理和链间互认的服务能力。一般而言,可信数字身份认证平台为每一位自然人认证签发可信数字身份后,非强身份认证场景的日常身份核验、认证、管理等职能可由可信数字身份管理平台完成。一旦遇到强身份认证场景,则需要可信数字身份认证平台提供根认证支撑。
可信数字身份管理平台通过对接可信身份认证平台可提供常规的身份核验、认证、管理等功能。拥有对自然人法定身份证件相映射的安全加密的唯一可信数字身份标识(PID),是自然人在各种电子政务、公共服务或商业业态下的业务身份的溯源索引。可信数字身份管理平台通过对各个业务链内的不同PID\进行关联,支持对不同生态链之间同一用户的身份进行关联。
区块链数字身份服务平台借助可信数字身份管理平台提供跨链互认的服务能力,支持不同业务链间的身份溯源查证。区块链数字身份服务平台是对接区域或业务生态内各种电子政务、公共服务以及商业业态的业务系统,可提供自然人关联不同业务场景下的身份属性、业务标识、身份互通、行为轨迹等信息服务,包含数据账户及多维身份登记、多维身份标识映射、链上数据追溯审计、共享个人数据索引。
应用层配套可信服务终端设备,大幅提升区块链应用的安全性和可操作性。生态方面,通过PID与PID、PID\与分布式身份之间的关联,支持不同业务链间的身份互认,实现链间信任传递(图6-2)。
图6-2 PID跨链互认体系
以可信数字身份为基础,提供核心的身份认证支撑;由各行业区块链发挥面向用户的优势,向平台端汇聚身份数据,为各行业区块链应用赋能。借助可信数字身份对区块链应用的赋能可真正实现用户对个人身份信息的使用权,为实现降低社会信用成本的目标打好基础。通过监管制度、政策法规以及行业标准的建设,辅以安全防护和运维监控的安全保障,提供更安全的区块链应用解决方案,支撑各个生态链的安全可信。
当前联盟链的监管只限于各个联盟链自身,主要采用事前防范(对内容的审核和过滤)、事中监管(对非法操作的发现、预警及应急处理)以及事后处置(问题提交决策、处置)三种方式。被监管的对象有自然人、法人及非法人。其中法人及非法人最终也能落实到自然人,因此我们主要还是关注对自然人的监管。对联盟链的治理监管需要适配各个联盟链,其中对于被治理主体的身份确认是首要前提。
由于各个联盟链节点用户存在不同的身份体系,如:居民身份证号、手机号、银行账号、电子邮箱、QQ号等,即使大家都使用身份证号作为身份的主索引,不同体系间也存在认证标准不一致、互不信任问题。因此,通过对接可信数字身份认证平台,打通各个联盟链与可信数字身份平台间的身份认证通道,从而在不同的联盟链间就个人身份的认证达成共识,实现“先认证后上链的身份治理模式”,如图6-2所示。在此基础上,通过下发执行监管标准、收集监管日志,落实监管措施等方式,可达到治理目的,为各类区块链应用提供基于法定身份的认证服务。
可信数字身份助力区块链健康发展,合法可信的数字身份是区块链产业健康快速发展的基础,是数字经济保持健康、良久发展的重要基石。可信区块链的发展必须建立在法律框架下,在可信身份管理的基础上才能健康发展。标准化是任何生态系统的一个重要方面,可信数字身份要助力区块链发展,也需要有标准化支撑,保障可信数据上链、数据上链时身份认证可信。
可信数字身份区块链标准体系分为技术类标准规范、管理类标准规范和安全类标准规范等,标准体系应覆盖区块链应用服务管理规范、区块链应用服务技术规范、分布式身份技术标准规范、可信数字身份认证标准规范、区块链安全相关规范等各方面。
基于可信数字身份的区块链应用标准体系建设,涵盖可信数字身份和区块链技术的结合,以可信数字身份作为区块链应用的重要基础能力,确保数据可信、认证可信、交互可信,以及个人身份信息上链之前确认身份数据的权威性和合法合规性。
区块链技术对更好地实现数据价值实现过程中的可信透明、可追溯、可审计具备天然优势,为解决当前数据治理的关键问题提供了一种可行方案。当前,单链条件下数据共享流通信息的可靠记录与溯源问责得以轻松实现。在大规模异构数据收集和跨域数据共享流通错综复杂的背景下,实现跨平台、跨系统、跨区块链应用的溯源问责同样是具有挑战性的问题。因此,将可信数字身份与区块链进行融合赋能数据治理成为一个值得探索的方向,并已形成了基本思路。
大数据价值实现依赖多源数据的整合,然而数据是否真实产生、是否被篡改以及多源数据的标准和类型不一致等问题都会影响决策数据质量。所以,数据治理需要支持大数据在其全生命周期内的溯源。
区块链支持数据全生命周期内的生成、汇聚、流通、使用、销毁的完整留痕,结合可信数字身份对各个环节参与者的身份鉴权,实现大数据全生命周期内的全通路全流程可靠溯源。
大数据应用的流通特征使数据拥有者(用户)对数据获取和共享缺乏知情权和控制权。同时,数据的收集汇聚导致数据垄断现象出现,使用户福利受损并带来个人隐私泄露风险等问题。
区块链技术的引入对数据流通全环节进行可靠监管,并通过可信数字身份帮助个人对数据的收集、开放、使用进行可信授权,以保护个人的数据权利与隐私。
基于可信数字身份的区块链应用业务流程如图6-3所示。
(1)步骤一~步骤二:用户首次登录时通过渠道APP输入“身份+人像”等身份属性信息进行身份核验,向可信数字身份认证平台申请开通数字身份;可信数字身份认证平台后台审核用户录入信息的真实性,核实后准许开通可信数字身份。
(2)步骤三~步骤四:用户通过可信数字身份管理平台在业务机构进行业务操作,由渠道APP使用安全SDK对用户身份信息进行打包并上传至可信数字身份管理平台;可信数字身份管理平台将用户身份信息上传至可信数字身份认证平台进行真实身份认证,认证通过后申请派发PID。
图6-3 数字身份应用业务流程图
(3)步骤五:可信数字身份管理平台将PID派发至区块链数字身份服务平台与分布式身份关联绑定,并将分布式身份进行上链确权。形成“可信数字身份+分布式身份”的“A+B”段的数字身份应用模式,其中B段的分布式身份由区块链数字身份服务平台负责签发,为用户创建公私钥对,作为分布式身份的发行凭证,用户可通过分布式身份自主管理身份数据的授权开放。
应用地址:佛山市
案例名称:IMI数字身份认证平台
IMI身份认证平台是个人数字身份认证体系,全面解决目前网上或自助办事时所面临的人员真实身份的确认问题,实现了用“IMI身份认证平台”就如本人亲临的效果。市民通过“IMI身份认证平台”扫描码登录,即可取得佛山市民网的实名认证服务权限,为市民提供社保个人账单推送及查询、公积金查询、交通违章查询、水电燃气费查询、预约挂号、网上办事、实名政民互动等服务。以身份证为索引构建自然人信息库,并将计生、流管、人社、工商、金融、不动产等部门数据清洗入库,进行初始化、更新、维护,建成全区自然人政务数据资源动态管理体系。
来源:可信区块链推进计划