引言

隨著數(shù)字化服務(wù)的日益普及，數(shù)字身份作為用戶在網(wǎng)絡(luò)空間交互的唯一標(biāo)記已成為互聯(lián)網(wǎng)活動(dòng)中不可或缺的要素。數(shù)字身份的發(fā)展可分為3個(gè)階段，即中心化數(shù)字身份、聯(lián)邦化數(shù)字身份及分布式數(shù)字身份。其中，分布式數(shù)字身份以區(qū)塊鏈、分布式賬本等底層技術(shù)作為支撐，已將標(biāo)識(shí)主體逐步從“人”“物”擴(kuò)展到“數(shù)據(jù)”，在實(shí)現(xiàn)數(shù)字對(duì)象全面互聯(lián)互通、隱私身份管理等方面具有重要意義。基于此，本文對(duì)分布式數(shù)字身份的背景、內(nèi)涵進(jìn)行介紹，設(shè)計(jì)了分布式數(shù)字身份的整體架構(gòu)，并分析其在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用，旨在助力數(shù)字對(duì)象應(yīng)用及相關(guān)業(yè)務(wù)發(fā)展。

1  分布式數(shù)字身份起源和內(nèi)涵

國(guó)際電子技術(shù)委員會(huì)將“身份”定義為“一組與實(shí)體關(guān)聯(lián)的屬性”。其中，實(shí)體包括人、機(jī)、物以及虛擬網(wǎng)絡(luò)等內(nèi)容。以人為例，“身份”與每個(gè)人息息相關(guān)，隨著互聯(lián)網(wǎng)的出現(xiàn)和普及，除了身份證、護(hù)照、駕照等傳統(tǒng)身份，數(shù)字身份的定義也在被不斷豐富和完善。身份的數(shù)字化在一定程度上滿足了人們對(duì)互聯(lián)網(wǎng)應(yīng)用的需求，但用戶隱私泄露、使用效率低、便攜性差等問(wèn)題仍然存在。因此，2015年微軟等企業(yè)在互聯(lián)網(wǎng)身份大會(huì)（Internet Identity Workshop，IIW）中提出了分布式數(shù)字身份的概念[1]。

分布式數(shù)字身份（Decentralized Identity，DID）技術(shù)依托眾多互聯(lián)網(wǎng)技術(shù)，并沿襲互聯(lián)網(wǎng)發(fā)展脈絡(luò)。目前，DID相關(guān)的技術(shù)方案由萬(wàn)維網(wǎng)聯(lián)盟（World Wide Web Consortium，W3C）牽頭編制，源于傳統(tǒng)的互聯(lián)網(wǎng)框架，并結(jié)合已有的超文本傳輸協(xié)議（HTTP）、通用資源標(biāo)識(shí)符（URL）、互聯(lián)網(wǎng)通信協(xié)議集合（RFC）等多個(gè)互聯(lián)網(wǎng)協(xié)議與標(biāo)準(zhǔn)。DID技術(shù)在現(xiàn)有成熟技術(shù)和協(xié)議的基礎(chǔ)上，構(gòu)建“不受中央注冊(cè)機(jī)構(gòu)控制、由用戶自己掌控、安全可信去中心化”的新型互聯(lián)網(wǎng)數(shù)字身份體系，從根本上解決互聯(lián)網(wǎng)中用戶信息易泄露、數(shù)據(jù)共享受限等問(wèn)題。

分布式數(shù)字身份是實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)可信化交互和交易的關(guān)鍵基礎(chǔ)，主要具有3方面特征。

（1）去中心化：DID及其關(guān)聯(lián)信息保存在區(qū)塊鏈等分布式系統(tǒng)中，用戶可利用私鑰和簽名證明自己的身份、數(shù)據(jù)和交易所有權(quán)，也可核驗(yàn)對(duì)方身份、數(shù)字資產(chǎn)和交易所有權(quán)的真實(shí)性，降低了權(quán)威機(jī)構(gòu)對(duì)標(biāo)識(shí)關(guān)聯(lián)信息的掌控。

（2）身份自主可控：DID不受限于權(quán)威機(jī)構(gòu)的頒發(fā)和授權(quán)，用戶擁有自主管理標(biāo)識(shí)關(guān)聯(lián)信息的權(quán)利和能力，從標(biāo)識(shí)產(chǎn)生的根源上達(dá)到了標(biāo)識(shí)自主化的目的，打破現(xiàn)有各種網(wǎng)絡(luò)資源（含互聯(lián)網(wǎng)域名）集中管理的模式。

（3）身份的可移植性：身份所有者能夠在任何他們需要的地方使用其身份數(shù)據(jù)，而不需依賴特定的身份服務(wù)提供商，且一位用戶可以按照需求生成多個(gè)數(shù)字身份。

2  分布式數(shù)字身份的國(guó)內(nèi)外發(fā)展現(xiàn)狀

分布式數(shù)字身份的概念被提出后，迅速受到美國(guó)、加拿大等國(guó)政府，微軟、百度等互聯(lián)網(wǎng)巨頭企業(yè)，以及W3C、超級(jí)賬本（Hyperledger）、分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟（DID-Alliance，DIDA）等國(guó)際國(guó)內(nèi)組織的高度關(guān)注，技術(shù)研究和應(yīng)用實(shí)踐進(jìn)展迅速。

2.1  國(guó)外發(fā)展現(xiàn)狀

在國(guó)家層面，美歐等國(guó)政府大力推動(dòng)DID發(fā)展。截至2021年，美國(guó)國(guó)土安全部（United States Department of Homeland Security，DHS）已分批次提供超過(guò)400 萬(wàn)美元的專項(xiàng)資金，支持DID的技術(shù)研究和成果轉(zhuǎn)化[2]，并支持美國(guó)企業(yè)在國(guó)際標(biāo)準(zhǔn)組織W3C發(fā)起成立DID工作組。歐盟委員會(huì)正在建設(shè)的國(guó)家級(jí)區(qū)塊鏈基礎(chǔ)設(shè)施（European Blockchain Services Infrastructure，EBSI），其核心功能之一就是提供基于DID的歐盟國(guó)家公民電子身份認(rèn)證服務(wù)。

在標(biāo)準(zhǔn)及開(kāi)源組織層面，DID的技術(shù)框架已基本形成。2019年9月，W3C成立DID工作組，并于2021年9月正式發(fā)布核心標(biāo)準(zhǔn)《DID—核心架構(gòu)、數(shù)據(jù)模型及表示（v1-0）》。此外，2021年5月，電氣與電子工程師協(xié)會(huì)（Institute of Electrical and Electronics Engineers，IEEE）成立了DID與物聯(lián)網(wǎng)應(yīng)用結(jié)合的工作組，旨在實(shí)現(xiàn)基于DID的智能設(shè)備可信接入和設(shè)備間的點(diǎn)到點(diǎn)直接通信。

在企業(yè)層面，互聯(lián)網(wǎng)巨頭和初創(chuàng)企業(yè)加速應(yīng)用的落地實(shí)施。美國(guó)企業(yè)已利用該技術(shù)實(shí)現(xiàn)跨系統(tǒng)的身份認(rèn)證和數(shù)字資產(chǎn)交易。微軟、IBM、區(qū)塊鏈聯(lián)盟R3、埃森哲、GS1等103家企業(yè)和機(jī)構(gòu)已完成DID的系統(tǒng)實(shí)現(xiàn)和應(yīng)用。其中，英國(guó)奧卡姆公司設(shè)計(jì)了基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備身份平臺(tái)，以實(shí)現(xiàn)連接設(shè)備之間的身份認(rèn)證和數(shù)據(jù)互操作。此外，各國(guó)企業(yè)紛紛聯(lián)合成立DID相關(guān)基金會(huì)、產(chǎn)業(yè)聯(lián)盟和網(wǎng)絡(luò)交流社區(qū)，例如Linux Foundation、Sovrin Foundation、SSImeetup等，共同加速產(chǎn)業(yè)生態(tài)建設(shè)。

2.2  國(guó)內(nèi)發(fā)展現(xiàn)狀

我國(guó)DID研究和產(chǎn)業(yè)探索基本與全球同步啟動(dòng)，并已具備較強(qiáng)的技術(shù)基礎(chǔ)和先發(fā)優(yōu)勢(shì)。

在標(biāo)準(zhǔn)及開(kāi)源組織層面，以中關(guān)村區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟、可信區(qū)塊鏈推進(jìn)計(jì)劃、分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟等為代表的社群組織，積極開(kāi)展圍繞DID的體系化研究、標(biāo)準(zhǔn)研制、應(yīng)用案例分享等工作。2020年8月，分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟發(fā)布《DIDA白皮書(shū)》[3]，全面審視分布式數(shù)字身份的現(xiàn)狀和發(fā)展，對(duì)技術(shù)規(guī)范和技術(shù)設(shè)施建設(shè)進(jìn)行了詳實(shí)的研究，是國(guó)內(nèi)首份系統(tǒng)闡述分布式數(shù)字身份技術(shù)的白皮書(shū)。

在企業(yè)層面，一是百度公司、微眾銀行、中國(guó)信息通信研究院等12家單位自主研發(fā)了DID產(chǎn)品和解決方案，并已寫(xiě)入W3C相關(guān)注冊(cè)表，成為全球DID方案。二是中國(guó)企業(yè)積極探索DID體系建設(shè)和應(yīng)用部署。2020年，中國(guó)信息通信研究院牽頭多家研究院、龍頭企業(yè)搭建星火·鏈網(wǎng)區(qū)塊鏈服務(wù)平臺(tái)[4]，是國(guó)內(nèi)最大的DID工程化實(shí)現(xiàn)。華為基于DID建設(shè)其分布式身份服務(wù)平臺(tái)TDIS。

在國(guó)際合作層面，中國(guó)企業(yè)與社群組織積極提升國(guó)際參與話語(yǔ)權(quán)，中關(guān)村區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟已與Hyperledger、DIF等國(guó)際組織簽署戰(zhàn)略合作協(xié)議。此外，來(lái)自中國(guó)信息通信研究院、北京航空航天大學(xué)、百度公司等單位的國(guó)內(nèi)多位專家也已加入到W3C和IEEE等國(guó)際標(biāo)準(zhǔn)化組織中，深入?yún)⑴cDID的標(biāo)準(zhǔn)化制定工作。

3  分布式數(shù)字身份整體框架

從業(yè)務(wù)邏輯和實(shí)現(xiàn)所需要的核心技術(shù)出發(fā)，可將分布式數(shù)字身份分為4層，整體架構(gòu)如圖1所示。

圖1  分布式數(shù)字身份整體框架

3.1  公共基礎(chǔ)設(shè)施層

公共基礎(chǔ)設(shè)施層描述了DID的產(chǎn)生和儲(chǔ)存，包含的技術(shù)有DID方法框架、區(qū)塊鏈、分布式賬本及加密算法等。其中，DID方法框架、加密算法等決定了生成DID所遵循的方法規(guī)則，區(qū)塊鏈及分布式系統(tǒng)則作為儲(chǔ)存各類DID標(biāo)識(shí)和相關(guān)數(shù)據(jù)的載體。

3.2  數(shù)據(jù)傳輸交互層

數(shù)據(jù)傳輸交互層描述了實(shí)現(xiàn)信息交互所使用的軟硬件、協(xié)議等。其中，數(shù)字代理、數(shù)字錢包和Identity Hub為用戶提供了軟硬件支撐，用戶可將數(shù)字化的身份憑證存放在手機(jī)等移動(dòng)終端里的數(shù)字錢包中，在需要進(jìn)行信息交互時(shí)，通過(guò)數(shù)字代理建立鏈接。在建立鏈接之后，通用解析器、DID Comm協(xié)議幫助實(shí)現(xiàn)不同DID方法之間的互認(rèn)和互通，保證在此鏈接下的任何數(shù)據(jù)信息可被識(shí)別與讀寫(xiě)。

3.3  憑證業(yè)務(wù)交互層

憑證業(yè)務(wù)交互層描述的數(shù)字化可驗(yàn)證憑證是目前最為普及的一種分布式數(shù)字身份應(yīng)用，其本質(zhì)是將物理世界中紙質(zhì)的憑證，例如身份證、護(hù)照、學(xué)位證等進(jìn)行電子化，將中心化機(jī)構(gòu)對(duì)憑證的背書(shū)逐漸轉(zhuǎn)變?yōu)橛脩糇约簩?duì)自己的背書(shū)。可驗(yàn)證的身份網(wǎng)絡(luò)、可驗(yàn)證憑證、去中心化公鑰基礎(chǔ)設(shè)施及各利益相關(guān)方之間的可信關(guān)系等是實(shí)現(xiàn)該應(yīng)用模式的核心要素。

3.4  產(chǎn)業(yè)應(yīng)用層

產(chǎn)業(yè)應(yīng)用層是在前3層的技術(shù)與模型基礎(chǔ)之上所衍生出的更加豐富的新應(yīng)用場(chǎng)景。分布式數(shù)字身份的核心理念是構(gòu)建一個(gè)以用戶為中心的、可信的、全新的互聯(lián)網(wǎng)應(yīng)用新模式，目前已有試點(diǎn)項(xiàng)目在探索并檢驗(yàn)著這項(xiàng)技術(shù)，涉及政務(wù)、供應(yīng)鏈、物聯(lián)網(wǎng)等領(lǐng)域

4  分布式數(shù)字身份在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用情況

分布式數(shù)字身份有效推進(jìn)了各行各業(yè)的數(shù)字化轉(zhuǎn)型。在工業(yè)互聯(lián)網(wǎng)領(lǐng)域，分布式數(shù)字身份目前已應(yīng)用在供應(yīng)鏈追溯、供應(yīng)鏈金融、物聯(lián)網(wǎng)設(shè)備訪問(wèn)等多個(gè)場(chǎng)景，本文重點(diǎn)分析上述3種場(chǎng)景下的應(yīng)用案例，深入理解分布式數(shù)字身份的實(shí)現(xiàn)方式和應(yīng)用價(jià)值。

4.1  全鏈條可信追溯

隨著工業(yè)互聯(lián)網(wǎng)的不斷成熟及廣泛應(yīng)用，企業(yè)形態(tài)正在從原有的層級(jí)式組織、集中管控模式向自組織、生態(tài)組織發(fā)展演化，企業(yè)需要與外界進(jìn)行更多的交互和協(xié)同。目前，傳統(tǒng)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)體系存在著標(biāo)識(shí)統(tǒng)一分配、數(shù)據(jù)集中統(tǒng)管等特點(diǎn)。一方面，企業(yè)對(duì)潛在供應(yīng)商認(rèn)證過(guò)程中，僅能獲取部分靜態(tài)數(shù)據(jù)，需要在尋源、驗(yàn)廠、貫標(biāo)、評(píng)估等多個(gè)環(huán)節(jié)持續(xù)追蹤，認(rèn)證周期長(zhǎng)。另一方面，產(chǎn)品生產(chǎn)數(shù)據(jù)均上傳至平臺(tái)統(tǒng)一管理，平臺(tái)服務(wù)建立在用戶隱私數(shù)據(jù)的基礎(chǔ)上，數(shù)據(jù)挖掘、加工等產(chǎn)生的利潤(rùn)歸平臺(tái)方所有，降低了企業(yè)合作的積極性。

針對(duì)以上問(wèn)題，通過(guò)采用區(qū)塊鏈技術(shù)以及分布式數(shù)字身份，實(shí)現(xiàn)了標(biāo)識(shí)的自生成、自分配、自管理，在保證去中心化的同時(shí)實(shí)現(xiàn)了隱私保護(hù)和數(shù)據(jù)安全。首先，在客戶、企業(yè)、供應(yīng)商等業(yè)務(wù)相關(guān)方之間搭建區(qū)塊鏈，各方自生成分布式數(shù)字身份標(biāo)識(shí)，并基于該身份標(biāo)識(shí)完成對(duì)訂單數(shù)據(jù)的簽名以及企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)的上傳，與鏈上其他企業(yè)進(jìn)行資源共享并提供服務(wù)，打破原有數(shù)據(jù)由平臺(tái)統(tǒng)一管理的局面，同時(shí)保證了供應(yīng)鏈各方數(shù)據(jù)的真實(shí)透明。此外，供應(yīng)鏈各方可以根據(jù)分布式數(shù)字身份標(biāo)識(shí)快速方便地訪問(wèn)鏈上數(shù)據(jù)，對(duì)生產(chǎn)情況進(jìn)行驗(yàn)證，縮短對(duì)潛在供應(yīng)商的認(rèn)證周期，實(shí)現(xiàn)全鏈條數(shù)據(jù)信息的可信高效追溯。

4.2  供應(yīng)鏈信任流轉(zhuǎn)

隨著社會(huì)化生產(chǎn)方式的不斷深入，市場(chǎng)競(jìng)爭(zhēng)已經(jīng)從單一客戶之間的競(jìng)爭(zhēng)轉(zhuǎn)變?yōu)楣?yīng)鏈之間的競(jìng)爭(zhēng)。與此同時(shí)，供應(yīng)鏈中的供應(yīng)商無(wú)法及時(shí)獲得資金，而資金短缺會(huì)直接導(dǎo)致后續(xù)業(yè)務(wù)的停滯，甚至出現(xiàn)“斷鏈”，嚴(yán)重阻礙企業(yè)乃至國(guó)家經(jīng)濟(jì)的持續(xù)發(fā)展。上述問(wèn)題出現(xiàn)的原因主要在于信任缺失。在傳統(tǒng)供應(yīng)鏈條中，資金流、物流和信息留等核心數(shù)據(jù)難以實(shí)現(xiàn)安全共享，出資方無(wú)法有效控制風(fēng)險(xiǎn)。同時(shí)，因信任保障制度不完善，核心企業(yè)難以為其優(yōu)質(zhì)的中小供應(yīng)商企業(yè)提供信用背書(shū)，阻礙便捷金融服務(wù)的發(fā)展。

解決上述問(wèn)題的關(guān)鍵在于保證供應(yīng)鏈企業(yè)核心數(shù)據(jù)的真實(shí)性以及數(shù)據(jù)在企業(yè)和出資方之間的安全共享。首先，在核心企業(yè)、各級(jí)供應(yīng)商、出資方之間搭建區(qū)塊鏈，其中出資方即數(shù)據(jù)驗(yàn)證方。在核心企業(yè)和各級(jí)供應(yīng)商自生成分布式數(shù)字身份標(biāo)識(shí)后，由核心企業(yè)開(kāi)具賬款憑證，并隨著交易的執(zhí)行在供應(yīng)鏈中流轉(zhuǎn)。之后，基于各自身份標(biāo)識(shí)，供應(yīng)鏈中的各主體將賬款數(shù)據(jù)在區(qū)塊鏈上共享，提高供應(yīng)鏈資金運(yùn)作的效力，降低供應(yīng)鏈整體的管理成本。同時(shí)，出資方可以根據(jù)DID快速訪問(wèn)鏈上各主體賬款數(shù)據(jù)，從而有效控制供應(yīng)鏈資金風(fēng)險(xiǎn)，為出資方完成信貸等金融服務(wù)提供依據(jù)，如圖2所示。

圖2  供應(yīng)鏈信任流轉(zhuǎn)示意圖

4.3  物聯(lián)網(wǎng)設(shè)備可信訪問(wèn)

據(jù)Gartner估算，2020年所有物聯(lián)網(wǎng)設(shè)備達(dá)到200 億臺(tái)[5]，目前的身份訪問(wèn)管理（Identity and Access Management，IAM）除需要識(shí)別數(shù)百萬(wàn)潛在的用戶外，還需要唯一識(shí)別數(shù)十億物聯(lián)網(wǎng)設(shè)備，已有的IAM系統(tǒng)很大程度上只能實(shí)現(xiàn)對(duì)人的識(shí)別，并且難以支撐大數(shù)量級(jí)的物聯(lián)網(wǎng)應(yīng)用。在此情況下，迫切需要引入新的IAM體系以支持跨設(shè)備間人、物的應(yīng)用與服務(wù)。2020年，美國(guó)企業(yè)IoTeX提出了分布式身份訪問(wèn)管理（Decentralized Identity and Access Management，DIAM）的概念，通過(guò)在物聯(lián)網(wǎng)設(shè)備生命周期中賦予DID和可驗(yàn)證憑證，實(shí)現(xiàn)設(shè)備控制者對(duì)設(shè)備中數(shù)據(jù)的絕對(duì)控制權(quán)，如圖3所示。

圖3  DIAM設(shè)計(jì)架構(gòu)圖

首先，在區(qū)塊鏈中創(chuàng)建兩類智能合約，主智能合約（Master Smart Contract）和制造智能合約（Manufacture Smart Contract）。主智能合約是一份包含所有物聯(lián)網(wǎng)制造過(guò)程的注冊(cè)名單，制造智能合約則是一份包含具體制造過(guò)程中所涉及的物聯(lián)網(wǎng)設(shè)備信息的名單。

其次，利用IoT云實(shí)現(xiàn)設(shè)備與人之間的綁定及設(shè)備的憑證頒發(fā)。IoT云將對(duì)移動(dòng)終端操作用戶的身份與制造智能合約中設(shè)備DID進(jìn)行比對(duì)，比對(duì)成功之后將向該終端設(shè)備頒發(fā)一份可驗(yàn)證憑證，憑證中含有設(shè)備的DID、設(shè)備元數(shù)據(jù)以及用戶的DID。通過(guò)驗(yàn)證設(shè)備中的可驗(yàn)證憑證來(lái)綁定用戶與設(shè)備，并保證只有擁有唯一的DID才可以訪問(wèn)該設(shè)備，如圖4所示。

圖4  設(shè)備綁定與可驗(yàn)證憑證的生成

結(jié)語(yǔ)

目前，分布式數(shù)字身份體系正處在高速發(fā)展階段，雖然國(guó)內(nèi)已經(jīng)在分布式數(shù)字身份方面積極行動(dòng)，但由于技術(shù)過(guò)于新穎、企業(yè)參與度低等問(wèn)題導(dǎo)致我國(guó)對(duì)其宏觀層面的認(rèn)識(shí)不夠，產(chǎn)業(yè)應(yīng)用較為匱乏。我國(guó)應(yīng)抓住機(jī)遇，積極研究分布式數(shù)字身份實(shí)現(xiàn)方案，跟蹤國(guó)外產(chǎn)業(yè)發(fā)展，部署國(guó)內(nèi)力量開(kāi)展基礎(chǔ)技術(shù)研究。同時(shí)，在應(yīng)用落地方面，我國(guó)應(yīng)緊密結(jié)合工業(yè)互聯(lián)網(wǎng)打造一系列應(yīng)用工程，建設(shè)驗(yàn)證平臺(tái)，構(gòu)建數(shù)字身份產(chǎn)業(yè)生態(tài)，為拉動(dòng)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展以及工業(yè)數(shù)字化轉(zhuǎn)型升級(jí)提供基礎(chǔ)設(shè)施引擎。

本文轉(zhuǎn)載于《信息通信技術(shù)與政策》2021年 第10期