5月25日下午,在“第七届数字中国建设峰会——成果发布会”上,IIFAA互联网可信认证联盟对外发布了全国首个分布式认证领域的应用技术规范《IIFAA分布式可信认证技术规范第1部分:总体要求》。该规范的出现,为行业提供了一套标准化、合理化的分布式数字化可信认证解决方案和应用准则,有助于解决隐私和信任等问题。
(图:IIFAA互联网可信认证联盟技术总监王永涛)
可信认证是构建数字信任体系的基础,在数字经济发展中至关重要。然而,如何建设一套可信的认证机制既能保护用户隐私又能保护数据在跨机构流通间的安全性,是行业面临的一个严峻挑战。为解决以上问题,IIFAA联盟通过密码学和终端安全技术构建了IIFAA分布式可信认证技术体系,可实现保护用户信息的分布式可信认证和授权管理,在国内外颇受行业关注。
信息显示,此次发布的IIFAA技术规范首次面向行业提出了分布式可信认证体系整体架构,并定义了一套标准化的应用准则,具体内容包括分布式可信认证参考模型、技术架构和功能、业务流程、安全要求和个人信息保护要求等等。通过该技术规范,厂商或者认证机构即可高效完成IIFAA分布式可信认证体系的研发设计、部署应用和测试认证等相关活动,并能广泛应用于数字金融、医疗、教育、物流等各个业务场景,为产业数字化提供可信认证基础。
IIFAA联盟技术总监王永涛在发布会现场表示,IIFAA分布式可信认证是一套以用户(端)为中心、软硬件结合的分布式核验方案。通过该认证体系,用户拥有自己的数据/身份凭证资产的控制权与所有权,且信息仅加密存储在自己手机终端设备安全区域内。在需要出示凭证时,用户可在自主授权条件下,选择性最小披露个人信息,完成跨平台的身份和资质验证。该认证可极大程度保护用户隐私,减少数据披露过程中的风险,提升用户数字化服务的体验。
据介绍,该规范由蚂蚁集团推动,联合密码科技国家工程研究中心、中国信息通信研究院、北京银联金卡科技有限公司、中移动金融科技有限公司、华为等IIFAA联盟的20余家成员单位和合作伙伴共同起草完成,其中涵盖密码、安全、终端等多个领域的领军企业和机构。
据了解,IIFAA分布式可信认证技术规范和W3C的去中心化标识符(DIDs)和可验证凭证标准相互协调,目的是构建一个去中心化、尊重隐私和基于许可的数据共享生态系统。IIFAA联盟的分布式认证工作组将在此项标准发布后继续开展相应技术的标准化工作,并基于市场需求扩展新功能模块。
IIFAA互联网可信认证联盟是2015年由中国信通院、阿里巴巴、华为、中兴、蚂蚁集团、平安科技等机构联合发起,成员单位超过300家,致力于联合行业推动可信认证技术的发展及行业应用。相关技术规范已在全球超16亿台手机设备、43个手机品牌的900多款手机型号上得到应用和支持。
