文：易柏伶

编辑：王巧

5G到来，万物互联，社会步入数字化经济时代。随着现实社会与网络世界的进一步接轨融合，虚拟和现实早已密不可分。现实中的个体、组织、机构，甚至设备都会将其现实中的本体投射到数字世界中。

早在互联网时代，人们生活中的游戏、社交、交易等行为已经离不开网络中的各式软件应用。因此，各类不同的应用存储着人们不同属性的信息。在数字经济时代，这些不同属性的信息一旦相连在一起，就会形成个人数字身份，属性越全面，身份便越完整。

既然数据被公认成为数字经济的石油、人工智能的原料、新经济的引擘，数据的可控治理成为了当下的热门话题。而数据治理的首要是数据标准化，标准的第一步便是要明确数据的主体，主体的明确则需要数字身份的安全可信认证。

数字身份认证的重要性不言而喻。

图片来源于摄图网

然而，互联网欺诈事件层出不穷，身份黑市大量存在，个人的隐私遭遇“裸奔”危机等情形依旧存在。

数字经济时代，如何规避、减少互联网欺诈事件？数字身份的安全可信认证的核心技术是什么？如何利用区块链技术结合其他核心技术打造可信安全的数字身份认证？

5与15日，在越你聊“锌”第19期分享会上，锌链接创始人龚海瀚邀请了云之道（深圳）信息技术有限公司执行董事单慧蔚，将以“数字经济时代的数字身份认证”为主题，来解决上述问题。

锌链接：数字身份认证行业都有哪些认证技术或标准？目前大家都需要突破的焦点问题有哪些？

单慧蔚：传统的认证方式基本有三种。第一，根据所知道的信息来证明身份，比如密码口令；第二，根据所拥有的东西来证明身份，比如银行U盾、短信验证码；第三，根据独一无二的身体特征来证明身份，比如指纹、声纹、人脸等。

无论是口令还是指纹等生物特征，几乎都要通过用户和服务器两侧的凭证匹配来完成。

数据泄漏事件频发，我们意识到，依赖互联网企业难以杜绝数据泄漏。口令被盗可以修改，而生物特征一旦泄露则无法擦除。

于是演进出一种可信认证模型，把认证链条分为两部分：人到设备端的认证（本地认证）和设备端到服务端的认证，这两个链条各自保证认证安全就实现了用户到服务端的安全认证。

要解决的核心问题就是如何建立可信根。可信身份认证模型会在设备端隔离出一个独立的硬件环境，建立安全区域。理论上，这个隔离出来的硬件本身是难以攻破的，比如ARM公司在其处理器上隔离出来的Trust Zone，或者是手机里加了一个独立安全芯片模块。

这个安全模型可以保证，手机端被攻破时也不影响整个系统身份认证的安全可信。安全域用来存储指纹识别或者瞳孔识别的样本，以及加密密钥，本地认证保证安全域，这是第一段认证链条。

另一段认证链条是由安全区域（设备端）与远程服务端之间建立一条可信安全通道，这也是可信身份认证协议的主要内容。因为这个路径要通过互联网才能到达远程服务端。

目前，主流的可信身份协议包括应用于网银U盾的（PKI/CA）协议，以及近几年比较火热的FIDO、IFAA两大统一身份认证标准。

锌链接：阐述一下云之道的身份认证系统和电子签名平台成立初衷、基本架构和发展逻辑？

单慧蔚：在移动设备中，要实现上述的安全认证，必须要提供一个安全区域把作为身份认证的密钥保护起来，让别人无法偷走你的密钥。而手机作为消费类电子产品，一般没有专门的安全芯片来对加密密钥进行保护。

而手机的操作系统是开放式的环境，如何保护密钥是安全认证的核心难点，这就是我们公司的成立的契机。

如何实现密钥的保护 ？我们研发了JustKey身份认证系统。

JustKey采用了创新型的白盒密码技术，根据设备的不同指纹生成独一无二的加密算法，在无需增加硬件安全芯片的前提下，采用软件方式动态生成和有效识别设备身份。

我们通常使用的加密算法是属于黑盒密码：算法公开，个人密钥需要硬件介质提供保护，在运行的时候不能暴露加密密钥，保护加密密钥是核心。

而白盒密码是将密钥和算法融合在一起，使其在运算过程中密钥不会泄露。你分离不了密钥和算法。

这是一张简单的架构图：设备端有JustKey的SDK，它采集设备指纹，发送到下载插件服务器，再由加密机根据设备指纹，用主算法动态生成跟这个设备一一对应的加密算法，并编译成可执行插件，下发到设备端，设备端调用这个加密算法插件，跟认证服务器进行双向认证。

有了这个跟手机一一对应的加密算法，手机就可以被模拟成U盾，作为身份认证因子。

基于这个加密算法，我们能认证用户是否合法？设备是否合法？APP客户端应用是否是盗版的？传输的数据是否被篡改过？指令是否是伪造的？

JustSign是一款基于FISCO BCOS的区块链系统以及使用基于白盒密码的JustKey签名系统的电子合同存证链系统，在给予用户方便的前提下，把电子合同的签章信息放在了存证链上，所有节点都保留签名信息，解决电子合同在发生纠纷时举证难，缺乏公信力，防止电子合同文件内容被篡改等问题，保护用户个人安全和利益。

电子缔约场景的移动端身份认证的安全性和便捷性不好；CA证书有兼容性问题，体验不好；软证书在移动端很难保护，易被盗用，可抵赖；移动端APP存在数据完整性隐患，自建系统存证证据公信力不足，发生纠纷时举证难等痛点。

JustSign通过白盒密码算法提供基于设备的身份认证服务，通过白盒密码算法提供数字签名，引入区块链，并由权威机构提供存证服务邀请仲裁机构加入联盟链，作为独立存证节点。

锌链接：未来数字身份认证的技术和应用场景的发展趋势是怎样的？数字身份认证与物联网技术的结合会迸发出怎样的火花？

单慧蔚：数字身份的发展阶段大致经历了四个阶段：中心化身份、联盟身份、以用户为中心的身份和自主主权身份。

中心化身份时代的标识符就是个人邮箱账户，邮箱背后代表着真实存在的个体；联盟身份可以类比为微信、微博的跨平台登录；还有就是以用户为中心的身份和自主主权身份。

区块链作为前沿技术，为数字身份认证提供了极高安全性和使用便利性。基于区块链实现自主主权的数字身份，解决了身份和平台之间互操作性。不仅可以保护个人隐私，还能激发相互信任，提供更高的安全性，这也是用户对数字身份掌控度最高的形式自主主权的数字身份大大改善目前的身份安全问题。

在5G时代，商业流程会实现从人的连接到物的连接，在实现万物连接之后，开放性、云物一体等5G特征也使得网络安全问题变得更加重要。

物联网设备身份化是未来重要的安全场景。尤其是超大规模通过NB-IOT/LORA模组连接在一起的廉价物联网设备，他们的身份标识和认证是最大的难点。由于是成本低且功耗低，所以，再用增加硬件芯片的方式进行认证识别，就无法满足应用场景的要求。这里对身份认证手段提出了更高的要求。

万物互联的应用场景，多样化的终端形态与接入技术，移动边缘计算技术，网络切片技术将产生新的安全问题，用户需要从机密性，隐私保护，伪基站防护，网间安全，完整性，认证类型这几个方面，来提升5G背景下的网络安全。5G背景下的数字身份认证市场大有可为。