随着数字化进程的深入,身份管理成为各行各业数字化转型的核心基础。传统的身份系统采用中心化架构,存在隐私泄露风险高、跨域互信难、依赖第三方缺乏自主权等问题。分布式数字身份(Decentralized IDentity,DID)技术基于分布式架构,通过标识符和可验证凭证(Verifiable Credential,VC),使用户能够自主掌控身份数据,实现跨域身份互认与安全可信的身份验证。目前,DID技术标准在国内外标准化组织快速完善,且已进入产业实践阶段。中国移动与德国电信联合牵头在GSMA成功立项的《6G分布式信任与安全》,主要面向6G网络云化与分布式自治的场景,使用DID技术解决运营商之间、以及网内子网间跨域互信证书管理困难的问题,旨在为6G网络提供高效、安全的信任基础设施。未来,DID技术不仅将支撑6G网络构建高效安全的信任体系,还将在政务服务、金融科技、医疗健康等领域规模化应用,为数字中国建设提供关键支撑。
DID技术背景与标准化演进
当前,6G网络正朝着“空天地”一体化、云网融合及智能动态协作的方向演进,其“万物智联、数字孪生”的愿景核心在于构建一个由用户和设备深度参与、高度协同的分布式自治网络。在此范式下,身份管理系统不仅需要支持亿级异构终端(如卫星、无人机、微基站等)的动态、分布式协同接入与低时延跨域互信,更需要保障每个实体(包括用户和设备)对其数字身份享有完全的主权与控制权,能够自主地进行身份创建、更新和授权。
然而,传统基于PKI/CA的中心化证书体系在架构理念上与上述需求存在根本性冲突:其一,其根CA的单点信任模型与6G的分布式自治愿景相悖,一旦根CA失效或遭受攻击,将可能影响全域信任链条的稳定性;其二,证书的签发、更新与撤销操作完全依赖中心化机构,实体无法自主管理身份生命周期,难以满足高动态环境下海量终端即插即用、身份属性实时更新的敏捷性要求;其三,跨域认证通常依赖于中心化的间接信任模型(如桥接、交叉认证等),其认证流程需经由预设的信任链条逐级回溯,这不可避免引入较高的验证延迟,难以支撑跨运营商、跨管理域的实时协同需求。这些固有缺陷使得传统中心化证书体系无法支撑6G网络实体在分布式环境下实现自主、可信的身份管理。
在此背景下,DID技术作为数字身份体系的重大演进方向应运而生,其去中心化、自主可控的架构特性,为6G的分布式自治愿景提供了原生的身份信任解决方案。当前,DID技术已在万维网联盟(World Wide Web Consortium,W3C)、分布式数字身份基金会(Decentralized Identity Foundation,DIF)、国际标准化组织(International Standardization Organization,ISO)等国际组织形成多项标准与建议。W3C于2022年发布DID核心规范《Decentralized Identifiers》,明确DID的定义、架构与解析机制,为全球DID技术应用奠定“通用语言”基础。DIF聚焦DID互操作性,通过制定DID通信协议(如DIDComm)和身份钱包标准,为异构系统兼容性构建桥梁。ISO也在推进相关国际标准的制定工作。这一系列进展共同标志着DID技术正从概念探索迈向体系化、国际化的产业应用新阶段。
DID技术原理
DID是一种新型的分布式数字身份,由用户自主生成、注册和管理,无需中央注册机构。DID技术通常基于分布式账本技术实现身份锚定,结合可验证凭证机制,实现身份信息的可信传递与身份验证。DID技术主要包括三部分核心组件:DID标识符、DID文档和可验证凭证。
DID标识符由用户自主生成具有全球唯一性,一个实体可对应多个DID,实体在通过注册申请后可获得一个或多个由自己进行维护管理的DID标识符。DID文档包含与该身份相关的公钥、验证方法、服务端点等信息,用于身份验证和交互。DID标识符和DID文档是严格的一一对应关系。DID标识符和DID文档的关系结构如图1所示。
图1 DID标识符和DID文档的关系结构
可验证凭证是一种包含持有者声明(如学位、驾照等)的数字文件,其服务流程如图2所示。整个过程可分为以下五个关键步骤:
(1)注册身份标识符:签发者与持有者分别为自身创建DID标识符,并将该标识符及其对应的DID文档注册至分布式账本,完成身份锚定。
(2)颁发可验证凭证:签发者向持有者颁发VC,并使用自身私钥对凭证进行数字签名,以确保凭证的真实性与完整性。
(3)凭证的存储与管理:持有者将所获VC安全存储于个人数字钱包中,实现对凭证的完全自主控制,可自主决定在何时、向何人、披露哪些信息。
(4)凭证的出示与披露:当需证明某一身份属性时,持有者从数字钱包中选择相关VC,并仅向验证者披露必要信息,实现最小化隐私暴露。
(5)凭证的验证:验证者根据VC中所含的DID信息,从分布式账本中获取签发者与持有者的公钥,验证凭证签名的有效性,从而在充分保护隐私的前提下完成可信验证。
图2 可验证凭证服务流程
DID技术优势
DID技术主要解决了传统身份系统在控制权、安全性与互操作性方面的不足,其技术优势主要体现在以下方面:
(一)自治身份,用户拥有身份控制权
DID技术赋予用户对其数字身份的完全控制权,身份标识符由用户自主生成并管理,可永久关联用户身份,不同DID标识符所代表的身份之间互不相关,有效降低了身份信息之间的耦合性。并且,DID标识符本身不包含任何个人身份信息,与用户真实信息(如姓名、身份证号)解耦,降低隐私暴露风险。这种自治身份(Self-Sovereign Identity,SSI)模式有效避免了中心化机构对身份数据的垄断与滥用。
(二)隐私保护与最小披露原则
DID技术支持VC的选择性披露,用户可在不暴露全部身份信息的前提下证明某些属性(如年龄、学历等),符合隐私保护的最小披露原则,显著降低个人信息泄露风险。
(三)跨系统互操作,打破身份孤岛
DID技术具备全球唯一性与解析能力,可跨不同平台、行业和国家进行身份识别与验证,实现真正意义上的数字身份互联互通,推动跨域业务协同。
总结与展望
DID技术以其去中心化、自主可控、隐私友好和跨域互操作的核心优势,已成为构建下一代数字信任体系的关键基石。面向6G分布式自治的网络愿景,DID技术能够有效应对海量异构终端动态接入、跨域身份互信、身份生命周期自主管理等核心挑战,为6G网络提供原生、高效、安全的分布式身份基础设施。推动DID技术与6G架构的深度融合,不仅有助于提升网络的自治能力与协同效率,也为6G国际标准的制定提供具备分布式信任能力的架构理念,强化我国在6G安全与信任体系构建中的话语权。
未来,应加快推进DID技术在6G典型场景中的标准化与示范应用,推动形成统一、开放、可互操作的DID技术框架与接口规范。这将为构建全球领先的6G信任基础设施奠定坚实基础,进而赋能政务、金融、医疗等关键领域的数字化转型,助力数字中国建设迈向新阶段。
审核:粟栗 | 安全技术研究所(中国移动人工智能安全治理研究中心)
作者:叶欣宇、阎军智 | 安全技术研究所(中国移动人工智能安全治理研究中心)
声明:本文来自中移智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
