

分布式数字身份助力数据流通可信可验 | 数据基础设施关键技术03

CAICT数据基础设施

2024-11-08

导读：文末附PPT下载方式

‍

随着数字经济的深入发展，数据作为新型生产要素，已成为推动实体经济和数字经济发展的关键。党的二十届三中全会明确提出，要建设和运营国家数据基础设施，促进数据共享，这为推进数据领域的改革发展、进一步释放数据要素价值指明了方向。建立数据可信流通体系，通过增强数据的可用、可信、可流通和可追溯性，能够充分激活数据要素潜能，赋能实体经济。

“CAICT数据基础设施”公众号特别推出“数据基础设施关键构建技术”专题，旨在深入探讨数据可信流通的核心技术及其应用场景。本期将重点介绍分布式数字身份技术，探讨其分布式、可移植、可控性等特点在数据流通中对于身份认证、数据主权管理的关键应用。

分布式数字身份概述

▌基本概念

国际标准化组织国际电子技术委员会（ISO/IEC）将“身份”定义为“一组与实体关联的属性”。数字身份是指为解决数字空间对象的识别与信任，适应网络信息系统安全传输、存储、使用、管理，赋予对象的唯一对应数字标识及与之关联的属性声明。数字身份的发展可以划分为三个阶段：中心化身份、联盟身份和自主管理身份。

图身份体系的演进示意图

自主管理身份在2015年由加拿大的技术专家Christopher Allen和Kaliya Young等人在"Rebooting the Web of Trust"会议上被正式提出。它是一种数字身份框架，将权力交还给个人或组织等身份拥有主体，以控制访问其数字身份及其相关资料中包含的信息。分布式数字身份是基于分布式标识符（Decentralized identifiers，简称DID）和可验证凭证（ Verifiable Credentials，简称VC）等技术实现的数字身份方案，是自主管理身份的一种主流实现方式。

▌体系架构

按照TOIP给出的参考架构，分布式数字身份依据业务逻辑可划分为四层，分别是分布式标识符和公钥基础设施、安全通信、可验证凭证和治理框架。第一层定义如何管理分布式标识和密钥，即如何使用标识密钥来证明对标识符的控制。分布式标识和公钥基础设施层作为整个身份体系的技术信任根，是构筑分布式数字身份的起点；第二层是关于如何依赖分布式标识在对等方之间建立可信通道，该层包括数字代理、钱包和机密数据存储等功能组件，实现数字身份交互的新模式；第三层凭证业务交互是关于可验证凭证如何在持证方控制下，实现在发证方、持证方和验证方之间的使用，实现可验证凭证的可信流转；第四层为数字生态系统，通过接入现实世界的信任角色为整个数字信任生态系统奠定基础，支撑数字信任生态系统健康发展。

图片来源：ToIP

图分布式数字身份体系架构

▌主要特点

分布式数字身份以其独特的特点正逐渐成为身份管理的新趋势。它具备出色的安全性，身份数据由分布式网络持有，能有效抵抗单个服务器上的中断或恶意攻击；同时，用户对其数据拥有高度的可控性，不依赖于中心化的注册机构，而是利用私钥签名证明自己是标识的唯一拥有者，并自主授权使用方验证身份；此外，分布式数字身份还具有极高的可移植性，用户能随时随地使用自己的身份数据，在多个服务中控制身份信息，避免了对单个身份提供商的依赖；更重要的是，它重视隐私保护，身份数据经过加密处理，用户能在出示身份时选择性地进行数据披露，确保信息的安全与隐私。

▌核心技术

● 分布式标识

DID（Decentralized Identifier）是一种新型身份标识，能够实现可信的、去中心化的数字身份标识。一个DID指的是由DID的管理者所决定的任何主体，如人、组织、事物、数据模型、抽象实体等，DID的管理者能够证明它对DID的控制权，不需要其他方的许可。DID是一种URI，通过 DID主体和DID文档的关联来保证主体的可信任交互。每个DID文档都可以阐述加密材料、认证方法或服务，它们提供了一组机制，使DID管理者能够证明对DID的控制权。

DID标识的关键是DID解析，不同类型的DID解析方式差异巨大。基于自认证信任类的DID，如did:key，可通过标识可直接还原出公钥，不需要解析，适合持证方使用；基于管理认证信任的DID，如did:web，通过域名解析直接访问放在服务器的DID文档，同时复用域名体系的信任，适合发证方使用；基于算法信任类的DID，如did:bid，通过从区块链上解析DID文档，适用于信任要求较高的场景。为实现不同DID方法的统一解析，分布式数字身份基金（Decentralized Identity Foundation，简称DIF）实现了支持多种DID统一解析入口的DID通用解析器。

● 数字钱包与代理

数字钱包和数字代理对于分布式数字身份应用的作用就像浏览器和服务器对于网站一样，它们是让整个基础设施运作的基本工具。就像浏览器和服务器交换网页一样，数字钱包和代理交换可验证的数字凭证（VC）。

数字钱包和代理基于DID通信协议进行通信。DID通信协议（DIDComm），它是一种基于DID标识构建的一种协议，用于安全、私密和对等连接的通信协议，可以实现点对点的安全通信与数据传输。与当前互联网客户端和服务器间通信常用的加密通信协议SSL/TLS相比，DID通信协议使用去中心化的信任模型，不需要中心化的颁发机构，适用于多个实体之间的安全通信，特别适合去中心化的生态系统，如物联网、车联网等智能终端的点对点连接场景。

● 可验证凭证

可验证凭证（Verifiable Claims 或 Verifiable Credentials，简称VC)，是发证方使用自己的 DID 给用户的 DID 的某些属性做背书而签发的描述性声明，并附加自己的数字签名，可以认为是一种数字证书。为了增强隐私，可将可验证凭证转化为可验证表达（Verifiable Presentation，简称VP)。相比传统的X.509证书和系统令牌等凭证，VC配合DID和钱包，允许用户自主管理身份信息，增强了对身份和数据的控制权。同时VC基于W3C标准，设计上支持跨平台和跨组织的互操作性，任何机构或系统都可以签发和验证 VC，支持广泛的应用场景。

可验证凭证最关键的是可以支持选择性披露，即凭证持有人能够精细化决定分享哪些凭证属性的能力。常见的选择性披露技术包括基于零知识证明的选择性披露和基于哈希摘要的选择性披露两种。基于零知识证明的选择性披露可以实现凭证属性的字段披露和范围披露。零知识证明选择性披露方便灵活，但是实现复杂，同时需要比较多的计算资源，适合在隐私要求比较高的场景下使用。摘要披露是通过隐藏要保护的原始数据，用原始数据哈希摘要出示验证的一种选择性披露实现方式。摘要披露优势就是实现简单且高效，缺点是只能实现简单的字段披露，无法实现范围披露。

▌发展趋势

微软首席身份架构师金·卡梅隆曾说：“互联网的构建缺少一个信任层。”分布式数字身份致力于在现有的互联网之上形成一个统一的身份信任层。DID在设计之初为了保持开放的生态，兼容各类不同的实现方式，导致不同DID方法之间差异较大。为实现异构DID之间的互操作，W3C、DIF、TOIP等组织分别从协议规范、工程实现等多方面推动异构DID之间的互操作。

图数字身份发展趋势示意图

分布式数字身份助力数据可信流通

随着数字化转型的深入推进，数据流通的身份认证与授权管理成为关键挑战。分布式数字身份技术凭借其独特的去中心化特性和先进的密码学机制，正在为数据安全流通提供强有力的技术支撑。

1.身份认证与授权的革新

在传统的数据流通场景中，身份认证和授权管理往往依赖于中心化的权威机构，这不仅带来了单点故障风险，也限制了数据流通的灵活性。分布式数字身份通过分布式标识符（DID）技术，为这一问题提供了创新解决方案。基于分布式标识DID规范实现的分布式数字身份，颠覆了中⼼化的标识注册模式。基于密码学算法，⽤户可以⾃⽣成唯⼀的DID，作为其身份标识，通过⾃⽣成的私钥赋予⽤户链上⾃主管理身份标识和身份信息的能⼒。发证⽅可为⽤户实体颁发各类凭证；验证⽅可基于区块链等验证⽤户实体对BID身份标识的控制权，并进⼀步验证发证⽅身份及主体凭证数据的真实性、完整性。

2.数据授权的精细化管理

可验证凭证（VC）的引入使数据授权管理更加精细化，实现了数据使用权限的可信传递和验证。数据提供方可以通过VC精确定义数据使用权限，包括访问范围、使用时限和操作类型等。同时，VC支持选择性披露机制，既可以通过零知识证明实现复杂的属性级验证，也可以使用简单高效的哈希摘要方式进行基础字段披露，在保护数据隐私的同时确保授权可信。

3.安全可靠的数据传输

数据在流通过程中的安全传输同样至关重要，DID通信协议（DIDComm）在这方面发挥了关键作用。去中心化身份基金会（DIF）定义DIDComm消息规范中，利用DID文档中的公钥信息，不需要第三方PKI背书，即可建立安全通信链路。通信链路建立后，通过交换可验证凭据VC实现通信双方身份确认和信任关系建立。基于DID Comm进行点对点通信，更契合数据空间去中心化理念，即无需通过中心化CA验证，可直接提供端到端加密传输。

生态伙伴案例展示

▌“分布式数字身份 x 碳足迹 “中－欧”合作——产品碳足迹追溯平台

受欧盟碳关税（CBAM）、新电池法案等影响，我国企业在向欧洲国家出口产品时面临出示产品碳排放报告的要求和挑战。包括缺少成熟的数字化解决方案、核查结果无法完全满足欧盟认可、缺少面向中小企业的公共服务平台，中小企业无法承担定制化碳管理软件的建设和运营成本等。

在此背景下，中国信通院联合西门子（中国），搭建了一套基于区块链、分布式标识（DID）等技术的产品碳足迹追溯平台，依托数字化工具为企业提供线上核查认证。该服务平台适配CBAM要求，提供对应CBAM开放端口，一旦有需求可以高效升级，确保先发优势。同时，该平台依托境内首家CDP授权核证机构提供碳排放报告，符合欧盟Implementing Regulation (EU) 2018/2067 要求以及欧盟EU-ETS 认可。此外，该平台提供一站式产品碳足迹解决方案，碳足迹计算时间从数日缩短到数小时，大幅缩减人工成本。四是实现数据的可信核验，利用“星火·链网”可信存证服务，线上验证签名实现数据的跨境核验。

基于“星火·链网”可信存证服务及西门子碳足迹SiGREEN平台，目前已在钢铁、水泥、医疗等行业推动产品碳足迹存证的上链及核验业务，同时依托地方中德、中欧产业园，开展相关试点示范项目，提升我国出口企业碳盘查、碳核查竞争力，高效满足海外碳足迹披露方面要求。

▌分布式数字身份 x 医疗数据可信共享医疗数据可信共享平台

“医疗数据存在数据不互通、数据标准不统一、数据权属不清、流通隐私安全等问题，导致我国医疗数据共享开展规模非常有限。泰尔英福开发的一体化医疗数据可信共享服务平台，旨在实现各级医疗机构间、跨数据平台间的医疗数据交换，发挥医疗数据价值，推动智慧医疗建设。

医疗数据可信共享平台基于有象账户的分布式数字身份和数据可信共享交换平台搭建，构建各医疗机构之间隐私保护的数字身份、授权与同意和数据可信共享交换能力，有效解决医疗数据确权难、数据分散、数据共享交换过程中数据隐私及安全保障难等问题。案例创新点包括：全覆盖、隐私保护的分布式数字身份体系，借助分布式标识DID实现对个人、组织、生物及数据的全覆盖，身份验证过程支持选择性披露，以保护用户隐私；数据自主控制，基于数字身份，主体对数据拥有完全的控制权，数据的使用和流通都在主体知情、授权同意的情况下进行；数据可用不可见，以算法投放的方式进行数据共享交换，实现数据不出域、可用不可见。

报告目录

《分布式数字身份助力安全可信身份体系建设——数据基础设施关键构建技术第3期》

一、分布式数字身份技术介绍

· 基本概念

· 发展现状

· 体系架构

· 核心技术

· 发展趋势

二、分布式数字身份助力安全可信身份体系建设

· 身份认证与授权的革新

· 数据授权的精细化管理

· 安全可靠的数据传输

三、分布式数字身份应用实例介绍

· 分布式数字身份 x 碳足迹 “中－欧”合作——产品碳足迹追溯平台

· 分布式数字身份 x 医疗数据可信共享医疗数据可信共享平台

更多精彩，敬请下载完整版报告

报告下载方式

1、关注“CAICT数据基础设施”公众号。

2、回复关键词“关键技术3”，即可获取下载链接。

关于“中国信息通信研究院”

中国信息通信研究院是工业和信息化部直属科研事业单位，作为“国家高端专业智库产业创新发展平台”，中国信通院的科研布局从信息通信业向赋能千行百业拓展，演进形成大通信、大数字化、大安全和新型工业化“三大一新”的研究体系，同步构建了产业全生命周期服务能力，在行业发展的重大战略、规划、政策、标准和检测认证等方面发挥了有力支撑作用。中国信通院是国内信息通信技术领域唯一打通战略与政策、新技术研究、标准研制、试验验证到产业推进的全链条创新平台。

中国信通院积极推动数据技术产业落地，围绕数据基础设施、数据流通关键技术、公共数据开发利用、企业数据可信流通等布局数据要素市场建设，支撑国家战略规划与政策编制，积极开展领域内专题研究，紧密围绕数据核心技术，构建标准化体系，联合产业各方成立行业组织，推动数据行业交流共享。