从目录到区块链探索企业数字身份的未来

李江鑫 张晓韬 王先兵

摘  要：从古至今，信息的交换从来离不开身份的验证，该文介绍了从现实世界到数字世界，从物理身份到数字身份，尤其是在企业中通时代的发展情况。数字身份经历了PC时代、移动互联时代，到现在的全面数字化，并探讨了未来发展方向。随着移动互联网的高速发展，企业将身份管理延伸至客户端，为企业的获客、营销、运营提供多元化的身份服务能力。

关键词：目录  数字身份  区块链  零信任身份  零知识证明

中图分类号：TP393.08                     文献标识码：A文章编号：1672-3791（2021）04（c）-0058-04

Explore the Future of Enterprise Digital Identity from Directory to Blockchain

LI Jiangxin  ZHANG Xiaotao  WANG Xianbing

（Aostar Information Technologies Co.，Ltd.， Chengdu， Sichuan Province， 610041  China）

Abstract： Since ancient times， the exchange of information has never been without identity verification. This article introduces the development from the real world to the digital world， from physical identity to digital identity， especially in the era of enterprise communication. Digital identity has gone through the PC era， the mobile internet era， and is now fully digitized， and the future development direction has been discussed. With the rapid development of the mobile Internet， companies have extended their identity management to the client， providing diversified identity service capabilities for the company's customer acquisition， marketing， and operation.

Key Words： Directory; Digital identity; Blockchain; Zero-trust identity; Zero-knowledge proof

身份认证技术在计算机网络中是证明操作者身份的过程而产生的有效解决方法。从古至今，从物理世界到虚拟世界，人们的身份证明方式发生了天翻复地的变化。对于实体身份的证明，在古代人们一般是以腰牌、虎符、官印、朝珠、手信等信物和服饰来识别一个人的身份，在现在社会则通过身份证、户口本、护照、驾照、社保卡等信物来证明身份，同时也可以通过人们的社交关系证明身份。在数字世界里如何证明一个人的身份，依然是一件比较困难的事，目前成熟手段主要以个人征信、社交账号、邮箱账号、手机号、人脸、指纹等信息证明身份。

1  企业身份认证的发展历程

企业数字身份发展也先后经历了多个阶段，从最初的目录（LDAP）服务，到现在的联合身份，企业从内到外逐渐实现了用户身份的全覆盖。最初，企业大多只管理了内部用户的身份，通过统一分配账号的手段，让员工使用企业系统，此时基本是一个系统一个账号。通过统一目录服务，企业将不同系统的身份进行了融合，并提供单点登录服务，提升了用户体验，加强了身份的安全。同时，更完善的身份认证系统提供了统一的授权和审计，强化了企业身份全生命周期管理，合规性更强。随着移动互联网的高速发展，企业将身份管理延伸至客户端，为企业的获客、营销、运营提供多元化的身份服务能力。

1.1 PC网络时代

主要特征是PC電脑的大量应用，带来信息化能力的提升，身份认证的主要手段是账号+密码。在这个阶段，企业信息化飞速发展，各类业务信息系统如春笋般上线，但是各个信息系统之间基本上都是独立的一套系统，分别有自己的账号体系、密码规则、不同的登录界面以及用户管理等功能。

随着系统越建越多，每个人可能需要记多套账号口令、在浏览器收藏多个系统登录地址、账号密码的创建维护工作难以高效开展，安全短板也越来越多。企业的经营者以及IT主管部门意识到，这将是一个巨大的麻烦，如果继续发展下去，将极大地阻碍企业生产经营活动。因此，统一身份认证以及访问控制的一组技术被用于整合企业的身份，帮助用户实现一个账号登录企业所有系统，同时使跨部门业务的融合成为可能。

1.1.1 统一目录（LDAP）

比如：Microsoft Active Directory（AD）、eDirecotry等，提供了统一的账号组织存储和一组标准化的轻量级数据访问标准协议，只要支持该协议的其他系统都可以通过简单的访问地址与连接账户配置，访问和获取LDAP中的用户、组织、访问控制信息。

1.1.2 单点登录（SSO）

用单点登录简化用户访问，用户一次登录后，就可以依靠认证令牌在不同系统之间切换。

1.1.3 身份分发技术

以身份认证系统为权威身份源，通常以XML或其他标准化数据格式向其他异构系统实时推送账号/口令信息，以实现各信息系统身份信息一致。

1.2 移动互联时代

移动互联时代的主要特征是智能手机的大量普及，身份认证的主要手段是手机动态码，账号+密码依然是双选项之一，并在大量金融、支付场景识别用户多种认证因子，确保安全[1]。这一阶段在网络上使用大部分应用时，可以通过手机号、微信号、支付宝等识别一个人的身份。

随着移动穿戴设备、物联网、AI技术主要特征是智能设备的大量普及，带来了万物互联的繁荣景象，身份认证的主要手段增加了人脸、指纹等生物特征。在这一阶段，更多的是体现身份的原本特征，不再依赖外部设备来对身份进行核验，進出大楼、购物消费、乘坐地铁、机场通行只需要一张脸即可。

总体来说，企业身份的发展主要服务于企业的发展经营，对外相当于一个封闭系统，少有企业之间的身份互通。在不同领域实际数字身份的发展还是存在着比较大的差异。总体方向上，数字身份面向用户变得越来越安全便捷，面向企业身份所蕴含的信息越来越丰富。

2  主流技术方案

由于使用领域的不同，数字身份系统目前主流的技术包括这5种类型，分别是内部身份管理、外部身份认证、集中身份、联合认证、分布式身份。

2.1 内部身份管理

一方同时是身份提供者和依赖方。企业内部使用的身份认证技术，主要是为了解决身份分散管理、用户记忆过多账号密码、认证方式不够安全可靠、权限分配不合规、无法审计等问题。目前，最新的技术方案是将企业内外部应用和全部归口用户进行覆盖，通过各类平台整合的方式，提供一套完整的解决方案。可以对各类用户采取不同的管理策略，也可以同时在内外网使用。

2.2 外部身份认证

与内部身份相似，但另有一组身份提供者鉴定用户身份。其优势是用户可凭借一组凭证而不是设 置不同的用户名和密码来使用不同的服务。为用户提供标准的身份认证服务，集成、ID供应、应用集成、无密认证[2]服务，为企业解决了身份难题，同时为企业降低身份投入，提升安全。另外，在这一方向上今年来形成产业联盟认证的方式，例如：国外的FIDO协议、国内的IFAA（阿里）和腾讯发起的SOTER、公安一所发起的OIDAA。这些方案致力于简化认证方式，增强安全性，将人脸、指纹等生物识别技术应用于互联网及企业身份认证应用。

2.3 集中身份

这一类身份认证技术中心，身份提供方（如公安机构）一般都有刚性需求的身份信息提供，如身份证信息核验。身份使用者通过付费、集成等方式，通过用于允许后，对身份进行联网认证。目前，全国公民身份信息服务平台CTID是最大的联网核查服务，金融机构、机场、酒店都是通过这种方式对用户身份进行实名核验。

2.4 实名认证

在网络安全实名制要求后，互联网应用也采用实名制注册的方式，对用户身份信息进行核查。但这里，由于早期只是通过这两个因素（姓名+身份证号）的核查方式，导致很多网络应用用户注册的实名信息存在大量假冒、伪冒情况。为了避免存在这种现象，目前采用了身份证OCR+人脸活体识别的方式对身份实名进行核验，但成本较高，需要对客户端进行技术升级。更新的技术将身份安全芯片跟银行卡、电话卡进行融合，可直接通过这些卡进行身份识别。另外，在一些支持NFC读取的手机上，也支持直接读取二代身份证的身份芯片，对身份进行实名认证。

2.5 联合认证

一个身份提供者使用第三方权威身份信息为依赖方认证进行认证。除各种私营经纪商向服务订购方发出数字身份外，这类系统与集中身份系统相似。

3  新技术的应用

身份认证技术存在着多层次问题，在底层标准方面多方缺乏共识，顶层用户体验方面在各领域参差不齐，中间层的信息协调存在商业壁垒。主要难点体现在以下方面。

一是数字身份面临着其他广泛使用的数字技术已经暴露出的风险，如数据泄露、技术漏洞、故障以及滥用个人数据等在数字生态系统中既有的一系列潜在风险。

二是数字身份涉及与传统身份程序相关的一些风险，如人为执行错误、未经授权的使用以及对不懂得如何使用数字身份、不信任数字身份系统的个体的排斥。

数字身份系统从设计到实施的整个生命周期中，创造价值和获取信任是至关重要的。新技术的出现带来产品、工具乃至生产关系发生变化，整个社会总是在不同的因素驱动下向前发展，也倒逼数字身份技术的持续变革。

3.1 区块链身份认证技术

区块链技术作为新基建领域中基础设施类的重要技术，已经与大数据、人工智能、工业互联网等技术深度融合，逐步成为数字化智能时代的技术基础。相较于传统身份认证体系，基于区块链建立的数字身份认证系统具有保证数据真实可信、用户隐私安全等特征。区块链数字身份认证将众多身份提供者与众多依赖方连接在一起，为所有用户设立数字账户以实现跨机构、跨地区访问，能有效地解决多方数据共享交换的问题，在用户许可的整体框架下，进行身份信息的互联互通[3]。具体情况见图1。

3.2 零知识证明用于隐私保护

零知识证明（Zero-Knowledge Proof），是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。零知识证明算法流程如下，双方遵从零知识证明的协议[4]，验证着通过给定的信息以零知识算法的公开制验证其是否相等。证明过程见图2。

零知识证明不仅能满足双方身份验证的需求[5]，还能实现被验证方不泄漏任何隐私信息，这样的模型非常适用于隐私保护，试想有一天，我们在买房的时候，无需向开发商提供身份证、手机号、家庭住址等重要隐私信息，就能完成付款、交付等购房环节，这样个人将不再受到没完没了的隐私侵犯和骚扰，也将对“数据黑产”产生致命打击。

3.3 基于零信任的身份模型

零信任不是某一项技术或者方案，而是一种安全管理思想。零信任是为解决传统基于边界的安全防护架构失效问题，构筑新的动态虚拟身份边界。通过身份、环境、动态权限这3个层面，缓解身份滥用、高风险终端、非授权访问、越权访问、数据非法流出等安全風险，建立了端到端的动态访问控制机制，极大收缩攻击面，为各行业的新一代网络和信息安全建设提供理论和实践支撑。

零信任不是取代或者替换传统的身份认证技术，零信任模型中身份成为中心，传统的多种身份认证技术将结合新技术一起被部署在企业网络当中[6]。在零信任模型中，并不限制使用任何单一的身份验证技术，图3是将传统4A与零信任融合落地的方案。

4  结语

数字身份的发展方向在各行各业很难形成大一统的局面，却遵循着越来越一致的发展原则，包括产生社会价值、隐私保护、以用户为中心、可信性与可持续性、开放灵活等。从技术层面来看，区块链数字身份认证、零信任身份、零知识证明等较新的技术与传统方式不是替代关系，而是共生演进的形态，这与整个社会、行业、企业的特性密切相关，但这些技术确实已经成为企业数字身份的明确方向。

参考文献

[1] 丁兴.基于多因子行为的身份鉴别方案与应用研究[D].贵州大学，2020.

[2] 周平，刘廷峰，李江鑫.企业级免密认证系统开发实践[J].网络空间安全，2018，9（12）：32-34.

[3] 顾燕.基于区块链的身份认证系统的设计与实现[D].北京邮电大学，2018.

[4] 李小燕.网络可信身份认证技术演变史及发展趋势研究[J].网络空间安全，2018，9（11）：6-11，18.

[5] 赵殷豪.基于区块链的匿名技术研究[D].北京交通大学，2019.

[6] 左英男.零信任架构：网络安全新范式[J].金融电子化，2018（11）：50-51.

①作者简介：李江鑫（1986—），男，本科，工程师，研究方向为信息系统集成与统一身份认证。

张晓韬（1983—），男，本科，工程师，研究方向为网络信息安全与数字身份认证领域。

王先兵（1985—），男，本科，工程师，研究方向为软件架构及研发。