可信流通体系之可信身份管理

数据要素可信流通体系之可信身份管理，是基于对流通风险和管控措施的研究而提出的。为实现“流通主体可信”，需要实现主体认证、主体信用管理、共识或共治机制等多项基础要求共同实现。

可信身份管理还需结合数据要素流通方案体系中的可信智能计算、可信数据空间、数据安全、区块链等核心技术，以保障数据流通安全可信。

在数据交易过程中，通过采用云原生数据安全技术，结合访问控制、数据加密、数据脱敏等技术手段，对不同用户角色、不同的数据访问行为进行管控、防护、脱敏、审计、分析等，从而实现数据产品“可控可计量”。

主要实现方如下：

节点设备身份管理：基于设备证书实现，证书可以基于X.509等标准；该证书是设备信任的基础，需要在设备中进行预制或者人工安装；基于设备证书，可以申请获取安全传输证书和访问凭据。前者可以用于构建安全传输通道，例如通过TLS证书可以在节点设备之间建立一条安全传输通道；后者可以直接用于访问其他节点设备的资源。

身份管理：通过证书/可信凭据等方式建立节点/用户的身份体系，实现对连接各节点/访问用户的统一身份认证和授权管理。

信任管理：通过可信启动及远程证明服务，实现对节点信任状态的安全评估。

数据治理，支撑不同类型、不同来源数据资源的合规接入：基于业务模型和智能合约固化数据标准、业务标准，提供数据治理工具；基于区块链账本的安全数据存储。

可信加密身份（STA，Secure&TrustedAvatar）：数字身份管理的一个重要概念。在数字经济时代，生产者、消费者、投资者、捐赠者、分享者、公共机构和政府部门之间通过数字技术进行的交易或管理过程中，使用加密技术保护个人身份信息，确保身份的真实性、唯一性和不可篡改性。

可信加密身份的重要性体现在以下几个方面：

1.  数据治理：可信加密身份可以支撑不同类型、不同来源数据资源的合规接入，基于业务模型和智能合约固化数据标准、业务标准，提供数据治理工具，从而保护个人隐私，降低数据安全风险。

2.  安全存储：基于区块链账本的安全数据存储技术，可信加密身份能够确保身份信息的安全和透明处理，防止身份信息泄露或被篡改。

3.  可扩展性：数字身份系统应具有在支持验证方法方面的可扩展性，能适应不断变化的技术和需求，支持从个人用户到大型企业的不同类型的身份验证，可信加密身份为此提供了基础。

4.  互操作性：数字身份应该是独特的、机器可读的、标准化的格式，确保在联盟网络的不同参与者和平台之间可以普遍访问和识别，可信加密身份有助于实现这种互操作性。

5.  隐私保护：可信加密身份在密码学上应该是可验证的，使身份主体能够证明对其数字身份的所有权，同时让其他人能够验证由身份主体共享的个人数据的有效性，从而保护个人隐私。

6.  身份保证：在高风险环境中，确保个人身份的真实性和可靠性具有重要意义。可信加密身份结合多因素身份验证（MFA）和其他安全机制，有助于组织信任所提供的凭证实际上属于提供凭证的人。

7.  去中心化：可信加密身份引入了一种新的身份管理方法，使身份能够以统一、分散的方式进行管理，无需依赖于集中的身份提供者或CA，降低了系统对单一实体的依赖，增加了系统的弹性和安全性。