数字身份中的信任级别解析 (ZH)

LoA 定义信任级别 (LoA) 量化了对所声明数字身份的信心，范围从基本的自我声明到高度安全的政府支持验证。

LoA 为何重要正确分配 LoA 可以防止欺诈，确保法规遵从性，并通过将安全要求与交易或所访问数据的敏感性相匹配来优化用户体验。

关键 LoA 因素LoA 由身份证明流程、凭证强度、认证方法以及身份管理系统的整体安全性决定。

Didit 的作用Didit 的模块化平台允许企业构建自定义身份工作流程，以满足特定的 LoA 要求，无缝结合身份验证、生物识别和欺诈信号。

什么是信任级别 (LoA)？

在快速发展的数字身份领域，仅仅知道一个人声称的“是谁”已不再足够。企业和政府需要确定他们对该身份的“确定程度”。这就是信任级别 (LoA) 发挥作用的地方。LoA 提供了一个标准化的框架，用于对身份断言的真实性以及提交该身份的用户确实是分配该身份的个人这一信心程度进行分类。

将 LoA 视为一个光谱。一端可能是较低的 LoA，用户只需提供用户名和密码——适用于访问论坛上的公共内容。另一端是较高的 LoA，这涉及严格的身份验证、生物识别认证，甚至可能需要实际存在证明，这对于开设银行账户或访问机密政府信息等敏感交易是必需的。

各种标准机构，例如美国的 NIST（国家标准与技术研究院）和欧盟的 eIDAS，都建立了各自的 LoA 框架。尽管它们的具体细节可能有所不同，但它们通常侧重于相似的标准：

• 身份证明：身份最初是如何验证的？是自我声明的，还是由官方文件和证据支持的？
• 凭证强度：用于认证用户的方法有多强大？是简单的密码、多因素认证 (MFA) 令牌，还是生物识别扫描？
• 认证机制：每次用户访问服务时如何确认？是通过共享秘密、基于所有权还是基于固有特征？
• 安全与管理：身份凭证在系统中是如何安全存储和管理的？

理解 LoA 对任何在线运营的组织都至关重要。它决定了不同数字交互的适当安全级别，确保敏感数据得到保护，同时避免在低风险场景中给用户带来不必要的麻烦。

将 LoA 与用例匹配的重要性

实施正确的信任级别并非一劳永逸；这是一项平衡安全性、用户体验和成本的战略决策。不匹配的 LoA 可能导致严重问题：

• 过低的 LoA：如果 LoA 对于交易的敏感性来说不足，则会为欺诈、数据泄露和不符合法规打开大门。例如，允许通过基本用户名/密码访问金融交易平台将是灾难性的。
• 过高的 LoA：相反，为每次交互要求不必要的过高 LoA 可能会导致用户沮丧、高放弃率和运营成本增加。仅为了在博客文章上发表评论而要求进行完整的 KYC 流程是过度且不利于参与度的。

请考虑以下实际示例：

• LoA 1（自我声明/低信心）：用户仅使用电子邮件地址订阅新闻通讯。风险最小；低 LoA 是合适的。
• LoA 2（基本验证/中等信心）：电子商务客户进行购买。使用电子邮件验证和可能的电话号码。风险适中，涉及金融交易。
• LoA 3（高信心）：新客户开设银行账户。这需要强大的身份证件验证、活体检测和 AML 筛选。金融欺诈和监管处罚的风险很高，需要强大的 LoA。
• LoA 4（非常高信心）：访问关键基础设施或高度敏感的政府数据。这可能涉及基于 NFC 的身份验证、高级生物识别和持续监控，与最高级别的国家安全保持一致。

通过仔细评估与各种数字服务和数据相关的风险，组织可以定义和实施身份工作流程，提供适量的保证，而不会阻碍合法用户。这种细致的方法是建立数字经济信任的关键。

构建 LoA 的组成部分

实现特定的信任级别涉及结合几个不同的身份验证和认证组件。每个组件都增加了一层信心，有助于整体 LoA：

1. 身份证明：这是验证用户所声明身份的初始过程。对于更高的 LoA，这通常涉及：
   • 身份证件验证：对政府颁发的身份证件（护照、驾驶执照）进行自动化检查，以验证其真实性、篡改情况和数据提取。
   • NFC 文档读取：对电子护照和电子身份证进行加密验证，以实现政府级别的保证。
   • 数据库验证：将身份数据与官方政府或受信任的第三方数据库进行交叉引用。
   • 地址证明：通过水电费账单或银行对账单验证居住地。
2. 生物识别验证：这些技术确认提交身份的人确实是合法所有者。
   • 活体检测：验证用户是真实的活人，而不是欺骗（照片、视频、深度伪造）。这可以是被动的（无摩擦的）或主动的（需要用户操作）。
   • 面部匹配 1:1：将实时自拍与身份证件上的照片进行比较，以确认用户是证件持有人。
   • 生物识别认证：使用实时自拍为回访用户进行无密码重新认证，通常与活体检测结合使用。
3. 认证和欺诈信号：除了初始验证之外，持续检查可保持 LoA。
   • 多因素认证 (MFA)：结合用户知道的（密码）、拥有的（手机）或是的（生物识别）。
   • IP 分析：检测可疑 IP 地址、VPN 或设备异常。
   • AML 筛选：对照制裁名单、PEP 数据库和负面媒体进行检查，以确保金融合规性。
   • 持续 AML 监控：在入职后对用户进行持续重新筛选。
   • 电话/电子邮件验证：确认联系方式的所有权并评估相关风险。

这些组件的组合和强度定义了整体 LoA。例如，需要身份证件验证、主动活体检测和面部匹配 1:1，然后进行持续 AML 筛选的系统，将达到非常高的 LoA，适用于受监管行业。

Didit 如何帮助实现正确的 LoA

Didit 旨在赋能企业为任何数字交互实施精确的信任级别。我们的一体化身份平台提供了模块化和灵活性，可构建针对特定 LoA 要求的身份工作流程，而无需拼接多个供应商。

• 全面的模块套件：Didit 提供 18 个可组合模块，涵盖身份验证、生物识别、AML 筛选、欺诈信号等。这个广泛的工具包允许您选择和组合所需的确切组件，以满足您所需的 LoA。对于高 LoA，您可以结合 NFC 文档读取、主动活体检测、面部匹配 1:1 和持续 AML 监控。对于较低的 LoA，被动活体检测和面部匹配可能就足够了。
• 可视化工作流程编排：我们的无代码工作流程构建器允许您可视化设计复杂的身份流程。您可以拖放模块，设置条件逻辑（例如，如果年龄估算不确定，则升级到完整的 IDV），并配置自动批准或手动审查的阈值。这意味着您可以根据交易价值、原籍国或用户历史记录等风险因素动态调整 LoA。
• 按成功付费模式：Didit 透明的定价确保您只为成功完成的验证步骤付费。这允许企业尝试不同的 LoA 配置，并优化其工作流程以实现安全性和成本效率，而不会因会话中止而受到经济处罚。
• 安全与合规：凭借 SOC 2 Type II、ISO 27001、GDPR 合规性以及 iBeta 1 级认证的活体检测，Didit 提供了支持最受监管行业高 LoA 要求所需的基础安全和合规性。
• 无缝集成：无论您喜欢托管验证链接、Web SDK、原生移动 SDK 还是直接 API 集成，Didit 都可以轻松地将强大的身份验证嵌入到您现有的应用程序中，从而最大限度地减少集成时间和资源。

通过利用 Didit 的平台，企业可以自信地断言其用户的身份，减轻欺诈，履行监管义务，并提供无缝体验——同时精确控制每个独特用例的信任级别。

准备好开始了吗？

定义和实施正确的信任级别是确保您的数字服务安全和培养用户信任的基础。借助 Didit，您将获得一个强大、灵活且经济高效的解决方案，可构建精确符合您安全需求的身份工作流程。

探索 Didit 如何提升您的身份验证策略。访问我们的定价页面，查看我们透明的按用量付费模式，或访问我们的演示中心，亲身体验该平台。如需深入了解我们的功能，请浏览我们的技术文档或通过hello@didit.me联系我们。