面向垂直行业的5G软件定义身份

【摘  要】研究了传统互联网身份体系的局限性以及5G时代对数字身份的新需求，提出基于5G的“软件定义身份”的概念。通过对身份概念进行充分解构，提出一种基于DLT的全新的身份基础设施，为5G生态各利益相关方提供基于软件定义的身份定义、管理、验证、扩展、协作等能力，并提出了几种典型的应用场景。

【关键词】数字身份;软件定义身份;分布式账本;融合认证;通用引导架构;去中心化身份

1   引言

5G基于云计算、SDN/NFV以及MEC（Multi-Access Edge Computing，多接入边缘计算）等新技术，面向垂直行业提供了灵活定制、弹性部署、多层次隔离、位置相关计算等智能网络能力，给移动网络架构与协作方式带来了新的范式，加速了互联网从消费互联网到产業互联网的转型过程。未来，5G将深入人们的生活，并与产业创新及经济增长直接相关。

网络的深层次IT化、软件化以及与OT（Operation Technology，运营技术）不断融合的趋势，会对5G生态提出各种新的工具性需求，包括数字身份。目前存在很多与数字身份相关的分散性研究，例如工业互联网标识体系、面向物联网的数字证书体系、5G融合认证等，这些研究都从不同的侧面研究在5G网络与业务深度融合背景下，新型数字身份的需求场景与技术演进。

2   技术背景

2.1  设备多元化挑战

垂直行业的显著特点之一就是设备与协议的多元化，包括多元化的设备标识、多样化的身份定义以及验证方式。这对企业、监管部门、运营商等不同的5G利益相关方而言，都是全新的挑战。传统基于域名与PKI（Public Key Infrastructure，公钥基础设施）的互联网身份体系主要面向组织与主机身份，由于管理体制、技术体系等方面的限制，缺乏足够的灵活性与扩展性，难以满足5G生态中大量个人以及海量设备的多元化身份表达与管理能力。

随着M2M（Machine to Machine，机器到机器通信）、MGC（Mobile Device Edge Gateway Cloud Server，端边云协作计算）等新型计算模式的普及，机器与机器、机器与人等之间经常需要能够自由发现、通信与决策，实现跨异构系统的协作。由于组织、人、机器之间关系的复杂性，身份体系需要能够支持这些不同类型实体之间多元化的关系表达能力。

2.2  边缘多元化协作

边缘计算为基于网络边缘的应用与协作生态带来了可能，不同的边缘具有不同的生态特征，相应的应用也会存在很大的特异性，预定义的身份体系很难覆盖所有的身份需求，一般只能由特定边缘应用进行自定义，这不利于边缘业务的创新与效率提升。另外，大量的边缘应用、5G网络以及边缘平台之间存在相互协作，身份体系作为协作锚点之一，需要具备多主体之间的协作能力。最后，对于需要在MEC之间迁移的业务，身份体系还需要具有一定的漫游支持能力。

网络切片以及边缘计算等技术的引入，提供了更多的面向网络的定制能力，以构建特定的微互联生态。作为“端-边-管-云”的端到端完整的协同定制能力，身份体系的可定制化能力是5G切片微互联网生态创新工具箱的基本插件之一。图1为5G切片微互联生态创新工具箱。

2.3  信用主体多元化

身份可信是网络以及业务可信的基础。在传统社会协作中，大量权威信用主体只能在有限的范围，以有限的方式提供身份背书，无法以数字化的方式提供更大范围内的持续性服务。很多权威信用主体只希望或者只能够提供关于身份的真实性维度的背书或者特定的身份验证能力，但并不希望维护高成本、专业性的身份基础设施。如果可以将大量的权威信用主体从身份基础设施的设计、建设与维护责任中解放出来，以低成本、轻资产方式参与更大范围内的身份协作，全社会将会因此受益。

从用户隐私安全角度出发，上述身份基础设施的分离机制也有益于解决目前个人身份特征的过度采集问题，例如各个单位和小区目前逐渐使用的人脸识别等门禁系统。随着人脸识别、指纹识别等身份认证手段在5G时代的大面积普及，用户隐私安全问题将更为突出。通过将特征采集验证能力与身份定义能力分离，可以最小化用户隐私的采集。

3   软件定义身份

随着5G产业的发展，传统的互联网身份框架已经难以满足5G时代多样化的设备、生态、协作场景与新计算模式的实际需求。提出一种SDID（Software Defined IDentity，软件定义身份）的概念，为未来多样化的5G生态提供灵活的身份基础设施能力，同时满足不同利益相关方对于数字身份的需求。SDID的能力主要体现在以下几个方面：

（1）信任解耦。独立的扁平化身份基础设施提供与身份相关的存储、验证等能力的正确性与不可否认性的信任背书;而标识与身份的管理则主要基于管理者与权威主体对真实性的信任背书。

（2）开放背书。任何经过许可的权威信用主体都可以参与身份相关的信用背书。

（3）协作定制。标识、身份、验证方式等不同的身份能力可分离、可定制，能力提供方可以进行跨生命周期的身份协作。

（4）垂直监管。监管机构能够建立对于受监管空间内数字身份的全局可视性与可控性。

（5）安全解析。身份基础设施能够提供高可靠、高性能的解析框架，具有攻击容忍性。

由于标识与身份的分离，使得可以基于传统的标识分层授权模式构建SDID的管理框架，而身份框架则可以采用更为灵活的谓词模式。DID（Decentralized IDentifier，去中心化身份）提供了标识、定义、验证、扩展等不同身份维度的综合能力，可以作为SDID的身份协作框架。

起源于比特币的DLT（Distributed Ledger Technology，分布式账本技术）为不可信多方之间建立互信提供了技术基础，因此也是SDID基础设施架构扁平化的使能技术。DLT技术独有的智能合约能力，为身份的可定制化协作提供了极大的灵活性。同时，DLT技术中账本的可复制性与共识性，使得任何参与者都可以根据需要复制各自的数字身份副本以提供本地的解析能力，不再依赖于独立的解析服务商，基础设施层面不存在单点故障，提升了解析的安全性与性能。

5G网络身份基于eSIM/（U）SIM（embedded Subscriber Identity Module/（Universal） Subscriber Identity Module，嵌入式用户识别卡/（全球）用户识别卡），具备高度的安全性。另外，3GPP标准正在研究在eSIM/（U）SIM卡中加载扩展的证明材料的能力，以进一步提供5G终端面向垂直行业的身份安全能力。基于GBA（Generic Bootstrapping Architecture，通用引导架构）等技术的通用认证框架为网络层身份能力开放提供了标准接口，这些都为基于5G的SDID框架的身份验证能力提供了良好的技术基础。

图2是面向5G设备的一个SDID参考实例。

4   典型应用举例

SDID框架作为一种基础框架，从技术上看，可以为面向5G的不同的身份体系的研究与标准制定提供参考。从应用場景上看，可以应用于不同层次的身份环境之中，例如组织内工业互联网设备身份、跨组织的产业链协作身份、物联网生态设备身份等。下文描述了几种比较典型的软件定义身份的应用场景，不同的利益相关者基于不同的目的，以不同的角色，基于统一的SDID基础设施展开协作。

4.1  行业定制化标识管理

不同的垂直行业往往需要对各种设备、资产等实体的标识进行由上而下的定制，以提高以下特性：

（1）监管有效性。上级监管机构通过控制定制化标识的分配、使用与回收，实现对业务的渗透与监管。传统上，这种监管还仅仅停留在标识管理层面，很难从技术上实现实时性的资产与业务阻断，效率较低。

（2）标准兼容性。不同行业会定义各自的编码标准，经常会在标识中体现基本的对象或者管理属性，方便业务识别和处理。大量传统的应用和数据基于这些传统的行业编码标准，为了保证后向兼容性，基于5G的身份体系需要保持对这些行业标准的兼容。

（3）身份独立性。不同于传统消费互联网陌生主体之间的协作，垂直行业参与者之间的协作与信任关系更为紧密，能够从行业范围内快速识别根信任并建立行业共识，基于定制化标识建立起行业范围内有效的身份体系，可以保证身份管理与技术演进的独立性。

从规模与影响力上看，目前国内主流的垂直行业标识体系包括OID（Object IDentifier，对象标识符）、Handle（数字对象架构的一种标识体系）、ECode（Entity Code，物品编码）等体系。另外，各行业内部、各地的智慧城市平台会定义自身的本地化标识体系。随着5G以及物联网的大规模应用，通过SDID基础设施，行业监管可以直接从标识管理层面，向下穿透到设备与资产的身份定义与认证层面，能够极大地提高监管的可视性与可控性，同时还能保证行业标识的后向兼容性与身份独立性。

受制于技术门槛，各垂直行业底层节点很难各自提供高可用性、高安全性的标识解析体系。另外，由于标识对应的设备、资产等实体身份的多样性，传统的标识体系标准一般不会指定具体的身份定义与验证方式，相应的解析系统标准也不具备这样的解析与验证能力，需要最终标识授权用户来定义。基于5G SDID基础设施构建的定制化标识管理体系，可以基于可信的身份基础设施，提供灵活的身份定义、协作与验证能力，降低最终标识授权用户的技术门槛与基础设施成本。

4.2  边缘设备融合管理

传统消费互联网数字身份通过完全的分层授权模式来解决大规模身份管理的复杂性。这种模式将传统行政体系的信用引入互联网商业模式，解决了互联网的根信任问题，但也存在大量的问题，并随着互联网商业模式的演进，问题将越来越明显。

（1）架构弹性低。身份的真实性、不可否认性基于同一授权主体，这种设计简化了信任，但也会导致新需求与新技术出现时，缺乏对系统进行增强与优化的弹性。

（2）缺乏协作性。身份协作依赖于不同身份体系之间建立信任，给身份实施带来了极大的复杂性。

边缘计算的生态要求不同的业务、平台以及5G网络之间，能够充分基于数字身份展开协作。基于5G SDID框架，一方面可以直接使用5G网络eSIM/（U）SIM中提供的验证机制来实现统一的身份认证;另一方面，不同的第三方业务可以自主定义个性化的设备标识以及身份内容，例如授权表。不同的MEC之间还可以基于统一的软件定义框架，扩展实现边缘数字身份的漫游协作能力。

4.3  物联网平台互通

物联网平台作为新的蓝海，最近几年发展迅速，数量猛增。传统上，成熟的平台市场经过多年残酷的竞争和淘汰后，往往会最终被2～3家垄断，而在物联网领域，很可能不会发生这种情况。首先是由于物联网业务本身的多样性，很难在一个通用框架下覆盖所有的业务。其次，物联网本身产业链比较分散，并且由于连接物理实体具备了权属性与资产性，用户黏性相对较高，平台很难以传统互联网的价格与规模优势来吸引用户迁移。

因此，跨平台的互通对于万物互联而言，将是必须要跨越的鸿沟。由于物联网平台起源于不同的云计算平台、行业平台，平台所有者之间议价能力对等，数量众多，通过双边协商方式建立信任与互通效率低，也难以找到合适的第三方提供互通背书服务。

5G网络与身份载体（eSIM/（U）SIM等）是不同物联网设备或者平台的交集。基于5G SDID，可以在不同的物联网平台之间，建立起物联网设备的共同锚点，为跨物联网平台的互联互通提供统一的可信基础设施。

5   结束语

随着5G与物联网的发展，人、物、设备等之间的关系日渐庞大与复杂，其管理难度也快速上升，为了降低5G生态身份管理的复杂性，需要对传统的、僵化的互联网身份体系做出改变，以全局性、综合性的视角来开展数字身份相关的研究，提高身份管理的灵活性与协作性，实现深度身份定制。基于DLT、DID等技术构建的软件定义身份框架，很好地平衡了身份管理的复杂性与基础设施的复杂性，为未来可信网络生态提供了基础能力，也为各种面向5G的数字身份相关的技术与标准研究提供了融合框架与方法论。

参考文献：

[1] W3C. Data Model and Syntaxes for Decentralized Identifiers（DIDs）[Z]. 2019.

[2] W3C. Verifiable Credentials Data Model[EB/OL]. [2019-09-25]. https：//w3c-github.io/vc-data-model.

[3] 3GPP. 3GPP TS 33.220： Generic Authentication Architecture （GAA）; Generic Bootstrapping Architecture （GBA）[S]. 2013.

[4] 汤凯. 基于5G的垂直行业安全性特征与对策[J]. 中兴通讯技术， 2019（4）： 50-55.

[5] 中兴通讯. 安全让5G走得更远-中兴通讯5G安全白皮书[Z]. 2019.