隨著數(shù)字化進(jìn)程的深入，身份管理成為各行各業(yè)數(shù)字化轉(zhuǎn)型的核心基礎(chǔ)。傳統(tǒng)的身份系統(tǒng)采用中心化架構(gòu)，存在隱私泄露風(fēng)險(xiǎn)高、跨域互信難、依賴第三方缺乏自主權(quán)等問題。分布式數(shù)字身份（Decentralized IDentity，DID）技術(shù)基于分布式架構(gòu)，通過標(biāo)識(shí)符和可驗(yàn)證憑證（Verifiable Credential，VC），使用戶能夠自主掌控身份數(shù)據(jù)，實(shí)現(xiàn)跨域身份互認(rèn)與安全可信的身份驗(yàn)證。目前，DID技術(shù)標(biāo)準(zhǔn)在國(guó)內(nèi)外標(biāo)準(zhǔn)化組織快速完善，且已進(jìn)入產(chǎn)業(yè)實(shí)踐階段。中國(guó)移動(dòng)與德國(guó)電信聯(lián)合牽頭在GSMA成功立項(xiàng)的《6G分布式信任與安全》，主要面向6G網(wǎng)絡(luò)云化與分布式自治的場(chǎng)景，使用DID技術(shù)解決運(yùn)營(yíng)商之間、以及網(wǎng)內(nèi)子網(wǎng)間跨域互信證書管理困難的問題，旨在為6G網(wǎng)絡(luò)提供高效、安全的信任基礎(chǔ)設(shè)施。未來(lái)，DID技術(shù)不僅將支撐6G網(wǎng)絡(luò)構(gòu)建高效安全的信任體系，還將在政務(wù)服務(wù)、金融科技、醫(yī)療健康等領(lǐng)域規(guī)模化應(yīng)用，為數(shù)字中國(guó)建設(shè)提供關(guān)鍵支撐。

1、DID技術(shù)背景與標(biāo)準(zhǔn)化演進(jìn)

當(dāng)前，6G網(wǎng)絡(luò)正朝著“空天地”一體化、云網(wǎng)融合及智能動(dòng)態(tài)協(xié)作的方向演進(jìn)，其“萬(wàn)物智聯(lián)、數(shù)字孿生”的愿景核心在于構(gòu)建一個(gè)由用戶和設(shè)備深度參與、高度協(xié)同的分布式自治網(wǎng)絡(luò)。在此范式下，身份管理系統(tǒng)不僅需要支持億級(jí)異構(gòu)終端（如衛(wèi)星、無(wú)人機(jī)、微基站等）的動(dòng)態(tài)、分布式協(xié)同接入與低時(shí)延跨域互信，更需要保障每個(gè)實(shí)體（包括用戶和設(shè)備）對(duì)其數(shù)字身份享有完全的主權(quán)與控制權(quán)，能夠自主地進(jìn)行身份創(chuàng)建、更新和授權(quán)。然而，傳統(tǒng)基于PKI/CA的中心化證書體系在架構(gòu)理念上與上述需求存在根本性沖突：其一，其根CA的單點(diǎn)信任模型與6G的分布式自治愿景相悖，一旦根CA失效或遭受攻擊，將可能影響全域信任鏈條的穩(wěn)定性；其二，證書的簽發(fā)、更新與撤銷操作完全依賴中心化機(jī)構(gòu)，實(shí)體無(wú)法自主管理身份生命周期，難以滿足高動(dòng)態(tài)環(huán)境下海量終端即插即用、身份屬性實(shí)時(shí)更新的敏捷性要求；其三，跨域認(rèn)證通常依賴于中心化的間接信任模型（如橋接、交叉認(rèn)證等），其認(rèn)證流程需經(jīng)由預(yù)設(shè)的信任鏈條逐級(jí)回溯，這不可避免引入較高的驗(yàn)證延遲，難以支撐跨運(yùn)營(yíng)商、跨管理域的實(shí)時(shí)協(xié)同需求。這些固有缺陷使得傳統(tǒng)中心化證書體系無(wú)法支撐6G網(wǎng)絡(luò)實(shí)體在分布式環(huán)境下實(shí)現(xiàn)自主、可信的身份管理。

在此背景下，DID技術(shù)作為數(shù)字身份體系的重大演進(jìn)方向應(yīng)運(yùn)而生，其去中心化、自主可控的架構(gòu)特性，為6G的分布式自治愿景提供了原生的身份信任解決方案。當(dāng)前，DID技術(shù)已在萬(wàn)維網(wǎng)聯(lián)盟（World Wide Web Consortium，W3C）、分布式數(shù)字身份基金會(huì)（Decentralized Identity Foundation，DIF）、國(guó)際標(biāo)準(zhǔn)化組織（International Standardization Organization，ISO）等國(guó)際組織形成多項(xiàng)標(biāo)準(zhǔn)與建議。W3C于2022年發(fā)布DID核心規(guī)范《Decentralized Identifiers》，明確DID的定義、架構(gòu)與解析機(jī)制，為全球DID技術(shù)應(yīng)用奠定“通用語(yǔ)言”基礎(chǔ)。DIF聚焦DID互操作性，通過制定DID通信協(xié)議（如DIDComm）和身份錢包標(biāo)準(zhǔn)，為異構(gòu)系統(tǒng)兼容性構(gòu)建橋梁。ISO也在推進(jìn)相關(guān)國(guó)際標(biāo)準(zhǔn)的制定工作。這一系列進(jìn)展共同標(biāo)志著DID技術(shù)正從概念探索邁向體系化、國(guó)際化的產(chǎn)業(yè)應(yīng)用新階段。

2、DID技術(shù)原理

DID是一種新型的分布式數(shù)字身份，由用戶自主生成、注冊(cè)和管理，無(wú)需中央注冊(cè)機(jī)構(gòu)。DID技術(shù)通?；?span id="xjf13nz" class="technical_term" style="box-sizing: border-box; color: rgb(0, 85, 255); cursor: pointer;">分布式賬本技術(shù)實(shí)現(xiàn)身份錨定，結(jié)合可驗(yàn)證憑證機(jī)制，實(shí)現(xiàn)身份信息的可信傳遞與身份驗(yàn)證。DID技術(shù)主要包括三部分核心組件：DID標(biāo)識(shí)符、DID文檔和可驗(yàn)證憑證。

DID標(biāo)識(shí)符由用戶自主生成具有全球唯一性，一個(gè)實(shí)體可對(duì)應(yīng)多個(gè)DID，實(shí)體在通過注冊(cè)申請(qǐng)后可獲得一個(gè)或多個(gè)由自己進(jìn)行維護(hù)管理的DID標(biāo)識(shí)符。DID文檔包含與該身份相關(guān)的公鑰、驗(yàn)證方法、服務(wù)端點(diǎn)等信息，用于身份驗(yàn)證和交互。DID標(biāo)識(shí)符和DID文檔是嚴(yán)格的一一對(duì)應(yīng)關(guān)系。DID標(biāo)識(shí)符和DID文檔的關(guān)系結(jié)構(gòu)如圖1所示。

圖1 DID標(biāo)識(shí)符和DID文檔的關(guān)系結(jié)構(gòu)

可驗(yàn)證憑證是一種包含持有者聲明（如學(xué)位、駕照等）的數(shù)字文件，其服務(wù)流程如圖2所示。整個(gè)過程可分為以下五個(gè)關(guān)鍵步驟：①注冊(cè)身份標(biāo)識(shí)符：簽發(fā)者與持有者分別為自身創(chuàng)建DID標(biāo)識(shí)符，并將該標(biāo)識(shí)符及其對(duì)應(yīng)的DID文檔注冊(cè)至分布式賬本，完成身份錨定。②頒發(fā)可驗(yàn)證憑證：簽發(fā)者向持有者頒發(fā)VC，并使用自身私鑰對(duì)憑證進(jìn)行數(shù)字簽名，以確保憑證的真實(shí)性與完整性。③憑證的存儲(chǔ)與管理：持有者將所獲VC安全存儲(chǔ)于個(gè)人數(shù)字錢包中，實(shí)現(xiàn)對(duì)憑證的完全自主控制，可自主決定在何時(shí)、向何人、披露哪些信息。④憑證的出示與披露：當(dāng)需證明某一身份屬性時(shí)，持有者從數(shù)字錢包中選擇相關(guān)VC，并僅向驗(yàn)證者披露必要信息，實(shí)現(xiàn)最小化隱私暴露。⑤憑證的驗(yàn)證：驗(yàn)證者根據(jù)VC中所含的DID信息，從分布式賬本中獲取簽發(fā)者與持有者的公鑰，驗(yàn)證憑證簽名的有效性，從而在充分保護(hù)隱私的前提下完成可信驗(yàn)證。

圖2 可驗(yàn)證憑證服務(wù)流程

3、DID技術(shù)優(yōu)勢(shì)

DID技術(shù)主要解決了傳統(tǒng)身份系統(tǒng)在控制權(quán)、安全性與互操作性方面的不足，其技術(shù)優(yōu)勢(shì)主要體現(xiàn)在以下方面：

①自治身份，用戶擁有身份控制權(quán)

DID技術(shù)賦予用戶對(duì)其數(shù)字身份的完全控制權(quán)，身份標(biāo)識(shí)符由用戶自主生成并管理，可永久關(guān)聯(lián)用戶身份，不同DID標(biāo)識(shí)符所代表的身份之間互不相關(guān)，有效降低了身份信息之間的耦合性。并且，DID標(biāo)識(shí)符本身不包含任何個(gè)人身份信息，與用戶真實(shí)信息（如姓名、身份證號(hào)）解耦，降低隱私暴露風(fēng)險(xiǎn)。這種自治身份（Self-Sovereign Identity，SSI）模式有效避免了中心化機(jī)構(gòu)對(duì)身份數(shù)據(jù)的壟斷與濫用。

②隱私保護(hù)與最小披露原則

DID技術(shù)支持VC的選擇性披露，用戶可在不暴露全部身份信息的前提下證明某些屬性（如年齡、學(xué)歷等），符合隱私保護(hù)的最小披露原則，顯著降低個(gè)人信息泄露風(fēng)險(xiǎn)。

③跨系統(tǒng)互操作，打破身份孤島

DID技術(shù)具備全球唯一性與解析能力，可跨不同平臺(tái)、行業(yè)和國(guó)家進(jìn)行身份識(shí)別與驗(yàn)證，實(shí)現(xiàn)真正意義上的數(shù)字身份互聯(lián)互通，推動(dòng)跨域業(yè)務(wù)協(xié)同。

4、總結(jié)與展望

DID技術(shù)以其去中心化、自主可控、隱私友好和跨域互操作的核心優(yōu)勢(shì)，已成為構(gòu)建下一代數(shù)字信任體系的關(guān)鍵基石。面向6G分布式自治的網(wǎng)絡(luò)愿景，DID技術(shù)能夠有效應(yīng)對(duì)海量異構(gòu)終端動(dòng)態(tài)接入、跨域身份互信、身份生命周期自主管理等核心挑戰(zhàn)，為6G網(wǎng)絡(luò)提供原生、高效、安全的分布式身份基礎(chǔ)設(shè)施。推動(dòng)DID技術(shù)與6G架構(gòu)的深度融合，不僅有助于提升網(wǎng)絡(luò)的自治能力與協(xié)同效率，也為6G國(guó)際標(biāo)準(zhǔn)的制定提供具備分布式信任能力的架構(gòu)理念，強(qiáng)化我國(guó)在6G安全與信任體系構(gòu)建中的話語(yǔ)權(quán)。

未來(lái)，應(yīng)加快推進(jìn)DID技術(shù)在6G典型場(chǎng)景中的標(biāo)準(zhǔn)化與示范應(yīng)用，推動(dòng)形成統(tǒng)一、開放、可互操作的DID技術(shù)框架與接口規(guī)范。這將為構(gòu)建全球領(lǐng)先的6G信任基礎(chǔ)設(shè)施奠定堅(jiān)實(shí)基礎(chǔ)，進(jìn)而賦能政務(wù)、金融、醫(yī)療等關(guān)鍵領(lǐng)域的數(shù)字化轉(zhuǎn)型，助力數(shù)字中國(guó)建設(shè)邁向新階段。

作者：葉欣宇、閻軍智

單位：中國(guó)移動(dòng)人工智能安全治理研究中心