基于区块链的异构身份联盟与监管体系架构和关键机制*

董贵山，张兆雷，李洪伟，白 健，郝 尧，陈宇翔

（1.中国电子科技集团公司第三十研究所，四川 成都 610041；2.成都卫士通信息产业股份有限公司，四川 成都 610041；3.电子科技大学 计算机科学与工程学院（网络空间安全学院），四川 成都 611731）

0 引 言

信任是伴随人类社会运行的重要机制之一，而身份认同是信任的基础[1]。在数字时代，网络身份是实现数字化信任、促进现实世界与网络空间虚实结合的关键，是实施网络空间治理的基础。政府高度重视网络空间信任问题，2016年发布了《国家网络空间安全战略》和《网络安全法》，明确了网络身份的重要性，将构建网络信任体系、提高网络科学化规范化管理作为九大战略任务之一[2]。

在网络身份发展过程中，因实体所处的组织（信任域）不同，身份管理系统的技术路线不同，形成了不同类型的网络身份，如政务身份、社交身份及商务身份等。身份管理系统间难以互通，网络身份间难以互认，造成了信任“孤岛”，给网络空间的融合发展带来了诸多挑战。

因此，当前网络身份管理的重要发展目标之一是实现身份在跨组织跨系统使用时的安全可信互认。当网络身份体制相同时，可以通过建立统一身份管理系统或者构建类似于桥CA的互通机制实现这一目标。当网络身份体制不同时（即异构身份），统一身份管理系统等方法在实践上难以实现。

我国在落实“一带一路”战略、“互联网+”战略及“智慧城市”战略过程中，存在政务数字身份、境外eID身份和社交身份等多种不同网络身份。异构身份管理是当前急需解决的重要问题。该问题的困难在于如何在两个没有信任关系、技术体制差异明显的系统间建立信任，并在此基础上构建可操作的用户身份可信评价和信任传递机制、身份隐私信息保护机制和有效的监管审计机制。

“联盟”是在不同实体间实现共识和合作的有效方式。区块链技术尤其是联盟链和智能合约技术的发展，为构建异构身份联盟提供了新的技术思路。

基于区块链的异构身份联盟由跨技术体制、跨组织领域的多个身份管理系统组成。各身份管理系统的地位是对等的，通过共识机制约定各系统的可信程度、身份管理服务级别，实现对实体身份可信度的统一度量和评判，以解决异构身份跨领域应用时的信任传递问题，并结合区块链中的新型密码机制，实现对实体身份隐私信息的有效保护，以及对身份管理系统和网络实体的行为监管。

本文围绕异构身份联盟的体系架构问题及关键机制开展研究。第1节分析国内外现状，第2节提出了一种基于区块链的异构身份联盟的体系架构，第3节阐述联盟架构中相应的关键机制，第4节验证体系架构和技术机制，最后对工作进行总结并提出未来研究的方向。

1 国内外现状分析

1.1 传统网络身份管理技术

网络身份管理和认证技术是网络空间安全框架的重要组成部分。国内外科研机构和组织持续关注身份管理技术和应用，相关研究和标准化工作有效推动了身份管理技术的应用和发展。

微软在20世纪末就推出了Passport项目[3]，通过构建Passport.com 网站存储了所有用户的身份，并为微软的全部授权站点统一提供身份认证服务，支持用户单点登录，但在发展过程中存在严重的安全隐患。与Passport不同，2001年成立的“自由联盟”组织发布的身份管理规范[4]，解决了数据集中存储的问题，通过建立多个身份管理系统的联盟，由用户保管个人信息，实现跨系统的统一身份认证服务。但是，该联盟构建方式简单，依赖身份提供者的服务可靠性不高。此外，IBM公司的Tivoli Access Manager[5]解决方案在安全性上进行了增强设计，Novell公司基于缓存反向代理的iChain技术[6]，在简化管理过程、提升服务性能方面进行了有益探索。在开源项目方面，Oauth授权框架[7]通过将用户身份验证委派给托管用户的服务以及授权客户端访问用户进行工作，可以为Web应用、桌面应用以及移动应用提供授权流程，使第三方应用程序或客户端获得对HTTP服务上（如Google、GitHub）用户信息的有限访问权限。OpenID[8]是一个开放的网上身份认证系统，允许用户使用现有帐户登录多个网站而无需创建新密码。取而代之的是，他们只需要预先在一个OpenID身份提供者的网站上注册，就可以任意享用支持OpenID的网站上面的资源，而OpenID系统可以基于OAuth协议实现授权功能。随着技术的成熟，ISO、ITU-T、ETSI等国际组织相继制订了SAML、OAuth、OpenID、FIDO、欧盟eID统一管理框架等身份管理标准。

国内的科研机构也围绕网络身份管理关键技术取得了一系列成果。2004年，我国颁发了《电子签名法》，自此电子签名与传统手写签名和盖章具有同等的法律效力，推进了我国电子商务的发展。当前，我国已建立了基于PKI技术机制的CA体系[9]，在电子商务、电子政务等领域完成了大量CA系统建设和数字证书应用[10]。在由公安部第三研究所等单位组成的“网域空间身份管理标准工作组”牵头下，制订了“网络电子身份格式规范”等30余项国家及行业标准，电子身份eID已发行5 000万张[11]，出版了我国在网络身份管理领域的第一部专著《全球网络身份管理的现状与发展》[12]等。

传统身份管理技术多由权威的第三方机构来维护身份数据库和提供认证服务，面临机构不可信、单点故障等风险。同时，在解决异构身份互操作、为实体提供跨域多个信任域的认证服务以及开展基于实体网络身份的网络行为监督等方面，传统网络身份管理技术仍有不足。

1.2 基于区块链的身份管理技术

随着区块链技术的发展，涌现出很多基于区块链的身份管理技术成果。区块链技术通过多数参与者的共识机制确保记录无法更改，在异构身份管理方面具有天然优势。区块链具有去中心化、一致性和可审计性等特性，能够使参与者获得数据操作的主动权。身份管理研究人员可利用其无中心化的架构和通过分布式节点的验证和共识机制建立信任的特性，结合身份提供方、监管方、应用提供方和用户之间的利益关系，设计适合不同应用环境的身份联盟解决方案。

在研究方面，PKI作为应用广泛的身份管理基础设施，将区块链技术与PKI结合是研究者探索的主要方向。Muneeb Ali等人提出了Blockstack[13]，以全球部署的Namecoin区块链为基础，保障身份数据的完整性和共识机制的有效达成，同时增强了在注册和更新区块链时网络的可靠性和安全性，使用户基于一个Blockstack ID实现对跨链的多种DAPP应用的访问。Benjamin Leading等人提出的Authcoin[14]使用灵活的质询响应方法验证何时发布公钥，以实现分布式的PKI，并分析了Authcoin面临的潜在威胁（如Sybil攻击），同时提出了缓解威胁的方法。MIT的Conner Fromknecht等人提出的CertCoin[15]是一种公共和分散的身份验证方案，使用区块链和公钥技术，通过维护web服务域名及其相关公钥的公共分类账构建分布式域名薄，同时提出使用加密累加器[16]促进快速公钥验证，并应用Kademlia DHT[17]进行快速密钥查找。

在应用方面，作为探索，早期基于区块链的身份管理/身份联盟项目大多使用比特币区块链，典型的如荷兰Rabobank的概念验证项目“Towards Self-Sovereign Identity using Blockchain Technology”[18]。 该项目方案基于比特币区块链，以用户设备为中心，在区块链上对属性哈希处理及数字签名后，将“证明”存储在区块链。该项目的贡献在于实现了去中心化的身份管理系统，贯彻了“用户同意自己的属性可分享给别的域时才可以分享”的原则，确保用户完全拥有自己数据的主动权，也不存在中心化系统大量数据泄露的风险，不足在于比特币区块链平台的每次验证需要众多节点同步数据库，效率较低，对用户认证很不友好。

ShoCard公司的数字身份认证产品的技术[19]一定程度上反映了基于区块链的身份管理技术向联盟式发展的路线，其平台在移动网络构建身份认证服务，组建基于区块链的身份联盟。客户首次注册时会生成ShoCardID和关联的公私钥对，并对用户证据进行密码处理创建验证字段发送到区块链。在认证过程中，成员商家将根据用户提供的二维码和密钥，查询区块链上用户的身份资料和历史认证结果信息，并使用用户公钥对身份信息进行签名验证，以核实用户身份。该方案的注册和认证流程具有代表性，用户终端存储个人数据，区块链作为去中心的交换承诺，保证信息的有效性和完整性。该思路被后期的Uport项目、IDHub项目、SelfKey项目及Civic项目广泛借鉴和使用。

基于区块链的身份管理和认证服务技术，在增强用户对身份信息的管控能力、促进多个身份服务实体之间实现身份信息的交互方面，已经取得了很大进步。但是，现有技术方案在面对异构身份信息管理、身份可信评价及身份隐私保护需求时还存在一些不足。

2 体系结构

本文将在跨域应用场景中构建基于区块链的异构身份联盟。该联盟的体系架构支持异构的身份信息统一管理、跨域的信任传递，同时具备良好的扩展性，支持新的联盟成员接入；具备可监管的特性，能够满足监管部门的管理要求；在性能方面，能够提供便捷的认证服务；在安全性上，能保证用户的隐私信息不被泄露。

2.1 体系模型

基于联盟链的异构身份互信互通体系架构如图1所示。该架构为解决异构身份管理系统之间统一身份标识、异构身份管理系统信任传递、跨域访问、可信评价、隐私保护及行为监管分析等问题，提供基础架构模型。

图1 基于区块链的异构身份联盟体系

该架构由异构身份联盟链、不同的异构身份管理系统和基础身份信息库（如提供用户身份实体验证的公安人口库）组成。异构身份联盟链是一个联盟式区块链系统，负责维护全联盟用户的实体统一身份凭证，并提供跨域的信任传递服务机制；异构身份管理系统在某个领域/组织内构建一个信任域，作为联盟链节点加入身份联盟，实现联盟的机制和接口，为本域内用户扩展提供跨域的信任服务；基础身份信息库为异构身份联盟链提供基础的身份信息支撑。同时，异构身份联盟链需要满足有关监管机构对跨域身份和行为监管的要求。

基于该框架可形成以用户为中心、各节点分布式运维管理的异构联盟统一身份信息库，进一步可支持联盟身份统一标识、信任传递、异构身份跨域访问、信任评价及隐私保护等身份管理和认证服务。

2.2 系统方案

2.2.1 异构身份联盟链系统

异构身份联盟在联盟成员间建设区块链系统。该系统与联盟成员的身份管理系统相互独立，通过服务接口进行信息交互。

区块链系统使用安全合规的数字证书和密码服务设施，为其提供证书及非对称密钥管理、杂凑计算、加解密和签名验签服务。

异构身份联盟链节点定义为{GID，SKey/PKey,Cert}，其中GID为节点唯一编号，SKey/PKey是区块链系统为节点颁发的节点公私钥对，Cert是该节点的证书。

异构身份联盟链节点支持按需扩展。新的身份管理系统加入异构身份联盟链时，需通过联盟链节点投票和扩展机制进行。

区块链系统根据节点身份管理系统提供的服务级别，设置节点的可信评价系数。

2.2.2 基础身份信息库对接

异构身份联盟通过基础身份信息库核验注册实体的真实身份。基础身份信息库应当由合法合规的实体身份管理部门或机构提供。基础身份信息库提供身份核验服务接口，异构身份联盟链通过服务调用等方式，将待核验的实体身份信息发送到基础身份信息库，根据返回的核验结果开展后续工作。

2.2.3 监管机构接入

异构身份联盟支持国家网络安全监管机构的接入，依法为监管机构提供用于司法管理的监管密钥，在法律允许范围内提供实体身份信息和行为信息查询验证服务。

3 关键机制

3.1 基于联盟链的统一身份标识体系

异构身份联盟为在身份管理系统中注册的实体提供统一的身份属性管理和认证服务。但是，实体身份属性属于用户的私有数据，未得到用户的批准，各身份管理系统无权将用户的身份属性数据提供给第三方进行使用。因此，为实现对实体的统一身份属性管理和跨域认证服务，本文设计了基于联盟链的统一身份标识体系，如图2所示。该体系由统一身份标识、实体标识和实体身份属性3个层次构成，可以在为不同成员提供身份属性可信校验的同时保护用户隐私。

图2 基于联盟链的统一身份标识体系

统一身份标识（Unified Identity，UID）是实体在异构身份联盟中的全局标识，由区块链系统负责维护管理。区块链系统为每个UID颁发可信的公私钥对（SKuid/PKuid）。

实体标识由标识符和实体属性哈希组成。标识符包括实体在身份管理系统中的标识（Identity，ID）和身份管理系统标识（Group Identity，GID）；实体属性哈希是该实体在身份管理系统中登记的身份属性信息通过哈希算法计算得到的校验值。实体标识整体由身份管理系统的私钥进行签名后存储在区块链上。

实体身份属性由身份管理系统管理，其格式和存储方式由身份管理系统决定。联盟链上不存储用户的具体身份属性信息，而是通过实体标识与实体身份属性信息建立关联，并对外提供用户身份属性可信校验，能够保护用户隐私。同一个用户的不同实体标识通过链上的统一身份标识进行连接，实现异构身份管理系统之间实体身份属性的关联。实体身份属性更新时，由身份管理系统与区块链系统交互，实现实体身份属性哈希值的更新。

有跨域访问需求的实体需要在异构身份联盟中注册登记。注册时首先通过基础身份信息库完成对实体身份属性信息真实性的核验，核验通过后异构身份联盟链为该实体颁发统一身份标识UID和私钥SKuid，并触发智能合约在区块链中登记实体的属性信息。

在这个体系中，通过基础身份信息库的核验支持和联盟链的分布式管理维护，形成一个全局可信的实体统一身份标识。因为该标识不单独归属某个联盟成员的身份管理系统，且不会暴露身份管理系统中的实体身份属性信息，所以能够消除联盟成员因利益关系而不愿对外进行实体身份资源共享的问题。

详细的实体身份标识设计如表1所示。

表1 区块链系统中的实体身份标识

3.2 基于智能合约的跨域信任传递机制

区块链的智能合约[20]允许在没有可信第三方的情况下执行可信交易。对于进行跨域访问的用户，异构身份联盟链首先核验用户的身份标识，确保用户合法，然后核验用户的身份属性信息，确保满足信任验证的要求。

核验用户身份标识基于统一身份标识机制实现，A域用户User通过其已注册的统一身份标识UID跨域访问B域应用时，B域身份验证服务调用区块链查询接口，核验UID的合法性和签名信息的正确性，核验通过，B域应用接受A域用户User。

核验用户的身份属性信息需要用户属性管理智能合约来实现。在异构身份联盟链中，联盟成员需要根据业务特点、用户的隐私保护需求等制定异构身份联盟身份属性管理和跨域身份认证管理的规则，需要通过智能合约的方式按条件触发执行跨域访问相关规则，确保身份属性信息的可信、执行逻辑的公平合规和执行结果的不可篡改。联盟链属性管理智能合约主要包括用户身份属性可信登记智能合约、用户身份属性更新智能合约和用户身份属性可信核验智能合约。

3.2.1 用户身份属性可信登记

用户身份属性可信登记智能合约主要实现各身份属性提供商登记自己所拥有的用户身份属性，如图3所示。

其中，协议字段的说明如表2所示。

图3 用户身份属性可信登记智能合约

表2 协议字段的说明

3.2.2 用户身份属性更新

用户身份属性更新智能合约主要实现各身份属性提供商更新自己所拥有的用户身份属性，如图4所示。

图4 用户身份属性更新智能合约

其中，协议字段的说明如表3所示。

表3 协议字段的说明

3.2.3 用户身份属性跨域可信核验

用户身份属性可信核验智能合约主要实现各应用通过联盟链验证用户身份属性是否可信。此处，假定A域用户需要接入B域应用，首先B域身份管理系统验证该用户的身份标识，继而通过区块链实现该身份属性信息的可信核验。在属性核验过程中，区块链发起投票，各节点的身份管理系统计算其所管理的用户属性的MH值，最终由区块链系统根据动态可信度计算方法（见3.3节）计算得出用户属性的可信度，进而决定是否允许A域用户接入，如图5所示。

图5 用户身份属性可信核验智能合约

其中，协议字段的说明如表4所示。

表4 协议字段的说明

3.3 基于联盟链的动态信任评价机制

3.3.1 跨域动态可信度的概念及其作用目标

异构身份联盟体系中包含多个服务提供者，它们形成了多个身份管理域，其中每个域涵盖一个或多个服务提供者。跨域动态可信度是指异构身份联盟中两个或者多个身份管理域。在每个评价周期内，根据用户的状态、行为以及历史记录，分析获得的用户身份可信程度综合评价值，具有跨域、随时间动态变化等特点。跨域可信度的获得分为两个阶段。第一阶段，依据其身份属性信息的真实性和完整性、身份认证方式和状态以及访问行为的合规性等因素，每个域对其所拥有的用户等实体的可信度进行评价，获得用户可信度的局部评价结果。第二阶段，为了形成对用户可信度的综合评价结果，每个域将其得到的用户可信度传递给联盟内的其他用户管理域，最终形成联盟内对用户的综合可信度评价。这里各个域的用户可信度将通过智能合约动态形成联盟的综合可信度，并记录在联盟链上，能够进行追踪和验证。综合可信度评价结果将为各个域对用户访问服务/资源的权限管理提供重要依据。

3.3.2 跨域动态可信度评估模型

令Tij表示域i对用户j的可信度评价结果，Zj表示异构身份联盟对用户j的综合可信度评价结果。规定每个Tij和Zj取值范围是0到1的实数，即Tij,Zj∈[0,1]。这种表示方式也可以通过表5的方法转换成离散的5个可信度级别。

表5 用户可信度相对关系

令Sij表示域i评估用户局部可信度时所使用的用户属性集，fi为域i使用的评估算法，那么Tij=fi(Sij)。其中，不同域使用的fi可能不同，主要方法有基于贝叶斯理论的评估机制、基于Dempster-Shafer证据理论的评估方法、模糊评估方法和混合评估方法等。

进一步，基于异构身份联盟内k个域的局部可信度评估值T1j,T2j,…,Tkj，可以获得跨域动态综合可信度：

3.3.3 动态可信度评估示例

假设异构身份联盟包含3个域，分别使用基于贝叶斯理论的评估机制、基于Dempster-Shafer证据理论的评估方法和模糊评估方法对用户j进行评估，获得的局部可信度分别是0.62、0.79、0.71。联盟对该用户在上一个评价周期的综合可信度评估结果为0.58，在本周期得到另外3个域的局部可信度评估结果后，可以获得用户j在本评价周期动态的综合可信度：

可见，这里系数w0=w1=0.3，w2=w3=0.2。

3.4 异构身份联盟的身份隐私保护机制

异构身份联盟环境下存在海量的用户实体的身份隐私信息。这些信息是异构身份联盟生态中信任构建、业务服务的基础，具有异构性、跨域性、海量和多形态的特征。身份隐私信息的泄漏特别是批量泄漏，将对个人、信息服务企业和社会造成巨大的危害，而异构身份联盟大量的机构组织协同，涉及用户身份隐私信息采集、管理、存储和分享的人员众多，对隐私保护带来了进一步的挑战。

异构身份联盟隐私保护研究的目标主要关注关键技术的突破，重点考虑3个方面：身份服务中的隐私保护、身份隐私数据的安全共享和身份隐私处理分析环节的隐私保护。基于研究提出了一种基于联盟链的异构身份联盟隐私保护方案。

该方案引入了3个方面的隐私保护机制——基于联盟链的身份管理平台上的可监管匿名机制、基于属性基加密的身份隐私资源安全共享机制（包括安全共享与细粒度访问控制机制）和基于密态的身份隐私数据分析处理机制。

该方案设计了一种可监管的匿名认证模型[21]，如图6所示。

图6 可监管匿名认证模型

通过匿名证书的方式确定用户的资源访问权限和使用权限，同时用户在出示证书时可选择性地出示属性，确保用户的隐私信息不过度暴露。此外，方案中引入监管机制，可信中心（Certificate Authority，CA）可对匿名认证过程进行监管。该可监管匿名机制应用于基于联盟链的身份管理平台实现了跨异构信任域的身份互通互认，同时支持实体身份认证服务中的匿名保护与监管机构的合法监管。

首先，该可监管匿名认证模型包含CA、用户和验证者3个参与方。系统建立后，CA产生密钥对、追踪密钥以及群公钥，然后用户进行注册。CA为其分配一对公私钥，同时根据用户提交的属性信息为用户颁发相关的证书。在用户出示证书时，验证者可指定用户证书上需要出示的属性（如属性1），用户对证书进行签名，同时隐藏无需出示的属性值。验证者可对签名进行验证，若通过验证，则用户出示的证书有效，否则无效。若出现争端，验证者可将用户出示的证书发送给CA请求仲裁，CA利用追踪密钥恢复出用户的真实身份。该可监管匿名认证模型解决了异构环境中用户身份、属性信息过度暴露的问题，也解决了目前匿名认证手段无法监管的问题，防止匿名的滥用。

其次，面向异构环境身份隐私共享场景，构建基于区块链的异构身份联盟数据安全共享模型及其数据安全保护和共享方案，降低密钥管理的复杂性，利用区块链开放性和防篡改的特点，实现高效的细粒度访问控制，并具备抵抗攻击能力。为了确保数据的安全性并且实现数据的细粒度访问，使用基于RSA算法和密文策略的属性基加密算法，并通过密文策略的属性基加密实现了数据的一对多共享。

最后，针对分析处理环节的身份隐私泄露问题，采用基于密态身份信息的统计和搜索方法，确保分析处理过程中用户隐私数据的全程加密。密态分析机制可以利用云服务器在计算和存储能力上的优势，将用户数据加密后外包给云服务器。当用户需要查询时，只需提交相对应的密文指令，所有密文下的检索、密文匹配等计算操作都将打包给云服务器执行[22]。因此，提出了一种在云计算环境下实现任意范围的密文范围查询方案，利用KNN安全内积运算、保序加密、超递增序列以及基于多项式的数据访问控制策略，同时实现了密文环境下的高效范围查询和细粒度访问控制[23]。

3.5 联盟链中身份关联和监管机制

在异构跨域环境下，开展实体网络行为分析与监管，需要解决未知情况下异构身份联盟多身份融合识别、跨域环境实体行为数据的有效获取、多态网络行为建模、多态网络行为特征生成、网络实体画像、多态网络行为预测分析以及跨域行为审计追踪分析等问题。

3.5.1 基于属性标签的实体身份关联

在开展异构跨域实体身份关联时，采集用户各种身份与行为标签对标签进行关联与推断，从而发现用户关切属性。通过对不同属性基于重要性赋值，实现属性向量建模。在属性建模过程中，可以基于已采集的用户属性标签，也可以利用基于属性的用户关联度计算，推断目标用户的属性标签。用户关联度的计算可以从两个方面展开。一方面，可以从多源标签抽取与分析得到用户标签图，结合行为属性标签网络计算用户关联度，推断隐藏属性。另一方面，可以通过如推特等短文本抽取用户兴趣标签，建立用户-标签关联，并结合用户-用户社交关系、用户已知属性信息等构建用户之间的关联度推断属性。

基于属性推断用户关系的过程是计算用户向量相似度的过程。属性向量的相似度计算包含主题属性标签和兴趣属性标签的相似度。LDA模型[24]计算主题属性标签可以得到不同主题属性的概率，从而使得主题属性标签相似度通过JSD模型计算获得。最后，将用户关联度以矩阵形式给出，计算转换矩阵和用户之间的关联值，即关联度统计信息，进而可实现在具有相似属性向量的用户之间建立关联关系。

3.5.2 基于事务模型的用户行为关联挖掘方法

在多态网络行为关联分析方面，采用关联规则挖掘建立用户行为关联模型。在挖掘网络用户行为的频繁项集时，使用事务模型分析两类对象间的多对多关系。一类对象称为项（Item），另一类对象称为事务（Transaction），模型中相关定义如下。

项集（Itemset）表示项的集合，记为i，项集的全集记为I={i1,i2,…,in}。事务由多个项集组成，记为T={t1,t2,…,tn}且ti⊂I。通常假设一个事务涵盖项的数量，相对于所有项的总数目而言要小得多，而事务的数目很大。

频繁项集是出现在多个事物中的项集，表现为支持度大于阈值s的项集。对于项集X，其支持度s定义为包含项集X的事务数目Xcount占全部事务数目n的比例，即：

对于项集X和项集Y，一个关联规则记为X→Y，其中X⊂I、Y⊂I且X∩Y=φ，表示如果项集X出现在某个事务中，则意味着项集Y也可能会出现在该事务中。可以使用置信度和支持度来评价这种关联规则的强度。

关联规则X→Y的支持度s指包含项集X和Y的事务占所有事务的比例，即：

关联规则的支持度s表示了包含项集X和Y的事务的频繁程度。从概率统计的角度看，可看成是包含X和Y的事务的概率估计。

关联规则的置信度c指包含项集X和Y的事务数目与包含X的事务数目的比值，即：

对于给定数据集，在挖掘关联规则时，首先指定最小支持度（min_sup）和最小置信度（min_conf），其次挖掘满足条件的频繁项集，最后生成关联规则。生成关联规则后，可以用兴趣度检验关联规则是否有效。

通过支持度和置信度可以计算用户行为之间的关系。但是，在用户行为库中，可能存在单一用户行为组成的频繁项集，也有可能存在多个用户行为组成的频繁项集。为了计算一个用户行为的支持度，需要遍历所有的用户行为。显然，当数据量大时，所需要的计算量非常大。为了提高计算效率，采用Apriori算法计算网络用户行为间的关联规则。

Apriori算法的基本思想是，如果某个项集是频繁项集，它所有的子集也都是频繁项集。因此，如果一个项集是非频繁项集，那么它所对应的超集必然不是频繁项集。

4 系统原理验证设计

4.1 原理验证系统技术架构

基于联盟链的异构身份联盟是一个分布式系统，分散部署在各组成节点。联盟技术架构如图7所示，由存储层、区块链层和服务接口层组成。其中，存储层主要用于存储异构身份联盟节点信息和区块数据，区块数据中记录实体的标识和核验数据，基于实体标识可关联获取存储于成员身份管理系统的实体身份信息。本存储系统可扩展存储实体身份评价信息、实体认证行为记录信息等。区块链层实现区块的生成、索引及查询等管理，并实现用户身份属性可信登记、更新及可信核验等智能合约。服务接口层面向联盟节点、实体用户提供服务接口，包括联盟节点注册、实体认证服务、实体可信度评价服务和实体行为监管等接口。

图7 异构身份联盟链系统技术架构

各身份管理系统部署于异构身份联盟链的节点，但与异构身份联盟链系统相互独立，通过注册接口注册到区块链系统，获得唯一的联盟节点标识GID。系统中的实体用户A注册到区块链系统后，获得全局唯一的实体身份标识UID。

基于此架构，通过实现统一身份标识机制、跨域访问机制、动态信任评价机制、身份隐私保护机制和身份管理及跨域监管机制，能够有效实现对异构实体身份的统一管理和对跨域安全身份认证服务的支持。

4.2 技术原理验证系统

基于异构身份联盟链架构搭建了模拟系统。该系统由5个节点组成，其中3个节点实现异构身份管理系统接入，组成异构身份联盟链；1个节点实现基础身份信息库的连接；1个节点实现与监管系统的连接。同时，为验证技术应用效果，在节点上模拟实现了3个异构身份管理系统，使用测试数据。验证平台架构如图8所示。

图8 原理验证平台架构

模拟系统的参数性能如表6所示。

表6 模拟系统性能参数

为有效验证区块链系统对异构身份联盟统一身份标识、跨域身份认证等机制的支撑能力，模拟平台重点验证了系统在进行用户标识、认证记录等交易数据记链时的存储性能和TPS性能。经模拟测试，基于区块链的异构身份管理系统能够有效支撑异构身份联盟相关功能的实现。

4.2.1 系统的存储性能分析

测试数据模拟方案：1）每条交易大小以2k为基准，增加0～0.5k随机扰动；容量足够记录用户的统一身份标识信息和认证记录信息；2）每个块设置200条交易，因此一个块大小约4M。

经测试，系统存储消耗随业务量的增加线性增长。在100万用户量、每用户月均2000次跨域认证活动场景下，系统每年所需存储容量为48G（4G×12月）左右。模拟的区块链系统存储服务运行正常，具有良好的存取性能和稳定性。

4.2.2 系统交易处理性能分析

对系统的交易性能测试（结果如图9所示）表明，基于区块链的异构身份管理与监管系统在支撑跨域访问及监管业务时，能够满足其性能需求。

图9 模拟系统交易处理性能

（1）系统TPS指标正常，交易处理平均时延小于10 s，平均吞吐量不小于400 TPS；

（2）模拟系统使用3台服务器，服务器性能配置如下：CPU8核3.6G，8G DDR内存，机械硬盘，日志级别WARN。经测试，服务器、应用服务器、数据库服务器磁盘、CPU及内存资源占用均不超过80%，满足对硬件系统的要求，带宽随并发用户数波动正常，无明显网络延迟，用户体验良好。

5 结 语

本文针对网络空间异构身份管理方面的平台不互通、跨域认证体验差、可信评估缺失、身份隐私保护不足及行为监管不全面等现实问题进行了研究，重点设计了可实施的异构身份管理体系架构。该架构基于区块链实现了异构身份管理系统的可信接入，形成了实体的统一网络身份标识，支持实体跨域和安全身份认证，并在保护实体身份隐私的同时实现了行为数据的可监管。该框架及相关机制的设计为实现网络空间异构身份管理奠定了基础。后续工作中，需要针对跨国（地区）之间身份认证等应用场景完善体系框架；需要继续设计多种跨域身份认证的智能合约，满足不同场景认证需要；需要研究提升实体身份关联准确度和智能分析方法，提升监管工作的效能。