數字身份安全治理研究

李 俊 柴海新

(國民認證科技(北京)有限公司 北京 100085)

1 問題與挑戰

隨著物聯網和智能互聯網的迅猛發展，網絡空間中的實體類型和數量急劇增加.在復雜的異構網絡環境中，自然人、設備、服務、應用等各類實體都需要擁有數字身份以便進行區分和識別，并進行身份聯合以實現跨域信任，這不僅給數字身份的治理帶來較大壓力，同時也給保障實體數字身份的安全帶來挑戰.

目前，網絡空間存在著個人身份信息嚴重泄露的現象，大量的身份信息成為黑產瞄準的目標，包括自然人的姓名和身份證號碼、手機號碼、銀行卡號、設備序列號、網絡賬號及口令等等.網絡身份的盜用、冒用泛濫成災，各種詐騙、侵權案件頻繁發生.生物特征識別技術(如人臉識別)大面積濫用，導致大量的自然人生物特征泄露，造成嚴重后果.據統計[1]，2020年全球數據泄露造成巨大損失，其中消費者的個人可識別信息(personally identifiable information,PII)的泄露成本最高，平均每條記錄達到150美元.如何確保數字身份信息的安全是當前急需解決的重要問題.

此外，數字身份的管理和治理還面臨電子認證技術不統一帶來的差異化問題.不同類型和規模的應用服務在電子認證技術的安全性、便捷性以及隱私保護方面的差異化需求，導致數字身份在格式和接口方面的互操作性非常低.而且整個電子認證行業仍然缺乏統一的評估評價體系，使得不同身份管理服務之間難以互聯互通，不利于構建良好的數字身份生態系統.

2 數字身份的基本概念

所謂身份是指實體(包括自然人、設備、部件、機構等)的屬性集合，這些屬性能夠反映該實體的特性或本質，從而使得該實體在特定語境中被充分識別.例如，自然人的姓名和身份證號碼、網絡用戶的電子郵件地址、設備的唯一序列號、產品的唯一編碼、企業的組織機構代碼等等.而數字身份則是指身份信息的數字表示，能夠在網絡空間特定語境中唯一代表某個實體.

既然數字身份可以唯一識別某個實體，那么必然引申出用于驗證數字身份的概念：憑證(credential).憑證與身份緊密相關，脫離憑證而討論數字身份是毫無意義的.國家標準GB/T 25069—2010 《信息安全技術 術語》中對于憑證的定義為：“為確定實體所聲稱的身份而提供的數據[2]”，而根據國際標準ISO/IEC 24760-1:2019 《IT安全與隱私—身份管理框架—第1部分：術語和概念》的定義，憑證是“用于鑒別的身份的表示[3]”.因此，可以認為，廣義上的數字身份不僅僅只是一個標識符(identifier)，而應由標識符和與之綁定的憑證共同構成.因此，對于實體進行身份鑒別的過程，也可視為對于該實體身份標識符所綁定的憑證進行驗證的過程.近年來，圍繞憑證概念，出于對憑證的具體特性、功能和安全性的關注，出現了一個新的術語：“鑒別器(authenticator)”，一般是指在進行身份鑒別時，聲稱方所擁有或掌控的可用于鑒別聲稱方身份的功能組件或方法.鑒別器可以是物理或邏輯組件，包含并綁定了實體的憑證或者憑證生成方法，并執行身份鑒別協議.例如，口令、口令生成器、執行數字簽名操作的密碼模塊等等.

實體所擁有的身份可分為多種類型.顧青等人[4]提出自然人可對應多種身份，包括原始身份、國家賦予的身份、可信機構賦予的身份、網絡上的身份以及其他網絡應用的身份.實際上，從應用場景的角度來看，數字身份可根據其在網絡空間中的不同需求分為兩大類別：實名身份和賬號身份.實名身份包含實體的姓名、身份證號碼、護照號碼等社會屬性，以法定證件為基礎，能夠從法律意義上區分某個實體.而賬號身份則僅需要區分某個系統服務的用戶即可，例如由一個單詞或者無意義的字符串構成的標識符，可能系統服務并不需要知道該用戶的真實姓名和身份證號碼等屬性.通俗地講，對于實名身份的鑒別需求可稱之為“證明你是誰”；而對于賬號身份的鑒別需求稱為“證明你是你”.

3 數字身份模型

3.1 模型架構

美國國家標準與技術研究院(NIST)在其特別出版物SP 800-63-3中提出了數字身份模型(如圖1所示[5])：

圖1 數字身份模型

該模型中涉及到多個參與方角色，包括申請方(applicant)、聲稱方(claimant)、合法用戶(subscriber)、憑證服務提供方(credential service provider,CSP)、注冊機構(registration authority,RA)、依賴方(relying party,RP)、驗證方(verifier).申請方是指申請成為系統合法用戶的實體；聲稱方是指聲稱自己是系統合法用戶的實體；合法用戶是指擁有合法身份并可被授權使用系統資源的實體；依賴方是指依賴于實體鑒別結果的業務服務方，只有鑒別成功后才能為實體提供業務服務；憑證服務提供方負責為實體頒發和管理憑證或鑒別器；注冊機構負責創建實體身份，為實體分配標識符；驗證方負責對實體身份信息和憑證或鑒別器進行核實和驗證.上述角色中，有些角色既可屬于同一家機構，也可屬于不同機構.例如，身份提供方(identity provider,IDP)可由CSP、RA和驗證方共同組成；RA和CSP可以是同一家機構；依賴方和驗證方也可以是同一家機構.

3.2 圍繞數字身份的活動

數字身份具有完整的生命周期，從創建身份到使用和維護身份，最后注銷身份，整個過程中身份具有多種狀態，包括“未知”“創建”“活躍”“暫?！薄皻w檔”這5種狀態(如圖2所示[3]).“未知”狀態是指注冊機構對于某個實體不擁有任何身份信息，意味著該實體對于系統而言是未知的，可能從未存在過，也可能曾經存在過但已被徹底刪除；“創建”狀態是指實體已由申請方角色經過登記活動后成為合法用戶，相關身份信息已經注冊完畢并已獲頒發憑證或鑒別器；“活躍”狀態是指合法用戶的身份信息被激活后可正常使用和維護，例如使用身份信息進行鑒別或聯合；“暫?！睜顟B是指身份管理系統暫時中止實體的身份信息的使用，實體暫時無法使用系統服務資源；“歸檔”狀態是指實體的身份信息保留在注冊機構中，盡管實體可能已經完成了注銷操作.

圖2 數字身份生命周期

在圖1所描述的數字身份模型中，實體在進入系統之前，作為申請方角色，由注冊機構進行身份核驗(identity proofing)，分配標識符，然后由憑證服務提供方為其創建、綁定并頒發憑證或鑒別器，此時實體就由申請方正式成為系統合法用戶.此活動稱為“登記(enrolment)”.通過登記活動，數字身份的狀態由“未知”轉換為“創建”.數字身份成功創建后應執行激活操作，將憑證或鑒別器正式投入使用，此時數字身份狀態由“創建”轉換為“活躍”，可以正常使用和維護.數字身份的使用主要包括“鑒別(authentication)”和“聯合(federation)”活動.當進行鑒別活動時實體以聲稱方角色進入系統，由驗證方對其憑證或鑒別器進行驗證.完成鑒別后，如果依賴方和驗證方不屬于同一家機構，則由驗證方生成包含鑒別結果的斷言并發送給依賴方，依賴方根據斷言獲得實體的身份，此時實體由聲稱方成為系統合法用戶，與依賴方建立可信的會話，這個過程稱為“聯合”活動.數字身份的維護主要是指注冊機構對于所存儲的實體身份信息進行及時更新等操作.當實體身份需要變更時，例如執行更換標識符、延長憑證有效期等操作，此時需要執行憑證更新或更換，數字身份的狀態由“活躍”轉換為“創建”，需要執行激活操作才能回到“活躍”狀態.當實體身份臨時出現問題時，需要將其憑證的有效性臨時中止，此時數字身份的狀態由“活躍”轉換為“暫?！?；當問題得到解決后重新執行激活操作，則數字身份由“暫?！鞭D換回“活躍”.當實體身份在語境中已無存在必要時，可將其歸檔或者直接刪除(即“注銷”)，此時數字身份的狀態由“活躍”轉換為“歸檔”或者“未知”.如需徹底刪除，則應將歸檔的實體身份信息也全部刪除.在上述過程中所涉及到的憑證或鑒別器相關的活動，例如憑證創建、憑證綁定、憑證頒發、憑證激活、憑證暫停、憑證更新或更換等操作，統稱為“憑證管理”活動.

圍繞數字身份生命周期的活動及其角色和功能如圖3所示：

圖3 圍繞數字身份生命周期的活動及其角色和功能

4 數字身份安全保障框架

數字身份模型中所描述的各個活動，例如注冊機構對申請方進行登記時所執行的身份核驗活動，憑證服務提供方為申請方創建、綁定、頒發憑證或鑒別器的活動，驗證方對于聲稱方所執行的鑒別活動、驗證方將斷言提交給依賴方的聯合活動以及注冊機構與憑證服務提供方和驗證方之間的交互活動等，均存在各種各樣的安全風險.如何對這些活動的安全風險進行評估和控制，從而實現對整個數字身份模型進行可信度的衡量和管理呢，這就需要建立統一的數字身份安全保障框架，劃分保障等級，以幫助各參與方提高對數字身份模型各項活動的可信度管理水平，促進各參與方之間互聯互通并建立互信機制.

國際標準ISO/IEC 29115:2013《信息技術—安全技術—實體鑒別保障框架》在分析了參與實體身份鑒別的各個角色職責的基礎上，提出了實體鑒別保障框架[6].該框架包含技術和管理2部分，在技術方面，列舉了實體身份鑒別各個階段所應當包含的詳細流程；在管理方面，列舉了身份提供方應當遵循的管理要求、準則和注意事項.該標準提出了保障等級(level of assurance,LoA)，并將其劃分為“低、中、高、極高”這4個級別.保障等級描述了數字身份在生命周期中所采用的保障措施的可信任程度，反映了數字身份體系的過程、管理活動和技術控制手段的綜合作用.但由于數字身份全生命周期過程的多樣性和復雜性，單一的保障等級無法準確反映數字身份系統的整體安全程度.例如，某個數字身份系統在登記活動中采取了非常嚴格的安全保障措施，安全風險和隱患較少，但在憑證管理活動中采取的安全保障措施非常寬松，存在較多安全風險和隱患，則該數字身份系統的整體保障等級就無法準確衡量.NIST SP 800-63-3對于保障等級進行了完善，根據數字身份生命周期的不同活動的特點，將保障等級分為3類[5]：身份保障等級(identity assurance level,IAL)、鑒別器保障等級(authenticator assurance level,AAL)、聯合保障等級(federation assurance level,FAL).IAL反映了數字身份系統在登記活動中所采取的身份核驗手段的安全程度，AAL反映了憑證管理活動和鑒別活動中所采取的相關控制手段的安全程度，FAL則反映了數字身份在聯合活動中所采取的控制手段的安全程度.通過將保障等級進行分門別類的細化處理，數字身份模型的整體安全保障也得以實現細粒度的優化改進.基于上述理解，通過對ISO/IEC 29115:2013和NIST SP 800-63-3進行綜合考慮，同時結合我國國情，本文提出了綜合技術、管理以及分類保障等級的數字身份安全保障框架，如圖4所示.

圖4 數字身份安全保障框架

圖4中，聯合活動不是數字身份使用的必備活動，因此用虛線框表示.此外，注銷活動沒有單獨列出，而是隱含在憑證撤銷或銷毀活動中.

4.1 身份保障等級

IAL主要關注數字身份由“未知”狀態轉換到“創建”狀態以及由“活躍”或“歸檔”狀態轉換到“未知”狀態過程中的安全保障措施.實體以申請方角色進入系統，注冊機構對其進行身份核驗并分配標識符，而憑證服務提供方為其創建、綁定并頒發憑證或鑒別器，最終完成數字身份的創建，結束登記活動.對于賬號身份而言，由于不需要確認實體的真實身份信息，因此身份核驗措施可以較為寬松，僅需實體進行自我申明即可；但對于憑證的創建、綁定和頒發則應注意防范風險，減少憑證泄露、篡改、抵賴等安全威脅.對于實名身份而言，則需要嚴格采取身份核驗措施，根據業務需要以遠程或現場的方式完成實名、實人、實證的核驗，解決身份假冒、重復登記、抵賴登記等安全問題，同時還需防范自然人用戶的隱私信息泄露風險，切實保護用戶個人信息.此外，當系統合法用戶執行注銷操作時，其身份信息應當徹底刪除以確保安全.

4.2 鑒別器保障等級

AAL主要關注數字身份處于“活躍”狀態且用于鑒別活動時的安全保障措施.實體以聲稱方角色進入系統，驗證方對其憑證或鑒別器進行鑒別.鑒別活動根據憑證或鑒別器的特性，通過特定的協議完成對實體數字身份的鑒別.鑒別協議應在保證安全的同時做到足夠方便快捷，并確保個人身份信息的安全.鑒別器可采用軟件、固件或硬件實現；可采用基于密碼學算法的方式實現；可采用多因素鑒別方式等.整個鑒別活動需注意抵御憑證偽造、復制、破解、重放等攻擊，防范中間人攻擊、會話劫持、偽造驗證方等安全風險.

4.3 聯合保障等級

FAL主要關注數字身份處于“活躍”狀態且用于聯合活動時的安全保障措施.驗證方在完成對聲稱方的鑒別之后，將鑒別結果(包含聲稱方數字身份信息的部分內容)以斷言的形式發送給依賴方，從而使得聲稱方成為合法用戶并與依賴方建立可信會話.聯合活動中存在多種安全風險，例如，攻擊者偽造或修改斷言，導致聲稱方能夠提高自身身份等級以進行越權訪問依賴方服務；驗證方可能否認創建并發送斷言；聲稱方抵賴與斷言相關的行為；斷言的重定向和重放攻擊等.此外，斷言中可能包含數字身份信息，會導致個人敏感信息的泄露.驗證方需采取控制手段降低安全風險，例如，使用驗證方數字簽名、對斷言進行加密以及使用聲稱方數字簽名等.

5 實現數字身份安全治理的思路

實施網絡空間數字身份安全治理，建議遵循“制定戰略、建立制度、運用技術、構建生態、加強監管”的方針穩步推行.

1)制定網絡空間可信身份戰略

從國家層面而言，建議參考借鑒歐美成熟經驗，結合我國國情，明確數字身份安全保障框架，建設數字身份國家基礎設施，打造覆蓋全社會的身份生態系統，全面構建和確保真實的人與虛擬世界的可信連接，堅持實行“前臺匿名、后臺實名”的原則，在實施網絡實名制的同時確保用戶的個人身份信息安全.

從企業層面而言，應與網絡空間可信身份國家戰略保持一致，基于公安部公民網絡電子身份標識(eID)[7]或居民身份網絡可信憑證(CTID)[8]對用戶進行可信身份核驗，不收集和存儲用戶的真實身份信息以及生物特征，不利用用戶真實身份信息和生物特征牟取利益，合理利用用戶身份資源開展業務.

2)建立健全數字身份相關規范和制度

目前，全國信息安全標準化技術委員會(TC260)鑒別與授權工作組(WG4)已經構建了鑒別與授權技術標準體系框架，將數字身份領域的相關標準分成標識類、驗證與證明類、鑒別類、授權類和集成應用與身份管理類這5個類別[9].一批數字身份相關標準正在抓緊研制中，例如，《信息安全技術 實體鑒別保障框架》《信息安全技術 網絡身份服務安全技術要求》《信息安全技術 生物特征識別信息保護基本要求》等標準已分別進入報批稿或送審稿階段，還有一系列生物特征識別(如人臉識別、聲紋識別、步態識別、基因識別)的數據安全要求標準正在進行草案編制.

除技術規范和標準之外，我國正在抓緊制定出臺《數據安全法》和《個人信息保護法》，為數據安全和個人隱私保護提供法律保障.在此基礎上，建議加緊制定與保護數字身份安全相關的法規和制度，例如，生物特征識別(如人臉識別)技術不應在沒有征得用戶同意的情況下隨意使用，防止生物特征憑證大規模泄露；不應在沒有征得用戶明示同意的情況下基于用戶身份信息進行用戶畫像等等，從而為數字身份安全治理提供法律支撐.

3)綜合運用各種先進技術

業界關于數字身份的技術非常多，各類創新層出不窮.大致可從鑒別因素、鑒別協議、聯合協議、憑證管理模式這些角度來分別進行分析.從鑒別因素來看，傳統的口令、動態口令、U盾、生物特征識別技術，以及多因素認證等都屬于此類技術；從鑒別協議來看，除傳統的挑戰-應答鑒別協議、Kerberos協議以外，近年來出現的創新的在線快速身份(fast identity online,FIDO)協議[10]，已經成為業界的主流鑒別協議；從聯合協議來看，OpenID Connect和安全斷言置標語言(security assertion markup language,SAML)是主流的身份聯合協議；從憑證管理模式來看，隨著區塊鏈技術的發展，憑證管理從傳統的中心化管理模式向去中心化管理模式發展.這意味著數字身份的管理從以應用為中心轉向以用戶為中心.目前，W3C組織已經發布了去中心化標識符(decentralized identifiers,DID)標準草案[11]和可驗證憑證(verifiable credentials,VC)數據模型標準草案[12].郭小波等人[13]比較了中心化管理和去中心化管理的優劣，提出2種模式可并存結合使用，并使用區塊鏈和人工智能技術幫助完善網絡身份管理體系.為有效實施數字身份的安全治理，建議吸取各種先進技術的優點，融合集中化的管理和分布式的身份架構，充分利用公鑰密碼算法和硬件可信環境等，集各家之長，全面提高IAL,AAL,FAL的安全等級，實現安全、便捷且保護隱私的身份認證.

4)構建良好的身份生態系統

實施數字身份安全治理，建議妥善協調數字身份模型中各參與方的利益，引導和推動政府機構和民營機構及社會團體開展協作，共同打造良好的數字身份生態系統.數字身份模型的各參與方應實施統一的數字身份安全保障框架，對圍繞數字身份生命周期的活動進行可信度衡量，提高不同身份管理系統之間的互信程度.考慮到計算設備在用戶使用數字身份過程中的重要地位，隨著安全芯片、可信執行環境和生物特征識別技術在移動智能終端和物聯網控制設備中的日益普及，鑒別器的安全程度也在逐漸提高，并通過開放標準的統一接口，不斷提高數字身份模型的互操作性.同時，在不同安全域中推行不同保障等級之間的有效映射機制，從而簡化數字身份管理和治理的難度，為實現數字身份跨域信任提供技術支撐.

5)加強對身份提供方的監管

建議對身份提供方(包括注冊機構、憑證服務提供方、驗證方)實行備案制，并對其進行分級評估.取得相應服務資質后才能開展身份服務.身份提供方應制定身份信息的保護策略，對于圍繞數字身份生命周期的活動進行清晰、完整的描述，確保用戶易于理解，并征得用戶的明示同意.身份提供方應切實做好記錄保留工作，必要時將身份信息處理過程的日志信息提供給用戶以及相關監管機構和審計方，以確保相關參與方能夠及時獲得身份信息的處理情況或異常情況等.

6 結束語

圍繞數字身份生命周期的活動及角色和功能較為復雜，需要各參與方統一認識，實施數字身份安全保障框架，分別從身份保障等級、鑒別器保障等級和聯合保障等級提高安全程度，降低安全風險，提高互操作性.而搞好數字身份的安全治理工作宜從“戰略、制度、技術、生態、監管”這5個層面下功夫.通過有效地實施數字身份治理降低數字身份存在的風險，確保數字身份的安全，可促進個人與機構之間在網絡空間中的各種互動，有助于網絡服務方更有效地提高服務質量，獲取信任，節省成本，同時也幫助用戶消除身份信息泄露的威脅，減少被欺詐而受損的風險，創造重要的經濟價值和社會價值.