区块链电子政务认证模式研究

摘要：身份认证技术是电子政务安全运行的基础保障，当前我国的电子政务身份认证技术存在跨域统一身份认证困难、多元身份证明和凭证管理不善、身份标识和认证体系庞杂、身份属性的精细化管理缺失、身份操作行为审计监管困难及单点故障严重等问题，不能满足当前电子政务的发展需求，而传统技术并不能完全解决这些问题，发展新型的身份认证技术势在必行。对此，研究利用区块链等相关技术构建了一个面向电子政务的区块链身份认证模型。该模型充分发挥所用技术的特点，解决了当前电子政务身份认证技术中存在的问题，并能做到认证、服务和资源的可信。该模型为新型的电子政务身份认证技术的发展提供了有价值的理论基础和技术路线。

关键词：区块链;电子政务;身份认证;信息安全

一、引言

随着信息技术的发展，现代信息技术在各国政府事务处理中得到大规模推广和应用。电子政务成为提高政务服务效率，提升政府服务质量，增加政府部门公共决策透明度，建立良好的G2G(GovernmenttoGovernment)、G2B(GovernmenttoBusiness)、G2C(GovernmenttoCitizen)关系的主要手段和有效措施[1]。显然，信息技术的发展给新时代的政府治理注入了新动能，但其所带来的风险和挑战也日趋严峻，许多电子政务服务和事务处理需要在企业、公民个人、党政军各个部门和国民经济各个系统之间进行网络电子交换工作(公文流转、网上申报和审批、公共资源分配和调度等)，而网络是虚拟的，电子交换主体在虚拟空间中所进行的所有操作行为都是基于虚拟身份完成的，如果不对网络虚拟身份进行有效管理，就很容易造成公共资源的滥用，甚至敏感的个人信息和国家机密的泄露等。

因此，如何在虚拟空间中确认和管理电子交换主体的身份，如何根据电子交换主体的身份确认政务资源的归属权和使用权，如何保证政务交换主体资源的可信度及隐私性，如何对电子交换主体的行为进行安全审计和责任认定，是电子政务建设需要解决的核心问题，而这些问题的本质就是电子政务的身份认证问题，是电子政务能够安全和有效开展的基础保障。

由于身份认证在电子政务中的重要性，各国政府都高度重视该问题，纷纷出台身份认证的战略计划和法律法规，积极推动相关前沿技术研究和基础设施建设。例如，欧盟为推动电子政务的发展，方便各国公民与企业的跨国活动，构建欧盟单一数字市场，推出了电子身份证eID(ElectronicIdentification)的网络身份管理形式，并由欧盟委员会于2006年发布了《2010泛欧洲eID管理框架路线图》(Pan-EuropeanElectronicIdentificationManagementFrameworkby2010)[2]。同时，为利用eID在欧盟各国间实现跨境可信在线活动，欧盟进一步颁布和实施了专门的条例和计划，如电子身份认证与信任服务eIDAS(ElectronicIdentification,AuthenticationandTrustServices)和安全身份跨境互联STORK(SecureIdentityAcrossBordersLinked)等[3,4]。美国于2011年4月发布《美国网络空间可信身份国家战略》NSTIC(NationalStrategyforTrustedIdentitiesinCyberspace)，目的是通过政府推动以及与私营部门、社会团体、政府机构和其他组织协作，计划用十年时间建立一个以用户为中心的身份生态体系，改善隐私保护环境，实现在线交易的便利性和敏感信息的安全性[5]。印度于2009年成立唯一身份管理局，并开始实施“唯一身份识别Aadhaar计划”[6]。我国于2016年发布《国家网络空间安全战略》和《中华人民共和国网络安全法》，明确了网络身份的重要性，并将构建网络信任体系、提高网络的科学化、规范化管理作为九大战略任务之一[7,8]。此外，澳大利亚、新加坡、韩国等国家也纷纷发布数字政府战略，将数字身份管理平台作为重点来对待，由此引领和推动国家网络身份管理的发展[9]。

二、我国电子政务身份认证系统的主要实践模式和研究现状

互联网和计算机技术的发展带动了身份认证系统的演进，动态口令、生物特征识别、CA(CertificateAuthority)数字证书、电子身份证(eID)、开放身份OpenID(OpenIdentity)、开放授权OAuth(OpenAuthorization)以及安全断言标记语言SAML(SecurityAssertionMarkupLanguage)等身份认证技术相继出现。政府采购、税务、海关、社保等领域的政务服务需要可确认真实身份和实现电子签名的数字身份认证技术，因此，CA数字证书、eID等技术得到高度关注和应用。

CA数字证书是基于公钥密码学的身份认证技术。首先，用户需要以实名制的方式到国家指定的CA中心获得数字证书，保证电子政务的实名性。其次，数字证书的公钥和私钥的交叉使用可以实现政务数据的电子签名和加解密操作，保证电子政务活动的签权、确权和机密性。最后，目前我国已经基本建立了全国电子认证行业监管体系，制定了多项电子认证相关技术标准，初步形成覆盖全国的电子认证运营服务体系，形成了丰富的电子认证应用服务模式，而且根据中国电子认证服务产业联盟官网显示，2017年我国具备电子认证服务许可资质的CA认证中心多达43家，一共颁发了约3.41亿份CA数字证书。

电子身份证(eID)技术最早兴起于欧洲，自2000年起，不少欧洲国家在其公民身份证中引入网络认证功能，即电子身份证(eID)，以满足其电子政务和电子商务的发展需求。我国的eID技术起步较晚，由公安部第三研究所在“十二五”期间牵头研发完成，并在2018年4月的首届数字中国建设成果展览会上发布《eID数字身份体系白皮书(2018)》[10]。eID实质是一个与真实的实名身份存在映射关系的身份标识符，而该标识符在虚拟的网络空间中就代表了公民的唯一身份，公民通过该标识符可以在虚拟的网络空间中不泄露隐私的情况下进行实名认证。我国的eID是以公民身份证号码为根，以国家密码算法为基础，以智能芯片为载体，由“公安部公民网络身份识别系统”签发给公民的唯一身份标识。目前，我国的eID应用模式主要包括实名认证、账号保护和安全登录，其中的实名认证和安全登录已经应用于电子政务和公共服务等领域[11]。

CA数字证书认证技术的改进系统主要关注于解决跨域统一身份认证困难的问题，很少关注其余问题。林英在信任列表模型基础上，根据实际应用需求提出了一个电子认证公共服务平台，以解决电子政务中的多CA交叉认证问题[12]。邱崚岭等人针对目前电子政务门户系统所存在的安全和实现需求问题，提出了一套基于中心化系统的解决方案，以实现电子政务用户的统一账户管理、统一认证、集中授权、透明审计等功能[13]。郭亓元等人提出了一种具有统一接口标准、规范化签章标准、集中统一认证的电子政务数字证书互通互认平台，以解决当前电子政务中的互通互认，信息共享和业务协同等困难[14]。郭亓元等人为解决移动电子政务中跨域身份管理的问题，进一步提出了一种基于移动电子政务的身份认证和管理框架[15]。此外，陕西省数字证书认证中心为了完善电子政务建设、优化网上公共服务的流程和提升政府服务便利化水平，依托公钥基础设施PKI(PublicKeyInfrastructure)和数字证书技术，构建了一个多元可信身份认证和电子签名签章业务办理的一站式政务服务平台[16]。

eID技术虽然在电子政务和公共服务等领域得到应用，但是这些应用中的eID认证不提供用户身份的精细化管理和行为追溯等功能，要实现这些功能，通常需要借助第三方系统的支持，而第三方系统多以单点故障严重的中心化结构为主。例如，在江苏工商全程电子化系统和江苏淮安“透明食药监”平台中，eID只用于实名认证和安全登录，而对于企业和个人的精细化身份管理和行为的追溯等则是由平台的其他应用系统来支持完成的[17]。

三、我国的电子政务身份认证系统存在的问题

目前，在我国的电子政务身份认证系统建设过程中，仍然面临如下五个问题：

第一，跨域统一身份认证困难。随着我国电子政务建设的发展，政务信息资源需要在不同地区、部门和人员之间流转，特别是随着《中华人民共和国网络安全法》《国家信息化发展战略纲要》《政务信息资源共享管理暂行办法》《“互联网+政务服务”指导意见》《全国一体化在线服务平台建设的指导意见》和《国务院办公厅关于加快推进政务服务“跨省通办”的指导意见》等法律和文件的出台(参见图1)，要求不同政务参与主体之间要建立互信、互认和互操作的关系，即要求电子政务中的身份认证需要具备跨层级、跨地域、跨部门、跨平台、跨系统的统一认证功能，而当前电子政务中的身份认证系统对该功能的支持并不理想。直到2020年11月底，国家发展改革委还在全国范围内征集公共资源交易领域的全国统一身份认证解决方案[18]。

第二，多元身份证明和凭证管理不善。电子政务的应用发展迅速，安全需求多元化，为了实现不同应用环境下的身份认证，需要申办各种身份证明和身份凭证，而当前电子政务的身份认证系统方案并没有提出一种有效的办法来管理这些证明和凭证。例如，以CA数字证书的身份认证为例，我国目前持牌的CA认证机构多达40余家，每个省甚至地市都要求使用本地的CA，某些企业和个人为了完成电子政务操作需要办理近百个不同的CA数字证书，而这些证书通常存储于不同的硬件USBKey中，如此多的硬件设备很难进行日常保管和维护，而且在使用时也不易辨识。

第三，身份标识和认证体系庞杂。随着电子政务应用规模的扩大，参与主体数量也迅速增加，为了在复杂多变的情形下实现多元异构政务参与者身份的互认和互操作，采用统一的身份标识(一串代表政务参与者数字身份的字符)和规范化的认证体系是必要的，但是当前的身份认证系统种类繁多，较难实现身份标识和认证体系的统一和规范。

第四，身份属性的精细化管理缺失。目前，电子政务的身份认证系统本身很少具备精细化身份属性的管理功能，基于该功能的政务资源归属权和使用权的管理需要借助第三方系统的支持。

第五，身份操作行为审计监管困难及单点故障严重。当前的电子政务身份认证过程通常由第三方机构完成，而第三方机构通常不提供政务参与者的行为监管服务，因此，目前的身份认证系统很少具备安全审计和责任认定功能。而且，依赖于第三方机构完成身份认证的系统通常存在严重的单点故障问题。

四、区块链身份认证相关研究和面向电子政务的区块链身份认证解决方案

虽然CA数字证书认证技术和电子身份证(eID)技术在我国电子政务领域得到高度关注和应用，但是它们不同程度地存在诸多问题。尽管部分学者和机构提出了一些改进措施，并设计了相关的系统，但是问题仍然没有得到完全解决。例如，前者存在电子政务身份认证面临的所有五个问题，而后者主要存在问题四和问题五。面对上述问题，突破传统思维和技术，发展新型的身份认证系统势在必行，这不仅能够迎合国家安全战略的部署要求，而且能够为电子政务的有效开展和实施提供必要保障。

近年来，随着区块链技术的发展，其去中心化、安全可信任、防篡改、可追溯及对等管理等优势和特点受到了安全领域的专家和学者们的关注，一些基于区块链的身份认证系统相继出现，例如Sovrin[19]、ShoCard[20]和uPort[21]等。这些系统将区块链相关技术的优势和特点应用到身份认证系统中，在一定程度上解决了跨域统一身份认证困难和单点故障等方面的问题，但是仍然没有针对性地分析如何利用区块链的优势和特点完全解决电子政务身份认证系统面临的问题，并且存在身份属性的精细化管理缺失以及可信认证和隐私无保障等问题[22,23]。鉴于此，本文在国内外有关学者探讨基于区块链技术的身份认证解决方案的基础上，从目前我国电子政务身份认证的问题和需求出发，充分发挥区块链技术的优势和特点，并与去中心化统一身份、CA数字证书认证和分布式预言机等技术结合，构建了一个面向电子政务的区块链统一身份认证模型，目的是为解决上述电子政务身份认证系统中存在的诸多问题和发展新型的身份认证技术提供有价值的理论基础和技术路线。

(一)研究区块链身份认证系统的必要性和价值

区块链本质是一种建立在点对点传输、加密算法、共识机制和智能合约上的共享分布式账本技术，其可将处于不同地理位置和具备不同功能的实体作为系统参与者互联，并进行点对点的加密数据传输和操作，同时可根据约定的共识和上链机制，将数据和操作行为在达成共识后记入共同维护且不可随意篡改的分布式账本。因此，区块链具备去中心化、安全可信任、防篡改、可追溯及对等管理等优势和特点。

上述区块链的完整技术最早是由比特币的发明人中本聪实现的，其利用区块链技术的优势和特点构建了第一个有效的数字货币系统——比特币系统，并在2008年发表的论文《比特币:一种点对点式的电子现金系统》(Bitcoin:Apeer-to-peerelectroniccashsystem)中对区块链技术进行了详细介绍[24]。自此，区块链技术受到了各方的高度关注，特别是在以太坊区块链技术出现以后，区块链技术进入了可编程时代，人们可以根据需求，利用可编程的区块链智能合约实现各种可信应用，其范围已经扩展到了金融、商业、民生、智慧城市、城际互通和政务服务等领域。因此，各国政府都相继将区块链看作科技发展战略来对待。在我国，区块链已经上升到国家科技战略的层面，中央将区块链写入“十三五”规划之中，浙江、江苏、贵州、重庆、广州、南京等地方政府，也发布文件制定区块链产业发展计划，将区块链技术上升到了产业战略高度[25]。然而，产业布局中的区块链应用要求多元异构身份主体具备可信的身份，正如2016年工业和信息化部发布的《中国区块链技术和应用发展白皮书》中所指出：“区块链治理过程中，身份认证系统是第一要务。”[26]因此，研究区块链身份认证系统能够为基于区块链的产业应用落地提供安全保障。同时，区块链技术的优势和特点高度契合电子政务身份认证系统待解决的问题(参见图2)。因此，充分利用区块链技术可望构建出满足电子政务要求的身份认证系统。

(二)当前的区块链身份认证研究现状和问题

基于区块链技术的巨大应用前景和身份认证在其中起到的关键作用和价值，许多学者和机构都将目光转向基于区块链的身份认证系统的研究上，这些研究除了已经提到的Sovrin、ShoCard和uPort外，还包括：Fromknecht等人将比特币的底层区块链技术用于CA数字证书的公钥和用户信息的存储及查询中，实现了首个基于区块链技术的CA数字证书管理系统[27]。A.Yakubov等人为了改善目前在CA数字证书颁发、验证和撤销过程中存在的问题，同样提出了一个基于区块链技术的CA数字证书管理系统[28]。Mustafa开发了一个名为智能合约公钥基础设施SCPKI(SmartContractPublicKeyInfrastructure)的区块链身份认证系统，该系统使用实体、属性、签名和撤销四个智能合约管理用户的身份，可以实现自主权的细粒度身份管理，而且系统用户可以对其他用户的身份属性进行签名，从而可以逐渐构建起一个用户之间相互担保信任的区块链网络[29]。Wang等人为了实现跨域用户之间的资源访问和控制，提出了一种基于区块链的跨域身份认证系统BlockCAM(Blockchain-basedCross-domainAuthenticationModel)，该系统对传统CA数字证书认证系统进行改造，将不同域所属的根CA中心作为区块链节点，从而可以将所有颁发过证书的Hash值和证书状态信息通过共识后存储到区块链账本中，证书有效性的验证只需要验证用户的证书与存储在区块链中的已经颁发的证书的Hash值是否有效即可[30]。Mell等人提出了一个基于区块链智能合约的身份认证系统，该系统利用智能合约管理用户账号，而用户账户又与账户拥有者的不同身份属性智能合约关联，从而实现了自主身份属性的管理和不依赖第三方认证机构验证身份的功能[31]。Alsayed等人利用区块链智能合约构建了一个域名身份管理系统DNS-IdM(DomainNameSystem-IdentityManagement)，实现类似域名查询功能的多元异构身份认证[32]。周桐提出了一个名为云服务自我主权式身份EverSSI(Ever-ServiceSelf-SovereignIdentity)的区块链数字身份认证框架，该框架基于区块链智能合约技术，能够为用户提供唯一身份标识和细粒度身份认证[33]。潘维等人提出了一种基于区块链智能合约的去中心化身份认证模型，实现了多类型身份数据的发布、认证以及撤销，达到管理用户身份数据及在不同场景中根据不同的需求进行身份认证的目的[34]。杨淳等人提出了一种统一身份标识方案，并将该方案与联盟区块链结合，构建了一个可以实现异构身份跨域认证的系统[35]。公安部第三研究所也在2019年提出了一个eID数字身份链，该身份链以目前我国电子政务广泛使用的eID技术为基础，在其中融入区块链相关技术，不仅具备了更强的权威性，而且能够实现多场景的电子政务身份认证，但是该系统主要应用于支持eID的场景中[36]。

尽管目前的众多学者和机构在基于区块链的身份认证相关问题的研究上做了许多工作，但是这些研究没有针对性，仍然不能完全解决电子政务身份认证面临的五个问题(参见图2)。首先，这些研究在认证方式和身份标识方面没有形成统一和规范的体系，几乎都没有采用行业内公认和广泛使用的标准，大多自成一体，很难实现互信、互认和互操作，即存在电子政务身份认证面临的问题三。其次，这些研究虽然利用区块链来存储身份证书和它们的状态信息，但是没有考虑将区块链和相关技术结合，特别是对于各种身份证书的链下存储和管理而言，区块链和相关技术的结合是很有意义的，有助于解决电子政务身份认证面临的问题二和问题四。再次，区块链在身份行为监管上有较大的优势，但是这些研究大部分没有建立身份行为监管机制，因此仍然存在电子政务身份认证面临的问题五。最后，这些研究大部分都摒弃了目前我国电子政务广泛使用的CA数字证书认证体系，而已知目前颁发的CA数字证书约3.41亿份，如果完全摒弃这种认证体系，会使得大量已经颁发的证书作废，造成巨大的经济损失。

因此，如果能够全方位考虑上述问题，并将区块链的优势和特点进一步地与相关的技术结合，构建全新的区块链身份认证系统，对于解决电子政务中的身份认证问题是很有意义的。

(三)面向电子政务的身份认证解决方案及特点

本文的电子政务身份认证解决方案是在区块链技术的基础上引入可利用区块链进行信用背书的去中心化统一身份技术，并用该技术的去中心化身份标识符DID(DecentralizedIdentifier)作为每一个政务参与者在区块链网络节点之间构建安全连接的统一身份标识，然后用DID去绑定不同的CA数字证书和可以描述政务参与者精细化身份属性的可验证凭证VC(VerifiableCredential)，而DID、CA数字证书和VC都是存储在政务参与者自持的“智能芯片卡”中由政务参与者链下自主管理。

在身份认证时，政务参与者首先通过统一的身份标识符(DID)完成与身份认证相关的区块链节点之间的安全连接，然后根据认证需求出示不同的CA数字证书和VC完成真实身份的认证，从而达到身份标识符和认证方式统一和规范、身份证书和凭证统一存储和管理、身份属性精细化管理、身份认证兼容CA数字证书认证体系的目的。

图3展示了本文模型系统获取多种身份证书、多种证书与统一身份标识符DID绑定、基于区块链智能合约的身份认证及服务和资源目录管理、身份操作行为监管等结构简图。从图3中可以看到，该模型系统将区块链与相关技术深度结合，不仅解决了电子政务身份认证面临的五个问题，而且可做到认证、服务和资源的可信，具体体现在如下几个方面：

第一，本模型系统可以将处于不同地域和层级的政府部门、行业协会、机构单位和个人等多元政务参与者作为区块链节点对等互联，并利用区块链共识机制将所有政务参与者的相关身份数据和行为操作信息同步地存储到多个共识记账节点中，使得多元异构政务参与者的身份数据得以互信、互认和互操作，实现业务和数据的协同、安全和可监管。因此，电子政务身份认证面临的问题一和问题五可以得到解决。

第二，本文模型系统引入可利用区块链进行信用背书的去中心化统一身份技术，该技术中的去中心化身份标识符(DID)可由政务参与者自主生成和管理，即标识符的生成没有中心服务器的概念，标识符的控制权回到用户手中[37]。而且，目前的万维网联盟W3C(WorldWideWebConsortium)已经规范了去中心化统一身份技术，其中包括DID和VC的统一格式和规范化的认证体系[38,39]，同时，该规范化的技术已经得到了业内的公认和广泛使用[40,41]。因此，电子政务身份认证面临的问题三可以得到解决。

第三，本模型系统将DID与不同CA数字证书和VC的绑定关系存储在不可篡改的区块链中，以构建数字身份与真实身份的可靠映射关系，同时利用政务参与者的“智能芯片卡”在链下统一存储和管理DID、CA数字证书和VC。因此，电子政务身份认证面临的问题二可以得到解决。

第四，本模型系统使用区块链记录和存储所有政务参与者的身份数据和行为操作信息，并可为专门的政府监管部门开放查询和审计接口，以此规范政务参与者的行为，并由此获得可分析和利用的政务大数据来帮助政府制定政策和做出决策。因此，电子政务身份认证面临的问题五可以得到进一步解决和改善。

第五，本模型系统使用公开透明的区块链智能合约进行政务参与者的身份认证(DID、CA数字证书和VC的核验)、政务服务和资源的统一管理、精细化身份属性的管控，同时，引入分布式预言机在链下辅助执行身份认证过程中的复杂计算。因此，做到了认证、服务和资源的可信，提高了认证效率，并解决了电子政务身份认证面临的问题四。

五、面向电子政务身份认证解决方案的详细架构和流程

前文和图3简要描述了本文提出的身份认证模型系统，本节将从模型系统架构和核心认证流程两个方面对本文提出的模型系统进行详细介绍。

(一)模型系统架构描述

图4展示了本文模型系统的详细架构图，从图中可以看出，本文系统主要由“用户层”和“区块链节点服务层”两个层次构成，而两个层次又进一步划分为不同的子部分，下面分别对它们进行详细描述。

⒈用户层

“用户层”主要由“用户”和其自持的“智能芯片卡”两个子部分构成，其中“用户”是需要进行身份认证的政务参与者，其中包括个人、企业和政府，而“智能芯片卡”主要用于实现三个核心功能：

第一，生成公钥、私钥和自签名证书SSC(Self-SignedCertificate)。用户在创建去中心化身份标识符(DID)时，首先需在“智能芯片卡”中自主生成私钥，然后基于私钥生成公钥，最后基于公钥生成DID。另一方面，用户需用私钥生成SSC，以在身份认证时，向验证者提交SSC，并由此证明其是DID的持有者。

第二，统一存储和管理DID、SSC以及代表用户真实身份的各种数字证书和VC。

第三，与“用户节点”的“政务App综合应用平台”交互。用户为了证明其身份，要登录“用户节点”的“政务App综合应用平台”，并提交存储在智能芯片卡中的DID、SSC以及各种数字证书和VC，而这个提交过程需要“智能芯片卡”与“用户节点”的“政务App综合应用平台”进行交互。

⒉区块链节点服务层

“区块链节点服务层”主要由“区块链共识记账节点及智能合约与分布式账本”和“参与节点”两个子部分构成，其中，两个子部分的核心是五种区块链节点角色：用户节点、服务提供商节点、身份标识和属性提供商节点、验证服务提供商节点，以及“管理和监督节点”。它们在系统中所起的作用如下：

第一，用户节点。该节点是用户进行政务操作的节点，用户通过该节点的“政务App综合应用平台”可以获得来自“服务提供商节点”“身份标识和属性提供商节点”以及“验证服务提供商节点”的各种业务，其中包括“DID注册”“身份证书获取”“身份凭证获取”“DID绑定”“DID撤销”和“签权授权”等。

第二，服务提供商节点。该节点是需要基于可信数字身份向用户提供政务服务和资源的单位，例如，税务、工商和司法等。这些单位会根据自身的职能，利用区块链智能合约将相应的服务和资源编制成可信的目录体系“服务和资源目录体系智能合约”，并通过“用户节点”的“政务App综合应用平台”展示给用户。系统在完成用户的身份认证后，会通过“服务和资源拥有权智能合约”和“服务和资源访问控制智能合约”两个身份属性精细化管理智能合约，为用户分配可信服务和资源。

第三，身份标识和属性提供商节点。该节点是各种数字证书和VC的颁发单位，能够在线实时地为用户颁发各种数字证书和VC，同时能够利用“CA证书状态智能合约”和“VC凭证状态智能合约”记录它们的状态信息(主要是撤销状态)，以克服传统数字证书认证过程中利用证书撤销列表来管理证书撤销状态时的延迟问题。此外，该节点还会利用“证书和凭证颁发智能合约”记录所有颁发的数字证书和VC的相关信息，包括它们的接收用户DID、它们与用户DID的绑定关系以及颁发时间等，以使颁发过程透明化，同时辅助对它们的真伪进行验证。为了兼容已经颁发了的数字证书和VC，用户也可以向具体颁发单位提交其DID，请求将这些已经颁发的证书和信息记录到智能合约中。

第四，验证服务提供商节点。该节点是区块链的共识记账节点，整个系统的身份认证的数据交换和存储几乎都要通过该节点，因此，该节点需要拥有较强的性能和算力。此外，该节点还负责部署和调用身份认证相关的智能合约，这些合约包括：第一，DID注册和撤销智能合约。该合约以键值对的方式记录每一个注册用户的DID和其结构信息，以在身份认证时通过用户提交的DID查询到其结构信息，并获得DID的公钥及其是否有效的信息(是否被篡改和是否处于激活状态)。第二，身份验证智能合约。系统的身份认证主要由该合约实现，其中包括三个基本步骤：①该合约调用“CA证书状态智能合约”和“VC凭证状态智能合约”，以判断用户提交的数字证书和VC是否被撤销。②确认证书和VC未被撤销后，该合约进一步调用“证书和凭证颁发智能合约”，以判断数字证书和VC是否与DID存在绑定关系。

③确认绑定关系后，该合约验证用户提交的数字证书和VC的数字签名，以判断它们的真伪(数字签名等包含密码算法的复杂计算是利用分布式预言机在区块链外完成，这可以提高区块链智能合约的身份认证效率)。

第五，管理和监督节点。该节点是政府部门设立的权威第三方机构对应的节点，主要负责管理和维护整个系统的软件和硬件接入，监督区块链分布式账本记录的用户身份操作行为等。

(二)模型的身份认证核心业务流程

电子政务的身份认证核心业务主要是政务服务和资源的授权访问，在此将以该项业务为例简介系统的工作流程。为了完成该项业务，系统模型需要依次经过三个核心步骤，首先是DID的注册，其次是身份证书和凭证的获取，最后是政务服务和资源的授权访问。

⒈DID的注册

首先，用户通过自持的“智能芯片卡”生成私钥、公钥、SSC和DID。其次，用户通过“用户节点”登录“政务App综合应用平台”，选择该平台的“DID注册”应用选项，并提交公钥和DID。最后，“政务App综合应用平台”将用户提交的公钥和DID发送至“验证服务提供商节点”，该节点根据接收的内容生成DID结构信息，并将DID和结构信息以键值对方式存入“DID注册和撤销智能合约”中，以完成DID注册。

⒉身份证书和凭证的获取

首先，用户通过“用户节点”登录“政务App综合应用平台”，选择该平台的“获取身份证书(凭证)”应用选项，并提交SSC和DID。其次，“政务App综合应用平台”将SSC和DID发送至“身份标识符和属性提供商节点”，该节点通过DID到“DID注册和撤销智能合约”中提取DID结构信息，从中获得DID的公钥和状态信息，并根据状态信息判断DID是否激活，若是激活的，则用公钥验证SSC，以确认用户是DID的持有者。再次，“身份标识符和属性提供商节点”与用户进行交互，以完成用户的实名认证，然后向用户颁发数字证书和VC，同时将它们的状态和颁发信息等存入“CA证书状态智能合约”“VC凭证状态智能合约”和“证书和凭证颁发智能合约”。最后，用户在“智能芯片卡”中保存获得的数字证书和VC。

⒊政务服务和资源的授权访问

首先，用户通过“用户节点”登录“政务App综合应用平台”，选择该平台的政务选项(参见图4的“清关报关”和“网上办税”等选项)，以请求获取相应的政务服务和资源，同时提交SSC和DID。其次，“政务App综合应用平台”将SSC和DID发送至用户所选择的政务选项对应的“服务提供商节点”，该节点首先根据接收到的内容判断用户是否为DID的持有者，然后将用户提交的请求选项发送至“验证服务提供商节点”，并请求该节点根据用户的请求选项完成身份认证。再次，“验证服务提供商节点”根据用户的请求选项调用“身份验证智能合约”，并结合分布式预言机验证用户的数字证书和VC的真伪等，然后调用“服务和资源拥有权智能合约”和“服务和资源访问控制智能合约”，以明确通过身份认证的用户应该获得的政务服务和资源权限(身份属性的精细化管理)。最后，“验证服务提供商节点”将身份认证和数据确权结果返回给“服务提供商节点”，后者根据该结果为用户提供政务服务和资源。

六、总结与讨论

身份认证是政务服务体系建设的核心，世界各国政府对其高度重视。近年来，为了加快政务信息化建设和政务资源共享，我国出台了相应的法律和文件以发展统一身份认证系统。尽管当前的电子政务身份认证系统实践模式丰富，并发展出了许多基于区块链技术的身份认证系统，但是它们仍然存在跨域统一身份认证困难、多元身份证明和凭证管理不善、身份标识和认证体系庞杂、身份属性的精细化管理缺失、审计监管困难及单点故障严重等问题。

鉴于此，本文提出了一种将去中心化统一身份、CA数字证书认证和分布式预言机等技术与区块链结合的新型身份认证解决方案，目的是为解决当前电子政务身份认证系统中存在的诸多问题和构建安全可信任的政务服务体系提供一种有价值的技术路线，同时也为解决未来的区块链产业应用中的身份认证问题提供思路。

本文提出的模型系统应用区块链将所有政务参者互联，并使用统一规范的DID作为用户的身份标识符，同时将DID与代表用户多元异构真实身份的数字证书和VC绑定，并将绑定关系记录在不可篡改的区块链中，而DID、数字证书和VC都是由用户自持的“智能芯片卡”在链下统一存储和管理。当用户希望获得政务服务和资源时，只需登录“用户节点”提供的“政务App综合应用平台”，并用自持的“智能芯片卡”与之交互，即可在区块链智能合约的辅助下自动完成可信身份认证，同时获得可信的政务服务和资源。

尽管本文提出的身份认证系统在架构层面能够解决当前身份认证系统面临的诸多问题，但是具体实施时还需考虑以下两个方面：第一，共识记账节点存储容量的可扩展性。本文提出的身份认证系统面向的是全网的政务服务机构，用户量和业务量巨大，而区块链的账本数据是所有共识记账节点同步存储和不可篡改的，即所有共识记账节点的数据只能增加不可删除，这就要求共识记账节点要有足够的可扩展存储容量(这相比于中心化存储的系统而言，需要投入更多的费用，但是这也保证了系统的安全和稳定性)。第二，系统的吞吐量。用户量和业务量的增加要求系统具备足够的吞吐量和响应速度，以应对多用户和业务的并发操作，而区块链的吞吐量响应速度是一个综合的且需要实测来决定的技术问题，需要同时考虑共识记账节点的计算性能、账本的区块容量、区块的生成速度、共识算法等[42]，这就要求在系统实施前充分考虑这些问题，辅以试验手段选出最佳方案。

近年来，“互联网+”、区块链、云计算、大数据和人工智能等新技术的出现推动了很多新兴产业的发展，同时也助力了原有技术体系的变革，电子政务作为信息技术发展的产物也在发生着翻天覆地的变化，特别是随着区块链的出现，我们可以使用一种全新的视角去认识电子政务中的身份认证问题，并构建全新的政务服务体系，从而为打造安全、和谐、互联、互通的政务环境提供新的思路。因此，在电子政务建设过程中，应该避免僵化，勇于创新，使其转化为政府治理的生产力。

参考文献：

[1]徐晓日.电子政务概论[M].天津：天津大学出版社，2006:65.

[2]陈月华.欧盟网络身份管理进展情况及启示[J].中国信息安全，2015(02):88-91.

[3]国强，李新友.欧盟数字身份进展情况研究[J].信息安全研究，2020，6(07):582-588.

[4]SideridisAB,ProtopappasL,TsiafoulisS,etal.Smartcross-bordere-govsystems:Anapplicationtorefugeemobility[J].InternationalJournalofElectronicGovernance,2017,9(3/4):246-267.

[5]李新友，国强.美国网络空间可信身份国家战略最新进展[J].信息安全研究，2020，6(07):575-581.

[6]毕亮亮.解析世界最大生物识别数据库——印度Aadhaar身份识别项目[J].全球科技经济瞭望，2015，30(09):49-51.

[7]董贵山，张兆雷，李洪伟，等.基于区块链的异构身份联盟与监管体系架构和关键机制[J].通信技术，2020，53(02):401-413.

[8]《国家网络空间安全战略》全文[EB/OL].(2016-12-27)[2021-03-10].http://www.cac.gov.cn/2016-12/27/c_1120195926.htm.

[9]赵洋，乔志甫.国外网络身份管理发展跟踪研究[J].警察技术，2020(03):30-32.

[10]杨珂，王俊生.基于eID的网络身份制与个人信息保护法律制度研究[J].信息安全研究，2019，5(05):82-89.

[11]胡传平，邹翔，杨明慧，等.全球网络身份管理的现状与发展[M].北京：人民邮电出版社，2014：147.

[12]林英.电子政务电子认证公共服务平台的研究与设计[D].济南：山东大学，2015:23.

[13]邱崚岭，李鑫，邱鹏光.电子政务统一认证与管理平台应用研究[J].保密科学技术，2018，95(08):27-33.

[14]郭亓元，沈宇超，岑荣伟.电子政务数字证书互认平台的研究与设计[J].信息安全研究，2017(06):548-553.

[15]郭亓元，王森，许涛.移动电子政务中的身份管理技术框架研究[J].信息安全与通信保密，2019(08):42-49.