去中心化数字身份，构建6G核心网信任基石

        身份是指可以唯一描述用户或者实体的一个属性或多个属性集合。作为网络通信主体的基本标识，其安全机制是通信实体建立安全链接、进行可信交互的前提。身份安全也是实现零信任架构的关键支撑组件之一。

什么是去中心化身份

        去中心化身份标识符（decentralized identifiers，DID）由万维网联盟定义，作为一种可验证的、去中心化的数字身份机制，具备全局唯一性、高可用性、可验证性等特征，并可独立于集中式存储、证书颁发机构等运作。

        去中心化身份基金会（Decentralized Identity Foundation，DIF）定义DIDComm消息规范中，利用DID文档中的公钥信息，不需要第三方PKI背书，即可建立安全通信链路。通信链路建立后，通过交换可验证凭据VC（verifiable credentials）实现通信双方身份确认和信任关系建立。

        DID可用于身份认证、电子签名、数据共享等安全场景，一些公有云厂家已通过云服务，供租户注册和管理DID身份。

6G核心网数字身份

        IMT-2030（6G推进组）发布的《6G可信内生安全架构研究》中提出，6G网络需要基于多方共识的信任模型，为商业生态提供安全支撑；在6G内生安全架构中，将信任模块嵌入了安全能力层和安全控制层。

        在6G网络中内嵌原生数字身份，为多方互信模型和安全通信奠定基础，是当前6G网络安全中的关键课题。

当前网络身份机制

        当前5G网络中，通信的核心基础是第三方背书机制，即将公钥基础设施（public key infrastructure，PKI）证书体系、运营商放号系统、互联网服务提供商等实体作为可信锚点，为通信双方提供身份标识。

        - 用户终端：通过营账系统获取标识，和5G网络进行双向认证，授信接入5G网络，IMSI等标识通过SUCI/NAS/AS等安全机制进行保护；用户通过存储在互联网服务商侧的用户名、密码等信息进行业务访问；

        - 内部通信：无线可以通过安全网关的IPSec接入核心网；服务化架构中各NF向NRF进行注册，NRF通过OAuth进行通信授权；SBA引入HTTPS机制提供完整性、机密性保障；

        - 域间通信：运营商之间通过SEPP网元提供漫游场景下的信息安全交换；5G专网和运营商网络通信时，可通过安全信令网关的IPSec、信令过滤等能力提供安全保障；

        - 网元部署：虚拟化提供了垂直层次上的解耦能力，多个层次之间也可通过HTTPS等进行安全通信交互。

        当前的网络身份机制难以满足6G网络内在的高安全高可信要求，以常见的中心化PKI体系为例，就存在信任锚点过于集中而单点失效风险大、PKI自身安全事件频发、跨多个信任域PKI互通难度大等问题。

6G身份体系安全设计目标

        6G作为高安全网络，其身份体系设计至少需满足以下要求：

        - 独立性，减少外部依赖：以用户为中心，避免过度依赖少数集中的可信锚点，减少单点失效风险；

        - 通用性，确保多方互操作：确保多个实体间的互操作格式标准化，以便统一访问，可用于终端、虚拟运营商、NF、物理节点、虚拟化节点等多类型实体；满足公共陆地移动网络（public land mobile network，PLMN）域内、PLMN域间、天地空通信、ToB网络等多个商业场景；

        - 隐私性，保护个人数据：确保个人数据不泄露，满足法律法规要求。

关键技术

        在6G去中心化数字身份系统架构中（见图1），使用如下关键技术实现凭证安全存储、安全认证和加密通信等安全防护能力：

        - 分布式区块链基础设施构建：利用星际文件系统IPFS（interplanetary file system）实现控制和存储分离，提升区块链存储效率，实现DID文档高效安全共享；域内分布式区块链基础设施，负责存储信任域内实体的DID文档；域间分布式区块链基础设施负责存储跨域交互通信实体的DID文档。

        - 全局统一识别与跨域互操作：遵循统一标准，生成、注册和管理DID和DID文档，实现多个信任域间的互通，完成漫游场景、不同无线接入制式、实际终端业务访问等场景下的信任构建。

        - 以DID为中心的无证书通信机制：DID文档中以实体天然信息（邮件地址、CPU/网卡编号等）作为公钥，本地生成或利用密钥生成中心获取私钥，减少PKI设施参与程度。除了特意作为公钥的身份信息外，无额外的信息泄露，最大程度保护隐私数据。

        - 安全信道建立和凭据交换确认：基于DIDComm消息格式，将DID文档中的身份公钥直接用作解密场景，建立加密通道；将各信任域中信任锚点（VC Issuer）背书的VC作为身份确认关键依据，验证后实现通信实体的身份确认。

业务价值

        去中心化数字身份可在以下关键业务场景中提供安全防护能力。

        - 以用户为中心：终端和网络间基于DID进行身份确认；终端直接使用运营商背书的DID进行互联网业务访问。

        - 域内外安全连接：基站/CN间、NRF/NF间、NF内部组件/NF间互通、运营商漫游、空天地通信跨域认证结果共享、2B/2C网间通信等场景均可基于DID机制建立访问控制及加密连接，满足零信任always verify的要求。

        - 多组件互信验证：虚拟化中基于DID机制建立垂直方向上的信任围墙，防止恶意访问与攻击尝试。

        通过在6G核心网中内嵌去中心化的数字身份信息，各功能实体利用DID进行验证和安全通信，可一定程度上满足6G内生可信的要求。

        Gartner 2023数字身份曲线图中，去中心化数字身份作为快速演进的新安全技术，依然处于架构探索阶段，中兴通讯将积极研究其在6G中的系统架构和落地路径。