引言

隨著數(shù)字化服務的日益普及，數(shù)字身份作為用戶在網(wǎng)絡空間交互的唯一標記已成為互聯(lián)網(wǎng)活動中不可或缺的要素。數(shù)字身份的發(fā)展可分為3個階段，即中心化數(shù)字身份、聯(lián)邦化數(shù)字身份及分布式數(shù)字身份。其中，分布式數(shù)字身份以區(qū)塊鏈、分布式賬本等底層技術(shù)作為支撐，已將標識主體逐步從“人”“物”擴展到“數(shù)據(jù)”，在實現(xiàn)數(shù)字對象全面互聯(lián)互通、隱私身份管理等方面具有重要意義?；诖?，本文對分布式數(shù)字身份的背景、內(nèi)涵進行介紹，設計了分布式數(shù)字身份的整體架構(gòu)，并分析其在工業(yè)互聯(lián)網(wǎng)中的應用，旨在助力數(shù)字對象應用及相關(guān)業(yè)務發(fā)展。

1  分布式數(shù)字身份起源和內(nèi)涵

國際電子技術(shù)委員會將“身份”定義為“一組與實體關(guān)聯(lián)的屬性”。其中，實體包括人、機、物以及虛擬網(wǎng)絡等內(nèi)容。以人為例，“身份”與每個人息息相關(guān)，隨著互聯(lián)網(wǎng)的出現(xiàn)和普及，除了身份證、護照、駕照等傳統(tǒng)身份，數(shù)字身份的定義也在被不斷豐富和完善。身份的數(shù)字化在一定程度上滿足了人們對互聯(lián)網(wǎng)應用的需求，但用戶隱私泄露、使用效率低、便攜性差等問題仍然存在。因此，2015年微軟等企業(yè)在互聯(lián)網(wǎng)身份大會（Internet Identity Workshop，IIW）中提出了分布式數(shù)字身份的概念[1]。

分布式數(shù)字身份（Decentralized Identity，DID）技術(shù)依托眾多互聯(lián)網(wǎng)技術(shù)，并沿襲互聯(lián)網(wǎng)發(fā)展脈絡。目前，DID相關(guān)的技術(shù)方案由萬維網(wǎng)聯(lián)盟（World Wide Web Consortium，W3C）牽頭編制，源于傳統(tǒng)的互聯(lián)網(wǎng)框架，并結(jié)合已有的超文本傳輸協(xié)議（HTTP）、通用資源標識符（URL）、互聯(lián)網(wǎng)通信協(xié)議集合（RFC）等多個互聯(lián)網(wǎng)協(xié)議與標準。DID技術(shù)在現(xiàn)有成熟技術(shù)和協(xié)議的基礎上，構(gòu)建“不受中央注冊機構(gòu)控制、由用戶自己掌控、安全可信去中心化”的新型互聯(lián)網(wǎng)數(shù)字身份體系，從根本上解決互聯(lián)網(wǎng)中用戶信息易泄露、數(shù)據(jù)共享受限等問題。

分布式數(shù)字身份是實現(xiàn)數(shù)據(jù)資產(chǎn)可信化交互和交易的關(guān)鍵基礎，主要具有3方面特征。

（1）去中心化：DID及其關(guān)聯(lián)信息保存在區(qū)塊鏈等分布式系統(tǒng)中，用戶可利用私鑰和簽名證明自己的身份、數(shù)據(jù)和交易所有權(quán)，也可核驗對方身份、數(shù)字資產(chǎn)和交易所有權(quán)的真實性，降低了權(quán)威機構(gòu)對標識關(guān)聯(lián)信息的掌控。

（2）身份自主可控：DID不受限于權(quán)威機構(gòu)的頒發(fā)和授權(quán)，用戶擁有自主管理標識關(guān)聯(lián)信息的權(quán)利和能力，從標識產(chǎn)生的根源上達到了標識自主化的目的，打破現(xiàn)有各種網(wǎng)絡資源（含互聯(lián)網(wǎng)域名）集中管理的模式。

（3）身份的可移植性：身份所有者能夠在任何他們需要的地方使用其身份數(shù)據(jù)，而不需依賴特定的身份服務提供商，且一位用戶可以按照需求生成多個數(shù)字身份。

2  分布式數(shù)字身份的國內(nèi)外發(fā)展現(xiàn)狀

分布式數(shù)字身份的概念被提出后，迅速受到美國、加拿大等國政府，微軟、百度等互聯(lián)網(wǎng)巨頭企業(yè)，以及W3C、超級賬本（Hyperledger）、分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟（DID-Alliance，DIDA）等國際國內(nèi)組織的高度關(guān)注，技術(shù)研究和應用實踐進展迅速。

2.1  國外發(fā)展現(xiàn)狀

在國家層面，美歐等國政府大力推動DID發(fā)展。截至2021年，美國國土安全部（United States Department of Homeland Security，DHS）已分批次提供超過400 萬美元的專項資金，支持DID的技術(shù)研究和成果轉(zhuǎn)化[2]，并支持美國企業(yè)在國際標準組織W3C發(fā)起成立DID工作組。歐盟委員會正在建設的國家級區(qū)塊鏈基礎設施（European Blockchain Services Infrastructure，EBSI），其核心功能之一就是提供基于DID的歐盟國家公民電子身份認證服務。

在標準及開源組織層面，DID的技術(shù)框架已基本形成。2019年9月，W3C成立DID工作組，并于2021年9月正式發(fā)布核心標準《DID—核心架構(gòu)、數(shù)據(jù)模型及表示（v1-0）》。此外，2021年5月，電氣與電子工程師協(xié)會（Institute of Electrical and Electronics Engineers，IEEE）成立了DID與物聯(lián)網(wǎng)應用結(jié)合的工作組，旨在實現(xiàn)基于DID的智能設備可信接入和設備間的點到點直接通信。

在企業(yè)層面，互聯(lián)網(wǎng)巨頭和初創(chuàng)企業(yè)加速應用的落地實施。美國企業(yè)已利用該技術(shù)實現(xiàn)跨系統(tǒng)的身份認證和數(shù)字資產(chǎn)交易。微軟、IBM、區(qū)塊鏈聯(lián)盟R3、埃森哲、GS1等103家企業(yè)和機構(gòu)已完成DID的系統(tǒng)實現(xiàn)和應用。其中，英國奧卡姆公司設計了基于區(qū)塊鏈的物聯(lián)網(wǎng)設備身份平臺，以實現(xiàn)連接設備之間的身份認證和數(shù)據(jù)互操作。此外，各國企業(yè)紛紛聯(lián)合成立DID相關(guān)基金會、產(chǎn)業(yè)聯(lián)盟和網(wǎng)絡交流社區(qū)，例如Linux Foundation、Sovrin Foundation、SSImeetup等，共同加速產(chǎn)業(yè)生態(tài)建設。

2.2  國內(nèi)發(fā)展現(xiàn)狀

我國DID研究和產(chǎn)業(yè)探索基本與全球同步啟動，并已具備較強的技術(shù)基礎和先發(fā)優(yōu)勢。

在標準及開源組織層面，以中關(guān)村區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟、可信區(qū)塊鏈推進計劃、分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟等為代表的社群組織，積極開展圍繞DID的體系化研究、標準研制、應用案例分享等工作。2020年8月，分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟發(fā)布《DIDA白皮書》[3]，全面審視分布式數(shù)字身份的現(xiàn)狀和發(fā)展，對技術(shù)規(guī)范和技術(shù)設施建設進行了詳實的研究，是國內(nèi)首份系統(tǒng)闡述分布式數(shù)字身份技術(shù)的白皮書。

在企業(yè)層面，一是百度公司、微眾銀行、中國信息通信研究院等12家單位自主研發(fā)了DID產(chǎn)品和解決方案，并已寫入W3C相關(guān)注冊表，成為全球DID方案。二是中國企業(yè)積極探索DID體系建設和應用部署。2020年，中國信息通信研究院牽頭多家研究院、龍頭企業(yè)搭建星火·鏈網(wǎng)區(qū)塊鏈服務平臺[4]，是國內(nèi)最大的DID工程化實現(xiàn)。華為基于DID建設其分布式身份服務平臺TDIS。

在國際合作層面，中國企業(yè)與社群組織積極提升國際參與話語權(quán)，中關(guān)村區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟已與Hyperledger、DIF等國際組織簽署戰(zhàn)略合作協(xié)議。此外，來自中國信息通信研究院、北京航空航天大學、百度公司等單位的國內(nèi)多位專家也已加入到W3C和IEEE等國際標準化組織中，深入?yún)⑴cDID的標準化制定工作。

3  分布式數(shù)字身份整體框架

從業(yè)務邏輯和實現(xiàn)所需要的核心技術(shù)出發(fā)，可將分布式數(shù)字身份分為4層，整體架構(gòu)如圖1所示。

圖1  分布式數(shù)字身份整體框架

3.1  公共基礎設施層

公共基礎設施層描述了DID的產(chǎn)生和儲存，包含的技術(shù)有DID方法框架、區(qū)塊鏈、分布式賬本及加密算法等。其中，DID方法框架、加密算法等決定了生成DID所遵循的方法規(guī)則，區(qū)塊鏈及分布式系統(tǒng)則作為儲存各類DID標識和相關(guān)數(shù)據(jù)的載體。

3.2  數(shù)據(jù)傳輸交互層

數(shù)據(jù)傳輸交互層描述了實現(xiàn)信息交互所使用的軟硬件、協(xié)議等。其中，數(shù)字代理、數(shù)字錢包和Identity Hub為用戶提供了軟硬件支撐，用戶可將數(shù)字化的身份憑證存放在手機等移動終端里的數(shù)字錢包中，在需要進行信息交互時，通過數(shù)字代理建立鏈接。在建立鏈接之后，通用解析器、DID Comm協(xié)議幫助實現(xiàn)不同DID方法之間的互認和互通，保證在此鏈接下的任何數(shù)據(jù)信息可被識別與讀寫。

3.3  憑證業(yè)務交互層

憑證業(yè)務交互層描述的數(shù)字化可驗證憑證是目前最為普及的一種分布式數(shù)字身份應用，其本質(zhì)是將物理世界中紙質(zhì)的憑證，例如身份證、護照、學位證等進行電子化，將中心化機構(gòu)對憑證的背書逐漸轉(zhuǎn)變?yōu)橛脩糇约簩ψ约旱谋硶?。可驗證的身份網(wǎng)絡、可驗證憑證、去中心化公鑰基礎設施及各利益相關(guān)方之間的可信關(guān)系等是實現(xiàn)該應用模式的核心要素。

3.4  產(chǎn)業(yè)應用層

產(chǎn)業(yè)應用層是在前3層的技術(shù)與模型基礎之上所衍生出的更加豐富的新應用場景。分布式數(shù)字身份的核心理念是構(gòu)建一個以用戶為中心的、可信的、全新的互聯(lián)網(wǎng)應用新模式，目前已有試點項目在探索并檢驗著這項技術(shù)，涉及政務、供應鏈、物聯(lián)網(wǎng)等領(lǐng)域

4  分布式數(shù)字身份在工業(yè)互聯(lián)網(wǎng)中的應用情況

分布式數(shù)字身份有效推進了各行各業(yè)的數(shù)字化轉(zhuǎn)型。在工業(yè)互聯(lián)網(wǎng)領(lǐng)域，分布式數(shù)字身份目前已應用在供應鏈追溯、供應鏈金融、物聯(lián)網(wǎng)設備訪問等多個場景，本文重點分析上述3種場景下的應用案例，深入理解分布式數(shù)字身份的實現(xiàn)方式和應用價值。

4.1  全鏈條可信追溯

隨著工業(yè)互聯(lián)網(wǎng)的不斷成熟及廣泛應用，企業(yè)形態(tài)正在從原有的層級式組織、集中管控模式向自組織、生態(tài)組織發(fā)展演化，企業(yè)需要與外界進行更多的交互和協(xié)同。目前，傳統(tǒng)工業(yè)互聯(lián)網(wǎng)標識體系存在著標識統(tǒng)一分配、數(shù)據(jù)集中統(tǒng)管等特點。一方面，企業(yè)對潛在供應商認證過程中，僅能獲取部分靜態(tài)數(shù)據(jù)，需要在尋源、驗廠、貫標、評估等多個環(huán)節(jié)持續(xù)追蹤，認證周期長。另一方面，產(chǎn)品生產(chǎn)數(shù)據(jù)均上傳至平臺統(tǒng)一管理，平臺服務建立在用戶隱私數(shù)據(jù)的基礎上，數(shù)據(jù)挖掘、加工等產(chǎn)生的利潤歸平臺方所有，降低了企業(yè)合作的積極性。

針對以上問題，通過采用區(qū)塊鏈技術(shù)以及分布式數(shù)字身份，實現(xiàn)了標識的自生成、自分配、自管理，在保證去中心化的同時實現(xiàn)了隱私保護和數(shù)據(jù)安全。首先，在客戶、企業(yè)、供應商等業(yè)務相關(guān)方之間搭建區(qū)塊鏈，各方自生成分布式數(shù)字身份標識，并基于該身份標識完成對訂單數(shù)據(jù)的簽名以及企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)的上傳，與鏈上其他企業(yè)進行資源共享并提供服務，打破原有數(shù)據(jù)由平臺統(tǒng)一管理的局面，同時保證了供應鏈各方數(shù)據(jù)的真實透明。此外，供應鏈各方可以根據(jù)分布式數(shù)字身份標識快速方便地訪問鏈上數(shù)據(jù)，對生產(chǎn)情況進行驗證，縮短對潛在供應商的認證周期，實現(xiàn)全鏈條數(shù)據(jù)信息的可信高效追溯。

4.2  供應鏈信任流轉(zhuǎn)

隨著社會化生產(chǎn)方式的不斷深入，市場競爭已經(jīng)從單一客戶之間的競爭轉(zhuǎn)變?yōu)楣溨g的競爭。與此同時，供應鏈中的供應商無法及時獲得資金，而資金短缺會直接導致后續(xù)業(yè)務的停滯，甚至出現(xiàn)“斷鏈”，嚴重阻礙企業(yè)乃至國家經(jīng)濟的持續(xù)發(fā)展。上述問題出現(xiàn)的原因主要在于信任缺失。在傳統(tǒng)供應鏈條中，資金流、物流和信息留等核心數(shù)據(jù)難以實現(xiàn)安全共享，出資方無法有效控制風險。同時，因信任保障制度不完善，核心企業(yè)難以為其優(yōu)質(zhì)的中小供應商企業(yè)提供信用背書，阻礙便捷金融服務的發(fā)展。

解決上述問題的關(guān)鍵在于保證供應鏈企業(yè)核心數(shù)據(jù)的真實性以及數(shù)據(jù)在企業(yè)和出資方之間的安全共享。首先，在核心企業(yè)、各級供應商、出資方之間搭建區(qū)塊鏈，其中出資方即數(shù)據(jù)驗證方。在核心企業(yè)和各級供應商自生成分布式數(shù)字身份標識后，由核心企業(yè)開具賬款憑證，并隨著交易的執(zhí)行在供應鏈中流轉(zhuǎn)。之后，基于各自身份標識，供應鏈中的各主體將賬款數(shù)據(jù)在區(qū)塊鏈上共享，提高供應鏈資金運作的效力，降低供應鏈整體的管理成本。同時，出資方可以根據(jù)DID快速訪問鏈上各主體賬款數(shù)據(jù)，從而有效控制供應鏈資金風險，為出資方完成信貸等金融服務提供依據(jù)，如圖2所示。

圖2  供應鏈信任流轉(zhuǎn)示意圖

4.3  物聯(lián)網(wǎng)設備可信訪問

據(jù)Gartner估算，2020年所有物聯(lián)網(wǎng)設備達到200 億臺[5]，目前的身份訪問管理（Identity and Access Management，IAM）除需要識別數(shù)百萬潛在的用戶外，還需要唯一識別數(shù)十億物聯(lián)網(wǎng)設備，已有的IAM系統(tǒng)很大程度上只能實現(xiàn)對人的識別，并且難以支撐大數(shù)量級的物聯(lián)網(wǎng)應用。在此情況下，迫切需要引入新的IAM體系以支持跨設備間人、物的應用與服務。2020年，美國企業(yè)IoTeX提出了分布式身份訪問管理（Decentralized Identity and Access Management，DIAM）的概念，通過在物聯(lián)網(wǎng)設備生命周期中賦予DID和可驗證憑證，實現(xiàn)設備控制者對設備中數(shù)據(jù)的絕對控制權(quán)，如圖3所示。

圖3  DIAM設計架構(gòu)圖

首先，在區(qū)塊鏈中創(chuàng)建兩類智能合約，主智能合約（Master Smart Contract）和制造智能合約（Manufacture Smart Contract）。主智能合約是一份包含所有物聯(lián)網(wǎng)制造過程的注冊名單，制造智能合約則是一份包含具體制造過程中所涉及的物聯(lián)網(wǎng)設備信息的名單。

其次，利用IoT云實現(xiàn)設備與人之間的綁定及設備的憑證頒發(fā)。IoT云將對移動終端操作用戶的身份與制造智能合約中設備DID進行比對，比對成功之后將向該終端設備頒發(fā)一份可驗證憑證，憑證中含有設備的DID、設備元數(shù)據(jù)以及用戶的DID。通過驗證設備中的可驗證憑證來綁定用戶與設備，并保證只有擁有唯一的DID才可以訪問該設備，如圖4所示。

圖4  設備綁定與可驗證憑證的生成

結(jié)語

目前，分布式數(shù)字身份體系正處在高速發(fā)展階段，雖然國內(nèi)已經(jīng)在分布式數(shù)字身份方面積極行動，但由于技術(shù)過于新穎、企業(yè)參與度低等問題導致我國對其宏觀層面的認識不夠，產(chǎn)業(yè)應用較為匱乏。我國應抓住機遇，積極研究分布式數(shù)字身份實現(xiàn)方案，跟蹤國外產(chǎn)業(yè)發(fā)展，部署國內(nèi)力量開展基礎技術(shù)研究。同時，在應用落地方面，我國應緊密結(jié)合工業(yè)互聯(lián)網(wǎng)打造一系列應用工程，建設驗證平臺，構(gòu)建數(shù)字身份產(chǎn)業(yè)生態(tài)，為拉動數(shù)字經(jīng)濟高質(zhì)量發(fā)展以及工業(yè)數(shù)字化轉(zhuǎn)型升級提供基礎設施引擎。

本文轉(zhuǎn)載于《信息通信技術(shù)與政策》2021年 第10期