基于區塊鏈的數字身份發展現狀

崔久強 呂堯 王虎

摘 ? 要：數字身份是構建數字經濟時代信任體系的關鍵要素之一，一切電子政務、電子商務和公共服務都必須建立在真實有效的數字身份基礎之上。隨著移動互聯網應用的迅速滲透，用戶個人身份信息被大規模的采集、處理和“共享”。然而，在當前中心統籌式的身份管理模式下，中心機構安全和隱私保護能力的欠缺，導致用戶面臨著越來越多的身份信息泄露風險。近年來，用戶身份信息的隱私保護問題受到廣泛關注。區塊鏈技術憑借其去中心化、多方共識、公開透明、防篡改、可追溯等特征，正在發展成為構建未來數字經濟信任體系的關鍵技術之一。文章主要討論了數字身份管理的現狀和挑戰以及區塊鏈數字身份的發展，探索身份服務提供商的創新發展。

關鍵詞：數字身份;區塊鏈;隱私保護;分布式身份標識

中圖分類號： TP309 ? ? ? ? ?文獻標識碼：A

1 引言

當前，世界各國都把推進數字經濟作為實現創新發展的重要動能之一。現階段，我國正在大力推動實施國家大數據戰略，加快完善數字基礎設施建設，推進數據資源的整合和開放共享，以便更好地服務于我國經濟社會的發展，改善人民生活水平。

隨著云計算、大數據、人工智能、移動網絡等技術的快速發展和“互聯網+”政策的深入落地，互聯網應用迅速滲透，越來越多的人們通過移動終端在線辦理衣、食、住、行、娛、購、學等各類業務。在移動互聯網時代，一切互聯網活動都必須建立在真實有效的用戶身份基礎之上，個人身份信息作為開展各類電子政務、電子商務和社會公共服務等數字活動的基礎，被大規模的采集、處理和“共享”，網絡空間的“信任危機”也隨之而來[1]?；ヂ摼W企業的安全和隱私保護能力的欠缺，導致用戶身份信息被非法/超需求收集和買賣，個人隱私信息批量泄露，促使了網絡欺詐和黑色產業鏈的滋生[2，3]。

用戶身份信息的隱私保護等網絡可信身份管理已是大勢所趨。區塊鏈技術憑借其去中心化、多方共識、公開透明、防篡改、可追溯等特征，正在激活可信數字身份的創新發展，讓用戶對自己的身份信息擁有絕對的控制權和使用權[4]。

2 數字身份現狀和挑戰

2.1 概述

數字身份通常指對網絡實體的數字化刻畫，形成的數字信息（標識與其所綁定的屬性信息）可作為用戶在網絡上證明其身份（屬性）聲明真實性的憑證。通常來講，用戶所持有的數字身份在特定的應用服務中是唯一的、相應的，用戶在不同的應用服務中可使用不同的數字身份來唯一標識自己的身份[5]。

數字身份作為用戶接入互聯網應用的入口，在身份信息的安全性、可控性以及便攜性等需求的綜合作用下不斷演進，經歷了中心化身份、第三方身份提供商IDP（ID Provider）身份以及自主主權身份SSI（Self-sovereign Identity）三個階段。

（1）中心化身份。傳統互聯網應用服務的中心化，導致用戶身份的認證和管理等，均對單一的中心機構有很強的依賴性。通常，各應用所需的用戶身份屬性信息不盡相同，以及應用間的不互通，導致用戶需針對不同的應用服務多次提交身份屬性信息。“多應用多身份”不僅給用戶帶來了“密碼疼痛”，也導致用戶身份信息在網絡中的過度“共享”[6]。

（2）基于IDP的身份。針對中心化身份的痛點，IIW（Internet Identity Workshop）社區提出了基于IDP的解決方案。該方案通過對用戶進行跨平臺/機構的統一管理，使用戶使用少量的身份信息即可獲取跨系統、機構、地域的互聯網服務，提供了一定的便捷性，被大型互聯網企業廣泛采用。在基于IDP的身份中，用戶向單個/多個IDP提交個人信息進行注冊，當用戶發起網站/應用登錄請求時，由IDP向與之關聯的網站/應用提供用戶身份聲明。換句話說，用戶使用同一用戶名和密碼即可實現多個網站/應用的登錄，即單點登錄（Single Sign On，SSO），顯著提升了用戶體驗。

與此同時，業界也涌現出OpenID、SAML、OAuth、FIDO等一系列國際標準，來實現不同IDP身份認證系統之間的互聯互通和跨域訪問授權[7]。與中心化身份相比，用戶無需將個人身份信息“廣播”給所有應用，從一定程度上降低了用戶信息泄露的風險，但IDP自身的系統安全風險和隱私保護能力的欠缺，仍會導致用戶身份的泄露和濫用等問題。

（3）自主主權身份SSI。從本質上來講，基于IDP的身份是中心化的，用戶身份的使用權、控制權和管理權仍舊被單一/多個IDP機構所掌握。2012年2月，自主主權身份的概念被提出，通過使用基于密碼學的策略，讓用戶身份的管理權和使用權不再依賴于任何中心化的機構，而是由用戶自己保存其個人身份信息，并決定如何使用[8]。

2.2 需求與挑戰

一方面，隨著數字身份逐步發展成為重要的網絡戰略資源，《中華人民共和國網絡安全法》、全國人大常委會《關于加強網絡信息保護的決定》、公安部《信息安全等級保護管理辦法》、工業與信息化部《電信和互聯網用戶個人信息保護規定》、網信辦《移動互聯網一個用程序信息服務管理規定》、銀監會《網絡借貸信息中介機構業務活動管理暫行辦法》、人民銀行《關于推動移動金融技術創新健康發展的指導意見》等法律法規相繼頒布，對用戶真實身份等隱私信息的保護已成為法律法規監管的重點，身份隱私保護需求日益迫切。

另一方面，互聯網應用對用戶個人身份信息的大量采集、處理和“共享”，讓網絡用戶面臨著越來越多的信息泄露風險。京東12G用戶數據泄露、濟南20萬孩童信息被叫賣、國家電網APP泄露千萬用戶信息、12306訂票網站13萬余條用戶數據泄露、萬豪旗下酒店5億顧客信息遭泄露、陌陌被曝3000萬用戶賬號密碼泄露、大麥網600多萬用戶賬戶密碼泄露等，用戶信息泄露的事件頻發，導致網民對信息技術的信心持續削弱[2，6]。

3 區塊鏈與數字身份管理

3.1 區塊鏈技術和優勢

區塊鏈（Blockchain）被定義為是一種由多方共同維護，使用密碼學保證傳輸和訪問安全，能夠實現數據一致存儲、難以篡改、防止抵賴的記賬技術，也稱為分布式賬本技術（Distributed Ledger Technology）[9]。除了加密貨幣外，區塊鏈依托去中心化、公開透明、防篡改、可追溯等技術特點，能夠為各行業重塑信任機制，改變原有應用存在的運行規則痛點。針對數字身份管理，區塊鏈的非對稱加密、分布式存儲可為用戶的隱私和數據安全提供有效保障。

（1）去中心化。身份信息（摘要值）存儲在分布式賬本中，不再依賴單一的中心權威節點對身份進行認證和管理。

（2）不可篡改。可信時間戳、鏈式記賬規則、哈希加密算法、共識機制等技術保證了記錄的不可篡改。

（3）公開透明。任一節點均可通過公開的接口訪問區塊鏈上的所有數據信息。

（4）安全可靠。系統中的數據塊由眾多節點共同維護和校驗，任一節點無法修改其他節點的數據。

3.2 區塊鏈與數字身份

基于IDP的身份管理將用戶身份信息集中存儲在單一的數據中心，篡改和濫用用戶身份信息，以及信息泄露的弊端暴露無遺。如上一節討論，區塊鏈并非主要解決數據的存儲問題或是保密問題，而是解決“透明”的問題。因此，基于區塊鏈的數字身份，通常采用非對稱加密算法對用戶的身份屬性信息進行加密，并將哈希摘要值存儲在區塊鏈帳本中，供其他節點來驗證用戶的身份，而不直接將用戶的隱私數據存在區塊鏈上。根據有無第三方機構的參與，可將當前主流的區塊鏈數字身份解決方案劃分為兩類[10] 。

（1）去中心化可信身份。如圖1所示，與傳統數字身份機制一樣，可信第三方作為憑證簽發者對用戶的身份聲明進行驗證，并對驗證通過的身份聲明簽名，來提供權威的信用背書，保證用戶身份數據在上鏈前是可信的。不同的是，用戶身份憑證不再存儲在任何中心化機構的數據庫中，而是存儲在由所有參與節點共同維護的分布式帳本中，保證了用戶身份數據的完整性和安全性，有效地規避了中心化存儲方式帶來的身份信息泄露、盜用、篡改和欺詐等風險，同時解決鏈上真實鏈下虛假的問題。用戶作為憑證所有者有選擇地向憑證驗證者提供特定地身份聲明，驗證者通過對鏈上的憑證驗簽來驗證用戶身份聲明。

（2）自主主權身份。無需任何第三方機構參與，用戶身份信息由用戶自己保存，從根本上消除了身份竊取和泄露的可能性。利用非對稱加密等機制，用戶根據實際需要有選擇性的公開身份信息，甚至隱藏自己的身份。有效地保障了用戶身份的隱私安全，使用戶對自己的身份擁有絕對的使用權和控制權，提供一種新型的信任傳遞和數據交換框架。

3.3 去中心化數字身份 DID

針對數字身份的去中心化和自主主權身份，W3C（The World Wide Web Consortium）的憑證社區組主導研制了一套通過分布式身份標識（Decentralized Identifier，DID）來實現用戶身份自主管理的方案[11]。

DID是以區塊鏈技術的分布式賬本和DID協議為基礎構建的，DID協議主要包括去中心化身份標識符DID和身份憑證（聲明的集合）兩部分。

（1）去中心化標識符。DID本質上是一個全球唯一的地址標識符URL，指向寫有與用戶身份關聯的屬性信息的DID文檔。通常，一個用戶可擁有任意多個身份（用戶自主選擇使用哪些屬性信息來用于身份驗證），每個身份聲明對應一個唯一的DID。

（2）可驗證聲明。是由聲明發起人簽出的關于身份屬性信息的聲明，用戶屬性信息可以為姓名、年齡、郵件地址等。用戶（代理）將可驗證聲明提交給相關的應用（即聲明驗證人）來發起身份驗證流程。其中，聲明發起人可以是身份所有者，也可是其他身份背書方。

在DID系統中，用戶對自己的身份擁有絕對的控制權，用戶根據實際需要自主選擇使用哪些個人身份信息來進行身份驗證，并將身份信息的哈希值存儲在區塊鏈上，供其他人驗證。不僅規避了將身份信息集中存儲在第三方機構的數據庫中帶來的身份濫用風險，還在四個方面提供了保障。

1）隱私保護：身份聲明通常包含用戶身份屬性等私人信息，為了保護用戶隱私，僅將身份（聲明）的哈希值作為憑證存儲在區塊鏈上，哈希算法的不可逆性保證用戶身份（聲明）不被泄露。

2）不可篡改：用戶的身份標識符和相關的憑證經加密后存儲在區塊鏈上，鏈上所有節點參與記賬，任何用戶無法擅自篡改身份信息，也不可否認其身份聲明。

3）時間可信：可信時間戳、鏈式記賬規則等可保證用戶對其身份聲明的生成和修改等操作是在某個確定時刻發生的、自某時刻起失效的（撤銷）。

4）假名機制：DIDs由用戶自主生成、分配和管理，同一用戶的多個DIDs之間無任何關聯關系，防止攻擊者對用戶身份信息進行歸集。

在整個Web3.0圖景中，去中心化身份是非常重要的實踐。在Facebook用戶數據泄露事件的教訓下，大型社交媒體平臺試圖停止原本中心化、不透明的數據處理方式。目前，微軟、ArcBlock、uPort、lifeID 等企業或項目均已提交各自的DID協議方法。

BID（Blockchain Identity）方法被納入W3C憑證社區工作組（Credentials Community Group）分布式標識（DID）規范。微軟在2019年5月發布了身份覆蓋網絡（Identity Overlay Network，ION）去中心化身份（DID）網絡的早期預覽版。ION是在微軟比特幣網絡上搭建的去中心化數字身份基礎平臺，讓互聯網用戶通過專用公網來創建其去中心化的身份標識，支持用戶通過管理公鑰基礎設施（Public Key Infrastructure，PKI）來控制管理他們的個人數據與信息。與傳統的依賴于中心化機構的身份認證體系不同的是，ION網絡的公鑰基礎設施是去中心化的，用戶的公/私鑰對都掌握在用戶自己手中，而不再是中心化的管理機構。除用戶本人外，網絡中的任何實體都無法掌控用戶的身份信息。

IBM也布局了分布式數字身份相關項目，與Hyperledger共同發起的Indy開源項目，采用聯盟鏈來構建區塊鏈生態系統的數字身份工具，讓用戶安全和私密地交換和驗證身份信息。

4 結束語

一方面，全球已經進入數字經濟時代。根據IDC預計，到2021年，至少有50%的全球GDP將由數字化經濟貢獻?！吨袊鴶底纸洕l展白皮書（2017年）》中預測到2030年，中國數字經濟占GDP比重將超過50%，中國將全面步入數字經濟時代[12]，發展數字身份系統已是必然。與此同時，公眾對于隱私保護的關注度越來越高，世界各國的隱私保護監管力度也在持續增強，區塊鏈技術的發展，無疑會促使部分國家和地區停止原來對用戶身份信息中心化的管理和處理方式。分布式的管理機制將從一定程度上省去許多繁瑣的取證、求證和業務辦理的工作，同時也為用戶提供更方便、快捷、多元化的網絡身份認證方式。

另一方面，自主主權身份的實現，不僅是技術上的演進，也促進了網絡可信身份管理的變革。用戶在對自己身份獲得更多控制權的同時，也帶來了一些新的問題。比如，用戶應該如何選擇用于在區塊鏈上證明其身份的屬性信息，以最大程度地降低身份信息泄露的風險和可能性。目前，已有一些學者對此展開了研究[13]，為用戶如何更好的選擇用于證明身份的文件提供了一些建議。此外，還包括數據真實性的問題。區塊鏈保障了鏈上數據的真實完整，但數據本身的真實性以及數據的上鏈的傳輸過程仍存在一定的安全風險。

區塊鏈技術的誕生給用戶身份隱私保護提供了一個解決方案，雖然區塊鏈與數字身份的結合仍存在一定的阻礙和限制，如何實施也還處于探索階段。但隨著區塊鏈數字身份解決方案的不斷細化，去中心化數字身份必將在數字經濟時代發揮重要作用。

參考文獻

[1] 張博卿.我國網絡可信身份服務發展現狀、問題和對策研究[J].網絡空間安全，2018，9（11）：1-5.

[2] 荊繼武.網絡可信身份管理的現狀與趨勢[J].信息安全研究，2016，2（07）：666-668

[3] 2018 End of Year Data Breach Report[Z].Identity Theft Resource Center， 2018.

[4] 姚前，朱燁東.區塊鏈藍皮書： 中國區塊鏈發展報告（2019） 第三版[Z].北京：社會科學文獻出版社（中國）， 2019.

[5] Grassi P. A.， Garcia M. E. and Fenton J. L. DRAFT NIST Special Publication 800-63-3 Digital Identity Guidelines[S].Gaithersburg： National Institute of Standards and Technology， 2017.

[6] 江偉玉，高能，李敏.網絡可信身份管理戰略和方法研究[J].信息安全研究， 2017， 3（09）： 803-809.

[7] 電子認證2.0 白皮書 （2018）[Z].北京：全國信息安全標準化技術委員會， 2018.

[8] Tobin A. and Reed D. The Inevitable Rise of Self-sovereign identity[Z].The Sovrin Foundation 29， 2016.

[9] 區塊鏈白皮書 （2019 年）[Z].北京： 中國信息通信研究院， 2019.

[10] ?Dunphy P. and Petitcolas F. A. P.， A First Look at Identity Management Schemes on the Blockchain. IEEE Security Privacy， 16， 4 July 2018， 20–29.

[11] Reed D.， Sporny M.， Longley D.， Allen C.， Sabadello M. and Grant R. Decentralized Identifiers （DIDs） v1.0[Z].World Wide Web Consortium （W3C）， 2019.

[12] 姜紅德.數字時代，需要深度把握[J].中國信息化， 2018（06）：5.

[13] Rana R.， Zaeem R. N. and Barber K. S. An Assessment of Blockchain Identity Solutions： Minimizing Risk and Liability of Authentication[C].2019 IEEE/WIC/ACM International Conference on Web Intelligence （WI）， Thessaloniki， Greece， 2019， pp. 26-33.