數字身份的基本要素

數字身份包括一系列基本要素，主要有數字身份標識、數字身份數據和屬性信息聲明，以及可信簽字背書等。通過綜合運用數字技術、密碼學、隱私保護及機器可讀等技術，來保證數字身份的安全性、真實性、一致性和準確性。

?數字身份標識

數字身份系統的一項重要功能是身份識別，即將某個人的身份屬性信息從數據庫中識別出來。身份信任體系中的每個人都需要有一個獨一無二的身份編碼或標識符（Unique ID Number，UIN），如身份證號、護照號等，美國還可使用社會保障號。在互聯網上，UIN就是一種個人已識別信息，也是單獨識別信息，包括賬號、用戶名、電子郵箱、手機號等，通過此類信息，任一數據項都可引導別人直接識別出你。有時還可以使用與用戶關聯的網絡設備標識符，如計算機網絡設備的MAC地址、手機設備的統一編碼、IP地址等。

數字身份主要解決互聯網上“你是誰”的問題，因而數字身份還應該是全局性的。當前，不同網站或平臺都有自己的身份系統，需要用戶注冊一個賬號，作為用戶身份認證的憑證。這些賬號構成一個個碎片化的數字身份，如銀行賬號、QQ或微信賬號等。用戶身份標識的全局性可以讓用戶登錄一次，就可以訪問多個數字空間的資源和服務，并有助于對個人在不同平臺產生的數據進行歸集和分析。

從用戶的角度看，用戶在網上產生了很多敏感信息，如果被濫用或泄露，將造成難以預料的風險和損失。因此，用戶往往不希望使用個人真實信息。有些已驗證標識，比如身份證號碼,隱含了個人出生日期，就有泄露個人隱私之嫌。對于個人可識別信息，比如用戶的性別、年齡、婚姻狀態、郵政編碼等，這些信息項單獨使用無法識別用戶，但多個信息項結合起來，仍然有可能識別出用戶真實身份，因此這些標識數據也應該受到保護。

認證機構在頒發數字身份憑證時，通常會根據個人身份信息，利用隨機數加密計算出一個唯一代表用戶身份的標識編碼，該編碼不應包含個人身份信息，也不能逆推出個人身份信息。

?數字身份數據要素

數字身份要強調同一和認同，因而其數據格式通常為機器可讀的結構化數據，以便于認證、檢索和管理等。數字身份的數據格式主要包含三部分內容，首先是身份主體，比如用戶；其次是主體的屬性，比如姓名、年齡、學歷、職業等；最后是屬性的數值，比如年齡數值為“30”，就意味著一個人聲稱自己的年齡為30歲。這種表述形式被稱為聲明，多個聲明關聯起來形成關于主體屬性的信息圖，可描述主體屬性的復雜關系。

身份屬性及其數值體現的是主體的各種真實信息，這也是數字身份的核心。根據應用的場景不同，身份屬性具有多個維度或類別。國家法定基礎性數字身份通常包括以下兩個維度。

①人口檔案：主要包括姓名、性別、民族、年齡、住址及聯系方式等，這是身份管理的基本屬性。

②生物特征：比如人臉照片及識別、指紋、虹膜、DNA等直接關系個人生物特征的屬性。

功能性數字身份除了包括基礎性數字身份信息外，還需要按照應用場景提供特定信息，比如對于求學或求職的場景，要提供文化程度、職務、職稱等。

?數字身份證明要素

一個人的身份聲明若要讓別人信任，就需要有證據支持。現實社會的契約信任可以通過簽名或簽章的方式表明自己的身份和意愿，重要的聲明還需要第三方權威機構的認證背書，比如簽署合同協議、頒發證明證件等。

同樣，數字空間也需要數字化簽名和證書。但由于數字空間數據的易復制性，不能簡單地以傳統簽名的圖像數字化實現，而是利用密碼學原理，以加密數據的方式實現，保證簽名難以偽造或篡改，這就是數字簽名和數字證書，也是數字身份的重要基礎。因此，數字身份本質上應該稱為數字加密身份，其核心在于“加密”。

①數字簽名：數字簽名的技術以密碼學算法為基礎。密碼學算法通常分為對稱加密算法和非對稱加密算法兩大類。在對稱加密算法中，數據的加密和解密使用同一密鑰；非對稱加密算法則需要一對密鑰：公開密鑰（即公鑰）和私有密鑰（即私鑰）。私鑰是隨機生成的，可由它來生成公鑰。如果用公鑰對數據進行加密，只有用對應的私鑰才能解密。公鑰需要告知別人，而私鑰只能自己持有。我們可以將公鑰比作用戶名，私鑰相當于登錄口令。

數字簽名是采用非對稱加密算法的電子簽名，以證明信息確實由身份所有者發出。由于只有信息發送者擁有私鑰，所以其無法否認發送過該信息，從而以技術手段防止交易中抵賴情況的發生。

數字簽名常用于簽署電子協議、合同、訂單等，不僅可以識別簽名人，還能證明簽名人對文件內容的認可。按照《中華人民共和國電子簽名法》，經過認證的電子簽名與傳統意義的簽名具有同等法律效力。

②數字證書：數字簽名使用過程中有一個可能的漏洞，即由于信息發送者A的公鑰是公開的，它有可能被另外一個人替換掉，因此，需要有一個權威的第三方機構，頒發一個數字證書，把公鑰與其所有者的身份信息關聯起來，這個機構就是數字證書認證機構，通常要有政府背景或權威機構背書。數字證書認證機構需要在其所頒發的數字證書中添加自身的數字簽名，以證明證書簽發者的身份，實現對證書的背書。數字證書在功能上為數字證書認證機構機構出具的鑒定印章。

數字證書用于證明公鑰確實對應其身份所有者，其中包含公鑰持有者信息、公鑰、簽發者簽名信息、有效期以及擴展信息。目前國際上對數字證書的格式及認證方法遵從國際電信聯盟電信標準分局（ITU-T）X.509體系標準，以此為基礎建立的公鑰基礎（Public Key Infrastructure，PKI）是信息安全與信任服務體系的核心，目的是通過密鑰和證書管理，構建網絡信任環境。

數字證書按照持有者的類型可分為個人身份證書、企業或組織機構證書及服務器證書，分別證明相應主體在網絡活動中的不同身份。數字證書需要具有三個特性：安全性、唯一性和便利性。通過基于數字證書的數字簽名技術，既可以提供實體認證，又可以保障被簽名數據的安全性和完整性，即確認數據無論是在傳輸還是在存儲過程中都經過檢查，確保沒有被修改或調包。

?數字身份憑證與載體

①數字身份憑證：在現實世界，人們的身份通過各種證件證照體現，既有國家頒發的法定身份憑證，如身份證、護照、畢業證、職稱證、駕駛證等功能性身份證件，也有短期有效的準考證、選舉投票身份證明等，作為某種資格或權益的證明。在數字空間，與這些證照對應的是數字身份憑證或電子證照，其包含了上述各種要素。

數字身份憑證管理包括一系列環節，如注冊、簽發、驗證及管理等。其中注冊通常由用戶向專門機構發起請求，機構對身份憑證核驗認可后，頒發數字身份憑證給申請人，并將數字身份信息記錄到注冊庫。

②數字身份憑證載體：數字身份是虛擬的數字形式，在應用中需要物理載體。當前的數字身份載體有以下幾種。

第一種以USBkey作為數字身份憑證載體。USBKey是一種內置IC智能芯片的智能卡，其上有專門的中央處理器（CPU）和芯片操作系統，通常以密碼學為基礎，執行生成公私鑰對、硬件數字簽名等運算，安全性較高。USBKey形式上類似U盤，可通過USB接口與計算機連接，其用于手機上的相應產品為TFKey。更便利的方式是將智能芯片植入銀行卡，稱為IC卡或智能卡。智能卡可以通過讀卡器或射頻芯片實現無接觸讀取信息。

第二種是歐盟普遍采用的電子身份標識（electronic IDentification，即eID），這是一種基于密碼技術證明公民身份的專用解決方案。eID通常以智能芯片為載體，由政府身份管理部門為識別和認證公民的身份而頒發。eID可以通過網絡提供遠程個人身份識別和認證服務，能夠在保障網絡和信息安全的條件下建立數字化信任機制，成為公民打開各項政務和公共服務之門的鑰匙。eID還可以為私營機構提供身份認證服務。另外，eID還允許公民使用數字簽名來簽署電子文件。

eID載體同樣可以為IC卡，被稱為eIC或電子身份證；也可以使用手機SIM卡或SIM-eID。電子身份證在外觀形式上與普通身份證類似，也印有基本的身份屬性，如持卡人的基本信息和照片，包括姓名、出生日期等，以供人閱讀。eID芯片中的數據供機器讀取，可以存儲有持卡人的基本信息和照片的電子版本，照片可有多張，以便從不同角度拍攝面部表情，用于人臉識別。eID還可以存儲持卡人的指紋、虹膜等生物特征，以及持卡人的電子簽名等。

第三種是將手機SIM卡作為數字身份憑證的載體，這也是一種智能芯片，可存儲用戶的各種數據。

另外，隨著Web 3.0和元宇宙的興起，去中心身份應用將日益廣泛。去中心化身份憑證稱為可驗證憑證，一般使用數字錢包作為載體，這是一種分布式應用DApp，主要用于基于區塊鏈的數字貨幣和數字身份的密鑰管理。其是對數字貨幣或數字身份憑證的所有權的證明，一旦丟失，無法找回。