《数据流通区块链分布式身份技术规范》征求意见稿

1T/GZBDXXX—XXXX数据流通区块链分布式身份技术规范本文件规定了数据流通区块链分布式身份的术语和定义、技术架构、技术支撑层、能力实现层、服务对接层、安全保障体系、审查与监督等。本文件适用于数据流通区块链分布式身份系统的设计、开发和应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T35273信息安全技术个人信息安全规范GB/T39786信息安全技术信息系统密码应用基本要求GB/T41819信息安全技术人脸识别数据安全要求GB/T42752区块链和分布式记账技术参考架构GB/T43572区块链和分布式记账技术术语GB/T43697数据安全技术数据分类分级规则3术语和定义GB/T42752、GB/T43572界定的以及下列术语和定义适用于本文件。3.1分布式身份decentralizedidentity一种基于去中心化技术的身份验证方案，允许用户在不依赖于任何中心化机构的情况下，创建、管理和使用自己的数字身份。3.2分布式身份标识符decentralizedidentifier；DID基于去中心化技术，用于识别特定实体身份的符号，具有全局唯一性和持久性。3.3DID主体DIDsubject由DID标识的实体。注：DID主体可包括：人、团体、组织、事物或概念。DID主体也可2T/GZBDXXX—XXXX[来源：JR/T0325—2024，3.3]3.4DID控制者DIDcontroller具有对DID文档进行更改能力的实体。一个DID可拥有多个控制者，DID主体[来源：JR/T0325—2024，3.4，有修改]3.5DID文档DIDdocument描述DID验证方法及主体交互服务信息的文档。[来源：JR/T0325—2024，3.5]3.6可验证数据注册表verifiabledataregistry支持记录DID并返回生成DID文档所需数据的系统。[来源：JR/T0325—2024，3.6]3.7可验证凭证verifiablecredential带有密码算法验证机制的一组用来描述实体属性的数据集合。[来源：JR/T0325—2024，3.14]3.8可验证表述verifiablepresentation由持有者基于可验证凭证衍生颁发的带有证明机制的数据集合。[来源：JR/T0325—2024，3.15]4缩略语CA：证书认证机构（CertificateAuthority）DID：分布式身份标识符（DecentralizedIdentifier）URI：统一资源描述符（UniformResourceIdentifier）VC：可验证凭证（VerifiableCredential）VP：可验证表述（VerifiablePresentation）W3C：万维网联盟（WorldWideWebConsortium）5技术架构T/GZBDXXX—XXXX3数据流通区块链DID技术架构（见图1）包括技术支撑层、能力实现层、服务对接层和安全保障体系：a)技术支撑层包括存储基础设施和密码基础设施，为DID系统提供存储和密码服务支撑；b)能力实现层包括DID子模块、凭证子模块、编码与核心属性，通过标准化的关键业务流程实现DID系统的核心能力；c)服务对接层包括SDK、客户端及API，用于实现DID系统与外部系统之间的对接服务；d)安全保障体系包括DID安全与凭证安全，为DID系统全链路提供数据安全、风险防控等安全支撑。图1数据流通区块链DID技术架构6技术支撑层6.1存储基础设施6.1.1分布式账本应由多个节点共同维护，数据以区块的形式按时间顺序链接在一起，每个区块包含一定的交易数据和前一个区块的哈希值，形成一个不可篡改的链式结构。6.1.2应将区块链与数据库相结合，区块链负责记录身份相关的关键事件和不可篡改的信息，数据库用于存储详细的身份数据和业务逻辑相关的数据，实现高效的数据管理和身份验证。6.2密码基础设施6.2.1应支持国家密保部门认证核准的密码算法、零知识证明、同态加密，并符合GB/T39786的规定。6.2.2应支持分布式密钥生成，用于多方安全计算，避免单点泄露风险。6.2.3应遵循智能合约安全和跨链安全协议，确保合约代码无漏洞，同时保障跨链交易的原子性。7能力实现层7.1DID子模块T/GZBDXXX—XXXX47.1.1DID生成与注册应按照7.3.1规定的编码规则，结合DID主体相关信息（如公钥的哈希值等）生成唯一的DID。应通过加密算法生成公私钥对，私钥保存到DID主体的本地，用于签名和身份验证，公钥作为DID的一部分，用于验证签名。应生成DID文档的基础模板，预留公钥、身份验证和授权相关信息等字段。应基于DID、公钥、DID主体身份描述等信息填充到DID文档的基础模板中，形成完整的DID文档。应使用DID主体私钥对DID文档进行签名，确保其完整性和真实性，防止被篡改。应将DID和签名后的DID文档注册到区块链网络中。7.1.2DID信息检索与解析应支持根据DID直接在区块链上查找对应的交易记录和存储的DID文档。应按照7.3.2的规定，将检索到的数据解析为可读的DID文档，并提取出其中的关键信息。应根据DID文档的结构和语义，提取出其中的重要字段和信息，如公钥信息、服务端点信息、身份验证方法等。应支持检查DID文档中的信息是否完整。7.1.3DID验证与授权交互应遵循7.3.2的规定，确保DID的格式、结构和解析方式的一致性，以便不同的区块链系统和应用能够识别和交互。应具备跨链通信技术，实现不同区块链之间的DID验证和授权交互。应提供标准化的API接口，方便不同的应用和平台与区块链进行交互。被授权方在访问数据时，应向区块链验证授权信息的有效性，确保只有在授权有效的情况下才能访问相应的数据。7.1.4DID数据动态维护应支持DID主体密钥的定期更新，使用旧密钥对新密钥的更新操作进行签名验证，以证明身份的真实性，验证通过后，新密钥信息应记录在区块链上，替换旧密钥。当DID主体的身份信息（如名称、联系方式、所属组织等）发生变化，应对DID中的相关数据进行更新，并对更新操作留下清晰的记录，便于追溯身份信息的变更历史。当DID主体不再需要使用DID或希望注销其身份时，应将DID相关的所有数据从区块链上进行标记删除，使其在后续的验证和查询中不再被认可。宜支持DID添加新的属性或权限，DID主体或相关授权机构通过智能合约发起添加操作，经过身份验证和权限验证后，新的属性或权限信息被添加到DID数据结构中，并在区块链上进行存储。7.1.5DID访问权限修复当私钥丢失时，应支持DID生物主体通过生物特征验证、设备指纹和DID重新生成新的公私钥对。应支持通过智能合约进行DID主体身份的验证，以及对错误权限的恢复操作。应支持从区块链上的备份或分布式存储中恢复损坏或丢失的DID文档。当无法从备份中恢复DID文档时，应支持根据DID主体的身份信息和相关密钥，重新生成DID文档。T/GZBDXXX—XXXX57.1.6DID生命周期终结处理应对区块链网络中终结请求发起者的身份进行严格验证，确保是DID的合法所有者。终结请求通过共识验证后，应将该DID的状态标记为已终结。应确保在DID生命周期中其他相关联数据被正确解除关联。针对DID跨链操作，将DID终结的信息传递到其他相关的区块链网络中，确保在所有涉及的链上都能正确地更新DID的状态和处理相关数据。7.2凭证子模块7.2.1VC注册应确保每个参与VC注册的实体拥有唯一的DID。VC中的数据属性应符合的规定。VC中的数据应采用合适的编码方式进行表示，如JSON-LD等。应支持在不同的区块链之间进行验证和共享，实现跨链的身份认证和数据交互。宜支持VC状态查询。7.2.2VC签发应根据具体的应用场景和需求，明确要签发的VC类型，如身份凭证、学历凭证、资质证书等。应支持通过唯一的DID和对应的私钥来证明身份。应支持颁发者使用自己的私钥对填充好数据的VC进行数字签名，以确保VC的完整性和真实性。应支持颁发者将签好名的VC发送到区块链网络中，同时在区块链上能查询到VC的签发信息和历史记录。7.2.3VP注册应由VC持有者生成一对密钥，包括私钥和公钥，私钥用于对VP进行签名和加密操作，公钥则用于在区块链上进行身份标识和验证。VC持有者应根据验证者的要求或具体的应用场景，从自己拥有的VC中选择需要披露的信息。选择披露的信息属性应符合的规定。7.2.4VC核验验证者应对接收到的VP进行解析，提取其中的VC信息、签名以及其他相关元数据，按照的属性要求，将VP数据转换为可理解的结构。应使用VC签发者的公钥或相关的验证密钥，对VP中的签名进行验证，以确认VP是否由拥有对应私钥的合法持有者生成。应对VC中的具体内容进行验证，包括检查VC的颁发者是否可信、VC是否在有效期内、VC中的声明是否符合相关规则和约束等。应支持验证者查询区块链账本，以确认VC的注册信息和历史记录。7.2.5VP校验应选用适当的签名验证算法，对VP中的签名进行验证。应按照的规定，检查VP的结构是否符合W3CVP标准（JSON-LD格式）以及VP中的语法是否正确。T/GZBDXXX—XXXX获取VC后，验证者应检查VC的有效性，包括检查VC是否在有效期内，是否被撤销或挂失等。验证者宜对证明上下文进行解析，并知晓其中指定的验证规则和要求。7.2.6VC撤销颁发者应使用自己的私钥对撤销请求进行签名，以证明请求的合法性和真实性。应支持智能合约等技术对撤销请求进行处理，验证撤销请求的合法性，包括检查签名是否有效、颁发者是否具有撤销权限等。应将VC撤销的信息通知给相关的验证者、持有者以及其他可能依赖该VC的各方。7.3编码与核心属性7.3.1DID编码DID编码规则应符合表1的规定。表1数据流通DID编码规则::注：表1中dc的英文全称为DataCirculatio其中，区块链标识编码应采用在国家有关主管部门区块链信息服务备案管理系统中备案的由20位字符组成的备案编号。数据流通主体类型标识编码应符合表2的规定。表2数据流通主体类型标识编码12数据流通主体唯一标识编码应在所属主体类型下全局唯一，并符合表3的规定。表3数据流通主体唯一标识编码12示例1：某数据交易所的DID编码：did:dc示例2：某数据持有者（自然人）的DID编码：did:dc:52010xxxx7.3.2DID文档DID文档构成DID文档包含与DID相关联的信息，应包括DID文档元数据属性信息和DID文档中的属性信息。文档元数据属性应符合中的要求；文档中的属性应符合中的要求。示例参见附录A.1。DID文档序列化T/GZBDXXX—XXXX7DID文档应可以序列化，序列化后的结果宜为JSON-LD结构。DID文档核心元数据属性DID文档核心元数据属性应符合表4的规定。表4DID文档核心元数据属性123did:dc:52010xxxxxxxxxxxxxxx456did:dc:52010xxxxxxxxxxxxxxxdid:dc:52010xxxxxxxxxxxxxxx78用DID文档中的核心属性DID文档中的类应符合表5的规定。表5DID文档中的类1--234证”（authentication）“声明方法”56描述与DID主体相关的附加声明信息，如行业、资T/GZBDXXX—XXXX8DID文档类中的核心属性应符合表6的规定。表6DID文档类中的核心属性12s34e5据流通中扮演的角色（如数据采验证方法类中的核心属性应符合表7的规定。表7验证方法类中的核心属性12型3体的DID（验证方法的控制者和JWK公钥类中的核心属性应符合表8的规定。表8JWK公钥类中的核心属性T/GZBDXXX—XXXX9123x4y5-验证关系类中的核心属性应符合表9的规定。表9验证关系类中的核心属性123-服务类中的核心属性应符合表10的规定。表10服务类中的核心属性123/附加声明类中的核心属性应符合表11的规定。T/GZBDXXX—XXXX表11附加声明类中的核心属性12-7.3.3VC概述VC应包含关于主体的特定信息，如身份、资质、学历、信用记录等。这些信息经过颁发者的数字签名，以确保其真实性和完整性。示例参见附录A.2。VC中的核心属性VC中的类应符合表12的规定。表12VC中的类1--7可验证凭证类中的核心属性应符合表13的规定。表13可验证凭证类中的核心属性1 2345T/GZBDXXX—XXXX凭证状态类中的核心属性应符合表14的规定。表14凭证状态类中的核心属性12凭证主题类中的核心属性应符合表15的规定。表15凭证主题类中的核心属性12主体的相关属性，如“姓名”-证明类中的核心属性应符合表16的规定。表16证明类中的核心属性123org:123456789123456145GzCKdzyA1UkNxmb4uG8yhvjqJkYTt7.3.4VP概述T/GZBDXXX—XXXXVP被VC持有者用于向验证者证明自己拥有某些VC，同时可根据具体需求有选择地披露凭证中的部分或全部信息，而无需透露所有细节，以此来保护数据主体的隐私。示例参见附录A.3。VP中的核心属性VP中的类应符合表17的规定。表17VP中的类1--23可验证表述类中的核心属性应符合表18的规定。表18可验证表述类中的核心属性12did:dc:52010xxxxxxx30x04bfcabfac44c77fba0962ae9307a93d1a88e273afae981c470e1b2874022证明类中的核心属性应符合表19的规定。表19证明类中的核心属性12345-T/GZBDXXX—XXXX6ZtLGBjA41eTKU9gLoEEUARyHGzCKdzyA1UkNxmb4uG88服务对接层8.1数据流通分布式身份系统宜通过SDK、客户端、API等方式对外提供服务。8.2服务接口采集的数据应完整、准确。8.3服务接口的数据传输应加密、可靠，防止数据在传输过程中被窃取或篡改。8.4服务接口应具备灵活性、可扩展性、互操作性和跨平台兼容性，以便于不同系统之间的集成和互操作，以及与多种操作系统、编程语言和开发框架兼容。8.5服务接口的调用应具备流程控制和权限控制机制，确保只有获授权的用户和应用能够访问系统服8.6服务接口应保证幂等性，在数据请求相同的前提下，接口一次调用和多次调用的结果一致。8.7服务接口应具备高效的响应能力，能快速处理大量的身份验证、数据查询和共享请求，并支持异步处理数据写入和验证等，避免阻塞接口的响应。8.8宜支持多种经国家密码管理部门认证核准的密码算法的调用对接。9安全保障体系9.1DID安全9.1.1DID和DID文档中涉及个人信息处理的，应符合GB/T35273的要求。9.1.2DID文档中应不包含个人信息或个人信息的加密值。9.1.3基于实体真实身份信息创建DID时，应进行去标识化及脱敏处理。9.1.4应支持匿名DID机制，同一实体可基于不同需求生成和注册多个未经其同意互不关联的匿名DID，且不同匿名DID对应DID公钥不同。9.1.5应采取适当的安全防护措施，保障DID和DID文档的访问安全。9.2凭证安全9.2.1个人身份信息数据分类分级应符合GB/T43697的要求。9.2.2VC或VP中涉及个人信息处理的，应符合GB/T35273的要求。9.2.3应支持采用适当的隐私保护技术保护个人信息。9.2.4应采取适当的安全防护措施，保障VC和VP的全流程操作和流转安全。10审查与监督10.1合规审查T/GZBDXXX—XXXX10.1.1应明确分布式身份系统的管理方、开发方、操作方和使用方以及各方的角色职责和权限，对各方定期开展合规性检查，并监督各方对违规行为采取适当的纠正措施。10.1.2管理方应建立凭证管理体系，组织多方共同制定凭证管理规则，明确各方在凭证全生命周期管理中的权利义务，并定期评审和改进，保障系统长期稳定运行。10.1.3管理方应对DID方法及其创建、管理和撤销等流程进行合规监督，防止数据泄露。10.1.4管理方应对VC模板及其注册、签发、核验和撤销等流程进行合规监督，防止隐私泄露。10.2审计监督10.2.1应建立审计监督体系，定期开展DID系统审计，审计记录包括DID文档和VC等访问的时间、用户标识、操作类型等，确保访问和操作过程可追溯。10.2.2应建立实时监控机制，实时检测并报告审计异常行为。10.2.3应支持审计记录的定期存档，确保电子档案保管期限不低于行政管理、诉讼、审计等活动所需的追溯年限。10.2.4应提供相关功能，支持获授权的用户访问相关审计记录。10.2.5在提供审计记录访问时，应对个人信息进行脱敏处理，防止泄露用户隐私，宜将DID或VC审计记录访问或更改情况及时通知相关方。10.2.6宜支持审计记录异常告警功能，自动检测异常行为或未经授权的访问，并及时告警。T/GZBDXXX—XXXX（资料性）DID技术应用示例A.1示例一：基于DID的航运贸易数据资产目录链为提升航运贸易数据的流通效率，构建了一套基于区块链（长安链）和DID技术的可信数据资产目录链。该平台旨在解决传统数据共享中的信任缺失、确权困难、跨机构协作效率低等问题，推动航运贸易行业的数字化转型。{//语义上下文"@context":[//W3CVC标准上下文"/2018/credentials/v1",//招商局自定义词汇表"/2023/credentials/shipping/v1",{"cmbdi":"/ns/shipping#","ex":"/ns#"}"id":"urn:uuid:9c1b6f3a-2e8d-4a9c-b5f1-3d6e8f9c2a1b","type":["VerifiableCredential","ShippingInvestorCredential"],"issuer":"did:cmbdi:regulator:91310000564759688N",//海事局监管DID"issuanceDateTime":"2023-12-01T08:30:00Z",//凭证生效时间"expirationDate":"2024-12-01T08:30:00Z",//凭证过期时间//凭证主体"credentialSubject":{"id":"did:cmbdi:investor:HKG0012F.S3105",//投资者DID//航运专属字段"shippingInvestmentProfile":{"type":"institutional","classification":{"standard":"IMOMSC.1/Circ.1638",//国际海事组织标准"level":"Tier3""riskAssessment":{"model":"CMBDI-RAMv2",//招商局风险评估模型"lastEvaluation":"2023-11-15"T/GZBDXXX—XXXX"type":"InternationalShipping","issuer":"HongKongMaritimeDepartment","number":"HKMD-2023-876543"}//业务限制字段"restrictions":[{"cargoType":["hazardous","liquid_gas"],//允许投资的货类"route":"Asia-Europe"//限定航线}]//凭证状态层"credentialStatus":{"id":"/status/789012","type":"BlockchainCredentialStatus2023","chainInfo":{"chainId":"changchain-1","txHash":"0x89a2f4..."//长安链的链标识符和存证交易哈希（可验证吊销状态）}//证明层"type":"SM2Signature2022",//国密算法"created":"2023-12-01T08:35:00Z","verificationMethod":"did:cmbdi:regulator:91310000564759688N#key-2","proofPurpose":"assertionMethod","proofValue":"z2F3Xa...（Base58编码签名）","jws":"eyJhbGciOiJTTTIi...（JWS格式备用签名）"}}A.2示例二：跨境数字护照认证某国公民使用基于区块链的VC护照在跨国机场快速通关，无需物理证件，当旅客使用数字护照通关时，其VC需在出发国、目的地国、航空公司等多方系统间传递。{"@context":["/2018/credentials/v1","/passport/v1"//自定义护照数据模型T/GZBDXXX—XXXX"id":"urn:uuid:6a8f-4c3d-925c-7b6a",//凭证唯一标识符"type":["VerifiableCredential","DigitalPassport"],//凭证类型标识"issuer":"did:gov:china#immigration",//签发方DID（政府移民局）"issuanceDate":"2023-09-01T08:00:00Z",//颁发时间（ISO8601）"expirationDate":"2033-09-01T23:59:59Z",//失效时间"credentialSubject":{//凭证主体数据"id":"did:citizen:zhangsan#passport",//公民DID"familyName":"张",//姓（明文）"givenName":"三",//名（明文）"birthDate":"1990-05-15",//生日（加密存储）"nationality":"CN",//国籍（选择性披露）"documentNumber":"E12345678",//护照号（哈希处理）"biometricHash":"sha256:9a8b..."//生物特征哈希"proof":{//密码学证明"type":"BbsBlsSignature2022",//支持选择性披露的签名方案"created":"2023-09-01T08:05:00Z","proofPurpose":"assertionMethod",//证明用途"verificationMethod":"did:gov:china#key-1",//验证公钥地址"proofValue":"z2F3E...k9J2",//签名值（Base58编码）"nonce":"a3f2e..."//防重放攻击随机数"metadata":{//附加元数据"authorityCode":"CN-IA-001",//签发机构代码"blockchainAnchor":{//区块链锚定信息"txHash":"0x8912...a3f2",//交易哈希"blockNumber":1892345,//区块高度"chainId":"indychain:mainnet"//区块链标识}}}A.3示例三：医保理赔数据选择性披露患者向保险公司提交医疗数据VP，仅披露必要字段（如治疗类型），隐藏敏感信息（如费用），减少50%以上的人工核保成本，隐私泄露风险降低90%，理赔周期从14天缩短至24小时。{"@context":["/2018/credentials/v1","/vp/v1"T/GZBDXXX—XXXX"type":"VerifiablePresentation","id":"urn:uuid:6ba7b810-9dad-11d1-80b4-00c04fd430c8","holder":"did:patient,//患者DID"verifiableCredential":[{"@context":"/credent