基于身份標識和區塊鏈技術的粵港澳大灣區法人及其他組織跨境身份認證應用研究

黃潤飛 陳賢明 黃燕玲 陳樹樂 孫玉潔

摘 要：針對目前粵港澳三地組織機構跨境身份認證機制不健全，傳統身份認證體系認證過程復雜、證書維護管理困難等問題，本文提出了一種基于身份標識密碼的聯盟區塊鏈跨境身份認證方案，通過利用組織機構編碼這個身份標識信息代替數字證書進行身份認證和訪問控制，在簡化了認證過程、提高認證效率的同時，又避免了傳統認證體系繁雜的證書管理。通過本文提出的認證方案，為推動粵港澳大灣區法人和其他組織實現身份互認、促進粵港澳大灣區法人和其他組織信息互聯互通提供技術支撐，為國內經營主體進一步參與港澳的市場經濟活動提供便利。

關鍵詞：組織機構編碼，跨境身份認證，身份標識，區塊鏈

DOI編碼：10.3969/j.issn.1674-5698.2023.08.008

0 引 言

2019年2月份，中共中央、國務院印發了《粵港澳大灣區發展規劃綱要》，提出要不斷深化粵港澳互利合作，三地共同探索協同發展模式，實現粵港澳經營主體信息互通互認。2021年9月份，廣東省人民政府發布《廣東省深入推進資本要素市場化配置改革行動方案》，提到加速粵港澳大灣區金融市場互聯互通，以區塊鏈技術為基礎，粵港澳共建“征信鏈”，促進粵港澳大灣區征信合作。粵港澳三地的融合發展都離不開經營主體的參與，由于港澳地區與內地制度不一致的原因，導致三地法人和其他組織登記管理模式、注冊模式、數據采集定義等尚未達成統一標準，互認協商機制和數據共享機制尚未建立，阻礙了灣區三地經營主體身份的互通互認。

本文通過引入聯盟區塊鏈技術，以組織機構編碼為基礎，探索一種基于身份標識密碼和聯盟區塊鏈技術的跨境身份認證機制，以推動粵港澳大灣區經營主體信息的互聯互通，實現對三地經營主體身份信息的有效認證，為三地經營主體的互通合作提供支撐。

1 組織機構身份識別應用情況

統一社會信用代碼是我國內陸地區法人和其他組織的“數字身份證”，具有唯一性，是經營主體身份信息的唯一識別碼。自2015年國務院關于統一社會信用代碼制度改革以來，我國建設完成了全國統一社會信用代碼數據庫，歸集來自市場監督管理局、民政、編辦、司法、總工會、民宗委等18個登記管理部門48個機構類型的經營主體數據，形成了完整、準確、權威、覆蓋全面的組織機構數據服務中心。近年來，廣東省以統一社會信用代碼數據為基礎，在多個應用領域持續開展了多項研究并取得了很好的成果[1]，港澳地區在金融、海關、電商等領域持續開展組織機構身份認證應用，不斷推進可信數字身份的創新應用。

1.1 統一社會信用代碼應用成果

（1）有效識別法人和其他組織機構身份信息

基于統一社會信用代碼唯一標識的特性，對法人和其他組織機構信息進行核查校驗，最終實現身份識別。目前，廣東省在出入境備案審查、團員組織關系轉接、虛假注冊地址識別等應用中，充分發揮了統一社會信用代碼對法人和其他組織機構身份進行有效識別的作用，根據法人和其他組織統一社會信用代碼判斷信息的真實性和有效性，準確識別身份信息，提升對法人和其他組織機構的管理效率。

（2）法人和其他組織機構信息關聯比對分析

通過統一社會信用代碼查詢法人和其他組織機構的相關信息，核查比對數據的準確性，根據數據比對結果，對存在差異數據的法人和其他組織機構進行核實確認，甄別異常機構。基于統一社會信用代碼數據的特性，廣東省在金融領域已經有深入的探索應用，為銀行等機構提供了穩定可靠的數據比對分析服務，提升了銀行對公賬戶的管理效率，加強了金融機構防范風險的能力。

1.2 組織機構身份識別應用優勢

（1）身份識別唯一標識

統一社會信用代碼作為法人和其他組織機構的“數字身份證”，能夠唯一且準確地標識身份信息。不同于數據的其他屬性項信息內容，統一社會信用代碼在數據庫中是作為主鍵配置的，屬性的配置決定了數據項的唯一性，不會出現字段數據重復的情況。一旦機構提交注冊信息，登記管理部門配發統一社會信用代碼后，這條數據就會及時生效，只要機構處于存續狀態且未發生變更，該統一社會信用代碼就會與機構進行綁定，通過代碼就能準確識別到該機構。

（2）實現跨境信息連通

雖然港澳地區和內地的制度不一致，但對從事市場活動的法人和其他組織機構的管理手段都是通過組織機構編碼進行識別和管理。我國內地的機構標識碼是用18位阿拉伯數字或大寫英文字母組成的統一社會信用代碼表示，香港地區是16位的商業登記證編碼，澳門地區則是7位的商業登記號[2]。數據結構的不一致會導致數據表示、標識規則、語義表達上出現差異，但是，通過對三地數據項進行合理地處理，比如：采用交集或并集，再根據語義分析對數據項進行轉換，就可以構建粵港澳三地都能識別的數據項，為灣區三地經營主體信息互通共享奠定基礎，也可以作為打通港澳地區與內地經營主體之間活動的橋梁。

（3）便于跨境身份核驗

在粵港澳大灣區三地法人和其他組織機構信息互通共享的基礎上，通過建立大灣區經營主體身份信息互認機制，為三地經營主體進行商貿、文化等經濟活動和社會活動提供便利。標識碼是連接港澳地區和內地經營主體信息的紐帶。通過對標識碼的識別和驗證，可以有效核驗跨境經營主體的身份信息，即可以確保身份識別的準確性，又可以提高信息數據的安全性，為進一步促進跨境經貿活動，實現三地融合發展提供支撐。

2 身份認證技術

2.1 PKI認證

公開密鑰基礎設施（P u bl ic KeyInfrastructure，PKI）是一套通過公鑰密碼算法提供安全服務的基礎設施。PKI采用數字證書對公鑰進行管理，通過第三方的可信任機構（CA），把用戶的公鑰和其他標識信息捆綁在一起，實現對用戶身份信息的實效認證[3]。

在PKI身份認證體系中，為保證信息發送方能夠正確獲取接收方的公鑰，需要一個可信的第三方機構（CA）來綁定實體與其擁有的密碼對，CA只有在確認實體知道其公鑰所對應的私鑰后，才會為主體頒發證書，證書中包含了實體的標識信息、公鑰以及CA的電子簽名。信息發送方首先需要獲得接收方的證書，在驗證證書的合法性之后，信息發送方會通過證書中的公鑰對信息進行加密并發送。發送方與接收方的交互過程如下。

Step1：接收方向CA請求證書；

Step2：CA接受請求并為接收方頒發證書；

Step3：接收方將證書中的公鑰向發送方公開；

Step4：發送方獲得接收方公鑰后請求CA驗證該公鑰的合法性；

Step5：CA驗證接收方證書并向發送方確認；

Step6：發送方用接收方的公鑰加密信息并發送給接收方；

Step7：接收方用自己的私鑰解密信息。

在PKI認證體系中，每一個主體都需要一個證書，當用戶數量迅速增加時，證書的管理和維護將非常困難，同時，發送方在發送信息時首先需要獲得接收方的證書，并請認證中心CA對證書的合法性進行驗證，只有驗證通過之后才會繼續發送信息，導致了認證過程非常復雜。

2.2 基于聯盟鏈的跨域身份認證

在基于聯盟鏈的跨域認證模型中，不同區域的CA將各自信任域內的證書狀態變更信息同步到聯盟鏈上，不同域的實體通過聯盟鏈進行身份驗證[4]，基于聯盟鏈的跨區域身份認證模型如圖1所示。

通過聯盟區塊鏈的方式，區域A中的實體要實現與區域B中實體的身份互認，只需要在聯盟鏈上查找對方的當前CA證書狀態信息，減少了CA證書的認證次數以及認證鏈路的復雜度，提升了跨域身份認證效率。

傳統聯盟區塊鏈仍然是通過PK I實現各實體之間的訪問控制。PKI通過認證機構CA提供安全服務，從而保障實體身份信息的可信任。由于存在CA單點故障問題，認證鏈路的穩定性得不到保障，同時，CA證書維護管理難的問題依舊存在。對于不同區域之間的實體，要實現跨域身份認證，就需要對不同的實體頒發不同的CA證書，也加大了跨域認證互聯的難度。

2.3 基于標識密碼的身份認證

基于標識密碼（Identity Based Cryptography，IBC）的身份認證，通過將實體的身份標識信息與公鑰進行綁定，每個主體的身份標識就是公鑰[5]。2016年3月，國家密碼管理局正式發布GM/T 0044-2016《SM9 標識密碼算法》，SM9算法是一種基于標識的公鑰密碼算法，其中公鑰數據就是可以唯一標識主體身份的信息，比如：電子郵件、電話號碼等唯一屬性都可以作為主體的公鑰。

IBC通過將主體唯一標識屬性作為公鑰并公開發布，不需要額外生產和存儲，可以不用依賴證書和證書管理系統，簡化了認證過程和密碼管理的復雜度，也有效解決了PKI身份認證需要大量交換數字證書的問題，提高了身份認證效率[6]。

主體根據IBC體系中公鑰的唯一性，可以對數據進行簽名，即“數字簽名”，通過“數字簽名”可以對主體的身份信息進行驗證。比如：主體A將加密的身份信息發送主體B，主體B就可以根據該主體A的公鑰對其身份進行驗證（因為公鑰是公開且唯一的，只有用公鑰對應的私鑰加密的信息才能用公鑰解密）。IBC數字簽名過程如下。

Step1：主體A用個人信息向密鑰生產中心申請密鑰對；

Step2：密鑰生成中心為主體A分發密鑰對；

Step3：主體A用私鑰簽名信息并發送給主體B；

Step4：主體B用主體A的公鑰驗證簽名信息。

簽名驗證如圖2所示。

3 法人和其他組織跨境身份認證

3.1 現狀及問題

（1）組織機構數據異構

由于粵港澳三地法律制度差異性等原因，內地和港澳地區關于法人和其他組織機構的登記注冊管理模式還沒有統一，數據的采集定義也沒有達成統一的標準，在推動實現大灣區互聯互通、融合發展方面的探索，目前也只是處于初期階段，還未形成統一協調發展的有效模式和典型經驗。因此，要實現粵港澳大灣區法人和其他組織機構信息的互聯互通，首先需要統一灣區三地組織機構身份標識的數據基礎項，解決灣區三地組織機構標識長度不一致、信息語義表達存在二義性、數據差異性等問題。

（2）身份互認機制未建立

目前，關于粵港澳大灣區法人和其他組織的跨境身份認證機制一直處于待研究階段，還未形成成熟、穩定的認證體系，這也就導致了灣區三地組織機構在跨境貿易活動中，會出現身份信息認證渠道不流暢、認證過程復雜困難、認證結果準確性得不到保證甚至認證失敗等問題。因此，灣區三地法人和其他組織機構在開展跨境業務時，如何正確識別主體身份信息，有效構建身份認證體系，實現互通有無，就成為了一個關鍵問題。

3.2 基于身份標識和區塊鏈的跨境身份認證

內地的組織機構統一社會信用代碼和港澳地區的組織機構編碼都具有唯一性，都能夠唯一標識組織機構的身份信息。根據基于標識密碼（IBC）的身份認證，可以將組織機構編碼作為主體身份信息的唯一標識碼，構建一種基于身份標識密碼和聯盟區塊鏈的跨境身份認證體系[7]。在該體系中，密鑰生成中心可以是聯盟區塊鏈中的任一節點，主體A向聯盟鏈節點發出請求后，節點會確認信息并發放密鑰對給主體A，其中公鑰是主體A的身份信息和該節點的唯一標識信息（即機構編碼）的拼接信息，私鑰則是根據SM9標識密碼算法計算生成，當主體A向節點發送交互請求時，只需用私鑰簽名并附上公鑰、交互信息，節點就會對簽名的合法性進行驗證。主體和聯盟區塊鏈節點的交互過程如下。

Step1：申請主體通過發送身份標識信息（機構編碼）向聯盟區塊鏈節點請求密鑰；

Step2：區塊鏈節點審核主體身份信息后，將主體身份標識信息和本節點的自身標識信息（機構編碼）拼接后形成公鑰，同時根據SM9標識密碼算法計算得到私鑰，公鑰私鑰一同發送給申請主體；

Step3：申請主體獲得密鑰后，用私鑰進行簽名，隨后將交互信息、公鑰、簽名信息一并發送給區塊鏈節點；

Step 4：區塊鏈節點收到信息后對簽名和身份標識進行驗證，身份驗證通過后接受申請主體的本次交互，完成對申請主體的身份認證。

在該認證過程中，區塊鏈節點對每一次交互的密鑰進行管理和配發，由于標識信息的唯一性，決定了每一次交互的對象都是特定的，區塊鏈節點配發的密鑰只能對本節點進行訪問，節點對認證的申請主體身份有效性負責。

基于身份標識和聯盟區塊鏈的粵港澳大灣區跨境身份認證模型如圖3所示。

其中，域代理服務器用于維護管理本地主體身份標識信息（機構編碼）并同步到聯盟鏈，在該模型中，廣東的主體請求香港主體進行認證，香港主體通過聯盟鏈獲得廣東主體的標識信息后形成密鑰發送給廣東主體，并根據上述主體和聯盟區塊鏈節點的交互過程完成身份認證。

該模型在不需要任何數字證書的情況下就能對發起方的身份進行認證，即完成了對發起方的訪問控制，又解決了PKI體系證書管理難的問題。

4 結 語

本文從技術應用層面提出了一種基于身份標識和區塊鏈的粵港澳大灣區法人和其他組織跨境身份認證方案，通過組織機構編碼唯一性的這個屬性特點，結合區塊鏈去中心化、可追溯、不可篡改等技術特點，以解決灣區三地主體跨境身份認證難等問題。通過本文提出的跨境身份認證方案，可以優化解決傳統認證體系證書維護管理成本高、認證效率低等缺點，為實現灣區三地經營主體自由便利往來提供技術支持。本文的認證方案是基于現有技術的基礎上提出來的，仍然需要進一步的深化研究，特別是對加密算法的優化。同時，隨著相關技術的不斷迭代更新和新技術的不斷涌現，跨境身份認證的應用研究將會更加成熟、全面和高效。

參考文獻

[1]陳賢明，高麗濤，覃震宇，等. 基于廣東組織機構數字證書的網上辦事大廳身份識別技術研究[J]. 標準科學， 2015（2）：94-96.

[2]陳賢明，黃潤飛，黃燕玲. 粵港澳大灣區市場主體身份信息共享機制研究[J]. 中國標準化， 2021（18）：25-29.

[3]陳立全，李瀟，楊哲懿，等. 基于區塊鏈的高透明度PKI認證協議[J]. 網絡與信息安全學報， 2022（4）：1-11.

[4]黃逸翔，王亞威，陳文軒，等. 基于聯盟鏈的PKI跨域認證模型[J]. 計算機工程與設計， 2021（11）：3043-3051.

[5]姚英英，常曉林，甄平. 基于區塊鏈的去中心化身份認證及密鑰管理方案[J]. 網絡空間安全， 2019，10（6）：33-39.

[6]黃仁季，吳曉平，李洪成. 基于身份標識加密的身份認證方案[J]. 網絡與信息安全學報， 2016，2（6）：00047-1-00047-6.

[7]邱煒偉，李偉，梁秀波，等. 一種基于身份標識密碼的聯盟區塊鏈訪問控制方法[P]. CN201811636140.2，2019，5.