身份是一個人所有屬性與行為的集合,隨著網際網路的普及使用者身份已經逐漸變得數字化和網路化。數字身份的發展經歷了三個特色鮮明的階段,近年來基於區塊鏈、分散式賬本等技術自主身份概念的出現再次深刻影響著數字身份體系發展的路徑與模式。自主身份透過在傳輸協議、技術方案、互動模式以及治理框架方面的變化對傳統的數字身份架構進行了顛覆性的改變。因此,對數字身份各發展階段中核心要素、重要概念的理解以及自主身份出現所帶來的改變與其關鍵要素的清晰認識是預判未來發展的關鍵。
引 言
數字化服務日益普及、數字化生產加速演進推動著產業數字化的變革與經濟社會的發展方式,數字身份作為眾多數字物件在網路空間中相互對映、互動為分辨彼此所擁有的唯一標記是任何網際網路活動必不可缺的元素。數字身份的整體發展可劃分為中心化身份、聯邦化身份和自主身份三個階段,對發展過程各階段的認識和其發展核心元素的分析是探索未來發展趨勢的關鍵,也對構建未來人、機、物等多方數字物件的全面互聯互通具有重要意義。基於此,本文對數字身份發展的三個階段進行了介紹,對未來可能成為主導的自主身份體系進行了詳細介紹,旨在為未來數字物件應用以及相關業務發展方向提供參考。
數字身份背景介紹
1.1 背景
自20世紀60年代阿帕網的出現到80年代TCP/IP協議被廣泛接受,網路協議將網際網路資訊之間的互動變得更加標準化,網路體系結構的完善為網路硬體、軟體和拓撲提供了標準,真正意義上的網際網路才逐步成型。然而,IP協議所能解決的僅是賦予網路世界中千萬機器一個標記地址,無法對這些機器的身份進行核驗,以及對操作這個機器的人、物、組織進行驗證僅使用IP協議是無法避免第三方偽裝成使用者的個人電腦或智慧裝置與外界進行資訊互動這種情況發生的。網際網路是在沒有身份層的情況下建立的,因其缺少對使用者身份的認證,我們在進行資訊互動時無法知道網路對面真正是誰,這限制了我們的行為方式,同時使很多網際網路行為變得非常危險。因此,為了讓使用者之間進行更加安全、可信的資訊互動,數字化身份的概念逐漸出現,其發展模式也在不斷地迭代更新。
1.2 中心化數字身份模型
最早出現的一種數字身份解決方案,是典型的日常應用,有公民身份證、護照、微博、微信賬號等。在該類模型下,依託由具有政府背景、社會公信力的組織、機構、企業等中心化主體集中保管使用者的個人資訊,因該類管理機構特殊的社會地位或身份,使用者會選擇將自己的個人資訊提供給它們保管。此外,這種集中儲存使用者資料並多次呼叫使用的方式減少了每次填寫重複的個人資訊時所浪費的時間和精力,為使用者創造了非常舒適的使用體驗,該模式一直保持至今,也是網際網路應用最廣泛使用的一種模式,如圖1所示。
圖1 中心化模型下使用者與機構的關係
在中心化身份模型下,使用者在網際網路中的存在完全依賴中心化機構,從另一個角度可以看作是中心化機構為使用者創造出的一個虛擬網際網路身份,即使該身份由使用者本人所控制,但實際上的所屬權全部屬於機構本身。也就是說,若脫離機構的存在,或者在該機構的資料庫中永久刪除使用者身份資訊資料,那麼原則上使用者可以絕對的在網際網路世界中消失,使用者身份從此將不再存在。因此,是第三方機構為使用者創造了屬於使用者的數字身份,同時賦予使用者使用身份的許可權,一旦機構受到攻擊,所有使用者身份相關資料資訊將完全暴露並隨時可能受到迫害。除此之外,由於太多網際網路企業採用這種數字身份管理模式,大量網頁、應用程式的出現導致使用者需要記錄大量的賬戶名和密碼,逐漸降低了使用者使用體驗。
1.3 聯邦化數字身份模型
為最佳化使用者體驗,提高數字身份的安全性,在市場的推動下逐漸演變出一種新的解決方案——聯邦化數字身份模型。與中心化模型最大的區別在於其插入了身份提供者(Identity Provider,IDP)的角色,更方便為使用者建立、維護、管理身份,同時為第三方網路應用提供身份驗證服務,使用者可以透過一鍵登入(Single Sign on,SSO)的方式來訪問其他受信任網路應用提供商,如圖2所示。
圖2 聯邦化模型下使用者、IDP、機構的關係
在該模式下,使用者僅需在IDP註冊一個身份賬戶,IDP幫助使用者在其服務範圍內授權登入各種網路應用,幫助使用者實現一鍵式登入服務。目前使用的IDP協議主要有OAuth2.0、OpenID和SAML三種,自2015年以來,大多數國內外網際網路企業都將這種模式作為一項通用標準,例如,國內的騰訊雲採用的就是SAML協議;國外如Facebook、Google、Microsoft、LinkedIn等也早在2010年開始陸續接納並採用該類協議。
IDP的出現為使用者帶來了便利,這種一鍵式登入方式也是我們日常使用過程中最為常見的方式,但新的問題也逐漸出現。首先,越來越多的網際網路企業都在爭取成為新的IDP,IDP數量急劇上升導致聯邦化模型逐漸退化為最初的中心化模式,使用者仍然面臨擁有太多 IDP賬戶密碼的問題;其次,為給使用者提供一鍵式登入服務,IDP需要打通多類網路應用,該過程中洩露了大量的使用者資料,使使用者身份資訊暴露在網際網路中,一些大型網際網路企業成為越來越多駭客的主要攻擊目標,一旦使用者丟失其IDP賬戶,可能連帶導致其多個應用程式中的資料陷於危險處境,並且賬戶找回工作將非常複雜。由此可見,帶來便利的同時也存在著極大的安全問題,新模型的出現雖然彌補了網際網路缺少身份層的問題,但並沒有從根本上解決問題,使用者身份所面臨的安全問題仍然存在。
1.4 自主身份模型
自主身份的概念起源於2015年,模型利用區塊鏈技術透明度高、隱私性強等特點,綜合加密演算法、可驗證宣告以及分散式標識等核心技術顛覆性地改變了數字身份發展的路徑。與前兩種模型最大的不同在於,自主數字身份模型大大降低了使用者對賬戶的依賴,降低了中心化機構對使用者資料的掌控,並使該身份資訊最大程度上由使用者個人所掌控,如圖3所示。
圖3 自主身份模型下使用者與使用者直接構成聯絡
當用戶進行資訊互動時,雙方需共同“維護”這個連線關係,一旦其中一方掉線則連線即刻斷開,所有的網路資訊互動需要雙方達成共識才能繼續,理論上任何人與物都可以與另外一側進行點對點互動,從根本上消除對中心化賬戶的需求。此外,使用者將驗證身份的公鑰上傳至區塊鏈中,公鑰的互換透過加密、私有P2P連線渠道進行以保證驗證安全性。這種去中心化的數字身份模型更像是現實世界錢包中的名片,經過數字化並進行數字簽名加密保障的名片不會在網路中被多次傳播洩露。
自主身份
無論是中心化數字身份模型還是聯邦化數字身份模型,都沒有從根本上解決使用者數字身份資訊易洩露、易丟失等安全方面的問題,其根本原因在於使用者並沒有真正擁有使用資料本身的權力或能力。自主身份正是在這種背景下被提出,透過多種技術、參與方以及互動模式的協作共同嘗試改變目前所暴露出的問題。自主身份體系包含七個關鍵元素:可驗證憑證、可信關係、數字錢包、數字代理、分散式標識、區塊鏈和治理架構。
2.1 可驗證憑證
憑證是任何一個身份體系都不可缺少的元素,是資料、標識、申明等資訊的載體,常見的憑證有身份證、駕照、銀行卡等。憑證的功能是向對方證實自己的身份並透過憑證上的背書讓對方認可、信任自己的這份證書。例如,身份證因受到公安部門的背書被社會所認可;畢業證書因受到高校官方的背書,被部分社會機構所認可;平時的工作證因受到單位的背書在單位內部被認可。上述這些憑證都以人為物件,但憑證的物件遠遠不限於此,網頁安全證書就是面向網際網路網站的一種證書,因受到第三方證書頒發機構(CA)的權威認證,擁有證書的網站被認為是安全可信的。
無論憑證以何種形式存在,其都包含四類關鍵元素。第一,標識。一串用來標記證書編號的數字,例如我們的身份證號、學位證書編號、工號等。第二,憑證的元資料。描述憑證自身的資訊,例如有效期限、頒發者、所用的加密演算法等。第三,申明。所描述物件的資訊,例如人的姓名、年齡、性別、網站使用者等。第四,頒發者的簽名。用來驗證背書機構的數字簽名,例如頒發者的蓋章、簽名以及公鑰。
2.2 可信關係
可信關係是憑證在流透過程中的關係網,由發證方、持證方和驗證方三者組成,如圖4所示。發證方是憑證的源頭,其賦予憑證真正的意義,常見的發證方有政府、高校、銀行等,理論上,當一個人擁有足夠的公信力時也可以作為獨立的發證方。持證方是憑證擁有者,可以擁有多個憑證來證明自己的身份,例如,我們可以透過展示自己的身份證、工作收入等向銀行證實自己的公民身份;食品透過包裝上的說明證明食品安全性;網頁可以透過 CA 授權得到的證書向用戶證明該網頁的官方真實性。可見,持證方是一個廣泛的概念,可以是人、物或者組織。驗證方則是對憑證進行核驗的物件,同樣可以是人、物或者機構。例如,銀行透過驗證身份證和收入證明來決定是否給公民授權信用卡;使用者透過檢視食品包裝上的標籤決定是否購買該食物;瀏覽器透過檢驗網頁證書來判斷該網頁是否存在風險等。
圖4 發證方、持證方和驗證方之間的可信關係
2.3 數字錢包
數字錢包與物理世界中的錢包功能相似,其擁有統一存放各類憑證、存放公鑰、保護憑證防止被盜、方便使用者使用等功能,同時使用者可以在電子化裝置,如手機、個人電腦上控制多個錢包並隨時隨地呼叫數字錢包中的各種憑證。數字錢包大體可分為兩類,第一類為移動終端錢包,廠家將錢包直接與硬體裝置系統繫結,在設計終端裝置系統軟體的同時就將錢包新增到系統內部,類似目前各種智慧手機中的錢包功能,如Apple Pay、Google Pay等;第二類為加密貨幣錢包,以第三方軟體的形式在各種作業系統中執行,如比特幣、以太幣等加密貨幣錢包。
在自主身份模型下,數字錢包需要兼備更多的功能。首先,因為自主身份互動是一種點對點的互動,互動可能發生在非常複雜多變的應用場景下,因此自主數字錢包需要相容各種不同標準、格式以及功能的可驗證憑證。其次,錢包需要在各種不同的操作環境中實現同步,正如我們可以選擇將物理世界中的錢包裝在衣服上的任意一個口袋中。第三,錢包間需要實現憑證的轉移,使用者可以自由地將憑證從一個錢包中移除,移動到另外一個錢包以滿足不同場景的應用需求。
2.4 數字代理
數字代理是開發、運營、維護數字錢包的代理商,數字代理需要保護使用者證書、公鑰安全,保障只有使用者本身才可以對證書進行呼叫。此外,數字代理承擔了建立P2P連線的角色。在接收到使用者的指令後,數字代理會在網路中連線對方的數字代理並搭建互動通道,使用者將透過一種分散式加密的資訊互動協議與對方進行數字身份驗證、憑證互動等操作,如圖5所示。
圖5 數字代理保管使用者數字錢包並建立 P2P 連結
2.5 分散式標識
分散式標識(Decentralized Identifier,DID)與區塊鏈中的公鑰地址功能相似,依靠分散式標識可以識別網路中成千上萬的可驗證憑證。DID是一串統一資源識別符號(Uniform Resource Identifier,URI),但融合了區塊鏈和數字加密技術,使得其擁有以下四個特點。第一,永久存在性。一個DID被創造後將永久存在,不會伴隨其標記物件的變化而變化,由於DID是透過加密演算法、編碼演算法等多個隨機函式得到,保障了其在整個網路中的唯一性。第二,可解性。DID可以被解析成為一份DID文件,文件包含擁有者的公鑰地址等元資料。第三,加密可驗證性。DID的擁有者可以利用私鑰證明自己擁有該DID,以此來自主地證明身份。第四,分散式。DID與DID文件將存放在分散式系統中,例如區塊鏈、分散式雜湊賬本、P2P網路中,以此來避免中心化機構對其的掌控,如圖6所示。
圖6 分散式標識與公私鑰對關係
2.6 區塊鏈或可驗證資料庫
自主身份體系的核心特點是使用者的數字身份不受任何中心化機構管理,因此以區塊鏈為代表的分散式儲存方式是最佳的解決方案,其承擔了儲存使用者DID、DID文件以及公鑰的作用。在數字代理幫助使用者建立P2P加密連線之前,會先利用DID文件中的數字簽名來驗證使用者身份,驗證透過以後才會建立連線。所有的標識、簽名信息都需要藉助區塊鏈完成,任意使用者之間加密通道的建立也需要區塊鏈為其提供保障,可見區塊鏈等技術是該身份模型中重要的基礎設施。
2.7 治理體系架構
自主身份體系的構建並不僅在技術層面,正如2.2節中提到的可信關係,可信的背後實際上是社會中各種參與主體之間的信任,即驗證方對發證方的信任。據估算,全球共有3000多家CA機構去認證各種網頁並頒發證書,但如此大量的CA其本身公信力或社會對其的認可程度有待考驗,目前這種可信關係的建立主要依靠政府、大型企業的背書,但在去中心化的模型下,理論上任何人、物都可以成為一個獨立的CA來證明自己的身份,因此,如何建立一套可以讓每個使用者為自己身份背書的治理方案也是推廣自主身份所面臨的最大困難之一。
結 語
數字身份作為任何網際網路活動最基礎、最重要的一個環節,其發展緩慢的主要原因還是社會對其重視程度不夠,即使各種技術方案都在彌補因網際網路協議缺少身份層的問題,但種種跡象表明這種依靠彌補漏洞解決問題的方法隨時可能失效。伴隨著網民數量的急劇上升,潛在的安全風險將會增加,據美國網路運營商Verizon統計,有63%的網路入侵行為是由使用者密碼洩露所造成的;預計2021年,因網路犯罪活動所造成的損失將達到6萬億美元。為此我國應抓住這一發展過程中的關鍵時間點,從保障我國網民及國家安全的角度入手,提升對數字身份的重視程度,加速對區塊鏈技術、分散式標識技術與自主身份體系的研究與投入。從政策引導、技術研究、產業培育到生態建設等方面,融合各方力量共同探索未來數字身份的發展路徑並開闢新的市場。
引用本文:景越,李婧璇,劉衛衛.自主身份理念與關鍵要素分析[J].資訊保安與通訊保密,2021(5):112-118.
作者簡介 >>>
景 越(1995—),男,碩士,初級工程師,主要研究方向為工業網際網路標識解析、數字身份和區塊鏈等;
李婧璇(1995—),女,碩士,初級工程師,主要研究方向為區塊鏈政策治理、數字身份和工業網際網路標識解析監管等;
劉衛衛(1995—),女,學士,初級工程師,主要研究方向為域名業務諮詢、業務系統建設以及域名等行業相關研究及支撐工作。
選自《資訊保安與通訊保密》2021年第5期(為便於排版,已省去原文參考文獻)