第一章 BSN实名DID服务简介
为服务国家战略,抢占区块链技术制高点,2018 年,国家信息中心牵头研发和顶层设计,并联合中国移动、中国银联、北京红枣科技等单位共同发起建立了区块链底层公共基础设施——区块链服务网络(BSN)。五年来, BSN 围绕关键技术开展研发和攻关,为分布式技术发展和下一代互联网构建提供了高质量的技术支撑平台和可扩展的基础设施服务,在促进技术创新、构建商业化平台并持续推动产业化应用、引领行业发展,以及开拓海外市场等方面取得了令人瞩目的成就。
2016 年由国家发展改革委批准,在公安部指导下公安部第一研究所建设了国家“互联网+”行动计划重大保障支撑工程,暨“互联网+可信身份认证平台”(CTID 平台),面向全社会各行各业提供“权威、安全、可信、便捷”的统一网络身份认证服务,在政务民生、交通出行、医疗健康、金融服务、数字通信等多个领域发挥了巨大作用。
从 2022 年底开始,BSN发展联盟联合中盾安信(厦门)、中国移动设计院等单位针对充分融合 BSN区块链服务网络和 CTID 数字身份链两大基础设施,拓展 CTID 平台的中心化身份认证能力,使其同时具备分布式身份认证能力进行了探讨。经过一年的设计、研发,几家单位即将正式推出 BSN 实名 DID 服务。
在技术实现上,BSN 实名 DID 服务由中盾安信在 BSN 公网的延安链上部署并管理实名 DID 智能合约,任何业务方采集到用户的真实身份信息(“身份证+姓名”或“身份证+姓名+面部识别”),即可通过该服务向中盾安信运营的身份链平台发送请求,经过 CTID平台的身份核验后,即由中盾安信在 BSN 延安链上签发用户的 BSN 个人实名 DID,并为业务方提供 DID 管理和更新、身份证明凭证等服务。
基于 BSN 实名 DID 服务,可以构建起多元化的实名认证体系,满足“前台匿名、后台实名”的管理要求,作为对目前中心化的身份认证体系强有力的补充,满足各种业务、各种场景的需要,并对个人数据管理体系产生重大影响,在推动数据要素合规高效、安全有序流通,提高数据要素管理水平,激活数据要素潜能等方面发挥出重要作用,为国家数据基础设施建设奠定坚实的基础。
目前,已经有民生银行、太平洋保险、中移动互联网公司、河南广电、国家卫健委等多家大型企业和政府机构参与到 BSN 实名 DID 服务的前期测试。该服务的几家发起单位也设计出了多个应用场景,这些应用场景与国家当前着力推行的释放数据要素价值、保护个人隐私、助力数字经济高质量发展战略高度一致,具体包括:
任何软件、网站或APP等互联网应用都可以为其个人用户生成业务公私钥对(私钥可以进行托管,也可以由个人用户自行保管)。个人用户产生任何数据集时,该应用都可以为数据集生成哈希,并使用用户私钥进行签名,再通过BSN实名DID服务,经过CTID平台对个人用户的身份证、姓名、人脸等身份信息进行验证后,将用户公钥写入延安链上的BSN官方实名DID文档,并将数据集哈希、签名值、DID标识符和公钥索引上链到延安链官方存证合约,进行数据确权存证。
在数据没有发生变化的前提下,无论该数据集如何流通,任何业务方都可以通过调用个人用户在延安链上的BSN官方实名DID文档内的公钥和延安链官方存证合约里该数据集的确权存证信息(均为公开数据),验证该数据集与个人身份之间的权属关系,并可以做到“前台匿名、后台实名”。在这一服务场景内,数据集可以是任何形态的数据文件和数据格式,例如图片、文件、PDF、二进制数据包、电子邮件等。
除了为文件生成哈希并使用私钥进行签名的模式以外,该服务还支持在某些文件格式内直接嵌入私钥签名的模式(例如PDF文档),以及直接使用链账户/链钱包的公私钥对进行确权的模式。
任何网站、APP、小程序或者软件,在与其他平台传送个人相关数据时,都要各自为自然人生成公私钥对,并通过BSN实名DID服务将公钥写入延安链上的BSN官方实名DID文档。相互传输数据的双方可以通过BSN官方实名DID文档内的公钥对数据进行相互加密,接收方必须使用对应的个人私钥才能进行解密,确保个人数据在互联网上传输时处于高层次的加密保护下。这样的机制能够让一个业务方在传递数据前,确保另外一个业务方也掌握同一用户的基本信息,“前台匿名、后台实名”,从而降低个人数据泄露的风险。
即使在不需要强加密的数据传输场景下,一个业务方也可以使用私钥对数据进行签名,另一方收到数据时,仅通过BSN官方实名DID标识和公钥索引,在BSN官方实名DID文档内检索出对应公钥并进行签名验证,便可确保个人数据在传输过程中的完整性,达到防伪造、防篡改、防抵赖的效果。
在互联网中心化的单方系统架构下,个人用户使用任何网站、APP、小程序或者软件,都必须提供自己的隐私数据,否则这些互联网应用便无法提供服务,这是全世界互联网行业的一个难题。利用BSN实名DID服务,很多业务方可以向个人用户提供“个人隐私保护登录服务”。
个人用户使用BSN实名DID服务的官方小程序或APP,经过CTID平台对个人用户的身份证、姓名、人脸等身份信息进行验证后,可以自行生成BSN官方实名DID,并将自己的公钥写入BSN官方实名DID文档。提供“个人隐私保护登录服务”的业务方,可以在注册界面让用户提供BSN官方实名DID标识或与之关联的BSN全网分布式域名,并使用个人私钥签名(扫码或弹出微信小程序)来验证BSN官方实名DID的归属,完成注册流程。之后用户即可使用私钥签名登录业务方系统,而业务方系统的数据库内都以BSN官方实名DID作为用户标识,并以此为基础来处理所有业务。
这样的设计实现了个人数据在业务侧完全匿名,同时满足了实名管理要求。业务方完全无法掌握个人用户信息,即使发生数据泄露,也只是业务数据。这些业务数据因为没有关联到具体的个人隐私数据,对侵入方来说也完全不具有任何意义;同时,这样的机制也能防止业务方利用销售个人数据非法牟利。
出于安全因素考虑,在业务处理上, BSN官方实名DID文档内只能存储公钥和公钥索引。因此BSN推出了BSN自定义业务DID,作为对BSN官方实名DID的补充。
BSN自定义业务DID由业务方和BSN共同签发,申请时必须使用BSN官方实名DID文档内的公钥所对应的私钥签名,而BSN则通过使用关联的BSN官方实名DID文档内的公钥验证签名值来完成联合签发,以确保BSN自定义业务DID的实名性。业务方的DID签发公私钥对可以是任何加密算法,这也是BSN自定义业务DID的灵活性之一。业务方对BSN自定义业务DID文档的内容有绝对控制权,可以写入任何文本。当业务方在一个公共环境内(任何人都可以读取)与其他业务方针对某个具体用户进行公钥、加密数据和脱敏数据互动时,可以将BSN自定义业务DID文档作为连接器。通过这种新的信息化架构,可以打造出非常多的降本增效业务场景。
BSN官方个人身份证明凭证经由CTID数字身份链平台签发,使用固定的凭证模板。任何网站、APP、小程序或者软件,都可以为其个人用户申请BSN官方个人身份证明凭证。申请时,需要经过CTID平台对个人用户的身份证、姓名、人脸等身份信息进行验证,并使用BSN平台方DID内的公钥所对应的私钥进行签名,以及使用CTID数字身份链平台的公钥进行加密。CTID数字身份链平台生成BSN官方个人身份证明凭证并返回给业务方,业务方可以在不同场景内使用该凭证进行业务处理。该凭证具有两套模板,一套为标准模板,另一套在标准模板之上增加了个人的BSN官方实名DID标识。
BSN官方个人身份证明凭证通常用于与第三方的业务相互认证。第三方收到该凭证后,可以验证凭证是否由CTID数字身份链平台签发、是否由合作企业申请,以及可以通过由身份证、姓名等身份信息生成的哈希对个人身份进行验证,以达到对个人相关的业务数据或事项进行相互验证的目的,并且可以做到“前台匿名、后台实名”。BSN官方个人身份证明凭证可以下载到本地设备内,包括手机或者电脑浏览器等,并进行本地验证。
BSN官方个人身份信息凭证服务由CTID数字身份链平台提供。该凭证直接向个人用户颁发,可以作为个人身份信息的载体。该凭证的签发流程非常严格,任何APP如需申请该凭证,必须使用CTID数字身份链平台移动端SDK。该凭证以及凭证关联的私钥由用户自行管理,业务方无法取得。
个人用户持有该凭证,可以在一定程度上作为“前台匿名、后台实名”的个人身份信息载体使用。在需要验证用户个人身份的场景,如果业务方拥有能够支持该凭证的设备,即可直接从用户手机上读取该凭证进行验证。
BSN自定义业务个人身份凭证由业务方签发,是BSN官方个人身份证明凭证的补充,具有很强的业务灵活性。业务方可以自定义面向个人用户的业务凭证模版,并将其上传到延安链。凭证模版内可以包含BSN官方实名DID标识、公钥索引、BSN平台方DID签名值和灵活的业务数据字段等数据域。
业务方在签发BSN自定义业务个人身份凭证时,可以使用BSN官方实名DID文档内已有的公钥所对应的私钥签发,并将凭证哈希上传到延安链官方存证合约。第三方进行业务凭证验证时,可以根据BSN官方实名DID标识或与之关联的BSN全网分布式域名,调出相应的BSN官方实名DID文档,并使用索引找到公钥,对凭证的实名性进行验证后,再根据业务数据字段进行业务处理。
BSN自定义业务个人身份凭证完全由业务方签发,凭证模板也完全由业务方定义,因此上述格式仅作为参考。业务方可以自由组合,例如可以使用BSN平台方DID内的公钥所对应的私钥进行签发,并将个人用户的BSN官方实名DID文档内的公钥所对应的私钥签名写入凭证。业务方甚至可以自行完成关联了BSN官方实名DID的自定义凭证的签发,完全不使用本服务。本服务主要提供了模板的公示和验证,以及凭证哈希的公示和验证服务。
需要强调的是,BSN 实名 DID 服务作为一项底层技术逻辑,它的潜在的应用范围是非常广阔的。在上述应用场景之外,我们也希望能有更多的合作伙伴和业务平台方,设计出更多的应用场景,让这项技术能够发挥出更多价值,为社会治理和经济发展做出更多贡献。
尽管分布式身份认证目前还是一个相对前沿的概念,但是从我们目前了解到的情况来看,这项技术在全世界范围内得到广泛应用已经是不可逆的技术发展趋势,最终将为整个 IT 行业带来革命性的变化,对各个领域、各行各业产生广泛而深远的影响。欧洲目前已经推出个人数字身份和 DID 的相关立法,但是预计 2026 年才会启动具体的建设。BSN 实名 DID 服务的推出,不仅标志着中国在这一领域占据了领先位置,引领了全球技术发展路线,还意味着未来我们有机会让中国的技术体系成为全球范围内的分布式实名数字身份标准。
与此同时,对于 BSN 自身而言,作为一项底层技术公共基础设施,BSN 已经在全世界范围内赢得了广泛认可。而 BSN 实名 DID 服务标志着 BSN 向基础能力和应用场景层面的迈进,随着这一服务得到广泛应用,必定能够促使人们在分布式网络基础设施的固有认知之外,进一步提高对 BSN 的理解,进而推动 BSN 的发展迈上一个新的台阶。
备注:数据安全说明
- 所有终端用户的个人敏感信息均由业务方进行加密后,才通过BSN实名DID服务API接口发送到CTID数字身份链平台,并最终在延安链上生成BSN官方实名DID。在整个过程中,BSN各方无法接触、收集或存储任何个人信息;
- 延安链由国家信息中心、中国移动集团设计院、CTID数字身份链平台运营方、信通院云大所和红枣科技通过各自建立验证节点来进行共治共管,以确保没有任何单独一方可以对链环境进行重构或者修改;
- BSN实名DID服务相应的智能合约由CTID数字身份链平台部署并管理,任何其他公司和人员都无法对该合约进行干扰和修改,以确保合约本身的安全性和权威性;
- BSN官方实名DID由权威的CTID数字身份链平台生成,其签发私钥对应的公钥是公开的,任何人都可以通过公钥来验证BSN官方实名DID的生成方为合法并具有公信力的机构。