数字身份安全治理研究

信息安全研究 ›› 2021, Vol. 7 ›› Issue (7): 598-605.

数字身份安全治理研究

李俊柴海新

（国民认证科技（北京）有限公司北京 100085）

出版日期:2021-07-09 发布日期:2021-07-08
作者简介:李俊硕士,主要研究方向为身份认证、信息安全 lijun@gmrz-bj.com 柴海新博士,主要研究方向为身份认证、信息安全 chaihx@gmrz-bj.com

Research on Secure Governance of Digital Identity

Online:2021-07-09 Published:2021-07-08
Contact: 李俊

摘要/Abstract

摘要： 万物互联时代，网络空间中实体身份规模迅猛扩大，面临的安全风险日益增加，对实施数字身份安全治理提出了挑战。首先对数字身份的基本概念进行阐述，明确了身份、凭证和鉴别器的含义，提出了数字身份的分类。然后描述了数字身份模型架构和数字身份生命周期，并给出了围绕数字身份的活动及其角色和功能。之后针对数字身份模型各活动所存在的安全风险提出了安全保障框架，并分别阐述了安全保障框架的三种不同保障等级：身份保障等级、鉴别器保障等级和联合保障等级。最后给出了实现数字身份安全治理的思路，包括制定战略、建立制度、运用技术、构建生态和加强监管。

关键词: 数字身份, 安全治理, 身份模型, 身份核验, 登记, 鉴别, 联合, 保障框架, 凭证, 鉴别器

Abstract: In the era of Internet of things, the scale of entity identities in cyberspace is expanding rapidly, and the security risks are increasing, which challenges the implementation of digital identity secure governance. Firstly, the basic concept of digital identity is described, the meaning of identity, credential and authenticator is defined, and the classification of digital identity is proposed. Then the architecture of digital identity model and the life cycle of digital identity are described, and the activities, roles and functions around digital identity are elaborated. Then, according to the security risks existing in the activities of the digital identity model, the security assurance framework is proposed, and three different security levels of assurance with the security framework are elaborated: identity assurance level, authenticator assurance level and federation assurance level. Finally, the ideas of digital identity secure governance are proposed, including making strategy, establishing rules and regulations, utilizing technologies, building the ecosystem and strengthening supervision.

Key words: digital identity, secure governance, identity model, identity proofing, enrolment, authentication, federation, assurance framework, credential, authenticator

李俊柴海新. 数字身份安全治理研究[J]. 信息安全研究, 2021, 7(7): 598-605.

参考文献

[1] IBM corporation. Cost of a Data Breach Report 2020[EB/OL]. (2020-07) [2021-03-21]. https://www.ibm.com/security/digital-assets/cost-data-breach-report/
[2] 全国信息安全标准化技术委员会(tc260). GB/T 25069-2010 信息安全技术术语[S]. 北京: 中国标准出版社, 2010
[3] ISO/IEC 24760-1:2019 IT Security and Privacy — A framework for identity management — Part 1: Terminology and concepts[S]. Geneva: ISO/IEC, 2019
[4] 顾青,谢超,冯四风. 网络可信身份管理体系研究[J]. 信息安全研究, 2016, 2(10): 931-935.
[5] Grassi P, Garcia M, Fenton J. NIST Special Publication 800-63-3: Digital Identity Guidelines[R/OL]. Gaithersburg: National Institute of Standards and Technology, 2017[2021-03-21]. https://doi.org/10.6028/NIST.SP.800-63-3
[6] ISO/IEC 29115:2013 Information technology — Security techniques — Entity authentication assurance framework[S]. Geneva: ISO/IEC, 2013
[7] 公安部第三研究所. eID介绍[EB/OL]. [2021-03-21]. https://www.eid.cn/knoweid/whatiseid.html
[8] 北京中盾安信科技发展有限公司. CTID平台介绍[EB/OL]. 2020[2021-03-21]. http://www.anicert.cn/platform.html?md=1
[9] 全国信息安全标准化技术委员会(tc260). 电子认证2.0白皮书（2018版）[R/OL]. 2018 [2021-03-21]. https://www.tc260.org.cn/upload/2018-04-15/1523807798330006835.pdf
[10] FIDO Alliance. Specifications Overview[EB/OL]. [2021-01-12]. https://fidoalliance.org/specifications/
[11] Reed D, Sporny M, Longley D. Decentralized Identifiers (DIDs) v1.0 Core architecture, data model, and representations[S/OL]. 2020(2020-03-09)[2021-03-21]. https://www.w3.org/TR/did-core/
[12] Sporny M, Longley D, Chadwick D. Verifiable Credentials Data Model 1.0 Expressing verifiable information on the Web[S/OL]. 2019(2019-11-19)[2021-03-21]. https://www.w3.org/TR/vc-data-model/
[13] 郭小波，李景华，蒋才平，等. 网络身份管理体系发展展望[J]. 信息安全研究, 2020, 6(7): 602-607.

[1]	李俊柴海新. 基于FIDO技术的物联网身份认证解决方案[J]. 信息安全研究, 2021, 7(4): 358-366.
[2]	冯科阮树骅陈兴蜀王海舟王文贤蒋术语. 基于联合模型的网络舆情事件检测方法 [J]. 信息安全研究, 2021, 7(3): 207-214.
[3]	李新友国强. 美国网络空间可信身份国家战略最新进展研究[J]. 信息安全研究, 2020, 6(7): 575-581.
[4]	国强李新友. 欧盟数字身份进展情况研究[J]. 信息安全研究, 2020, 6(7): 582-588.
[5]	天津飞腾信息技术有限公司. 从飞腾芯看国产CPU的生态发展[J]. 信息安全研究, 2020, 6(10): 0-0.
[6]	王广清韩金丽方铁城申彦龙. 北京燃气集团工业互联网安全运营平台建设与实践[J]. 信息安全研究, 2019, 5(8): 734-739.
[7]	闫桂勋刘蓓程浩许涛王啸天文博. 数据共享安全框架研究[J]. 信息安全研究, 2019, 5(4): 309-317.
[8]	明向阳龙毅宏刘旭. 一种便捷式Web单点登录系统[J]. 信息安全研究, 2019, 5(10): 892-897.
[9]	温旭杰马建军. 可信身份核验服务设计与实现[J]. 信息安全研究, 2019, 5(10): 904-907.
[10]	张严张立武. 身份管理系统身份联合互操作能力研究[J]. 信息安全研究, 2019, 5(10): 929-934.
[11]	郭丞乾蔡权伟林璟锵刘丽敏. 单点登录协议实现的安全分析[J]. 信息安全研究, 2019, 5(1): 59-67.
[12]	刘亮刘露平何帅刘嘉勇. 一种基于多特征的恶意代码家族静态标注方法[J]. 信息安全研究, 2018, 4(4): 322-328.
[13]	劳伟. Linux内核mmap保护机制研究[J]. 信息安全研究, 2018, 4(12): 1135-1141.
[14]	陈逸恺. Eduroam中密码算法的应用分析[J]. 信息安全研究, 2017, 3(6): 501-509.
[15]	李明. 可信网络连接架构TCA的实现及其应用[J]. 信息安全研究, 2017, 3(4): 332-338.