李江鑫 張曉韜 王先兵

摘 ?要：從古至今，信息的交換從來(lái)離不開(kāi)身份的驗(yàn)證，該文介紹了從現(xiàn)實(shí)世界到數(shù)字世界，從物理身份到數(shù)字身份，尤其是在企業(yè)中通時(shí)代的發(fā)展情況。數(shù)字身份經(jīng)歷了PC時(shí)代、移動(dòng)互聯(lián)時(shí)代，到現(xiàn)在的全面數(shù)字化，并探討了未來(lái)發(fā)展方向。隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，企業(yè)將身份管理延伸至客戶端，為企業(yè)的獲客、營(yíng)銷、運(yùn)營(yíng)提供多元化的身份服務(wù)能力。

關(guān)鍵詞：目錄 ?數(shù)字身份 ?區(qū)塊鏈 ?零信任身份 ?零知識(shí)證明

中圖分類號(hào)：TP393.08 ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791（2021）04（c）-0058-04

Explore the Future of Enterprise Digital Identity from Directory to Blockchain

LI Jiangxin ?ZHANG Xiaotao ?WANG Xianbing

（Aostar Information Technologies Co.，Ltd.， Chengdu， Sichuan Province， 610041 ?China）

Abstract： Since ancient times， the exchange of information has never been without identity verification. This article introduces the development from the real world to the digital world， from physical identity to digital identity， especially in the era of enterprise communication. Digital identity has gone through the PC era， the mobile internet era， and is now fully digitized， and the future development direction has been discussed. With the rapid development of the mobile Internet， companies have extended their identity management to the client， providing diversified identity service capabilities for the company's customer acquisition， marketing， and operation.

Key Words： Directory; Digital identity; Blockchain; Zero-trust identity; Zero-knowledge proof

身份認(rèn)證技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中是證明操作者身份的過(guò)程而產(chǎn)生的有效解決方法。從古至今，從物理世界到虛擬世界，人們的身份證明方式發(fā)生了天翻復(fù)地的變化。對(duì)于實(shí)體身份的證明，在古代人們一般是以腰牌、虎符、官印、朝珠、手信等信物和服飾來(lái)識(shí)別一個(gè)人的身份，在現(xiàn)在社會(huì)則通過(guò)身份證、戶口本、護(hù)照、駕照、社?？ǖ刃盼飦?lái)證明身份，同時(shí)也可以通過(guò)人們的社交關(guān)系證明身份。在數(shù)字世界里如何證明一個(gè)人的身份，依然是一件比較困難的事，目前成熟手段主要以個(gè)人征信、社交賬號(hào)、郵箱賬號(hào)、手機(jī)號(hào)、人臉、指紋等信息證明身份。

1 ?企業(yè)身份認(rèn)證的發(fā)展歷程

企業(yè)數(shù)字身份發(fā)展也先后經(jīng)歷了多個(gè)階段，從最初的目錄（LDAP）服務(wù)，到現(xiàn)在的聯(lián)合身份，企業(yè)從內(nèi)到外逐漸實(shí)現(xiàn)了用戶身份的全覆蓋。最初，企業(yè)大多只管理了內(nèi)部用戶的身份，通過(guò)統(tǒng)一分配賬號(hào)的手段，讓員工使用企業(yè)系統(tǒng)，此時(shí)基本是一個(gè)系統(tǒng)一個(gè)賬號(hào)。通過(guò)統(tǒng)一目錄服務(wù)，企業(yè)將不同系統(tǒng)的身份進(jìn)行了融合，并提供單點(diǎn)登錄服務(wù)，提升了用戶體驗(yàn)，加強(qiáng)了身份的安全。同時(shí)，更完善的身份認(rèn)證系統(tǒng)提供了統(tǒng)一的授權(quán)和審計(jì)，強(qiáng)化了企業(yè)身份全生命周期管理，合規(guī)性更強(qiáng)。隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，企業(yè)將身份管理延伸至客戶端，為企業(yè)的獲客、營(yíng)銷、運(yùn)營(yíng)提供多元化的身份服務(wù)能力。

1.1 PC網(wǎng)絡(luò)時(shí)代

主要特征是PC電腦的大量應(yīng)用，帶來(lái)信息化能力的提升，身份認(rèn)證的主要手段是賬號(hào)+密碼。在這個(gè)階段，企業(yè)信息化飛速發(fā)展，各類業(yè)務(wù)信息系統(tǒng)如春筍般上線，但是各個(gè)信息系統(tǒng)之間基本上都是獨(dú)立的一套系統(tǒng)，分別有自己的賬號(hào)體系、密碼規(guī)則、不同的登錄界面以及用戶管理等功能。

隨著系統(tǒng)越建越多，每個(gè)人可能需要記多套賬號(hào)口令、在瀏覽器收藏多個(gè)系統(tǒng)登錄地址、賬號(hào)密碼的創(chuàng)建維護(hù)工作難以高效開(kāi)展，安全短板也越來(lái)越多。企業(yè)的經(jīng)營(yíng)者以及IT主管部門(mén)意識(shí)到，這將是一個(gè)巨大的麻煩，如果繼續(xù)發(fā)展下去，將極大地阻礙企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)。因此，統(tǒng)一身份認(rèn)證以及訪問(wèn)控制的一組技術(shù)被用于整合企業(yè)的身份，幫助用戶實(shí)現(xiàn)一個(gè)賬號(hào)登錄企業(yè)所有系統(tǒng)，同時(shí)使跨部門(mén)業(yè)務(wù)的融合成為可能。

1.1.1 統(tǒng)一目錄（LDAP）

比如：Microsoft Active Directory（AD）、eDirecotry等，提供了統(tǒng)一的賬號(hào)組織存儲(chǔ)和一組標(biāo)準(zhǔn)化的輕量級(jí)數(shù)據(jù)訪問(wèn)標(biāo)準(zhǔn)協(xié)議，只要支持該協(xié)議的其他系統(tǒng)都可以通過(guò)簡(jiǎn)單的訪問(wèn)地址與連接賬戶配置，訪問(wèn)和獲取LDAP中的用戶、組織、訪問(wèn)控制信息。

1.1.2 單點(diǎn)登錄（SSO）

用單點(diǎn)登錄簡(jiǎn)化用戶訪問(wèn)，用戶一次登錄后，就可以依靠認(rèn)證令牌在不同系統(tǒng)之間切換。

1.1.3 身份分發(fā)技術(shù)

以身份認(rèn)證系統(tǒng)為權(quán)威身份源，通常以XML或其他標(biāo)準(zhǔn)化數(shù)據(jù)格式向其他異構(gòu)系統(tǒng)實(shí)時(shí)推送賬號(hào)/口令信息，以實(shí)現(xiàn)各信息系統(tǒng)身份信息一致。

1.2 移動(dòng)互聯(lián)時(shí)代

移動(dòng)互聯(lián)時(shí)代的主要特征是智能手機(jī)的大量普及，身份認(rèn)證的主要手段是手機(jī)動(dòng)態(tài)碼，賬號(hào)+密碼依然是雙選項(xiàng)之一，并在大量金融、支付場(chǎng)景識(shí)別用戶多種認(rèn)證因子，確保安全[1]。這一階段在網(wǎng)絡(luò)上使用大部分應(yīng)用時(shí)，可以通過(guò)手機(jī)號(hào)、微信號(hào)、支付寶等識(shí)別一個(gè)人的身份。

隨著移動(dòng)穿戴設(shè)備、物聯(lián)網(wǎng)、AI技術(shù)主要特征是智能設(shè)備的大量普及，帶來(lái)了萬(wàn)物互聯(lián)的繁榮景象，身份認(rèn)證的主要手段增加了人臉、指紋等生物特征。在這一階段，更多的是體現(xiàn)身份的原本特征，不再依賴外部設(shè)備來(lái)對(duì)身份進(jìn)行核驗(yàn)，進(jìn)出大樓、購(gòu)物消費(fèi)、乘坐地鐵、機(jī)場(chǎng)通行只需要一張臉即可。

總體來(lái)說(shuō)，企業(yè)身份的發(fā)展主要服務(wù)于企業(yè)的發(fā)展經(jīng)營(yíng)，對(duì)外相當(dāng)于一個(gè)封閉系統(tǒng)，少有企業(yè)之間的身份互通。在不同領(lǐng)域?qū)嶋H數(shù)字身份的發(fā)展還是存在著比較大的差異?？傮w方向上，數(shù)字身份面向用戶變得越來(lái)越安全便捷，面向企業(yè)身份所蘊(yùn)含的信息越來(lái)越豐富。

2 ?主流技術(shù)方案

由于使用領(lǐng)域的不同，數(shù)字身份系統(tǒng)目前主流的技術(shù)包括這5種類型，分別是內(nèi)部身份管理、外部身份認(rèn)證、集中身份、聯(lián)合認(rèn)證、分布式身份。

2.1 內(nèi)部身份管理

一方同時(shí)是身份提供者和依賴方。企業(yè)內(nèi)部使用的身份認(rèn)證技術(shù)，主要是為了解決身份分散管理、用戶記憶過(guò)多賬號(hào)密碼、認(rèn)證方式不夠安全可靠、權(quán)限分配不合規(guī)、無(wú)法審計(jì)等問(wèn)題。目前，最新的技術(shù)方案是將企業(yè)內(nèi)外部應(yīng)用和全部歸口用戶進(jìn)行覆蓋，通過(guò)各類平臺(tái)整合的方式，提供一套完整的解決方案?？梢詫?duì)各類用戶采取不同的管理策略，也可以同時(shí)在內(nèi)外網(wǎng)使用。

2.2 外部身份認(rèn)證

與內(nèi)部身份相似，但另有一組身份提供者鑒定用戶身份。其優(yōu)勢(shì)是用戶可憑借一組憑證而不是設(shè) 置不同的用戶名和密碼來(lái)使用不同的服務(wù)。為用戶提供標(biāo)準(zhǔn)的身份認(rèn)證服務(wù)，集成、ID供應(yīng)、應(yīng)用集成、無(wú)密認(rèn)證[2]服務(wù)，為企業(yè)解決了身份難題，同時(shí)為企業(yè)降低身份投入，提升安全。另外，在這一方向上今年來(lái)形成產(chǎn)業(yè)聯(lián)盟認(rèn)證的方式，例如：國(guó)外的FIDO協(xié)議、國(guó)內(nèi)的IFAA（阿里）和騰訊發(fā)起的SOTER、公安一所發(fā)起的OIDAA。這些方案致力于簡(jiǎn)化認(rèn)證方式，增強(qiáng)安全性，將人臉、指紋等生物識(shí)別技術(shù)應(yīng)用于互聯(lián)網(wǎng)及企業(yè)身份認(rèn)證應(yīng)用。

2.3 集中身份

這一類身份認(rèn)證技術(shù)中心，身份提供方（如公安機(jī)構(gòu)）一般都有剛性需求的身份信息提供，如身份證信息核驗(yàn)。身份使用者通過(guò)付費(fèi)、集成等方式，通過(guò)用于允許后，對(duì)身份進(jìn)行聯(lián)網(wǎng)認(rèn)證。目前，全國(guó)公民身份信息服務(wù)平臺(tái)CTID是最大的聯(lián)網(wǎng)核查服務(wù)，金融機(jī)構(gòu)、機(jī)場(chǎng)、酒店都是通過(guò)這種方式對(duì)用戶身份進(jìn)行實(shí)名核驗(yàn)。

2.4 實(shí)名認(rèn)證

在網(wǎng)絡(luò)安全實(shí)名制要求后，互聯(lián)網(wǎng)應(yīng)用也采用實(shí)名制注冊(cè)的方式，對(duì)用戶身份信息進(jìn)行核查。但這里，由于早期只是通過(guò)這兩個(gè)因素（姓名+身份證號(hào)）的核查方式，導(dǎo)致很多網(wǎng)絡(luò)應(yīng)用用戶注冊(cè)的實(shí)名信息存在大量假冒、偽冒情況。為了避免存在這種現(xiàn)象，目前采用了身份證OCR+人臉活體識(shí)別的方式對(duì)身份實(shí)名進(jìn)行核驗(yàn)，但成本較高，需要對(duì)客戶端進(jìn)行技術(shù)升級(jí)。更新的技術(shù)將身份安全芯片跟銀行卡、電話卡進(jìn)行融合，可直接通過(guò)這些卡進(jìn)行身份識(shí)別。另外，在一些支持NFC讀取的手機(jī)上，也支持直接讀取二代身份證的身份芯片，對(duì)身份進(jìn)行實(shí)名認(rèn)證。

2.5 聯(lián)合認(rèn)證

一個(gè)身份提供者使用第三方權(quán)威身份信息為依賴方認(rèn)證進(jìn)行認(rèn)證。除各種私營(yíng)經(jīng)紀(jì)商向服務(wù)訂購(gòu)方發(fā)出數(shù)字身份外，這類系統(tǒng)與集中身份系統(tǒng)相似。

3 ?新技術(shù)的應(yīng)用

身份認(rèn)證技術(shù)存在著多層次問(wèn)題，在底層標(biāo)準(zhǔn)方面多方缺乏共識(shí)，頂層用戶體驗(yàn)方面在各領(lǐng)域參差不齊，中間層的信息協(xié)調(diào)存在商業(yè)壁壘。主要難點(diǎn)體現(xiàn)在以下方面。

一是數(shù)字身份面臨著其他廣泛使用的數(shù)字技術(shù)已經(jīng)暴露出的風(fēng)險(xiǎn)，如數(shù)據(jù)泄露、技術(shù)漏洞、故障以及濫用個(gè)人數(shù)據(jù)等在數(shù)字生態(tài)系統(tǒng)中既有的一系列潛在風(fēng)險(xiǎn)。

二是數(shù)字身份涉及與傳統(tǒng)身份程序相關(guān)的一些風(fēng)險(xiǎn)，如人為執(zhí)行錯(cuò)誤、未經(jīng)授權(quán)的使用以及對(duì)不懂得如何使用數(shù)字身份、不信任數(shù)字身份系統(tǒng)的個(gè)體的排斥。

數(shù)字身份系統(tǒng)從設(shè)計(jì)到實(shí)施的整個(gè)生命周期中，創(chuàng)造價(jià)值和獲取信任是至關(guān)重要的。新技術(shù)的出現(xiàn)帶來(lái)產(chǎn)品、工具乃至生產(chǎn)關(guān)系發(fā)生變化，整個(gè)社會(huì)總是在不同的因素驅(qū)動(dòng)下向前發(fā)展，也倒逼數(shù)字身份技術(shù)的持續(xù)變革。

3.1 區(qū)塊鏈身份認(rèn)證技術(shù)

區(qū)塊鏈技術(shù)作為新基建領(lǐng)域中基礎(chǔ)設(shè)施類的重要技術(shù)，已經(jīng)與大數(shù)據(jù)、人工智能、工業(yè)互聯(lián)網(wǎng)等技術(shù)深度融合，逐步成為數(shù)字化智能時(shí)代的技術(shù)基礎(chǔ)。相較于傳統(tǒng)身份認(rèn)證體系，基于區(qū)塊鏈建立的數(shù)字身份認(rèn)證系統(tǒng)具有保證數(shù)據(jù)真實(shí)可信、用戶隱私安全等特征。區(qū)塊鏈數(shù)字身份認(rèn)證將眾多身份提供者與眾多依賴方連接在一起，為所有用戶設(shè)立數(shù)字賬戶以實(shí)現(xiàn)跨機(jī)構(gòu)、跨地區(qū)訪問(wèn)，能有效地解決多方數(shù)據(jù)共享交換的問(wèn)題，在用戶許可的整體框架下，進(jìn)行身份信息的互聯(lián)互通[3]。具體情況見(jiàn)圖1。

3.2 零知識(shí)證明用于隱私保護(hù)

零知識(shí)證明（Zero-Knowledge Proof），是由S.Goldwasser、S.Micali及C.Rackoff在20世紀(jì)80年代初提出的。它指的是證明者能夠在不向驗(yàn)證者提供任何有用的信息的情況下，使驗(yàn)證者相信某個(gè)論斷是正確的。零知識(shí)證明算法流程如下，雙方遵從零知識(shí)證明的協(xié)議[4]，驗(yàn)證著通過(guò)給定的信息以零知識(shí)算法的公開(kāi)制驗(yàn)證其是否相等。證明過(guò)程見(jiàn)圖2。

零知識(shí)證明不僅能滿足雙方身份驗(yàn)證的需求[5]，還能實(shí)現(xiàn)被驗(yàn)證方不泄漏任何隱私信息，這樣的模型非常適用于隱私保護(hù)，試想有一天，我們?cè)谫I(mǎi)房的時(shí)候，無(wú)需向開(kāi)發(fā)商提供身份證、手機(jī)號(hào)、家庭住址等重要隱私信息，就能完成付款、交付等購(gòu)房環(huán)節(jié)，這樣個(gè)人將不再受到?jīng)]完沒(méi)了的隱私侵犯和騷擾，也將對(duì)“數(shù)據(jù)黑產(chǎn)”產(chǎn)生致命打擊。

3.3 基于零信任的身份模型

零信任不是某一項(xiàng)技術(shù)或者方案，而是一種安全管理思想。零信任是為解決傳統(tǒng)基于邊界的安全防護(hù)架構(gòu)失效問(wèn)題，構(gòu)筑新的動(dòng)態(tài)虛擬身份邊界。通過(guò)身份、環(huán)境、動(dòng)態(tài)權(quán)限這3個(gè)層面，緩解身份濫用、高風(fēng)險(xiǎn)終端、非授權(quán)訪問(wèn)、越權(quán)訪問(wèn)、數(shù)據(jù)非法流出等安全風(fēng)險(xiǎn)，建立了端到端的動(dòng)態(tài)訪問(wèn)控制機(jī)制，極大收縮攻擊面，為各行業(yè)的新一代網(wǎng)絡(luò)和信息安全建設(shè)提供理論和實(shí)踐支撐。

零信任不是取代或者替換傳統(tǒng)的身份認(rèn)證技術(shù)，零信任模型中身份成為中心，傳統(tǒng)的多種身份認(rèn)證技術(shù)將結(jié)合新技術(shù)一起被部署在企業(yè)網(wǎng)絡(luò)當(dāng)中[6]。在零信任模型中，并不限制使用任何單一的身份驗(yàn)證技術(shù)，圖3是將傳統(tǒng)4A與零信任融合落地的方案。

4 ?結(jié)語(yǔ)

數(shù)字身份的發(fā)展方向在各行各業(yè)很難形成大一統(tǒng)的局面，卻遵循著越來(lái)越一致的發(fā)展原則，包括產(chǎn)生社會(huì)價(jià)值、隱私保護(hù)、以用戶為中心、可信性與可持續(xù)性、開(kāi)放靈活等。從技術(shù)層面來(lái)看，區(qū)塊鏈數(shù)字身份認(rèn)證、零信任身份、零知識(shí)證明等較新的技術(shù)與傳統(tǒng)方式不是替代關(guān)系，而是共生演進(jìn)的形態(tài)，這與整個(gè)社會(huì)、行業(yè)、企業(yè)的特性密切相關(guān)，但這些技術(shù)確實(shí)已經(jīng)成為企業(yè)數(shù)字身份的明確方向。

參考文獻(xiàn)

[1] 丁興.基于多因子行為的身份鑒別方案與應(yīng)用研究[D].貴州大學(xué)，2020.

[2] 周平，劉廷峰，李江鑫.企業(yè)級(jí)免密認(rèn)證系統(tǒng)開(kāi)發(fā)實(shí)踐[J].網(wǎng)絡(luò)空間安全，2018，9（12）：32-34.

[3] 顧燕.基于區(qū)塊鏈的身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京郵電大學(xué)，2018.

[4] 李小燕.網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)演變史及發(fā)展趨勢(shì)研究[J].網(wǎng)絡(luò)空間安全，2018，9（11）：6-11，18.

[5] 趙殷豪.基于區(qū)塊鏈的匿名技術(shù)研究[D].北京交通大學(xué)，2019.

[6] 左英男.零信任架構(gòu)：網(wǎng)絡(luò)安全新范式[J].金融電子化，2018（11）：50-51.

①作者簡(jiǎn)介：李江鑫（1986—），男，本科，工程師，研究方向?yàn)樾畔⑾到y(tǒng)集成與統(tǒng)一身份認(rèn)證。

張曉韜（1983—），男，本科，工程師，研究方向?yàn)榫W(wǎng)絡(luò)信息安全與數(shù)字身份認(rèn)證領(lǐng)域。

王先兵（1985—），男，本科，工程師，研究方向?yàn)檐浖軜?gòu)及研發(fā)。