黃潤飛 陳賢明 黃燕玲 陳樹樂 孫玉潔

摘 要：針對目前粵港澳三地組織機構(gòu)跨境身份認證機制不健全，傳統(tǒng)身份認證體系認證過程復(fù)雜、證書維護管理困難等問題，本文提出了一種基于身份標(biāo)識密碼的聯(lián)盟區(qū)塊鏈跨境身份認證方案，通過利用組織機構(gòu)編碼這個身份標(biāo)識信息代替數(shù)字證書進行身份認證和訪問控制，在簡化了認證過程、提高認證效率的同時，又避免了傳統(tǒng)認證體系繁雜的證書管理。通過本文提出的認證方案，為推動粵港澳大灣區(qū)法人和其他組織實現(xiàn)身份互認、促進粵港澳大灣區(qū)法人和其他組織信息互聯(lián)互通提供技術(shù)支撐，為國內(nèi)經(jīng)營主體進一步參與港澳的市場經(jīng)濟活動提供便利。

關(guān)鍵詞：組織機構(gòu)編碼，跨境身份認證，身份標(biāo)識，區(qū)塊鏈

DOI編碼：10.3969/j.issn.1674-5698.2023.08.008

0 引 言

2019年2月份，中共中央、國務(wù)院印發(fā)了《粵港澳大灣區(qū)發(fā)展規(guī)劃綱要》，提出要不斷深化粵港澳互利合作，三地共同探索協(xié)同發(fā)展模式，實現(xiàn)粵港澳經(jīng)營主體信息互通互認。2021年9月份，廣東省人民政府發(fā)布《廣東省深入推進資本要素市場化配置改革行動方案》，提到加速粵港澳大灣區(qū)金融市場互聯(lián)互通，以區(qū)塊鏈技術(shù)為基礎(chǔ)，粵港澳共建“征信鏈”，促進粵港澳大灣區(qū)征信合作?；浉郯娜氐娜诤习l(fā)展都離不開經(jīng)營主體的參與，由于港澳地區(qū)與內(nèi)地制度不一致的原因，導(dǎo)致三地法人和其他組織登記管理模式、注冊模式、數(shù)據(jù)采集定義等尚未達成統(tǒng)一標(biāo)準(zhǔn)，互認協(xié)商機制和數(shù)據(jù)共享機制尚未建立，阻礙了灣區(qū)三地經(jīng)營主體身份的互通互認。

本文通過引入聯(lián)盟區(qū)塊鏈技術(shù)，以組織機構(gòu)編碼為基礎(chǔ)，探索一種基于身份標(biāo)識密碼和聯(lián)盟區(qū)塊鏈技術(shù)的跨境身份認證機制，以推動粵港澳大灣區(qū)經(jīng)營主體信息的互聯(lián)互通，實現(xiàn)對三地經(jīng)營主體身份信息的有效認證，為三地經(jīng)營主體的互通合作提供支撐。

1 組織機構(gòu)身份識別應(yīng)用情況

統(tǒng)一社會信用代碼是我國內(nèi)陸地區(qū)法人和其他組織的“數(shù)字身份證”，具有唯一性，是經(jīng)營主體身份信息的唯一識別碼。自2015年國務(wù)院關(guān)于統(tǒng)一社會信用代碼制度改革以來，我國建設(shè)完成了全國統(tǒng)一社會信用代碼數(shù)據(jù)庫，歸集來自市場監(jiān)督管理局、民政、編辦、司法、總工會、民宗委等18個登記管理部門48個機構(gòu)類型的經(jīng)營主體數(shù)據(jù)，形成了完整、準(zhǔn)確、權(quán)威、覆蓋全面的組織機構(gòu)數(shù)據(jù)服務(wù)中心。近年來，廣東省以統(tǒng)一社會信用代碼數(shù)據(jù)為基礎(chǔ)，在多個應(yīng)用領(lǐng)域持續(xù)開展了多項研究并取得了很好的成果[1]，港澳地區(qū)在金融、海關(guān)、電商等領(lǐng)域持續(xù)開展組織機構(gòu)身份認證應(yīng)用，不斷推進可信數(shù)字身份的創(chuàng)新應(yīng)用。

1.1 統(tǒng)一社會信用代碼應(yīng)用成果

（1）有效識別法人和其他組織機構(gòu)身份信息

基于統(tǒng)一社會信用代碼唯一標(biāo)識的特性，對法人和其他組織機構(gòu)信息進行核查校驗，最終實現(xiàn)身份識別。目前，廣東省在出入境備案審查、團員組織關(guān)系轉(zhuǎn)接、虛假注冊地址識別等應(yīng)用中，充分發(fā)揮了統(tǒng)一社會信用代碼對法人和其他組織機構(gòu)身份進行有效識別的作用，根據(jù)法人和其他組織統(tǒng)一社會信用代碼判斷信息的真實性和有效性，準(zhǔn)確識別身份信息，提升對法人和其他組織機構(gòu)的管理效率。

（2）法人和其他組織機構(gòu)信息關(guān)聯(lián)比對分析

通過統(tǒng)一社會信用代碼查詢法人和其他組織機構(gòu)的相關(guān)信息，核查比對數(shù)據(jù)的準(zhǔn)確性，根據(jù)數(shù)據(jù)比對結(jié)果，對存在差異數(shù)據(jù)的法人和其他組織機構(gòu)進行核實確認，甄別異常機構(gòu)?；诮y(tǒng)一社會信用代碼數(shù)據(jù)的特性，廣東省在金融領(lǐng)域已經(jīng)有深入的探索應(yīng)用，為銀行等機構(gòu)提供了穩(wěn)定可靠的數(shù)據(jù)比對分析服務(wù)，提升了銀行對公賬戶的管理效率，加強了金融機構(gòu)防范風(fēng)險的能力。

1.2 組織機構(gòu)身份識別應(yīng)用優(yōu)勢

（1）身份識別唯一標(biāo)識

統(tǒng)一社會信用代碼作為法人和其他組織機構(gòu)的“數(shù)字身份證”，能夠唯一且準(zhǔn)確地標(biāo)識身份信息。不同于數(shù)據(jù)的其他屬性項信息內(nèi)容，統(tǒng)一社會信用代碼在數(shù)據(jù)庫中是作為主鍵配置的，屬性的配置決定了數(shù)據(jù)項的唯一性，不會出現(xiàn)字段數(shù)據(jù)重復(fù)的情況。一旦機構(gòu)提交注冊信息，登記管理部門配發(fā)統(tǒng)一社會信用代碼后，這條數(shù)據(jù)就會及時生效，只要機構(gòu)處于存續(xù)狀態(tài)且未發(fā)生變更，該統(tǒng)一社會信用代碼就會與機構(gòu)進行綁定，通過代碼就能準(zhǔn)確識別到該機構(gòu)。

（2）實現(xiàn)跨境信息連通

雖然港澳地區(qū)和內(nèi)地的制度不一致，但對從事市場活動的法人和其他組織機構(gòu)的管理手段都是通過組織機構(gòu)編碼進行識別和管理。我國內(nèi)地的機構(gòu)標(biāo)識碼是用18位阿拉伯?dāng)?shù)字或大寫英文字母組成的統(tǒng)一社會信用代碼表示，香港地區(qū)是16位的商業(yè)登記證編碼，澳門地區(qū)則是7位的商業(yè)登記號[2]。數(shù)據(jù)結(jié)構(gòu)的不一致會導(dǎo)致數(shù)據(jù)表示、標(biāo)識規(guī)則、語義表達上出現(xiàn)差異，但是，通過對三地數(shù)據(jù)項進行合理地處理，比如：采用交集或并集，再根據(jù)語義分析對數(shù)據(jù)項進行轉(zhuǎn)換，就可以構(gòu)建粵港澳三地都能識別的數(shù)據(jù)項，為灣區(qū)三地經(jīng)營主體信息互通共享奠定基礎(chǔ)，也可以作為打通港澳地區(qū)與內(nèi)地經(jīng)營主體之間活動的橋梁。

（3）便于跨境身份核驗

在粵港澳大灣區(qū)三地法人和其他組織機構(gòu)信息互通共享的基礎(chǔ)上，通過建立大灣區(qū)經(jīng)營主體身份信息互認機制，為三地經(jīng)營主體進行商貿(mào)、文化等經(jīng)濟活動和社會活動提供便利。標(biāo)識碼是連接港澳地區(qū)和內(nèi)地經(jīng)營主體信息的紐帶。通過對標(biāo)識碼的識別和驗證，可以有效核驗跨境經(jīng)營主體的身份信息，即可以確保身份識別的準(zhǔn)確性，又可以提高信息數(shù)據(jù)的安全性，為進一步促進跨境經(jīng)貿(mào)活動，實現(xiàn)三地融合發(fā)展提供支撐。

2 身份認證技術(shù)

2.1 PKI認證

公開密鑰基礎(chǔ)設(shè)施（P u bl ic KeyInfrastructure，PKI）是一套通過公鑰密碼算法提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI采用數(shù)字證書對公鑰進行管理，通過第三方的可信任機構(gòu)（CA），把用戶的公鑰和其他標(biāo)識信息捆綁在一起，實現(xiàn)對用戶身份信息的實效認證[3]。

在PKI身份認證體系中，為保證信息發(fā)送方能夠正確獲取接收方的公鑰，需要一個可信的第三方機構(gòu)（CA）來綁定實體與其擁有的密碼對，CA只有在確認實體知道其公鑰所對應(yīng)的私鑰后，才會為主體頒發(fā)證書，證書中包含了實體的標(biāo)識信息、公鑰以及CA的電子簽名。信息發(fā)送方首先需要獲得接收方的證書，在驗證證書的合法性之后，信息發(fā)送方會通過證書中的公鑰對信息進行加密并發(fā)送。發(fā)送方與接收方的交互過程如下。

Step1：接收方向CA請求證書；

Step2：CA接受請求并為接收方頒發(fā)證書；

Step3：接收方將證書中的公鑰向發(fā)送方公開；

Step4：發(fā)送方獲得接收方公鑰后請求CA驗證該公鑰的合法性；

Step5：CA驗證接收方證書并向發(fā)送方確認；

Step6：發(fā)送方用接收方的公鑰加密信息并發(fā)送給接收方；

Step7：接收方用自己的私鑰解密信息。

在PKI認證體系中，每一個主體都需要一個證書，當(dāng)用戶數(shù)量迅速增加時，證書的管理和維護將非常困難，同時，發(fā)送方在發(fā)送信息時首先需要獲得接收方的證書，并請認證中心CA對證書的合法性進行驗證，只有驗證通過之后才會繼續(xù)發(fā)送信息，導(dǎo)致了認證過程非常復(fù)雜。

2.2 基于聯(lián)盟鏈的跨域身份認證

在基于聯(lián)盟鏈的跨域認證模型中，不同區(qū)域的CA將各自信任域內(nèi)的證書狀態(tài)變更信息同步到聯(lián)盟鏈上，不同域的實體通過聯(lián)盟鏈進行身份驗證[4]，基于聯(lián)盟鏈的跨區(qū)域身份認證模型如圖1所示。

通過聯(lián)盟區(qū)塊鏈的方式，區(qū)域A中的實體要實現(xiàn)與區(qū)域B中實體的身份互認，只需要在聯(lián)盟鏈上查找對方的當(dāng)前CA證書狀態(tài)信息，減少了CA證書的認證次數(shù)以及認證鏈路的復(fù)雜度，提升了跨域身份認證效率。

傳統(tǒng)聯(lián)盟區(qū)塊鏈仍然是通過PK I實現(xiàn)各實體之間的訪問控制。PKI通過認證機構(gòu)CA提供安全服務(wù)，從而保障實體身份信息的可信任。由于存在CA單點故障問題，認證鏈路的穩(wěn)定性得不到保障，同時，CA證書維護管理難的問題依舊存在。對于不同區(qū)域之間的實體，要實現(xiàn)跨域身份認證，就需要對不同的實體頒發(fā)不同的CA證書，也加大了跨域認證互聯(lián)的難度。

2.3 基于標(biāo)識密碼的身份認證

基于標(biāo)識密碼（Identity Based Cryptography，IBC）的身份認證，通過將實體的身份標(biāo)識信息與公鑰進行綁定，每個主體的身份標(biāo)識就是公鑰[5]。2016年3月，國家密碼管理局正式發(fā)布GM/T 0044-2016《SM9 標(biāo)識密碼算法》，SM9算法是一種基于標(biāo)識的公鑰密碼算法，其中公鑰數(shù)據(jù)就是可以唯一標(biāo)識主體身份的信息，比如：電子郵件、電話號碼等唯一屬性都可以作為主體的公鑰。

IBC通過將主體唯一標(biāo)識屬性作為公鑰并公開發(fā)布，不需要額外生產(chǎn)和存儲，可以不用依賴證書和證書管理系統(tǒng)，簡化了認證過程和密碼管理的復(fù)雜度，也有效解決了PKI身份認證需要大量交換數(shù)字證書的問題，提高了身份認證效率[6]。

主體根據(jù)IBC體系中公鑰的唯一性，可以對數(shù)據(jù)進行簽名，即“數(shù)字簽名”，通過“數(shù)字簽名”可以對主體的身份信息進行驗證。比如：主體A將加密的身份信息發(fā)送主體B，主體B就可以根據(jù)該主體A的公鑰對其身份進行驗證（因為公鑰是公開且唯一的，只有用公鑰對應(yīng)的私鑰加密的信息才能用公鑰解密）。IBC數(shù)字簽名過程如下。

Step1：主體A用個人信息向密鑰生產(chǎn)中心申請密鑰對；

Step2：密鑰生成中心為主體A分發(fā)密鑰對；

Step3：主體A用私鑰簽名信息并發(fā)送給主體B；

Step4：主體B用主體A的公鑰驗證簽名信息。

簽名驗證如圖2所示。

3 法人和其他組織跨境身份認證

3.1 現(xiàn)狀及問題

（1）組織機構(gòu)數(shù)據(jù)異構(gòu)

由于粵港澳三地法律制度差異性等原因，內(nèi)地和港澳地區(qū)關(guān)于法人和其他組織機構(gòu)的登記注冊管理模式還沒有統(tǒng)一，數(shù)據(jù)的采集定義也沒有達成統(tǒng)一的標(biāo)準(zhǔn)，在推動實現(xiàn)大灣區(qū)互聯(lián)互通、融合發(fā)展方面的探索，目前也只是處于初期階段，還未形成統(tǒng)一協(xié)調(diào)發(fā)展的有效模式和典型經(jīng)驗。因此，要實現(xiàn)粵港澳大灣區(qū)法人和其他組織機構(gòu)信息的互聯(lián)互通，首先需要統(tǒng)一灣區(qū)三地組織機構(gòu)身份標(biāo)識的數(shù)據(jù)基礎(chǔ)項，解決灣區(qū)三地組織機構(gòu)標(biāo)識長度不一致、信息語義表達存在二義性、數(shù)據(jù)差異性等問題。

（2）身份互認機制未建立

目前，關(guān)于粵港澳大灣區(qū)法人和其他組織的跨境身份認證機制一直處于待研究階段，還未形成成熟、穩(wěn)定的認證體系，這也就導(dǎo)致了灣區(qū)三地組織機構(gòu)在跨境貿(mào)易活動中，會出現(xiàn)身份信息認證渠道不流暢、認證過程復(fù)雜困難、認證結(jié)果準(zhǔn)確性得不到保證甚至認證失敗等問題。因此，灣區(qū)三地法人和其他組織機構(gòu)在開展跨境業(yè)務(wù)時，如何正確識別主體身份信息，有效構(gòu)建身份認證體系，實現(xiàn)互通有無，就成為了一個關(guān)鍵問題。

3.2 基于身份標(biāo)識和區(qū)塊鏈的跨境身份認證

內(nèi)地的組織機構(gòu)統(tǒng)一社會信用代碼和港澳地區(qū)的組織機構(gòu)編碼都具有唯一性，都能夠唯一標(biāo)識組織機構(gòu)的身份信息。根據(jù)基于標(biāo)識密碼（IBC）的身份認證，可以將組織機構(gòu)編碼作為主體身份信息的唯一標(biāo)識碼，構(gòu)建一種基于身份標(biāo)識密碼和聯(lián)盟區(qū)塊鏈的跨境身份認證體系[7]。在該體系中，密鑰生成中心可以是聯(lián)盟區(qū)塊鏈中的任一節(jié)點，主體A向聯(lián)盟鏈節(jié)點發(fā)出請求后，節(jié)點會確認信息并發(fā)放密鑰對給主體A，其中公鑰是主體A的身份信息和該節(jié)點的唯一標(biāo)識信息（即機構(gòu)編碼）的拼接信息，私鑰則是根據(jù)SM9標(biāo)識密碼算法計算生成，當(dāng)主體A向節(jié)點發(fā)送交互請求時，只需用私鑰簽名并附上公鑰、交互信息，節(jié)點就會對簽名的合法性進行驗證。主體和聯(lián)盟區(qū)塊鏈節(jié)點的交互過程如下。

Step1：申請主體通過發(fā)送身份標(biāo)識信息（機構(gòu)編碼）向聯(lián)盟區(qū)塊鏈節(jié)點請求密鑰；

Step2：區(qū)塊鏈節(jié)點審核主體身份信息后，將主體身份標(biāo)識信息和本節(jié)點的自身標(biāo)識信息（機構(gòu)編碼）拼接后形成公鑰，同時根據(jù)SM9標(biāo)識密碼算法計算得到私鑰，公鑰私鑰一同發(fā)送給申請主體；

Step3：申請主體獲得密鑰后，用私鑰進行簽名，隨后將交互信息、公鑰、簽名信息一并發(fā)送給區(qū)塊鏈節(jié)點；

Step 4：區(qū)塊鏈節(jié)點收到信息后對簽名和身份標(biāo)識進行驗證，身份驗證通過后接受申請主體的本次交互，完成對申請主體的身份認證。

在該認證過程中，區(qū)塊鏈節(jié)點對每一次交互的密鑰進行管理和配發(fā)，由于標(biāo)識信息的唯一性，決定了每一次交互的對象都是特定的，區(qū)塊鏈節(jié)點配發(fā)的密鑰只能對本節(jié)點進行訪問，節(jié)點對認證的申請主體身份有效性負責(zé)。

基于身份標(biāo)識和聯(lián)盟區(qū)塊鏈的粵港澳大灣區(qū)跨境身份認證模型如圖3所示。

其中，域代理服務(wù)器用于維護管理本地主體身份標(biāo)識信息（機構(gòu)編碼）并同步到聯(lián)盟鏈，在該模型中，廣東的主體請求香港主體進行認證，香港主體通過聯(lián)盟鏈獲得廣東主體的標(biāo)識信息后形成密鑰發(fā)送給廣東主體，并根據(jù)上述主體和聯(lián)盟區(qū)塊鏈節(jié)點的交互過程完成身份認證。

該模型在不需要任何數(shù)字證書的情況下就能對發(fā)起方的身份進行認證，即完成了對發(fā)起方的訪問控制，又解決了PKI體系證書管理難的問題。

4 結(jié) 語

本文從技術(shù)應(yīng)用層面提出了一種基于身份標(biāo)識和區(qū)塊鏈的粵港澳大灣區(qū)法人和其他組織跨境身份認證方案，通過組織機構(gòu)編碼唯一性的這個屬性特點，結(jié)合區(qū)塊鏈去中心化、可追溯、不可篡改等技術(shù)特點，以解決灣區(qū)三地主體跨境身份認證難等問題。通過本文提出的跨境身份認證方案，可以優(yōu)化解決傳統(tǒng)認證體系證書維護管理成本高、認證效率低等缺點，為實現(xiàn)灣區(qū)三地經(jīng)營主體自由便利往來提供技術(shù)支持。本文的認證方案是基于現(xiàn)有技術(shù)的基礎(chǔ)上提出來的，仍然需要進一步的深化研究，特別是對加密算法的優(yōu)化。同時，隨著相關(guān)技術(shù)的不斷迭代更新和新技術(shù)的不斷涌現(xiàn)，跨境身份認證的應(yīng)用研究將會更加成熟、全面和高效。

參考文獻

[1]陳賢明，高麗濤，覃震宇，等. 基于廣東組織機構(gòu)數(shù)字證書的網(wǎng)上辦事大廳身份識別技術(shù)研究[J]. 標(biāo)準(zhǔn)科學(xué)， 2015（2）：94-96.

[2]陳賢明，黃潤飛，黃燕玲. 粵港澳大灣區(qū)市場主體身份信息共享機制研究[J]. 中國標(biāo)準(zhǔn)化， 2021（18）：25-29.

[3]陳立全，李瀟，楊哲懿，等. 基于區(qū)塊鏈的高透明度PKI認證協(xié)議[J]. 網(wǎng)絡(luò)與信息安全學(xué)報， 2022（4）：1-11.

[4]黃逸翔，王亞威，陳文軒，等. 基于聯(lián)盟鏈的PKI跨域認證模型[J]. 計算機工程與設(shè)計， 2021（11）：3043-3051.

[5]姚英英，常曉林，甄平. 基于區(qū)塊鏈的去中心化身份認證及密鑰管理方案[J]. 網(wǎng)絡(luò)空間安全， 2019，10（6）：33-39.

[6]黃仁季，吳曉平，李洪成. 基于身份標(biāo)識加密的身份認證方案[J]. 網(wǎng)絡(luò)與信息安全學(xué)報， 2016，2（6）：00047-1-00047-6.

[7]邱煒偉，李偉，梁秀波，等. 一種基于身份標(biāo)識密碼的聯(lián)盟區(qū)塊鏈訪問控制方法[P]. CN201811636140.2，2019，5.