数字身份的基本要素

数字身份包括一系列基本要素，主要有数字身份标识、数字身份数据和属性信息声明，以及可信签字背书等。通过综合运用数字技术、密码学、隐私保护及机器可读等技术，来保证数字身份的安全性、真实性、一致性和准确性。

 数字身份标识

数字身份系统的一项重要功能是身份识别，即将某个人的身份属性信息从数据库中识别出来。身份信任体系中的每个人都需要有一个独一无二的身份编码或标识符（Unique ID Number，UIN），如身份证号、护照号等，美国还可使用社会保障号。在互联网上，UIN就是一种个人已识别信息，也是单独识别信息，包括账号、用户名、电子邮箱、手机号等，通过此类信息，任一数据项都可引导别人直接识别出你。有时还可以使用与用户关联的网络设备标识符，如计算机网络设备的MAC地址、手机设备的统一编码、IP地址等。

数字身份主要解决互联网上“你是谁”的问题，因而数字身份还应该是全局性的。当前，不同网站或平台都有自己的身份系统，需要用户注册一个账号，作为用户身份认证的凭证。这些账号构成一个个碎片化的数字身份，如银行账号、QQ或微信账号等。用户身份标识的全局性可以让用户登录一次，就可以访问多个数字空间的资源和服务，并有助于对个人在不同平台产生的数据进行归集和分析。

从用户的角度看，用户在网上产生了很多敏感信息，如果被滥用或泄露，将造成难以预料的风险和损失。因此，用户往往不希望使用个人真实信息。有些已验证标识，比如身份证号码,隐含了个人出生日期，就有泄露个人隐私之嫌。对于个人可识别信息，比如用户的性别、年龄、婚姻状态、邮政编码等，这些信息项单独使用无法识别用户，但多个信息项结合起来，仍然有可能识别出用户真实身份，因此这些标识数据也应该受到保护。

认证机构在颁发数字身份凭证时，通常会根据个人身份信息，利用随机数加密计算出一个唯一代表用户身份的标识编码，该编码不应包含个人身份信息，也不能逆推出个人身份信息。

 数字身份数据要素

数字身份要强调同一和认同，因而其数据格式通常为机器可读的结构化数据，以便于认证、检索和管理等。数字身份的数据格式主要包含三部分内容，首先是身份主体，比如用户；其次是主体的属性，比如姓名、年龄、学历、职业等；最后是属性的数值，比如年龄数值为“30”，就意味着一个人声称自己的年龄为30岁。这种表述形式被称为声明，多个声明关联起来形成关于主体属性的信息图，可描述主体属性的复杂关系。

身份属性及其数值体现的是主体的各种真实信息，这也是数字身份的核心。根据应用的场景不同，身份属性具有多个维度或类别。国家法定基础性数字身份通常包括以下两个维度。

①人口档案：主要包括姓名、性别、民族、年龄、住址及联系方式等，这是身份管理的基本属性。

②生物特征：比如人脸照片及识别、指纹、虹膜、DNA等直接关系个人生物特征的属性。

功能性数字身份除了包括基础性数字身份信息外，还需要按照应用场景提供特定信息，比如对于求学或求职的场景，要提供文化程度、职务、职称等。

 数字身份证明要素

一个人的身份声明若要让别人信任，就需要有证据支持。现实社会的契约信任可以通过签名或签章的方式表明自己的身份和意愿，重要的声明还需要第三方权威机构的认证背书，比如签署合同协议、颁发证明证件等。

同样，数字空间也需要数字化签名和证书。但由于数字空间数据的易复制性，不能简单地以传统签名的图像数字化实现，而是利用密码学原理，以加密数据的方式实现，保证签名难以伪造或篡改，这就是数字签名和数字证书，也是数字身份的重要基础。因此，数字身份本质上应该称为数字加密身份，其核心在于“加密”。

①数字签名：数字签名的技术以密码学算法为基础。密码学算法通常分为对称加密算法和非对称加密算法两大类。在对称加密算法中，数据的加密和解密使用同一密钥；非对称加密算法则需要一对密钥：公开密钥（即公钥）和私有密钥（即私钥）。私钥是随机生成的，可由它来生成公钥。如果用公钥对数据进行加密，只有用对应的私钥才能解密。公钥需要告知别人，而私钥只能自己持有。我们可以将公钥比作用户名，私钥相当于登录口令。

数字签名是采用非对称加密算法的电子签名，以证明信息确实由身份所有者发出。由于只有信息发送者拥有私钥，所以其无法否认发送过该信息，从而以技术手段防止交易中抵赖情况的发生。

数字签名常用于签署电子协议、合同、订单等，不仅可以识别签名人，还能证明签名人对文件内容的认可。按照《中华人民共和国电子签名法》，经过认证的电子签名与传统意义的签名具有同等法律效力。

②数字证书：数字签名使用过程中有一个可能的漏洞，即由于信息发送者A的公钥是公开的，它有可能被另外一个人替换掉，因此，需要有一个权威的第三方机构，颁发一个数字证书，把公钥与其所有者的身份信息关联起来，这个机构就是数字证书认证机构，通常要有政府背景或权威机构背书。数字证书认证机构需要在其所颁发的数字证书中添加自身的数字签名，以证明证书签发者的身份，实现对证书的背书。数字证书在功能上为数字证书认证机构机构出具的鉴定印章。

数字证书用于证明公钥确实对应其身份所有者，其中包含公钥持有者信息、公钥、签发者签名信息、有效期以及扩展信息。目前国际上对数字证书的格式及认证方法遵从国际电信联盟电信标准分局（ITU-T）X.509体系标准，以此为基础建立的公钥基础（Public Key Infrastructure，PKI）是信息安全与信任服务体系的核心，目的是通过密钥和证书管理，构建网络信任环境。

数字证书按照持有者的类型可分为个人身份证书、企业或组织机构证书及服务器证书，分别证明相应主体在网络活动中的不同身份。数字证书需要具有三个特性：安全性、唯一性和便利性。通过基于数字证书的数字签名技术，既可以提供实体认证，又可以保障被签名数据的安全性和完整性，即确认数据无论是在传输还是在存储过程中都经过检查，确保没有被修改或调包。

 数字身份凭证与载体

①数字身份凭证：在现实世界，人们的身份通过各种证件证照体现，既有国家颁发的法定身份凭证，如身份证、护照、毕业证、职称证、驾驶证等功能性身份证件，也有短期有效的准考证、选举投票身份证明等，作为某种资格或权益的证明。在数字空间，与这些证照对应的是数字身份凭证或电子证照，其包含了上述各种要素。

数字身份凭证管理包括一系列环节，如注册、签发、验证及管理等。其中注册通常由用户向专门机构发起请求，机构对身份凭证核验认可后，颁发数字身份凭证给申请人，并将数字身份信息记录到注册库。

②数字身份凭证载体：数字身份是虚拟的数字形式，在应用中需要物理载体。当前的数字身份载体有以下几种。

第一种以USBkey作为数字身份凭证载体。USBKey是一种内置IC智能芯片的智能卡，其上有专门的中央处理器（CPU）和芯片操作系统，通常以密码学为基础，执行生成公私钥对、硬件数字签名等运算，安全性较高。USBKey形式上类似U盘，可通过USB接口与计算机连接，其用于手机上的相应产品为TFKey。更便利的方式是将智能芯片植入银行卡，称为IC卡或智能卡。智能卡可以通过读卡器或射频芯片实现无接触读取信息。

第二种是欧盟普遍采用的电子身份标识（electronic IDentification，即eID），这是一种基于密码技术证明公民身份的专用解决方案。eID通常以智能芯片为载体，由政府身份管理部门为识别和认证公民的身份而颁发。eID可以通过网络提供远程个人身份识别和认证服务，能够在保障网络和信息安全的条件下建立数字化信任机制，成为公民打开各项政务和公共服务之门的钥匙。eID还可以为私营机构提供身份认证服务。另外，eID还允许公民使用数字签名来签署电子文件。

eID载体同样可以为IC卡，被称为eIC或电子身份证；也可以使用手机SIM卡或SIM-eID。电子身份证在外观形式上与普通身份证类似，也印有基本的身份属性，如持卡人的基本信息和照片，包括姓名、出生日期等，以供人阅读。eID芯片中的数据供机器读取，可以存储有持卡人的基本信息和照片的电子版本，照片可有多张，以便从不同角度拍摄面部表情，用于人脸识别。eID还可以存储持卡人的指纹、虹膜等生物特征，以及持卡人的电子签名等。

第三种是将手机SIM卡作为数字身份凭证的载体，这也是一种智能芯片，可存储用户的各种数据。

另外，随着Web 3.0和元宇宙的兴起，去中心身份应用将日益广泛。去中心化身份凭证称为可验证凭证，一般使用数字钱包作为载体，这是一种分布式应用DApp，主要用于基于区块链的数字货币和数字身份的密钥管理。其是对数字货币或数字身份凭证的所有权的证明，一旦丢失，无法找回。