隨著數(shù)字化進程的深入，身份管理成為各行各業(yè)數(shù)字化轉(zhuǎn)型的核心基礎(chǔ)。傳統(tǒng)的身份系統(tǒng)采用中心化架構(gòu)，存在隱私泄露風險高、跨域互信難、依賴第三方缺乏自主權(quán)等問題。分布式數(shù)字身份（Decentralized IDentity，DID）技術(shù)基于分布式架構(gòu)，通過標識符和可驗證憑證（Verifiable Credential，VC），使用戶能夠自主掌控身份數(shù)據(jù)，實現(xiàn)跨域身份互認與安全可信的身份驗證。目前，DID技術(shù)標準在國內(nèi)外標準化組織快速完善，且已進入產(chǎn)業(yè)實踐階段。中國移動與德國電信聯(lián)合牽頭在GSMA成功立項的《6G分布式信任與安全》，主要面向6G網(wǎng)絡云化與分布式自治的場景，使用DID技術(shù)解決運營商之間、以及網(wǎng)內(nèi)子網(wǎng)間跨域互信證書管理困難的問題，旨在為6G網(wǎng)絡提供高效、安全的信任基礎(chǔ)設(shè)施。未來，DID技術(shù)不僅將支撐6G網(wǎng)絡構(gòu)建高效安全的信任體系，還將在政務服務、金融科技、醫(yī)療健康等領(lǐng)域規(guī)?；瘧?，為數(shù)字中國建設(shè)提供關(guān)鍵支撐。

1、DID技術(shù)背景與標準化演進

當前，6G網(wǎng)絡正朝著“空天地”一體化、云網(wǎng)融合及智能動態(tài)協(xié)作的方向演進，其“萬物智聯(lián)、數(shù)字孿生”的愿景核心在于構(gòu)建一個由用戶和設(shè)備深度參與、高度協(xié)同的分布式自治網(wǎng)絡。在此范式下，身份管理系統(tǒng)不僅需要支持億級異構(gòu)終端（如衛(wèi)星、無人機、微基站等）的動態(tài)、分布式協(xié)同接入與低時延跨域互信，更需要保障每個實體（包括用戶和設(shè)備）對其數(shù)字身份享有完全的主權(quán)與控制權(quán)，能夠自主地進行身份創(chuàng)建、更新和授權(quán)。然而，傳統(tǒng)基于PKI/CA的中心化證書體系在架構(gòu)理念上與上述需求存在根本性沖突：其一，其根CA的單點信任模型與6G的分布式自治愿景相悖，一旦根CA失效或遭受攻擊，將可能影響全域信任鏈條的穩(wěn)定性；其二，證書的簽發(fā)、更新與撤銷操作完全依賴中心化機構(gòu)，實體無法自主管理身份生命周期，難以滿足高動態(tài)環(huán)境下海量終端即插即用、身份屬性實時更新的敏捷性要求；其三，跨域認證通常依賴于中心化的間接信任模型（如橋接、交叉認證等），其認證流程需經(jīng)由預設(shè)的信任鏈條逐級回溯，這不可避免引入較高的驗證延遲，難以支撐跨運營商、跨管理域的實時協(xié)同需求。這些固有缺陷使得傳統(tǒng)中心化證書體系無法支撐6G網(wǎng)絡實體在分布式環(huán)境下實現(xiàn)自主、可信的身份管理。

在此背景下，DID技術(shù)作為數(shù)字身份體系的重大演進方向應運而生，其去中心化、自主可控的架構(gòu)特性，為6G的分布式自治愿景提供了原生的身份信任解決方案。當前，DID技術(shù)已在萬維網(wǎng)聯(lián)盟（World Wide Web Consortium，W3C）、分布式數(shù)字身份基金會（Decentralized Identity Foundation，DIF）、國際標準化組織（International Standardization Organization，ISO）等國際組織形成多項標準與建議。W3C于2022年發(fā)布DID核心規(guī)范《Decentralized Identifiers》，明確DID的定義、架構(gòu)與解析機制，為全球DID技術(shù)應用奠定“通用語言”基礎(chǔ)。DIF聚焦DID互操作性，通過制定DID通信協(xié)議（如DIDComm）和身份錢包標準，為異構(gòu)系統(tǒng)兼容性構(gòu)建橋梁。ISO也在推進相關(guān)國際標準的制定工作。這一系列進展共同標志著DID技術(shù)正從概念探索邁向體系化、國際化的產(chǎn)業(yè)應用新階段。

2、DID技術(shù)原理

DID是一種新型的分布式數(shù)字身份，由用戶自主生成、注冊和管理，無需中央注冊機構(gòu)。DID技術(shù)通?；?span id="9hp1dnvvhx" class="technical_term" style="box-sizing: border-box; color: rgb(0, 85, 255); cursor: pointer;">分布式賬本技術(shù)實現(xiàn)身份錨定，結(jié)合可驗證憑證機制，實現(xiàn)身份信息的可信傳遞與身份驗證。DID技術(shù)主要包括三部分核心組件：DID標識符、DID文檔和可驗證憑證。

DID標識符由用戶自主生成具有全球唯一性，一個實體可對應多個DID，實體在通過注冊申請后可獲得一個或多個由自己進行維護管理的DID標識符。DID文檔包含與該身份相關(guān)的公鑰、驗證方法、服務端點等信息，用于身份驗證和交互。DID標識符和DID文檔是嚴格的一一對應關(guān)系。DID標識符和DID文檔的關(guān)系結(jié)構(gòu)如圖1所示。

圖1 DID標識符和DID文檔的關(guān)系結(jié)構(gòu)

可驗證憑證是一種包含持有者聲明（如學位、駕照等）的數(shù)字文件，其服務流程如圖2所示。整個過程可分為以下五個關(guān)鍵步驟：①注冊身份標識符：簽發(fā)者與持有者分別為自身創(chuàng)建DID標識符，并將該標識符及其對應的DID文檔注冊至分布式賬本，完成身份錨定。②頒發(fā)可驗證憑證：簽發(fā)者向持有者頒發(fā)VC，并使用自身私鑰對憑證進行數(shù)字簽名，以確保憑證的真實性與完整性。③憑證的存儲與管理：持有者將所獲VC安全存儲于個人數(shù)字錢包中，實現(xiàn)對憑證的完全自主控制，可自主決定在何時、向何人、披露哪些信息。④憑證的出示與披露：當需證明某一身份屬性時，持有者從數(shù)字錢包中選擇相關(guān)VC，并僅向驗證者披露必要信息，實現(xiàn)最小化隱私暴露。⑤憑證的驗證：驗證者根據(jù)VC中所含的DID信息，從分布式賬本中獲取簽發(fā)者與持有者的公鑰，驗證憑證簽名的有效性，從而在充分保護隱私的前提下完成可信驗證。

圖2 可驗證憑證服務流程

3、DID技術(shù)優(yōu)勢

DID技術(shù)主要解決了傳統(tǒng)身份系統(tǒng)在控制權(quán)、安全性與互操作性方面的不足，其技術(shù)優(yōu)勢主要體現(xiàn)在以下方面：

①自治身份，用戶擁有身份控制權(quán)

DID技術(shù)賦予用戶對其數(shù)字身份的完全控制權(quán)，身份標識符由用戶自主生成并管理，可永久關(guān)聯(lián)用戶身份，不同DID標識符所代表的身份之間互不相關(guān)，有效降低了身份信息之間的耦合性。并且，DID標識符本身不包含任何個人身份信息，與用戶真實信息（如姓名、身份證號）解耦，降低隱私暴露風險。這種自治身份（Self-Sovereign Identity，SSI）模式有效避免了中心化機構(gòu)對身份數(shù)據(jù)的壟斷與濫用。

②隱私保護與最小披露原則

DID技術(shù)支持VC的選擇性披露，用戶可在不暴露全部身份信息的前提下證明某些屬性（如年齡、學歷等），符合隱私保護的最小披露原則，顯著降低個人信息泄露風險。

③跨系統(tǒng)互操作，打破身份孤島

DID技術(shù)具備全球唯一性與解析能力，可跨不同平臺、行業(yè)和國家進行身份識別與驗證，實現(xiàn)真正意義上的數(shù)字身份互聯(lián)互通，推動跨域業(yè)務協(xié)同。

4、總結(jié)與展望

DID技術(shù)以其去中心化、自主可控、隱私友好和跨域互操作的核心優(yōu)勢，已成為構(gòu)建下一代數(shù)字信任體系的關(guān)鍵基石。面向6G分布式自治的網(wǎng)絡愿景，DID技術(shù)能夠有效應對海量異構(gòu)終端動態(tài)接入、跨域身份互信、身份生命周期自主管理等核心挑戰(zhàn)，為6G網(wǎng)絡提供原生、高效、安全的分布式身份基礎(chǔ)設(shè)施。推動DID技術(shù)與6G架構(gòu)的深度融合，不僅有助于提升網(wǎng)絡的自治能力與協(xié)同效率，也為6G國際標準的制定提供具備分布式信任能力的架構(gòu)理念，強化我國在6G安全與信任體系構(gòu)建中的話語權(quán)。

未來，應加快推進DID技術(shù)在6G典型場景中的標準化與示范應用，推動形成統(tǒng)一、開放、可互操作的DID技術(shù)框架與接口規(guī)范。這將為構(gòu)建全球領(lǐng)先的6G信任基礎(chǔ)設(shè)施奠定堅實基礎(chǔ)，進而賦能政務、金融、醫(yī)療等關(guān)鍵領(lǐng)域的數(shù)字化轉(zhuǎn)型，助力數(shù)字中國建設(shè)邁向新階段。

作者：葉欣宇、閻軍智

單位：中國移動人工智能安全治理研究中心