1、构建可信数字身份体系构建可信数字身份体系筑牢数字文明基石筑牢数字文明基石白皮书白皮书(20242024 年)年)发布单位:发布单位:中移智库牵头单位:牵头单位:中国移动通信研究院(中移智库)参与单位:参与单位:中国移动金融科技有限公司中国信息通信研究院多维身份识别与可信认证技术国家工程研究中心北京中盾安信科技发展有限公司前前 言言随着信息技术的不断发展,生产、生活、社会治理的数字化转型逐渐深入,人类活动从物理世界逐渐向数字世界拓展,数字身份的意义和重要性越发凸显。互联网架构天然缺失身份层,缺乏信任机制,使得数字社会活动缺乏规范,传统基于实体证件的身份认证方式已难以适应数字经济的发展需求。未来,
2、伴随着人机物融合发展,身份主体更加多元,应用场景更加复杂,虚实融合更加深入,对身份的认证、应用提出了更高要求。因此,与时俱进、凝聚共识、构建产业生态,加快完善符合我国国情的中国特色可信数字身份体系迫在眉睫。本白皮书在全面梳理数字身份发展历程和重要作用的基础上,提出了可信数字身份体系框架,总结了数字身份领域典型应用实践,展望了数字身份未来发展趋势。本白皮书由中国移动通信有限公司研究院、中国移动金融科技有限公司、中国信息通信研究院、多维身份识别与可信认证技术国家工程研究中心、北京中盾安信科技发展有限公司联合编写。本白皮书的版权归中国移动所有,未经授权,任何单位或个人不得复制或拷贝本建议之部分或全部
3、内容。联合编写说明联合编写说明牵头编写单位及作者牵头编写单位及作者中国移动通信研究院(中移智库):魏晨光、林琳、吴淑燕、赵英、李璐、卢燕、贾辉、邢碧玉参与编写单位及作者(排名不分先后)参与编写单位及作者(排名不分先后)中国移动金融科技有限公司:孙健、肖军、庄怀宇、唐欢、王昊、张宋好多维身份识别与可信认证技术国家工程研究中心:于锐北京中盾安信科技发展有限公司:杨林、胡光俊、黄耀晖、管毅、刘艳春中国信息通信研究院:张立峰、庞伟伟、刘婷婷中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)1目目 录录1.可信数字身份与数字文明.21.1.数字身份概念与内涵.21.1.1.身份到数字身份的
4、发展演变.21.1.2.可信数字身份内涵.31.2.可信数字身份与数字文明关系.41.2.1.可信数字身份是筑牢数字空间安全的重要保障.51.2.2.可信数字身份是发展数字经济的信任基础.61.2.3.可信数字身份是提升数字治理能力的有效手段.72.全球典型国家的可信数字身份发展情况.92.1.美欧等国家的可信数字身份发展情况.92.2.我国可信数字身份发展现状.102.1.1.我国数字身份基础建设发展情况.112.1.2.我国数字身份相关政策法规发布情况.113.构建可信数字身份体系.143.1.构建原则及总体框架.143.1.1 构建原则.143.1.2 总体框架.143.2.可信数字身份
5、技术体系.163.3.可信数字身份应用体系.203.4.可信数字身份治理体系.234.典型实践:中国移动数字身份的应用.254.1.中国移动可信数字身份能力体系.254.2.中国移动可信数字身份应用案例.285.未来展望.305.1.技术趋势-更融合、更安全、更创新.305.2.应用趋势-全民化、全场景、全球化.315.3.治理趋势-敏捷治理“内核”加强.31参考文献.33中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)21.1.可信数字身份与数字文明可信数字身份与数字文明1.1.1.1.数字身份概念与内涵数字身份概念与内涵1.1.1.1.1.1.身份到数字身份的发展演变身份到
6、数字身份的发展演变人的身份在社会发展和社会关系的变化中确立、适应和演变,其意义也随着社会形态、社会运转的发展而不断外延。我国的身份标识大体经历了三个阶段我国的身份标识大体经历了三个阶段:第一阶段,身份管理起步期。身份载体为关键要素,身份载体决定身份功能,第一阶段,身份管理起步期。身份载体为关键要素,身份载体决定身份功能,与身份主体的关联性逐渐加强与身份主体的关联性逐渐加强。从春秋战国开始,代表身份的“虎符”,“照身帖”、“牙牌”和“腰牌”等身份载体由重金属向轻量级实物演变,身份功能从“权力凭证”到“权贵凭证”到“人口记录”转变,身份主体从权贵向普通百姓延伸,身份管理雏形逐渐形成。第二阶段第二阶
7、段,自然人身份管理成熟期自然人身份管理成熟期。身份主体成身份主体成为关键要素,身份主体决定载体承载信息,身份主体和载体共同决定其功能作为关键要素,身份主体决定载体承载信息,身份主体和载体共同决定其功能作用。用。1984 年、2004 年,我国先后颁发一代居民身份证及二代身份证。身份主体为全部自然人;身份载体主要以卡证为主,便于携带且防伪能力不断加强。身份载体承载信息与主体密切关联,其功能作用不仅能证明“我是谁”,例如个人生物特征、出生地、年龄和家庭信息等;还能证明“我拥有什么”,例如驾照、资格证书、学位证等。该阶段,对自然人身份管理包括身份证、户籍、护照、驾照、学籍、学位等逐渐完善和规范。第三
8、阶段第三阶段,数字化身份管理发展期数字化身份管理发展期。身份载体数身份载体数字化字化、身份主体和功能不断外延身份主体和功能不断外延。伴随着数字技术和信息技术的发展,我国身份电子化开始进入快速发展期,公安部在十二五、十三五期间先后研发了网络电子身份标识和“互联网+”可信身份认证平台;同时出现了邮箱、手机号、社交号、平台账号等多形态身份载体。此外,随着互联网到移动互联网到万物互联的发展与变迁,除了人之外,还有机器、设备、系统、机器人、数字人等为主体的身份体系逐渐形成,其承载的功能作用远远超出了表征或者证明主体本身,而是在各类应用场景不断发挥价值,其功能潜力还在不断挖掘中。目前,数字身份认证和验证提
9、供者、网络运营商、数字身份载体厂商、互联网平台商等数字身份产业生态逐渐发展壮大。中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)3回顾身份到数字身份发展历史,其标识的主体、载体和功能不断发生演变:一是身份主体一是身份主体从特权人群延伸到普通百姓,并突破人的界限范围不断扩大。二是二是身份载体身份载体由物理载体向数字化、智能化演变。三是身份标识的功能三是身份标识的功能从“证明我是谁,我能做什么”向“我是可信任的,我拥有什么”不断延伸。1.1.2.1.1.2.可信数字身份内涵可信数字身份内涵根据业界资料显示,数字身份概念已经提出 20 余年,超过 60 个国家推行数字身份项目,但业界
10、并没有形成对数字身份的统一认识。从数字身份的主体看从数字身份的主体看,有广义和狭义之分有广义和狭义之分。狭义的数字身份主体是指“自然人”,例如中国科学技术名词审定委员会提出中国科学技术名词审定委员会提出“数字身份为实体社会中自然人身份在数字空间的映射”、北京中盾安信科技发展有限公司北京中盾安信科技发展有限公司在行业洞察报告中提出“数字身份是身份标识方式的一种,将真实身份信息浓缩为数字代码,通过网络、相关设备等查询和识别的公共密钥,支持用户在不同的应用服务中使用不同的数字身份进行标识。”广义的数字身份主体是指“人机物”,除了自然人之外,还有机器、虚拟资产等,例如世界银行世界银行提出“数字身份是电
11、子化采集和存储的、可唯一性的标识某个实体的属性和凭证的集合。”将数字身份主体从“自然人”延伸至“实体”。从数字身份的载体看从数字身份的载体看,分为实体和非实体两种分为实体和非实体两种。实体载体包括身份证、护照、社保卡、超级 SIM 卡以及工卡等;非实体包括注册邮箱、用户 ID、手机号码以及基于区块链的 NFT、DID 标识等。从数字身份的功能看从数字身份的功能看,除了除了“证明我是谁证明我是谁”,还能还能“证明我具有的权利证明我具有的权利”。“证明我是谁”包括静态信息和动态信息,静态信息是与“人机物”信息相对稳定的信息,如身份证明、生物信息;动态信息为业务操作等相关的行为信息,如手机号码、互联
12、网平台账号及消费活动等。“证明我具有的权利”包括个人数据授权、个人收据收益权以及具有某种特定行为的权利等。总之,随着技术进步和社会发展,数字身份的主体将由自然人到多元、由真实到虚拟进行拓展,信息承载和功能实现也有新的发展,不断创造出新的商业场景。中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)4数字身份可表征三类身份:法定身份法定身份、社会身份及业务身份社会身份及业务身份。法定身份具有法定身份具有法律属性法律属性,属于法定凭证级,由国家行政机构依法赋予,具有国家信用背书,是整个身份体系的基础设施根身份,如身份证、护照等;社会身份体现社会属性社会身份体现社会属性,属于第三方作证级
13、,主要标明社会关系身份,如家庭成员、组织成员等,还包括基于法定身份信息,由第三方签发、面向行业系统应用、可作为司法采证的电子签名证书等身份凭证,如 CA 厂商颁发的证书和 Ukey;业务身份体现业务属性业务身份体现业务属性,属于业务凭证级,主要标明功能,如“我是谁”(身份证明、业务行为等)、“我拥有什么”(资产、权益等)、“我能做什么”(需求、主张等)等信息。数字数字身份身份“人机物人机物”各类主体中各类主体中,只有自然人、法人具有法定身份、社会身份和业务身份;而机器、设备、虚拟人、虚拟资产等为代表的“机物”本质仍是自然人或法人的生产生活工具,并不具备法定身份和社会身份,仅仅具有业务身份。可信
14、数字身份是由权威机构签发,有政策法规保障支撑的数字身份,是数可信数字身份是由权威机构签发,有政策法规保障支撑的数字身份,是数字空间自然人身份的信任根字空间自然人身份的信任根,更加强调可信性更加强调可信性、安全性和便捷性安全性和便捷性,在增强互信在增强互信、确保信息安全等方面极大强化了数字身份的价值确保信息安全等方面极大强化了数字身份的价值。其内涵包含其内涵包含:以法律法规和标准规范为基础,由权威机构认证,通过技术手段和治理机制,解决各类应用场景中“人机物”的身份认证与验证、身份数据保护与管理、身份权力与责任界定等关键问题,具有主体可验证、操作可追溯、管理可控制、监管可触达等特征,最终保证数字身
15、份可信、安全、便捷、高效和低成本,广泛应用于生产、生活、治理等各个领域,助力提升生产效率,改善生产关系。其核心在于加强人际之间其核心在于加强人际之间、人机之间、万物之间的身份信任,实现各主体身份的互认、互联和互通,最终人机之间、万物之间的身份信任,实现各主体身份的互认、互联和互通,最终推动数字身份广泛应用,实现价值最大化推动数字身份广泛应用,实现价值最大化。1.2.1.2.可信数字身份与数字文明关系可信数字身份与数字文明关系人类社会正在从工业文明迈向数字文明。数字文明是以数字化为重要标志数字文明是以数字化为重要标志、数字经济占关键或主导地位的一种现代社会文明状态。数字身份是构建数字文数字经济占
16、关键或主导地位的一种现代社会文明状态。数字身份是构建数字文明的基础设施之一明的基础设施之一,直接关系到数字文明的质量和可持续性直接关系到数字文明的质量和可持续性,是实现以人为本是实现以人为本、和谐共生的数字社会愿景的核心要素,已成为维护国家网络安全和社会稳定的和谐共生的数字社会愿景的核心要素,已成为维护国家网络安全和社会稳定的重要基础重要基础。伴随着云计算、大数据、物联网、人工智能等数字技术快速发展,人类生产生活、社会治理、文化交流等各方面不断注入了新的发展要素和动能,同中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)5时也将重塑公民、市场、社会和政府等之间的关系。发展可信数字
17、身份,对于保障网络空间安全、促进经济社会数字化转型、提升现代化治理体系、至关重要,将深刻影响数字文明的形态与未来。1.2.1.1.2.1.可信数字身份是筑牢数字空间安全的重要保障可信数字身份是筑牢数字空间安全的重要保障在物理世界与数字世界互动过程中,存在诸多不容忽视的风险问题,如网络安全、身份伪造、隐私泄露等,而可信数字身份具有安全可信、主体可验证、操作可追溯等特质,为维护国家安全和社会稳定奠定了重要基础。可信数字身份确保身份信息的权威性和真实性,助力提升网络安全环境建可信数字身份确保身份信息的权威性和真实性,助力提升网络安全环境建设设。可信数字身份由权威机构签发,并且有政策法规保障支撑的数字
18、身份,确保了身份信息的权威性和真实性,进而为数字空间的各种活动提供了可信的基础。对于个人而言,网络登录采用“前端匿名、后端实名”方式,大大降低了“人肉跟踪”、网络暴力等伤害风险。另外,基于身份标识的网络安全管理应用,通过分析检测异常动作,及时发现潜在的威胁,可以提高网络的攻击源识别能力和溯源效率,实现主动防御,有效减少网络攻击的可能性。可信数字身份确保身份核验全程安全可信,降低了虚假身份等带来的风险可信数字身份确保身份核验全程安全可信,降低了虚假身份等带来的风险隐患隐患。可信数字身份基于权威机构认证,结合多因素认证(密码、硬件令牌等)、数字签名、动态生物识别技术等,解决了网络交易中远程对身份核
19、验的要求,为网上交易安全提供了保障;也进一步降低了虚假身份作弊的空间,减少了由虚假账号和冒充身份所引发的恶意活动,诸如网络攻击、传播虚假谣言、网络暴力、网络诈骗等网络犯罪,维护了网络安全。可信数字身份确保核验和授权环节减少信息暴露面,降低了个人隐私泄露可信数字身份确保核验和授权环节减少信息暴露面,降低了个人隐私泄露风险风险。在验证环节,可信数字身份可通过密码技术,对身份凭证进行脱敏去标识化处理,减少互联网平台之间对个人实名信息的直接使用和串联归并,配合零知识证明等隐私技术,以选择性披露、最小方式、最小范围的原则进行隐私保护和数据保护;在身份授权环节,个人能够自主管理和验证自己的身份信息,并通过
20、数据加密、访问控制等技术措施,确保个人隐私信息不被未经授权的第三方获取或滥用,进而提高个人信息的安全性和隐私性,降低个人信息泄露、滥用的风险。中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)61.2.2.1.2.2.可信数字身份是发展数字经济的信任基础可信数字身份是发展数字经济的信任基础随着数实融合深入发展,经济活动中的交易商品、交易载体、沟通渠道、生产流程等全面数字化。物理空间现有的身份系统已经难以适应数字经济活动需求,需要可信数字身份系统,解决在 KYC(Know Your Customer)身份认证场景中实现远程身份认证与核验、秒级身份认证与核验等简化流程、缩短交互时间的
21、问题,保障数字经济运行安全可靠、激活数字经济发展新动能、提升数字经济运行效率。可信数字身份为数字经济提供了信任入口,保证数字经济运行安全可靠。可信数字身份为数字经济提供了信任入口,保证数字经济运行安全可靠。联合国纪念联合国成立 75 周年宣言呼吁各国通力合作解决数字信任和安全问题。可信数字身份的数据经过验证,并与个人、企业、组织等进行实名绑定,明确身份的所有权,成为各类经济活动中 KYC 身份认证重要基础,也是明确身份主体权责、保护身份数据的隐私权和数据安全的重要前提条件。如果缺乏身份信任基础,不仅扰乱正常的经济活动,还会阻碍经济活动深入发展。可信数字身份有助于推进数据要素价值发挥,激活数字经
22、济发展新动能。可信数字身份有助于推进数据要素价值发挥,激活数字经济发展新动能。数字身份是发挥数据要素价值的基础。发挥数据要素价值需要解决数据确权、数据孤岛、数据流通等重要问题。推进数据确权,明确数据归谁所有,为谁控制,未来收益如何分配;打破数据孤岛,要实现跨平台、跨业务、跨终端、跨系统的数据关联价值的汇聚;实现数据流通,要实现数据的合法、合规的跨域资产流通。数据确权、共享和流转背后的身份至关重要。通过主体的法定身份或社会身份或业务身份构建数据统一 ID 体系,一方面将分布不同数据库中相关实体的数据都映射归集到统一 ID,实现身份溯源有助于数据确权,同时解决了跨部门、跨业务、跨平台、跨系统相对孤
23、立、难以关联的数据,从而消除数据孤岛;另一方面基于隐私技术和数据安全保护技术手段,更有利于推动电子证据的客观性、安全性、不可篡改性等,加速数据流通,为数据资产化打下了良好的基础。可信数字身份可提升经济活动效率可信数字身份可提升经济活动效率,助力释放经济潜力助力释放经济潜力。根据麦肯锡全球研究所的预测数据,到 2030 年可信数字身份应用将为典型经济体带来 3%6%的经济价值1。在生产侧,基于可信数字身份,大幅降低认证成本,促进企业数字化服务供给能力。基于统一的可信数字身份,平台企业无须开发新用户首次认证流程,大幅降低认证成本,例如欧盟利用 eIDAS 电子身份证每一年将为企业节省超过 110
24、亿美元2,同时也助力企业首次吸纳用户提供更加便捷高效的数字化服中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)7务。在消费侧,通过可信数字身份认证,简化各类场景的实体卡认证环节,为用户提供便捷服务,例如,SIM 数字身份文旅门票、访客卡、交通卡,线下刷手机取代实体卡/票证;在 KYC 要求严格的金融领域,通过互联网+可信身份认证等方式快速实现远程开户等业务,简化银行、保险业务处理流程,让用户体验更高效、便捷、优质的服务。另外,基于可信数字身份认证功能、数字签名技术,建立身份信息的全域动态管理系统,为用户随时查询动态流程提供了高效的数字化服务能力。例如在物流领域,使商品从源头开始
25、被实施跟踪和管理,并建立真实有效的发货人、货物、物流公司配送过程的可视化、网络化能力,为用户提供实时查询的数字化服务。1.2.3.1.2.3.可信数字身份是提升数字治理能力的有效手段可信数字身份是提升数字治理能力的有效手段可信数字身份作为政府提升现代化治理能力的重要抓手,助力社会治理创新,有效提升治理效率和服务水平。可信数字身份助力提升公共服务效率,促进社会治理现代化可信数字身份助力提升公共服务效率,促进社会治理现代化。基于统一的可信数字身份体系,能够打破政府部门间数据壁垒,实现服务“一体化”供给、信息“一站式”汇聚,从而提高政府的治理效率和公共服务能力。对于个体对于个体,通通过可信数字身份可
26、以更加便捷获得公共政府服务过可信数字身份可以更加便捷获得公共政府服务。例如,国家基于可信数字身份践行的医疗、医药、医保的“三医联动”改革,将实现医保卡、社保卡、就诊卡多卡合一,用户可以实现脱卡就医、跨区域、跨医院一卡从挂号到缴费,享受全流程数字化服务。对于企业对于企业,通过可信数字身份极大地减少跨部门认证通过可信数字身份极大地减少跨部门认证、验证环验证环节节,获得一站式服务获得一站式服务,为企业隐私安全提供有效保障为企业隐私安全提供有效保障。例如,中小企业申报“专精特新”的过程中,需要向各个政务部门提供证明材料,既耗费时间和精力,又暴露企业信息。基于区块链+可信数字身份形成政务联盟链,将工信局
27、、税务局、财务局、人社局、司法局、市监局和其他委办局加入政务联盟链,打破各机构间数据壁垒,实现数据流通和共享,为中小企业申报流程提供极大便利。可信数字身份提供公共安全保障抓手,提高突发风险的应急处置能力。可信数字身份提供公共安全保障抓手,提高突发风险的应急处置能力。基于可信数字身份提供的实时数据和信息,决策者能第一时间掌握突发区域的人员数量以及个人属性的信息,对下一步做出准确及时的决策、并能够快速有效地为公共服务提供非常必要的数据支撑。在自然灾害预警和预防中,通过可信数字身中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)8份,可以识别和追踪可能受到灾害影响的人员和财产,以便及时
28、发出预警和提供必要的预防措施;通过对用户身份的准确认证,了解用户特征、用户数量和区域分布,可以促进防灾系统的优化,提升整个防灾系统的效能。可信数字身份助力提升市场监管效率可信数字身份助力提升市场监管效率,增强市场透明度增强市场透明度。可信数字身份提供个人或企业的数字化认证,使得政府在监管市场时更加便捷和高效。政府可以通过数字身份系统快速识别违法主体和违规行为,并及时采取相应的监管措施,减少监管的延迟和成本,并且能够及时制定有效的监管政策。同时,政府可以更加有效地打击假冒伪劣产品和欺诈行为,保护市场主体的合法权益。中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)92.2.全球典型
29、国家的可信数字身份发展情况全球典型国家的可信数字身份发展情况2.1.2.1.美欧等国家的可信数字身份发展情况美欧等国家的可信数字身份发展情况近年来,各国陆续推出数字身份建设的相关战略规划,完善法律法规、构建技术标准体系,开展试点应用。美国是较早将网络空间可信身份上升到国家安全战略高度的国家,提出了美国是较早将网络空间可信身份上升到国家安全战略高度的国家,提出了总体战略目标和实施路径总体战略目标和实施路径。美国政府于 2011 年发布了网络空间可信身份国家战略(NSTIC),旨在通过政府推动与私营部门、社会团体和其他组织协作,建立一个以用户为中心的身份生态体系,允许个人、机构等各类实体参与者遵循
30、统一策略、标准和流程进行身份识别与认证,以保护用户隐私、降低网络交易成本、提高安全性,进一步增强网络防御,增强对网络空间的掌控,繁荣网络经济,巩固美国全球经济主导地位。十余年来,美国政府通过制定身份生态系统架构、实施引导工程、开发联邦云凭据交换平台等工作进行战略推进;制定了 SP 800数字身份标准体系和技术框架,增加了网络可信数字身份的互操作性;分批资助了二十多项引导工程,引导联邦政府部门、地方政府机构、企业和个人参与试点建设与应用3。2024 年 2 月,美国白宫科技政策办公室(OSTP)发布了一份对美国国家安全具有潜在重要意义的关键和新兴技术(CET)清单,包含数字身份技术、生物识别技术
31、和相关基础设施技术领域。随着市场不断发展和成熟,美国政府不断提高标准、技术等来驱动商业和政府使用可信身份,基本实现了 NSTIC提出的战略目标。整体看,美国私营机构主导、政府支持的数字身份生态系统建设模式,与美国市场经济以及分散自治的社会治理需求相适应。美国数字身份生态系统的建设也在不断改进和完善中,包括调整战略、推动 改进数字身份法案、更新数字身份指南、改善以身份为中心的网络犯罪现象、强化 Login.gov 的基础设施应用、测试和部署人脸识别和移动驾驶执照 mDL 新技术等。欧盟先行在国家层面实施数字身份认证与管理,以推动欧盟国家统一身份欧盟先行在国家层面实施数字身份认证与管理,以推动欧盟
32、国家统一身份体系体系、集中认证方式集中认证方式。欧盟在战略层面、技术层面为网络身份管理的大范围部署与推广作了充足的准备。1998 年欧盟就启动了第五次技术发展和示范研究框架计划(FP5),该框架围绕电子政务、个人隐私保护等议题开展了网络身份管理中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)10研究。2006 年欧盟发布了纲领性文件2010 泛欧电子身份管理框架路线图,对数字身份进行了顶层设计,推进 eID 启用4。2014 年欧盟出台eIDAS条例,在充分保护个人隐私及数据安全的基础上,为欧盟公民、企业和政府机构跨境电子身份提供相互认证机制。2023 年,欧盟理事会(Coun
33、cil of the EU)就欧盟数字身份计划进一步与成员国达成协议,明确数字身份钱包(EUDI Wallet)的基本使用方式,拓宽了相应的信任服务技术列表。2024 年 4 月,欧盟官方公报发布了建立欧洲数字身份框架的第 2024/1183 号条例(EU),要求欧盟范围内使用的电子身份识别服务提供适当的安全级别,使自然人和法人能够在欧盟范围内行使访问在线公共和私人服务的权利。目前欧盟基于 eIDAS 条例的电子身份识别和信任服务体系基本建成,涉及的身份认证、数据安全、合作框架、认证流程以及责任承担等较为完整。日本、韩国等国的数字身份模式是线下身份管理的线上迁移,以线下身份日本、韩国等国的数字
34、身份模式是线下身份管理的线上迁移,以线下身份证号码为索引建立数字身份,从政府层面设立专门的部门机构统筹数字身份相证号码为索引建立数字身份,从政府层面设立专门的部门机构统筹数字身份相关事项关事项。日本政府成立数字厅推广数字身份证体系,该机构负责推广“我的号码”系统,为所有居民提供身份证号码,个人编号卡可作为健康保险证使用,政府计划 2024 年度末到 2025 年度,实现个人编号卡与驾驶证、居留卡等的一体化。韩国与欧洲组建韩欧数字伙伴关系理事会,将数字身份和信任服务作为韩欧数字伙伴关系重点合作领域之一。2020 年韩国推出移动驾照验证服务,持续丰富其承载的服务内容,并升级至国家身份基础设施。20
35、23 年 9 月韩国政府批准将所有PASS 移动驾驶执照纳入居民登记号码管理体系。2.2.2.2.我国可信数字身份发展现状我国可信数字身份发展现状我国地域广阔,网民数量世界第一,互联网业态、形式丰富,数字经济、数字政务、数字城市快速发展,数字身份体系建设必须要适应中国国情。因此,需要在充分汲取国际经验的基础上,利用我国以居民身份证为代表的国家法定基础身份证件和国际标准的机读旅行证件等重要资源,创新应用人工智能、网络安全、数据保护等新一代信息技术,完善相关标准体系和法律法规体系,加快推进中国特色的可信数字身份发展。中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)112.1.1.2
36、.1.1.我国数字身份我国数字身份基础建设基础建设发展发展情况情况我国政府高度重视数字身份建设工作,推行的自然人数字身份方案逐步完善。2016 年国家发改委批复立项建设“互联网+可信身份认证平台”项目;2018 年公安部在全国范围内启动“互联网+”可信身份认证平台应用试点;2020 年国家发改委批准依托成熟的“互联网”+可信身份认证平台技术体系架构,建设国家网国家网络身份认证公共服务平台络身份认证公共服务平台。国家网络身份认证公共服务平台数据源更加权威可靠,不再使用明文信息,减少互联网平台之间对个人实名信息的直接使用和串联归并,有效保护个人信息安全,维护国家网络安全和大数据安全,同时满足数字经
37、济、数字社会发展需要。服务面向我国网络主权空间的自然人,依托居民身份证、护照、港澳台居民居住证、外国人永久居留证等权威部门发放的身份证件,为其生成匿名化的网络身份,确保对不同身份群体广泛覆盖和网络身份的可靠生成。官方客户端“网络身份认证 App(试点版)”已于 2023 年 7 月初在国内各大手机应用商店上架,通过该App 用户可以使用网络身份认证公共服务,可在不暴露公民身份信息的前提下核实、验证公民真实身份、登记公民身份。2.1.2.2.1.2.我国数字身份相关政策法规发布情况我国数字身份相关政策法规发布情况我国明确指出国家实施网络可信身份战略,推动发展全面多生态的电子身份认证技术,探索个人
38、数据安全和个人信息数据采集保障机制,筹划建设国家网络身份认证公共服务模式。“十四五”国家信息化规划要求“完善网络实名法律制度,推进社会公众数字身份管理体系建设,加大数字身份管理体系标准化整合衔接”。网络安全法规定了“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。个人信息保护法、数据 20 条、反电信网络诈骗法明确支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设,并要求“创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私”,为数字身份中个人信息的处理提供了法律框架,也为有效识别个
39、人、企业存在涉诈异常的电话卡、银行账户、支付账户、互联网账号提供了网络身份核验的执法依据。中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)12表表 1 1 各国数字身份建设的相关政策法规各国数字身份建设的相关政策法规与应用与应用年份国家可信身份相关战略核心内容2011美国网络空间可信身份管理战略通过政府推动以及与私营部门、社会团体、政府机构和其他组织协作,建立一个以用户为中心的身份生态体系2014推出联邦云凭证服务平台Connect.Gov作为政府信息服务统一入口2017身份生态系统框架(IDEF)为数字身份交换奠定了更好的基础2017推出联邦云凭证交换平台Login.Gov替
40、代Connect.Gov作为美国公民个人身份管理服务的统一入口2018数字身份指南(SP 800)系列标准重视网络可信数字身份解决方案的互操作性2020关于美国政府范围内建立改善数字身份途径的法律提案聚焦针对个人的远程在线身份核验服务2020修订数字身份指南第三版SP800-63 v3标准修订数字身份模型定义2022推进改进数字身份法案使美国的数字身份基础设施现代化,并保护美国人的个人信息免遭窃取2022公布了第四版SP800-63-4数字身份指南草案并公开征求意见应对自2017年 SP800-63-3版本发布以来不断变化的数字环境,主要内容包括促进公平性、强调可选性、预防欺诈和高级威胁、更新
41、身份验证保证等级、联合保证等级2023拜登政府发布了国家网络安全战略战略五大核心支柱之“支柱四:投资有韧性的数字未来”包括“支持数字身份生态系统的发展”,数字身份在国家战略里再次被提及2024年关键和新兴技术(CET)清单第九个领域“数据隐私、数据安全和网络安全技术”,包含数字身份技术、生物识别技术和相关基础设施1998欧盟第五次技术发展和示范研究框架计划(FP5)围绕电子政务、个人隐私保护等议题开展了网络身份管理研究2006第六次技术发展和示范研究框架计划(FP6)开展数字身份的部署和管理研究20062010年泛欧洲电子身份标识(eID)管理框架路线图统筹指导各国成员国实施eID2009全欧
42、洲电子身份管理行动发展报告构建欧盟统一eID认证基础设施;建立跨境身份信息资源互换机制中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)132014eIDAS规定欧盟各成员国各自的国家数字身份系统需要做到彼此互认2021欧盟数字身份框架倡议提出成员国认可的公私机构应向公民、常住居民、企业提供“数字身份钱包”2023欧盟数字身份框架临时协议就数字身份钱包的问题达成进一步协议,明确数字身份钱包(EUDIWallet)的基本使用方式2024欧洲数字身份框架发布确保为欧盟范围内使用的电子身份识别服务提供适当的安全级别2019韩国数字政府革新推进计划引进电子身份证,计划先从学生证、公务员证
43、等使用对象明确的证件开始试行中国2017中华人民共和国网络安全法明确指出“国家实施网络可信身份战略”2018可信身份认证平台“CTID平台”上线服务以可信身份为核心的网络身份认证生态逐步建立2021“十四五”国家信息化规划指出推进社会公众数字身份管理体系建设。2021中华人民共和国个人信息保护法推进网络身份认证公共服务建设2023网络身份认证App(试点版)为社会提供安全、便捷、权威、高效的网络身份认证公共服务中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)143.3.构建可信数字身份体系构建可信数字身份体系3.1.3.1.构建原则及总体框架构建原则及总体框架3.1.13.1.
44、1 构建原则构建原则可信数字身份体系须遵循以下原则:第一第一,系统性原则系统性原则。可信可信数字身份体系在设计和实施过程中,要从全局视角出发,兼顾各方利益,确保系统能够在复杂多变的环境中高效、安全、持续地运行。不仅要确保身份认证服务不仅技术可靠,还要符合法律、社会和经济的整体发展目标。第二,安全性原则第二,安全性原则。可信数字身份体系应保障身份信息登记、认证、留档、使用安全,保证身份信息存储安全、密码安全、灾备安全、隐私安全以及数据安全等,是数字经济信任建设的基础。第三第三,自主性原则自主性原则。可信数字身份体系应保证硬件基础设施、核心关键技术、密码算法、去中心化体系的组织与管理等的自主可控,
45、助力提升我国数字身份应用的主动权和国际话语权。第四第四,兼容性原则兼容性原则。可信数字身份体系须遵循现有法律法规及监管体系,参考现有身份体系的认证协议、技术标准规范,以便于可信数字身份概念及应用的普及推广,促进不同数字身份生态间互联互认。第五第五,价值性原则价值性原则。可信数字身份体系应为社会发展提供多层次、多维度的价值,保障数据和社会服务的价值释放,降低交易、交流成本,提升经济运行和社会治理效率,促进数字文明可持续发展。3.1.23.1.2 总体框架总体框架可信数字身份体系框架应围绕身份认证、身份验证、身份管理核心环节,以移动网络、算力网络等基础设施为基石,以认证/核验、卡端接入等平台体系为
46、桥梁,立足于技术体系、应用体系、治理体系(如图 2),以实现助力数字经济中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)15发展、保障数字空间安全、提升现代化数字治理能力的核心目标。下文将重点介绍技术体系、应用体系以及治理体系。图图 2 2 可信数字身份体系总体框架可信数字身份体系总体框架资料来源:课题组绘制中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)163.2.3.2.可信数字身份技术体系可信数字身份技术体系从数字身份认证、验证和管理的全生命周期看,数字身份技术体系通过身份加密与数据保护技术、身份认证与授权技术、人工智能分析认证技术等三大类关键技术,构建起
47、从“身份数据管理”到“身份标识认证与核验”再到“人工智能识别”的全流程的技术体系(如图 3)。图图 3 3 可信数字身份技术体系可信数字身份技术体系资料来源:课题组绘制(一)关键技术一:身份加密与数据保护技术(一)关键技术一:身份加密与数据保护技术身份加密身份加密是一种加密方法,其中加密的密钥是从身份信息中派生出来的,这样的身份信息可以是用户的名字、电子邮件地址或其他唯一标识符。身份加密允许公钥直接从身份信息中提取,从而简化了证书管理过程。数据保护数据保护是通过身份加密等一系列技术和措施,确保敏感数据在创建、存储、使用、传输和销毁整个环节中的安全性、完整性和可用性,防止未经授权的访问、数据泄露
48、、数据篡改和数据丢失。对称加密:对称加密:使用相同的密钥进行数据的加密和解密,主要优点是加密效率高,适用于大规模数据加密。为了保护好用于加密和解密的密钥,多种对称加密算法通过使用更长的密钥长度、引入复杂的数学运算、以及采用特定的结构设计等增强安全性,例如国密算法 SM4、数据加密标准(DES)、高级加密标准(AES)等。中国移动构建可信数字身份体系 筑牢数字文明基石白皮书(2024)17非对称加密:非对称加密:非对称加密算法使用一对密钥公钥和私钥,实现了密钥的分开管理,简化了密钥分发难题,提高了系统的安全性。尽管非对称加密在处理速度上不及对称加密,但它在确保数据完整性、认证及密钥交换方面展现出
49、独特价值,是构建许多安全协议的基础。公钥可以公开,而私钥保持秘密,这一特性允许安全的身份验证和数字签名。常用算法包括:国密算法 SM2、RSA、ECC 等。同态加密同态加密:是一种特殊的加密方式,允许在加密数据上进行特定的运算,而无需先对数据进行解密。确保用户可以在不暴露原始数据的情况下,对数据进行处理和分析。量子加密量子加密:是一种基于量子力学原理的加密技术,它利用量子态的不可克隆性和测量扰动特性来实现信息的安全传输。量子密钥分发(QKD)是量子加密的一个实际应用,它可以生成无法被破解的密钥,从而提供理论上无条件的通信安全。安全套接层安全套接层(SSLSSL)和传输层安全和传输层安全(TLS
50、TLS)协议协议:SSL 和 TLS 是用于在网络上提供安全通信的加密协议。它们通常用于在网页浏览器和服务器之间创建安全层(即 HTTPS),确保数据传输过程中的安全性和隐私性。TLS是 SSL 的后续版本,提供了更强的安全性和更复杂的加密算法。这些协议通过使用公钥和私钥的组合,确保数据在传输过程中不被窃听或篡改。零知识证明零知识证明:是一种加密协议,它允许一方(证明者)向另一方(验证者)证明一个陈述是正确的,而无需透露任何有关证明的具体信息。在需要验证身份或资格的场景中,该协议能有效保护用户隐私。(二)关键技术二:身份认证与授权技术(二)关键技术二:身份认证与授权技术身份认证身份认证是数字身