联系我们

Geega关注丨分布式数字身份及其在工业互联网中的应用

2022-04-24 17:48:58

引言

随着数字化服务的日益普及,数字身份作为用户在网络空间交互的唯一标记已成为互联网活动中不可或缺的要素。数字身份的发展可分为3个阶段,即中心化数字身份、联邦化数字身份及分布式数字身份。其中,分布式数字身份以区块链、分布式账本等底层技术作为支撑,已将标识主体逐步从“人”“物”扩展到“数据”,在实现数字对象全面互联互通、隐私身份管理等方面具有重要意义。基于此,本文对分布式数字身份的背景、内涵进行介绍,设计了分布式数字身份的整体架构,并分析其在工业互联网中的应用,旨在助力数字对象应用及相关业务发展。

1  分布式数字身份起源和内涵

国际电子技术委员会将“身份”定义为“一组与实体关联的属性”。其中,实体包括人、机、物以及虚拟网络等内容。以人为例,“身份”与每个人息息相关,随着互联网的出现和普及,除了身份证、护照、驾照等传统身份,数字身份的定义也在被不断丰富和完善。身份的数字化在一定程度上满足了人们对互联网应用的需求,但用户隐私泄露、使用效率低、便携性差等问题仍然存在。因此,2015年微软等企业在互联网身份大会(Internet Identity Workshop,IIW)中提出了分布式数字身份的概念[1]。

分布式数字身份(Decentralized Identity,DID)技术依托众多互联网技术,并沿袭互联网发展脉络。目前,DID相关的技术方案由万维网联盟(World Wide Web Consortium,W3C)牵头编制,源于传统的互联网框架,并结合已有的超文本传输协议(HTTP)、通用资源标识符(URL)、互联网通信协议集合(RFC)等多个互联网协议与标准。DID技术在现有成熟技术和协议的基础上,构建“不受中央注册机构控制、由用户自己掌控、安全可信去中心化”的新型互联网数字身份体系,从根本上解决互联网中用户信息易泄露、数据共享受限等问题。

分布式数字身份是实现数据资产可信化交互和交易的关键基础,主要具有3方面特征。

(1)去中心化:DID及其关联信息保存在区块链等分布式系统中,用户可利用私钥和签名证明自己的身份、数据和交易所有权,也可核验对方身份、数字资产和交易所有权的真实性,降低了权威机构对标识关联信息的掌控。

(2)身份自主可控:DID不受限于权威机构的颁发和授权,用户拥有自主管理标识关联信息的权利和能力,从标识产生的根源上达到了标识自主化的目的,打破现有各种网络资源(含互联网域名)集中管理的模式。

(3)身份的可移植性:身份所有者能够在任何他们需要的地方使用其身份数据,而不需依赖特定的身份服务提供商,且一位用户可以按照需求生成多个数字身份。

2  分布式数字身份的国内外发展现状

分布式数字身份的概念被提出后,迅速受到美国、加拿大等国政府,微软、百度等互联网巨头企业,以及W3C、超级账本(Hyperledger)、分布式数字身份产业联盟(DID-Alliance,DIDA)等国际国内组织的高度关注,技术研究和应用实践进展迅速。

2.1  国外发展现状

在国家层面,美欧等国政府大力推动DID发展。截至2021年,美国国土安全部(United States Department of Homeland Security,DHS)已分批次提供超过400 万美元的专项资金,支持DID的技术研究和成果转化[2],并支持美国企业在国际标准组织W3C发起成立DID工作组。欧盟委员会正在建设的国家级区块链基础设施(European Blockchain Services Infrastructure,EBSI),其核心功能之一就是提供基于DID的欧盟国家公民电子身份认证服务。

在标准及开源组织层面,DID的技术框架已基本形成。2019年9月,W3C成立DID工作组,并于2021年9月正式发布核心标准《DID—核心架构、数据模型及表示(v1-0)》。此外,2021年5月,电气与电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)成立了DID与物联网应用结合的工作组,旨在实现基于DID的智能设备可信接入和设备间的点到点直接通信。

在企业层面,互联网巨头和初创企业加速应用的落地实施。美国企业已利用该技术实现跨系统的身份认证和数字资产交易。微软、IBM、区块链联盟R3、埃森哲、GS1等103家企业和机构已完成DID的系统实现和应用。其中,英国奥卡姆公司设计了基于区块链的物联网设备身份平台,以实现连接设备之间的身份认证和数据互操作。此外,各国企业纷纷联合成立DID相关基金会、产业联盟和网络交流社区,例如Linux Foundation、Sovrin Foundation、SSImeetup等,共同加速产业生态建设。

2.2  国内发展现状

我国DID研究和产业探索基本与全球同步启动,并已具备较强的技术基础和先发优势。

在标准及开源组织层面,以中关村区块链产业联盟、可信区块链推进计划、分布式数字身份产业联盟等为代表的社群组织,积极开展围绕DID的体系化研究、标准研制、应用案例分享等工作。2020年8月,分布式数字身份产业联盟发布《DIDA白皮书》[3],全面审视分布式数字身份的现状和发展,对技术规范和技术设施建设进行了详实的研究,是国内首份系统阐述分布式数字身份技术的白皮书。

在企业层面,一是百度公司、微众银行、中国信息通信研究院等12家单位自主研发了DID产品和解决方案,并已写入W3C相关注册表,成为全球DID方案。二是中国企业积极探索DID体系建设和应用部署。2020年,中国信息通信研究院牵头多家研究院、龙头企业搭建星火·链网区块链服务平台[4],是国内最大的DID工程化实现。华为基于DID建设其分布式身份服务平台TDIS。

在国际合作层面,中国企业与社群组织积极提升国际参与话语权,中关村区块链产业联盟已与Hyperledger、DIF等国际组织签署战略合作协议。此外,来自中国信息通信研究院、北京航空航天大学、百度公司等单位的国内多位专家也已加入到W3C和IEEE等国际标准化组织中,深入参与DID的标准化制定工作。

3  分布式数字身份整体框架

从业务逻辑和实现所需要的核心技术出发,可将分布式数字身份分为4层,整体架构如图1所示。

图1  分布式数字身份整体框架

3.1  公共基础设施层

公共基础设施层描述了DID的产生和储存,包含的技术有DID方法框架、区块链、分布式账本及加密算法等。其中,DID方法框架、加密算法等决定了生成DID所遵循的方法规则,区块链及分布式系统则作为储存各类DID标识和相关数据的载体。

3.2  数据传输交互层

数据传输交互层描述了实现信息交互所使用的软硬件、协议等。其中,数字代理、数字钱包和Identity Hub为用户提供了软硬件支撑,用户可将数字化的身份凭证存放在手机等移动终端里的数字钱包中,在需要进行信息交互时,通过数字代理建立链接。在建立链接之后,通用解析器、DID Comm协议帮助实现不同DID方法之间的互认和互通,保证在此链接下的任何数据信息可被识别与读写。

3.3  凭证业务交互层

凭证业务交互层描述的数字化可验证凭证是目前最为普及的一种分布式数字身份应用,其本质是将物理世界中纸质的凭证,例如身份证、护照、学位证等进行电子化,将中心化机构对凭证的背书逐渐转变为用户自己对自己的背书。可验证的身份网络、可验证凭证、去中心化公钥基础设施及各利益相关方之间的可信关系等是实现该应用模式的核心要素。

3.4  产业应用层

产业应用层是在前3层的技术与模型基础之上所衍生出的更加丰富的新应用场景。分布式数字身份的核心理念是构建一个以用户为中心的、可信的、全新的互联网应用新模式,目前已有试点项目在探索并检验着这项技术,涉及政务、供应链、物联网等领域

4  分布式数字身份在工业互联网中的应用情况

分布式数字身份有效推进了各行各业的数字化转型。在工业互联网领域,分布式数字身份目前已应用在供应链追溯、供应链金融、物联网设备访问等多个场景,本文重点分析上述3种场景下的应用案例,深入理解分布式数字身份的实现方式和应用价值。

4.1  全链条可信追溯

随着工业互联网的不断成熟及广泛应用,企业形态正在从原有的层级式组织、集中管控模式向自组织、生态组织发展演化,企业需要与外界进行更多的交互和协同。目前,传统工业互联网标识体系存在着标识统一分配、数据集中统管等特点。一方面,企业对潜在供应商认证过程中,仅能获取部分静态数据,需要在寻源、验厂、贯标、评估等多个环节持续追踪,认证周期长。另一方面,产品生产数据均上传至平台统一管理,平台服务建立在用户隐私数据的基础上,数据挖掘、加工等产生的利润归平台方所有,降低了企业合作的积极性。

针对以上问题,通过采用区块链技术以及分布式数字身份,实现了标识的自生成、自分配、自管理,在保证去中心化的同时实现了隐私保护和数据安全。首先,在客户、企业、供应商等业务相关方之间搭建区块链,各方自生成分布式数字身份标识,并基于该身份标识完成对订单数据的签名以及企业内部关键数据的上传,与链上其他企业进行资源共享并提供服务,打破原有数据由平台统一管理的局面,同时保证了供应链各方数据的真实透明。此外,供应链各方可以根据分布式数字身份标识快速方便地访问链上数据,对生产情况进行验证,缩短对潜在供应商的认证周期,实现全链条数据信息的可信高效追溯。

4.2  供应链信任流转

随着社会化生产方式的不断深入,市场竞争已经从单一客户之间的竞争转变为供应链之间的竞争。与此同时,供应链中的供应商无法及时获得资金,而资金短缺会直接导致后续业务的停滞,甚至出现“断链”,严重阻碍企业乃至国家经济的持续发展。上述问题出现的原因主要在于信任缺失。在传统供应链条中,资金流、物流和信息留等核心数据难以实现安全共享,出资方无法有效控制风险。同时,因信任保障制度不完善,核心企业难以为其优质的中小供应商企业提供信用背书,阻碍便捷金融服务的发展。

解决上述问题的关键在于保证供应链企业核心数据的真实性以及数据在企业和出资方之间的安全共享。首先,在核心企业、各级供应商、出资方之间搭建区块链,其中出资方即数据验证方。在核心企业和各级供应商自生成分布式数字身份标识后,由核心企业开具账款凭证,并随着交易的执行在供应链中流转。之后,基于各自身份标识,供应链中的各主体将账款数据在区块链上共享,提高供应链资金运作的效力,降低供应链整体的管理成本。同时,出资方可以根据DID快速访问链上各主体账款数据,从而有效控制供应链资金风险,为出资方完成信贷等金融服务提供依据,如图2所示。

图2  供应链信任流转示意图

4.3  物联网设备可信访问

据Gartner估算,2020年所有物联网设备达到200 亿台[5],目前的身份访问管理(Identity and Access Management,IAM)除需要识别数百万潜在的用户外,还需要唯一识别数十亿物联网设备,已有的IAM系统很大程度上只能实现对人的识别,并且难以支撑大数量级的物联网应用。在此情况下,迫切需要引入新的IAM体系以支持跨设备间人、物的应用与服务。2020年,美国企业IoTeX提出了分布式身份访问管理(Decentralized Identity and Access Management,DIAM)的概念,通过在物联网设备生命周期中赋予DID和可验证凭证,实现设备控制者对设备中数据的绝对控制权,如图3所示。

图3  DIAM设计架构图

首先,在区块链中创建两类智能合约,主智能合约(Master Smart Contract)和制造智能合约(Manufacture Smart Contract)。主智能合约是一份包含所有物联网制造过程的注册名单,制造智能合约则是一份包含具体制造过程中所涉及的物联网设备信息的名单。

其次,利用IoT云实现设备与人之间的绑定及设备的凭证颁发。IoT云将对移动终端操作用户的身份与制造智能合约中设备DID进行比对,比对成功之后将向该终端设备颁发一份可验证凭证,凭证中含有设备的DID、设备元数据以及用户的DID。通过验证设备中的可验证凭证来绑定用户与设备,并保证只有拥有唯一的DID才可以访问该设备,如图4所示。

图4  设备绑定与可验证凭证的生成

结语

目前,分布式数字身份体系正处在高速发展阶段,虽然国内已经在分布式数字身份方面积极行动,但由于技术过于新颖、企业参与度低等问题导致我国对其宏观层面的认识不够,产业应用较为匮乏。我国应抓住机遇,积极研究分布式数字身份实现方案,跟踪国外产业发展,部署国内力量开展基础技术研究。同时,在应用落地方面,我国应紧密结合工业互联网打造一系列应用工程,建设验证平台,构建数字身份产业生态,为拉动数字经济高质量发展以及工业数字化转型升级提供基础设施引擎。

本文转载于《信息通信技术与政策》2021年 第10期