一種面向電子證據服務體系的區塊鏈可信數字身份認證平臺設計

汪寧 白伊瑞 朱蕓蕓 雷虹 高昊昱 武依冰 王浩

1.公安部第一研究所 2.海南大學

引言

隨著區塊鏈應用場景不斷豐富和復雜化，區塊鏈之間的數據流通、應用協同需求日益顯現，越來越多的區塊鏈項目提出跨鏈需求與解決方案。不同機構和服務間需要進行交互，存在跨越多個安全域進行訪問的需求，每個安全域內可能都存在一套本域身份管理機制，在這種情況下，需要進行交叉認證，實現跨域互聯，難以采取統一方式實現身份聯合和單點登錄，存在跨域訪問時用戶身份隱私泄露的風險，并且帶來了重復認證的額外運行開銷。

在我國法條、司法解釋和相關規定中，電子證據需要從真實性、關聯性、合法性三個方面進行認證，以保證電子證據得到司法認可。但是，作為電子證據的主體，一個“人”在網絡世界中僅是虛擬存在的一個數字身份，并不與法定身份強制綁定，并且各個平臺的數字身份單方儲存、相互隔離，使電子證據主體身份在司法實踐中的存證、取證和證據認定環節仍然存在痛點。

針對上述問題，文獻[1～3]進行了大量研究。文獻[1]旨在介紹區塊鏈數字身份借助于區塊鏈技術不可篡改、不可抵賴等優良特性，使電子數據的認定過程變得非常簡便[1]。文獻[2]旨在介紹區塊鏈數字身份讓用戶控制和管理數字身份，將數據所有權歸還用戶，從而在根本上解決用戶身份數據隱私問題[2]。文獻[3]旨在介紹用分布式基礎設施改變應用廠商控制數字身份的模式，讓用戶控制和管理數字身份，通過將數據所有權歸還用戶從根本上解決隱私問題[3]。以上均未對區塊鏈在電子證據服務體系中的應用進行設計。

本文針對公檢法司電子證據市場通過建設電子證據身份憑證，深度解決電子證據行為人的真實身份關聯、提升電子證據服務平臺司法效力的痛點需求，依托“互聯網+”可信數字身份認證平臺（以下簡稱CTID平臺）的權威可信數字身份認證，開展面向電子證據服務體系的區塊鏈可信數字身份認證關鍵技術研究，設計了面向電子證據服務體系的區塊鏈可信數字身份認證平臺，構建了基于區塊鏈的可信數字身份認證服務、基于區塊鏈的可信數字身份跨鏈互認服務，實現了完整的用戶數字身份信任鏈，以及虛擬數字身份到真實身份的唯一映射。同時，設計了平臺的典型應用場景。

一、關鍵技術

目前，區塊鏈技術是電子證據服務領域最熱門的新型技術，并且司法領域對可信數字身份服務的需求十分迫切。本文實現了數字身份全生命周期管理、跨鏈身份互認、隱私保護等關鍵技術，在電子證據服務體系中發揮了積極的作用。

（一）基于區塊鏈的數字身份全生命周期管理技術

數字身份是一套可承載實體對象（人或者物）的現實身份與鏈上身份的可信映射，以及實體對象之間安全的訪問授權和數據交換解決方案。區塊鏈數字身份為用戶提供自主可控、全域自發現的分布式數字身份，將用戶身份的管控權還給用戶，并打破跨平臺信息屏障。

基于區塊鏈數字身份的全生命周期管理包括數字身份注冊、凍結、解凍、變更和注銷幾項功能，具體流程如圖1所示。

其中，注冊數字身份用于用戶生成密鑰對，根據數字身份注冊流程構建并發起注冊交易、上傳分布式數字身份標識（Decentralized Identity，DID）文檔完成注冊；凍結數字身份用于授權管理賬戶構建并發起凍結交易，進行DID數字身份凍結；解凍數字身份用于授權管理賬戶構建并發起解凍交易，進行DID數字身份解凍；變更DID密鑰用于授權管理賬戶構建并發起密鑰變更交易，上傳新的公鑰，完成DID密鑰變更；注銷數字身份用于授權管理賬戶構建并發起注銷交易，進行DID數字身份注銷。

（二）基于區塊鏈的跨鏈數字身份互認技術

在區塊鏈上具有用戶身份信息的鏈稱作身份鏈，其上層的應用子鏈身份稱作子鏈身份。身份鏈用于管理子鏈身份與用戶身份，應用子鏈如果需要與其他平行子鏈進行跨鏈操作，就必須事先在身份鏈上注冊身份。子鏈身份包括身份ID、身份公鑰、該子鏈對外公開的資源管理API，以便實現基于身份的服務發現。

身份鏈為上層所有子鏈頒發統一的區塊鏈應用的用戶身份，子鏈可以驗證其他子鏈的用戶身份，用戶也可以在不同的子鏈上轉移自身數據。跨鏈數字身份互認流程如圖2所示。

第一步，應用鏈B（以下簡稱B鏈）發起對應用鏈A（以下簡稱A鏈）的身份認證，A鏈通過接口或服務調用的方式對B鏈的應用權限進行核驗，B鏈將身份信息傳遞給A鏈，實現A鏈對B鏈的身份信息校驗。

第二步，B鏈的身份信息校驗通過后，A鏈對B鏈發起數據提取申請，B鏈通過驗證A鏈業務ID和身份憑證或查詢A鏈數據的方式實現A鏈的可信數字身份認證和真實身份核驗。

第三步，A鏈將對應B鏈身份信息反饋給B鏈應用密鑰管理系統，B鏈通過簽名驗簽的方式對A鏈的可信數字身份實現數據密封，并加密存儲。

跨鏈數字身份互認技術打通了不同應用子鏈之間的可信身份互認，為安全的跨鏈互通提供信任基礎。

（三）可信數字身份隱私保護技術

在安全性和隱私保護方面，DID具有特殊的優勢，身份所有者身份信息不被無意泄露，身份可以由身份持有者持久保存，身份信息提供可符合最小披露原則。將身份還給用戶，合規能力再提升。證照信息數據流通如圖3所示。

圖3左側圖是將個人數據進行鏈上標識和存儲，實現用戶在完整、高效且不泄露他人數據的前提下向企業申請提供或轉移個人數據。這種方式將用戶身份數據還給用戶保存，從根本上避免企業在保管個人數據過程中的各種隱患，同時高度貼合《個人信息保護法》《數據安全法》對個人身份數據的要求。

圖3右側圖是在證照使用過程中，利用金融級HSM實現核心數據加密存儲，且加密密鑰只留存在HSM機器內部，外界無法獲取，高可信保證數據存儲安全。另外，以區塊鏈為載體和校驗手段，通過分層授權、分層披露、數據逐級驗真等技術手段，實現基于區塊鏈的數據高效共享和可信流通。

在認證披露方面，傳統認證披露必須顯示身份所有者的全部身份信息，存在身份竊取、身份冒用、跟蹤作案、客戶騷擾等潛在隱私風險。選擇性認證披露可規避這種潛在隱私風險，可拆分驗證聚合簽名和零知識證明，支持離線認證、毫秒級披露信息和相關證明生成延時、千字節憑證數據大小。選擇性認證披露具有以下優勢：

（1）可自主選擇需披露證書屬性明文值；

（2）可支持斷言披露方式，僅提供“是否滿足條件”的斷言證明，不提供具體信息；

（3）實現屬性隱私同時可認證可監管的特性。

如圖4所示。

二、平臺架構設計

本文基于以上研究，設計了基于區塊鏈的可信數字身份服務體系，實現了一個包含BaaS平臺、基于區塊鏈的可信數字身份認證服務及基于區塊鏈的可信數字身份跨鏈服務三個主體功能的區塊鏈可信數字身份應用服務平臺，為滿足公檢法司電子證據相關的市場需求提供支撐。

（一）總體架構設計

本文設計的業務架構如圖5所示，區塊鏈可信數字身份服務平臺主要完成基礎區塊鏈服務層、接口層、應用層和安全控制的設計。

其中，基礎區塊鏈服務層為上層接口和應用提供基礎支撐服務，具體包括BaaS平臺、隱私計算服務、跨鏈服務，以及數字身份服務。

接口層為上層應用提供接口服務，具體包括APP接入服務接口、數字身份認證接口、憑證服務接口、跨鏈身份互認接口，以及權限管理接口。其中，APP接入服務接口主要用于控制接入數字身份服務平臺的外部應用的認證授權等功能，保證數字身份服務本身的安全性；數字身份認證接口主要用于基于區塊鏈數字身份的生命周期管理，以及和CTID進行綁定驗證等功能；憑證服務接口主要用于憑證信息的加密存儲、訪問授權認證等功能，實現個人信息的安全存儲；跨鏈身份互認接口主要用于對各個區塊鏈系統中的數字身份標識，提供解析服務，用于獲取數字身份標識的詳細信息；權限管理接口主要是對上層各個模塊對密鑰管理模塊中各個功能調用權限的管理，保證密鑰管理中密鑰安全。

應用層通過區塊鏈可信數字身份服務平臺為用戶提供終端和平臺端應用。利用接口層提供的服務，實現基于終端的用戶身份管理和實名認證，以及基于平臺端的數字身份生命周期管理、電子證據身份憑證管理、分布式密鑰管理、APP接入管理等業務管理和身份核驗、跨鏈身份互認等協同應用。

安全控制層為所有接口和應用提供安全控制和服務保障。

（二）基于區塊鏈的可信數字身份BaaS服務

本文采用國產自主可控的成熟區塊鏈系統作為基礎設施，并在此基礎上搭建BaaS平臺，提供區塊鏈瀏覽器、節點管理服務、密鑰管理服務、智能合約Web IDE等功能，為用戶提供可視化操作界面，提高開發效率[4]，可信數字身份區塊鏈BaaS平臺整體架構如圖6所示。

其中，BaaS管理平臺即可視化操作平臺，對BaaS服務進行可視化操作。交易服務包括接收交易、緩存交易、異步上鏈，可大幅提升吞吐量。密鑰服務模塊包括托管用戶密鑰、提供云端簽名等服務。節點管理服務包括提供節點狀態、鏈上智能合約、監管委員會管理等。前置服務是指節點數據采集、活性監控、事件監聽等。

同時為了更方便進行數字身份相關服務的使用，在區塊鏈系統之上，將在W3C去中心化數字身份協議之上加入CTID作為鏈上身份和真實身份的映射[5]，從而提供可信數字身份的創建、管理、認證、取證功能。

（三）基于區塊鏈的可信數字身份認證服務

可信數字身份認證服務主要是通過用戶提供的數字身份標識，獲取數字身份信息文檔，通過文檔中的公鑰驗證消息的可靠性，同時通過文檔中CTID，獲取鏈上身份映射的真實身份相關信息，再通過調用“互聯網+”可信身份認證平臺的相關接口[6]，找到CTID對應的真實身份相關信息，從而實現在不存在中心機構的前提下，多方機構間的可信數字身份認證流程閉環。區塊鏈BaaS平臺認證服務系統架構如圖7所示。

（四）基于區塊鏈的可信數字身份跨鏈服務

跨鏈服務系統架構如圖8所示，該服務的主要作用在于打通身份鏈和應用鏈之間信息傳遞通道，從而實現第三方證據的保全功能。通過該服務，各個應用鏈可以在該服務注冊鏈驅動引擎以及應用鏈上智能合約訪問地址。在第三方請求各個應用鏈上數據時，服務會創建對應的驅動去對應的應用鏈上讀取相應數據，從而實現多鏈信息互通[7]。

三、典型應用場景

本文通過功能和應用場景的統一，推動電子證據服務向綜合化、多場景應用融合發展，促進電子證據服務統籌整合和集約化管理，可為公檢法司用戶實現虛實身份綁定、真實身份認證等典型應用場景，實現用戶的可信數字身份認證。

（一）用戶虛實身份綁定

用戶虛實身份綁定如圖9所示。

第一步，用戶在不同的電子證據平臺已經分別注冊了不同的匿名賬號用戶A和用戶B，其中電子證據平臺分別分配了兩對公私鑰，用戶將私鑰保存在本地。

第二步，用戶通過電子證據平臺接口輸入自己的人臉信息進行認證，電子證據平臺將人臉信息發送給CTID平臺進行認證，并返回用戶的CTID。

第三步，將用戶在不同電子證據平臺對應的賬號名（用戶A和用戶B）、公鑰和CTID綁定后寫到數字身份認證平臺上的數字身份鏈。

第四步，最終形成用戶在不同電子證據平臺私鑰和公鑰、公鑰和CTID的對應關系，實現用戶真實合法身份與虛擬身份的綁定。

（二）用戶真實身份認證

用戶真實身份認證具體流程如圖10所示。

第一步，用戶向電子證據平臺發送人臉信息進行認證。

第二步，電子證據平臺向認證平臺發送用戶信息，包括公鑰、簽名（私鑰、內容）。

第三步，數字身份認證平臺通過公鑰、簽名、內容驗證簽名，判斷用戶張三公私鑰是否匹配。

第四步，數字身份認證平臺將用戶身份和CTID進行綁定。

第五步，將綁定了用戶CTID信息的數字身份寫入到數字身份認證服務平臺的數字身份鏈上。

四、結語

目前，區塊鏈數字身份還處于初期發展階段，國際國內由技術公司主導的行業規范和應用方興未艾、百花齊放的同時，也需要尋求共識、共建生態。

本文面向區塊鏈電子存證領域，提出一種面向電子證據服務體系的區塊鏈可信數字身份認證平臺，平臺主要用于給各個電子證據應用提供完善可信的數字身份創建、管理、認證等服務。本文重點研究了基于區塊鏈的可信數字身份認證平臺設計與實現，介紹了區塊鏈可信數字身份認證服務平臺的整體架構和使用流程，闡明了本文提出方案在公檢法司領域的典型應用場景。最后針對研究現狀中的不足與挑戰，展望了未來的研究方向。

同時，需要注意的是，我們應當充分認識到區塊鏈數字身份在電子證據服務市場的重要性，遵循客觀規律，尊重電子證據的本質屬性，構建科學的電子證據主體身份認證規則體系，促進電子證據合法、合理、充分地運用，實現電子證據應有的功能和作用。只有完善電子證據規則，電子證據的存證、取證、示證、質證、認證都有理可循，我們才能享受到區塊鏈數字身份帶來的司法便利，迎來司法存證高效便捷的新局面。