分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟《DIDA白皮書》課件

分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟《DIDA白皮書》課件1前

言1本白皮書參與編寫的單位（排名不分先后）：北京百度網(wǎng)訊科技有限公司、微眾銀行、溪塔科技、中鈔區(qū)塊鏈技術(shù)研究院、飛天誠信科技股份有限公司、國家金融

IC卡安全檢測中心、騰訊云計算(北京）有限責任公司、浦發(fā)銀行、億聯(lián)銀行。本白皮書主要編寫人員（排名不分先后）：張開翔、韓丹、汪佳偉、李璇、王玉操、張亞寧、盧緗梅、平慶瑞、潘镥镥、曾梓杰、張利琴、劉雅靜、楊波、張彥超、劉江、劉鑫、黃超、郭林海、馬文婷、張增駿。本白皮書的評審專家（排名不分先后）：蔡吉人（中國工程院院士，國家信息化專家咨詢委員會委員）、陳靜（國家信息化專家咨詢委員會委員，中國人民銀行科技司原司長）、劉多（中國信息通信研究院院長、中國通信標準化協(xié)會副理事長、中國互聯(lián)網(wǎng)協(xié)會副理事長及秘書長、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟理事長）、李京春（中國信息安全標準委員會(TC260)安全評估組(WG5)組長，中國信息協(xié)會信息安全專委會副主任委員）、馬智濤（微眾銀行副行長兼首席信息官）、詹榜華（北京數(shù)字認證股份有限公司董事長，北京商用密碼行業(yè)協(xié)會會長）、徐恪（清華大學計算機系副主任）。前言1本白皮書參與編寫的單位（排名不分先后）：北京百度網(wǎng)訊2目

錄第一章

聯(lián)盟定位，愿景，目標，計劃...................................................................................................

I第二章

行業(yè)現(xiàn)狀分析...............................................................................................................................32.1 現(xiàn)有數(shù)字身份痛點分析........................................................................................................32.2 分布式數(shù)字身份標準............................................................................................................52.2.1 分布式數(shù)字身份介紹

...................................................................................................52.2.2 分布式數(shù)字身份主流協(xié)議與規(guī)范...............................................................................62.2.3 分布式數(shù)字身份的支撐體系.......................................................................................72.2.4 分布式數(shù)字身份主流國際組織與應用場景..............................................................72.3

分布式數(shù)字身份整體框架.......................................................................................................

112.3.1 分布式賬本層.............................................................................................................

122.3.2 DPKI

網(wǎng)絡層..............................................................................................................

122.3.3 可信交換層.................................................................................................................

12第三章

主流

DID

協(xié)議和規(guī)范..............................................................................................................

143.1 DID（W3C）

......................................................................................................................143.2 VerifiableCredential（W3C）.............................................................................................

173.3 DID-Auth（RWOT）.......................................................................................................

183.4 DKMS（OASIS）

................................................................................................................193.5 DIDComm（DIF）

............................................................................................................20第四章

分布式數(shù)字身份的支撐體系...................................................................................................

224.1 分布式賬本.............................................................................................................................

232目錄234.2 身份代理.................................................................................................................................

254.3 憑證交換.................................................................................................................................

284.4 身份數(shù)據(jù)中心........................................................................................................................

304.5 委員會和治理........................................................................................................................

31第五章

領(lǐng)域應用場景和案例................................................................................................................

325.1 WeIdentity..............................................................................................................................

325.2

分布式數(shù)字身份

+

教育身份：騰訊云可信教育數(shù)字身份（教育卡）

...................

325.3

分布式數(shù)字身份+投票：網(wǎng)貸機構(gòu)良性退出平臺

....................................................

345.4

分布式數(shù)字身份+版權(quán)保護：“人民版權(quán)”平臺

....................................................

355.5

分布式數(shù)字身份

+

證書管理：澳門智慧城市之證書電子化項目

...........................

365.6

基于物聯(lián)網(wǎng)

+

數(shù)字身份的智慧停車系統(tǒng).....................................................................

375.7

分布式數(shù)字身份+電子車牌：

騰訊領(lǐng)御TUSI

DID

電子車牌應用..........................

39第六章

分布式數(shù)字身份建設面臨的挑戰(zhàn)和應對

..............................................................................

416.1 技術(shù)儲備..............................................................................................................................

416.2 行業(yè)應用..............................................................................................................................

426.3 標準和規(guī)范建設..................................................................................................................

436.4 法律法規(guī)的發(fā)展..................................................................................................................

45第七章

總結(jié)和展望

................................................................................................................................

47附錄一：相關(guān)法律法規(guī)..........................................................................................................................

49附錄二：協(xié)議規(guī)范

..................................................................................................................................

5134.2 身份代理......................4第一章

聯(lián)盟定位，愿景，目標，計劃分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟（DID-Alliance，簡稱

DIDA）由中鈔區(qū)塊鏈技術(shù)研究院與飛天誠信科技股份有限公司共同發(fā)起，聯(lián)合百度、國家金融

IC

卡安全檢測中心、杭州城市大腦有限公司、杭州銀行、京東數(shù)科、浦發(fā)銀行、奇安信、山東區(qū)塊鏈研究院、騰訊云、微眾銀行、西安大數(shù)據(jù)、溪塔科技、億聯(lián)銀行、中國電信研究院、中國銀聯(lián)電子支付研究院（排名不分先后）成立的非營利性社會組織。聯(lián)盟秉持“讓數(shù)字世界互信互連”的基本愿景，以“共建分布式數(shù)字身份基礎設施，打造可信開放數(shù)字新生態(tài)”為聯(lián)盟主要使命?！吧矸荨迸c每個人都息息相關(guān)，人們都在不同的地方擁有不同的身份屬性，身份即一個人所有的屬性和行為的集合。在現(xiàn)實生活中，我們擁有身份證、護照、駕照、企業(yè)工牌等，在以往，我們使用這些有著物理介質(zhì)、或者部分電子化的憑據(jù)形式給出身份證明，但在互聯(lián)網(wǎng)這個的大環(huán)境中，如何構(gòu)造合理并可信的身份證明關(guān)系，使其具備數(shù)字化、網(wǎng)絡化的特質(zhì)，是值得探討的課題。另一方面，目前的互聯(lián)網(wǎng)應用尚未脫離互信互通的困境，數(shù)據(jù)孤島和數(shù)據(jù)濫用的問題依舊存在。隨著新基建等浪潮推動，價值互聯(lián)網(wǎng)是進化的方向，人們?nèi)找嬷匾曤[私保護，數(shù)據(jù)成為生產(chǎn)要素，于是身份和相關(guān)憑據(jù)、數(shù)據(jù)的可信互通成為迫切的需求。我們認為，在政策、技術(shù)和市場的共同驅(qū)動下，分布式數(shù)字身份技術(shù)終將成為數(shù)字化進程的必然選擇。聯(lián)盟的工作目標是希望最大化地挖掘分布式數(shù)字身份技術(shù)的潛能，推動互聯(lián)網(wǎng)技術(shù)的發(fā)展，促進分布式數(shù)字身份技術(shù)與現(xiàn)有生態(tài)的融合。DIDA

將從以下四個方面入手開展工作：1第一章聯(lián)盟定位，愿景，目標，計劃1深入研究分布式數(shù)字身份技術(shù)。聯(lián)盟將致力于了解、跟進全球分布式數(shù)字身份的最新動態(tài)，深入研究包括去中心化公鑰基礎設施（DPKI）、密碼學、憑證在內(nèi)的各項核心技術(shù)，探索分布式數(shù)字身份的多種技術(shù)演進路線，促進分布式身份技術(shù)的交流與傳播。促進分布式數(shù)字身份的行業(yè)應用。作為我國分布式數(shù)字身份行業(yè)中領(lǐng)先的產(chǎn)業(yè)組織，聯(lián)盟致力于探索分布式數(shù)字身份的應用場景，搭建合作交流平臺，組織產(chǎn)、學、研開展合作，在促進成員共同發(fā)展的同時，為社會提供基于分布式數(shù)字身份的跨域協(xié)同項目示范。搭建中國的分布式數(shù)字身份網(wǎng)絡。全球分布式數(shù)字身份網(wǎng)絡以互聯(lián)互通作為目標，聯(lián)盟將參考國際最佳實踐，結(jié)合國內(nèi)廠商搭建的基礎設施，通過提供開源工程、制定規(guī)范等方式，促進中國分布式數(shù)字身份網(wǎng)絡的落地和互聯(lián)互通。與國際分布式數(shù)字身份接軌。作為本土企業(yè)與國際數(shù)字身份聯(lián)盟和標準化組織的橋梁，聯(lián)盟致力于加強國際間交流與合作，一方面，促進分布式數(shù)字身份相關(guān)國際標準的帶入和本土化，另一方面，通過國際間項目合作促進全球互聯(lián)互通的確認和發(fā)展。2深入研究分布式數(shù)字身份技術(shù)。聯(lián)盟將致力于了解、跟進全球分布式第二章

行業(yè)現(xiàn)狀分析情報和市場研究平臺

MarketsandMarkets

最新報告中指出，2019

年全球數(shù)字身份解決方案市場規(guī)模達到

137

億美元，到

2024

年，該市場預計將增長至

305

億美元，預測期內(nèi)（2019-2024

年）的年復合增長率（CAGR）為

17.3%。在分布式數(shù)字身份誕生之前，人們的身份信息其實或多或少已經(jīng)數(shù)字化，但數(shù)字化不意味著網(wǎng)絡化、可信任，以及可以便捷且合法合規(guī)的互聯(lián)互通。本節(jié)從觀摩行業(yè)現(xiàn)狀開始，并展望分布式數(shù)字身份的發(fā)展。32.1 現(xiàn)有數(shù)字身份痛點分析從我們熟悉的互聯(lián)網(wǎng)業(yè)務來看，用戶的身份和數(shù)據(jù)已經(jīng)一定程度上數(shù)字化和網(wǎng)絡化，互聯(lián)網(wǎng)公司通常也具備一整套處理認證和訪問控制的業(yè)務系統(tǒng)。出于便利性考量，大多數(shù)互聯(lián)網(wǎng)應用的數(shù)字身份以用戶名密碼為主，并結(jié)合真實身份認證完成實名驗身?；ヂ?lián)網(wǎng)的賬戶體系通常從屬于應用領(lǐng)域，如社交、電商等領(lǐng)域分別采用不同賬號，這就使得用戶要重復注冊很多的賬號密碼。其次，出于運營主體和運營壁壘考量，互聯(lián)網(wǎng)業(yè)務在應用層面并不互聯(lián)互通，跨應用的業(yè)務實現(xiàn)難度很大，尤其對于需要用戶確權(quán)操作的跨應用業(yè)務，可能需要更改整個業(yè)務架構(gòu)，以使得不同應用領(lǐng)域的用戶身份?；ヂ?lián)網(wǎng)巨頭依靠平臺效應壟斷市場，利用用戶數(shù)據(jù)作為護城河，產(chǎn)生了大量價值，但用戶對自己的數(shù)據(jù)并未擁有話語權(quán)和價值收入。用戶的數(shù)字身份的關(guān)鍵控制點即賬號密碼，由服務商控制，對用戶來說，僅為租借和使用服務商的服務，服務商可以決第二章行業(yè)現(xiàn)狀分析32.1 現(xiàn)有數(shù)字身份痛點分析定賬號禁用、服務終止，更進一步，由于利益驅(qū)使，圍繞著用戶數(shù)據(jù)發(fā)生的非法收集、數(shù)據(jù)泄露和買賣行為防不勝防，損害用戶安全。隨著數(shù)字社會的發(fā)展，金融、政務、交通等實體經(jīng)濟領(lǐng)域也融合了大量的互聯(lián)網(wǎng)因素，其原有的、基于物理介質(zhì)和實體身份的認證體系在進化過程中，已經(jīng)遭遇互聯(lián)網(wǎng)服務類似的問題，由于實體經(jīng)濟的地域性特征更濃，安全等級要求更嚴，蘊含的價值更高，隱私挑戰(zhàn)更大，事關(guān)國計民生，所以，身份認證帶來的問題會更加突出。綜上所述，我們將其歸結(jié)到三個痛點問題：1、重復認證、多地認證的問題例如，在金融場景下，同一公民去不同的銀行開戶需要分別進行

KYC，用戶體驗繁瑣，身份數(shù)據(jù)相互重疊，數(shù)據(jù)可能存在差異甚至沖突。多頭建設的身份體系在浪費資源的同時，也存在諸多數(shù)據(jù)共享和使用上的障礙，不同企業(yè)主體間的數(shù)據(jù)信息分別存儲，無法綜合利用。2、身份數(shù)據(jù)隱私與安全問題用戶身份信息散落在各個企業(yè)級的身份認證者手中，用戶對自身信息的使用不夠?qū)徤鳎蛘咂髽I(yè)對用戶身份進行信息驗證都會引發(fā)身份信息的暴露，甚至對用戶隱私信息造成嚴重侵犯。其次，用戶身份信息在各家企業(yè)的服務器上存儲，不同的企業(yè)對數(shù)據(jù)安全的重視程度和措施強度不同，使得用戶的數(shù)據(jù)泄漏是一個木桶效應的問題，任何一處被攻破，用戶的隱私即被泄露。用戶個人信息維護成本昂貴。數(shù)據(jù)顯示，歐盟地區(qū)，僅英國每年的身份確認成本已經(jīng)超過

33

億英鎊，約等于

290

億人民幣。3、中心化認證效率和容錯性問題在傳統(tǒng)的

PKI

系統(tǒng)中，數(shù)字證書是認證的核心，它由相對權(quán)威的

CA

機構(gòu)簽發(fā)的。一方面，這種中心結(jié)構(gòu)可能存在性能問題，其涉及證書的所有操作，任務繁重，可能4定賬號禁用、服務終止，更進一步，由于利益驅(qū)使，圍繞著用戶數(shù)據(jù)成為性能短板拖累效率，如龐大的已撤銷證書列表的有效分發(fā)。另一方面，單中心的結(jié)構(gòu)容易使其成為攻擊的目標，一旦上級

CA

機構(gòu)被攻破，則與之相關(guān)聯(lián)的下級

CA

也會受到牽連。5分布式數(shù)字身份標準分布式數(shù)字身份介紹在政策、技術(shù)、市場因素的共同驅(qū)動下，產(chǎn)生了一種新的數(shù)字身份形態(tài)——分布式數(shù)字身份，它用分布式基礎設施改變應用廠商控制數(shù)字身份的模式，讓用戶控制和管理數(shù)字身份，通過將數(shù)據(jù)所有權(quán)歸還用戶從根本上解決隱私問題。要使身份具有真正的自我主權(quán)，這種基礎設施必然需要駐留在分散信任的環(huán)境中。區(qū)塊鏈技術(shù)的出現(xiàn)讓自我主權(quán)身份的實現(xiàn)終于找到了突破口，作為分布式體系里的代表性技術(shù)，區(qū)塊鏈有望成為分布式數(shù)字身份的技術(shù)基礎。區(qū)塊鏈技術(shù)用哈希鏈的數(shù)據(jù)結(jié)構(gòu)改變了電子數(shù)據(jù)易被篡改的屬性，用“區(qū)塊+共識算法”解決分布式系統(tǒng)的數(shù)據(jù)一致性問題，拜占庭容錯能力保證跨實體運行的系統(tǒng)不受少數(shù)節(jié)點惡意行為的影響，從而解決業(yè)務層面的信任難題，有望在服務商之間搭建互聯(lián)互通的協(xié)議。W3C

提出了基于區(qū)塊鏈的分布式數(shù)字身份

DID

的概念，分布式數(shù)字身份具有以下優(yōu)勢：安全性：身份所有者身份信息不被無意泄露，身份可以由身份持有者持久保存，身份信息提供可符合最小披露原則；身份自主可控：用戶可以自主管理身份，而非依賴可信第三方；身份所有者可以控制其身份數(shù)據(jù)的分享。成為性能短板拖累效率，如龐大的已撤銷證書列表的有效分發(fā)。另一3）身份的可移植性：身份所有者能夠在任何他們需要的地方使用其身份數(shù)據(jù)，而不需依賴特定的身份服務提供商。當然，區(qū)塊鏈技術(shù)只是用于實現(xiàn)分布式數(shù)字身份的基礎技術(shù)之一，分布式數(shù)字身份的版圖中無論是技術(shù)、生態(tài)還是行業(yè)法規(guī)還有更廣泛的內(nèi)涵和外延。2.2.2 分布式數(shù)字身份主流協(xié)議與規(guī)范正如互聯(lián)網(wǎng)建立在

TCP/IP

等協(xié)議提供的網(wǎng)絡連接能力上，分布式數(shù)字身份也建立在一系列為互聯(lián)網(wǎng)身份而定制的協(xié)議規(guī)范基礎上。國際電子技術(shù)委員會對“身份”的定義是“一組與實體關(guān)聯(lián)的屬性”，分布式數(shù)字身份也不例外，W3C

的

DID

規(guī)范和可驗證憑證規(guī)范分別定義了代表實體的身份標識符及與之關(guān)聯(lián)的屬性聲明，其共同支撐了分布式數(shù)字身份基礎模型——可驗證憑證流轉(zhuǎn)模型的有效運轉(zhuǎn)。圖

1-分布式數(shù)字身份基礎模型——可驗證憑證流轉(zhuǎn)模型分布式數(shù)字身份主要規(guī)范作為對可驗證憑證基本模型的支撐，尤其是對于

DID

層面的信任框架的保障，通過

DKMS、DID-Auth、DIDComm

等一系列協(xié)議和標準，提供了分布式數(shù)字身份自主可控、可信交換、隱私保護等特點。63）身份的可移植性：身份所有者能夠在任何他們需要的地方使用其2.2.3 分布式數(shù)字身份的支撐體系為了使人們能夠隨時、隨地使用分布式數(shù)字身份，且具有良好的用戶體驗和豐富的應用場景，需要一系列基礎設施來支持。自底層向上，用戶分別需要分布式賬本提供對身份自主權(quán)的支持、代理組件提供用戶管理身份和與其它實體通信的工具、憑證應用工具提供用戶身份憑證流轉(zhuǎn)支持。此外，當用戶數(shù)據(jù)使用云存儲代替本地存儲時，還需要個人數(shù)據(jù)存儲組件提供安全的數(shù)據(jù)管理服務。7分布式數(shù)字身份主流國際組織與應用場景分布式數(shù)字身份主流國際組織分布式數(shù)字身份出現(xiàn)的歷史雖短，但發(fā)展速度快，受到了極高關(guān)注。

目前國內(nèi)外已經(jīng)問世的和分布式數(shù)字身份相關(guān)的項目已經(jīng)超過

200

個，其中一部分加入了

DIF（https://identity.foundation/）即分布式數(shù)字身份基金會，該基金會旨在推動基于區(qū)塊鏈的分布式數(shù)字身份管理協(xié)議的通用化和標準化。DIF

成員包括

IBM，微軟，NEC，埃森哲，區(qū)塊鏈組織超級賬本，R3，以太坊企業(yè)聯(lián)盟，金融機構(gòu)

MasterCard，國內(nèi)也有多個組織加入，如微眾銀行等。W3C

組織的

DID

工作組成立于

2019

年

9

月，主要任務是制定

DID

規(guī)范，DID

規(guī)范包括對

DID

URL

方案標識符、數(shù)據(jù)模型、DID

文件語法等的標準化。截至目前，該工作組已有來自全球的多個機構(gòu)，包括

GS1、微軟等，以及國內(nèi)的工信部信通院等。目前

DID

的規(guī)范和技術(shù)方案已經(jīng)初步成型，W3C

的

DID

規(guī)范2.2.3 分布式數(shù)字身份的支撐體系7分布式數(shù)字身份主流國際（https://w3c.github.io/did-core/）和相關(guān)協(xié)議認可度較高，是行業(yè)采用的主要參考，其他還有基于以太坊的多個

EIP

提案的實現(xiàn)，在工業(yè)物聯(lián)網(wǎng)層面，也存在

Handle，Ecode等多種標識規(guī)范。各項規(guī)范和協(xié)議在設計思路、細節(jié)風格上雖然有一定的差異，其核心都是為了解決身份標識、權(quán)威認證、可信驗證、高效互通、隱私保護等核心問題。目前在

W3C

的

DID

注冊表中已注冊了

50

多個廠家的

DID

method

實現(xiàn)，在應用落地的過程中，通常針對不同場景中的不同需求采取了不同的實現(xiàn)方案。我們將介紹基于

W3C

組織

DID

協(xié)議規(guī)范的海外主要應用場景與案例，通過對這些應用場景與具體案例的分析，有助于我們理解不同分布式數(shù)字身份方案的價值。8

可驗證企業(yè)網(wǎng)絡?

VONVON

全稱

Verifiable

Organization

Network，即可驗證企業(yè)網(wǎng)絡，是

Sovrin

協(xié)議的開源項目

Hyperledger

Indy

的應用。該項目是加拿大不列顛哥倫比亞省政府關(guān)于實現(xiàn)可分享企業(yè)（組織）數(shù)據(jù)的開放、統(tǒng)一和可信網(wǎng)絡的一項探索，該網(wǎng)絡通過流轉(zhuǎn)有關(guān)企業(yè)資質(zhì)的可驗證憑證，減少了那些需要和請求企業(yè)（組織）數(shù)據(jù)的應用服務的人們的工作量，因為基于

VON

可以從受信任的來源輕松獲得這些數(shù)據(jù)。VON

為政府數(shù)字服務提供者提供了極大改善其用戶服務體驗的可能性。

分布式數(shù)字身份管理?

ShoCard（https://w3c.github.io/did-corShoCard

是較早嘗試分布式數(shù)字身份管理的項目，它利用分布式賬本為用戶綁定標識符和現(xiàn)有的可信憑證（如護照、駕照），記錄驗證歷史，為用戶提供分布式的可信身份。旅行者使用移動終端對身份證件拍照，將元數(shù)據(jù)加密存儲在本地，將可驗證信息存證于區(qū)塊鏈，當用戶出示證件進行驗證時，身份驗證方除了驗證物理證件，還可驗證區(qū)塊鏈記錄。IdentiCAT2019

年

9

月，西班牙加泰羅尼亞自治區(qū)政府宣布啟動用戶主權(quán)的分布式數(shù)字身份項目

IdentiCAT，這是歐洲第一個開放的數(shù)字身份。IdentiCAT

提倡用戶控制自己的數(shù)字身份和相關(guān)數(shù)據(jù)，構(gòu)建在分布式賬本基礎上，居民通過自己的軟件管理數(shù)字身份，維護隱私。瑞士楚格市居民數(shù)字身份

Zug

Digital

ID從

2017

年

9

月開始，瑞士楚格市為全市約

30,000

公民提供分布式電子身份

eID，該身份基于去中心化身份平臺

uPort

在以太坊區(qū)塊鏈（Ethereum）上實現(xiàn)，eID

的所有者可以使用移動應用程序提供身份信息，依賴方可以通過區(qū)塊鏈檢查數(shù)字簽名來驗證數(shù)據(jù)的真實性。所有個人數(shù)據(jù)僅存儲在單獨的移動電話上，經(jīng)過加密，公民完全可以控制要發(fā)布的信息以及向誰發(fā)布的信息。eID

可以用于多個城市特定服務，例如城市公共事物公民投票，城市共享自行車

AirBie

服務等。ThalesGemalto’sTrustID

NetworkThales

Gemalto’s

Trust

ID

Network

是一個基于區(qū)塊鏈的分布式數(shù)字

ID

平臺，基于R3

區(qū)塊鏈平臺構(gòu)建，允許服務提供商簡化客戶身份管理和簡化盡職調(diào)查流程，支持最終用戶完全控制自己的身份。作為數(shù)字身份系統(tǒng)，它引入多個

ID

驗證源，并符合數(shù)據(jù)隱私合規(guī)性要求，可用于構(gòu)建一個國家身份計劃，或者在行業(yè)內(nèi)部形成聯(lián)盟身份計劃。9ShoCard是較早嘗試分布式數(shù)字身份管理的項目，它利用分

KYC

客戶身份分析Synechron’sSelf-sovereign

KYCSynechron

設計和構(gòu)建的

CorDapp

在

Corda

區(qū)塊鏈中網(wǎng)絡支持了交換和管理客戶的KYC

數(shù)據(jù)，39

個實體在Microsoft

Azure

區(qū)塊鏈服務平臺中部署并總共運行了

45

個節(jié)點。銀行參與居多，包括荷蘭銀行，阿爾法銀行，塞浦路斯銀行等。銀行可以在區(qū)塊鏈網(wǎng)絡上請求訪問客戶的

KYC

測試數(shù)據(jù)，而客戶可以批準請求并撤消訪問權(quán)限?？蛻暨€能夠更新其身份數(shù)據(jù)，然后自動對所有具有訪問權(quán)限的銀行進行更新。韓國的

NongHyup（NH）銀行區(qū)塊鏈ID

卡韓國的

NongHyup（NH）銀行已經(jīng)引入基于區(qū)塊鏈的移動

ID

系統(tǒng)，新的移動

ID系統(tǒng)基于區(qū)塊鏈技術(shù)，通過智能手機（而非傳統(tǒng)的

ID

卡）實現(xiàn)方便的身份驗證。該項目旨在有效保護其個人身份數(shù)據(jù)的前提下，面向個人提供更好的服務：基于區(qū)塊鏈的ID

服務將用于通勤和管理進入辦公室的訪問權(quán)限，將來，計劃擴展移動

ID

卡，使其方便設置服務的約會和付款。加拿大銀行分布式數(shù)字身份加拿大一些領(lǐng)先的銀行正在支持新的基于區(qū)塊鏈的數(shù)字身份網(wǎng)絡。由多倫多的SecureKey

Technologies

開發(fā)，Verified.Me

結(jié)合了在線銀行憑證，生物識別技術(shù)和移動運營商有關(guān)人們手機的信息，以進行多因素驗證。CIBC，Desjardins，RBC，Scotiabank，TD，BMO（蒙特利爾銀行）和加拿大國家銀行等多家加拿大銀行都在支持這項服務。該服務利用了

Telus，Bell

和

Rogers

擁有的合資公司

EnStream

的數(shù)據(jù)，這些數(shù)據(jù)提供有關(guān)與用戶智能手機有關(guān)的因素的身份信息。該服務可以幫助明顯改善客戶體驗，并滿足

KYC

和反洗錢（AML）的義務。10KYC客戶身份分析10?

阿塞拜疆中央銀行分布式數(shù)字身份阿塞拜疆中央銀行表示，2020

年第一季度阿將采用基于區(qū)塊鏈的數(shù)字

ID

系統(tǒng)。該系統(tǒng)在轉(zhuǎn)移到信貸組織的個人數(shù)據(jù)的安全性以及遠程處理大多數(shù)操作方面具有廣闊前景。在初始階段，阿塞拜疆中央銀行（CBA）將為法人和個人開設遠程帳戶；在最后階段，該項目的目標是將其他銀行服務和自動化的資金監(jiān)控系統(tǒng)包括在內(nèi)，以防止恐怖主義融資和洗錢。CBA

指出，采用該系統(tǒng)的直接結(jié)果將是“將

CBA

轉(zhuǎn)變?yōu)殚_放銀行業(yè)務”。2.3

分布式數(shù)字身份整體框架分布式數(shù)字身份一般采用多層框架，如下圖是一種典型的分布式數(shù)字身份三層架構(gòu)。圖

2-分布式數(shù)字身份三層架構(gòu)11? 阿塞拜疆中央銀行分布式數(shù)字身份2.3分布式數(shù)字身份整體2.3.1 分布式賬本層分布式賬本層是整個方案的基礎設施，提供了對

DID

文檔（DID

Document）以及其他需要分布式存儲內(nèi)容的數(shù)據(jù)存儲錨定。DID

文檔可以直接通過區(qū)塊鏈網(wǎng)絡存儲，在對數(shù)據(jù)隱私關(guān)注更高的情況下也可以結(jié)合分布式存儲使用，DID

文檔內(nèi)最關(guān)鍵的是DID

與公鑰的對應關(guān)系，通過區(qū)塊鏈錨定這些身份數(shù)據(jù)的對應關(guān)系。122.3.2 DPKI

網(wǎng)絡層構(gòu)建分布式數(shù)字身份體系，要滿足大規(guī)模的數(shù)字身份使用場景，需要建立一個大型的服務系統(tǒng)。而一般的區(qū)塊鏈網(wǎng)絡受限于性能和擴展性，無法滿足上層業(yè)務場景使用需求，因此在分布式賬本層的基礎上，可以進一步抽象出

DPKI

二層網(wǎng)絡，通過分布式的二層網(wǎng)絡解決區(qū)塊鏈的擴展問題。DPKI

網(wǎng)絡層對上層提供了統(tǒng)一的

DID

解析服務，即

DID

Resolver，此服務可以同時對接例如

DIF

社區(qū)等不同的

DID

生態(tài)，保證

DID

生態(tài)間的互認。DPKI

節(jié)點會把上層的

DID

相關(guān)的操作打包，創(chuàng)建一個鏈上交易，并在交易中嵌入該操作批次的哈希，從而提高系統(tǒng)的整理處理性能。使用

DPKI

節(jié)點也可以隔離上層業(yè)務對底層區(qū)塊鏈存儲的差異性，對業(yè)務層和存儲層進行解耦。2.3.3 可信交換層可信交換層是

DID

系統(tǒng)中各個生態(tài)參與方互相建立安全身份認證與數(shù)據(jù)交換層，從角色上一般會分為用戶、發(fā)證方、驗證方等。用戶通過用戶代理(User

Agent)注冊鏈2.3.1 分布式賬本層122.3.2 DPKI網(wǎng)絡層2.上身份獲得

DID，并依托

DID

向發(fā)證方申請各類可驗證憑證，最終向驗證方提供

DID和可驗證憑證完成驗證流程，典型的身份驗證流程如

DID-Auth

等。13上身份獲得DID，并依托DID向發(fā)證方申請各類可驗證憑第三章

主流DID

協(xié)議和規(guī)范近年來，圍繞分布式數(shù)字身份，由多個標準組織、開源社區(qū)、分布式數(shù)字身份聯(lián)盟共同努力，推進了一系列分布式數(shù)字身份相關(guān)技術(shù)標準和協(xié)議的制定，主要包括：萬維網(wǎng)聯(lián)盟（W3C）推動中的分布式標識符（DID）和可驗證憑證（Verifiable

Credential）規(guī)范

啟可信網(wǎng)絡（RWOT）工作組的

DID

Auth

規(guī)范

信息標準促進組織（OASIS）的

分布式密鑰管理

DKMS規(guī)范

identity.foundation中心化身份基金會（DIF）推動中的

DIDComm

協(xié)議分布式數(shù)字身份主要規(guī)范是對作為對可驗證憑證流轉(zhuǎn)基本模型的支撐，尤其也是對于

DID

層面的建立分布式數(shù)字身份信任框架的保障，為應用間的互聯(lián)互通提供共同的數(shù)據(jù)格式、通信協(xié)議等前提條件。143.1 DID（W3C）基于區(qū)塊鏈技術(shù)的分布式數(shù)字身份是

一種自我主權(quán)的、可驗證的、新型數(shù)字身份。W3C

為這種身份定義了“分布式數(shù)字身份標識符規(guī)范”（Decentralized

ID,

DID）——一種新型的全球唯一標識符。分布式標識符（DID）的用途包括以下兩個方面：其一，使用標識符來標識

DID主體（人員，組織，設備，密鑰，服務和一般事物）的特定實例；其二，促進實體之間創(chuàng)建持久加密的專用通道，而無需任何中心化注冊機制。它們可以用于諸如憑證交換和認證。第三章主流DID協(xié)議和規(guī)范143.1 DID（W3C）圖

3-

分布式數(shù)字身份對象與

DID

Doc（引自

W3C

DIDcore）DID

是將DID

對象（DID）與

DID

文檔（DID

Doc）相關(guān)聯(lián)的URL，一個實體可以具有多個

DID，甚至與另一個實體的每個關(guān)系可以關(guān)聯(lián)一個或多個

DID（成對假名和一次性標識符）以保護隱私性，身份所有者通過證明擁有與綁定到該

DID

的公鑰相關(guān)聯(lián)的私鑰來建立

DID

的所有權(quán)。一個

DID

的定義具有以下形式：“did:”

+

<did

-

method>

+

“:”

+

<method

特定的標識符>這類似于一種名字空間的表達，<did

-

method>通常是實現(xiàn)并注冊了特定

DID

操作方法的廠商名稱的縮寫，比如

did:nist:0x1234abcd?？紤]到方便與其它基于

Internet

的標識符一起使用，method

特定的標識符通常是

URL

或

URI

標識符。DID

Method

是一組公開的標準操作，通過它們可以創(chuàng)建，解析，更新和刪除

DID。這些方法允許

DID

在身份管理系統(tǒng)中注冊，替換，輪換，恢復和到期。目前已實現(xiàn)的DID

Method

集中登記在由

W3C

CCG

工作組維護的分布式標識符注冊表中，如果現(xiàn)有分布式

DID

Method

不適用，可能需要向此注冊表添加新方法。為了向該注冊表添加新方法，實現(xiàn)者必須：15圖3-分布式數(shù)字身份對象與DIDDoc（引自W3C實現(xiàn)新

DID

方法，至少已完成實驗版本。在

https://w3c-ccg.github.io/did-spec/上創(chuàng)建一個描述新

DID

方法的規(guī)范，該規(guī)范可公開獲得并旨在與

DID

規(guī)范保持一致。確保規(guī)范中的標題包含版本號。作為

DID

方法的一部分，DID

解析器（DID

resolver）允許將

DID

作為輸入，并返回

DID

Doc

的相關(guān)元數(shù)據(jù)，該元數(shù)據(jù)遵循諸如

JavaScript

Object

Notation（JSON）及其相關(guān)的鏈接數(shù)據(jù)

JavaScript

對象符號（JSON-LD）的數(shù)據(jù)格式定義。DID

Doc

是一個通用數(shù)據(jù)結(jié)構(gòu)，它包含與

DID

驗證相關(guān)的密鑰信息和驗證方法，提供了一組使

DID

控制者能夠證明其對

DID

控制的機制。根據(jù)

W3C

的規(guī)范定義，DIDDoc

由以下標準元素組成：統(tǒng)一資源標識符（URI），用于標識允許各方閱讀

DID

文檔的術(shù)語和協(xié)議標識

DID

文檔身份主體的

DID用于認證，授權(quán)和通信機制的一組公共密鑰用于

DID

的一組身份驗證方法，以向其他實體證明

DID

的所有權(quán)針對

DID

的一組授權(quán)和委派方法，以允許另一個實體代表他們進行操作（即保管人）服務端點集，以描述在何處以及如何與

DID

身份主體進行交互創(chuàng)建文檔的時間戳記[可選]文檔上次更新的時間戳[可選]完整性的密碼證明（例如，數(shù)字簽名）[可選]需要注意的是，考慮隱私保護等相關(guān)法律，身份應盡可能避免被歸集，尤其對于非公示性個人身份，通常考慮用成對假名或一次性

DID

來表達。16實現(xiàn)新DID方法，至少已完成實驗版本。163.2 Verifiable

Credential（W3C）分布式數(shù)字身份標識符在

ID

層面提供了自我主權(quán)的技術(shù)實現(xiàn)，但并未附加與該數(shù)字身份實體相關(guān)的現(xiàn)實世界屬性，因此不是一個完整的數(shù)字身份表達。參照現(xiàn)實世界中物理憑證的使用場景和核心模型，W3C

CCG

發(fā)布了可驗證憑證（verifiable

credential）規(guī)范，該規(guī)范定義了可在實體之間交換的憑證格式，用以提供對于實體的屬性說明?？沈炞C憑證是由發(fā)行人簽名加密的防篡改憑證，具有密碼學安全、隱私保護和機器可讀的特點。憑證通常由至少兩組信息組成。

其一表示可驗證的憑證本身，包含憑證元數(shù)據(jù)和聲明。

其二表示數(shù)字證明，通常是數(shù)字簽名。圖

4-實體、標識符與可驗證憑證為了增強隱私保護，相關(guān)規(guī)范還定義了可驗證表述（verifiable

presentation），用于證明實體在特定場景下的身份角色屬性?？沈炞C表述是一種防篡改的描述，它來自一個或多個可驗證憑證，并由披露這些憑證的主體用密碼簽名。無論是直接使用可驗證憑證，還是從可驗證憑證中獲得的數(shù)據(jù)構(gòu)造身份證明，DID

身份證明都將以“可驗證表述（verifiable

Presentation）”的方式進行出示?？沈炞C的描述通常由以下內(nèi)容組成：唯一標識描述（presentation）的

URI標識對象類型的

URI從中推出（描述）的一個或多個可驗證憑證（credential）或數(shù)據(jù)可驗證表述（presentation）的創(chuàng)建者

URI（例如

DID）身份主體的密碼證明（例如，數(shù)字簽名）173.2 VerifiableCredential（W3C）“可驗證表述”的數(shù)據(jù)格式可以進行密碼驗證，但其本身并不包含可驗證憑證。可驗證憑證支持與身份持有者所關(guān)聯(lián)的屬性信息基于密碼學方式進行簽發(fā)與驗證，從而確保憑證的權(quán)威性、和隱私保護性?？沈炞C憑證同時支持可撤銷能力，憑證的創(chuàng)建者負責通過撤銷機制撤銷已經(jīng)發(fā)出的憑證，驗證方則相應需要具有靈活高效地驗證憑證是否已處于被撤銷狀態(tài)的能力。183.3 DID-Auth

（RWOT）DID

驗證的目的是讓用戶證明自己擁有某身份

DID

——

用戶只要證明自己擁有該

DID

公鑰匹配的私鑰即可。通過

DID

驗證后，不同個體之間能建立可信任且更長久的通信管道，以便在此之上協(xié)商交換其它資料，例如可驗證憑證。DID-Auth

與其它身份驗證方法類似，依賴于“

挑戰(zhàn)-響應”方式。身份所有者（代理）所遇到身份驗證挑戰(zhàn)的方式以及挑戰(zhàn)的格式將視情況而定，例如：根據(jù)挑戰(zhàn)發(fā)起者是否預先了解待驗證方

DID，挑戰(zhàn)信息中可能包括也可能不包括對方

DID。DID-Auth

并不是一個具體協(xié)議，而是一種實現(xiàn)框架。目前，許多不同項目正在以不同的方式實現(xiàn)“

DID-Auth”，它們可能使用了不同的數(shù)據(jù)格式，傳輸機制和協(xié)議。DID-Auth

實現(xiàn)的具體協(xié)議工作正在推進中，目前在探索如何與現(xiàn)有的成熟身份驗證框架結(jié)合，例如

OIDC

和

WebAuth，以推動

DID

規(guī)范的應用。例如，DIF

起草的“

SIOP

DID

配置文件”（SIOP

DID）是

DID

Auth

與

OpenIDConnect（OIDC）結(jié)合的規(guī)范，通過將用戶身份錢包集成到

Web

應用程序的方法，將基于

DID

的身份認證方式集成到注冊/登錄應用的過程中，為每個人提供強大的、分布式的隱私和安全性保證?！翱沈炞C表述”的數(shù)據(jù)格式可以進行密碼驗證，但其本身并不包含可3.4 DKMS（OASIS）如何無需依賴具有密鑰訪問或控制權(quán)限的第三方，實現(xiàn)所有者自我管理密鑰和證書的能力？分布式密鑰管理系統(tǒng)（DKMS）的解決之道在于標準化身份錢包的工作機制，這部分涉及到以下組件：DID

層、身份所有者云錢包、云代理，邊緣代理、邊緣錢包。DKMS

規(guī)范了身份錢包應如何管理密鑰生命周期——創(chuàng)建，恢復，備份和吊銷密鑰的各個方面，并說明了：分布式數(shù)字身份可能需要什么密鑰及其用途，應該在哪里存儲和保護它們，如何從丟失或破壞中恢復，如何根據(jù)需要輪換它們，以及在不再需要該密鑰時撤銷并通知公眾。密鑰可以分發(fā)給其他實體，但必須由其所有者控制。DKMS

使用以下密鑰類型：主密鑰：不受密碼保護的密鑰。

它們是手動分發(fā)的，也可以是最初安裝的，并受到程序控制和物理或電子隔離的保護。密鑰加密密鑰：用于密鑰傳輸或其他密鑰存儲的對稱或公共密鑰。數(shù)據(jù)密鑰：用于對用戶數(shù)據(jù)提供加密操作（例如，加密，身份驗證）。密鑰保護遵循分級保護的思想，一級密鑰用于保護較低級別的項目。

因此，主密鑰的安全性是整個系統(tǒng)的關(guān)鍵，應考慮采取特殊措施來保護主密鑰，包括嚴格限制訪問和使用、，硬件保護以及僅在共享控制下提供對密鑰的訪問等。除了密鑰種類設計、密鑰生命周期管理、密鑰恢復機制，《DKMS

設計與架構(gòu)

4.0》還補充了密鑰生命周期管理中的代理策略，細化了邊緣代理與云代理基于

DKMS

協(xié)議進行所有標準

DKMS

密鑰管理操作的流程，確保在引入云端代理的同時，整體代理方案依然具有高安全性和隱私保護特征，支持真正的分布式

PKI。193.4 DKMS（OASIS）19DKMS

設計必須是基于開放標準和開放系統(tǒng)的，DKMS4.0

已于

2019

年

3

月發(fā)布，進入公開公眾審查和評論流程，以準備將

DKMS

提交給

OASIS

等標準開發(fā)組織進行正式標準化。203.5 DIDComm（DIF）“協(xié)議”是交互雙方必須共同遵從的一組約定，如怎么樣建立連接、怎么樣互相識別等?，F(xiàn)有互聯(lián)網(wǎng)應用交互的

Web

API

協(xié)議方式基于

C/S

結(jié)構(gòu)的假設，從信息交互和安全角度都是非對等的，并不適合

DID

對等交互的需求。在

DID

通信世界，消息協(xié)議是分布式的。這意味著該協(xié)議沒有監(jiān)督者來保證信息流，強制雙方行為并確保一致性。DIDComm

協(xié)議通過雙方對規(guī)則和目標的共同理解和共識達成互動，這與

WebAPI

方式下依賴中心化的規(guī)則管理有很大的不同。DID

持有者在數(shù)字世界通過各自的代理軟件進行交互，他們基于預定義的DIDComm

消息協(xié)議，啟動特定交互-連接，維護關(guān)系，頒發(fā)憑據(jù)，提供證明等。DIDComm設計目標如下：確保安全性具有隱私保護可互操作與傳輸方式（協(xié)議）無關(guān)可擴展性DKMS設計必須是基于開放標準和開放系統(tǒng)的，DKMS4.0為了保證安全和私有，協(xié)議應當是分布式的，互操作性意味著

DIDComm

應該跨編程語言，區(qū)塊鏈，供應商，OS

/平臺，網(wǎng)絡，法律管轄區(qū)，地域，加密和硬件以及跨時間工作。DIDComm

使用

DID

持有人本人身份錢包所提供的公鑰密碼技術(shù)實現(xiàn)

DPKI

安全通信，而不是第三方的證書和在其他方登記注冊的密碼，其安全保證獨立于它所基于的數(shù)據(jù)傳輸方式，是非會話保持方式的；當需要進行身份驗證時，所有各方都以相同的方式對等進行。主要的

DIDComm

相關(guān)規(guī)范包括：DIDComm

消息結(jié)構(gòu)規(guī)范，DIDComm

消息加密規(guī)范，DIDComm

相關(guān)傳輸規(guī)范。基于

DIDComm

結(jié)構(gòu)建立的協(xié)議除了：建立

DID

連接、憑證請求與簽發(fā)、身份驗證等，還可以針對各種豐富的主題進行自定義。21為了保證安全和私有，協(xié)議應當是分布式的，互操作性意味著DI第四章

分布式數(shù)字身份的支撐體系身份管理系統(tǒng)廣泛用于提供用戶身份，同時管理組織內(nèi)部和網(wǎng)絡服務上的身份驗證、授權(quán)和數(shù)據(jù)共享。傳統(tǒng)的身份管理系統(tǒng)中，組織可以存儲與之交互的每個用戶的憑據(jù)（例如密碼），在聯(lián)盟身份模型中，他們可以通過第三方來存儲相關(guān)信息。由于控制身份信息的實體的特權(quán)位置，可能引發(fā)隱私保護問題和由于數(shù)據(jù)高度集中帶來的不平等性。此外，傳統(tǒng)的身份系統(tǒng)是中心化的，通常會有單點故障隱患和缺乏互操作（可移植）性的問題。基于區(qū)塊鏈技術(shù)的分布式數(shù)字身份管理有助于解決以上問題：它們可以支持用戶控制自己的標識符和憑證的托管，轉(zhuǎn)換數(shù)據(jù)治理模型，減少對受信任中介的依賴性，并使用戶和企業(yè)從中受益。用戶可以自己管理自己的身份數(shù)據(jù)，并在知情和授權(quán)的基礎上將其公開給依賴方；企業(yè)可以依靠可驗證的用戶信息來簡化其運營，而不必自己充當數(shù)據(jù)托管人并處理相關(guān)的成本和風險（例如，基礎架構(gòu)，安全性和法規(guī)遵從性）。分布式數(shù)字身份區(qū)別于中心化身份系統(tǒng)的最大不同在于：分布式數(shù)字身份體系分解了標識符和憑證體系結(jié)構(gòu)，且標識符體系和憑證體系都應貫穿分布式的實現(xiàn)，從而支持創(chuàng)建分布式互操作的生態(tài)系統(tǒng)。分布式數(shù)字身份憑證的發(fā)行，呈現(xiàn)和驗證是在一系列協(xié)議和技術(shù)中進行的。相關(guān)棧包括四層：分布式賬本層，代理層，憑證交換層，治理層，這些層如圖

1

所示。本文的其余部分將詳細討論每一層。22第四章分布式數(shù)字身份的支撐體系22圖

11-分布式數(shù)字身份分層架構(gòu)對參與分布式數(shù)字身份生態(tài)系統(tǒng)的用戶來說，自底層向上分別需要分布式賬本提供身份注冊，代理軟件（服務）提供所有者身份管理和實現(xiàn)與他人通信，憑證工具提供憑證流轉(zhuǎn)和驗證功能。此外，當用戶數(shù)據(jù)使用云存儲代替本地存儲時，還需要云服務商提供安全的數(shù)據(jù)托管服務。4.1 分布式賬本23圖11-分布式數(shù)字身份分層架構(gòu)4.1 分布式賬本23代表實體身份的全球唯一分布式標識符應該如何存儲和提供訪問？人們?nèi)绾卧L問它們？為了使身份真正具有自主權(quán)，這種基礎設施需置于分布式信任的環(huán)境中，而不屬于任何單一組織所控制的環(huán)境，分布式賬本（區(qū)塊鏈）正是這樣一種創(chuàng)新技術(shù)。自主權(quán)身份

DID

錨定于分布式賬本，以避免被特定中心化服務所掌控。區(qū)塊鏈通過充當公共密鑰基礎結(jié)構(gòu)（PKI）的受完整性保護的“公告板”來支持密鑰和標識發(fā)現(xiàn)，在大多數(shù)情況下，基于

PKI

的“公告板”形成標識符管理系統(tǒng)（DID方法實現(xiàn)），除了密鑰和標識符外，可驗證憑證也可能依賴于區(qū)塊鏈實現(xiàn)流轉(zhuǎn)、驗證?？紤]分布式賬本專門用于支持身份交易，應具有以下幾個重要屬性：可公開訪問

-

此分布式賬本是公共可訪問的，因此任何人都可以在沒有中介的情況下使用它。通過在盡可能廣泛的范圍里部署分散節(jié)點網(wǎng)絡，實現(xiàn)即使一個或多個節(jié)點關(guān)閉或無法運行，人們?nèi)钥梢噪S時訪問該網(wǎng)絡。可信驗證

–

分布式賬本的每個節(jié)點都運行分布式數(shù)字身份賬本，分布式賬本能夠生成狀態(tài)證明，客戶端可以使用狀態(tài)證明來了解分類賬的狀態(tài)，而不必下載和訪問整個分類賬。

每個狀態(tài)證明都包含一個時間戳，以便客戶端可以確定狀態(tài)證明是否足夠適合他們的用例或是否需要刷新。

這使得它非常適合用于證書驗證，在該驗證中客戶端可能會在一段時間內(nèi)無法訪問互聯(lián)網(wǎng)，從而需要離線驗證，這是普遍采用數(shù)字證書的關(guān)鍵要求。此外，狀態(tài)證明可以交叉錨定在其他分布式賬本上，以提高可靠性，可信賴性。操作成本低廉

–考慮作為分布式數(shù)字身份需要成為廣泛可用的基礎設施，賬本上的交易驗證應該是成本低廉的，賬本訪問應盡可能便宜，以覆蓋更廣泛的網(wǎng)絡受眾。分布式賬本中應為分布式標識符提供以下屬性（能力）：24代表實體身份的全球唯一分布式標識符應該如何存儲和提供訪問？人不可重新分配

-

DID

是永久性，持久性和不可重新分配的。

永久性確保標識符始終引用同一實體。

因此，DID

比可以重新分配的標識符（例如域名，IP

地址，電子郵件地址或手機號碼）更具私密性和安全性。

永久性對于身份持有者的控制和自我主權(quán)至關(guān)重要?？山馕?

DID

基礎結(jié)構(gòu)通過全局分散的

key-value

結(jié)構(gòu)存儲，其中

DID

充當

key，DID

Doc

充當

value。DID

解析是指在

DID

賬本中查找特定

DID

Doc

的操作?？杉用茯炞C的

DID

與加密密鑰相關(guān)聯(lián)，控制

DID

的實體可以使用這些密鑰來證明DID

所有權(quán)（DID-Auth）。彼此直接交換了

DID

的各方（稱為對等方）可以通過解析DID

實現(xiàn)相互身份驗證并加密其通信。分布式數(shù)字身份體系并不局限于區(qū)塊鏈技術(shù)，更不綁定到唯一的區(qū)塊鏈平臺上，其系統(tǒng)模塊可能基于不同的區(qū)塊鏈平臺實現(xiàn)，甚至是非區(qū)塊鏈的其他分布式賬本實現(xiàn)。為了確保不同系統(tǒng)的

DID

數(shù)據(jù)互聯(lián)互通，一是要求實現(xiàn)廠商按照統(tǒng)一的

DID

規(guī)范定義和實現(xiàn)

DID

數(shù)據(jù)對象，二是對于不同的

DID

操作實現(xiàn)，通過全球統(tǒng)一的

DID

實現(xiàn)方法注冊，以達成不同系統(tǒng)間的

DID

查詢與解析，實現(xiàn)

DID

互聯(lián)互通。254.2 身份代理在數(shù)字環(huán)境中，人和組織（有時是設備）無法直接產(chǎn)生和消費數(shù)字信息、存儲和管理數(shù)據(jù)，分布式數(shù)字身份系統(tǒng)中代表身份所有者執(zhí)行自主權(quán)身份相關(guān)的數(shù)字權(quán)益的“數(shù)字代表”軟件被稱為代理組件。不可重新分配-DID是永久性，持久性和不可重新分配的。代理是一種籠統(tǒng)的說法，它通常包括：負責對外消息通信的代理組件（agent），支持分布式密鑰管理的錢包組件（wallet），以及用戶數(shù)據(jù)存儲組件（hub）。代理（agent）組件是分布式數(shù)字身份的對外接口，調(diào)用了本地的數(shù)字身份錢包和數(shù)據(jù)組件。代理軟件通常包括客戶端代理和服務器端代理?？蛻舳舜碇饕虞d在用戶的智能手機、汽車、筆記本電腦等終端設備上，終端設備具有私有屬性，終端代理主要用來管理用戶身份私鑰，個人秘密，以及本人身份憑證等；服務器端代理實現(xiàn)了可尋址的網(wǎng)絡端，主要用來為其客戶端代理提供以下服務：持久的

P2P

消息服務；協(xié)調(diào)身份所有者的多個客戶端代理；加密數(shù)據(jù)存儲與共享；身份所有者密鑰的加密備份等。每個代理所關(guān)聯(lián)的錢包都有其自己的密鑰，密鑰不會在代理之間復制。設備代理的使用高度分散，因為所有密鑰和憑證都存儲在互聯(lián)網(wǎng)終端設備之中。盡管云代理托管在云中，但它們也可以分散管理，由合格的服務提供商（稱為代理商）負責運維。與邊緣代理一樣，云代理始終完全在擁有它的個人或組織的控制之下，身份所有者應該能夠輕松切換代理。此外，代理商無權(quán)訪問存儲在云代理中的數(shù)據(jù)。

通常，云代理數(shù)據(jù)是加密存儲的，只能由設備代理使用存儲在最安全的終端設備中的密鑰解密，因此云代理商不會有通常的數(shù)據(jù)蜜罐風險。代理的安全策略必須健全，事故或惡意不應損害所有者對身份控制權(quán)的掌握，倘若出現(xiàn)問題應該具有快速解決的能力。代理基于

DKMS

標準存儲、管理，以及使用密鑰和憑證，這不僅為身份所有者的隱私和自主權(quán)帶來了好處，而且支持人們從事故和攻擊中恢復。DID

持有者應能夠通過各自的代理軟件，在數(shù)字世界安全進行交互，而不需要依賴特定的第三方。基于已定義的

DIDComm

消息協(xié)議，代理之間可以直接實現(xiàn)：交互連接、憑證請求，以及憑證驗證等交易。DIDComm

標準正在制定中，它旨在成為所有26代理是一種籠統(tǒng)的說法，它通常包括：負責對外消息通信的代理組件自主權(quán)互動中的面向未來的通用語言。代理到代理之間的通信不必依賴特定的第三方進行，它具有以下兩個重要特征：基于消息，異步和單工當今，移動和

Web

開發(fā)中的主要范例是雙工請求響應。通常調(diào)用具有特定輸入的API，隨即在同一通道上獲得具有特定輸出的響應。然而，許多代理不能很好地模擬Web

服務器，比如移動設備，它們以無法預測的時間間隔關(guān)閉，并且缺少與網(wǎng)絡的穩(wěn)定連接。代理交互的基本范例是基于消息、異步和單工方式的。代理

X

通過通道

A

發(fā)送消息。稍后，它可能會通過通道

B

從代理

Y

接收響應。相比

Web

范式，代理之間的交互更接近電子郵件范式。消息級安全性，對等身份驗證傳統(tǒng)

Web

C/S

模式下，傳輸級別（TLS）提供了

Web

安全性，但這種安全并不是消息本身的獨立屬性。在異步單工工作模式下，傳統(tǒng)的

TLS，登錄和會話有效期這些措施都是不切實際的，無法繼續(xù)用來支撐通訊的安全性。代理交互使用

DID

持有人本人身份錢包所提供的公鑰密碼技術(shù)實現(xiàn)

DPKI

安全通信，而不是第三方的證書和在其他方登記注冊的密碼，其安全保證獨立于它所基于的數(shù)據(jù)傳輸方式，是非會話保持方式的；當需要進行身份驗證時，所有各方都以相同的方式對等進行。概括來說，身份代理組件實現(xiàn)身份所有者自主管理身份密鑰，代表

身份所有者（也可以代表IoT

設備，寵物等的控制者，或者是未成年人或難民的監(jiān)護人或受托管理人），按照點對點消息協(xié)議實現(xiàn)與其它身份所有者代理的交互。27自主權(quán)互動中的面向未來的通用語言。代理到代理之間的通信不必依4.3 憑證交換憑證交換主要解決以下問題：確定發(fā)行方的代理如何向憑證持有者發(fā)布憑證，憑證驗證者如何向憑證持有者請求信息，以及憑證持有者如何從其憑證中提取證明使驗證者信任。圖

6-憑證流轉(zhuǎn)與相關(guān)角色憑證交換的核心是密碼學技術(shù)，主要用于證明可驗證憑證或可驗證表述中的信息完整性與真實性。有許多類型的加密證明，包括但不限于傳統(tǒng)的數(shù)字簽名技術(shù)和基于零知識證明的匿名憑證技術(shù)?？沈炞C憑證和可驗證表述中的密碼學證明可以采用傳統(tǒng)數(shù)字簽名技術(shù)，由數(shù)據(jù)的簽發(fā)者對數(shù)據(jù)內(nèi)容計算數(shù)字簽名后將數(shù)字簽名附在數(shù)據(jù)內(nèi)容后，以保證數(shù)據(jù)的接收者確284.3 憑證交換圖6-憑證流轉(zhuǎn)與相關(guān)角色28認數(shù)據(jù)來源的不可抵賴、數(shù)據(jù)內(nèi)容未被篡改。此外，由于可驗證表述是經(jīng)由憑證動態(tài)打包而成，因此可增加動態(tài)認證部分功能，用于防范憑證流轉(zhuǎn)過程中的重放攻擊。憑證在各個對手方之間的流轉(zhuǎn)流程在技術(shù)上不做限制，如若場景對傳輸信道有較強加密需求，可以規(guī)范數(shù)據(jù)通道認證、數(shù)據(jù)通道建立及傳輸?shù)奶囟▍f(xié)議，達到任意

DID

身份所有者之間均可通信的目的。憑證持有人可以使用零知識證明（ZKP）以最少的披露共享來自多個憑證的信息。ZKP

是一種加密技術(shù)，可讓用戶共享信息而不會放棄其安全性和隱私性。ZKP

使用加密技術(shù)來證明持有人對驗證者的聲明，而不會泄露驗證者不需要的任何其他信息。零知識證明必須具有三個屬性才能使用：完整性：如果陳述是正確的，則驗證者相信證明的結(jié)果。健全性：如果陳述為假，則持有人無法創(chuàng)建虛假證據(jù)，以使核實者認為該陳述屬實。零知識：除了證明中的內(nèi)容外，驗證者不會了解有關(guān)持有人的任何其他信息。一個典型的例子是出生日期。身份證通常是證明年齡的主要手段。但是，這種類型的標識還包含其他有價值的私人信息，例如經(jīng)常被盜用的家庭住址信息。ZKP

將身份證的數(shù)字副本轉(zhuǎn)換為身份證憑證中特定信息的加密證明。在使用時，用戶可以根據(jù)請求者身份，控制在該特定數(shù)字副本上實際提供給他們顯示的信息。在憑證持有人需要證明其年齡的各種情況下，分布式數(shù)字身份錢包均可創(chuàng)建

ZKP。ZKP

技術(shù)使身份所有者能夠快速，輕松且安全地驗證自己已年滿

18

歲，21

歲或

65

歲，而不必實際共享特定的出生日期。憑證的特性包括機器可讀、可撤銷、可遠程驗證。其中可遠程驗證包含憑證的發(fā)行方身份可遠程驗證和憑證內(nèi)容可遠程驗證：通過憑證中記錄發(fā)行方公開

DID

身份，29認數(shù)據(jù)來源的不可抵賴、數(shù)據(jù)內(nèi)容未被篡改。此外，由于可驗證表述驗證者不需聯(lián)系發(fā)行方即可驗證身份；通過公開的憑證發(fā)行聲明中記錄發(fā)行方密鑰、憑證數(shù)據(jù)格式等信息，驗證者不需關(guān)聯(lián)發(fā)行方即可驗證憑證內(nèi)容。304.4 身份數(shù)據(jù)中心身份數(shù)據(jù)中心是連接在一起并鏈接到給定實體的鏈外加密個人數(shù)據(jù)存儲。它們可以用于安全地存儲身份數(shù)據(jù)（直接在用戶設備上或在用戶指定的云存儲服務上），并在所有者批準此類共享時進行細粒度分享。用戶的個人設備，特別是移動端設備在數(shù)據(jù)存儲方面有容量限制，可能導致用戶的客戶端代理在進行本地憑證存儲時無法保存全部的個人憑證記錄，這種情況下，可以考慮使用分布式存儲對用戶憑證進行云端托管。DIF

發(fā)起

ID