于 锐

当前网络化、数字化、智能化应用广泛、深入地渗入到国家政治、经济、文化和社会的各个领域，网络空间与现实社会高度融合.面对数字化转型快速发展、网络安全问题日益严峻的新局面，以及社会治理提出的新要求，一个可以确认行为主体身份的可信数字空间越来越重要，数字身份已经成为实现经济健康发展与社会和谐安全稳定的基石，并在数字经济、数字社会、数字国家中发挥至关重要的作用.

1 数字身份的概念

国际标准化组织/国际电子技术委员会(ISO/IEC)将“身份”定义为“一组与实体关联的属性”.数字身份是指：为解决数字空间实体的识别与信任，适应网络信息系统安全传输、存储、使用、管理，赋予实体的唯一对应数字标识及与之关联的属性声明.数字身份系统的作用是认证数字身份所有者的身份属性，基于其身份信息提供应用系统的授权访问和服务.可信数字身份是指：基于法定身份信息由权威机构签发，有政策法规保障支撑的数字身份，是数字空间自然人身份的信任根.

伴随着计算机科学和互联网的应用发展，20世纪50—90年代，数字身份通常是e-mail地址、IP地址、域名，由网络服务提供.随着越来越多的工作、生产和生活线上化，数字身份演变为复杂的体系，成为处理认证和访问控制的关键业务系统.为方便应用，大多数互联网平台的数字身份是账号+密码(用户名+口令).21世纪互联网应用量级剧增，网络可信和隐私保护的合规要求不断提升，质的变化悄然发生，国家级权威、可信数字身份需求应运而生.基于社会治理及政务服务形成的全量权威身份数据，使用密码技术变换形成不含属性信息的标识身份的数字化字符串，并按业务和应用场景采用安全数据文件或二维码等形态承载使用，为各类身份鉴别应用提供根信任.

2 建立数字身份的必要性和紧迫性

1) 网络安全形势日益严峻，可信数字身份成为维护国家网络安全和社会稳定的重要基础.一是以虚拟身份利用社交媒体传播负面虚假信息，危害国家政治安全；二是个人信息的泄露、交易和滥用，给人们生产生活带来极大困扰；三是网络犯罪逐年上升，诈骗案件占比最高，多以冒充他人身份等方式实施.

2) 数字经济成为发展重要推动力，可信数字身份成为数字经济健康快速发展的重要支撑之一.一是可信数字身份将推动各个场景中的数据安全流通、开放和确权，促进数字经济繁荣发展；二是可信数字身份将成为社会信用体系建设的重要支撑要素；三是可信身份将成为创新监管的重要可信锚点.

3) 数字化、智能化深入发展，可信数字身份成为社会治理创新和社会管理服务效率提升的有效有段.一是可信身份是支撑数字政府建设的重要基础设施；二是互联网时代要在传统身份制度基础上创新人口管理和服务体系，加快网络可信身份发展；三是可信身份将为防范化解重大危机和各类突发风险提供基础保障.

3 主要国家和地区的数字身份情况

近年来世界主要国家和地区为支撑经济社会发展，提升国家竞争力，高度重视大力推进可信数字身份建设.

1) 欧盟：制定新的泛欧数字身份框架扩展计划，加快推进跨国家数字身份认证体系建设.自发布《2010泛欧洲电子身份管理框架路线图》，对数字身份进行了顶层设计以来，欧盟不断完善相关法律法规和技术标准体系，开展了一系列数字身份项目建设.基于eIDAS条例的技术统一、政府监管、全面适用的电子身份识别和信任服务体系雏型基本形成.其中：丹麦于2016年发布《2016—2020年数字化战略》，提出了全面加速实现安全数字身份以及在所有欧盟成员国内可使用丹麦数字身份(NemID)的目标；法国于2019年宣布在全国推行“AliceM”身份项目，利用人脸识别技术为公民提供数字身份等.但目前仅有14个欧盟成员国推出了符合eIDAS条例要求的数字身份项目.为此2020年9月，欧盟委员会公布将在整个欧盟推行新的数字身份计划，并开始《eIDAS条例》修订工作，预计于近期提出“欧洲数字身份”新方案.

2) 美国：制定网络空间可信身份国家战略，构建标准体系，开展试点项目，网络身份生态系统初步构建完成.2011年，美国发布了《网络空间可信身份国家战略》，计划用10年左右的时间，通过政府推动和产业界努力，建立以用户为中心的数字身份生态系统，提升网络安全，改善隐私保护环境，实现在线交易的便利性和敏感信息的安全性.10年来美国制定了SP 800数字身份标准体系和技术框架，增加了网络可信数字身份的互操作性；分批资助了22个引导工程项目，引导联邦政府部门、地方政府机构、企业和个人参与试点建设与应用.政府部门中的使用场景不断增多，网络可信数字身份市场不断发展和成熟，企业和个人对可信数字身份的使用也在不断增加.

3) 英国：实施“数字政府即平台”计划，发展易用、通用数字身份，支撑数字经济发展.2015年“数字政府即平台”计划启动；2016年5月英国政府推出GOV.UK Verify在线身份识别平台，为电子政务提供身份认证服务，也可供公共和私营部门使用.2022年初发布的《数字身份和属性信任框架》报告指出：拥有易用的、通用的数字身份将是未来经济的基石，要构建完善的法律框架以及相应的管理和监督机制，消除应用障碍.同时英国政府数字服务组(GDS)宣布将运行新数字身份系统，替换GOV.UK Verify.

4) 澳大利亚：发布新版数字身份框架，建立全国性数字身份认证、管理和运作机制.2020年第4版“可信数字身份框架(TDIF)”发布，由管理、要求和指导3类13份政策文件组成，规定了数字身份生态系统的参与方应满足的要求，以及服务提供商可以拥有的各个信任等级.目前，澳大利亚已启用myGovID身份识别系统，民众通过苹果和谷歌商店在移动设备上下载安装myGovID访问myGov(政府在线服务)平台发起身份认证.该系统加入了“活体检测”功能，提高了认证服务的安全性.现在澳大利亚公民已经可以使用该系统访问政府在线服务，进行护照、驾驶证和医疗卡验证.澳大利亚政府还计划制定相关法律，将此系统用于支撑日常生活的各种交易.

5) 新加坡：全面推广国家数字身份认证系统.2003年新加坡政府推出SingPass国家数字身份认证系统.居民在系统中申请的ID相当于新加坡居民的数字身份证，用于访问政府机构和私营企业的在线服务.2018年新加坡政府推出SingPass手机应用程序，2020年在其中纳入基于人脸识别的身份认证机制，将人脸认证技术用于国民身份认证系统.至2021年新加坡本地70%的人口拥有SingPass账户，约300万人使用SingPass手机应用程序，并有超过460家政府机构和私营企业通过SingPass提供1 700余项服务.目前，新加坡政府正在积极扩大系统的应用范围.

6) 印度：实施“唯一身份识别计划Aadhaar”，完善法律法规，面向政府机构全面推广身份认证服务.2010年印度建成了以唯一身份号码为索引、多模生物识别技术等为认证手段的面向政府机关、各行各业和居民应用的网络可信数字身份认证系统.同步启动立法工作，相继通过了《印度身份管理局(UIDAI)法案》《2019年数字身份证修正案》《将Aadhaar认证用于善政(社会福利、革新和传授知识)条例》，形成有效的法律保障.UIDAI全面推广Aadhaar应用，截至2019年底，已发放12.5亿个唯一身份号码，每天收到大约3亿次认证请求.印度公民可以在医疗、社保、培训、申请驾驶证、就业等服务中应用网络可信数字身份认证.

4 分布式数字身份

1) 分布式数字身份产生的背景.

中心化的身份认证系统除国家层面的公共服务建设外，许多互联网平台基于其业务积累的身份数据也提供第三方认证服务，形成许多隐患.一是互联网巨头依靠平台效应，利用用户数据产生了大量价值，但用户并没有对自己的数据拥有话语权和价值收入；二是由于利益驱使，围绕用户数据发生的非法收集、数据泄露和买卖行为防不胜防，损害用户安全；三是用户的数字身份(账号密码)由服务商控制，用户租借使用，服务商可以决定账号禁用、服务终止；四是互联网的数字身份从属于应用系统，用户要重复注册很多账号密码，对于需要用户确权的跨应用业务，需要更改业务架构增加跨应用的用户身份.此外，还存在单点故障导致系统全面停服，以及身份数据集中存储易受攻击产生数据泄露等风险.为此，亟需解决个人数据应用和机构间数据协同的权益、主权、隐私、互信与安全问题.在政策、技术、市场因素的共同驱动下，分布式数字身份建设已逐步引起重视并得到发展.

区块链技术为实现分布式数字身份带来了新途径.该技术用分布式基础设施让用户控制和管理数字身份，通过将数据所有权归还用户解决隐私问题，通过定义身份层协议提供跨应用的互操作性，实现了一种扁平化、弹性化的数字身份模式，即分布式数字身份.

2) 分布式数字身份的解决方案.

分布式数字身份包括分布式数字身份标识符(DID)和数字身份凭证(声明集合)2部分.分布式DID由字符串组成，用来代表一个数字身份并可验证.实体可自主完成DID的注册、解析、更新或者撤销操作.欧盟区块链观测站和论坛发布的《区块链和数字身份》报告指出，通过将来自权威机构(通常是政府)的可验证声明与个人数字身份关联，生成身份标识.数字身份凭证中一般包含1个或多个与身份关联的属性信息，通常包括姓名、年龄、学历、职业等.凭证由发行者签名，可证明是否由凭证中声称的实体签发且未被篡改，被称为可验证凭证.

分布式数字身份的核心模型是分布式DID和可验证凭证流转，以分布式账本和密码学技术创建不可抵赖、不可篡改的身份记录.一般将分布式数字身份体系架构分为分布式账本基础设施、基于DID的交互、可验证凭证应用和治理框架4层，将身份标识符的生成/维护与身份属性声明的生成/存储/使用分离开来，构建一个模块化的、灵活的、具有竞争力的身份服务生态系统.

目前，分布式数字身份建设有2种思路：一是传统数字身份+区块链模式，将已有的数字身份信息置于去中心化的区块链之上；另一种是由用户控制身份，创建全新的区块链数字身份系统.美国标准技术研究所(NIST)在其发布的《新兴区块链身份管理系统分类方法》报告中，根据控制模式的不同，将身份管理系统分为“自上而下”和“自下而上”2类.前者指由数字身份系统所有者充当中央机构，控制身份标识符的生成和凭证的签发，通过授权来创建数字身份管理层次结构，在为用户提供增强的控制和隐私保护的同时，保持系统的所有权和对其治理的控制.后者指没任何实体充当权威机构控制身份标识和凭证的签发，交由参与者自己管理，通过一组智能合约强制执行数字身份管理规则.

分布式数字身份需要政策法规、标准协议来规范、支撑其建设应用.目前，W3C(WWW Consortium)和DIF(Decentralized Identity Foundation)积极推动分布式数字身份标准的起草与发布工作，W3C主要集中在DID规范和可验证声明方面，DIF致力于提高区块链身份系统互操作性.

3) 分布式数字身份的应用实践.

近年来一些国家和机构开始探索建设和应用基于区块链的数字身份系统，形成了几类有代表性的模式.

uPort：Consensys于2017年推出的基于以太坊的分布式数字身份管理服务，允许用户进行身份验证、无密登录、数字签名并和以太坊上的其他应用交互，为用户提供持久可用的数字身份.

Sovrin：Sovrin基金会运营的一种开源用户自主主权身份(SSI)和去中心化信任协议，提供自主主权身份的全球公共网络，该网络于2017年7月正式启动.

下午，是最后一门全院必修课——经济法。颜晓晨去上课时，发现阶梯大教室里人格外多，一眼望去，只看见黑压压的人头，看不到空位。她这才想起今天发期中考试卷，难怪来上课的人这么多。

ID2020/ION：2018年微软与国际公司合作联盟联合开发分布式数字身份认证网络ID2020，帮助个人和难民获得基本服务.2019年微软在比特币网络的基础上与DIF成员一起开发、建立身份识别基础设施与生态系统ION(身份覆盖网络)，系统中的组织、人和设备可以在基于标准和开源组件的互操作系统上安全地交互，进行每秒数万次的并发操作.

WeIdentity：微众银行2019年推出的基于联盟链身份的实体身份标识和可信数据交换解决方案，依托权威机构提供用户KYC服务，并以联盟链作为各用户角色的连接中心和信息的存证中心，促进数据可信交换.

SecureKey：SecureKey公司与IBM联合发布的数字身份网络，同加拿大数字身份生态系统成员(包括主要银行、电信公司和政府机构)一起基于区块链技术构建.2018年加拿大银行家协会发布《加拿大数字身份认证的未来——联合身份认证白皮书》，倡导建立“加拿大数字身份体系”，将个人身份信息存储在相互联通但各自独立的系统中，为用户提供无缝体验.同时，SecureKey公司推出了移动数字身份认证应用Verified.Me.

PASS：2019年韩国政府发布《数字政府革新推进计划》，其中数字身份证是重点之一.作为计划的一部分，韩国科学和信息通信技术部开展分布式数字驾驶证建设应用，驾驶员可以在手机上安装名为“PASS”的应用程序，存储数字版的驾驶证用于个人身份证明.其身份验证服务还将扩展到移动金融交易领域，至2020年已有100万韩国人开始使用.

日本富士通、JCB和瑞穗银行分布式数字身份互操作系统：2019年富士通公司推出了基于区块链的分布式解决方案，用于评估在线交易中的用户凭证身份和可信度.2020年与日本信用卡发行商JCB和瑞穗银行开始测试基于该方案的区块链数字身份互操作系统，实现涉及公司和行业之间敏感用户身份信息的安全交易.

5 我国数字身份建设发展路径

纵观全球，可信数字身份建设已经成为保护网络安全、支撑数字经济发展和提升国家治理能力现代化的重要基础工程.我国高度重视数字身份建设工作，出台了一系列法律法规和标准，如《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术 个人信息安全规范》等，指导、规范数字身份技术研究、建设与应用.

我国地域广阔，网民数量世界第一，互联网业态、模式丰富，数字经济、数字政务、数字城市快速发展，数字身份体系建设必须要适应中国国情.既要考虑线上业务也要顾及线下应用；既要满足便捷操作也要保证应用安全；既要服务国内网民也要支持境外用户；既要满足近期互联网需求也要为数字身份体系长远建设打好基础；同时要兼顾老年人等不会使用智能手机的特殊群体.

因此需要在充分吸取国际经验的基础上，利用我国以居民身份证为代表的国家法定基础身份证件和国际标准的机读旅行证件等重要资源，创新应用人工智能、网络安全、数据保护等新一代信息技术，完善相关标准体系和法律法规体系，加快推进中国特色的可信数字身份发展.

建设发展路径需采用两步走的演进策略.首先按照《中华人民共和国个人信息保护法》第62条要求“推进身份认证公共服务建设”，积极开展中心化的国家级数字身份基础设施建设，签发权威的可信数字身份，提供身份鉴别与生物特征比对等服务，支持跨地域、跨业务、跨层级的身份联合与互认.再以国家签发的可信数字身份符号为根标识，以权威可验证凭证为身份属性声明，建立“自上而下”的“区块链+”数字身份联盟链，创新标识算法、隐私计算、高并发交易等关键技术，逐步向支撑各类分布式应用发展，构建混合架构的先进数字身份体系.从技术角度看需要解决以下问题：

一是要解决基础数据支撑.汇聚海量多模式、异构身份数据，构建权威、可信的十亿级规模国家身份信息库，为可信数字身份管理奠定数据基础.同时进行严格的数据分级、分类、分域和授权管理.

二是要建立广域覆盖的基础设施.采用模块化、高可用、弹性可扩展基础架构，建设完备的容灾备份体系，保证业务流量灵活调配、资源快速扩容、故障快速应对，支撑大规模、高并发应用.

三是要满足不同层次、不同安全等级的身份认证需求.采用多因子鉴别技术，基于可信数字身份体系，兼顾可信与便捷，形成“实人”“实人+实名”“实人+实名+实证”等多信任级服务.

四是要实现高速认证与虚实关联.通过认证模式和异构数据库元数据汇聚技术架构创新以及大数据算法应用，实现海量、高并发虚实关联和认证行为追溯.

五是要解决数字身份安全应用难题.法规、标准、技术、监管相结合，从数字身份申领、签发、应用到管理，建立完备的客服、救济、风控机制，防止数字身份被冒领、冒用.

六是要建立数字身份体系“端-网-云-平台”一体化综合纵深防御体系，实现全方位信息安全防护.按照关键信息基础设施保护要求，采用国产密码算法和多种信息安全策略及技术，结合人工智能与安全大数据，防范、抵御各类高强度网络攻击.

目前，我国基于居民身份证电子化应用的数字身份技术体系框架已明确.依托居民身份证等国家法定基础身份证件，使用国密算法将证件号码变换成标识身份的脱敏数字身份符号，以安全数据文件或二维码形式由移动设备下载安装专用的APP来申领、调用和出示.结合生物特征识别等“人证一致性”验证，向全国各行业提供符合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术 个人信息安全规范》等要求，合规、便捷的中国特色身份登记、认证、留档以及数据共享服务.通过对国家发展和改革委2018年批复建设的“互联网+可信身份认证平台”的升级、扩容和改造，构建高可用、高安全、高并发、高性能的国家网上身份认证公共服务能力，支撑经济社会发展，提升社会治理水平和国家竞争力，为数字政府和数字中国建设奠定坚实基础.