基于區(qū)塊鏈的民航分布式數(shù)字身份系統(tǒng)研究和應(yīng)用

文 | 中航信移動科技有限公司 佟業(yè)新 曲新奎 張祚弘

一、引言

在民航領(lǐng)域，數(shù)據(jù)共享和個人隱私保護存在一些問題和矛盾點，民航業(yè)務(wù)涉及多個服務(wù)環(huán)節(jié)，包括機票預(yù)訂、登機手續(xù)辦理、安全檢查和行李托運，需要獲取旅客的個人信息，但過度的數(shù)據(jù)共享可能導(dǎo)致個人信息泄露的風(fēng)險，從而損害旅客的隱私權(quán)利。同時民航業(yè)務(wù)涉及到航空公司、機場、安檢等多個參與方，參與方之間的數(shù)據(jù)共享和協(xié)作需要確保數(shù)據(jù)的安全性和可信性，同時保護旅客的個人隱私。然而，不同參與方之間的數(shù)據(jù)共享和協(xié)作機制可能存在不一致和不可信的問題，從而增加了數(shù)據(jù)被濫用或泄露的風(fēng)險。

因此，如何解決數(shù)據(jù)共享和個人隱私保護的矛盾點是本文研究的重點。通過基于區(qū)塊鏈的分布式數(shù)字身份技術(shù)，通過建立可信的身份標(biāo)識和憑證系統(tǒng)，解決民航多主體受限于安全、隱私、企業(yè)權(quán)益等因素造成的多維協(xié)同難問題，實現(xiàn)旅客身份信息的安全、便捷和可控的共享。這樣既可以滿足民航業(yè)務(wù)的需求，又可以保護旅客的個人隱私。

二、研究基礎(chǔ)

（一）區(qū)塊鏈技術(shù)

區(qū)塊鏈通過分布式網(wǎng)絡(luò)、密碼學(xué)、共識算法、智能合約等多種技術(shù)實現(xiàn)了去中心化、不可篡改性、透明性等特點。區(qū)塊鏈技術(shù)是一種分布式賬本技術(shù)，它通過加密算法將數(shù)據(jù)以區(qū)塊的形式鏈接在一起，形成一個不斷增長的鏈?zhǔn)浇Y(jié)構(gòu)。區(qū)塊鏈技術(shù)沒有中央機構(gòu)控制，而是由網(wǎng)絡(luò)中的多個節(jié)點共同維護和驗證交易，這使得數(shù)據(jù)更加安全和透明。每個區(qū)塊都包含前一個區(qū)塊的哈希值，任何修改將導(dǎo)致整個鏈的哈希值變化，從而確保數(shù)據(jù)的完整性和不可篡改性。

（二）去中心化身份

去中心化身份（Decentralized Identity，簡稱DID）是一種數(shù)字身份管理模型，設(shè)計目標(biāo)是解決傳統(tǒng)身份認(rèn)證和數(shù)字身份管理中的一些挑戰(zhàn)，如隱私性、安全性和互操作性等問題。通過區(qū)塊鏈技術(shù)和分布式賬本來實現(xiàn)去中心化身份驗證，每個DID都是全球唯一的，并且由其擁有者完全控制。數(shù)字身份憑證通過使用去中心化身份技術(shù)，使得用戶能夠控制自己的身份信息，并將其存儲在安全的數(shù)字錢包或身份管理系統(tǒng)中。這樣，用戶可以選擇性地分享特定的身份信息，而無需將所有個人信息都暴露給第三方機構(gòu)。

三、民航分布式數(shù)字身份系統(tǒng)

本文基于于區(qū)塊鏈技術(shù)、去中心化身份、生物識別技術(shù)等構(gòu)建的一系列分布式數(shù)字身份服務(wù)，通過區(qū)塊鏈的共識算法保障了分布式系統(tǒng)的數(shù)據(jù)一致性，以隱私安全、信息加密的方式產(chǎn)生和驗證全局唯一標(biāo)識符，以標(biāo)識現(xiàn)實世界的各類憑證，使其具備數(shù)字化、網(wǎng)絡(luò)化的特質(zhì)。各機構(gòu)能夠通過民航分布式身份平臺實現(xiàn)用戶身份的管理和憑證的頒發(fā)，用戶可以持久保存和使用此憑證。在使用憑證時，用戶可以自己控制和管理身份憑證的授權(quán)。

（一）整體架構(gòu)

系統(tǒng)分為應(yīng)用層、DID協(xié)議層和區(qū)塊鏈網(wǎng)絡(luò)層三部分，其整體架構(gòu)如圖1所示：

圖1 系統(tǒng)架構(gòu)

應(yīng)用層為DID系統(tǒng)中各個角色提供各個接口，從角色上分為用戶、發(fā)證方、驗證方等。用戶注冊鏈上身份獲得DID，并依托 DID 向發(fā)證方申請各類可驗證憑證，最終向驗證方提供DID和可驗證憑證完成驗證流程。

DID協(xié)議層封裝了DID協(xié)議的實現(xiàn)，向應(yīng)用層提供不同角色的調(diào)用接口，例如鏈上注冊DID數(shù)字身份標(biāo)識、注冊權(quán)威機構(gòu)、注冊憑證模板、創(chuàng)建電子憑證等功能。通過區(qū)塊鏈SDK創(chuàng)建鏈上交易，實現(xiàn)各類數(shù)據(jù)的存儲。

區(qū)塊鏈網(wǎng)絡(luò)層為系統(tǒng)提供區(qū)塊鏈的基礎(chǔ)能力，基于BaaS區(qū)塊鏈平臺，部署相應(yīng)的DID智能合約作為業(yè)務(wù)功能的核心，對DID文檔以及其他需要分布式存儲內(nèi)容的數(shù)據(jù)上鏈存儲。

（二）系統(tǒng)交互設(shè)計

系統(tǒng)的角色及其關(guān)系：旅客為憑證持有方，民航權(quán)威機構(gòu)為發(fā)證方，需要驗證行程的如安檢、值機、免稅等服務(wù)提供方為驗證方，民航分布式數(shù)字身份系統(tǒng)負(fù)責(zé)提供DID相關(guān)的服務(wù)。

旅客首先在民航分布式數(shù)字身份系統(tǒng)上注冊賬戶并創(chuàng)建他們的去中心化身份（DID）。在注冊過程中，他們需要進行自然人身份驗證，注冊成功后，旅客將擁有一個唯一的DID標(biāo)識符。

旅客購票后，由民航機構(gòu)簽發(fā)包含旅客個人信息和行程信息的數(shù)字憑證，生成的數(shù)字憑證將使用加密技術(shù)進行簽名，以確保其來源的可信性，并保護其內(nèi)容不被篡改。當(dāng)旅客使用相關(guān)服務(wù)時，他們可以通過用戶終端如二維碼等形式來展示他們的數(shù)字憑證，在數(shù)字憑證驗證的基礎(chǔ)上，民航服務(wù)提供方需再進行生物特征驗證，如人臉識別等，以進一步確認(rèn)旅客的身份。一旦數(shù)字憑證驗證通過，旅客可以順利通過邊檢和登機流程，無需傳統(tǒng)的紙質(zhì)文件，在旅行過程中，旅客可以通過他們的DID享受的不同民航服務(wù)。

（三）關(guān)鍵流程設(shè)計

1.DID申請

通過DID申請為旅客在系統(tǒng)中建立可靠的身份認(rèn)證機制，生成唯一標(biāo)識。旅客通過終端（手機APP等）發(fā)送申請DID的請求，旅客傳入身份證號和生物信息數(shù)據(jù)（如人臉圖片等），通過調(diào)用權(quán)威身份認(rèn)證機構(gòu)提供的接口完成自然人認(rèn)證。驗證通過后計算生物信息的特征值，再由系統(tǒng)生成一個密鑰對，并計算DID字符串和DID文檔，將DID文檔通過合約上鏈存儲后再返回給旅客。旅客可以隨時登錄到系統(tǒng)中，管理和維護他們的DID信息。

2.出行憑證簽發(fā)

通過憑證簽發(fā)，旅客可以獲得可信的出行憑證，實現(xiàn)數(shù)據(jù)交換、提供可驗證性和實現(xiàn)自主控制。

一旦旅客的DID驗證通過，他們就可以申請民航出行憑證。旅客需要提供相關(guān)的旅行信息，如目的地、日期等?；诼每偷纳暾?，民航權(quán)威機構(gòu)可以生成一個數(shù)字憑證，該憑證包含旅客的DID、生物信息、旅行信息和其他必要的數(shù)據(jù)。這個數(shù)字憑證會被加密并與旅客的DID關(guān)聯(lián)。生成的數(shù)字憑證將使用加密技術(shù)進行簽名，以確保其來源的可信性，通過將憑證哈希值上鏈存儲來保護其內(nèi)容不被篡改。一旦數(shù)字憑證生成并簽名完成，它可以被傳遞給民航的各個服務(wù)系統(tǒng)，比如航空公司或機場的服務(wù)系統(tǒng)。

3.出行憑證驗證

憑證驗證用于旅客身份和權(quán)限在出行過程中的驗證和確認(rèn)。

旅客需要使用民航服務(wù)時，通過二維碼向服務(wù)提供方出示出行憑證。這個憑證可以包含旅行者的身份信息、生物信息特征值、行程細(xì)節(jié)和其他必要的數(shù)據(jù)。相關(guān)接入方設(shè)備將憑證信息發(fā)送至民航分布式數(shù)字身份系統(tǒng)以驗證其真實性和完整性，這個過程可以保證憑證沒有被篡改過。

為了進一步確保憑證持有者的真實性，在憑證驗證的基礎(chǔ)上，服務(wù)提供方還可以進行生物特征驗證。用戶提供相應(yīng)的生物特征數(shù)據(jù)，并在區(qū)塊鏈上的智能合約進行驗證，生物特征數(shù)據(jù)的存儲和驗證都在區(qū)塊鏈上進行，通過生物信息特征值計算節(jié)點計算出特征值，和憑證上的生物特征值作比較，以確保憑證持有者的身份與登機牌或機票上的信息一致。旅客可以在不同的接入方校驗位置出示同一憑證，對不同的流程選擇性披露不同的字段。

四、應(yīng)用案例

在數(shù)字資產(chǎn)方面，使用DID與數(shù)字藏品、數(shù)字登機牌等數(shù)字資產(chǎn)相關(guān)聯(lián)，提供更強的身份驗證、所有權(quán)證明。數(shù)字資產(chǎn)的創(chuàng)作者、所有者或相關(guān)機構(gòu)可以使用他們的DID來發(fā)行與特定數(shù)字資產(chǎn)相關(guān)聯(lián)的憑證。用戶獲得數(shù)字資產(chǎn)時簽發(fā)一張憑證作為用戶擁有該數(shù)字資產(chǎn)的證明，擁有該數(shù)字資產(chǎn)的用戶可享受相關(guān)附屬權(quán)益。通過該系統(tǒng)，已經(jīng)為數(shù)十萬民航用戶提數(shù)字資產(chǎn)的權(quán)益保護和驗證服務(wù)。

在旅客出行方面，旅客本人通過在線授權(quán)生物信息以及身份信息、出行信息，獲得基于DID的身份憑證以及出行憑證。旅客對機場、航空公司指定時間段內(nèi)的服務(wù)進行憑證驗證授權(quán)后，系統(tǒng)會將旅客的身份憑證及授權(quán)信息及時傳遞至服務(wù)提供方，驗證完成后開展相關(guān)后續(xù)服務(wù)。該系統(tǒng)已經(jīng)在航旅縱橫的值機、安檢、休息室等多個業(yè)務(wù)場景進行應(yīng)用。

五、結(jié)語

本文提出了區(qū)塊鏈技術(shù)、去中心化身份（DID）技術(shù)與民航領(lǐng)域相結(jié)合的方法，構(gòu)建了基于區(qū)塊鏈的民航分布式數(shù)字身份系統(tǒng)，實現(xiàn)民航各實體之間跨系統(tǒng)、跨邊界的可信身份識別和數(shù)據(jù)交換。DID技術(shù)為民航領(lǐng)域帶來了巨大的機遇，通過引入去中心化身份，用戶可以更好地控制和管理自己的身份信息，實現(xiàn)數(shù)據(jù)的選擇性共享，并增強數(shù)據(jù)隱私和安全性。這有助于簡化旅行者的身份驗證流程，提供更便捷和安全的旅行體驗，同時降低了欺詐和身份盜竊的風(fēng)險。

將DID技術(shù)與民航結(jié)合具有廣闊的前景和潛在的影響。通過合理的規(guī)劃、合作和創(chuàng)新，DID技術(shù)可以為民航領(lǐng)域帶來更安全、便捷和隱私保護的旅行體驗，為整個行業(yè)的發(fā)展帶來積極的推動力量，有助于提升數(shù)據(jù)安全保障水平，助力民航產(chǎn)業(yè)數(shù)字化升級。