《中关村区块链产业联盟:2023年区块链+数字标识技术与应用研究报告(38页).pdf》由会员分享,可在线阅读,更多相关《中关村区块链产业联盟:2023年区块链+数字标识技术与应用研究报告(38页).pdf(38页珍藏版)》请在三个皮匠报告上搜索。
1、区块链区块链+数字标识技术与数字标识技术与应用研究报告应用研究报告(2023 年)年)中关村区块链产业联盟中关村区块链产业联盟2022023 3年年7 7月月版版权权声声明明本白皮书、研究报告版权属于中关村区块链产业联盟本白皮书、研究报告版权属于中关村区块链产业联盟,并受法律保护并受法律保护。转载转载、摘编或利用其它方式使用本白皮书文摘编或利用其它方式使用本白皮书文字或者观点的,应注明字或者观点的,应注明“来源:中关村区块链产业联盟来源:中关村区块链产业联盟”。违反上述声明者,本单位将追究其相关法律责任。违反上述声明者,本单位将追究其相关法律责任。编制说明编制说明组组 织织 单单 位:位:中关
2、村区块链产业联盟牵头编制单位牵头编制单位:(排名不分先后)中国信息通信研究院、北京邮电大学、中国联合网络通信集团有限公司;参与编制单位参与编制单位:(排名不分先后)北京工业大学;南京网络通讯与安全紫金山实验室;杭州溪塔科技有限公司;西安纸贵互联网科技有限公司;编写组主要成员编写组主要成员:金键、刘阳、池程、杨兆鑫、张钰雯、霍如、倪东、王晓亮、郑炯、陈昌。前前言言区块链技术的集成应用在新的技术革新和产业变革中起着重要作用,全球主要国家都在加快布局区块链技术发展。以习近平同志为核心的党中央高度重视区块链发展,多次强调要把区块链作为核心技术自主创新的重要突破口,明确主攻方向,加大投入力度,着力攻克一
3、批关键核心技术,加快推动区块链技术和产业创新发展。随着以“数字新基建、数据新要素、虚拟新经济”为核心特征的数字经济发展的全面来临,全球各国和产业界都高度重视区块链基础设施推动数字经济发展的重要动能,欧盟区块链基础设施 EBSI、印度国家区块链框架 NBF 等国家级重大工程先后启动建设。“星火链网”是我国为持续推进产业数字化转型,利用区块链自主创新能力而谋划布局的数字经济“新型基础设施”,以代表产业数字化转型的工业互联网为主要应用场景,以网络标识这一数字化关键资源为突破口,推动区块链的应用发展,实现新基建的引擎作用。为了进一步凝聚产业共识,推动区块链基础设施规模化发展,启动了“星火链网”系列报告
4、编制工作,希望能够有助于产业界和学术界凝聚共识,更好地发挥区块链作为基础设施的作用,为技术和产业变革提供创新动力。本报告聚焦“区块链+数字标识”方向,对“区块链+数字标识”的基本概念与内涵进行界定,通过梳理“区块链+数字标识”的关键技术与应用实践,分析“区块链+数字标识”核心挑战和发展路径,针对存在的问题提出切实可行的实施路径与政策建议,推动我国区块链基础设施的规模化部署与应用落地。目目录录一、“区块链+数字标识”整体概述.1二、“区块链+数字标识”目标问题.4挑战 1:标识的多源异构性导致数据碎片化,制约数据流动性.5挑战 2:数字空间缺乏可信认证与隐私保护,影响系统可靠性.6挑战 3:标识
5、管理机制对中心机构高度依赖,缺少整体架构支撑.6三、“区块链+数字标识”整体框架与关键技术.7(一)整体架构.7(二)分布式数字标识.8(三)可验证凭证.14(四)分布式公钥基础设施.19四、“区块链+数字标识”实践与应用.21(一)中国信通院:去中心化身份标识 BID 服务体系.21(二)纸贵:基于 DID 构建农产品溯源体系.23(三)溪塔:数据要素确权流转平台.25(四)趣链:基于 DID 的跨链路由机制.27五、“区块链+数字标识”未来展望.29(一)强化技术研究,形成互联互通产业生态.29(二)加速标准出台,推动新型基础设施建设.30(三)推进应用试点,打造安全可信数据空间.30(四
6、)完善法律建设,构建标识安全治理体系.31图图 目目 录录图 1“区块链+数字标识”整体概述.2图 2 分布式数字标识整体架构.8图 3 分布式数字标识核心要素关系图.9图 4 DID 标识符格式.10图 5 DID 文档的数据格式.13图 6 可验证凭证信任传递过程图.15图 7 可验证凭证结构.16图 8 可验证表达数据结构.18图 9 基于区块链的 DPKI 建立 DID 安全通信实例.20图 10 星火链网组网结构.22图 11“天水链苹”溯源系统架构.24图 12 溪塔 RivTrust 供应链协同体系架构.26图 13 趣链科技跨链路由机制.28区块链+数字标识技术与应用研究报告(
7、2023 年)1一、“区块链+数字标识”整体概述标识(Identifier)是指能够识别设备、人员、产品、地址及算法应用等实体或对象的身份符号,其表现形式是一系列的数字、字符或符号及其他形式的数据。标识在生产和生活中无处不在,在现实世界中,人们很容易用各种方法来标记和识别一个对象,例如身份证、颜色形状、穿着打扮等;在数字世界中,标识仍然是一切网络主体与资源互联互通的基础,例如常见的网站域名,物联网设备编号等。与标识密切相关的另一个概念是身份(Identity),国际电信联盟(International Telecommunication Union,ITU)将身份定义为一个或多个属性的形式表示
8、的实体,并允许实体在上下文中得到充分的区分。换言之,对某个实体来说,身份是刻画其属性信息的集合,而标识是用于识别某个具体属性信息的数字化表示,例如某人的姓名、家庭住址是其身份属性,而身份证号则是用于识别其身份的数字化标识。随着数字经济的快速发展加速了物理世界与数字世界之间的融合,数字标识作为连接海量数字对象和丰富应用的有机桥梁,已然成为实现物理世界与数字空间数据互通的重要基础资源、设施与服务,数字标识体系的构建也将变得愈发重要。当前,后 Web2.0 时代的数据交互正面临着严重的信任危机,现有数字标识体系无法解决这些问题,例如标识数据内容易被篡改、不同标识协议间的识别认证、用户无法按照需要披露
9、和使用自身的信息及数据、缺乏可验证的身份体系等等。因此,数字标识的去中心化管理、标识编码规则的兼容性、标识主体数据授权及加密可验证等逐渐成为数字标识体系发展的新需求。区块链+数字标识技术与应用研究报告(2023 年)2区块链作为近年来快速发展的新兴信息技术之一,通过分布式存储、共识协议、非对称加密及数字签名等机制,能够有效解决多方主体交互之间的信任问题,其去中心化、多方参与、数据难以篡改的特点与数字标识体系的未来发展需求高度契合。“区块链+数字标识”也成为下一代网络基础设施的重要发展方向,并逐渐形成了三类解决方案:链下身份认证类、链上身份聚合类、链上行为凭证类,其整体架构如图 1 所示。基于“
10、区块链+数字标识”打造的新型分布式数字标识(Decentralized Identifier,DID)具备可验证、隐私安全、全局唯一及永久性等优点,能够有效为数据确权、隐私保护、可信共享交换及价值流通提供技术支撑。来源:根据网上公开资料整理图 1“区块链+数字标识”整体概述链下用户认证类标识主要指将链下的用户实体身份信息与链上地址绑定,通过实人认证获得数字身份实现“唯一真人身份”,以此向应用方证明自己身份标识的独特,而应用也无需收集可识别个人身份的信息或与中心化组织合作,保证了用户隐私不受到侵犯。此类标识区块链+数字标识技术与应用研究报告(2023 年)3更侧重于涉及链下身份认证的应用场景,B
11、rightID 是链下身份认证类标识的典型产品。BrightID 是一种基于以太坊生态的数字身份验证系统,用户需要在 BrightID App 提交实名头像和用户名以申请 BrightID标识,并参加链下视频会议,通过人脸识别技术,验证官对 BrightID标识申请者的身份真实性进行确认。此外,由于 BrightID 的本质是一个去中心化的匿名身份网络,为保证用户身份的唯一性,在用户在平台内的交互过程中,将为其创建和分析社交图谱以完成身份识别。目前,BrightID App 已上线安卓和 iOS 平台,用户标识注册量达到 6 万5 千个,已集成 15 个去中心化应用。链上数字身份类标识主要指实
12、现网络实体在链上身份信息的聚合管理,此类标识方案不关注实体线下的情况,更多的是通过数字身份标识为该实体在网络空间创造接入 Web3 世界的入口。与链下身份认证类标识不同,此类标识方案默认 Web3 世界应用的服务对象为数字化实体,例如用户、数字资产、数据资源等,而 Web3 将为不同数字实体构建各类数字身份。以太坊域名服务系统(Ethereum NameService,ENS)是此类标识的典型产品,其本质也属于一种去中心化标识符。一方面,ENS 以某个域名标识的属性集合形成了该域名的数字身份,为以太坊区块链的用户、资产构建去中心化、开放和可扩展的命名系统;另一方面,与传统域名标识解析类似,通过
13、解析 ENS域名标识可以映射到数字钱包、数字资产的链上地址,以便各类去中心化应用对相关内容的调用与获取。目前,ENS 用户规模达到 55 万,累计创建超过 235 万个 ENS 域名,并与超过 300 个应用集成。区块链+数字标识技术与应用研究报告(2023 年)4链上行为凭证类标识主要指是对用户的身份状态做出动态的更新,其核心逻辑是,引导用户参与某些合作方要求的活动、行为,并对其颁发链上的凭证,此类凭证的效益与物理世界中的各类资格证类似,能够在某些特定场景发挥特定作用。链上行为凭证类标识的典型产品是 Project Galaxy,旨在构建支持开放和协作的凭证数据网络,帮助Web3 开发人员利
14、用凭证数据来构建更好的产品和社区。作为一个开放的凭证数据网络,它以发放凭证的方式为每个地址打上标签,从而实现明确、细分的用户画像标识,为用户与应用方建立精准连接。目前,Project Galaxy 已为 300 多万用户发行了 500 多个数字凭证,120个项目方和组织利用 Galaxy 的数字凭证数据和非同质化通证(Non-Fungible Token,NFT)基础设施发起了 500 多场活动。与传统标识相比,“区块链+数字标识”解决的是异构多源的物理主体基于分布式网络的数字化映射,实现不同物理主体之间在数字空间的互联互通,是由传统闭环架构向开放共享体系的升级;与互联网域名解析相比,“区块链
15、+数字标识”解决的是网络用户及资源主体基于分布式共识的可信交互,实现数据信息与价值的传递,是由信息赋能向价值流转的提升;与工业互联网标识相比,“区块链+数字标识”解决的是身份信息及属性数据基于非对称加密的数据确权,实现标识主体对身份数据的所有权验证,是由数据互通向数字互信的演进。二、“区块链+数字标识”目标问题截至 2022 年,全球网络终端的活跃连接数量已达到 144 亿,全球网站数量突破 10 亿大关,并且还在急速增长当中。万物互联的网区块链+数字标识技术与应用研究报告(2023 年)5络架构推动了计算设备边缘化的发展趋势,而在此架构下实现信息交互的前提在于为每个接入设备(用户、终端、物品
16、等)赋予唯一的标识,以此实现在海量数据信息传递的过程中设备间精准的数据传输。然而,当前标识数据呈现多源异构特性,标识体系存在管理中心化、兼容性不足、标识架构脆弱及信任缺失等问题,引发了标识体系的安全风险,严重影响并制约了标识服务的可靠性及标识数据的流动性。挑战挑战 1:标识的多源异构性导致数据碎片化,制约数据流动性:标识的多源异构性导致数据碎片化,制约数据流动性数字经济的发展驱动了网络主体数量的激增,网络数字标识规模达到数以千亿计,并发解析请求可达千万量级,且标识数据更加异构多元化,应用场景更为复杂,现有标识体系难以满足数字经济时代对标识在流通、安全、互操作性等方面的需求。一是标识解析协议兼容
17、性不足,标识主体间难以交互。各编码体系分别由多个组织或机构独立分配和管理,现有标识解析系统不能充分兼容其他标识编码,不同编码体系的主体之间难以相互识别交互,跨体系之间的数据互通存在困难。例如,互联网采用 IP 地址编码标识网络用户,物联网采用 EPC、uCode 等编码标识物品,工业互联网采用 OID、Handle 等编码标识工业设备及对象。二是标识解析系统各自为战,数据要素难以流通。受限于标识编码体系的彼此孤立,标识解析系统之间在接入方式、数据格式、通信协议等方面各不相同,导致标识在流通过程中的各环节之间存在信息同步成本过高、数据格式异构等问题。例如在产品溯源应用中,由于各环节之间标识解析系
18、统数据格式的不同,可能导致产品溯源查询速度缓慢及查询客户端展示信息内容凌乱等问题。区块链+数字标识技术与应用研究报告(2023 年)6挑战挑战 2:数字空间缺乏可信认证与隐私保护,影响系统可靠性:数字空间缺乏可信认证与隐私保护,影响系统可靠性数字空间信任是数字空间中人、机、物基于数字技术建立的数字身份识别的双向交互的新型信任关系,是可信数据流通的必然要求。当前,可信认证及隐私保护机制的缺失严重影响了数字空间的可靠性与安全性。一是数字空间缺乏可信来源。物理实体通过数字标识与网络设备相连,由于传统互联网架构下身份层的缺失,依赖于中心化机构的身份认证难以保证标识数据的真实性,可信来源缺失导致主体间缺
19、乏信任。二是数字信任互联互通的基础设施建设有待完备。数字信任基础设施尚处于初期,由于未构建完整的网络互连框架,数字标识系统无法互联互通,数字信任难以确保数字交互关系的准确性、稳定性和便捷性。三是数字空间缺乏有效的数据隐私保护方法。标识数据中携带大量敏感隐私信息,数据隐私保护方法的确实将导致标识主体在数字空间交互行为的主动性下降。随着网络的互联互通,海量标识数据在数据的采集、传输、存储和使用等生命周期流转的完整性及隐私性,需要得到有效的保护和管理。挑战挑战 3:标识管理机制对中心机构高度依赖,缺少整体架构支撑:标识管理机制对中心机构高度依赖,缺少整体架构支撑当前,标识普遍采用中心化的管理模式,其
20、中标识解析体系广泛采用基于 DNS 的层级式解析架构,标识数据的存储及使用通常由各中心化机构或平台执行。在万物互联的网络发展趋势下,沿用中心化的标识管理模式会产生诸多数据安全问题。一是标识解析服务体系中心化,潜在单点故障问题,当 DNS 分层解析架构中的某一层节点出现问题时,就会对整个解析系统的安全性产生一定程度威胁,此外若区块链+数字标识技术与应用研究报告(2023 年)7标识管理系统的中心节点崩溃或遭到攻击,则会导致整个标识服务体系的瘫痪;二是标识管理机制中心化,监管缺乏公平性,由于标识数据在全生命周期内的流转与使用均由中心机构执行,因此,标识数据在各环节的监管只能由该中心机构完成,而中心
21、化监管机制缺乏公平性,无法应对中心机构的恶意行为;三是标识数据集中存储,数据主权被垄断,标识主体无法按照自身意愿选择披露或是使用标识的信息及数据,平台机构对数据主权垄断导致了数据滥用及隐私泄露的风险。三、“区块链+数字标识”整体框架与关键技术数字标识是实现数字空间自由链接的基础,针对现有数字标识系统暴露出的数字空间信任缺失、管理机制中心化等问题,基于“区块链+数字标识”构建的分布式数字标识体系采用数字签名保证标识的安全认证与可信流转,通过分布式共识机制实现标识数据的安全存储与难以篡改,借助分布式账本构建去中心化标识密钥管理基础设施,有望构建安全、开放、合作的可信网络空间。(一)整体架构(一)整
22、体架构相比传统的中心化的数字标识体系,“区块链+数字标识”的优势在于:去中心化:基于区块链,避免了身份数据被单一的中心化权威机构所控制。身份自主可控:基于分布式公钥基础设施(DecentralizedPublic Key Infrastructure,DPKI),每个用户的身份不是由可信第三方控制,而是由其所有者控制,个人能自主管理自己的身份。可信的数据交换:身份相关数据锚定在区块链上,认证的过程不需要依赖于提供身份的应用方。区块链+数字标识技术与应用研究报告(2023 年)8“区块链+数字标识”体系的整体架构如图 2 所示,包含以下组件:分布式标识、可验证凭证(Verifiable Cred
23、ential,VC)及可验证数据注册表。分布式标识是一种去中心化可验证数字标识符,用来代表人、机、物等物理实体或虚拟实体的数字身份,不需要中央注册机构即可实现全球唯一性。可验证凭证是发证方使用自己的分布式标识给目标用户标识的某些属性做背书而签发的描述性凭证,提供一种规范来描述实体所具有的某些属性,实现基于证据的信任传递。分布式公钥基础设施采用区块链作为底层支撑技术,通过加密算法来保护数据的方式构建分布式、受加密保护的数据库,为分布式标识公钥、分布式标识元数据文档的存储及属性凭证的验证提供可信来源。来源:中国信息通信研究院图 2 分布式数字标识整体架构(二)(二)分布式数字标识分布式数字标识20
24、19 年 11 月 7 日,W3C 分布式标识符工作组发布 DID 标识符:核心数据模型和语法规范的首个公开工作草案(First Public WorkingDraft),并正式规定了分布式数字标识的标准规范。区块链+数字标识技术与应用研究报告(2023 年)9DID 核心要素及交互关系如图 3 所示,包括 DID 文档、DID 标识符、DID 主体、DID 控制器。DID 文档用于描述主体的相关信息,通常包括基本身份情况及个人属性等,并将上述信息存储至元数据中。DID 标识符用于指引上述 DID 主体信息,通过 DID 标识解析器,可将 DID 标识符解析为 DID 文档。DID 主体表示
25、DID 标识所引用的具体物理实体或虚拟实体,DID 控制器表示实际控制 DID 标识及其 DID文档的实体。大部分情况下,DID 控制器与 DID 主体相同,但在部分情况下也可以代指不同的实体(例如,当父母控制一个对其孩子进行标识的 DID 时,主体是孩子,但控制器是父母)。来源:根据网上公开资料整理图 3 分布式数字标识核心要素关系图分布式标识符具备以下 4 个特点:永久性,无论身份所有者变更、使用不同的服务提供商或使用不同的设备,标识都必须能够永不更改;可解析性,标识不仅需要能够检索身份所有者的当前公钥,还需要能够通过解析当前 DID 标识符从而查找发现 DID 文档;可加密验证,区块链+
26、数字标识技术与应用研究报告(2023 年)10身份持有者需要能够使用加密技术证明对该标识符的控制权;去中心化,标识的验证注册不依赖中央认证机构,并能够通过使用分布式网络如区块链、分布式账本等避免单点故障。1.分布式标识编码规则DID 标识符是一个特定格式的字符串,用来标识一个实体的数字身份,这里的实体可以是人、机、物。根据 W3C 技术标准,DID 采用三段式编码,如图 4 所示,其中前缀“did”是固定的,表示这个字符串是一个 did 标识字符串。中间的“example”为 DID 方法,用来 表 示 这 个 DID 标 识 的 定 义 与 操 作 方 案。最 后 一 部 分 为method
27、-specific-id 表明了这个标识在该 DID 方法下的唯一标识字符串。来源:W3C 万维网联盟 DID 工作组图 4 DID 标识符格式2.分布式标识符的生成与传统基于中心化注册机构或者 PKI 的标识符(例如域名、URL、X.500 DN 证书等)与公钥分离并绑定的方式不同,DID 标识符基于DID 控制器的公钥生成标识符,即 DID 标识符与一组公钥/私钥对相关联,私钥的控制者通过这组公/私钥的对应关系证明它们也是 DID标识的控制器。DID 标识的生成方法主要包括两种:一是基于区块链区块链+数字标识技术与应用研究报告(2023 年)11或分布式账本的交易方式生成标识,控制器使用公
28、钥/私钥组合与区块链、分布式账本或其他算法控制的系统进行交易,以生成交易地址(例如比特币或以太坊地址),并以此交易地址作为 DID 标识符,以此使其具备全局唯一性,并可证明该标识符由控制器控制。二是基于自认证方的方式生成标识,DID 控制器对公钥及其相关的元数据进行加密(例如单向哈希函数)产生一个全局唯一值,根据加密算法的定义,仅 DID 控制器可以证明对该值的控制权。上述两种方法之间的显著区别在于它们是否需要外部系统,基于区块链交易地址的方式需要外部系统,如区块链、分布式账本、分布式文件系统等,其本质在于通过分布式系统取代了传统 PKI 中人工运行的资格认证方法,其优点在于采用交易地址的方法
29、更安全、更加去中心化,且成本也大大降低。自认证标识符的优点是不需要任何外部系统,任何人都可以在毫秒内使用加密技术对其进行验证,其运行成本最低且注册方式更加分散。3.分布式标识的文档规范如前文所述,每一个 DID 标识都会对应一个 DID 文档用于存储关于 DID 主体的元数据,其设计的目的是用于数字身份应用程序或服务,如数字钱包、代理或加密数据存储,所有这些应用程序或服务都需使用 DID 作为基本构件。通常,DID 文档采用标准化数据结构,并以 JSON 字符串的结构化格式以实现机器可读性。DID 文档可以包含关于 DID 主体的任何信息,甚至个人属性,如姓名或电子邮件地址。然而,在实际应用中
30、,由于隐私原因,通常仅在 DID 文档包含区块链+数字标识技术与应用研究报告(2023 年)12最少的机器可读元数据,以能实现与 DID 主体的可信交互。典型 DID 文档的实例如图 5 所示,第一行是 JSON-LD 上下文语句,也是 JSON-LD 中需要添加的格式,主体部分主要包括以下内容:主体 DID:表示 DID 标识符本身,也就是 DID 文档所描述的该DID,由于 DID 的全局唯一特性,DID 文档中只能有一个 DID。身份验证:身份验证的过程是 DID 主题通过加密方式来证明它们与 DID 相关联的过程。控制器:授权表示着其他实体代表 DID 主题执行操作。公钥:公钥用于数字
31、签名及其他加密操作,这些操作是实现标识身份验证以及与服务端点建立安全通信等目的的基础。如果 DID 文档中不存在公钥,则必须假定密钥已被撤销或无效,同时必须包含或引用密钥的撤销信息。服务端点:服务端点可以表示有关主体的任何类型的服务,包括用于进一步发现、身份验证、授权或交互的去中心化身份管理服务,案例中为用于交换可验证凭证的服务端点。来源:中国信息通信研究院区块链+数字标识技术与应用研究报告(2023 年)13图 5 DID 文档的数据格式DID 文档中所有内容均为可选项,其中最重要的为公钥信息,是进行 VC 和 VP 验证的基础。一般 DID 标识符作为 Key,DID 文档作为 Value
32、 存储到区块链中,利用区块链不可篡改、共享数据访问的特点,可以实现验证标识身份时能快速访问获取可信数据。4.分布式标识方法:CRUD 操作由于 DID 不是在单个类型数据库或网络中创建和维护,因此既没有权威的中央注册系统,也没有像 DNS 那种联合注册中心的层级结构可供写入和读取所有 DID。在此情况下,需要特定的方法定义如何在特定的区块链或其他分布式系统中实现创建、管理 DID 标识及解析 DID 文档等相同的基本功能。当前,W3C 的 DID 工作组维护的DID 规范注册中心已经注册了 80 多个 DID 方法,各支持相同的基本功能,但实现这些功能的方式有所不同,每个 DID 方法都需要有
33、自己的技术规范。可以在 DID 方法中执行的基本操作简称“CURD”:创建(Create)、读取(Read)、更新(Update)及停用(Deactivate)。(1)创建:规范如何生成 DID 标识符及其关联的 DID 文档。部分 DID 方法可能直接通过密钥对来生成,也可能通过区块链上的交易或智能合约的地址来生成 DID 标识符。(2)读取:规范如何通过 DID 检索关联到 DID 文档。通常包括三类方法,一是将 DID 文档直接存储在区块链上;二是通过 DID 解析器,根据区块链记录中的属性来动态构建 DID 文档;三是在区块链上存储指向 DID 文档的指针,而对应的 DID 文档存储在
34、 IPFS 等其区块链+数字标识技术与应用研究报告(2023 年)14他去中心化存储网络中。(3)更新:规范了如何更改 DID 文档的内容,通常包括 DID 文档中有关DID 控制者密钥对及相关主体属性的更新,实际上由于DID文档更新权限的验证只能在目标区块链中执行,因此 DID 方法规范必须准确定义如何对一切更新操作进行身份验证和授权,(4)停用:规范了如何停用 DID 并使其不再被使用,由于区块链上的存储数据具有不可篡改性,因此从传统的数据库意义上讲,它们永远都无法被“删除”,可以从密码学意义上停用它们。例如通过将 DID 文档中的公钥内容清除可以代表其被停用并不再更新。由于上述DID 方
35、法的设计可能完全不同,因此很难对这四个DID操作进行一般性的说明。例如,有些 DID 方法基于区块链或其他分布式账本。在这种情况下,创建或更新 DID 通常涉及将交易写入账本。而有些 DID 方法不使用区块链,而是以其他方式实现这四个 DID操作,则其存储和检索相关 DID 文档的位置与方法也有所不同。(三)可验证凭证(三)可验证凭证1.可验证凭证的系统构成DID 标识信任传递过程由三类角色组成,分别为持证方用户,发证方和验证方。持证方(Holder):为各类可验证凭证的申请者与持有者,这里用户不限于人,可为任意想要获得发证方颁发证书(凭证)的实体。发证方(Issuer):发证方指具有可验证凭
36、证颁发资格的机构。验证方(Verifier):验证方也同为应用方,指具有用户可验证凭证验证资格的实体。如用人单位要求应聘者出示毕业证书,用人单位为验区块链+数字标识技术与应用研究报告(2023 年)15证方,应聘者为持证方,毕业证书的颁发者为发证方。持证方、发证方和验证方在获得发证方颁发的证书之前均需要拥有自己的 DID。首先,信任传递过程中各角色需申请一个 DID 标识符,同时会生成一个 DID 文档。DID 标识符和 DID 文档上链到区块链存证,一旦上链完成,所有人都能够查询到该角色的 DID 标识符和文档。可验证凭证信任传递过程如图 6 所示,用户在填写必要的申请信息后,向发证方发起可
37、验证凭证请。发证方根据用户的信息以及用户提交的 DID 进行审核,满足条件则为用户生成 VC。该 VC 使用发证方的私钥签名。之后将其传给用户,用户将该内容存储到本地。一个用户可以拥有多个发证方颁发的 VC。如一个大学毕业生同时拥有公安局颁发的身份证与学校颁发的学位证等。用户在必要时选择 VC 交给应用方,如果该 VC 存在隐私内容,则在用户侧生成 VP,将该 VP传递给应用方。应用方收到 VC 或 VP 后,去链上查询发证方的公钥进行 VC 或 VP 验证,并向用户返回验证结果,流程结束。来源:中国信息通信研究院图 6 可验证凭证信任传递过程图区块链+数字标识技术与应用研究报告(2023 年
38、)162.可验证凭证的数据模型可验证凭证的主要构成模块如图 7 所示,包含声明、VC 元数据、证明三项内容。同时,VC 也采用 JSON 字符串作为标准数据格式。VC 元数据,主要就包括发行人、发行日期、证书标识、证书类型等信息。声明(证书主体),包括一个或者多个关于主体的说明。证明,通常包括发证方的数字签名以保证本 VC 能够被验证,并防止 VC 内容被篡改以及验证 VC 的颁发者。DID 持有者可以通过可验证凭证,向其他实体证明自己的某些属性是可信的。同时,结合数字签名和零知识证明等密码学技术,可以使得声明更加安全可信,并进一步保障用户隐私不被侵犯。来源:中国信息通信研究院图 7 可验证凭
39、证结构区块链+数字标识技术与应用研究报告(2023 年)17(1)VC 元数据Type 类型属性包含 URI 列表,用于表明 VC 所属类型,验证方可以阅读类型列表,并快速确定他们是否能够识别处理这个 VC。如果 VC 是验证方无法识别的类型,验证方可以立即拒绝;id 属性是由发证方创建的此 VC 的唯一标识符,通常由 URI 表示,从而允许任何实体明确地引用此 VC;issuer 发证方属性是发证方的标识符,可以指向完整描述发证方的文档。(2)VC 声明(凭证主体)凭证主体包含发证方对主体所做的声明,通常采用自定义的方式,由主体的 ID 和发证方声明的关于主体的一组属性组成。此外,选择性披露
40、是 VC 支持的隐私功能。通常采用包含绝对最少的属性声明或者方法对声明进行保护,发证方可以发行一组原子 VC,而不是发行包含多个属性的复杂 VC。例如,完整驾驶执照 VC 包含以下四个属性:姓名、地址、出生日期和车辆类别,而基于选择性披露的情况下包括四个原子 VC,每个 VC 包含一个属性和一个链接 ID(将全部属性链接在一起),持证方可以有选择地披露驾驶执照上的个人属性。(3)证明部分可验证凭证需要通过签名保证该证书可被验证,以此证明发证方发行了此凭证,且自发行以来未被篡改。每个 VC 必须包含证明属性,通常可选基本属性包括:issuance Date 发证日期,表示在此时间后VC 有效,该
41、日期不一定是 VC 的实际发行日期,而是 VC 实际生效日期;expiration Date 有效期,表示在此时间之后 VC 失效;credential区块链+数字标识技术与应用研究报告(2023 年)18Status 凭证状态,表示向验证方提供 VC 当前状态的详细信息,包括自发布日期以来,它是否已被撤销、暂停、取代或以其他方式更改。3.可验证表达及可验证凭证的组合特性(1)可验证表达可验证表达(Verifiable Presentation,VP)是 VC 持有者向验证者表明自己身份的数据,通常情况下,直接出示 VC 全文即可,但是在某些情况下,出于隐私保护的需要,并不需要出示完整的 VC
42、 内容,只希望选择性披露某些属性,或者不披露任何属性,只需要证明某个断言即可,该断言即为 VP。例如,证件类的 VC 可以用于进入某些场所的登记审核,但是证件 VC 通常还包含了民族、住址等信息,为保证用户数据隐私性,用户可以在 VP 中选择性地披露用于登记审核的身份证号码和姓名信息,其他信息无需不披露。(2)可验证表达的数据格式如图 8 所示,VP 包含 VP 元数据、VC 列表、证明三项内容。来源:中国信息通信研究院图 8 可验证表达数据结构区块链+数字标识技术与应用研究报告(2023 年)19VP 元数据,主要包含了版本,JSON 对象的类型等信息;VC 列表,要对外展示的 VC 的内容
43、,如果是选择性披露或者隐私保护的情形,可能不包含任何 VC;证明,主要就是持有者对本 VP 签名信息。(3)可验证凭证的组合特性VP 是持证方可以将几个 VC 组合起来发送给验证方的方式,与VC 非常相似,VP 同样包含关于表征的元数据以及持证方签名的证明。然而,现在的内容是一组 VC 而不是一组声明。VC 和 VP 之间的一个显著区别是 VC 缺少发证方属性。如果发证方属性存在,它将包含持证方的 ID,事实上,规范的草案确实包含了这一点。当发证方属性存在时,如果 VP 发证方的 ID 等于证书主体的 ID,验证方很容易确定持证方是被封装的 VC 主体。VP 和VC 之间的另一个区别是,VP
44、的 id 属性是可选的。只有当持证方想在以后的场合单独提到这个 VP 时,才需要显示 id 属性。(四)分布式公钥基础设施(四)分布式公钥基础设施分布式公钥基础设施(Decentralized Public Key Infrastructure,DPKI)是“区块链+数字标识”体系中替代中心化 PKI 的方案。DPKI体系结合了区块链开放共识、去中心化及数据可追溯的特点,弥补了传统密钥注册中心及传统数字证书管理体系的安全缺陷,实现不依赖于第三方的全新身份认证体系。DPKI 系统基于区块链构建,实现 DID 标识的注册和公钥的索引发现。用户首先根据确定的算法生成 DID 及控制该标识的公钥和私钥
45、,并把公钥与 DID 的绑定关系发布在区块链上,而私钥则由用户区块链+数字标识技术与应用研究报告(2023 年)20保管,而与该主体身份相关的数据被锚定在区块链。应用方验证主体用户身份信息时,只需要根据区块链中形成共识的用户的公钥,进行验证计算即可验证用户的真实性。基于区块链的DPKI 中 DID 标识主体建立安全通信的案例如图 9所示,其中用户 M 在区块高度为 20 时,发起了 DID 注册的请求,该条请求被记录在区块 20 的某条交易中,而用户 N 在区块高度为 23时查询到了用户 M 的 DID 并获取了公钥,并通过验证其公钥实现对用户 M 的身份认证,以此完成用户标识间的交互,并建立
46、安全可信的通信连接。来源:中国信息通信研究院图 9 基于区块链的 DPKI 建立 DID 安全通信实例区块链+数字标识技术与应用研究报告(2023 年)21四、“区块链+数字标识”实践与应用(一)中国信通院:(一)中国信通院:去中心化身份标识去中心化身份标识 BID 服务体系服务体系1.需求分析数字身份是数据内容自主管理和数据使用权力传递的基础,然而,当前 Web2.0 广泛采用的中心化身份和联邦身份将用户的身份、密钥信息存储在中心化数据库中,使用户数据被互联网平台所掌控,导致了密码疲劳、数据滥用及隐私泄露等安全风险。因此,构建兼容、安全可信、自主管理的分布式数字身份体系成为业内关注的重点。2
47、.技术方案“星火链网”基于BID设计了“超级节点骨干节点”双层体系架构,可以通过 BID 实现现有区块链的广泛互通,进而逐步扩大区块链的使用规模、提升使用效果。各异构链接入星火链网,实现星火链网体系子链数字身份全网统一化管理。BID 标识是基于 W3CDID 规范开发的新型分布式标识,任意实体可自主生成 BID 标识,无需中心化注册机构即可实现全球唯一性,具有分布式、自主管理、隐私保护和安全易用等特点。去中心化身份标识去中心化身份标识 BID 体系体系中国信息通信研究院中国信息通信研究院案例介绍:“星火链网”BID 标识为自主交互的对象,主链拥有用户在主链和子链的全局核心数字身份信息,主链数字
48、身份具有全局聚合型,解析主链数字身份时,可获得其主链和所有子链的身份信息。区块链+数字标识技术与应用研究报告(2023 年)22如图 10 所示,BID 采用五段式编码规范,前缀:BID 的前缀为固定小写字符串“did:bid”;共识域号(AC):由四位小写字母组成,是星火链体系中区分不同子链共识区域的代号,代表子链在星火链网中的唯一合法身份,用于子链身份识别和全网寻址功能;加密类型:加密类型表示加密算法类型,支持“ED25519”“国密 SM2”等多种类型;编码类型:编码类型决定后缀的编码算法和截取公钥哈希的长度;后缀:后缀是公钥经过哈希算法后截取,然后再进行编码后得到的字符串,不同的编码方
49、式生成的后缀长度和格式不同。由于星火链网采用主-子链的网络架构,子链可支持各行业子链的接入,因此 BID 标识体系也能够覆盖整个星火链网的业务范围,保证全产业全链条标识体系的相互兼容。来源:中国信息通信研究院图 10 星火链网组网结构区块链+数字标识技术与应用研究报告(2023 年)23应用成效:BID 标识自上线以来应用范围已覆盖供应链产业链协同、产品全生命周期管理、碳足迹、质量溯源、数字藏品、农业溯源等多个领域。目前,BID 标识正式列入 W3C 万维网联盟分布式标识方案注册表,成为官方授权方案之一,为实现全球互操作的分布式身份提出一种新路径。(二)纸贵:基于(二)纸贵:基于 DID 构建
50、农产品溯源体系构建农产品溯源体系1.需求分析食品安全的自证是农业长期以来的痛点,为实现农产品升级,甘肃省天水市林业局引入基于数字证书的身份标识体系,打造的“天水链苹”将天水苹果生产、物流、销售、消费等各环节参与方作为节点上链,确保信息安全、可信及低成本的流转,帮助果农创造更高的价值收益。2.技术方案纸贵科技与甘肃天水市林业局合作,通过许可链 Z-Ledger、分布式身份标识 DID 等诸多先进区块链技术构建果品溯源平台。纸贵科技为“天水链苹”设计了一个溯源二维码,苹果摘袋的时候,将二维码贴在苹果上并伴随苹果的成熟过程、采摘过程及其他生成加工配送过程,依附在苹果上的二维码无法被擦除,也不可逆转,
51、进而为每个苹果形成了专属的 ID 标识,该标识将随着苹果的消失而消失,无法重复利用,也不会被半路调包,保证溯源信息不可篡改。区块链+数字标识技术与应用研究报告(2023 年)24天水链苹溯源体系天水链苹溯源体系纸贵科技纸贵科技案例介绍:通过一物一码的方式,为每个果品生成唯一的 DID,将各环节参与节点产生的数据记录到区块链上,实现果品生产上下游的追溯体系,以此构建来源可查,去向可追,责任可究的全链条农业可追溯系统。通过 DID 和 VC 的结合实现食品生产环节透明、减少交易摩擦、提升协同效率、减少食物浪费,具体运行过程如图 11 所示。1、为每一个天水苹果注册了 DID 并记录在链,打造“持证
52、”的苹果,苹果的产品信息被写入 DID 描述文件;2、各环节参与方通过 DID 为苹果产品签发或校验可验证凭证;3、综合实现了天水苹果全生命周期信息可信上链;4、通过对 DID 标识符的解析,生产者、供销商、消费者等多方参与主体可以查询每个果品的生产销售全过程溯源信息。来源:纸贵科技图 11“天水链苹”溯源系统架构区块链+数字标识技术与应用研究报告(2023 年)25应用成效:纸贵科技与天水市林业局于 2018 年合作打造了业内首款基于区块链的可追溯的“天水链苹”,首批产品选择了四个果园进行小范围试点,产量一万余斤,该案例于同年 10 月 10 日被纳为可信区块链溯源白皮书中的成功案例之一,此
53、外,“天水链苹”已经上线京东众筹,并开启大规模应用试点。(三)溪塔:数据要素确权流转平台(三)溪塔:数据要素确权流转平台1.需求分析数据要素是数字经济深入发展的核心引擎,我国拥有海量数据资源和丰富应用场景优势,爆发式增长的数据信息中,蕴藏着难以估量的社会经济价值。在对数据要素进行管理的过程中,如何保证数据要素的确权,在保护数据隐私的同时提供安全高效的数据共享机制,提升数据的整体利用率,进而实现数据要素的可信流转,成为亟待解决的重要问题。2.技术方案星火链网骨干节点的新型分布式标识能力,可以为每个数据要素主体提供唯一标识,通过标识标记的数据要素,可以基于区块链完成数据要素在全生命周期中的生成、流
54、转、追溯、确权等功能,实现异主异地异构的数据互通及全生命周期信息追溯。溪塔科技于 2021年推出 RivTrust 数据要素确权流转平台,在保证数据隐私的前提下,完成数据资产的全生命周期管理,实现数据资产的确权、保护和价值转移,解决不同场景下企业协作中数据互信互通问题。区块链+数字标识技术与应用研究报告(2023 年)26供应链数字要素确权体系供应链数字要素确权体系溪塔溪塔科技科技案例介绍:2021 年 10 月,由溪塔科技作为技术承建方,和山东省胶东供应链管理服务有限公司共同打造的国家新型基础设施星火链网骨干节点(胶州)正式发布。基于星火链网胶州骨干节点,通过供应链贸易轨迹凭证及数据风控手段
55、,跟踪贸易全流程,降低贸易金融环节中的风险,为中小企业在贸易金融业务中提供数据增信服务,同时降低金融机构的贷款风险。溪塔 RivTrust 供应链协同体系架构如图 12 所示,企业通过 BID数字身份对货物持有人的当前动作状态加以签名认证,基于区块链对贸易代采各环节进行上链登记,最终以前后关联的可验证凭证的形式呈现出可以展示单笔货物流转过程的动态轨迹图。来源:溪塔科技图 12 溪塔 RivTrust 供应链协同体系架构区块链+数字标识技术与应用研究报告(2023 年)27该方案的核心是以货物为抓手,对关键节点管理,进行多方确认,实现实物流转与业务流程的二维一体。目前可进行上链存证的关键节点如下
56、:在签订合同、生成订单,订单入库,仓储质押,缴清货款,赎货申请,提货申请,出库环节均可进行。实现不同环节参与主体,参与方数据的协同共享,达到高质量,高效率,高效益贸易的目标。应用成效:目前,RivTrust 数据要素确权流转平台解决方案已落地应用于某大型供应链产融平台,基于星火 BID 的供应链贸易轨迹凭证能够贯穿贸易的全流程,从委托方和代理商签订合同开始到订单货物出库交付结束,记录整个环节当中以货物为维度的所有参与人的关键节点的操作。(四)趣链:基于(四)趣链:基于 DID 的跨链路由机制的跨链路由机制1.需求分析当前随着区块链应用的不断落地,也带来了链与链之间互通难的问题,DID 作为一种
57、身份认证技术,逐渐被应用于标识链、节点、链上账户甚至合约上,实现数据在不同链之间可信流转。从跨链基础设施的发展情况看,DID 已经被用于标识应用链、节点、链上账户甚至合约等各种实体,在处理跨链资产转移方面有着多种技术方案,包括趣链、微众,以及波卡都在探索基于 DID 的跨链路由机制。2.技术方案趣链原生跨链数字身份是 BitXHub 跨链平台首次提出的区块链区块链+数字标识技术与应用研究报告(2023 年)28原生支持的数字身份机制,通过链原生支持数字身份能够实现身份在多条链间的互通互认,可以更加方便地实现以身份为中心的数字资产在不同链间的可信流转。此外,BitXHub 还通过数字身份的其他功
58、能(如 VC 等)优化原有的跨链流程,促使跨链流程更规范和可扩展。基于基于 DID 的跨链路由机制的跨链路由机制趣链科技趣链科技案例介绍:BitXHub 平台由中继链、应用链以及跨链网关三种角色组成,每条链原生集成 W3C 标准的 DID,依据场景导向可灵活组织部署架构,具有通用跨链传输协议、异构交易验证引擎、多层级路由三大核心功能特性,保证跨链交易的安全性、灵活性与可靠性。BitXHub DID 整体设计如图 13 所示分为两部分:链的数字身份(Chain DID)和账户的数字身份(Account DID)。所有中继链都会实现链数字身份管理功能账户数字身份管理功能,而应用链将会实现账户数字身
59、份的管理功能。来源:趣链科技图 13 趣链科技跨链路由机制区块链+数字标识技术与应用研究报告(2023 年)29区块链的身份标识表(DID Table)记录身份标识相关的身份信息,其表项包含身份状态、文档存储地址、文档哈希等字段。ChainDID 的注册过程在管理中继链上完成后,需要将该新建的链数字身份标识表(Chain DID Table)同步到网络中其他所有中继链,且每次同步的单位是整个表项。当 Chain DID Table 表项发生新建、更新、删除时将再次启动数据同步。Account DID 则不需要进行链间的数据同步,每条实现了 Account DID 的链管理以自己链上地址为基础的
60、账户数字身份,不同链之间不互相影响。应用成效:BitXHub DID 整体设计符合 W3C DID 及相关规范,并且已经在 DIF Universal Resolver 下注册了 did:bitxhub 方法。目前,BitXHub跨链服务平台已支持了业内主流的趣链区块链平台、Fabric、BCOS、国网链、天平链、溪塔链和以太坊等七种异构链的跨链服务,未来,将会为更多的异构链平台提供互联互通的能力。在最新的 BitXHub跨链平台中,中继链在原有功能的基础上增加了大规模跨链网络的功能,通过跨链网关形成一个 P2P 网络,对不同中继链的跨链消息进行消息路由,达到平行扩展中继链的效果,目前平台可支
61、持超过1000 并发的应用链接入性能。五、“区块链+数字标识”未来展望(一)强化技术研究,形成互联互通产业生态(一)强化技术研究,形成互联互通产业生态由于企业围绕分布式标识领域缺少对分布式账本、非对称加密和授权技术等核心共性技术的自主研发能力,分布式标识尚未形成大规区块链+数字标识技术与应用研究报告(2023 年)30模产业应用。数字标识是促进实体经济与数字经济融合发展的重要基础,也是推动企业数字化转型发展的关键要素。基于区块链与数字标识的融合能够构建可信分布式数字身份体系,实现用户数据所有权的回归。未来,需要强化围绕区块链+数字身份相关的核心技术研究,打造自主可控的分布式数字标识技术体系,以
62、此构建“万物互联”的产业生态。(二)加速标准出台,推动新型基础设施建设(二)加速标准出台,推动新型基础设施建设与传统标识编码类似,基于区块链数字标识具有多种不同标识编码方案,传统基于比特币及以太坊等区块链基于账户地址构建数字标识,且采用限制固定的、唯一的标识编码方案,而新型类似于 DID标识支持变长格式、跨链多协议的标识编码方案。为规范数字身份在数字经济时代的应用,需要从数字身份的标识编码、标识的解析注册以及验证管理方面加强标准化建设与法律法规制定,研究并建立我国数字身份的标准体系,设计合理的编码规则、管理机制,设计标识解析等服务架构,保证全球唯一和互通互认,解决跨链安全可信连接、交互和互操作
63、,进而推进链网协同的数字化新型基础设施建设。(三)推进应用试点,打造安全可信数据空间(三)推进应用试点,打造安全可信数据空间随着以“数字新基建、数据新要素、在线新经济”为核心特征的数字经济发展的全面来临,各企业争先推动数字化转型进程,区块链+数字身份技术赋能实体经济的路径和模式更为明晰。当前,数字身份正在向分布式模式演变,即通过区块链等分布式技术实现身份自主管理。分布式数字身份通过在数字空间建立凭证颁发者、持有者和验区块链+数字标识技术与应用研究报告(2023 年)31证者之间的信任三角,完成物理空间到数字空间信任关系的映射,进而打造可信的数据空间。未来,应加快分布式身份标识及可验证凭证的可信
64、流在为工业、金融、信贷管理及司法等多个领域的产业应用试点,以此赋能传统产业的数字化转型,推动数字经济的发展。(四)完善法律建设,构建标识安全治理体系(四)完善法律建设,构建标识安全治理体系由于我国标识解析建设起步较晚,整体标识解析体系存在政策治理体系不够完善、安全技术防护能力较弱等问题。随着数字经济的发展,产业数字化和数字产业化的加速推进对我国的标识治理体系提出更高要求。虽然近年我国颁布了一系列涉及数字信任的法律法规,但对于顶层设计方面依然薄弱,例如电子签名、电子身份、电子认证、网络安全和数据安全、隐私保护等法律法规仍需完善。此外,由于网络空间向着万物互联演进,标识数据横跨多个领域,现有的治理制度也无法覆盖新兴场景下标识数据合规性及流通内容的意识形态审查。因此,在享受数字化转型带来红利的同时,如何建设有效的标识数据治理机制,保障数字化转型的高质量发展,运用数字技术优化政府职能、支撑社会治理、赋能国家治理现代化是下一阶段需要深入思考的重要问题。中关村区块链产业联盟地址:北京市海淀区致真大厦 C 座 4 层邮编:100083微信公众号:中关村区块链产业联盟