活动回顾
北京航空航天大学作为W3C总部机构,于8月13日在北京举办了“数字身份:技术、标准与策略”研讨会。本次研讨会汇聚了数字身份相关科研院所、标准化机构、厂商及用户代表等40余人,通过6个特邀报告和开放讨论的形式,对数字身份相关标准和实践进行了研讨。
W3C首席战略官Philippe Le Hegaret做了题为“W3C数字身份标准战略”的报告(参见演示文稿),介绍了W3C身份与凭证相关标准用例的收集、身份管理流程与模型、通过联合凭证管理API(Federated Credential Management API)和登录状态API(Login Status API)等联合身份技术标准取代部分第三方Cookie的应用,通过数字凭证API(Digital Credentials API)实现数字卡包对分布式身份的支持,以及对分布式身份威胁模型的分析等。Philippe也介绍了W3C去中心化标识符(Decentralized Identifiers简称DID)和可验证凭证(Verifiable Credentials简称VC)标准的最新进展,主要包括VC数据模型和数据完整性验证等标准。
中国信息通信研究院的专家傅山的报告题目为“移动智能终端分布式数字身份研究与标准化”。她分析了分布式数字身份自主可控、可移植性和收集个人信息最小化等特点,介绍分布式数字身份凭借隐私保护、安全可控等特点应用于证券交易、信用贷款、身份证明等多种场景,指出移动智能终端成为分布式数字身份应用的重要载体,分布式数字身份凭证以应用或卡包的形式部署在用户终端设备上,终端集成分布式数字身份卡包显著提升用户体验,并详细介绍了移动智能终端分布式数字身份相关的国家标准、行业标准和团体标准情况。
公安部第一研究所的专家李頔的报告题目为“依托可信数字身份的跨机构协同数据流通应用及权益保障”,主要内容包括我国数字身份发展现状及趋势,数字身份如何推动数据流通及共享以及身份权益服务设计及相关案例,并深入介绍了可信分布式数字身份服务关键技术应用实践方案,即以居民法定身份为根扩展出个人分布式身份标识(DID),机构签发可公开验证的可验证凭证(VC),在个人授权后出示身份属性声明(VP),依托区块链公开个人DID和公钥,机构DID和公钥,实现分布式认证,以及基于该技术的若干应用案例。
北京理工大学的盖珂珂教授的报告题目为“分布式数字身份技术原理与应用探索”,他在报告中从数字身份的定义、发展历程、技术架构等多个方面,对分布式数字身份技术进行了详细的解析和探讨。盖珂珂教授提到了分布式数字身份技术在应用中面临的挑战和问题,例如身份验证和隐私保护等方面的难点,以及技术标准和应用场景等方面的不足。此外,还特别强调了在隐私保护方面的挑战和重要性,提出了抵制基于数据挖掘的攻击、隐私保护的威胁模型、匿名数据库、隐蔽通信等方案和技术。报告围绕基于区块链的分布式数字身份和隐私保护等问题,讨论高效和可扩展性方法和应用。
区块链服务网络(BSN)发展联盟常务理事何亦凡的报告题目为“中国实名DID解决方案介绍”,他在报告中介绍了BSN实名DID服务,由BSN发展联盟与公安部第一研究所基于可信身份认证平台(CTID)和BSN共同建立,可生成具有实名属性可追溯的分布式数字身份。报告介绍了BSN实名DID服务在各种领域的具体应用案例,指出其主要特点一是带来注册和登录方式的变革,用户可以不再使用会暴露隐私的账户密码和手机验证码等方式,而是使用实名DID和私钥签名,二是数据权利的完善,包括数据确权以及所有权和使用权的分离等,三是赋予个人更多加密手段来保护隐私数据。
蚂蚁集团的专家张武的报告题目是“IIFAA分布式可信认证助力《马拉喀什条约》”,他介绍了IIFAA联盟发布的分布式可信认证技术规范的主要内容,阐述了基于分布式可信认证的理念,如何建设以用户为中心的跨机构的认证体系,以解决隐私和信任问题。并重点分享了如何利用分布式可信认证技术,一方面通过身份数字匿名化帮助各类型残障用户享受数字经济福利,另一方面降低公益机构的接入成本,助力机构快速接入并为残障人群提供各类公益服务,从而实现持续加强残障人群权益保障,助力社会公共服务资源均等化,共建和谐美好社会。
经过充分深入的会议研讨,与会嘉宾反馈的建议总结如下:
(一)新一代数字身份相关标准应促进数字身份更加可信、安全、保护用户隐私,以及增强用户对自己数字身份数据的控制权。目前W3C数字身份相关标准技术路线符合此发展方向。建议用好W3C的组织平台,将国内数字身份相关优势技术标准和产业实践输出,北航将及时发布W3C在数字身份领域的相关标准进展,并欢迎国内业界同仁参与W3C相关标准制定工作,提出宝贵的意见和建议。
(二)应根据GB/T 25069-2022《信息安全技术 术语》等相关国家标准,加强各类数字身份相关标准在核心概念和术语方面使用和翻译的规范性,例如鉴别(Authentication)、凭证(Credentials)、身份(Identity)、标识(Identification)、标识符(Identifier)及验证(Verification)等。
(三)建议积极探索在一带一路等跨境流转场景下,数字身份如何通过标准化方案互通互认,例如基于我国CTID系统的数字护照和数字登机牌等如何在对等场景下实现与其他国家机构的相互验证。
(四)建议进一步解决数字身份相关标准技术在落地实施方面的法律效力问题,出台相关指导文件。例如使用DID是否满足数字签名法等相关法律法规的要求,以及如果使用了DID,如何体现其在法律上的效力等。建议通过标准化的方式明确数字身份相关实践中的责权利问题,例如约定DID参与各方的责权利,实现责任主体化。也建议进一步探索使用DID等开放标准技术的激励机制,即在身份发行方和身份验证方分离的情况下,制定公平合理的收费机制,促进DID网络长久健康的运行。
(五)建议进一步探索DID与实名主体绑定关系的公开性和匿名性之间的合理中间方案,以便既可以保持DID的公开便利性,也能够保护DID用户的隐私和数据安全。