一种面向电子证据服务体系的区块链可信数字身份认证平台设计

汪宁 白伊瑞 朱芸芸 雷虹 高昊昱 武依冰 王浩

1.公安部第一研究所 2.海南大学

引言

随着区块链应用场景不断丰富和复杂化，区块链之间的数据流通、应用协同需求日益显现，越来越多的区块链项目提出跨链需求与解决方案。不同机构和服务间需要进行交互，存在跨越多个安全域进行访问的需求，每个安全域内可能都存在一套本域身份管理机制，在这种情况下，需要进行交叉认证，实现跨域互联，难以采取统一方式实现身份联合和单点登录，存在跨域访问时用户身份隐私泄露的风险，并且带来了重复认证的额外运行开销。

在我国法条、司法解释和相关规定中，电子证据需要从真实性、关联性、合法性三个方面进行认证，以保证电子证据得到司法认可。但是，作为电子证据的主体，一个“人”在网络世界中仅是虚拟存在的一个数字身份，并不与法定身份强制绑定，并且各个平台的数字身份单方储存、相互隔离，使电子证据主体身份在司法实践中的存证、取证和证据认定环节仍然存在痛点。

针对上述问题，文献[1～3]进行了大量研究。文献[1]旨在介绍区块链数字身份借助于区块链技术不可篡改、不可抵赖等优良特性，使电子数据的认定过程变得非常简便[1]。文献[2]旨在介绍区块链数字身份让用户控制和管理数字身份，将数据所有权归还用户，从而在根本上解决用户身份数据隐私问题[2]。文献[3]旨在介绍用分布式基础设施改变应用厂商控制数字身份的模式，让用户控制和管理数字身份，通过将数据所有权归还用户从根本上解决隐私问题[3]。以上均未对区块链在电子证据服务体系中的应用进行设计。

本文针对公检法司电子证据市场通过建设电子证据身份凭证，深度解决电子证据行为人的真实身份关联、提升电子证据服务平台司法效力的痛点需求，依托“互联网+”可信数字身份认证平台（以下简称CTID平台）的权威可信数字身份认证，开展面向电子证据服务体系的区块链可信数字身份认证关键技术研究，设计了面向电子证据服务体系的区块链可信数字身份认证平台，构建了基于区块链的可信数字身份认证服务、基于区块链的可信数字身份跨链互认服务，实现了完整的用户数字身份信任链，以及虚拟数字身份到真实身份的唯一映射。同时，设计了平台的典型应用场景。

一、关键技术

目前，区块链技术是电子证据服务领域最热门的新型技术，并且司法领域对可信数字身份服务的需求十分迫切。本文实现了数字身份全生命周期管理、跨链身份互认、隐私保护等关键技术，在电子证据服务体系中发挥了积极的作用。

（一）基于区块链的数字身份全生命周期管理技术

数字身份是一套可承载实体对象（人或者物）的现实身份与链上身份的可信映射，以及实体对象之间安全的访问授权和数据交换解决方案。区块链数字身份为用户提供自主可控、全域自发现的分布式数字身份，将用户身份的管控权还给用户，并打破跨平台信息屏障。

基于区块链数字身份的全生命周期管理包括数字身份注册、冻结、解冻、变更和注销几项功能，具体流程如图1所示。

其中，注册数字身份用于用户生成密钥对，根据数字身份注册流程构建并发起注册交易、上传分布式数字身份标识（Decentralized Identity，DID）文档完成注册；冻结数字身份用于授权管理账户构建并发起冻结交易，进行DID数字身份冻结；解冻数字身份用于授权管理账户构建并发起解冻交易，进行DID数字身份解冻；变更DID密钥用于授权管理账户构建并发起密钥变更交易，上传新的公钥，完成DID密钥变更；注销数字身份用于授权管理账户构建并发起注销交易，进行DID数字身份注销。

（二）基于区块链的跨链数字身份互认技术

在区块链上具有用户身份信息的链称作身份链，其上层的应用子链身份称作子链身份。身份链用于管理子链身份与用户身份，应用子链如果需要与其他平行子链进行跨链操作，就必须事先在身份链上注册身份。子链身份包括身份ID、身份公钥、该子链对外公开的资源管理API，以便实现基于身份的服务发现。

身份链为上层所有子链颁发统一的区块链应用的用户身份，子链可以验证其他子链的用户身份，用户也可以在不同的子链上转移自身数据。跨链数字身份互认流程如图2所示。

第一步，应用链B（以下简称B链）发起对应用链A（以下简称A链）的身份认证，A链通过接口或服务调用的方式对B链的应用权限进行核验，B链将身份信息传递给A链，实现A链对B链的身份信息校验。

第二步，B链的身份信息校验通过后，A链对B链发起数据提取申请，B链通过验证A链业务ID和身份凭证或查询A链数据的方式实现A链的可信数字身份认证和真实身份核验。

第三步，A链将对应B链身份信息反馈给B链应用密钥管理系统，B链通过签名验签的方式对A链的可信数字身份实现数据密封，并加密存储。

跨链数字身份互认技术打通了不同应用子链之间的可信身份互认，为安全的跨链互通提供信任基础。

（三）可信数字身份隐私保护技术

在安全性和隐私保护方面，DID具有特殊的优势，身份所有者身份信息不被无意泄露，身份可以由身份持有者持久保存，身份信息提供可符合最小披露原则。将身份还给用户，合规能力再提升。证照信息数据流通如图3所示。

图3左侧图是将个人数据进行链上标识和存储，实现用户在完整、高效且不泄露他人数据的前提下向企业申请提供或转移个人数据。这种方式将用户身份数据还给用户保存，从根本上避免企业在保管个人数据过程中的各种隐患，同时高度贴合《个人信息保护法》《数据安全法》对个人身份数据的要求。

图3右侧图是在证照使用过程中，利用金融级HSM实现核心数据加密存储，且加密密钥只留存在HSM机器内部，外界无法获取，高可信保证数据存储安全。另外，以区块链为载体和校验手段，通过分层授权、分层披露、数据逐级验真等技术手段，实现基于区块链的数据高效共享和可信流通。

在认证披露方面，传统认证披露必须显示身份所有者的全部身份信息，存在身份窃取、身份冒用、跟踪作案、客户骚扰等潜在隐私风险。选择性认证披露可规避这种潜在隐私风险，可拆分验证聚合签名和零知识证明，支持离线认证、毫秒级披露信息和相关证明生成延时、千字节凭证数据大小。选择性认证披露具有以下优势：

（1）可自主选择需披露证书属性明文值；

（2）可支持断言披露方式，仅提供“是否满足条件”的断言证明，不提供具体信息；

（3）实现属性隐私同时可认证可监管的特性。

如图4所示。

二、平台架构设计

本文基于以上研究，设计了基于区块链的可信数字身份服务体系，实现了一个包含BaaS平台、基于区块链的可信数字身份认证服务及基于区块链的可信数字身份跨链服务三个主体功能的区块链可信数字身份应用服务平台，为满足公检法司电子证据相关的市场需求提供支撑。

（一）总体架构设计

本文设计的业务架构如图5所示，区块链可信数字身份服务平台主要完成基础区块链服务层、接口层、应用层和安全控制的设计。

其中，基础区块链服务层为上层接口和应用提供基础支撑服务，具体包括BaaS平台、隐私计算服务、跨链服务，以及数字身份服务。

接口层为上层应用提供接口服务，具体包括APP接入服务接口、数字身份认证接口、凭证服务接口、跨链身份互认接口，以及权限管理接口。其中，APP接入服务接口主要用于控制接入数字身份服务平台的外部应用的认证授权等功能，保证数字身份服务本身的安全性；数字身份认证接口主要用于基于区块链数字身份的生命周期管理，以及和CTID进行绑定验证等功能；凭证服务接口主要用于凭证信息的加密存储、访问授权认证等功能，实现个人信息的安全存储；跨链身份互认接口主要用于对各个区块链系统中的数字身份标识，提供解析服务，用于获取数字身份标识的详细信息；权限管理接口主要是对上层各个模块对密钥管理模块中各个功能调用权限的管理，保证密钥管理中密钥安全。

应用层通过区块链可信数字身份服务平台为用户提供终端和平台端应用。利用接口层提供的服务，实现基于终端的用户身份管理和实名认证，以及基于平台端的数字身份生命周期管理、电子证据身份凭证管理、分布式密钥管理、APP接入管理等业务管理和身份核验、跨链身份互认等协同应用。

安全控制层为所有接口和应用提供安全控制和服务保障。

（二）基于区块链的可信数字身份BaaS服务

本文采用国产自主可控的成熟区块链系统作为基础设施，并在此基础上搭建BaaS平台，提供区块链浏览器、节点管理服务、密钥管理服务、智能合约Web IDE等功能，为用户提供可视化操作界面，提高开发效率[4]，可信数字身份区块链BaaS平台整体架构如图6所示。

其中，BaaS管理平台即可视化操作平台，对BaaS服务进行可视化操作。交易服务包括接收交易、缓存交易、异步上链，可大幅提升吞吐量。密钥服务模块包括托管用户密钥、提供云端签名等服务。节点管理服务包括提供节点状态、链上智能合约、监管委员会管理等。前置服务是指节点数据采集、活性监控、事件监听等。

同时为了更方便进行数字身份相关服务的使用，在区块链系统之上，将在W3C去中心化数字身份协议之上加入CTID作为链上身份和真实身份的映射[5]，从而提供可信数字身份的创建、管理、认证、取证功能。

（三）基于区块链的可信数字身份认证服务

可信数字身份认证服务主要是通过用户提供的数字身份标识，获取数字身份信息文档，通过文档中的公钥验证消息的可靠性，同时通过文档中CTID，获取链上身份映射的真实身份相关信息，再通过调用“互联网+”可信身份认证平台的相关接口[6]，找到CTID对应的真实身份相关信息，从而实现在不存在中心机构的前提下，多方机构间的可信数字身份认证流程闭环。区块链BaaS平台认证服务系统架构如图7所示。

（四）基于区块链的可信数字身份跨链服务

跨链服务系统架构如图8所示，该服务的主要作用在于打通身份链和应用链之间信息传递通道，从而实现第三方证据的保全功能。通过该服务，各个应用链可以在该服务注册链驱动引擎以及应用链上智能合约访问地址。在第三方请求各个应用链上数据时，服务会创建对应的驱动去对应的应用链上读取相应数据，从而实现多链信息互通[7]。

三、典型应用场景

本文通过功能和应用场景的统一，推动电子证据服务向综合化、多场景应用融合发展，促进电子证据服务统筹整合和集约化管理，可为公检法司用户实现虚实身份绑定、真实身份认证等典型应用场景，实现用户的可信数字身份认证。

（一）用户虚实身份绑定

用户虚实身份绑定如图9所示。

第一步，用户在不同的电子证据平台已经分别注册了不同的匿名账号用户A和用户B，其中电子证据平台分别分配了两对公私钥，用户将私钥保存在本地。

第二步，用户通过电子证据平台接口输入自己的人脸信息进行认证，电子证据平台将人脸信息发送给CTID平台进行认证，并返回用户的CTID。

第三步，将用户在不同电子证据平台对应的账号名（用户A和用户B）、公钥和CTID绑定后写到数字身份认证平台上的数字身份链。

第四步，最终形成用户在不同电子证据平台私钥和公钥、公钥和CTID的对应关系，实现用户真实合法身份与虚拟身份的绑定。

（二）用户真实身份认证

用户真实身份认证具体流程如图10所示。

第一步，用户向电子证据平台发送人脸信息进行认证。

第二步，电子证据平台向认证平台发送用户信息，包括公钥、签名（私钥、内容）。

第三步，数字身份认证平台通过公钥、签名、内容验证签名，判断用户张三公私钥是否匹配。

第四步，数字身份认证平台将用户身份和CTID进行绑定。

第五步，将绑定了用户CTID信息的数字身份写入到数字身份认证服务平台的数字身份链上。

四、结语

目前，区块链数字身份还处于初期发展阶段，国际国内由技术公司主导的行业规范和应用方兴未艾、百花齐放的同时，也需要寻求共识、共建生态。

本文面向区块链电子存证领域，提出一种面向电子证据服务体系的区块链可信数字身份认证平台，平台主要用于给各个电子证据应用提供完善可信的数字身份创建、管理、认证等服务。本文重点研究了基于区块链的可信数字身份认证平台设计与实现，介绍了区块链可信数字身份认证服务平台的整体架构和使用流程，阐明了本文提出方案在公检法司领域的典型应用场景。最后针对研究现状中的不足与挑战，展望了未来的研究方向。

同时，需要注意的是，我们应当充分认识到区块链数字身份在电子证据服务市场的重要性，遵循客观规律，尊重电子证据的本质属性，构建科学的电子证据主体身份认证规则体系，促进电子证据合法、合理、充分地运用，实现电子证据应有的功能和作用。只有完善电子证据规则，电子证据的存证、取证、示证、质证、认证都有理可循，我们才能享受到区块链数字身份带来的司法便利，迎来司法存证高效便捷的新局面。