基于區塊鏈的異構身份聯盟與監管體系架構和關鍵機制*

董貴山，張兆雷，李洪偉，白 健，郝 堯，陳宇翔

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.成都衛士通信息產業股份有限公司，四川 成都 610041；3.電子科技大學 計算機科學與工程學院（網絡空間安全學院），四川 成都 611731）

0 引 言

信任是伴隨人類社會運行的重要機制之一，而身份認同是信任的基礎[1]。在數字時代，網絡身份是實現數字化信任、促進現實世界與網絡空間虛實結合的關鍵，是實施網絡空間治理的基礎。政府高度重視網絡空間信任問題，2016年發布了《國家網絡空間安全戰略》和《網絡安全法》，明確了網絡身份的重要性，將構建網絡信任體系、提高網絡科學化規范化管理作為九大戰略任務之一[2]。

在網絡身份發展過程中，因實體所處的組織（信任域）不同，身份管理系統的技術路線不同，形成了不同類型的網絡身份，如政務身份、社交身份及商務身份等。身份管理系統間難以互通，網絡身份間難以互認，造成了信任“孤島”，給網絡空間的融合發展帶來了諸多挑戰。

因此，當前網絡身份管理的重要發展目標之一是實現身份在跨組織跨系統使用時的安全可信互認。當網絡身份體制相同時，可以通過建立統一身份管理系統或者構建類似于橋CA的互通機制實現這一目標。當網絡身份體制不同時（即異構身份），統一身份管理系統等方法在實踐上難以實現。

我國在落實“一帶一路”戰略、“互聯網+”戰略及“智慧城市”戰略過程中，存在政務數字身份、境外eID身份和社交身份等多種不同網絡身份。異構身份管理是當前急需解決的重要問題。該問題的困難在于如何在兩個沒有信任關系、技術體制差異明顯的系統間建立信任，并在此基礎上構建可操作的用戶身份可信評價和信任傳遞機制、身份隱私信息保護機制和有效的監管審計機制。

“聯盟”是在不同實體間實現共識和合作的有效方式。區塊鏈技術尤其是聯盟鏈和智能合約技術的發展，為構建異構身份聯盟提供了新的技術思路。

基于區塊鏈的異構身份聯盟由跨技術體制、跨組織領域的多個身份管理系統組成。各身份管理系統的地位是對等的，通過共識機制約定各系統的可信程度、身份管理服務級別，實現對實體身份可信度的統一度量和評判，以解決異構身份跨領域應用時的信任傳遞問題，并結合區塊鏈中的新型密碼機制，實現對實體身份隱私信息的有效保護，以及對身份管理系統和網絡實體的行為監管。

本文圍繞異構身份聯盟的體系架構問題及關鍵機制開展研究。第1節分析國內外現狀，第2節提出了一種基于區塊鏈的異構身份聯盟的體系架構，第3節闡述聯盟架構中相應的關鍵機制，第4節驗證體系架構和技術機制，最后對工作進行總結并提出未來研究的方向。

1 國內外現狀分析

1.1 傳統網絡身份管理技術

網絡身份管理和認證技術是網絡空間安全框架的重要組成部分。國內外科研機構和組織持續關注身份管理技術和應用，相關研究和標準化工作有效推動了身份管理技術的應用和發展。

微軟在20世紀末就推出了Passport項目[3]，通過構建Passport.com 網站存儲了所有用戶的身份，并為微軟的全部授權站點統一提供身份認證服務，支持用戶單點登錄，但在發展過程中存在嚴重的安全隱患。與Passport不同，2001年成立的“自由聯盟”組織發布的身份管理規范[4]，解決了數據集中存儲的問題，通過建立多個身份管理系統的聯盟，由用戶保管個人信息，實現跨系統的統一身份認證服務。但是，該聯盟構建方式簡單，依賴身份提供者的服務可靠性不高。此外，IBM公司的Tivoli Access Manager[5]解決方案在安全性上進行了增強設計，Novell公司基于緩存反向代理的iChain技術[6]，在簡化管理過程、提升服務性能方面進行了有益探索。在開源項目方面，Oauth授權框架[7]通過將用戶身份驗證委派給托管用戶的服務以及授權客戶端訪問用戶進行工作，可以為Web應用、桌面應用以及移動應用提供授權流程，使第三方應用程序或客戶端獲得對HTTP服務上（如Google、GitHub）用戶信息的有限訪問權限。OpenID[8]是一個開放的網上身份認證系統，允許用戶使用現有帳戶登錄多個網站而無需創建新密碼。取而代之的是，他們只需要預先在一個OpenID身份提供者的網站上注冊，就可以任意享用支持OpenID的網站上面的資源，而OpenID系統可以基于OAuth協議實現授權功能。隨著技術的成熟，ISO、ITU-T、ETSI等國際組織相繼制訂了SAML、OAuth、OpenID、FIDO、歐盟eID統一管理框架等身份管理標準。

國內的科研機構也圍繞網絡身份管理關鍵技術取得了一系列成果。2004年，我國頒發了《電子簽名法》，自此電子簽名與傳統手寫簽名和蓋章具有同等的法律效力，推進了我國電子商務的發展。當前，我國已建立了基于PKI技術機制的CA體系[9]，在電子商務、電子政務等領域完成了大量CA系統建設和數字證書應用[10]。在由公安部第三研究所等單位組成的“網域空間身份管理標準工作組”牽頭下，制訂了“網絡電子身份格式規范”等30余項國家及行業標準，電子身份eID已發行5 000萬張[11]，出版了我國在網絡身份管理領域的第一部專著《全球網絡身份管理的現狀與發展》[12]等。

傳統身份管理技術多由權威的第三方機構來維護身份數據庫和提供認證服務，面臨機構不可信、單點故障等風險。同時，在解決異構身份互操作、為實體提供跨域多個信任域的認證服務以及開展基于實體網絡身份的網絡行為監督等方面，傳統網絡身份管理技術仍有不足。

1.2 基于區塊鏈的身份管理技術

隨著區塊鏈技術的發展，涌現出很多基于區塊鏈的身份管理技術成果。區塊鏈技術通過多數參與者的共識機制確保記錄無法更改，在異構身份管理方面具有天然優勢。區塊鏈具有去中心化、一致性和可審計性等特性，能夠使參與者獲得數據操作的主動權。身份管理研究人員可利用其無中心化的架構和通過分布式節點的驗證和共識機制建立信任的特性，結合身份提供方、監管方、應用提供方和用戶之間的利益關系，設計適合不同應用環境的身份聯盟解決方案。

在研究方面，PKI作為應用廣泛的身份管理基礎設施，將區塊鏈技術與PKI結合是研究者探索的主要方向。Muneeb Ali等人提出了Blockstack[13]，以全球部署的Namecoin區塊鏈為基礎，保障身份數據的完整性和共識機制的有效達成，同時增強了在注冊和更新區塊鏈時網絡的可靠性和安全性，使用戶基于一個Blockstack ID實現對跨鏈的多種DAPP應用的訪問。Benjamin Leading等人提出的Authcoin[14]使用靈活的質詢響應方法驗證何時發布公鑰，以實現分布式的PKI，并分析了Authcoin面臨的潛在威脅（如Sybil攻擊），同時提出了緩解威脅的方法。MIT的Conner Fromknecht等人提出的CertCoin[15]是一種公共和分散的身份驗證方案，使用區塊鏈和公鑰技術，通過維護web服務域名及其相關公鑰的公共分類賬構建分布式域名薄，同時提出使用加密累加器[16]促進快速公鑰驗證，并應用Kademlia DHT[17]進行快速密鑰查找。

在應用方面，作為探索，早期基于區塊鏈的身份管理/身份聯盟項目大多使用比特幣區塊鏈，典型的如荷蘭Rabobank的概念驗證項目“Towards Self-Sovereign Identity using Blockchain Technology”[18]。 該項目方案基于比特幣區塊鏈，以用戶設備為中心，在區塊鏈上對屬性哈希處理及數字簽名后，將“證明”存儲在區塊鏈。該項目的貢獻在于實現了去中心化的身份管理系統，貫徹了“用戶同意自己的屬性可分享給別的域時才可以分享”的原則，確保用戶完全擁有自己數據的主動權，也不存在中心化系統大量數據泄露的風險，不足在于比特幣區塊鏈平臺的每次驗證需要眾多節點同步數據庫，效率較低，對用戶認證很不友好。

ShoCard公司的數字身份認證產品的技術[19]一定程度上反映了基于區塊鏈的身份管理技術向聯盟式發展的路線，其平臺在移動網絡構建身份認證服務，組建基于區塊鏈的身份聯盟?？蛻羰状巫詴r會生成ShoCardID和關聯的公私鑰對，并對用戶證據進行密碼處理創建驗證字段發送到區塊鏈。在認證過程中，成員商家將根據用戶提供的二維碼和密鑰，查詢區塊鏈上用戶的身份資料和歷史認證結果信息，并使用用戶公鑰對身份信息進行簽名驗證，以核實用戶身份。該方案的注冊和認證流程具有代表性，用戶終端存儲個人數據，區塊鏈作為去中心的交換承諾，保證信息的有效性和完整性。該思路被后期的Uport項目、IDHub項目、SelfKey項目及Civic項目廣泛借鑒和使用。

基于區塊鏈的身份管理和認證服務技術，在增強用戶對身份信息的管控能力、促進多個身份服務實體之間實現身份信息的交互方面，已經取得了很大進步。但是，現有技術方案在面對異構身份信息管理、身份可信評價及身份隱私保護需求時還存在一些不足。

2 體系結構

本文將在跨域應用場景中構建基于區塊鏈的異構身份聯盟。該聯盟的體系架構支持異構的身份信息統一管理、跨域的信任傳遞，同時具備良好的擴展性，支持新的聯盟成員接入；具備可監管的特性，能夠滿足監管部門的管理要求；在性能方面，能夠提供便捷的認證服務；在安全性上，能保證用戶的隱私信息不被泄露。

2.1 體系模型

基于聯盟鏈的異構身份互信互通體系架構如圖1所示。該架構為解決異構身份管理系統之間統一身份標識、異構身份管理系統信任傳遞、跨域訪問、可信評價、隱私保護及行為監管分析等問題，提供基礎架構模型。

圖1 基于區塊鏈的異構身份聯盟體系

該架構由異構身份聯盟鏈、不同的異構身份管理系統和基礎身份信息庫（如提供用戶身份實體驗證的公安人口庫）組成。異構身份聯盟鏈是一個聯盟式區塊鏈系統，負責維護全聯盟用戶的實體統一身份憑證，并提供跨域的信任傳遞服務機制；異構身份管理系統在某個領域/組織內構建一個信任域，作為聯盟鏈節點加入身份聯盟，實現聯盟的機制和接口，為本域內用戶擴展提供跨域的信任服務；基礎身份信息庫為異構身份聯盟鏈提供基礎的身份信息支撐。同時，異構身份聯盟鏈需要滿足有關監管機構對跨域身份和行為監管的要求。

基于該框架可形成以用戶為中心、各節點分布式運維管理的異構聯盟統一身份信息庫，進一步可支持聯盟身份統一標識、信任傳遞、異構身份跨域訪問、信任評價及隱私保護等身份管理和認證服務。

2.2 系統方案

2.2.1 異構身份聯盟鏈系統

異構身份聯盟在聯盟成員間建設區塊鏈系統。該系統與聯盟成員的身份管理系統相互獨立，通過服務接口進行信息交互。

區塊鏈系統使用安全合規的數字證書和密碼服務設施，為其提供證書及非對稱密鑰管理、雜湊計算、加解密和簽名驗簽服務。

異構身份聯盟鏈節點定義為{GID，SKey/PKey,Cert}，其中GID為節點唯一編號，SKey/PKey是區塊鏈系統為節點頒發的節點公私鑰對，Cert是該節點的證書。

異構身份聯盟鏈節點支持按需擴展。新的身份管理系統加入異構身份聯盟鏈時，需通過聯盟鏈節點投票和擴展機制進行。

區塊鏈系統根據節點身份管理系統提供的服務級別，設置節點的可信評價系數。

2.2.2 基礎身份信息庫對接

異構身份聯盟通過基礎身份信息庫核驗注冊實體的真實身份?；A身份信息庫應當由合法合規的實體身份管理部門或機構提供?；A身份信息庫提供身份核驗服務接口，異構身份聯盟鏈通過服務調用等方式，將待核驗的實體身份信息發送到基礎身份信息庫，根據返回的核驗結果開展后續工作。

2.2.3 監管機構接入

異構身份聯盟支持國家網絡安全監管機構的接入，依法為監管機構提供用于司法管理的監管密鑰，在法律允許范圍內提供實體身份信息和行為信息查詢驗證服務。

3 關鍵機制

3.1 基于聯盟鏈的統一身份標識體系

異構身份聯盟為在身份管理系統中注冊的實體提供統一的身份屬性管理和認證服務。但是，實體身份屬性屬于用戶的私有數據，未得到用戶的批準，各身份管理系統無權將用戶的身份屬性數據提供給第三方進行使用。因此，為實現對實體的統一身份屬性管理和跨域認證服務，本文設計了基于聯盟鏈的統一身份標識體系，如圖2所示。該體系由統一身份標識、實體標識和實體身份屬性3個層次構成，可以在為不同成員提供身份屬性可信校驗的同時保護用戶隱私。

圖2 基于聯盟鏈的統一身份標識體系

統一身份標識（Unified Identity，UID）是實體在異構身份聯盟中的全局標識，由區塊鏈系統負責維護管理。區塊鏈系統為每個UID頒發可信的公私鑰對（SKuid/PKuid）。

實體標識由標識符和實體屬性哈希組成。標識符包括實體在身份管理系統中的標識（Identity，ID）和身份管理系統標識（Group Identity，GID）；實體屬性哈希是該實體在身份管理系統中登記的身份屬性信息通過哈希算法計算得到的校驗值。實體標識整體由身份管理系統的私鑰進行簽名后存儲在區塊鏈上。

實體身份屬性由身份管理系統管理，其格式和存儲方式由身份管理系統決定。聯盟鏈上不存儲用戶的具體身份屬性信息，而是通過實體標識與實體身份屬性信息建立關聯，并對外提供用戶身份屬性可信校驗，能夠保護用戶隱私。同一個用戶的不同實體標識通過鏈上的統一身份標識進行連接，實現異構身份管理系統之間實體身份屬性的關聯。實體身份屬性更新時，由身份管理系統與區塊鏈系統交互，實現實體身份屬性哈希值的更新。

有跨域訪問需求的實體需要在異構身份聯盟中注冊登記。注冊時首先通過基礎身份信息庫完成對實體身份屬性信息真實性的核驗，核驗通過后異構身份聯盟鏈為該實體頒發統一身份標識UID和私鑰SKuid，并觸發智能合約在區塊鏈中登記實體的屬性信息。

在這個體系中，通過基礎身份信息庫的核驗支持和聯盟鏈的分布式管理維護，形成一個全局可信的實體統一身份標識。因為該標識不單獨歸屬某個聯盟成員的身份管理系統，且不會暴露身份管理系統中的實體身份屬性信息，所以能夠消除聯盟成員因利益關系而不愿對外進行實體身份資源共享的問題。

詳細的實體身份標識設計如表1所示。

表1 區塊鏈系統中的實體身份標識

3.2 基于智能合約的跨域信任傳遞機制

區塊鏈的智能合約[20]允許在沒有可信第三方的情況下執行可信交易。對于進行跨域訪問的用戶，異構身份聯盟鏈首先核驗用戶的身份標識，確保用戶合法，然后核驗用戶的身份屬性信息，確保滿足信任驗證的要求。

核驗用戶身份標識基于統一身份標識機制實現，A域用戶User通過其已注冊的統一身份標識UID跨域訪問B域應用時，B域身份驗證服務調用區塊鏈查詢接口，核驗UID的合法性和簽名信息的正確性，核驗通過，B域應用接受A域用戶User。

核驗用戶的身份屬性信息需要用戶屬性管理智能合約來實現。在異構身份聯盟鏈中，聯盟成員需要根據業務特點、用戶的隱私保護需求等制定異構身份聯盟身份屬性管理和跨域身份認證管理的規則，需要通過智能合約的方式按條件觸發執行跨域訪問相關規則，確保身份屬性信息的可信、執行邏輯的公平合規和執行結果的不可篡改。聯盟鏈屬性管理智能合約主要包括用戶身份屬性可信登記智能合約、用戶身份屬性更新智能合約和用戶身份屬性可信核驗智能合約。

3.2.1 用戶身份屬性可信登記

用戶身份屬性可信登記智能合約主要實現各身份屬性提供商登記自己所擁有的用戶身份屬性，如圖3所示。

其中，協議字段的說明如表2所示。

圖3 用戶身份屬性可信登記智能合約

表2 協議字段的說明

3.2.2 用戶身份屬性更新

用戶身份屬性更新智能合約主要實現各身份屬性提供商更新自己所擁有的用戶身份屬性，如圖4所示。

圖4 用戶身份屬性更新智能合約

其中，協議字段的說明如表3所示。

表3 協議字段的說明

3.2.3 用戶身份屬性跨域可信核驗

用戶身份屬性可信核驗智能合約主要實現各應用通過聯盟鏈驗證用戶身份屬性是否可信。此處，假定A域用戶需要接入B域應用，首先B域身份管理系統驗證該用戶的身份標識，繼而通過區塊鏈實現該身份屬性信息的可信核驗。在屬性核驗過程中，區塊鏈發起投票，各節點的身份管理系統計算其所管理的用戶屬性的MH值，最終由區塊鏈系統根據動態可信度計算方法（見3.3節）計算得出用戶屬性的可信度，進而決定是否允許A域用戶接入，如圖5所示。

圖5 用戶身份屬性可信核驗智能合約

其中，協議字段的說明如表4所示。

表4 協議字段的說明

3.3 基于聯盟鏈的動態信任評價機制

3.3.1 跨域動態可信度的概念及其作用目標

異構身份聯盟體系中包含多個服務提供者，它們形成了多個身份管理域，其中每個域涵蓋一個或多個服務提供者?？缬騽討B可信度是指異構身份聯盟中兩個或者多個身份管理域。在每個評價周期內，根據用戶的狀態、行為以及歷史記錄，分析獲得的用戶身份可信程度綜合評價值，具有跨域、隨時間動態變化等特點?？缬蚩尚哦鹊墨@得分為兩個階段。第一階段，依據其身份屬性信息的真實性和完整性、身份認證方式和狀態以及訪問行為的合規性等因素，每個域對其所擁有的用戶等實體的可信度進行評價，獲得用戶可信度的局部評價結果。第二階段，為了形成對用戶可信度的綜合評價結果，每個域將其得到的用戶可信度傳遞給聯盟內的其他用戶管理域，最終形成聯盟內對用戶的綜合可信度評價。這里各個域的用戶可信度將通過智能合約動態形成聯盟的綜合可信度，并記錄在聯盟鏈上，能夠進行追蹤和驗證。綜合可信度評價結果將為各個域對用戶訪問服務/資源的權限管理提供重要依據。

3.3.2 跨域動態可信度評估模型

令Tij表示域i對用戶j的可信度評價結果，Zj表示異構身份聯盟對用戶j的綜合可信度評價結果。規定每個Tij和Zj取值范圍是0到1的實數，即Tij,Zj∈[0,1]。這種表示方式也可以通過表5的方法轉換成離散的5個可信度級別。

表5 用戶可信度相對關系

令Sij表示域i評估用戶局部可信度時所使用的用戶屬性集，fi為域i使用的評估算法，那么Tij=fi(Sij)。其中，不同域使用的fi可能不同，主要方法有基于貝葉斯理論的評估機制、基于Dempster-Shafer證據理論的評估方法、模糊評估方法和混合評估方法等。

進一步，基于異構身份聯盟內k個域的局部可信度評估值T1j,T2j,…,Tkj，可以獲得跨域動態綜合可信度：

3.3.3 動態可信度評估示例

假設異構身份聯盟包含3個域，分別使用基于貝葉斯理論的評估機制、基于Dempster-Shafer證據理論的評估方法和模糊評估方法對用戶j進行評估，獲得的局部可信度分別是0.62、0.79、0.71。聯盟對該用戶在上一個評價周期的綜合可信度評估結果為0.58，在本周期得到另外3個域的局部可信度評估結果后，可以獲得用戶j在本評價周期動態的綜合可信度：

可見，這里系數w0=w1=0.3，w2=w3=0.2。

3.4 異構身份聯盟的身份隱私保護機制

異構身份聯盟環境下存在海量的用戶實體的身份隱私信息。這些信息是異構身份聯盟生態中信任構建、業務服務的基礎，具有異構性、跨域性、海量和多形態的特征。身份隱私信息的泄漏特別是批量泄漏，將對個人、信息服務企業和社會造成巨大的危害，而異構身份聯盟大量的機構組織協同，涉及用戶身份隱私信息采集、管理、存儲和分享的人員眾多，對隱私保護帶來了進一步的挑戰。

異構身份聯盟隱私保護研究的目標主要關注關鍵技術的突破，重點考慮3個方面：身份服務中的隱私保護、身份隱私數據的安全共享和身份隱私處理分析環節的隱私保護?；谘芯刻岢隽艘环N基于聯盟鏈的異構身份聯盟隱私保護方案。

該方案引入了3個方面的隱私保護機制——基于聯盟鏈的身份管理平臺上的可監管匿名機制、基于屬性基加密的身份隱私資源安全共享機制（包括安全共享與細粒度訪問控制機制）和基于密態的身份隱私數據分析處理機制。

該方案設計了一種可監管的匿名認證模型[21]，如圖6所示。

圖6 可監管匿名認證模型

通過匿名證書的方式確定用戶的資源訪問權限和使用權限，同時用戶在出示證書時可選擇性地出示屬性，確保用戶的隱私信息不過度暴露。此外，方案中引入監管機制，可信中心（Certificate Authority，CA）可對匿名認證過程進行監管。該可監管匿名機制應用于基于聯盟鏈的身份管理平臺實現了跨異構信任域的身份互通互認，同時支持實體身份認證服務中的匿名保護與監管機構的合法監管。

首先，該可監管匿名認證模型包含CA、用戶和驗證者3個參與方。系統建立后，CA產生密鑰對、追蹤密鑰以及群公鑰，然后用戶進行注冊。CA為其分配一對公私鑰，同時根據用戶提交的屬性信息為用戶頒發相關的證書。在用戶出示證書時，驗證者可指定用戶證書上需要出示的屬性（如屬性1），用戶對證書進行簽名，同時隱藏無需出示的屬性值。驗證者可對簽名進行驗證，若通過驗證，則用戶出示的證書有效，否則無效。若出現爭端，驗證者可將用戶出示的證書發送給CA請求仲裁，CA利用追蹤密鑰恢復出用戶的真實身份。該可監管匿名認證模型解決了異構環境中用戶身份、屬性信息過度暴露的問題，也解決了目前匿名認證手段無法監管的問題，防止匿名的濫用。

其次，面向異構環境身份隱私共享場景，構建基于區塊鏈的異構身份聯盟數據安全共享模型及其數據安全保護和共享方案，降低密鑰管理的復雜性，利用區塊鏈開放性和防篡改的特點，實現高效的細粒度訪問控制，并具備抵抗攻擊能力。為了確保數據的安全性并且實現數據的細粒度訪問，使用基于RSA算法和密文策略的屬性基加密算法，并通過密文策略的屬性基加密實現了數據的一對多共享。

最后，針對分析處理環節的身份隱私泄露問題，采用基于密態身份信息的統計和搜索方法，確保分析處理過程中用戶隱私數據的全程加密。密態分析機制可以利用云服務器在計算和存儲能力上的優勢，將用戶數據加密后外包給云服務器。當用戶需要查詢時，只需提交相對應的密文指令，所有密文下的檢索、密文匹配等計算操作都將打包給云服務器執行[22]。因此，提出了一種在云計算環境下實現任意范圍的密文范圍查詢方案，利用KNN安全內積運算、保序加密、超遞增序列以及基于多項式的數據訪問控制策略，同時實現了密文環境下的高效范圍查詢和細粒度訪問控制[23]。

3.5 聯盟鏈中身份關聯和監管機制

在異構跨域環境下，開展實體網絡行為分析與監管，需要解決未知情況下異構身份聯盟多身份融合識別、跨域環境實體行為數據的有效獲取、多態網絡行為建模、多態網絡行為特征生成、網絡實體畫像、多態網絡行為預測分析以及跨域行為審計追蹤分析等問題。

3.5.1 基于屬性標簽的實體身份關聯

在開展異構跨域實體身份關聯時，采集用戶各種身份與行為標簽對標簽進行關聯與推斷，從而發現用戶關切屬性。通過對不同屬性基于重要性賦值，實現屬性向量建模。在屬性建模過程中，可以基于已采集的用戶屬性標簽，也可以利用基于屬性的用戶關聯度計算，推斷目標用戶的屬性標簽。用戶關聯度的計算可以從兩個方面展開。一方面，可以從多源標簽抽取與分析得到用戶標簽圖，結合行為屬性標簽網絡計算用戶關聯度，推斷隱藏屬性。另一方面，可以通過如推特等短文本抽取用戶興趣標簽，建立用戶-標簽關聯，并結合用戶-用戶社交關系、用戶已知屬性信息等構建用戶之間的關聯度推斷屬性。

基于屬性推斷用戶關系的過程是計算用戶向量相似度的過程。屬性向量的相似度計算包含主題屬性標簽和興趣屬性標簽的相似度。LDA模型[24]計算主題屬性標簽可以得到不同主題屬性的概率，從而使得主題屬性標簽相似度通過JSD模型計算獲得。最后，將用戶關聯度以矩陣形式給出，計算轉換矩陣和用戶之間的關聯值，即關聯度統計信息，進而可實現在具有相似屬性向量的用戶之間建立關聯關系。

3.5.2 基于事務模型的用戶行為關聯挖掘方法

在多態網絡行為關聯分析方面，采用關聯規則挖掘建立用戶行為關聯模型。在挖掘網絡用戶行為的頻繁項集時，使用事務模型分析兩類對象間的多對多關系。一類對象稱為項（Item），另一類對象稱為事務（Transaction），模型中相關定義如下。

項集（Itemset）表示項的集合，記為i，項集的全集記為I={i1,i2,…,in}。事務由多個項集組成，記為T={t1,t2,…,tn}且ti?I。通常假設一個事務涵蓋項的數量，相對于所有項的總數目而言要小得多，而事務的數目很大。

頻繁項集是出現在多個事物中的項集，表現為支持度大于閾值s的項集。對于項集X，其支持度s定義為包含項集X的事務數目Xcount占全部事務數目n的比例，即：

對于項集X和項集Y，一個關聯規則記為X→Y，其中X?I、Y?I且X∩Y=φ，表示如果項集X出現在某個事務中，則意味著項集Y也可能會出現在該事務中?？梢允褂弥眯哦群椭С侄葋碓u價這種關聯規則的強度。

關聯規則X→Y的支持度s指包含項集X和Y的事務占所有事務的比例，即：

關聯規則的支持度s表示了包含項集X和Y的事務的頻繁程度。從概率統計的角度看，可看成是包含X和Y的事務的概率估計。

關聯規則的置信度c指包含項集X和Y的事務數目與包含X的事務數目的比值，即：

對于給定數據集，在挖掘關聯規則時，首先指定最小支持度（min_sup）和最小置信度（min_conf），其次挖掘滿足條件的頻繁項集，最后生成關聯規則。生成關聯規則后，可以用興趣度檢驗關聯規則是否有效。

通過支持度和置信度可以計算用戶行為之間的關系。但是，在用戶行為庫中，可能存在單一用戶行為組成的頻繁項集，也有可能存在多個用戶行為組成的頻繁項集。為了計算一個用戶行為的支持度，需要遍歷所有的用戶行為。顯然，當數據量大時，所需要的計算量非常大。為了提高計算效率，采用Apriori算法計算網絡用戶行為間的關聯規則。

Apriori算法的基本思想是，如果某個項集是頻繁項集，它所有的子集也都是頻繁項集。因此，如果一個項集是非頻繁項集，那么它所對應的超集必然不是頻繁項集。

4 系統原理驗證設計

4.1 原理驗證系統技術架構

基于聯盟鏈的異構身份聯盟是一個分布式系統，分散部署在各組成節點。聯盟技術架構如圖7所示，由存儲層、區塊鏈層和服務接口層組成。其中，存儲層主要用于存儲異構身份聯盟節點信息和區塊數據，區塊數據中記錄實體的標識和核驗數據，基于實體標識可關聯獲取存儲于成員身份管理系統的實體身份信息。本存儲系統可擴展存儲實體身份評價信息、實體認證行為記錄信息等。區塊鏈層實現區塊的生成、索引及查詢等管理，并實現用戶身份屬性可信登記、更新及可信核驗等智能合約。服務接口層面向聯盟節點、實體用戶提供服務接口，包括聯盟節點注冊、實體認證服務、實體可信度評價服務和實體行為監管等接口。

圖7 異構身份聯盟鏈系統技術架構

各身份管理系統部署于異構身份聯盟鏈的節點，但與異構身份聯盟鏈系統相互獨立，通過注冊接口注冊到區塊鏈系統，獲得唯一的聯盟節點標識GID。系統中的實體用戶A注冊到區塊鏈系統后，獲得全局唯一的實體身份標識UID。

基于此架構，通過實現統一身份標識機制、跨域訪問機制、動態信任評價機制、身份隱私保護機制和身份管理及跨域監管機制，能夠有效實現對異構實體身份的統一管理和對跨域安全身份認證服務的支持。

4.2 技術原理驗證系統

基于異構身份聯盟鏈架構搭建了模擬系統。該系統由5個節點組成，其中3個節點實現異構身份管理系統接入，組成異構身份聯盟鏈；1個節點實現基礎身份信息庫的連接；1個節點實現與監管系統的連接。同時，為驗證技術應用效果，在節點上模擬實現了3個異構身份管理系統，使用測試數據。驗證平臺架構如圖8所示。

圖8 原理驗證平臺架構

模擬系統的參數性能如表6所示。

表6 模擬系統性能參數

為有效驗證區塊鏈系統對異構身份聯盟統一身份標識、跨域身份認證等機制的支撐能力，模擬平臺重點驗證了系統在進行用戶標識、認證記錄等交易數據記鏈時的存儲性能和TPS性能。經模擬測試，基于區塊鏈的異構身份管理系統能夠有效支撐異構身份聯盟相關功能的實現。

4.2.1 系統的存儲性能分析

測試數據模擬方案：1）每條交易大小以2k為基準，增加0～0.5k隨機擾動；容量足夠記錄用戶的統一身份標識信息和認證記錄信息；2）每個塊設置200條交易，因此一個塊大小約4M。

經測試，系統存儲消耗隨業務量的增加線性增長。在100萬用戶量、每用戶月均2000次跨域認證活動場景下，系統每年所需存儲容量為48G（4G×12月）左右。模擬的區塊鏈系統存儲服務運行正常，具有良好的存取性能和穩定性。

4.2.2 系統交易處理性能分析

對系統的交易性能測試（結果如圖9所示）表明，基于區塊鏈的異構身份管理與監管系統在支撐跨域訪問及監管業務時，能夠滿足其性能需求。

圖9 模擬系統交易處理性能

（1）系統TPS指標正常，交易處理平均時延小于10 s，平均吞吐量不小于400 TPS；

（2）模擬系統使用3臺服務器，服務器性能配置如下：CPU8核3.6G，8G DDR內存，機械硬盤，日志級別WARN。經測試，服務器、應用服務器、數據庫服務器磁盤、CPU及內存資源占用均不超過80%，滿足對硬件系統的要求，帶寬隨并發用戶數波動正常，無明顯網絡延遲，用戶體驗良好。

5 結 語

本文針對網絡空間異構身份管理方面的平臺不互通、跨域認證體驗差、可信評估缺失、身份隱私保護不足及行為監管不全面等現實問題進行了研究，重點設計了可實施的異構身份管理體系架構。該架構基于區塊鏈實現了異構身份管理系統的可信接入，形成了實體的統一網絡身份標識，支持實體跨域和安全身份認證，并在保護實體身份隱私的同時實現了行為數據的可監管。該框架及相關機制的設計為實現網絡空間異構身份管理奠定了基礎。后續工作中，需要針對跨國（地區）之間身份認證等應用場景完善體系框架；需要繼續設計多種跨域身份認證的智能合約，滿足不同場景認證需要；需要研究提升實體身份關聯準確度和智能分析方法，提升監管工作的效能。