数字身份安全治理研究

李 俊 柴海新

(国民认证科技(北京)有限公司 北京 100085)

1 问题与挑战

随着物联网和智能互联网的迅猛发展，网络空间中的实体类型和数量急剧增加.在复杂的异构网络环境中，自然人、设备、服务、应用等各类实体都需要拥有数字身份以便进行区分和识别，并进行身份联合以实现跨域信任，这不仅给数字身份的治理带来较大压力，同时也给保障实体数字身份的安全带来挑战.

目前，网络空间存在着个人身份信息严重泄露的现象，大量的身份信息成为黑产瞄准的目标，包括自然人的姓名和身份证号码、手机号码、银行卡号、设备序列号、网络账号及口令等等.网络身份的盗用、冒用泛滥成灾，各种诈骗、侵权案件频繁发生.生物特征识别技术(如人脸识别)大面积滥用，导致大量的自然人生物特征泄露，造成严重后果.据统计[1]，2020年全球数据泄露造成巨大损失，其中消费者的个人可识别信息(personally identifiable information,PII)的泄露成本最高，平均每条记录达到150美元.如何确保数字身份信息的安全是当前急需解决的重要问题.

此外，数字身份的管理和治理还面临电子认证技术不统一带来的差异化问题.不同类型和规模的应用服务在电子认证技术的安全性、便捷性以及隐私保护方面的差异化需求，导致数字身份在格式和接口方面的互操作性非常低.而且整个电子认证行业仍然缺乏统一的评估评价体系，使得不同身份管理服务之间难以互联互通，不利于构建良好的数字身份生态系统.

2 数字身份的基本概念

所谓身份是指实体(包括自然人、设备、部件、机构等)的属性集合，这些属性能够反映该实体的特性或本质，从而使得该实体在特定语境中被充分识别.例如，自然人的姓名和身份证号码、网络用户的电子邮件地址、设备的唯一序列号、产品的唯一编码、企业的组织机构代码等等.而数字身份则是指身份信息的数字表示，能够在网络空间特定语境中唯一代表某个实体.

既然数字身份可以唯一识别某个实体，那么必然引申出用于验证数字身份的概念：凭证(credential).凭证与身份紧密相关，脱离凭证而讨论数字身份是毫无意义的.国家标准GB/T 25069—2010 《信息安全技术 术语》中对于凭证的定义为：“为确定实体所声称的身份而提供的数据[2]”，而根据国际标准ISO/IEC 24760-1:2019 《IT安全与隐私—身份管理框架—第1部分：术语和概念》的定义，凭证是“用于鉴别的身份的表示[3]”.因此，可以认为，广义上的数字身份不仅仅只是一个标识符(identifier)，而应由标识符和与之绑定的凭证共同构成.因此，对于实体进行身份鉴别的过程，也可视为对于该实体身份标识符所绑定的凭证进行验证的过程.近年来，围绕凭证概念，出于对凭证的具体特性、功能和安全性的关注，出现了一个新的术语：“鉴别器(authenticator)”，一般是指在进行身份鉴别时，声称方所拥有或掌控的可用于鉴别声称方身份的功能组件或方法.鉴别器可以是物理或逻辑组件，包含并绑定了实体的凭证或者凭证生成方法，并执行身份鉴别协议.例如，口令、口令生成器、执行数字签名操作的密码模块等等.

实体所拥有的身份可分为多种类型.顾青等人[4]提出自然人可对应多种身份，包括原始身份、国家赋予的身份、可信机构赋予的身份、网络上的身份以及其他网络应用的身份.实际上，从应用场景的角度来看，数字身份可根据其在网络空间中的不同需求分为两大类别：实名身份和账号身份.实名身份包含实体的姓名、身份证号码、护照号码等社会属性，以法定证件为基础，能够从法律意义上区分某个实体.而账号身份则仅需要区分某个系统服务的用户即可，例如由一个单词或者无意义的字符串构成的标识符，可能系统服务并不需要知道该用户的真实姓名和身份证号码等属性.通俗地讲，对于实名身份的鉴别需求可称之为“证明你是谁”；而对于账号身份的鉴别需求称为“证明你是你”.

3 数字身份模型

3.1 模型架构

美国国家标准与技术研究院(NIST)在其特别出版物SP 800-63-3中提出了数字身份模型(如图1所示[5])：

图1 数字身份模型

该模型中涉及到多个参与方角色，包括申请方(applicant)、声称方(claimant)、合法用户(subscriber)、凭证服务提供方(credential service provider,CSP)、注册机构(registration authority,RA)、依赖方(relying party,RP)、验证方(verifier).申请方是指申请成为系统合法用户的实体；声称方是指声称自己是系统合法用户的实体；合法用户是指拥有合法身份并可被授权使用系统资源的实体；依赖方是指依赖于实体鉴别结果的业务服务方，只有鉴别成功后才能为实体提供业务服务；凭证服务提供方负责为实体颁发和管理凭证或鉴别器；注册机构负责创建实体身份，为实体分配标识符；验证方负责对实体身份信息和凭证或鉴别器进行核实和验证.上述角色中，有些角色既可属于同一家机构，也可属于不同机构.例如，身份提供方(identity provider,IDP)可由CSP、RA和验证方共同组成；RA和CSP可以是同一家机构；依赖方和验证方也可以是同一家机构.

3.2 围绕数字身份的活动

数字身份具有完整的生命周期，从创建身份到使用和维护身份，最后注销身份，整个过程中身份具有多种状态，包括“未知”“创建”“活跃”“暂停”“归档”这5种状态(如图2所示[3]).“未知”状态是指注册机构对于某个实体不拥有任何身份信息，意味着该实体对于系统而言是未知的，可能从未存在过，也可能曾经存在过但已被彻底删除；“创建”状态是指实体已由申请方角色经过登记活动后成为合法用户，相关身份信息已经注册完毕并已获颁发凭证或鉴别器；“活跃”状态是指合法用户的身份信息被激活后可正常使用和维护，例如使用身份信息进行鉴别或联合；“暂停”状态是指身份管理系统暂时中止实体的身份信息的使用，实体暂时无法使用系统服务资源；“归档”状态是指实体的身份信息保留在注册机构中，尽管实体可能已经完成了注销操作.

图2 数字身份生命周期

在图1所描述的数字身份模型中，实体在进入系统之前，作为申请方角色，由注册机构进行身份核验(identity proofing)，分配标识符，然后由凭证服务提供方为其创建、绑定并颁发凭证或鉴别器，此时实体就由申请方正式成为系统合法用户.此活动称为“登记(enrolment)”.通过登记活动，数字身份的状态由“未知”转换为“创建”.数字身份成功创建后应执行激活操作，将凭证或鉴别器正式投入使用，此时数字身份状态由“创建”转换为“活跃”，可以正常使用和维护.数字身份的使用主要包括“鉴别(authentication)”和“联合(federation)”活动.当进行鉴别活动时实体以声称方角色进入系统，由验证方对其凭证或鉴别器进行验证.完成鉴别后，如果依赖方和验证方不属于同一家机构，则由验证方生成包含鉴别结果的断言并发送给依赖方，依赖方根据断言获得实体的身份，此时实体由声称方成为系统合法用户，与依赖方建立可信的会话，这个过程称为“联合”活动.数字身份的维护主要是指注册机构对于所存储的实体身份信息进行及时更新等操作.当实体身份需要变更时，例如执行更换标识符、延长凭证有效期等操作，此时需要执行凭证更新或更换，数字身份的状态由“活跃”转换为“创建”，需要执行激活操作才能回到“活跃”状态.当实体身份临时出现问题时，需要将其凭证的有效性临时中止，此时数字身份的状态由“活跃”转换为“暂停”；当问题得到解决后重新执行激活操作，则数字身份由“暂停”转换回“活跃”.当实体身份在语境中已无存在必要时，可将其归档或者直接删除(即“注销”)，此时数字身份的状态由“活跃”转换为“归档”或者“未知”.如需彻底删除，则应将归档的实体身份信息也全部删除.在上述过程中所涉及到的凭证或鉴别器相关的活动，例如凭证创建、凭证绑定、凭证颁发、凭证激活、凭证暂停、凭证更新或更换等操作，统称为“凭证管理”活动.

围绕数字身份生命周期的活动及其角色和功能如图3所示：

图3 围绕数字身份生命周期的活动及其角色和功能

4 数字身份安全保障框架

数字身份模型中所描述的各个活动，例如注册机构对申请方进行登记时所执行的身份核验活动，凭证服务提供方为申请方创建、绑定、颁发凭证或鉴别器的活动，验证方对于声称方所执行的鉴别活动、验证方将断言提交给依赖方的联合活动以及注册机构与凭证服务提供方和验证方之间的交互活动等，均存在各种各样的安全风险.如何对这些活动的安全风险进行评估和控制，从而实现对整个数字身份模型进行可信度的衡量和管理呢，这就需要建立统一的数字身份安全保障框架，划分保障等级，以帮助各参与方提高对数字身份模型各项活动的可信度管理水平，促进各参与方之间互联互通并建立互信机制.

国际标准ISO/IEC 29115:2013《信息技术—安全技术—实体鉴别保障框架》在分析了参与实体身份鉴别的各个角色职责的基础上，提出了实体鉴别保障框架[6].该框架包含技术和管理2部分，在技术方面，列举了实体身份鉴别各个阶段所应当包含的详细流程；在管理方面，列举了身份提供方应当遵循的管理要求、准则和注意事项.该标准提出了保障等级(level of assurance,LoA)，并将其划分为“低、中、高、极高”这4个级别.保障等级描述了数字身份在生命周期中所采用的保障措施的可信任程度，反映了数字身份体系的过程、管理活动和技术控制手段的综合作用.但由于数字身份全生命周期过程的多样性和复杂性，单一的保障等级无法准确反映数字身份系统的整体安全程度.例如，某个数字身份系统在登记活动中采取了非常严格的安全保障措施，安全风险和隐患较少，但在凭证管理活动中采取的安全保障措施非常宽松，存在较多安全风险和隐患，则该数字身份系统的整体保障等级就无法准确衡量.NIST SP 800-63-3对于保障等级进行了完善，根据数字身份生命周期的不同活动的特点，将保障等级分为3类[5]：身份保障等级(identity assurance level,IAL)、鉴别器保障等级(authenticator assurance level,AAL)、联合保障等级(federation assurance level,FAL).IAL反映了数字身份系统在登记活动中所采取的身份核验手段的安全程度，AAL反映了凭证管理活动和鉴别活动中所采取的相关控制手段的安全程度，FAL则反映了数字身份在联合活动中所采取的控制手段的安全程度.通过将保障等级进行分门别类的细化处理，数字身份模型的整体安全保障也得以实现细粒度的优化改进.基于上述理解，通过对ISO/IEC 29115:2013和NIST SP 800-63-3进行综合考虑，同时结合我国国情，本文提出了综合技术、管理以及分类保障等级的数字身份安全保障框架，如图4所示.

图4 数字身份安全保障框架

图4中，联合活动不是数字身份使用的必备活动，因此用虚线框表示.此外，注销活动没有单独列出，而是隐含在凭证撤销或销毁活动中.

4.1 身份保障等级

IAL主要关注数字身份由“未知”状态转换到“创建”状态以及由“活跃”或“归档”状态转换到“未知”状态过程中的安全保障措施.实体以申请方角色进入系统，注册机构对其进行身份核验并分配标识符，而凭证服务提供方为其创建、绑定并颁发凭证或鉴别器，最终完成数字身份的创建，结束登记活动.对于账号身份而言，由于不需要确认实体的真实身份信息，因此身份核验措施可以较为宽松，仅需实体进行自我申明即可；但对于凭证的创建、绑定和颁发则应注意防范风险，减少凭证泄露、篡改、抵赖等安全威胁.对于实名身份而言，则需要严格采取身份核验措施，根据业务需要以远程或现场的方式完成实名、实人、实证的核验，解决身份假冒、重复登记、抵赖登记等安全问题，同时还需防范自然人用户的隐私信息泄露风险，切实保护用户个人信息.此外，当系统合法用户执行注销操作时，其身份信息应当彻底删除以确保安全.

4.2 鉴别器保障等级

AAL主要关注数字身份处于“活跃”状态且用于鉴别活动时的安全保障措施.实体以声称方角色进入系统，验证方对其凭证或鉴别器进行鉴别.鉴别活动根据凭证或鉴别器的特性，通过特定的协议完成对实体数字身份的鉴别.鉴别协议应在保证安全的同时做到足够方便快捷，并确保个人身份信息的安全.鉴别器可采用软件、固件或硬件实现；可采用基于密码学算法的方式实现；可采用多因素鉴别方式等.整个鉴别活动需注意抵御凭证伪造、复制、破解、重放等攻击，防范中间人攻击、会话劫持、伪造验证方等安全风险.

4.3 联合保障等级

FAL主要关注数字身份处于“活跃”状态且用于联合活动时的安全保障措施.验证方在完成对声称方的鉴别之后，将鉴别结果(包含声称方数字身份信息的部分内容)以断言的形式发送给依赖方，从而使得声称方成为合法用户并与依赖方建立可信会话.联合活动中存在多种安全风险，例如，攻击者伪造或修改断言，导致声称方能够提高自身身份等级以进行越权访问依赖方服务；验证方可能否认创建并发送断言；声称方抵赖与断言相关的行为；断言的重定向和重放攻击等.此外，断言中可能包含数字身份信息，会导致个人敏感信息的泄露.验证方需采取控制手段降低安全风险，例如，使用验证方数字签名、对断言进行加密以及使用声称方数字签名等.

5 实现数字身份安全治理的思路

实施网络空间数字身份安全治理，建议遵循“制定战略、建立制度、运用技术、构建生态、加强监管”的方针稳步推行.

1)制定网络空间可信身份战略

从国家层面而言，建议参考借鉴欧美成熟经验，结合我国国情，明确数字身份安全保障框架，建设数字身份国家基础设施，打造覆盖全社会的身份生态系统，全面构建和确保真实的人与虚拟世界的可信连接，坚持实行“前台匿名、后台实名”的原则，在实施网络实名制的同时确保用户的个人身份信息安全.

从企业层面而言，应与网络空间可信身份国家战略保持一致，基于公安部公民网络电子身份标识(eID)[7]或居民身份网络可信凭证(CTID)[8]对用户进行可信身份核验，不收集和存储用户的真实身份信息以及生物特征，不利用用户真实身份信息和生物特征牟取利益，合理利用用户身份资源开展业务.

2)建立健全数字身份相关规范和制度

目前，全国信息安全标准化技术委员会(TC260)鉴别与授权工作组(WG4)已经构建了鉴别与授权技术标准体系框架，将数字身份领域的相关标准分成标识类、验证与证明类、鉴别类、授权类和集成应用与身份管理类这5个类别[9].一批数字身份相关标准正在抓紧研制中，例如，《信息安全技术 实体鉴别保障框架》《信息安全技术 网络身份服务安全技术要求》《信息安全技术 生物特征识别信息保护基本要求》等标准已分别进入报批稿或送审稿阶段，还有一系列生物特征识别(如人脸识别、声纹识别、步态识别、基因识别)的数据安全要求标准正在进行草案编制.

除技术规范和标准之外，我国正在抓紧制定出台《数据安全法》和《个人信息保护法》，为数据安全和个人隐私保护提供法律保障.在此基础上，建议加紧制定与保护数字身份安全相关的法规和制度，例如，生物特征识别(如人脸识别)技术不应在没有征得用户同意的情况下随意使用，防止生物特征凭证大规模泄露；不应在没有征得用户明示同意的情况下基于用户身份信息进行用户画像等等，从而为数字身份安全治理提供法律支撑.

3)综合运用各种先进技术

业界关于数字身份的技术非常多，各类创新层出不穷.大致可从鉴别因素、鉴别协议、联合协议、凭证管理模式这些角度来分别进行分析.从鉴别因素来看，传统的口令、动态口令、U盾、生物特征识别技术，以及多因素认证等都属于此类技术；从鉴别协议来看，除传统的挑战-应答鉴别协议、Kerberos协议以外，近年来出现的创新的在线快速身份(fast identity online,FIDO)协议[10]，已经成为业界的主流鉴别协议；从联合协议来看，OpenID Connect和安全断言置标语言(security assertion markup language,SAML)是主流的身份联合协议；从凭证管理模式来看，随着区块链技术的发展，凭证管理从传统的中心化管理模式向去中心化管理模式发展.这意味着数字身份的管理从以应用为中心转向以用户为中心.目前，W3C组织已经发布了去中心化标识符(decentralized identifiers,DID)标准草案[11]和可验证凭证(verifiable credentials,VC)数据模型标准草案[12].郭小波等人[13]比较了中心化管理和去中心化管理的优劣，提出2种模式可并存结合使用，并使用区块链和人工智能技术帮助完善网络身份管理体系.为有效实施数字身份的安全治理，建议吸取各种先进技术的优点，融合集中化的管理和分布式的身份架构，充分利用公钥密码算法和硬件可信环境等，集各家之长，全面提高IAL,AAL,FAL的安全等级，实现安全、便捷且保护隐私的身份认证.

4)构建良好的身份生态系统

实施数字身份安全治理，建议妥善协调数字身份模型中各参与方的利益，引导和推动政府机构和民营机构及社会团体开展协作，共同打造良好的数字身份生态系统.数字身份模型的各参与方应实施统一的数字身份安全保障框架，对围绕数字身份生命周期的活动进行可信度衡量，提高不同身份管理系统之间的互信程度.考虑到计算设备在用户使用数字身份过程中的重要地位，随着安全芯片、可信执行环境和生物特征识别技术在移动智能终端和物联网控制设备中的日益普及，鉴别器的安全程度也在逐渐提高，并通过开放标准的统一接口，不断提高数字身份模型的互操作性.同时，在不同安全域中推行不同保障等级之间的有效映射机制，从而简化数字身份管理和治理的难度，为实现数字身份跨域信任提供技术支撑.

5)加强对身份提供方的监管

建议对身份提供方(包括注册机构、凭证服务提供方、验证方)实行备案制，并对其进行分级评估.取得相应服务资质后才能开展身份服务.身份提供方应制定身份信息的保护策略，对于围绕数字身份生命周期的活动进行清晰、完整的描述，确保用户易于理解，并征得用户的明示同意.身份提供方应切实做好记录保留工作，必要时将身份信息处理过程的日志信息提供给用户以及相关监管机构和审计方，以确保相关参与方能够及时获得身份信息的处理情况或异常情况等.

6 结束语

围绕数字身份生命周期的活动及角色和功能较为复杂，需要各参与方统一认识，实施数字身份安全保障框架，分别从身份保障等级、鉴别器保障等级和联合保障等级提高安全程度，降低安全风险，提高互操作性.而搞好数字身份的安全治理工作宜从“战略、制度、技术、生态、监管”这5个层面下功夫.通过有效地实施数字身份治理降低数字身份存在的风险，确保数字身份的安全，可促进个人与机构之间在网络空间中的各种互动，有助于网络服务方更有效地提高服务质量，获取信任，节省成本，同时也帮助用户消除身份信息泄露的威胁，减少被欺诈而受损的风险，创造重要的经济价值和社会价值.