(中國信息通信研究院工業(yè)互聯(lián)網(wǎng)與物聯(lián)網(wǎng)研究所，北京 100191)

0 引言

隨著數(shù)字化服務(wù)的日益普及，數(shù)字身份作為用戶在網(wǎng)絡(luò)空間交互的唯一標(biāo)記已成為互聯(lián)網(wǎng)活動中不可或缺的要素。數(shù)字身份的發(fā)展可分為3個(gè)階段，即中心化數(shù)字身份、聯(lián)邦化數(shù)字身份及分布式數(shù)字身份。其中，分布式數(shù)字身份以區(qū)塊鏈、分布式賬本等底層技術(shù)作為支撐，已將標(biāo)識主體逐步從“人”“物”擴(kuò)展到“數(shù)據(jù)”，在實(shí)現(xiàn)數(shù)字對象全面互聯(lián)互通、隱私身份管理等方面具有重要意義?；诖?，本文對分布式數(shù)字身份的背景、內(nèi)涵進(jìn)行介紹，設(shè)計(jì)了分布式數(shù)字身份的整體架構(gòu)，并分析其在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用，旨在助力數(shù)字對象應(yīng)用及相關(guān)業(yè)務(wù)發(fā)展。

1 分布式數(shù)字身份起源和內(nèi)涵

國際電子技術(shù)委員會將“身份”定義為“一組與實(shí)體關(guān)聯(lián)的屬性”。其中，實(shí)體包括人、機(jī)、物以及虛擬網(wǎng)絡(luò)等內(nèi)容。以人為例，“身份”與每個(gè)人息息相關(guān)，隨著互聯(lián)網(wǎng)的出現(xiàn)和普及，除了身份證、護(hù)照、駕照等傳統(tǒng)身份，數(shù)字身份的定義也在被不斷豐富和完善。身份的數(shù)字化在一定程度上滿足了人們對互聯(lián)網(wǎng)應(yīng)用的需求，但用戶隱私泄露、使用效率低、便攜性差等問題仍然存在。因此，2015年微軟等企業(yè)在互聯(lián)網(wǎng)身份大會(Internet Identity Workshop, IIW)中提出了分布式數(shù)字身份的概念[1]。

分布式數(shù)字身份(Decentralized Identity, DID)技術(shù)依托眾多互聯(lián)網(wǎng)技術(shù)，并沿襲互聯(lián)網(wǎng)發(fā)展脈絡(luò)。目前DID相關(guān)的技術(shù)方案由萬維網(wǎng)聯(lián)盟(World Wide Web Consortium，W3C)牽頭編制，源于傳統(tǒng)的互聯(lián)網(wǎng)框架，并結(jié)合已有的超文本傳輸協(xié)議(HTTP)、通用資源標(biāo)識符(URL)、互聯(lián)網(wǎng)通信協(xié)議集合(RFC)等多個(gè)互聯(lián)網(wǎng)協(xié)議與標(biāo)準(zhǔn)。DID技術(shù)在現(xiàn)有成熟技術(shù)和協(xié)議的基礎(chǔ)上，構(gòu)建“不受中央注冊機(jī)構(gòu)控制、由用戶自己掌控、安全可信去中心化”的新型互聯(lián)網(wǎng)數(shù)字身份體系，從根本上解決互聯(lián)網(wǎng)中用戶信息易泄露、數(shù)據(jù)共享受限等問題。

分布式數(shù)字身份是實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)可信化交互和交易的關(guān)鍵基礎(chǔ)，主要具有3方面特征。

(1)去中心化：DID及其關(guān)聯(lián)信息保存在區(qū)塊鏈等分布式系統(tǒng)中，用戶可利用私鑰和簽名證明自己的身份、數(shù)據(jù)和交易所有權(quán)，也可核驗(yàn)對方身份、數(shù)字資產(chǎn)和交易所有權(quán)的真實(shí)性，降低了權(quán)威機(jī)構(gòu)對標(biāo)識關(guān)聯(lián)信息的掌控。

(2)身份自主可控：DID不受限于權(quán)威機(jī)構(gòu)的頒發(fā)和授權(quán)，用戶擁有自主管理標(biāo)識關(guān)聯(lián)信息的權(quán)利和能力，從標(biāo)識產(chǎn)生的根源上達(dá)到了標(biāo)識自主化的目的，打破現(xiàn)有各種網(wǎng)絡(luò)資源(含互聯(lián)網(wǎng)域名)集中管理的模式。

(3)身份的可移植性：身份所有者能夠在任何他們需要的地方使用其身份數(shù)據(jù)，而不需依賴特定的身份服務(wù)提供商，且一位用戶可以按照需求生成多個(gè)數(shù)字身份。

2 分布式數(shù)字身份的國內(nèi)外發(fā)展現(xiàn)狀

分布式數(shù)字身份的概念被提出后，迅速受到美國、加拿大等國政府，微軟、百度等互聯(lián)網(wǎng)巨頭企業(yè)，以及W3C、超級賬本(Hyperledger)、分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟(DID-Alliance，DIDA)等國際國內(nèi)組織的高度關(guān)注，技術(shù)研究和應(yīng)用實(shí)踐進(jìn)展迅速。

2.1 國外發(fā)展現(xiàn)狀

在國家層面，美歐等國政府大力推動DID發(fā)展。截至2021年，美國國土安全部(United States Department of Homeland Security，DHS)已分批次提供超過400萬美元的專項(xiàng)資金，支持DID的技術(shù)研究和成果轉(zhuǎn)化[2]，并支持美國企業(yè)在國際標(biāo)準(zhǔn)組織W3C發(fā)起成立DID工作組。歐盟委員會正在建設(shè)的國家級區(qū)塊鏈基礎(chǔ)設(shè)施(European Blockchain Services Infrastructure，EBSI)，其核心功能之一就是提供基于DID的歐盟國家公民電子身份認(rèn)證服務(wù)。

在標(biāo)準(zhǔn)及開源組織層面，DID的技術(shù)框架已基本形成。2019年9月，W3C成立DID工作組，并于2021年9月正式發(fā)布核心標(biāo)準(zhǔn)《DID—核心架構(gòu)、數(shù)據(jù)模型及表示(v1.0)》。此外，2021年5月，電氣與電子工程師協(xié)會(Institute of Electrical and Electronics Engineers，IEEE)成立了DID與物聯(lián)網(wǎng)應(yīng)用結(jié)合的工作組，旨在實(shí)現(xiàn)基于DID的智能設(shè)備可信接入和設(shè)備間的點(diǎn)到點(diǎn)直接通信。

在企業(yè)層面，互聯(lián)網(wǎng)巨頭和初創(chuàng)企業(yè)加速應(yīng)用的落地實(shí)施。美國企業(yè)已利用該技術(shù)實(shí)現(xiàn)跨系統(tǒng)的身份認(rèn)證和數(shù)字資產(chǎn)交易。微軟、IBM、區(qū)塊鏈聯(lián)盟R3、埃森哲、GS1等103家企業(yè)和機(jī)構(gòu)已完成DID的系統(tǒng)實(shí)現(xiàn)和應(yīng)用。其中，英國奧卡姆公司設(shè)計(jì)了基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備身份平臺，以實(shí)現(xiàn)連接設(shè)備之間的身份認(rèn)證和數(shù)據(jù)互操作。此外，各國企業(yè)紛紛聯(lián)合成立DID相關(guān)基金會、產(chǎn)業(yè)聯(lián)盟和網(wǎng)絡(luò)交流社區(qū)，例如：Linux Foundation、Sovrin Foundation、SSImeetup等，共同加速產(chǎn)業(yè)生態(tài)建設(shè)。

2.2 國內(nèi)發(fā)展現(xiàn)狀

我國DID研究和產(chǎn)業(yè)探索基本與全球同步啟動，并已具備較強(qiáng)的技術(shù)基礎(chǔ)和先發(fā)優(yōu)勢。

在標(biāo)準(zhǔn)及開源組織層面，以中關(guān)村區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟、可信區(qū)塊鏈推進(jìn)計(jì)劃、分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟等為代表的社群組織，積極開展圍繞DID的體系化研究、標(biāo)準(zhǔn)研制、應(yīng)用案例分享等工作。2020年8月，分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟發(fā)布《DIDA白皮書》[3]，全面審視分布式數(shù)字身份的現(xiàn)狀和發(fā)展，對技術(shù)規(guī)范和技術(shù)設(shè)施建設(shè)進(jìn)行了詳實(shí)的研究，是國內(nèi)首份系統(tǒng)闡述分布式數(shù)字身份技術(shù)的白皮書。

在企業(yè)層面，一是百度公司、微眾銀行、中國信息通信研究院等12家單位自主研發(fā)了DID產(chǎn)品和解決方案，并已寫入W3C相關(guān)注冊表，成為全球DID方案。二是中國企業(yè)積極探索DID體系建設(shè)和應(yīng)用部署。2020年，中國信息通信研究院牽頭多家研究院、龍頭企業(yè)搭建星火·鏈網(wǎng)區(qū)塊鏈服務(wù)平臺[4]，是國內(nèi)最大的DID工程化實(shí)現(xiàn)。華為基于DID建設(shè)其分布式身份服務(wù)平臺TDIS。

在國際合作層面，中國企業(yè)與社群組織積極提升國際參與話語權(quán)，中關(guān)村區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟已與Hyperledger、DIF等國際組織簽署戰(zhàn)略合作協(xié)議。此外，來自中國信息通信研究院、北京航空航天大學(xué)、百度公司等單位的國內(nèi)多位專家也已加入到W3C和IEEE等國際標(biāo)準(zhǔn)化組織中，深入?yún)⑴cDID的標(biāo)準(zhǔn)化制定工作。

3 分布式數(shù)字身份整體框架

從業(yè)務(wù)邏輯和實(shí)現(xiàn)所需要的核心技術(shù)出發(fā)，可將分布式數(shù)字身份分為4層，整體架構(gòu)如圖1所示。

圖1 分布式數(shù)字身份整體框架

3.1 公共基礎(chǔ)設(shè)施層

公共基礎(chǔ)設(shè)施層描述了DID的產(chǎn)生和儲存，包含的技術(shù)有DID方法框架、區(qū)塊鏈、分布式賬本及加密算法等。其中，DID方法框架、加密算法等決定了生成DID所遵循的方法規(guī)則，區(qū)塊鏈及分布式系統(tǒng)則作為儲存各類DID標(biāo)識和相關(guān)數(shù)據(jù)的載體。

3.2 數(shù)據(jù)傳輸交互層

數(shù)據(jù)傳輸交互層描述了實(shí)現(xiàn)信息交互所使用的軟硬件、協(xié)議等。其中，數(shù)字代理、數(shù)字錢包和Identity Hub為用戶提供了軟硬件支撐，用戶可將數(shù)字化的身份憑證存放在手機(jī)等移動終端里的數(shù)字錢包中，在需要進(jìn)行信息交互時(shí)，通過數(shù)字代理建立鏈接。在建立鏈接之后，通用解析器、DID Comm協(xié)議幫助實(shí)現(xiàn)不同DID方法之間的互認(rèn)和互通，保證在此鏈接下的任何數(shù)據(jù)信息可被識別與讀寫。

3.3 憑證業(yè)務(wù)交互層

憑證業(yè)務(wù)交互層描述的數(shù)字化可驗(yàn)證憑證是目前最為普及的一種分布式數(shù)字身份應(yīng)用，其本質(zhì)是將物理世界中紙質(zhì)的憑證，例如身份證、護(hù)照、學(xué)位證等進(jìn)行電子化，將中心化機(jī)構(gòu)對憑證的背書逐漸轉(zhuǎn)變?yōu)橛脩糇约簩ψ约旱谋硶??？沈?yàn)證的身份網(wǎng)絡(luò)、可驗(yàn)證憑證、去中心化公鑰基礎(chǔ)設(shè)施及各利益相關(guān)方之間的可信關(guān)系等是實(shí)現(xiàn)該應(yīng)用模式的核心要素。

3.4 產(chǎn)業(yè)應(yīng)用層

產(chǎn)業(yè)應(yīng)用層是在前3層的技術(shù)與模型基礎(chǔ)之上所衍生出的更加豐富的新應(yīng)用場景。分布式數(shù)字身份的核心理念是構(gòu)建一個(gè)以用戶為中心的、可信的、全新的互聯(lián)網(wǎng)應(yīng)用新模式，目前已有試點(diǎn)項(xiàng)目在探索并檢驗(yàn)著這項(xiàng)技術(shù)，涉及政務(wù)、供應(yīng)鏈、物聯(lián)網(wǎng)等領(lǐng)域。

4 分布式數(shù)字身份在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用情況

分布式數(shù)字身份有效推進(jìn)了各行各業(yè)的數(shù)字化轉(zhuǎn)型。在工業(yè)互聯(lián)網(wǎng)領(lǐng)域，分布式數(shù)字身份目前已應(yīng)用在供應(yīng)鏈追溯、供應(yīng)鏈金融、物聯(lián)網(wǎng)設(shè)備訪問等多個(gè)場景，本文重點(diǎn)分析上述3種場景下的應(yīng)用案例，深入理解分布式數(shù)字身份的實(shí)現(xiàn)方式和應(yīng)用價(jià)值。

4.1 全鏈條可信追溯

隨著工業(yè)互聯(lián)網(wǎng)的不斷成熟及廣泛應(yīng)用，企業(yè)形態(tài)正在從原有的層級式組織、集中管控模式向自組織、生態(tài)組織發(fā)展演化，企業(yè)需要與外界進(jìn)行更多的交互和協(xié)同。目前，傳統(tǒng)工業(yè)互聯(lián)網(wǎng)標(biāo)識體系存在著標(biāo)識統(tǒng)一分配、數(shù)據(jù)集中統(tǒng)管等特點(diǎn)。一方面，企業(yè)對潛在供應(yīng)商認(rèn)證過程中，僅能獲取部分靜態(tài)數(shù)據(jù)，需要在尋源、驗(yàn)廠、貫標(biāo)、評估等多個(gè)環(huán)節(jié)持續(xù)追蹤，認(rèn)證周期長。另一方面，產(chǎn)品生產(chǎn)數(shù)據(jù)均上傳至平臺統(tǒng)一管理，平臺服務(wù)建立在用戶隱私數(shù)據(jù)的基礎(chǔ)上，數(shù)據(jù)挖掘、加工等產(chǎn)生的利潤歸平臺方所有，降低了企業(yè)合作的積極性。

針對以上問題，通過采用區(qū)塊鏈技術(shù)以及分布式數(shù)字身份，實(shí)現(xiàn)了標(biāo)識的自生成、自分配、自管理，在保證去中心化的同時(shí)實(shí)現(xiàn)了隱私保護(hù)和數(shù)據(jù)安全。首先，在客戶、企業(yè)、供應(yīng)商等業(yè)務(wù)相關(guān)方之間搭建區(qū)塊鏈，各方自生成分布式數(shù)字身份標(biāo)識，并基于該身份標(biāo)識完成對訂單數(shù)據(jù)的簽名以及企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)的上傳，與鏈上其他企業(yè)進(jìn)行資源共享并提供服務(wù)，打破原有數(shù)據(jù)由平臺統(tǒng)一管理的局面，同時(shí)保證了供應(yīng)鏈各方數(shù)據(jù)的真實(shí)透明。此外，供應(yīng)鏈各方可以根據(jù)分布式數(shù)字身份標(biāo)識快速方便地訪問鏈上數(shù)據(jù)，對生產(chǎn)情況進(jìn)行驗(yàn)證，縮短對潛在供應(yīng)商的認(rèn)證周期，實(shí)現(xiàn)全鏈條數(shù)據(jù)信息的可信高效追溯。

圖2 供應(yīng)鏈信任流轉(zhuǎn)示意圖

4.2 供應(yīng)鏈信任流轉(zhuǎn)

隨著社會化生產(chǎn)方式的不斷深入，市場競爭已經(jīng)從單一客戶之間的競爭轉(zhuǎn)變?yōu)楣?yīng)鏈之間的競爭。與此同時(shí)，供應(yīng)鏈中的供應(yīng)商無法及時(shí)獲得資金，而資金短缺會直接導(dǎo)致后續(xù)業(yè)務(wù)的停滯，甚至出現(xiàn)“斷鏈”，嚴(yán)重阻礙企業(yè)乃至國家經(jīng)濟(jì)的持續(xù)發(fā)展。上述問題出現(xiàn)的原因主要在于信任缺失。在傳統(tǒng)供應(yīng)鏈條中，資金流、物流和信息留等核心數(shù)據(jù)難以實(shí)現(xiàn)安全共享，出資方無法有效控制風(fēng)險(xiǎn)。同時(shí)，因信任保障制度不完善，核心企業(yè)難以為其優(yōu)質(zhì)的中小供應(yīng)商企業(yè)提供信用背書，阻礙便捷金融服務(wù)的發(fā)展。

解決上述問題的關(guān)鍵在于保證供應(yīng)鏈企業(yè)核心數(shù)據(jù)的真實(shí)性以及數(shù)據(jù)在企業(yè)和出資方之間的安全共享。首先，在核心企業(yè)、各級供應(yīng)商、出資方之間搭建區(qū)塊鏈，其中，出資方即數(shù)據(jù)驗(yàn)證方。在核心企業(yè)和各級供應(yīng)商自生成分布式數(shù)字身份標(biāo)識后，由核心企業(yè)開具賬款憑證，并隨著交易的執(zhí)行在供應(yīng)鏈中流轉(zhuǎn)。之后，基于各自身份標(biāo)識，供應(yīng)鏈中的各主體將賬款數(shù)據(jù)在區(qū)塊鏈上共享，提高供應(yīng)鏈資金運(yùn)作的效力，降低供應(yīng)鏈整體的管理成本。同時(shí)，出資方可以根據(jù)DID快速訪問鏈上各主體賬款數(shù)據(jù)，從而有效控制供應(yīng)鏈資金風(fēng)險(xiǎn)，為出資方完成信貸等金融服務(wù)提供依據(jù)，如圖2所示。

4.3 物聯(lián)網(wǎng)設(shè)備可信訪問

據(jù)Gartner估算，2020年所有物聯(lián)網(wǎng)設(shè)備達(dá)到200億臺[5]，目前的身份訪問管理(Identity and Access Management，IAM)除需要識別數(shù)百萬潛在的用戶外，還需要唯一識別數(shù)十億物聯(lián)網(wǎng)設(shè)備，已有的IAM系統(tǒng)很大程度上只能實(shí)現(xiàn)對人的識別，并且難以支撐大數(shù)量級的物聯(lián)網(wǎng)應(yīng)用。在此情況下，迫切需要引入新的IAM體系以支持跨設(shè)備間人、物的應(yīng)用與服務(wù)。2020年，美國企業(yè)IoTeX提出了分布式身份訪問管理(Decentralized Identity and Access Management，DIAM)的概念，通過在物聯(lián)網(wǎng)設(shè)備生命周期中賦予DID和可驗(yàn)證憑證，實(shí)現(xiàn)設(shè)備控制者對設(shè)備中數(shù)據(jù)的絕對控制權(quán)，如圖3所示。

圖3 DIAM設(shè)計(jì)架構(gòu)圖

首先，在區(qū)塊鏈中創(chuàng)建兩類智能合約，主智能合約(Master Smart Contract)和制造智能合約(Manufacture Smart Contract)。主智能合約是一份包含所有物聯(lián)網(wǎng)制造過程的注冊名單，制造智能合約則是一份包含具體制造過程中所涉及的物聯(lián)網(wǎng)設(shè)備信息的名單。

其次，利用IoT云實(shí)現(xiàn)設(shè)備與人之間的綁定及設(shè)備的憑證頒發(fā)。IoT云將對移動終端操作用戶的身份與制造智能合約中設(shè)備DID進(jìn)行比對，比對成功之后將向該終端設(shè)備頒發(fā)一份可驗(yàn)證憑證，憑證中含有設(shè)備的DID、設(shè)備元數(shù)據(jù)以及用戶的DID。通過驗(yàn)證設(shè)備中的可驗(yàn)證憑證來綁定用戶與設(shè)備，并保證只有擁有唯一的DID才可以訪問該設(shè)備，如圖4所示。

圖4 設(shè)備綁定與可驗(yàn)證憑證的生成

5 結(jié)束語

目前，分布式數(shù)字身份體系正處在高速發(fā)展階段，雖然國內(nèi)已經(jīng)在分布式數(shù)字身份方面積極行動，但由于技術(shù)過于新穎、企業(yè)參與度低等問題導(dǎo)致我國對其宏觀層面的認(rèn)識不夠，產(chǎn)業(yè)應(yīng)用較為匱乏。我國應(yīng)抓住機(jī)遇，積極研究分布式數(shù)字身份實(shí)現(xiàn)方案，跟蹤國外產(chǎn)業(yè)發(fā)展，部署國內(nèi)力量開展基礎(chǔ)技術(shù)研究。同時(shí)，在應(yīng)用落地方面，我國應(yīng)緊密結(jié)合工業(yè)互聯(lián)網(wǎng)打造一系列應(yīng)用工程，建設(shè)驗(yàn)證平臺，構(gòu)建數(shù)字身份產(chǎn)業(yè)生態(tài)，為拉動數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展以及工業(yè)數(shù)字化轉(zhuǎn)型升級提供基礎(chǔ)設(shè)施引擎。