关于区块链支撑网络可信身份发展的研究与探索

郝久月 杨林 李頔 吴瑶 王剑冰

1. 公安部第一研究所 2. 北京中盾安信科技发展有限公司 3. 厦门中盾安信科技有限公司

引言

面对日益严峻的网络安全问题、数字经济快速健康发展以及数字化、智能化深入发展对社会治理提出的新要求，如何确认用户网络空间的主体身份已经成为目前亟待解决的问题，网络可信身份已经成为实现经济健康发展与社会和谐稳定的基础信任根，是个人在物理世界与数字世界间穿行的桥梁。

区块链技术的应用为数字身份的可信验证、自主授权、行为确权、可信存证及隐私保护等需求的实现提供了一个可行方向，网络可信身份与区块链技术的融合应用更是为网络空间身份管理提供了强有力的支撑。美国国家标准与技术研究所2020年发布的《新兴区块链身份管理系统分类方法》[2]及欧盟2022年最新发布的《数字身份：利用自主身份概念建立信任》[7]都指出，区块链技术对于数字身份有重要价值。

因此，本文立足探讨区块链技术支撑网络可信身份体系建设，旨在以权威网络可信身份为基础，结合区块链技术应用构建“中心化签发、分布式认证”的数字身份分布式认证服务体系，提供便捷的数字身份认证服务，有利于产业生态建设，支撑数字身份线上线下一体化应用。

一、分布式数字身份技术发展现状

数字身份的技术演进经历了三个阶段，分别是：中心化身份管理、联盟式身份管理和分布式数字身份，如图1所示[1,9,10]。

（1）中心化身份管理模式

往往由单一的中心机构进行管理和控制，但易形成数据孤岛，造成重复认证、多地认证的现象。

（2）联盟式身份管理模式

由多个机构或者联盟间进行管理和控制，用户身份在一定程度上可共享、可移植。例如支付宝、微信的跨平台登录，需要通过用户的授权和许可才能进行身份数据的共享，但实际身份的控制和管理权并不在用户手上，最终还是集中到为数不多的几个巨头垄断，用户资产只能在同机构内流通，存在过度收集、隐私滥用、单点故障等风险隐患。此外，互联网巨头利用用户数据产生了大量价值，但用户并没有对自己的数据拥有话语权和价值收入。

（3）分布式数字身份（或自主主权身份）

区块链在去中心化架构上的成功实践，激发了从联盟身份管理模式转向以用户为中心的身份管理思路，新近提出的分布式数字身份（或自主主权身份）提倡由用户完全拥有和控制自己的身份数据，利用区块链技术改变应用厂商控制用户身份的模式，由身份所有者即用户本身来自主控制和管理自己的身份信息，将数据所有权归还给用户。在一定程度上可更有效地解决个人隐私问题，并通过制定标准协议来提供身份跨应用的互操作性。基于区块链的难篡改、可溯源等特性，可进一步保证认证结果的真实有效。

（一）国内外分布式数字身份技术发展现状

近年来，多个标准组织、开源社区共同推进并制定了一系列分布式数字身份相关的技术标准和协议，逐步完善了分布式数字身份的技术栈。其中主要包括：Trust Over IP基金会的ToIP协议栈、W3C组织制定的分布式身份标识符（DID）和可验证凭证（VC）规范、OASIS组织制定的分布式密钥管理系统（DKMS）规范、RWOT工作组推动的分布式身份认证（DID Auth）规范、DIF基金会推动的分布式身份认证（DID Comm）协议等等。这些规范的制定，为在不同的应用之间进行互联互通身份认证提供了数据格式和通信协议的标准，在这些技术的共同作用下，形成了分布式数字身份的整体方案[4,5]。欧盟自主主权身份是目前分布式数字身份领域应用范围最大和技术推进最深入的项目，也是欧盟委员会与27个欧盟成员国合作构建的欧洲区块链服务基础设施（EBSI）的核心组成部分。

近年来，国内各大厂商在分布式数字身份技术研究及应用上均有建树。主要区块链厂商如蚂蚁、腾讯、华为、百度、BSN、微众银行等都已跟进分布式数字身份技术并形成相关解决方案。2020年6月，中钞区块链技术研究院与飞天诚信联合15家单位发起分布式数字身份产业联盟DIDA并发布白皮书。2020年8月，信通院星火·链网推出基于分布式数字身份的星火·标识体系。2020年12月，公安部第一研究所、中盾安信、信通院联合19家单位发布《基于可信数字身份的区块链应用服务白皮书》。2021年11月，北京金融科技产业联盟组织，央行数研所牵头发布《金融分布式数字身份技术研究报告》。

（二）我国数字身份管理需求

随着数字身份技术的不断演进发展，在给人民带来福祉、提升幸福感的同时伴随着如个人隐私暴露、个人信息非法交易、电信诈骗等诸多问题。

（1）一些股权结构复杂的超大型互联网企业、外资企业借助网络实名管理方式，采集、留存大量我国公民的个人信息，掌握大量公民消费、出行等行为数据，严重威胁国家政治安全、经济安全和社会公共秩序。

（2）公民身份号码和人脸等个人生物特征信息具有唯一性，一经泄露即终身泄露，且容易被关联利用，造成用户合法权益受到侵害。

（3）部分网络应用服务商未落实安全管理制度和技术防护措施，导致大量用户个人信息泄露，甚至被内部人员倒卖。

（4）分散实名的网络实名管理方式缺乏统一的信任基础，制约企业生产效率、数据要素市场化进程和数字化服务的普惠应用。

（5）实施基于公民身份号码、手机号的实名管理方式，容易产生实名不实人、冒用身份等问题。

尽管以W3C为主的国际分布式数字身份技术具有自主性、隐匿性等技术特点，较好地保护了用户个人隐私，但从社会治理方面看，其解决思路并不完全符合我国国情。我国数字身份建设仍需满足我国社会管理的需求，实现真实身份溯源和线上线下一体化身份应用模式。近年来，网信办相继出台《互联网用户账号名称管理规定》等管理规定，多次强调要全面落实网络实名制要求，明确注册用户需“后台实名”。2016年《网络安全法》中提出“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”。因此，我国应建设具有中国特色和国际数字身份标准特征、安全可信、高效可控的数字身份分布式认证服务体系，依托权威可信身份，促进跨部门、跨地域的身份互认和互通，支持对个人信息“最小方式、最小范围、最短时间”的自主可控处理，保护个人隐私。2021年底，在科技部的支持下，公安部第一研究所开展“十四五”国家重点研发计划区块链专项《基于法定证件的数字身份区块链技术研究与应用》关键技术演进，旨在依托区块链技术支撑数字身份技术发展，通过数字身份规模化应用促进区块链技术落地，为我国网络可信身份体系建设发展提供技术储备，推动区块链技术、数字身份等领域创新应用。

二、基于区块链技术的数字身份分布式管理和服务体系

符合我国国情发展的自上而下的多层级的数字身份信任体系，见图2。一是以国家法定身份证件为信任根，基于其创建基础级数字身份；二是授权可信的数字身份签发方，基于基础级数字身份签发业务级数字身份；三是实现可验证凭证的可信流转，满足不同业务系统身份互认互通互信需求；四是构建可信数字身份应用生态产业联盟，支撑我国数字身份体系发展建设。

（一）数字身份分布式认证服务体系架构

数字身份分布式认证服务体系架构通过区块链技术应用，构建“1个数字身份服务链+N个业务服务链”的多链应用服务模式，如图3所示。

（1）主节点面向自然人提供基础级数字身份签发及认证服务、基础级业务凭证的签发及认证服务。

（2）采用联盟链准入机制，接入机构申请接入数字身份服务链时需首先在主节点（盟主）进行备案、审核，通过后获取CA数字证书可接入身份链，成为服务节点。

（3）身份链上各接入节点通过共识机制建立信任，支持各类业务凭证可信流转，实现分布式认证；链上共识数据包括数字身份文档、身份凭证状态、身份关联目录、身份派生关系、业务信息摘要及认证日志摘要等等。

（4）支持接入机构根据自身业务开展衍生服务。以权威网络可信身份为根，叠加业务属性，构建“根身份+业务身份”的衍生应用。

（5）支持接入机构基于业务链自行签发业务身份，并通过权威统一身份标识建立“根身份”和“业务身份”的关联关系，实现多层级身份的溯源管理。

（6）通过建立跨链机制支持各类业务凭证的链间可信流转，支持业务链数字身份的互通、互认、互信，支持我国可信数字身份生态建设。

（二）数字身份分布式认证服务管理模型

按照“统一签发、分布认证、多方共识”的总体思路设计数字身份分布式认证服务管理模型，共分为四类角色：基础级数字身份提供方、业务级数字身份提供方、数字身份持有方和数字身份依赖方。

将数字身份按安全性、功能性及可用性进行可信度等级划分，并在身份颁发、凭证管理及身份认证等阶段制定对应的安全性标准，建立基于区块链的数字身份管理模型，实现基于身份等级的权限管理和访问控制。通过建立基础级数字身份、业务级数字身份的对应关系，可实现身份互认和身份聚合。

三、数字身份分布式认证服务功能实现和关键技术

（一）功能实现

技术架构设计上，可从资源层、技术层、能力层、应用层四个层级进行划分，同时在隐私保护及风险控制、标准规范及管理制度建设上辅以相应规划，如图5所示。

资源层：提供计算、存储、网络、数据等基础软硬件资源；

技术层：提供区块链、密码应用、分布式密钥管理系统（DPKI）及隐私计算等底层技术能力；

能力层：通过智能合约实现全节点数字身份的全生命周期管理、数字身份关联与溯源、多元数字身份聚合、数字身份互认，丰富数字身份应用服务模式，保障上链数据真实有效，防范数据篡改及伪造；

应用层：针对数字身份分级应用提供基础级数字身份及凭证应用服务、业务级数字身份及凭证应用服务，允许个人对隐私信息进行自主管理，支持在个人授权后选择性使用个人信息；

标准规范：针对数字身份分布式管理及应用、身份互认、隐私保护等方面编制相关标准规范，支撑我国在该领域的标准体系建设；

管理要求：制定授权机构接入管理办法、应用管理办法等，为机构接入及应用提供指引服务；

隐私保护：通过零知识证明、多方安全计算、可信执行环境的相关研究设计，实现个人信息“最小方式、最小范围、最短时间”处理的数字身份隐私保护机制。例如，当用户身份中具有多个属性时，用户可以自主地选择性出示部分属性，实现自主控制、精准授权的最小化披露；

风险控制：针对数字身份伪冒、盗用等安全风险建立风险控制机制，进行系统风险评估、应用智能合约安全评测、交易风险评估，设计身份认证行为安全风险评估模型。

（二）关键技术

数字身份分布式认证服务需要突破的关键技术包括：

基础级数字身份的签发机制：实现高性能、高安全的分布式数字身份标识和身份电子证照凭证的中心化签发，与网证/身份证号码等法定身份数据形成单向映射，不可链接至原始身份信息且映射关系安全存储，用于用户真实身份追溯；

身份钱包SDK：私钥的安全创建、存储和管理，以及支持数字身份生态应用基于SDK创建标准兼容、可互操作的身份钱包APP，平衡易用性、安全性和可监管性；

零知识证明：高效安全的基于零知识证明技术实现的具备选择性披露、范围证明、防止链接等隐私保护能力的密码学算法；

分布式密钥管理系统：实现高性能、高安全的、基于区块链智能合约技术的、符合运营级CA要求的分布式公钥管理系统；

身份溯源技术：可验证凭证、可验证声明和分布式数字身份标识的基于知识图谱技术的可视化分析和溯源。

四、数字身份分布式认证服务应用场景设计

数字身份分布式认证服务平台基于“互联网+”可信数字认证平台（以下简称“CTID平台”）建设。CTID平台面向个人签发居民身份网络可信凭证（简称“网证CTID”），作为用户基础级数字身份。现阶段，数字身份认证服务平台正在开展仿真验证平台的建设工作，搭建区块链底链、研发联盟链运营管理系统、数字身份生命周期管理系统、身份应用APP/SDK，先期与金融、政务等行业对接进行试点示范。未来，数字身份分布式认证服务平台将作为数字身份联盟链的主节点，与各行业系统共建数字身份联盟链，实现身份互认、互通的联盟链服务目标。

（一）身份互认场景

以用户入职场景为例，包含数字身份链和教育、金融等业务链，业务链作为数字身份链服务节点，如图6所示。业务机构A可签发教育数字身份和学位证书凭证，业务机构B可签发金融数字身份和信用报告凭证，两种业务身份都在用户终端归集。使用时，可通过数字身份服务链对应节点上进行身份溯源，查询用户金融数字身份和用户教育数字身份对应同一基础数字身份，从而实现两种业务数字身份的互认和凭证的互通。

（二）身份通证场景

身份通证服务用于解决用户来重复认证和多次提交出示，借助区块链技术应用实现的基础身份和业务身份的跨业务应用的协同应用。以入住酒店为例，现阶段用户需要分别通过CTID认证后访问不同业务系统，获取不同的业务属性凭证，多次出示给酒店。使用身份通证服务后，可以将用户CTID认证结果、不同业务系统签发的业务属性凭证上链共享并在终端归集后，用户按需自主创建个人身份电子凭证，统一出示给酒店即可办理入住，有效提升效率，改进用户体验，如图7所示。

五、总结与展望

基于权威网络可信身份和区块链技术的数字身份分布式认证服务体系具有如下优势：

（1）实现分布式验证和身份溯源。依托区块链的分布式技术特点，认证过程不直接依赖于签发方，而是信任区块链的多方共识和不可篡改机制，支持数字身份的分布式验证；以权威网络可信身份为信任“根”，实现多层级数字身份溯源。

（2）有利于个人隐私保护，“还数于民”。更好地落实个人信息保护要求，个人知悉、同意、授权，由中心化处理个人信息向用户自主控制、精准授权方式演进。用户可持有私钥和个人身份信息，自主控制对数据加密和签名，身份数据可用而不可见，有效保障用户知情权、访问权、拒绝权、可携权、删除权、更正权和持续控制权。

（3）形成多方信任机制，共建产业生态。联合基础级身份和业务级身份，利用区块链共识机制等特点，由生态赋能向“多方共识”生态共建转型，用户在公共服务、金融支付、物联网等各类现实业务中实现数字身份的可信流转，解决跨域跨链数字身份建设缺乏统一的信任基础、身份互认互通困难等问题。由向各行业、各区域业务系统提供身份认证服务能力，发展至与各业务系统共同建设互信互认的信任机制，共建数字身份服务体系。