分布式可信认证：数据安全与隐私保护新范式

随着“数字中国”战略深入推进，新型智能网络逐渐形成，新型业务场景和服务模式不断涌现。面对数字化转型带来的冲击，传统信任体系遭遇挑战，支撑复杂多元的数字化场景的诸多问题随之逐步显现。

目前可信数字身份已经成为影响数据要素流通的关键。如何构建可信数字身份、密码保障体系，切实提升网络空间身份认证的保障能力，成为数字经济快速发展的重要前提。

9月6日，由密码科技国家工程研究中心和IIFAA互联网可信认证联盟联合主办的2024Inclusion·外滩大会《未来的可信认证体系如何守护“数字的我”》论坛召开，就未来数字身份在信息安全、数据隐私保护、数字经济发展等领域的应用进行了一场激烈的思维碰撞。

可信数字身份成数据要素流通的关键

目前，各行各业都在加速推进数字化转型，数据要素已渗透到生产、流通、消费等各个环节，数据要素逐渐成为数字经济发展的关键。

为充分发挥数据要素乘数效应，赋能经济社会发展，2024年1月，国家数据局等十七部门部门关于印发《“数据要素×”三年行动计划（2024—2026年）》，面对政策的大力推动，目前数据流通领域依然存在“不愿开放、不敢开放、不会开放”的难题。我国亟待依托数字身份建立数字互认、互信关系，在保障数据安全的基础上促进了数据交互共享。 

可信数字身份已经成为数字中国建设的重要战略。在《未来的可信认证体系如何守护“数字的我”》论坛上，与会专家介绍，国家已通过制定颁布并实施多项法律法规和政策，明确提出，要加快推进可信数字身份、密码保障体系，切实提升网络空间身份认证的保障能力，赋能产业快速发展。

《网络安全法》第二十四条明确提出“国家实施网络可信身份战略”。《个人信息保护法》第六十二条也规定“支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设”，明确在国家层面建设网络身份认证公共服务。

可信数字身份对于整个数据要素流通的关键节点作用进一步凸显。

分布式可信认证成数据安全与隐私保护新范式

数智时代，个人在网络平台上的身份信息越来越丰富，也导致当前身份认证存在个人信息过度暴露、跨平台数据不互通、身份被盗用冒用、用户体验不佳等问题。而分布式可信认证体系凭借以用户为中心、保护隐私、高安全性等优势，正逐渐成为解决网络安全挑战的重要方向和技术手段。

IIFAA分布式可信认证技术的核心逻辑是使用密码技术+终端安全技术，以用户为中心，以用户的信息安全为中心，以用户的需求为中心，将用户的数据、身份凭证通过加密技术存储到手机终端。用户在自主授权的条件下，能够选择性地最小披露个人的信息，同时还能完成跨平台的认证和数据交互，可以极大提升用户体验。

浙江省商密办主任陈旭明表示，分布式可信认证很好地解决传统数字身份认证的痛点问题，分布式可信认证将密码技术应用到身份认证、数据保护、访问控制、用户端安全各个环节，实现对用户隐私最好的保护。他指出，分布式可信认证具体有三方面的优势：一是可以保护用户隐私信息，特别是基于商密的算法技术，对客户信息进行最小化披露。二是很好降低了数据交换的门槛，也减少了数据颁发方对于泄露的风险。此外，分布式可信认证为用户身份注册及授权行为提供了不可篡改的记录存储与可追溯性，进一步巩固了认证数据的完整性和抗篡改特性。

纵观全球，美国、欧盟先后通过了《电子签名法案》，逐渐将可信数字身份上升为国家战略，推动安全、高效、易用的身份解决方案。其中，美国较早将网络空间可信身份上升到国家安全战略高度，欧盟也在积极推动数字身份的标准化建设，旨在构建基于分布式可信认证技术的统一数字身份体系。

在国内，国家密码管理局对分布式可信认证体系的建设高度重视，多次指导以密码应用为核心的新一代可信数字认证体系发展。相关部门负责人也在论坛上呼吁充分认识密码保障网络信任秩序的核心作用，大力推动密码与分布式可信认证体系融合发展，加快释放分布式可信认证保护网络身份和数据安全的作用，持续提升密码赋能信息惠民能力与水平。

据IIFAA联盟理事长邵晓东介绍，“IIFAA联盟自2023年升级发布IIFAA3.0分布式可信认证体系后，在过去一年深耕数字身份技术的前沿探索，其成果已得到市场的良好反馈。2024年4月，IIFAA联盟与20余家行业单位联合发布了全国首个分布式可信认证领域的应用技术规范，进一步促进分布式可信认证行业的规范化、标准化发展。”

安全是未来数字身份的基础

在日益复杂多变的网络环境下，分布式身份系统作面临着前所未有的挑战。面对威胁与风险，如何才能保证分布式数字身份的安全？

W3C安全技术标准负责人Simone Onofri认为，有效的威胁建模策略是确保这些系统安全性的基石。他表示，在建立威胁建模期间，可以预测潜在威胁，比如漏洞或者缺乏控制来制定缓解措施的优先级，就能理解潜在威胁在哪里，并对此进行更精准的预测。此外，还可以使用这种方式针对攻击和防御方面进行建模，这也是针对攻击和防御进行建模风险评估的方式。

分布式可信认证作为一种全新的身份安全和访问管理理念，将密码技术、区块链技术和终端安全技术进行有机结合，从而构建以用户为中心的可信认证体系，在产业应用过程中具有很高的安全性和可靠性。

来自OPPO广东移动通信有限公司的安全与隐私技术总监黄冕认为，面对分布式数字身份的凭证颁发方、凭证核验方都在不同设备的安全风险，把风险管控策略放在手机上进行，可能是解决安全问题很好方式。

据了解，目前分布式可信认证体系已在浙江省进行试点应用。浙江省商密办主任陈旭明在论坛上介绍，支付宝APP依托于IIFAA分布式可信认证技术，为浙江教职工量身定制了一套身份验证解决方案，不仅提升了身份认证的效率与安全性，还确保了浙江教职工群体能够更便捷享有专属权益。

具体来说，该方案创新性地采用了分布式架构，由浙江省教育厅担当浙江教职工身份凭证的权威颁发方。教职工通过申请，能在其个人手机的安全环境中获得加密存储的身份凭证。当教职工需展示凭证以享受特定权益时，仅需基于“最小化披露”原则按需披露最少必要信息，而权益提供方则通过对凭证验证后，为教职工提供相应的优惠服务。这一实践案例，不仅标志着浙江省在推进分布式可信认证技术应用方面走在了全国前列，也激发了对未来数字身份认证广泛应用场景的深入思考与讨论。

声明：本文来自2024外滩大会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。