引言

隨著數字化服務的日益普及，數字身份作為用戶在網絡空間交互的唯一標記已成為互聯網活動中不可或缺的要素。數字身份的發展可分為3個階段，即中心化數字身份、聯邦化數字身份及分布式數字身份。其中，分布式數字身份以區塊鏈、分布式賬本等底層技術作為支撐，已將標識主體逐步從“人”“物”擴展到“數據”，在實現數字對象全面互聯互通、隱私身份管理等方面具有重要意義。基于此，本文對分布式數字身份的背景、內涵進行介紹，設計了分布式數字身份的整體架構，并分析其在工業互聯網中的應用，旨在助力數字對象應用及相關業務發展。

1  分布式數字身份起源和內涵

國際電子技術委員會將“身份”定義為“一組與實體關聯的屬性”。其中，實體包括人、機、物以及虛擬網絡等內容。以人為例，“身份”與每個人息息相關，隨著互聯網的出現和普及，除了身份證、護照、駕照等傳統身份，數字身份的定義也在被不斷豐富和完善。身份的數字化在一定程度上滿足了人們對互聯網應用的需求，但用戶隱私泄露、使用效率低、便攜性差等問題仍然存在。因此，2015年微軟等企業在互聯網身份大會（Internet Identity Workshop，IIW）中提出了分布式數字身份的概念[1]。

分布式數字身份（Decentralized Identity，DID）技術依托眾多互聯網技術，并沿襲互聯網發展脈絡。目前，DID相關的技術方案由萬維網聯盟（World Wide Web Consortium，W3C）牽頭編制，源于傳統的互聯網框架，并結合已有的超文本傳輸協議（HTTP）、通用資源標識符（URL）、互聯網通信協議集合（RFC）等多個互聯網協議與標準。DID技術在現有成熟技術和協議的基礎上，構建“不受中央注冊機構控制、由用戶自己掌控、安全可信去中心化”的新型互聯網數字身份體系，從根本上解決互聯網中用戶信息易泄露、數據共享受限等問題。

分布式數字身份是實現數據資產可信化交互和交易的關鍵基礎，主要具有3方面特征。

（1）去中心化：DID及其關聯信息保存在區塊鏈等分布式系統中，用戶可利用私鑰和簽名證明自己的身份、數據和交易所有權，也可核驗對方身份、數字資產和交易所有權的真實性，降低了權威機構對標識關聯信息的掌控。

（2）身份自主可控：DID不受限于權威機構的頒發和授權，用戶擁有自主管理標識關聯信息的權利和能力，從標識產生的根源上達到了標識自主化的目的，打破現有各種網絡資源（含互聯網域名）集中管理的模式。

（3）身份的可移植性：身份所有者能夠在任何他們需要的地方使用其身份數據，而不需依賴特定的身份服務提供商，且一位用戶可以按照需求生成多個數字身份。

2  分布式數字身份的國內外發展現狀

分布式數字身份的概念被提出后，迅速受到美國、加拿大等國政府，微軟、百度等互聯網巨頭企業，以及W3C、超級賬本（Hyperledger）、分布式數字身份產業聯盟（DID-Alliance，DIDA）等國際國內組織的高度關注，技術研究和應用實踐進展迅速。

2.1  國外發展現狀

在國家層面，美歐等國政府大力推動DID發展。截至2021年，美國國土安全部（United States Department of Homeland Security，DHS）已分批次提供超過400 萬美元的專項資金，支持DID的技術研究和成果轉化[2]，并支持美國企業在國際標準組織W3C發起成立DID工作組。歐盟委員會正在建設的國家級區塊鏈基礎設施（European Blockchain Services Infrastructure，EBSI），其核心功能之一就是提供基于DID的歐盟國家公民電子身份認證服務。

在標準及開源組織層面，DID的技術框架已基本形成。2019年9月，W3C成立DID工作組，并于2021年9月正式發布核心標準《DID—核心架構、數據模型及表示（v1-0）》。此外，2021年5月，電氣與電子工程師協會（Institute of Electrical and Electronics Engineers，IEEE）成立了DID與物聯網應用結合的工作組，旨在實現基于DID的智能設備可信接入和設備間的點到點直接通信。

在企業層面，互聯網巨頭和初創企業加速應用的落地實施。美國企業已利用該技術實現跨系統的身份認證和數字資產交易。微軟、IBM、區塊鏈聯盟R3、埃森哲、GS1等103家企業和機構已完成DID的系統實現和應用。其中，英國奧卡姆公司設計了基于區塊鏈的物聯網設備身份平臺，以實現連接設備之間的身份認證和數據互操作。此外，各國企業紛紛聯合成立DID相關基金會、產業聯盟和網絡交流社區，例如Linux Foundation、Sovrin Foundation、SSImeetup等，共同加速產業生態建設。

2.2  國內發展現狀

我國DID研究和產業探索基本與全球同步啟動，并已具備較強的技術基礎和先發優勢。

在標準及開源組織層面，以中關村區塊鏈產業聯盟、可信區塊鏈推進計劃、分布式數字身份產業聯盟等為代表的社群組織，積極開展圍繞DID的體系化研究、標準研制、應用案例分享等工作。2020年8月，分布式數字身份產業聯盟發布《DIDA白皮書》[3]，全面審視分布式數字身份的現狀和發展，對技術規范和技術設施建設進行了詳實的研究，是國內首份系統闡述分布式數字身份技術的白皮書。

在企業層面，一是百度公司、微眾銀行、中國信息通信研究院等12家單位自主研發了DID產品和解決方案，并已寫入W3C相關注冊表，成為全球DID方案。二是中國企業積極探索DID體系建設和應用部署。2020年，中國信息通信研究院牽頭多家研究院、龍頭企業搭建星火·鏈網區塊鏈服務平臺[4]，是國內最大的DID工程化實現。華為基于DID建設其分布式身份服務平臺TDIS。

在國際合作層面，中國企業與社群組織積極提升國際參與話語權，中關村區塊鏈產業聯盟已與Hyperledger、DIF等國際組織簽署戰略合作協議。此外，來自中國信息通信研究院、北京航空航天大學、百度公司等單位的國內多位專家也已加入到W3C和IEEE等國際標準化組織中，深入參與DID的標準化制定工作。

3  分布式數字身份整體框架

從業務邏輯和實現所需要的核心技術出發，可將分布式數字身份分為4層，整體架構如圖1所示。

圖1  分布式數字身份整體框架

3.1  公共基礎設施層

公共基礎設施層描述了DID的產生和儲存，包含的技術有DID方法框架、區塊鏈、分布式賬本及加密算法等。其中，DID方法框架、加密算法等決定了生成DID所遵循的方法規則，區塊鏈及分布式系統則作為儲存各類DID標識和相關數據的載體。

3.2  數據傳輸交互層

數據傳輸交互層描述了實現信息交互所使用的軟硬件、協議等。其中，數字代理、數字錢包和Identity Hub為用戶提供了軟硬件支撐，用戶可將數字化的身份憑證存放在手機等移動終端里的數字錢包中，在需要進行信息交互時，通過數字代理建立鏈接。在建立鏈接之后，通用解析器、DID Comm協議幫助實現不同DID方法之間的互認和互通，保證在此鏈接下的任何數據信息可被識別與讀寫。

3.3  憑證業務交互層

憑證業務交互層描述的數字化可驗證憑證是目前最為普及的一種分布式數字身份應用，其本質是將物理世界中紙質的憑證，例如身份證、護照、學位證等進行電子化，將中心化機構對憑證的背書逐漸轉變為用戶自己對自己的背書。可驗證的身份網絡、可驗證憑證、去中心化公鑰基礎設施及各利益相關方之間的可信關系等是實現該應用模式的核心要素。

3.4  產業應用層

產業應用層是在前3層的技術與模型基礎之上所衍生出的更加豐富的新應用場景。分布式數字身份的核心理念是構建一個以用戶為中心的、可信的、全新的互聯網應用新模式，目前已有試點項目在探索并檢驗著這項技術，涉及政務、供應鏈、物聯網等領域

4  分布式數字身份在工業互聯網中的應用情況

分布式數字身份有效推進了各行各業的數字化轉型。在工業互聯網領域，分布式數字身份目前已應用在供應鏈追溯、供應鏈金融、物聯網設備訪問等多個場景，本文重點分析上述3種場景下的應用案例，深入理解分布式數字身份的實現方式和應用價值。

4.1  全鏈條可信追溯

隨著工業互聯網的不斷成熟及廣泛應用，企業形態正在從原有的層級式組織、集中管控模式向自組織、生態組織發展演化，企業需要與外界進行更多的交互和協同。目前，傳統工業互聯網標識體系存在著標識統一分配、數據集中統管等特點。一方面，企業對潛在供應商認證過程中，僅能獲取部分靜態數據，需要在尋源、驗廠、貫標、評估等多個環節持續追蹤，認證周期長。另一方面，產品生產數據均上傳至平臺統一管理，平臺服務建立在用戶隱私數據的基礎上，數據挖掘、加工等產生的利潤歸平臺方所有，降低了企業合作的積極性。

針對以上問題，通過采用區塊鏈技術以及分布式數字身份，實現了標識的自生成、自分配、自管理，在保證去中心化的同時實現了隱私保護和數據安全。首先，在客戶、企業、供應商等業務相關方之間搭建區塊鏈，各方自生成分布式數字身份標識，并基于該身份標識完成對訂單數據的簽名以及企業內部關鍵數據的上傳，與鏈上其他企業進行資源共享并提供服務，打破原有數據由平臺統一管理的局面，同時保證了供應鏈各方數據的真實透明。此外，供應鏈各方可以根據分布式數字身份標識快速方便地訪問鏈上數據，對生產情況進行驗證，縮短對潛在供應商的認證周期，實現全鏈條數據信息的可信高效追溯。

4.2  供應鏈信任流轉

隨著社會化生產方式的不斷深入，市場競爭已經從單一客戶之間的競爭轉變為供應鏈之間的競爭。與此同時，供應鏈中的供應商無法及時獲得資金，而資金短缺會直接導致后續業務的停滯，甚至出現“斷鏈”，嚴重阻礙企業乃至國家經濟的持續發展。上述問題出現的原因主要在于信任缺失。在傳統供應鏈條中，資金流、物流和信息留等核心數據難以實現安全共享，出資方無法有效控制風險。同時，因信任保障制度不完善，核心企業難以為其優質的中小供應商企業提供信用背書，阻礙便捷金融服務的發展。

解決上述問題的關鍵在于保證供應鏈企業核心數據的真實性以及數據在企業和出資方之間的安全共享。首先，在核心企業、各級供應商、出資方之間搭建區塊鏈，其中出資方即數據驗證方。在核心企業和各級供應商自生成分布式數字身份標識后，由核心企業開具賬款憑證，并隨著交易的執行在供應鏈中流轉。之后，基于各自身份標識，供應鏈中的各主體將賬款數據在區塊鏈上共享，提高供應鏈資金運作的效力，降低供應鏈整體的管理成本。同時，出資方可以根據DID快速訪問鏈上各主體賬款數據，從而有效控制供應鏈資金風險，為出資方完成信貸等金融服務提供依據，如圖2所示。

圖2  供應鏈信任流轉示意圖

4.3  物聯網設備可信訪問

據Gartner估算，2020年所有物聯網設備達到200 億臺[5]，目前的身份訪問管理（Identity and Access Management，IAM）除需要識別數百萬潛在的用戶外，還需要唯一識別數十億物聯網設備，已有的IAM系統很大程度上只能實現對人的識別，并且難以支撐大數量級的物聯網應用。在此情況下，迫切需要引入新的IAM體系以支持跨設備間人、物的應用與服務。2020年，美國企業IoTeX提出了分布式身份訪問管理（Decentralized Identity and Access Management，DIAM）的概念，通過在物聯網設備生命周期中賦予DID和可驗證憑證，實現設備控制者對設備中數據的絕對控制權，如圖3所示。

圖3  DIAM設計架構圖

首先，在區塊鏈中創建兩類智能合約，主智能合約（Master Smart Contract）和制造智能合約（Manufacture Smart Contract）。主智能合約是一份包含所有物聯網制造過程的注冊名單，制造智能合約則是一份包含具體制造過程中所涉及的物聯網設備信息的名單。

其次，利用IoT云實現設備與人之間的綁定及設備的憑證頒發。IoT云將對移動終端操作用戶的身份與制造智能合約中設備DID進行比對，比對成功之后將向該終端設備頒發一份可驗證憑證，憑證中含有設備的DID、設備元數據以及用戶的DID。通過驗證設備中的可驗證憑證來綁定用戶與設備，并保證只有擁有唯一的DID才可以訪問該設備，如圖4所示。

圖4  設備綁定與可驗證憑證的生成

結語

目前，分布式數字身份體系正處在高速發展階段，雖然國內已經在分布式數字身份方面積極行動，但由于技術過于新穎、企業參與度低等問題導致我國對其宏觀層面的認識不夠，產業應用較為匱乏。我國應抓住機遇，積極研究分布式數字身份實現方案，跟蹤國外產業發展，部署國內力量開展基礎技術研究。同時，在應用落地方面，我國應緊密結合工業互聯網打造一系列應用工程，建設驗證平臺，構建數字身份產業生態，為拉動數字經濟高質量發展以及工業數字化轉型升級提供基礎設施引擎。

本文轉載于《信息通信技術與政策》2021年 第10期