点宽技术专栏丨分布式身份认证技术在产学研领域的方案实现

传统中心化账号密码体系在数据共享、权限管理与信任传递方面均由中心平台控制，在高校、研究院和企业所形成的产学研业务生态中，由于各组织对用户信息和访问控制有着非常清晰的边界，彼此之间属于对等关系而非主从关系，这将让中心化的身份认证体系在场景实践中陷入困境。对于产学研的业态来说，最佳方案可能是：采用一个身份标识，能通行于对等分布的多个运营组织中，而该身份认证同时又不会破坏各个组织内的安全边界，敏感信息不出组织，彼此互不干扰但是能互认互通。因此，需要一个全新设计的身份认证解决方案应用于产学研这类多中心的对等业务生态中。分布式数字身份技术作为新一代身份管理范式，为产学研多方协作提供了可信、高效、去中心化的身份解决方案。点宽分布式商业创新中心（下面简称“DBIC”）以分布式数字身份认证技术为内核，从产教研生态的真实应用场景出发，结合自身对区块链的技术积累，在多个身份认证项目的落地实践过程中设计出了一套面向产学研业务生态的完整的分布式身份认证方案，为教学、科研与产业之间形成推动知识学习、人才培养、产权保护、能力认证、科研分享、就业匹配等产学研活动的业务生态，提供了切实可行的统一身份认证解决方案。

01

分布式数字身份认证技术概览

分布式数字身份是一种由用户自主控制的身份管理方式，通常构建于区块链等去中心化基础设施之上。与传统“由平台掌控用户身份”的模式不同，该体系通过开放标准实现身份的跨平台、跨组织可信流转，用户对其数字身份具有完全的控制。

其核心由两部分组成：

DID（Decentralized Identifier）一种去中心化、全局唯一的身份标识符，可用于标识个人、组织或设备。

VC（Verifiable Credential，可验证凭证）由权威机构签发给某个 DID 的数字凭证，用于证明该身份的某些属性，如学历、研究成果、实习经历等。

通过 DID + VC 的机制，任何人都可以在无需信任中心的前提下验证某人或某机构的身份属性，从而构建一个去中心化、可验证、可互信的身份生态系统。

02

DBIC: 面向产学研的分布式数字身份认证方案

点宽分布式商业创新中心（DBIC）一直致力于分布式商业模式的研究，开发分布式应用，设计面向分布式业务的解决方案。对分布式数字身份认证的研究，主要目标是尝试设计出符合“产学研应用场景”的完整可行的分布式身份认证方案。

"产学研业务生态是一个由高校、科研机构和企业组成的资源交换与协同创新的生态。彼此间通过技术合作、项目联合和人才共享，实现科技成果转化与产业升级。在教育、科研和产业相融合的领域，其业务特点是多主体参与，各自对用户信息和访问控制有着非常清晰的边界，彼此之间属于对等关系，而非主从关系。"

构建统一、可信的身份体系至关重要，但是如何不破坏彼此数据边界，构建相互间对等、互认的可信网络是产学研生态设计的重点和难点。

2.1

选择联盟链作为网络基座

DBIC在产学研身份认证方案中，选用了联盟链作为区块链技术基座。国内在政策、合规性要求等综合要求下，区块链“去经济模型”是一个必选项。因此，区块链的技术性选型应原生去掉PoW、PoS等token激励模式，公链将不适合作为用于国内产学研业务生态的区块链技术载体。而联盟链在多中心场景应用和在中心化业务融合方面有成熟的设计考量，通过多方参与的联盟治理机制，实现了灵活的角色与权限管理，支持根据不同组织进行差异化配置，对学校、研究机构与企业之间形成权限对等信息有限互通的网络形态非常契合。采用联盟链，将不再需要考虑链上业务的额外成本（如区块链常见的Gas等费用），联盟链优化过的共识算法让数据交换速度大幅提升，为高性能和稳定运行大型业务生态提供了可靠的区块链基座。

DBIC选择采用FISCO BCOS（飞梭链）作为本方案的联盟链选型。飞梭链经过大型应用实践检验，具有稳定可靠的产品化成果。目前广泛应用于金融、政务、司法、教育等行业，支持多个大规模项目稳定运行，有丰富的大规模部署和商业运营案例。选择FISCO BCOS，我们认可其将提供技术成熟、运维可控、商业可行、设计完善的区块链基座，为项目的区块链层稳定和可持续发展提供核心技术保障。

2.2

把DID签发机构设定为全网唯一

产学研分布式身份认证方案，采用了DID+VC的分布式身份认证技术为内核。但是DBIC针对产学研业务生态的实际应用情况对做出了改动。在设计中，我们把产学研所形成的生态作为同一个社会网络来看待。而一个社会网络虽然内部各个组织边界清晰同时权限与信息各自管理，但都应归属同一个社会网络-”产学研业务生态“的这个身份。因此，本方案的产学研分布式数字身份认证，将设计为由一个产学研网络的原生DID智能合约来控制，由拥有这个业务生态的管理权限的角色来生成全网唯一的DID，以保证产学研业务生态中的身份体系的统一性和可验证性。DBIC将DID的签发方，改为面向整个产学研网络只设立一个唯一 DID 签发机构，由该机构负责为业务生态中各类参与主体生成全局唯一、结构规范的DID身份标识。

2.3

实名认证与分布式身份认证相互融合

在典型的DID+VC的分布式数字身份认证方案中，并未涵盖实名认证业务流程。DBIC在产学研分布式数字身份认证方案设计中，把实名认证流程加入并作为进入认证体系的先决条件。在高校、研究机构或者企业的认证实践中，对自然人的可信身份验证必不可少，而且验证过程并不涉及业务生态各组织内的信息交换，是属于国家授信机关对自然人的身份核验。我们在分布式数字身份验证方案设计中，把参与主体合法合规作为了必要条件，而不是担心加入中心化的身份核验流程破坏了分布式身份验证的设计逻辑。在DBIC设计的产学研分布式身份认证方案中，用户在申请DID前被设定为需完成实名认证，在实名认证通过后，才能为用户去签发去中心化身份标识符（DID）及其真实身份的可验证凭证（VC）。

2.4

把联盟链私钥服务托管模式改回公链的私钥个人签发模式

DBIC在面向产学研的分布式数字身份认证方案中，一个重要的改进是将联盟链中各个管理节点托管用户私钥去实现代签管理的模式，改回了公链的用户自行保管私钥自行签名的模式。在联盟链中，为了实现链上各机构联合治理，用户私钥被设计为存于服务端托管，用户的私钥验证签名流程是向服务端传入参数，由服务端代签实现。这种模式并不适用于产学研业务生态的用户实际使用情况。在实践中，产学研生态的使用者将希望凭证、证书、成果等数据资产的管理权拥有更大的自主管理意愿，这些数据资产在归属组织与个人之间将共同认证，并由用户拥有管理权限。因此在我们的方案中，私钥的管理重新设计为：由用户在本地设备生成并保管，所有链上交易均由用户端直接签名，无需服务端托管或代签。这一设计确保了身份主权归用户所有，同时增强了签名操作的可信性和安全性。

03

DBIC的产学研分布式数字身份方案逻辑图

在DBIC的产学研分布式数字身份认证设计中，分布式身份框架涉及上图所列多种参与角色，其职责边界及相互关系如下所示：

DID签发机构

整个产学研网络中，唯一的生成 DID 的机构。用户在本机构完成实名认证后，会给用户签发整个网络中唯一的 DID，并且会给用户的 DID 签发一个真实身份的 VC。用户使用该 VC 向任意组织/个人表明真实身份。

VC签发机构

在验证用户对其 DID 的所有权后，为其签发具有特定语义的 VC，例如学生证、在职证明等，以支持具体业务场景下的身份证明。

VC验证者

对用户出示的 DID 与 VC 进行验证，确保 DID 属于用户本人，且 VC 的签发来源可信、内容未被篡改并在有效期内。

用户

持有由多个机构签发的 VC，并根据实际需求将其授权给第三方使用，或主动出示给 VC 验证者以完成身份验证过程。

04

方案的应用与展望

随着分布式身份验证在各行业应用的深入，以去中心化（多中心化）的技术去实现产学研业态的身份认证将会是一种可行有效的创新方案。在产学研领域，多元角色的身份验证一直面临跨机构互认难、信息孤岛严重、数据合规要求高等挑战。传统的中心化认证模式不仅在多组织协同环境下操作复杂，还难以满足“数据最小披露”与“用户主权”的现代治理需求。以唯一DID签发机构与VC验证网络为支撑，赋予每位用户可自主管理的数字身份，并确保凭证内容在链上可验证、跨平台可共享，从而实现在教育场景中更高效、安全的身份互认。由点宽分布式商业创新中心（DBIC）提出的分布式身份认证方案。有望在教育领域形成可扩展、可信任、合规可控的数字身份关键应用。

分布式身份验证将会用于产学研业态的各类应用实现中，特别是在教育实践中，如学生可以通过DID绑定各类学习记录、成绩单、项目经验、实习证明等VC，这些凭证不仅可以在校内用于课程评估和学分认定，还可在校外用于求职、升学、科研申请等多元用途。教师与科研人员则可将其研究成果、教学活动、认证资质等形成生产型凭证，确权入链、可追可溯。整个身份系统在本分布式数字身份认证方案加持下，形成涵盖“实名注册-去中心化身份-凭证生成与流通”的闭环生态，大幅提高教育资源使用的可信性和便利性。

展望未来，基于分布式数字身份认证技术的教育身份基础设施，将成为推动跨校、跨行业产学研融合的关键支撑，为数字教育建立起可信、自治的协同机制，真正实现“以信任驱动资源流通”，构建教育资源资产化与人才数据确权的新范式。

点宽分布式商业创新研发中心丨DBIC

点宽成立“分布式商业创新研发中心”