自主身份理念与关键要素分析*

景 越，李婧璇，刘卫卫

（中国信息通信研究院，北京 100191）

0 引 言

数字化服务日益普及、数字化生产加速演进推动着产业数字化的变革与经济社会的发展方式，数字身份作为众多数字对象在网络空间中相互映射、交互为分辨彼此所拥有的唯一标记是任何互联网活动必不可缺的元素。数字身份的整体发展可划分为中心化身份、联邦化身份和自主身份三个阶段[1]，对发展过程各阶段的认识和其发展核心元素的分析是探索未来发展趋势的关键，也对构建未来人、机、物等多方数字对象的全面互联互通具有重要意义。基于此，本文对数字身份发展的三个阶段进行了介绍，对未来可能成为主导的自主身份体系进行了详细介绍，旨在为未来数字对象应用以及相关业务发展方向提供参考。

1 数字身份背景介绍

1.1 背景

自20 世纪60 年代阿帕网的出现到80 年代TCP/IP 协议被广泛接受，网络协议将互联网信息之间的交互变得更加标准化，网络体系结构的完善为网络硬件、软件和拓扑提供了标准，真正意义上的互联网才逐步成型。然而，IP 协议所能解决的仅是赋予网络世界中千万机器一个标记地址，无法对这些机器的身份进行核验，以及对操作这个机器的人、物、组织进行验证。仅使用IP 协议是无法避免第三方伪装成用户的个人电脑或智能设备与外界进行信息交互这种情况发生的。互联网是在没有身份层的情况下建立的[2]，因其缺少对用户身份的认证，我们在进行信息交互时无法知道网络对面真正是谁，这限制了我们的行为方式，同时使很多互联网行为变得非常危险。因此，为了让用户之间进行更加安全、可信的信息交互，数字化身份的概念逐渐出现，其发展模式也在不断地迭代更新。

1.2 中心化数字身份模型

最早出现的一种数字身份解决方案，是典型的日常应用，有公民身份证、护照、微博、微信账号等。在该类模型下，依托由具有政府背景、社会公信力的组织、机构、企业等中心化主体集中保管用户的个人信息，因该类管理机构特殊的社会地位或身份，用户会选择将自己的个人信息提供给它们保管。此外，这种集中储存用户资料并多次调用使用的方式减少了每次填写重复的个人信息时所浪费的时间和精力，为用户创造了非常舒适的使用体验，该模式一直保持至今，也是互联网应用最广泛使用的一种模式，如图1 所示。

图1 中心化模型下用户与机构的关系

在中心化身份模型下，用户在互联网中的存在完全依赖中心化机构，从另一个角度可以看作是中心化机构为用户创造出的一个虚拟互联网身份，即使该身份由用户本人所控制，但实际上的所属权全部属于机构本身。也就是说，若脱离机构的存在，或者在该机构的数据库中永久删除用户身份信息数据，那么原则上用户可以绝对的在互联网世界中消失，用户身份从此将不再存在。因此，是第三方机构为用户创造了属于用户的数字身份，同时赋予用户使用该身份的权限，一旦机构受到攻击，所有用户身份相关数据信息将完全暴露并随时可能受到迫害。除此之外，由于太多互联网企业采用这种数字身份管理模式，大量网页、应用程序的出现导致用户需要记录大量的账户名和密码，逐渐降低了用户使用体验。

1.3 联邦化数字身份模型

为优化用户体验，提高数字身份的安全性，在市场的推动下逐渐演变出一种新的解决方案——联邦化数字身份模型。与中心化模型最大的区别在于其插入了身份提供者（Identity Provider，IDP）的角色，更方便为用户创建、维护、管理身份，同时为第三方网络应用提供身份验证服务，用户可以通过一键登录（Single Signon，SSO）的方式来访问其他受信任的网络应用提供商，如图2 所示。

图2 联邦化模型下用户、IDP、机构的关系

在该模式下，用户仅需在IDP 注册一个身份账户，IDP 帮助用户在其服务范围内授权登录各种网络应用，帮助用户实现一键式登录服务。目前使用的IDP 协议主要有OAuth2.0、OpenID和SAML 三种[3]，自2015 年以来，大多数国内外互联网企业都将这种模式作为一项通用标准，例如，国内的腾讯云采用的就是SAML 协议；国 外 如Facebook、Google、Microsoft、LinkedIn等也早在2010 年开始陆续接纳并采用该类协议。

IDP 的出现为用户带来了便利，这种一键式登录方式也是我们日常使用过程中最为常见的方式，但新的问题也逐渐出现。首先，越来越多的互联网企业都在争取成为新的IDP，IDP 数量急剧上升导致联邦化模型逐渐退化为最初的中心化模式，用户仍然面临拥有太多IDP 账户密码的问题；其次，为给用户提供一键式登录服务，IDP 需要打通多类网络应用，该过程中泄露了大量的用户数据，使用户身份信息暴露在互联网中，一些大型互联网企业成为越来越多黑客的主要攻击目标，一旦用户丢失其IDP账户，可能连带导致其多个应用程序中的数据陷于危险处境，并且账户找回工作将非常复杂。由此可见，带来便利的同时也存在着极大的安全问题，新模型的出现虽然弥补了互联网缺少身份层的问题，但并没有从根本上解决问题，用户身份所面临的安全问题仍然存在。

1.4 自主身份模型

自主身份的概念起源于2015 年[1]，模型利用区块链技术透明度高、隐私性强等特点，综合加密算法、可验证声明以及分布式标识等核心技术颠覆性地改变了数字身份发展的路径。与前两种模型最大的不同在于，自主数字身份模型大大降低了用户对账户的依赖，降低了中心化机构对用户数据的掌控，并使该身份信息最大程度上由用户个人所掌控，如图3 所示。

图3 自主身份模型下用户与用户直接构成联系

当用户进行信息交互时，双方需共同“维护”这个连接关系，一旦其中一方掉线则连接即刻断开，所有的网络信息交互需要双方达成共识才能继续，理论上任何人与物都可以与另外一侧进行点对点交互，从根本上消除对中心化账户的需求。此外，用户将验证身份的公钥上传至区块链中，公钥的互换通过加密、私有P2P 连接渠道进行以保证验证安全性。这种去中心化的数字身份模型更像是现实世界钱包中的名片，经过数字化并进行数字签名加密保障的名片不会在网络中被多次传播泄露。

2 自主身份

无论是中心化数字身份模型还是联邦化数字身份模型，都没有从根本上解决用户数字身份信息易泄露、易丢失等安全方面的问题，其根本原因在于用户并没有真正拥有使用数据本身的权力或能力。自主身份正是在这种背景下被提出，通过多种技术、参与方以及交互模式的协作共同尝试改变目前所暴露出的问题。自主身份体系包含七个关键元素：可验证凭证、可信关系、数字钱包、数字代理、分布式标识、区块链和治理架构[1]。

2.1 可验证凭证

凭证是任何一个身份体系都不可缺少的元素，是数据、标识、申明等信息的载体，常见的凭证有身份证、驾照、银行卡等。凭证的功能是向对方证实自己的身份并通过凭证上的背书让对方认可、信任自己的这份证书。例如，身份证因受到公安部门的背书被社会所认可；毕业证书因受到高校官方的背书，被部分社会机构所认可；平时的工作证因受到单位的背书在单位内部被认可。上述这些凭证都以人为对象，但凭证的对象远远不限于此，网页安全证书就是面向互联网网站的一种证书，因受到第三方证书颁发机构（CA）的权威认证，拥有证书的网站被认为是安全可信的。

无论凭证以何种形式存在，其都包含四类关键元素。第一，标识。一串用来标记证书编号的数字，例如我们的身份证号、学位证书编号、工号等。第二，凭证的元数据。描述凭证自身的信息，例如有效期限、颁发者、所用的加密算法等。第三，申明。所描述对象的信息，例如人的姓名、年龄、性别、网站使用者等。第四，颁发者的签名。用来验证背书机构的数字签名，例如颁发者的盖章、签名以及公钥。

2.2 可信关系

可信关系是凭证在流通过程中的关系网，由发证方、持证方和验证方三者组成[1]，如图4所示。发证方是凭证的源头，其赋予凭证真正的意义，常见的发证方有政府、高校、银行等，理论上，当一个人拥有足够的公信力时也可以作为独立的发证方。持证方是凭证拥有者，可以拥有多个凭证来证明自己的身份，例如，我们可以通过展示自己的身份证、工作收入等向银行证实自己的公民身份；食品通过包装上的说明证明食品安全性；网页可以通过CA 授权得到的证书向用户证明该网页的官方真实性。可见，持证方是一个广泛的概念，可以是人、物或者组织。验证方则是对凭证进行核验的对象，同样可以是人、物或者机构。例如，银行通过验证身份证和收入证明来决定是否给公民授权信用卡；用户通过查看食品包装上的标签决定是否购买该食物；浏览器通过检验网页证书来判断该网页是否存在风险等。

图4 发证方、持证方和验证方之间的可信关系

2.3 数字钱包

数字钱包与物理世界中的钱包功能相似，其拥有统一存放各类凭证、存放公钥、保护凭证防止被盗、方便用户使用等功能，同时用户可以在电子化设备，如手机、个人电脑上控制多个钱包并随时随地调用数字钱包中的各种凭证。数字钱包大体可分为两类，第一类为移动终端钱包，厂家将钱包直接与硬件设备系统绑定，在设计终端设备系统软件的同时就将钱包添加到系统内部，类似目前各种智能手机中的钱包功能，如Apple Pay、Google Pay 等；第二类为加密货币钱包，以第三方软件的形式在各种操作系统中运行，如比特币、以太币等加密货币钱包[1]。

在自主身份模型下，数字钱包需要兼备更多的功能。首先，因为自主身份交互是一种点对点的交互，交互可能发生在非常复杂多变的应用场景下，因此自主数字钱包需要兼容各种不同标准、格式以及功能的可验证凭证。其次，钱包需要在各种不同的操作环境中实现同步，正如我们可以选择将物理世界中的钱包装在衣服上的任意一个口袋中。第三，钱包间需要实现凭证的转移，用户可以自由地将凭证从一个钱包中移除，移动到另外一个钱包以满足不同场景的应用需求。

2.4 数字代理

数字代理是开发、运营、维护数字钱包的代理商，数字代理需要保护用户证书、公钥安全，保障只有用户本身才可以对证书进行调用。此外，数字代理承担了建立P2P 连接的角色。在接收到用户的指令后，数字代理会在网络中连接对方的数字代理并搭建交互通道，用户将通过一种分布式加密的信息交互协议与对方进行数字身份验证、凭证交互等操作，如图5 所示。

图5 数字代理保管用户数字钱包并建立P2P 链接

2.5 分布式标识

分布式标识（Decentralized Identifier，DID）与区块链中的公钥地址功能相似，依靠分布式标识可以识别网络中成千上万的可验证凭证。DID 是一串统一资源标识符（Uniform Resource Identifier，URI），但融合了区块链和数字加密技术，使得其拥有以下四个特点[1]。第一，永久存在性。一个DID 被创造后将永久存在，不会伴随其标记对象的变化而变化，由于DID 是通过加密算法、编码算法等多个随机函数得到，保障了其在整个网络中的唯一性。第二，可解性。DID 可以被解析成为一份DID 文档，文档包含拥有者的公钥地址等元数据。第三，加密可验证性。DID 的拥有者可以利用私钥证明自己拥有该DID，以此来自主地证明身份。第四，分布式。DID 与DID 文档将存放在分布式系统中，例如区块链、分布式哈希账本、P2P 网络中，以此来避免中心化机构对其的掌控，如图6 所示。

图6 分布式标识与公私钥对关系

2.6 区块链或可验证数据库

自主身份体系的核心特点是用户的数字身份不受任何中心化机构管理，因此以区块链为代表的分布式储存方式是最佳的解决方案，其承担了储存用户DID、DID 文档以及公钥的作用。在数字代理帮助用户建立P2P 加密连接之前，会先利用DID 文档中的数字签名来验证用户身份，验证通过以后才会建立连接。所有的标识、签名信息都需要借助区块链完成，任意用户之间加密通道的建立也需要区块链为其提供保障，可见区块链等技术是该身份模型中重要的基础设施。

2.7 治理体系架构

自主身份体系的构建并不仅在技术层面，正如2.2 节中提到的可信关系，可信的背后实际上是社会中各种参与主体之间的信任，即验证方对发证方的信任。据估算，全球共有3000 多家CA 机构去认证各种网页并颁发证书，但如此大量的CA 其本身公信力或社会对其的认可程度有待考验，目前这种可信关系的建立主要依靠政府、大型企业的背书，但在去中心化的模型下，理论上任何人、物都可以成为一个独立的CA 来证明自己的身份，因此，如何建立一套可以让每个用户为自己身份背书的治理方案也是推广自主身份所面临的最大困难之一。

3 结 语

数字身份作为任何互联网活动最基础、最重要的一个环节，其发展缓慢的主要原因还是社会对其重视程度不够，即使各种技术方案都在弥补因互联网协议缺少身份层的问题，但种种迹象表明这种依靠弥补漏洞解决问题的方法随时可能失效。伴随着网民数量的急剧上升，潜在的安全风险将会增加，据美国网络运营商Verizon 统计，有63%的网络入侵行为是由用户密码泄露所造成的[4]；预计2021 年，因网络犯罪活动所造成的损失将达到6 万亿美元[5]。为此，我国应抓住这一发展过程中的关键时间点，从保障我国网民及国家安全的角度入手，提升对数字身份的重视程度，加速对区块链技术、分布式标识技术与自主身份体系的研究与投入。从政策引导、技术研究、产业培育到生态建设等方面，融合各方力量共同探索未来数字身份的发展路径并开辟新的市场。