郝久月 楊林 李頔 吳瑤 王劍冰

1. 公安部第一研究所 2. 北京中盾安信科技發(fā)展有限公司 3. 廈門(mén)中盾安信科技有限公司

引言

面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題、數(shù)字經(jīng)濟(jì)快速健康發(fā)展以及數(shù)字化、智能化深入發(fā)展對(duì)社會(huì)治理提出的新要求，如何確認(rèn)用戶網(wǎng)絡(luò)空間的主體身份已經(jīng)成為目前亟待解決的問(wèn)題，網(wǎng)絡(luò)可信身份已經(jīng)成為實(shí)現(xiàn)經(jīng)濟(jì)健康發(fā)展與社會(huì)和諧穩(wěn)定的基礎(chǔ)信任根，是個(gè)人在物理世界與數(shù)字世界間穿行的橋梁。

區(qū)塊鏈技術(shù)的應(yīng)用為數(shù)字身份的可信驗(yàn)證、自主授權(quán)、行為確權(quán)、可信存證及隱私保護(hù)等需求的實(shí)現(xiàn)提供了一個(gè)可行方向，網(wǎng)絡(luò)可信身份與區(qū)塊鏈技術(shù)的融合應(yīng)用更是為網(wǎng)絡(luò)空間身份管理提供了強(qiáng)有力的支撐。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所2020年發(fā)布的《新興區(qū)塊鏈身份管理系統(tǒng)分類(lèi)方法》[2]及歐盟2022年最新發(fā)布的《數(shù)字身份：利用自主身份概念建立信任》[7]都指出，區(qū)塊鏈技術(shù)對(duì)于數(shù)字身份有重要價(jià)值。

因此，本文立足探討區(qū)塊鏈技術(shù)支撐網(wǎng)絡(luò)可信身份體系建設(shè)，旨在以權(quán)威網(wǎng)絡(luò)可信身份為基礎(chǔ)，結(jié)合區(qū)塊鏈技術(shù)應(yīng)用構(gòu)建“中心化簽發(fā)、分布式認(rèn)證”的數(shù)字身份分布式認(rèn)證服務(wù)體系，提供便捷的數(shù)字身份認(rèn)證服務(wù)，有利于產(chǎn)業(yè)生態(tài)建設(shè)，支撐數(shù)字身份線上線下一體化應(yīng)用。

一、分布式數(shù)字身份技術(shù)發(fā)展現(xiàn)狀

數(shù)字身份的技術(shù)演進(jìn)經(jīng)歷了三個(gè)階段，分別是：中心化身份管理、聯(lián)盟式身份管理和分布式數(shù)字身份，如圖1所示[1,9,10]。

（1）中心化身份管理模式

往往由單一的中心機(jī)構(gòu)進(jìn)行管理和控制，但易形成數(shù)據(jù)孤島，造成重復(fù)認(rèn)證、多地認(rèn)證的現(xiàn)象。

（2）聯(lián)盟式身份管理模式

由多個(gè)機(jī)構(gòu)或者聯(lián)盟間進(jìn)行管理和控制，用戶身份在一定程度上可共享、可移植。例如支付寶、微信的跨平臺(tái)登錄，需要通過(guò)用戶的授權(quán)和許可才能進(jìn)行身份數(shù)據(jù)的共享，但實(shí)際身份的控制和管理權(quán)并不在用戶手上，最終還是集中到為數(shù)不多的幾個(gè)巨頭壟斷，用戶資產(chǎn)只能在同機(jī)構(gòu)內(nèi)流通，存在過(guò)度收集、隱私濫用、單點(diǎn)故障等風(fēng)險(xiǎn)隱患。此外，互聯(lián)網(wǎng)巨頭利用用戶數(shù)據(jù)產(chǎn)生了大量?jī)r(jià)值，但用戶并沒(méi)有對(duì)自己的數(shù)據(jù)擁有話語(yǔ)權(quán)和價(jià)值收入。

（3）分布式數(shù)字身份（或自主主權(quán)身份）

區(qū)塊鏈在去中心化架構(gòu)上的成功實(shí)踐，激發(fā)了從聯(lián)盟身份管理模式轉(zhuǎn)向以用戶為中心的身份管理思路，新近提出的分布式數(shù)字身份（或自主主權(quán)身份）提倡由用戶完全擁有和控制自己的身份數(shù)據(jù)，利用區(qū)塊鏈技術(shù)改變應(yīng)用廠商控制用戶身份的模式，由身份所有者即用戶本身來(lái)自主控制和管理自己的身份信息，將數(shù)據(jù)所有權(quán)歸還給用戶。在一定程度上可更有效地解決個(gè)人隱私問(wèn)題，并通過(guò)制定標(biāo)準(zhǔn)協(xié)議來(lái)提供身份跨應(yīng)用的互操作性?；趨^(qū)塊鏈的難篡改、可溯源等特性，可進(jìn)一步保證認(rèn)證結(jié)果的真實(shí)有效。

（一）國(guó)內(nèi)外分布式數(shù)字身份技術(shù)發(fā)展現(xiàn)狀

近年來(lái)，多個(gè)標(biāo)準(zhǔn)組織、開(kāi)源社區(qū)共同推進(jìn)并制定了一系列分布式數(shù)字身份相關(guān)的技術(shù)標(biāo)準(zhǔn)和協(xié)議，逐步完善了分布式數(shù)字身份的技術(shù)棧。其中主要包括：Trust Over IP基金會(huì)的ToIP協(xié)議棧、W3C組織制定的分布式身份標(biāo)識(shí)符（DID）和可驗(yàn)證憑證（VC）規(guī)范、OASIS組織制定的分布式密鑰管理系統(tǒng)（DKMS）規(guī)范、RWOT工作組推動(dòng)的分布式身份認(rèn)證（DID Auth）規(guī)范、DIF基金會(huì)推動(dòng)的分布式身份認(rèn)證（DID Comm）協(xié)議等等。這些規(guī)范的制定，為在不同的應(yīng)用之間進(jìn)行互聯(lián)互通身份認(rèn)證提供了數(shù)據(jù)格式和通信協(xié)議的標(biāo)準(zhǔn)，在這些技術(shù)的共同作用下，形成了分布式數(shù)字身份的整體方案[4,5]。歐盟自主主權(quán)身份是目前分布式數(shù)字身份領(lǐng)域應(yīng)用范圍最大和技術(shù)推進(jìn)最深入的項(xiàng)目，也是歐盟委員會(huì)與27個(gè)歐盟成員國(guó)合作構(gòu)建的歐洲區(qū)塊鏈服務(wù)基礎(chǔ)設(shè)施（EBSI）的核心組成部分。

近年來(lái)，國(guó)內(nèi)各大廠商在分布式數(shù)字身份技術(shù)研究及應(yīng)用上均有建樹(shù)。主要區(qū)塊鏈廠商如螞蟻、騰訊、華為、百度、BSN、微眾銀行等都已跟進(jìn)分布式數(shù)字身份技術(shù)并形成相關(guān)解決方案。2020年6月，中鈔區(qū)塊鏈技術(shù)研究院與飛天誠(chéng)信聯(lián)合15家單位發(fā)起分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟DIDA并發(fā)布白皮書(shū)。2020年8月，信通院星火·鏈網(wǎng)推出基于分布式數(shù)字身份的星火·標(biāo)識(shí)體系。2020年12月，公安部第一研究所、中盾安信、信通院聯(lián)合19家單位發(fā)布《基于可信數(shù)字身份的區(qū)塊鏈應(yīng)用服務(wù)白皮書(shū)》。2021年11月，北京金融科技產(chǎn)業(yè)聯(lián)盟組織，央行數(shù)研所牽頭發(fā)布《金融分布式數(shù)字身份技術(shù)研究報(bào)告》。

（二）我國(guó)數(shù)字身份管理需求

隨著數(shù)字身份技術(shù)的不斷演進(jìn)發(fā)展，在給人民帶來(lái)福祉、提升幸福感的同時(shí)伴隨著如個(gè)人隱私暴露、個(gè)人信息非法交易、電信詐騙等諸多問(wèn)題。

（1）一些股權(quán)結(jié)構(gòu)復(fù)雜的超大型互聯(lián)網(wǎng)企業(yè)、外資企業(yè)借助網(wǎng)絡(luò)實(shí)名管理方式，采集、留存大量我國(guó)公民的個(gè)人信息，掌握大量公民消費(fèi)、出行等行為數(shù)據(jù)，嚴(yán)重威脅國(guó)家政治安全、經(jīng)濟(jì)安全和社會(huì)公共秩序。

（2）公民身份號(hào)碼和人臉等個(gè)人生物特征信息具有唯一性，一經(jīng)泄露即終身泄露，且容易被關(guān)聯(lián)利用，造成用戶合法權(quán)益受到侵害。

（3）部分網(wǎng)絡(luò)應(yīng)用服務(wù)商未落實(shí)安全管理制度和技術(shù)防護(hù)措施，導(dǎo)致大量用戶個(gè)人信息泄露，甚至被內(nèi)部人員倒賣(mài)。

（4）分散實(shí)名的網(wǎng)絡(luò)實(shí)名管理方式缺乏統(tǒng)一的信任基礎(chǔ)，制約企業(yè)生產(chǎn)效率、數(shù)據(jù)要素市場(chǎng)化進(jìn)程和數(shù)字化服務(wù)的普惠應(yīng)用。

（5）實(shí)施基于公民身份號(hào)碼、手機(jī)號(hào)的實(shí)名管理方式，容易產(chǎn)生實(shí)名不實(shí)人、冒用身份等問(wèn)題。

盡管以W3C為主的國(guó)際分布式數(shù)字身份技術(shù)具有自主性、隱匿性等技術(shù)特點(diǎn)，較好地保護(hù)了用戶個(gè)人隱私，但從社會(huì)治理方面看，其解決思路并不完全符合我國(guó)國(guó)情。我國(guó)數(shù)字身份建設(shè)仍需滿足我國(guó)社會(huì)管理的需求，實(shí)現(xiàn)真實(shí)身份溯源和線上線下一體化身份應(yīng)用模式。近年來(lái)，網(wǎng)信辦相繼出臺(tái)《互聯(lián)網(wǎng)用戶賬號(hào)名稱(chēng)管理規(guī)定》等管理規(guī)定，多次強(qiáng)調(diào)要全面落實(shí)網(wǎng)絡(luò)實(shí)名制要求，明確注冊(cè)用戶需“后臺(tái)實(shí)名”。2016年《網(wǎng)絡(luò)安全法》中提出“國(guó)家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開(kāi)發(fā)安全、方便的電子身份認(rèn)證技術(shù)，推動(dòng)不同電子身份認(rèn)證之間的互認(rèn)”。因此，我國(guó)應(yīng)建設(shè)具有中國(guó)特色和國(guó)際數(shù)字身份標(biāo)準(zhǔn)特征、安全可信、高效可控的數(shù)字身份分布式認(rèn)證服務(wù)體系，依托權(quán)威可信身份，促進(jìn)跨部門(mén)、跨地域的身份互認(rèn)和互通，支持對(duì)個(gè)人信息“最小方式、最小范圍、最短時(shí)間”的自主可控處理，保護(hù)個(gè)人隱私。2021年底，在科技部的支持下，公安部第一研究所開(kāi)展“十四五”國(guó)家重點(diǎn)研發(fā)計(jì)劃區(qū)塊鏈專(zhuān)項(xiàng)《基于法定證件的數(shù)字身份區(qū)塊鏈技術(shù)研究與應(yīng)用》關(guān)鍵技術(shù)演進(jìn)，旨在依托區(qū)塊鏈技術(shù)支撐數(shù)字身份技術(shù)發(fā)展，通過(guò)數(shù)字身份規(guī)?；瘧?yīng)用促進(jìn)區(qū)塊鏈技術(shù)落地，為我國(guó)網(wǎng)絡(luò)可信身份體系建設(shè)發(fā)展提供技術(shù)儲(chǔ)備，推動(dòng)區(qū)塊鏈技術(shù)、數(shù)字身份等領(lǐng)域創(chuàng)新應(yīng)用。

二、基于區(qū)塊鏈技術(shù)的數(shù)字身份分布式管理和服務(wù)體系

符合我國(guó)國(guó)情發(fā)展的自上而下的多層級(jí)的數(shù)字身份信任體系，見(jiàn)圖2。一是以國(guó)家法定身份證件為信任根，基于其創(chuàng)建基礎(chǔ)級(jí)數(shù)字身份；二是授權(quán)可信的數(shù)字身份簽發(fā)方，基于基礎(chǔ)級(jí)數(shù)字身份簽發(fā)業(yè)務(wù)級(jí)數(shù)字身份；三是實(shí)現(xiàn)可驗(yàn)證憑證的可信流轉(zhuǎn)，滿足不同業(yè)務(wù)系統(tǒng)身份互認(rèn)互通互信需求；四是構(gòu)建可信數(shù)字身份應(yīng)用生態(tài)產(chǎn)業(yè)聯(lián)盟，支撐我國(guó)數(shù)字身份體系發(fā)展建設(shè)。

（一）數(shù)字身份分布式認(rèn)證服務(wù)體系架構(gòu)

數(shù)字身份分布式認(rèn)證服務(wù)體系架構(gòu)通過(guò)區(qū)塊鏈技術(shù)應(yīng)用，構(gòu)建“1個(gè)數(shù)字身份服務(wù)鏈+N個(gè)業(yè)務(wù)服務(wù)鏈”的多鏈應(yīng)用服務(wù)模式，如圖3所示。

（1）主節(jié)點(diǎn)面向自然人提供基礎(chǔ)級(jí)數(shù)字身份簽發(fā)及認(rèn)證服務(wù)、基礎(chǔ)級(jí)業(yè)務(wù)憑證的簽發(fā)及認(rèn)證服務(wù)。

（2）采用聯(lián)盟鏈準(zhǔn)入機(jī)制，接入機(jī)構(gòu)申請(qǐng)接入數(shù)字身份服務(wù)鏈時(shí)需首先在主節(jié)點(diǎn)（盟主）進(jìn)行備案、審核，通過(guò)后獲取CA數(shù)字證書(shū)可接入身份鏈，成為服務(wù)節(jié)點(diǎn)。

（3）身份鏈上各接入節(jié)點(diǎn)通過(guò)共識(shí)機(jī)制建立信任，支持各類(lèi)業(yè)務(wù)憑證可信流轉(zhuǎn)，實(shí)現(xiàn)分布式認(rèn)證；鏈上共識(shí)數(shù)據(jù)包括數(shù)字身份文檔、身份憑證狀態(tài)、身份關(guān)聯(lián)目錄、身份派生關(guān)系、業(yè)務(wù)信息摘要及認(rèn)證日志摘要等等。

（4）支持接入機(jī)構(gòu)根據(jù)自身業(yè)務(wù)開(kāi)展衍生服務(wù)。以權(quán)威網(wǎng)絡(luò)可信身份為根，疊加業(yè)務(wù)屬性，構(gòu)建“根身份+業(yè)務(wù)身份”的衍生應(yīng)用。

（5）支持接入機(jī)構(gòu)基于業(yè)務(wù)鏈自行簽發(fā)業(yè)務(wù)身份，并通過(guò)權(quán)威統(tǒng)一身份標(biāo)識(shí)建立“根身份”和“業(yè)務(wù)身份”的關(guān)聯(lián)關(guān)系，實(shí)現(xiàn)多層級(jí)身份的溯源管理。

（6）通過(guò)建立跨鏈機(jī)制支持各類(lèi)業(yè)務(wù)憑證的鏈間可信流轉(zhuǎn)，支持業(yè)務(wù)鏈數(shù)字身份的互通、互認(rèn)、互信，支持我國(guó)可信數(shù)字身份生態(tài)建設(shè)。

（二）數(shù)字身份分布式認(rèn)證服務(wù)管理模型

按照“統(tǒng)一簽發(fā)、分布認(rèn)證、多方共識(shí)”的總體思路設(shè)計(jì)數(shù)字身份分布式認(rèn)證服務(wù)管理模型，共分為四類(lèi)角色：基礎(chǔ)級(jí)數(shù)字身份提供方、業(yè)務(wù)級(jí)數(shù)字身份提供方、數(shù)字身份持有方和數(shù)字身份依賴方。

將數(shù)字身份按安全性、功能性及可用性進(jìn)行可信度等級(jí)劃分，并在身份頒發(fā)、憑證管理及身份認(rèn)證等階段制定對(duì)應(yīng)的安全性標(biāo)準(zhǔn)，建立基于區(qū)塊鏈的數(shù)字身份管理模型，實(shí)現(xiàn)基于身份等級(jí)的權(quán)限管理和訪問(wèn)控制。通過(guò)建立基礎(chǔ)級(jí)數(shù)字身份、業(yè)務(wù)級(jí)數(shù)字身份的對(duì)應(yīng)關(guān)系，可實(shí)現(xiàn)身份互認(rèn)和身份聚合。

三、數(shù)字身份分布式認(rèn)證服務(wù)功能實(shí)現(xiàn)和關(guān)鍵技術(shù)

（一）功能實(shí)現(xiàn)

技術(shù)架構(gòu)設(shè)計(jì)上，可從資源層、技術(shù)層、能力層、應(yīng)用層四個(gè)層級(jí)進(jìn)行劃分，同時(shí)在隱私保護(hù)及風(fēng)險(xiǎn)控制、標(biāo)準(zhǔn)規(guī)范及管理制度建設(shè)上輔以相應(yīng)規(guī)劃，如圖5所示。

資源層：提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)等基礎(chǔ)軟硬件資源；

技術(shù)層：提供區(qū)塊鏈、密碼應(yīng)用、分布式密鑰管理系統(tǒng)（DPKI）及隱私計(jì)算等底層技術(shù)能力；

能力層：通過(guò)智能合約實(shí)現(xiàn)全節(jié)點(diǎn)數(shù)字身份的全生命周期管理、數(shù)字身份關(guān)聯(lián)與溯源、多元數(shù)字身份聚合、數(shù)字身份互認(rèn)，豐富數(shù)字身份應(yīng)用服務(wù)模式，保障上鏈數(shù)據(jù)真實(shí)有效，防范數(shù)據(jù)篡改及偽造；

應(yīng)用層：針對(duì)數(shù)字身份分級(jí)應(yīng)用提供基礎(chǔ)級(jí)數(shù)字身份及憑證應(yīng)用服務(wù)、業(yè)務(wù)級(jí)數(shù)字身份及憑證應(yīng)用服務(wù)，允許個(gè)人對(duì)隱私信息進(jìn)行自主管理，支持在個(gè)人授權(quán)后選擇性使用個(gè)人信息；

標(biāo)準(zhǔn)規(guī)范：針對(duì)數(shù)字身份分布式管理及應(yīng)用、身份互認(rèn)、隱私保護(hù)等方面編制相關(guān)標(biāo)準(zhǔn)規(guī)范，支撐我國(guó)在該領(lǐng)域的標(biāo)準(zhǔn)體系建設(shè)；

管理要求：制定授權(quán)機(jī)構(gòu)接入管理辦法、應(yīng)用管理辦法等，為機(jī)構(gòu)接入及應(yīng)用提供指引服務(wù)；

隱私保護(hù)：通過(guò)零知識(shí)證明、多方安全計(jì)算、可信執(zhí)行環(huán)境的相關(guān)研究設(shè)計(jì)，實(shí)現(xiàn)個(gè)人信息“最小方式、最小范圍、最短時(shí)間”處理的數(shù)字身份隱私保護(hù)機(jī)制。例如，當(dāng)用戶身份中具有多個(gè)屬性時(shí)，用戶可以自主地選擇性出示部分屬性，實(shí)現(xiàn)自主控制、精準(zhǔn)授權(quán)的最小化披露；

風(fēng)險(xiǎn)控制：針對(duì)數(shù)字身份偽冒、盜用等安全風(fēng)險(xiǎn)建立風(fēng)險(xiǎn)控制機(jī)制，進(jìn)行系統(tǒng)風(fēng)險(xiǎn)評(píng)估、應(yīng)用智能合約安全評(píng)測(cè)、交易風(fēng)險(xiǎn)評(píng)估，設(shè)計(jì)身份認(rèn)證行為安全風(fēng)險(xiǎn)評(píng)估模型。

（二）關(guān)鍵技術(shù)

數(shù)字身份分布式認(rèn)證服務(wù)需要突破的關(guān)鍵技術(shù)包括：

基礎(chǔ)級(jí)數(shù)字身份的簽發(fā)機(jī)制：實(shí)現(xiàn)高性能、高安全的分布式數(shù)字身份標(biāo)識(shí)和身份電子證照憑證的中心化簽發(fā)，與網(wǎng)證/身份證號(hào)碼等法定身份數(shù)據(jù)形成單向映射，不可鏈接至原始身份信息且映射關(guān)系安全存儲(chǔ)，用于用戶真實(shí)身份追溯；

身份錢(qián)包SDK：私鑰的安全創(chuàng)建、存儲(chǔ)和管理，以及支持?jǐn)?shù)字身份生態(tài)應(yīng)用基于SDK創(chuàng)建標(biāo)準(zhǔn)兼容、可互操作的身份錢(qián)包APP，平衡易用性、安全性和可監(jiān)管性；

零知識(shí)證明：高效安全的基于零知識(shí)證明技術(shù)實(shí)現(xiàn)的具備選擇性披露、范圍證明、防止鏈接等隱私保護(hù)能力的密碼學(xué)算法；

分布式密鑰管理系統(tǒng)：實(shí)現(xiàn)高性能、高安全的、基于區(qū)塊鏈智能合約技術(shù)的、符合運(yùn)營(yíng)級(jí)CA要求的分布式公鑰管理系統(tǒng)；

身份溯源技術(shù)：可驗(yàn)證憑證、可驗(yàn)證聲明和分布式數(shù)字身份標(biāo)識(shí)的基于知識(shí)圖譜技術(shù)的可視化分析和溯源。

四、數(shù)字身份分布式認(rèn)證服務(wù)應(yīng)用場(chǎng)景設(shè)計(jì)

數(shù)字身份分布式認(rèn)證服務(wù)平臺(tái)基于“互聯(lián)網(wǎng)+”可信數(shù)字認(rèn)證平臺(tái)（以下簡(jiǎn)稱(chēng)“CTID平臺(tái)”）建設(shè)。CTID平臺(tái)面向個(gè)人簽發(fā)居民身份網(wǎng)絡(luò)可信憑證（簡(jiǎn)稱(chēng)“網(wǎng)證CTID”），作為用戶基礎(chǔ)級(jí)數(shù)字身份?，F(xiàn)階段，數(shù)字身份認(rèn)證服務(wù)平臺(tái)正在開(kāi)展仿真驗(yàn)證平臺(tái)的建設(shè)工作，搭建區(qū)塊鏈底鏈、研發(fā)聯(lián)盟鏈運(yùn)營(yíng)管理系統(tǒng)、數(shù)字身份生命周期管理系統(tǒng)、身份應(yīng)用APP/SDK，先期與金融、政務(wù)等行業(yè)對(duì)接進(jìn)行試點(diǎn)示范。未來(lái)，數(shù)字身份分布式認(rèn)證服務(wù)平臺(tái)將作為數(shù)字身份聯(lián)盟鏈的主節(jié)點(diǎn)，與各行業(yè)系統(tǒng)共建數(shù)字身份聯(lián)盟鏈，實(shí)現(xiàn)身份互認(rèn)、互通的聯(lián)盟鏈服務(wù)目標(biāo)。

（一）身份互認(rèn)場(chǎng)景

以用戶入職場(chǎng)景為例，包含數(shù)字身份鏈和教育、金融等業(yè)務(wù)鏈，業(yè)務(wù)鏈作為數(shù)字身份鏈服務(wù)節(jié)點(diǎn)，如圖6所示。業(yè)務(wù)機(jī)構(gòu)A可簽發(fā)教育數(shù)字身份和學(xué)位證書(shū)憑證，業(yè)務(wù)機(jī)構(gòu)B可簽發(fā)金融數(shù)字身份和信用報(bào)告憑證，兩種業(yè)務(wù)身份都在用戶終端歸集。使用時(shí)，可通過(guò)數(shù)字身份服務(wù)鏈對(duì)應(yīng)節(jié)點(diǎn)上進(jìn)行身份溯源，查詢用戶金融數(shù)字身份和用戶教育數(shù)字身份對(duì)應(yīng)同一基礎(chǔ)數(shù)字身份，從而實(shí)現(xiàn)兩種業(yè)務(wù)數(shù)字身份的互認(rèn)和憑證的互通。

（二）身份通證場(chǎng)景

身份通證服務(wù)用于解決用戶來(lái)重復(fù)認(rèn)證和多次提交出示，借助區(qū)塊鏈技術(shù)應(yīng)用實(shí)現(xiàn)的基礎(chǔ)身份和業(yè)務(wù)身份的跨業(yè)務(wù)應(yīng)用的協(xié)同應(yīng)用。以入住酒店為例，現(xiàn)階段用戶需要分別通過(guò)CTID認(rèn)證后訪問(wèn)不同業(yè)務(wù)系統(tǒng)，獲取不同的業(yè)務(wù)屬性憑證，多次出示給酒店。使用身份通證服務(wù)后，可以將用戶CTID認(rèn)證結(jié)果、不同業(yè)務(wù)系統(tǒng)簽發(fā)的業(yè)務(wù)屬性憑證上鏈共享并在終端歸集后，用戶按需自主創(chuàng)建個(gè)人身份電子憑證，統(tǒng)一出示給酒店即可辦理入住，有效提升效率，改進(jìn)用戶體驗(yàn)，如圖7所示。

五、總結(jié)與展望

基于權(quán)威網(wǎng)絡(luò)可信身份和區(qū)塊鏈技術(shù)的數(shù)字身份分布式認(rèn)證服務(wù)體系具有如下優(yōu)勢(shì)：

（1）實(shí)現(xiàn)分布式驗(yàn)證和身份溯源。依托區(qū)塊鏈的分布式技術(shù)特點(diǎn)，認(rèn)證過(guò)程不直接依賴于簽發(fā)方，而是信任區(qū)塊鏈的多方共識(shí)和不可篡改機(jī)制，支持?jǐn)?shù)字身份的分布式驗(yàn)證；以權(quán)威網(wǎng)絡(luò)可信身份為信任“根”，實(shí)現(xiàn)多層級(jí)數(shù)字身份溯源。

（2）有利于個(gè)人隱私保護(hù)，“還數(shù)于民”。更好地落實(shí)個(gè)人信息保護(hù)要求，個(gè)人知悉、同意、授權(quán)，由中心化處理個(gè)人信息向用戶自主控制、精準(zhǔn)授權(quán)方式演進(jìn)。用戶可持有私鑰和個(gè)人身份信息，自主控制對(duì)數(shù)據(jù)加密和簽名，身份數(shù)據(jù)可用而不可見(jiàn)，有效保障用戶知情權(quán)、訪問(wèn)權(quán)、拒絕權(quán)、可攜權(quán)、刪除權(quán)、更正權(quán)和持續(xù)控制權(quán)。

（3）形成多方信任機(jī)制，共建產(chǎn)業(yè)生態(tài)。聯(lián)合基礎(chǔ)級(jí)身份和業(yè)務(wù)級(jí)身份，利用區(qū)塊鏈共識(shí)機(jī)制等特點(diǎn)，由生態(tài)賦能向“多方共識(shí)”生態(tài)共建轉(zhuǎn)型，用戶在公共服務(wù)、金融支付、物聯(lián)網(wǎng)等各類(lèi)現(xiàn)實(shí)業(yè)務(wù)中實(shí)現(xiàn)數(shù)字身份的可信流轉(zhuǎn)，解決跨域跨鏈數(shù)字身份建設(shè)缺乏統(tǒng)一的信任基礎(chǔ)、身份互認(rèn)互通困難等問(wèn)題。由向各行業(yè)、各區(qū)域業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù)能力，發(fā)展至與各業(yè)務(wù)系統(tǒng)共同建設(shè)互信互認(rèn)的信任機(jī)制，共建數(shù)字身份服務(wù)體系。