1、目 錄 HYPERLINK l _bookmark0 第一章 聯(lián)盟定位，愿景，目標(biāo)，計(jì)劃 HYPERLINK l _bookmark0 I HYPERLINK l _bookmark1 第二章 行業(yè)現(xiàn)狀分析 HYPERLINK l _bookmark1 3 HYPERLINK l _bookmark2 現(xiàn)有數(shù)字身份痛點(diǎn)分析 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 分布式數(shù)字身份標(biāo)準(zhǔn) HYPERLINK l _bookmark3 5 HYPERLINK l _bookmark4 分布式數(shù)字身份介紹 HYPERLINK l _bookmark

2、4 5 HYPERLINK l _bookmark5 分布式數(shù)字身份主流協(xié)議與規(guī)范 HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark6 分布式數(shù)字身份的支撐體系 HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark7 分布式數(shù)字身份主流國(guó)際組織與應(yīng)用場(chǎng)景 HYPERLINK l _bookmark7 7 HYPERLINK l _bookmark8 分布式數(shù)字身份整體框架 HYPERLINK l _bookmark8 11 HYPERLINK l _bookmark9 分布式賬本層 HYPERLINK l _b

3、ookmark9 12 HYPERLINK l _bookmark10 DPKI 網(wǎng)絡(luò)層 HYPERLINK l _bookmark10 12 HYPERLINK l _bookmark11 可信交換層 HYPERLINK l _bookmark11 12 HYPERLINK l _bookmark12 第三章 主流 DID 協(xié)議和規(guī)范 HYPERLINK l _bookmark12 14 HYPERLINK l _bookmark13 3.1DID（W3C） HYPERLINK l _bookmark13 14 HYPERLINK l _bookmark14 Verifiable Crede

4、ntial（W3C） HYPERLINK l _bookmark14 17 HYPERLINK l _bookmark15 DID-Auth （RWOT） HYPERLINK l _bookmark15 18 HYPERLINK l _bookmark16 DKMS（OASIS） HYPERLINK l _bookmark16 19 HYPERLINK l _bookmark17 DIDComm（DIF） HYPERLINK l _bookmark17 20 HYPERLINK l _bookmark18 第四章 分布式數(shù)字身份的支撐體系 HYPERLINK l _bookmark18 22

5、HYPERLINK l _bookmark19 分布式賬本 HYPERLINK l _bookmark19 23 HYPERLINK l _bookmark20 身份代理 HYPERLINK l _bookmark20 25 HYPERLINK l _bookmark21 憑證交換 HYPERLINK l _bookmark21 28 HYPERLINK l _bookmark22 身份數(shù)據(jù)中心 HYPERLINK l _bookmark22 30 HYPERLINK l _bookmark23 委員會(huì)和治理 HYPERLINK l _bookmark23 31 HYPERLINK l _bo

6、okmark24 第五章 領(lǐng)域應(yīng)用場(chǎng)景和案例 HYPERLINK l _bookmark24 32 HYPERLINK l _bookmark25 WeIdentity HYPERLINK l _bookmark25 32 HYPERLINK l _bookmark26 分布式數(shù)字身份 + 教育身份：騰訊云可信教育數(shù)字身份（教育卡） HYPERLINK l _bookmark26 32 HYPERLINK l _bookmark27 分布式數(shù)字身份 + 投票：網(wǎng)貸機(jī)構(gòu)良性退出平臺(tái) HYPERLINK l _bookmark27 34 HYPERLINK l _bookmark28 分布式數(shù)字身

7、份 + 版權(quán)保護(hù)：“人民版權(quán)”平臺(tái) HYPERLINK l _bookmark28 35 HYPERLINK l _bookmark29 分布式數(shù)字身份 + 證書管理：澳門智慧城市之證書電子化項(xiàng)目 HYPERLINK l _bookmark29 36 HYPERLINK l _bookmark30 基于物聯(lián)網(wǎng) + 數(shù)字身份的智慧停車系統(tǒng) HYPERLINK l _bookmark30 37 HYPERLINK l _bookmark31 分布式數(shù)字身份+電子車牌： 騰訊領(lǐng)御TUSI DID 電子車牌應(yīng)用 HYPERLINK l _bookmark31 39 HYPERLINK l _bookm

8、ark32 第六章 分布式數(shù)字身份建設(shè)面臨的挑戰(zhàn)和應(yīng)對(duì) HYPERLINK l _bookmark32 41 HYPERLINK l _bookmark33 技術(shù)儲(chǔ)備 HYPERLINK l _bookmark33 41 HYPERLINK l _bookmark34 行業(yè)應(yīng)用 HYPERLINK l _bookmark34 42 HYPERLINK l _bookmark35 標(biāo)準(zhǔn)和規(guī)范建設(shè) HYPERLINK l _bookmark35 43 HYPERLINK l _bookmark36 法律法規(guī)的發(fā)展 HYPERLINK l _bookmark36 45 HYPERLINK l _bo

9、okmark37 第七章 總結(jié)和展望 HYPERLINK l _bookmark37 47 HYPERLINK l _bookmark38 附錄一：相關(guān)法律法規(guī) HYPERLINK l _bookmark38 49 HYPERLINK l _bookmark39 附錄二：協(xié)議規(guī)范 HYPERLINK l _bookmark39 51第一章 聯(lián)盟定位，愿景，目標(biāo)，計(jì)劃分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟（DID-Alliance，簡(jiǎn)稱 DIDA）由中鈔區(qū)塊鏈技術(shù)研究院與飛天誠(chéng)信科技股份有限公司共同發(fā)起，聯(lián)合百度、國(guó)家金融 IC 卡安全檢測(cè)中心、杭州城市大腦有限公司、杭州銀行、京東數(shù)科、浦發(fā)銀行、奇安信、山東區(qū)

10、塊鏈研究院、騰訊云、微眾銀行、西安大數(shù)據(jù)、溪塔科技、億聯(lián)銀行、中國(guó)電信研究院、中國(guó)銀聯(lián)電子支付研究院（排名不分先后）成立的非營(yíng)利性社會(huì)組織。聯(lián)盟秉持“讓數(shù)字世界互信互連”的基本愿景，以“共建分布式數(shù)字身份基礎(chǔ)設(shè)施，打造可信開放數(shù)字新生態(tài)”為聯(lián)盟主要使命。“身份”與每個(gè)人都息息相關(guān)，人們都在不同的地方擁有不同的身份屬性，身份即一個(gè)人所有的屬性和行為的集合。在現(xiàn)實(shí)生活中，我們擁有身份證、護(hù)照、駕照、企業(yè)工牌等，在以往，我們使用這些有著物理介質(zhì)、或者部分電子化的憑據(jù)形式給出身份證明，但在互聯(lián)網(wǎng)這個(gè)的大環(huán)境中，如何構(gòu)造合理并可信的身份證明關(guān)系，使其具備數(shù)字化、網(wǎng)絡(luò)化的特質(zhì)，是值得探討的課題。另一方面，

11、目前的互聯(lián)網(wǎng)應(yīng)用尚未脫離互信互通的困境，數(shù)據(jù)孤島和數(shù)據(jù)濫用的問(wèn)題依舊存在。隨著新基建等浪潮推動(dòng)，價(jià)值互聯(lián)網(wǎng)是進(jìn)化的方向，人們?nèi)找嬷匾曤[私保護(hù)，數(shù)據(jù)成為生產(chǎn)要素，于是身份和相關(guān)憑據(jù)、數(shù)據(jù)的可信互通成為迫切的需求。我們認(rèn)為，在政策、技術(shù)和市場(chǎng)的共同驅(qū)動(dòng)下，分布式數(shù)字身份技術(shù)終將成為數(shù)字化進(jìn)程的必然選擇。聯(lián)盟的工作目標(biāo)是希望最大化地挖掘分布式數(shù)字身份技術(shù)的潛能，推動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展，促進(jìn)分布式數(shù)字身份技術(shù)與現(xiàn)有生態(tài)的融合。DIDA 將從以下四個(gè)方面入手開展工作：深入研究分布式數(shù)字身份技術(shù)。聯(lián)盟將致力于了解、跟進(jìn)全球分布式數(shù)字身份的最新動(dòng)態(tài)，深入研究包括去中心化公鑰基礎(chǔ)設(shè)施（DPKI）、密碼學(xué)、憑證在

12、內(nèi)的各項(xiàng)核心技術(shù)，探索分布式數(shù)字身份的多種技術(shù)演進(jìn)路線，促進(jìn)分布式身份技術(shù)的交流與傳播。促進(jìn)分布式數(shù)字身份的行業(yè)應(yīng)用。作為我國(guó)分布式數(shù)字身份行業(yè)中領(lǐng)先的產(chǎn)業(yè)組織，聯(lián)盟致力于探索分布式數(shù)字身份的應(yīng)用場(chǎng)景，搭建合作交流平臺(tái)，組織產(chǎn)、學(xué)、研開 展合作，在促進(jìn)成員共同發(fā)展的同時(shí)，為社會(huì)提供基于分布式數(shù)字身份的跨域協(xié)同項(xiàng) 目示范。搭建中國(guó)的分布式數(shù)字身份網(wǎng)絡(luò)。全球分布式數(shù)字身份網(wǎng)絡(luò)以互聯(lián)互通作為目標(biāo)，聯(lián)盟將參考國(guó)際最佳實(shí)踐，結(jié)合國(guó)內(nèi)廠商搭建的基礎(chǔ)設(shè)施，通過(guò)提供開源工程、制定規(guī)范等方式，促進(jìn)中國(guó)分布式數(shù)字身份網(wǎng)絡(luò)的落地和互聯(lián)互通。與國(guó)際分布式數(shù)字身份接軌。作為本土企業(yè)與國(guó)際數(shù)字身份聯(lián)盟和標(biāo)準(zhǔn)化組織的橋梁，

13、聯(lián)盟致力于加強(qiáng)國(guó)際間交流與合作，一方面，促進(jìn)分布式數(shù)字身份相關(guān)國(guó)際標(biāo)準(zhǔn)的帶入和本土化，另一方面，通過(guò)國(guó)際間項(xiàng)目合作促進(jìn)全球互聯(lián)互通的確認(rèn)和發(fā)展。第二章 行業(yè)現(xiàn)狀分析情報(bào)和市場(chǎng)研究平臺(tái) MarketsandMarkets 最新報(bào)告中指出，2019 年全球數(shù)字身份解決方案市場(chǎng)規(guī)模達(dá)到 137 億美元，到 2024 年，該市場(chǎng)預(yù)計(jì)將增長(zhǎng)至 305 億美元，預(yù)測(cè)期內(nèi)（2019-2024 年）的年復(fù)合增長(zhǎng)率（CAGR）為 17.3%。在分布式數(shù)字身份誕生之前，人們的身份信息其實(shí)或多或少已經(jīng)數(shù)字化，但數(shù)字化不意味著網(wǎng)絡(luò)化、可信任，以及可以便捷且合法合規(guī)的互聯(lián)互通。本節(jié)從觀摩行業(yè)現(xiàn)狀開始，并展望分布式數(shù)字身

14、份的發(fā)展?，F(xiàn)有數(shù)字身份痛點(diǎn)分析從我們熟悉的互聯(lián)網(wǎng)業(yè)務(wù)來(lái)看，用戶的身份和數(shù)據(jù)已經(jīng)一定程度上數(shù)字化和網(wǎng)絡(luò)化，互聯(lián)網(wǎng)公司通常也具備一整套處理認(rèn)證和訪問(wèn)控制的業(yè)務(wù)系統(tǒng)。出于便利性考量，大多數(shù)互聯(lián)網(wǎng)應(yīng)用的數(shù)字身份以用戶名密碼為主，并結(jié)合真實(shí)身份認(rèn)證完成實(shí)名驗(yàn)身?；ヂ?lián)網(wǎng)的賬戶體系通常從屬于應(yīng)用領(lǐng)域，如社交、電商等領(lǐng)域分別采用不同賬號(hào)，這就使得用戶要重復(fù)注冊(cè)很多的賬號(hào)密碼。其次，出于運(yùn)營(yíng)主體和運(yùn)營(yíng)壁壘考量，互聯(lián)網(wǎng)業(yè)務(wù)在應(yīng)用層面并不互聯(lián)互通，跨應(yīng)用的業(yè)務(wù)實(shí)現(xiàn)難度很大，尤其對(duì)于需要用戶確權(quán)操作的跨應(yīng)用業(yè)務(wù)，可能需要更改整個(gè)業(yè)務(wù)架構(gòu)，以使得不同應(yīng)用領(lǐng)域的用戶身份?；ヂ?lián)網(wǎng)巨頭依靠平臺(tái)效應(yīng)壟斷市場(chǎng)，利用用戶數(shù)據(jù)作為護(hù)

15、城河，產(chǎn)生了大量?jī)r(jià)值，但用戶對(duì)自己的數(shù)據(jù)并未擁有話語(yǔ)權(quán)和價(jià)值收入。用戶的數(shù)字身份的關(guān)鍵控制點(diǎn)即賬號(hào)密碼，由服務(wù)商控制，對(duì)用戶來(lái)說(shuō)，僅為租借和使用服務(wù)商的服務(wù)，服務(wù)商可以決定賬號(hào)禁用、服務(wù)終止，更進(jìn)一步，由于利益驅(qū)使，圍繞著用戶數(shù)據(jù)發(fā)生的非法收集、數(shù)據(jù)泄露和買賣行為防不勝防，損害用戶安全。隨著數(shù)字社會(huì)的發(fā)展，金融、政務(wù)、交通等實(shí)體經(jīng)濟(jì)領(lǐng)域也融合了大量的互聯(lián)網(wǎng)因素，其原有的、基于物理介質(zhì)和實(shí)體身份的認(rèn)證體系在進(jìn)化過(guò)程中，已經(jīng)遭遇互聯(lián)網(wǎng)服務(wù)類似的問(wèn)題，由于實(shí)體經(jīng)濟(jì)的地域性特征更濃，安全等級(jí)要求更嚴(yán)，蘊(yùn)含的價(jià)值更高，隱私挑戰(zhàn)更大，事關(guān)國(guó)計(jì)民生，所以，身份認(rèn)證帶來(lái)的問(wèn)題會(huì)更加突出。綜上所述，我們將其歸結(jié)

16、到三個(gè)痛點(diǎn)問(wèn)題：1、重復(fù)認(rèn)證、多地認(rèn)證的問(wèn)題例如，在金融場(chǎng)景下，同一公民去不同的銀行開戶需要分別進(jìn)行 KYC，用戶體驗(yàn)繁瑣，身份數(shù)據(jù)相互重疊，數(shù)據(jù)可能存在差異甚至沖突。多頭建設(shè)的身份體系在浪費(fèi)資源的同時(shí)，也存在諸多數(shù)據(jù)共享和使用上的障礙，不同企業(yè)主體間的數(shù)據(jù)信息分別存儲(chǔ)，無(wú)法綜合利用。2、身份數(shù)據(jù)隱私與安全問(wèn)題用戶身份信息散落在各個(gè)企業(yè)級(jí)的身份認(rèn)證者手中，用戶對(duì)自身信息的使用不夠?qū)徤?，或者企業(yè)對(duì)用戶身份進(jìn)行信息驗(yàn)證都會(huì)引發(fā)身份信息的暴露，甚至對(duì)用戶隱私信息造成嚴(yán)重侵犯。其次，用戶身份信息在各家企業(yè)的服務(wù)器上存儲(chǔ)，不同的企業(yè)對(duì)數(shù)據(jù)安全的重視程度和措施強(qiáng)度不同，使得用戶的數(shù)據(jù)泄漏是一個(gè)木桶效應(yīng)的問(wèn)

17、題，任何一處被攻破，用戶的隱私即被泄露。用戶個(gè)人信息維護(hù)成本昂貴。數(shù)據(jù)顯示，歐盟地區(qū)，僅英國(guó)每年的身份確認(rèn)成本已經(jīng)超過(guò) 33 億英鎊，約等于 290 億人民幣。3、中心化認(rèn)證效率和容錯(cuò)性問(wèn)題在傳統(tǒng)的 PKI 系統(tǒng)中，數(shù)字證書是認(rèn)證的核心，它由相對(duì)權(quán)威的 CA 機(jī)構(gòu)簽發(fā)的。一方面，這種中心結(jié)構(gòu)可能存在性能問(wèn)題，其涉及證書的所有操作，任務(wù)繁重，可能成為性能短板拖累效率，如龐大的已撤銷證書列表的有效分發(fā)。另一方面，單中心的結(jié)構(gòu)容易使其成為攻擊的目標(biāo)，一旦上級(jí) CA 機(jī)構(gòu)被攻破，則與之相關(guān)聯(lián)的下級(jí) CA 也會(huì)受到牽連。分布式數(shù)字身份標(biāo)準(zhǔn)分布式數(shù)字身份介紹在政策、技術(shù)、市場(chǎng)因素的共同驅(qū)動(dòng)下，產(chǎn)生了一種新

18、的數(shù)字身份形態(tài)分布式數(shù)字身份，它用分布式基礎(chǔ)設(shè)施改變應(yīng)用廠商控制數(shù)字身份的模式，讓用戶控制和管理數(shù)字身份，通過(guò)將數(shù)據(jù)所有權(quán)歸還用戶從根本上解決隱私問(wèn)題。要使身份具有真正的自我主權(quán)，這種基礎(chǔ)設(shè)施必然需要駐留在分散信任的環(huán)境中。區(qū)塊鏈技術(shù)的出現(xiàn)讓自我主權(quán)身份的實(shí)現(xiàn)終于找到了突破口，作為分布式體系里的代表性技術(shù)，區(qū)塊鏈有望成為分布式數(shù)字身份的技術(shù)基礎(chǔ)。區(qū)塊鏈技術(shù)用哈希鏈的數(shù)據(jù)結(jié)構(gòu)改變了電子數(shù)據(jù)易被篡改的屬性，用“區(qū)塊+共識(shí)算法”解決分布式系統(tǒng)的數(shù)據(jù)一致性問(wèn)題，拜占庭容錯(cuò)能力保證跨實(shí)體運(yùn)行的系統(tǒng)不受少數(shù)節(jié)點(diǎn)惡意行為的影響，從而解決業(yè)務(wù)層面的信任難題，有望在服務(wù)商之間搭建互聯(lián)互通的協(xié)議。W3C 提出了基

19、于區(qū)塊鏈的分布式數(shù)字身份 DID 的概念，分布式數(shù)字身份具有以下優(yōu)勢(shì)：安全性：身份所有者身份信息不被無(wú)意泄露，身份可以由身份持有者持久保存，身份信息提供可符合最小披露原則；身份自主可控：用戶可以自主管理身份，而非依賴可信第三方；身份所有者可以控制其身份數(shù)據(jù)的分享。身份的可移植性：身份所有者能夠在任何他們需要的地方使用其身份數(shù)據(jù)，而不需依賴特定的身份服務(wù)提供商。當(dāng)然，區(qū)塊鏈技術(shù)只是用于實(shí)現(xiàn)分布式數(shù)字身份的基礎(chǔ)技術(shù)之一，分布式數(shù)字身份的版圖中無(wú)論是技術(shù)、生態(tài)還是行業(yè)法規(guī)還有更廣泛的內(nèi)涵和外延。分布式數(shù)字身份主流協(xié)議與規(guī)范正如互聯(lián)網(wǎng)建立在 TCP/IP 等協(xié)議提供的網(wǎng)絡(luò)連接能力上，分布式數(shù)字身份也建

20、立在一系列為互聯(lián)網(wǎng)身份而定制的協(xié)議規(guī)范基礎(chǔ)上。國(guó)際電子技術(shù)委員會(huì)對(duì)“身份”的定義是“一組與實(shí)體關(guān)聯(lián)的屬性”，分布式數(shù)字身份也不例外，W3C 的 DID 規(guī)范和可驗(yàn)證憑證規(guī)范分別定義了代表實(shí)體的身份標(biāo)識(shí)符及與之關(guān)聯(lián)的屬性聲明，其共同支撐了分布式數(shù)字身份基礎(chǔ)模型可驗(yàn)證憑證流轉(zhuǎn)模型的有效運(yùn)轉(zhuǎn)。圖 1-分布式數(shù)字身份基礎(chǔ)模型可驗(yàn)證憑證流轉(zhuǎn)模型分布式數(shù)字身份主要規(guī)范作為對(duì)可驗(yàn)證憑證基本模型的支撐，尤其是對(duì)于 DID 層面的信任框架的保障，通過(guò) DKMS、DID-Auth、DIDComm 等一系列協(xié)議和標(biāo)準(zhǔn)，提供了分布式數(shù)字身份自主可控、可信交換、隱私保護(hù)等特點(diǎn)。分布式數(shù)字身份的支撐體系為了使人們能夠隨時(shí)

21、、隨地使用分布式數(shù)字身份，且具有良好的用戶體驗(yàn)和豐富的應(yīng)用場(chǎng)景，需要一系列基礎(chǔ)設(shè)施來(lái)支持。自底層向上，用戶分別需要分布式賬本提供對(duì)身份自主權(quán)的支持、代理組件提供用戶管理身份和與其它實(shí)體通信的工具、憑證應(yīng)用工具提供用戶身份憑證流轉(zhuǎn)支持。此外，當(dāng)用戶數(shù)據(jù)使用云存儲(chǔ)代替本地存儲(chǔ)時(shí)，還需要個(gè)人數(shù)據(jù)存儲(chǔ)組件提供安全的數(shù)據(jù)管理服務(wù)。分布式數(shù)字身份主流國(guó)際組織與應(yīng)用場(chǎng)景分布式數(shù)字身份主流國(guó)際組織分布式數(shù)字身份出現(xiàn)的歷史雖短，但發(fā)展速度快，受到了極高關(guān)注。 目前國(guó)內(nèi)外已經(jīng)問(wèn)世的和分布式數(shù)字身份相關(guān)的項(xiàng)目已經(jīng)超過(guò) 200 個(gè)，其中一部分加入了 DIF（ HYPERLINK https:/identity.fou

22、ndation/ https:/identity.foundation/）即分布式數(shù)字身份基金會(huì)，該基金會(huì)旨在推動(dòng)基于區(qū)塊鏈的分布式數(shù)字身份管理協(xié)議的通用化和標(biāo)準(zhǔn)化。DIF 成員包括 IBM，微軟，NEC，埃森哲，區(qū)塊鏈組織超級(jí)賬本，R3，以太坊企業(yè)聯(lián)盟，金融機(jī)構(gòu) MasterCard，國(guó)內(nèi)也有多個(gè)組織加入，如微眾銀行等。W3C 組織的 DID 工作組成立于 2019 年 9 月，主要任務(wù)是制定 DID 規(guī)范，DID 規(guī)范包括對(duì) DID URL 方案標(biāo)識(shí)符、數(shù)據(jù)模型、DID 文件語(yǔ)法等的標(biāo)準(zhǔn)化。截至目前，該工作組已有來(lái)自全球的多個(gè)機(jī)構(gòu)，包括 GS1、微軟等，以及國(guó)內(nèi)的工信部信通院等。目前 DI

23、D 的規(guī)范和技術(shù)方案已經(jīng)初步成型，W3C 的 DID 規(guī)范（ HYPERLINK https:/w3c.github.io/did-core/ https:/w3c.github.io/did-core/）和相關(guān)協(xié)議認(rèn)可度較高，是行業(yè)采用的主要參考，其他還有基于以太坊的多個(gè) EIP 提案的實(shí)現(xiàn)，在工業(yè)物聯(lián)網(wǎng)層面，也存在 Handle，Ecode等多種標(biāo)識(shí)規(guī)范。各項(xiàng)規(guī)范和協(xié)議在設(shè)計(jì)思路、細(xì)節(jié)風(fēng)格上雖然有一定的差異，其核心都是為了解決身份標(biāo)識(shí)、權(quán)威認(rèn)證、可信驗(yàn)證、高效互通、隱私保護(hù)等核心問(wèn)題。目前在 W3C 的 DID 注冊(cè)表中已注冊(cè)了 50 多個(gè)廠家的 DID method 實(shí)現(xiàn)，在應(yīng)用落地的過(guò)

24、程中，通常針對(duì)不同場(chǎng)景中的不同需求采取了不同的實(shí)現(xiàn)方案。我們將介紹基于 W3C 組織 DID 協(xié)議規(guī)范的海外主要應(yīng)用場(chǎng)景與案例，通過(guò)對(duì)這些應(yīng)用場(chǎng)景與具體案例的分析，有助于我們理解不同分布式數(shù)字身份方案的價(jià)值?？沈?yàn)證企業(yè)網(wǎng)絡(luò)VONVON 全稱 Verifiable Organization Network，即可驗(yàn)證企業(yè)網(wǎng)絡(luò)，是 Sovrin 協(xié)議的開源項(xiàng)目 Hyperledger Indy 的應(yīng)用。該項(xiàng)目是加拿大不列顛哥倫比亞省政府關(guān)于實(shí)現(xiàn)可分享企業(yè)（組織）數(shù)據(jù)的開放、統(tǒng)一和可信網(wǎng)絡(luò)的一項(xiàng)探索，該網(wǎng)絡(luò)通過(guò)流轉(zhuǎn)有關(guān)企業(yè)資質(zhì)的可驗(yàn)證憑證，減少了那些需要和請(qǐng)求企業(yè)（組織）數(shù)據(jù)的應(yīng)用服務(wù)的人們的工作量，

25、因?yàn)榛?VON 可以從受信任的來(lái)源輕松獲得這些數(shù)據(jù)。VON 為政府?dāng)?shù)字服務(wù)提供者提供了極大改善其用戶服務(wù)體驗(yàn)的可能性。分布式數(shù)字身份管理ShoCardShoCard 是較早嘗試分布式數(shù)字身份管理的項(xiàng)目，它利用分布式賬本為用戶綁定標(biāo)識(shí)符和現(xiàn)有的可信憑證（如護(hù)照、駕照），記錄驗(yàn)證歷史，為用戶提供分布式的可信身份。旅行者使用移動(dòng)終端對(duì)身份證件拍照，將元數(shù)據(jù)加密存儲(chǔ)在本地，將可驗(yàn)證信息存證于區(qū)塊鏈，當(dāng)用戶出示證件進(jìn)行驗(yàn)證時(shí)，身份驗(yàn)證方除了驗(yàn)證物理證件，還可驗(yàn)證區(qū)塊鏈記錄。IdentiCAT2019 年 9 月，西班牙加泰羅尼亞自治區(qū)政府宣布啟動(dòng)用戶主權(quán)的分布式數(shù)字身份項(xiàng)目 IdentiCAT，這是歐

26、洲第一個(gè)開放的數(shù)字身份。IdentiCAT 提倡用戶控制自己的數(shù)字身份和相關(guān)數(shù)據(jù)，構(gòu)建在分布式賬本基礎(chǔ)上，居民通過(guò)自己的軟件管理數(shù)字身份，維護(hù)隱私。瑞士楚格市居民數(shù)字身份 Zug Digital ID從 2017 年 9 月開始，瑞士楚格市為全市約 30,000 公民提供分布式電子身份 eID，該身份基于去中心化身份平臺(tái) uPort 在以太坊區(qū)塊鏈（Ethereum）上實(shí)現(xiàn)，eID 的所有者可以使用移動(dòng)應(yīng)用程序提供身份信息，依賴方可以通過(guò)區(qū)塊鏈檢查數(shù)字簽名來(lái)驗(yàn)證數(shù)據(jù)的真實(shí)性。所有個(gè)人數(shù)據(jù)僅存儲(chǔ)在單獨(dú)的移動(dòng)電話上，經(jīng)過(guò)加密，公民完全可以控制要發(fā)布的信息以及向誰(shuí)發(fā)布的信息。eID 可以用于多個(gè)城市

27、特定服務(wù)，例如城市公共事物公民投票，城市共享自行車 AirBie 服務(wù)等。Thales Gemaltos Trust ID NetworkThales Gemaltos Trust ID Network 是一個(gè)基于區(qū)塊鏈的分布式數(shù)字 ID 平臺(tái)，基于 R3 區(qū)塊鏈平臺(tái)構(gòu)建，允許服務(wù)提供商簡(jiǎn)化客戶身份管理和簡(jiǎn)化盡職調(diào)查流程，支持最終用戶完全控制自己的身份。作為數(shù)字身份系統(tǒng)，它引入多個(gè) ID 驗(yàn)證源，并符合數(shù)據(jù)隱私合規(guī)性要求，可用于構(gòu)建一個(gè)國(guó)家身份計(jì)劃，或者在行業(yè)內(nèi)部形成聯(lián)盟身份計(jì)劃。KYC 客戶身份分析Synechrons Self-sovereign KYCSynechron 設(shè)計(jì)和構(gòu)建的 C

28、orDapp 在 Corda 區(qū)塊鏈中網(wǎng)絡(luò)支持了交換和管理客戶的 KYC 數(shù)據(jù)，39 個(gè)實(shí)體在Microsoft Azure 區(qū)塊鏈服務(wù)平臺(tái)中部署并總共運(yùn)行了 45 個(gè)節(jié)點(diǎn)。銀行參與居多，包括荷蘭銀行，阿爾法銀行，塞浦路斯銀行等。銀行可以在區(qū)塊鏈網(wǎng)絡(luò)上請(qǐng)求訪問(wèn)客戶的 KYC 測(cè)試數(shù)據(jù)，而客戶可以批準(zhǔn)請(qǐng)求并撤消訪問(wèn)權(quán)限?？蛻暨€能夠更新其身份數(shù)據(jù)，然后自動(dòng)對(duì)所有具有訪問(wèn)權(quán)限的銀行進(jìn)行更新。韓國(guó)的 NongHyup（NH）銀行區(qū)塊鏈 ID 卡韓國(guó)的 NongHyup（NH）銀行已經(jīng)引入基于區(qū)塊鏈的移動(dòng) ID 系統(tǒng)，新的移動(dòng) ID系統(tǒng)基于區(qū)塊鏈技術(shù)，通過(guò)智能手機(jī)（而非傳統(tǒng)的 ID 卡）實(shí)現(xiàn)方便的身份驗(yàn)

29、證。該項(xiàng)目旨在有效保護(hù)其個(gè)人身份數(shù)據(jù)的前提下，面向個(gè)人提供更好的服務(wù)：基于區(qū)塊鏈的 ID 服務(wù)將用于通勤和管理進(jìn)入辦公室的訪問(wèn)權(quán)限，將來(lái)，計(jì)劃擴(kuò)展移動(dòng) ID 卡，使其方便設(shè)置服務(wù)的約會(huì)和付款。加拿大銀行分布式數(shù)字身份加拿大一些領(lǐng)先的銀行正在支持新的基于區(qū)塊鏈的數(shù)字身份網(wǎng)絡(luò)。由多倫多的 SecureKey Technologies 開發(fā)，Verified.Me 結(jié)合了在線銀行憑證，生物識(shí)別技術(shù)和移動(dòng)運(yùn)營(yíng)商有關(guān)人們手機(jī)的信息，以進(jìn)行多因素驗(yàn)證。CIBC，Desjardins，RBC，Scotiabank， TD，BMO（蒙特利爾銀行）和加拿大國(guó)家銀行等多家加拿大銀行都在支持這項(xiàng)服務(wù)。該服務(wù)利用了

30、Telus，Bell 和 Rogers 擁有的合資公司 EnStream 的數(shù)據(jù)，這些數(shù)據(jù)提供有關(guān)與用戶智能手機(jī)有關(guān)的因素的身份信息。該服務(wù)可以幫助明顯改善客戶體驗(yàn)，并滿足 KYC 和反洗錢（AML）的義務(wù)。阿塞拜疆中央銀行分布式數(shù)字身份阿塞拜疆中央銀行表示，2020 年第一季度阿將采用基于區(qū)塊鏈的數(shù)字 ID 系統(tǒng)。該系統(tǒng)在轉(zhuǎn)移到信貸組織的個(gè)人數(shù)據(jù)的安全性以及遠(yuǎn)程處理大多數(shù)操作方面具有廣闊前景。在初始階段，阿塞拜疆中央銀行（CBA）將為法人和個(gè)人開設(shè)遠(yuǎn)程帳戶；在最后階段，該項(xiàng)目的目標(biāo)是將其他銀行服務(wù)和自動(dòng)化的資金監(jiān)控系統(tǒng)包括在內(nèi)，以防止恐怖主義融資和洗錢。CBA 指出，采用該系統(tǒng)的直接結(jié)果將是

31、“將 CBA 轉(zhuǎn)變?yōu)殚_放銀行業(yè)務(wù)”。分布式數(shù)字身份整體框架分布式數(shù)字身份一般采用多層框架，如下圖是一種典型的分布式數(shù)字身份三層架構(gòu)。圖 2-分布式數(shù)字身份三層架構(gòu)分布式賬本層分布式賬本層是整個(gè)方案的基礎(chǔ)設(shè)施，提供了對(duì) DID 文檔（DID Document）以及其他需要分布式存儲(chǔ)內(nèi)容的數(shù)據(jù)存儲(chǔ)錨定。DID 文檔可以直接通過(guò)區(qū)塊鏈網(wǎng)絡(luò)存儲(chǔ)，在對(duì)數(shù)據(jù)隱私關(guān)注更高的情況下也可以結(jié)合分布式存儲(chǔ)使用，DID 文檔內(nèi)最關(guān)鍵的是 DID 與公鑰的對(duì)應(yīng)關(guān)系，通過(guò)區(qū)塊鏈錨定這些身份數(shù)據(jù)的對(duì)應(yīng)關(guān)系。DPKI 網(wǎng)絡(luò)層構(gòu)建分布式數(shù)字身份體系，要滿足大規(guī)模的數(shù)字身份使用場(chǎng)景，需要建立一個(gè)大型的服務(wù)系統(tǒng)。而一般的區(qū)塊鏈網(wǎng)

32、絡(luò)受限于性能和擴(kuò)展性，無(wú)法滿足上層業(yè)務(wù)場(chǎng)景使用需求，因此在分布式賬本層的基礎(chǔ)上，可以進(jìn)一步抽象出 DPKI 二層網(wǎng)絡(luò)，通過(guò)分布式的二層網(wǎng)絡(luò)解決區(qū)塊鏈的擴(kuò)展問(wèn)題。DPKI 網(wǎng)絡(luò)層對(duì)上層提供了統(tǒng)一的 DID 解析服務(wù)，即 DID Resolver，此服務(wù)可以同時(shí)對(duì)接例如 DIF 社區(qū)等不同的 DID 生態(tài)，保證 DID 生態(tài)間的互認(rèn)。DPKI 節(jié)點(diǎn)會(huì)把上層的 DID 相關(guān)的操作打包，創(chuàng)建一個(gè)鏈上交易，并在交易中嵌入該操作批次的哈希，從而提高系統(tǒng)的整理處理性能。使用 DPKI 節(jié)點(diǎn)也可以隔離上層業(yè)務(wù)對(duì)底層區(qū)塊鏈存儲(chǔ)的差異性，對(duì)業(yè)務(wù)層和存儲(chǔ)層進(jìn)行解耦?？尚沤粨Q層可信交換層是 DID 系統(tǒng)中各個(gè)生態(tài)參與

33、方互相建立安全身份認(rèn)證與數(shù)據(jù)交換層，從角色上一般會(huì)分為用戶、發(fā)證方、驗(yàn)證方等。用戶通過(guò)用戶代理(User Agent)注冊(cè)鏈上身份獲得 DID，并依托 DID 向發(fā)證方申請(qǐng)各類可驗(yàn)證憑證，最終向驗(yàn)證方提供 DID和可驗(yàn)證憑證完成驗(yàn)證流程，典型的身份驗(yàn)證流程如 DID-Auth 等。第三章 主流DID 協(xié)議和規(guī)范近年來(lái)，圍繞分布式數(shù)字身份，由多個(gè)標(biāo)準(zhǔn)組織、開源社區(qū)、分布式數(shù)字身份聯(lián)盟共同努力，推進(jìn)了一系列分布式數(shù)字身份相關(guān)技術(shù)標(biāo)準(zhǔn)和協(xié)議的制定，主要包括：萬(wàn)維網(wǎng)聯(lián)盟（W3C）推動(dòng)中的分布式標(biāo)識(shí)符（DID）和可驗(yàn)證憑證（Verifiable Credential）規(guī)范 HYPERLINK / 重啟可

34、信網(wǎng)絡(luò)（RWOT）工作組的 DID Auth 規(guī)范 HYPERLINK / 結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASIS）的 分布式密鑰管理 DKMS 規(guī)范 HYPERLINK https:/identity.foundation/ 去中心化身份基金會(huì)（DIF）推動(dòng)中的 DIDComm 協(xié)議分布式數(shù)字身份主要規(guī)范是對(duì)作為對(duì)可驗(yàn)證憑證流轉(zhuǎn)基本模型的支撐，尤其也是對(duì)于 DID 層面的建立分布式數(shù)字身份信任框架的保障，為應(yīng)用間的互聯(lián)互通提供共同的數(shù)據(jù)格式、通信協(xié)議等前提條件。DID（W3C）基于區(qū)塊鏈技術(shù)的分布式數(shù)字身份是 一種自我主權(quán)的、可驗(yàn)證的、新型數(shù)字身份。 W3C 為這種身份定義了“分布式數(shù)字身份標(biāo)識(shí)

35、符規(guī)范”（Decentralized ID, DID）一種新型的全球唯一標(biāo)識(shí)符。分布式標(biāo)識(shí)符（DID）的用途包括以下兩個(gè)方面：其一，使用標(biāo)識(shí)符來(lái)標(biāo)識(shí) DID主體（人員，組織，設(shè)備，密鑰，服務(wù)和一般事物）的特定實(shí)例；其二，促進(jìn)實(shí)體之間創(chuàng)建持久加密的專用通道，而無(wú)需任何中心化注冊(cè)機(jī)制。它們可以用于諸如憑證交換和認(rèn)證。圖 3- 分布式數(shù)字身份對(duì)象與 DID Doc（引自 W3C DIDcore） HYPERLINK https:/w3c.github.io/did-core/#dfn-decentralized-identifiers DID 是將 DID 對(duì)象（DID）與 HYPERLINK ht

36、tps:/w3c.github.io/did-core/#dfn-did-documents DID 文檔（DID Doc）相關(guān)聯(lián)的 URL，一個(gè)實(shí)體可以具有多個(gè) DID，甚至與另一個(gè)實(shí)體的每個(gè)關(guān)系可以關(guān)聯(lián)一個(gè)或多個(gè) DID（成對(duì)假名和一次性標(biāo)識(shí)符）以保護(hù)隱私性，身份所有者通過(guò)證明擁有與綁定到該 DID 的公鑰相關(guān)聯(lián)的私鑰來(lái)建立 DID 的所有權(quán)。一個(gè) DID 的定義具有以下形式：“did:” + + “:” + 這類似于一種名字空間的表達(dá)，通常是實(shí)現(xiàn)并注冊(cè)了特定 DID 操作方法的廠商名稱的縮寫，比如 did:nist:0 x1234abcd?？紤]到方便與其它基于 Internet 的標(biāo)識(shí)符

37、一起使用，method 特定的標(biāo)識(shí)符通常是 URL 或 HYPERLINK https:/w3c.github.io/did-core/#dfn-uri URI 標(biāo)識(shí)符。DID Method 是一組公開的標(biāo)準(zhǔn)操作，通過(guò)它們可以創(chuàng)建，解析，更新和刪除 DID。這些方法允許 DID 在身份管理系統(tǒng)中注冊(cè)，替換，輪換，恢復(fù)和到期。目前已實(shí)現(xiàn)的 DID Method 集中登記在由 W3C CCG 工作組維護(hù)的分布式標(biāo)識(shí)符注冊(cè)表中，如果現(xiàn)有分布式 DID Method 不適用，可能需要向此注冊(cè)表添加新方法。為了向該注冊(cè)表添加新方法，實(shí)現(xiàn)者必須：實(shí)現(xiàn)新 DID 方法，至少已完成實(shí)驗(yàn)版本。在 HYPERLI

38、NK https:/w3c-ccg.github.io/did-spec/ https:/w3c-ccg.github.io/did-spec/上創(chuàng)建一個(gè)描述新 DID 方法的規(guī)范，該規(guī)范可公開獲得并旨在與 DID 規(guī)范保持一致。確保規(guī)范中的標(biāo)題包含版本號(hào)。作為 DID 方法的一部分，DID 解析器（DID resolver）允許將 DID 作為輸入，并返回 DID Doc 的相關(guān)元數(shù)據(jù)，該元數(shù)據(jù)遵循諸如 JavaScript Object Notation（JSON）及其相關(guān)的鏈接數(shù)據(jù) JavaScript 對(duì)象符號(hào)（JSON-LD）的數(shù)據(jù)格式定義。DID Doc 是一個(gè)通用數(shù)據(jù)結(jié)構(gòu)，它包含

39、與 DID 驗(yàn)證相關(guān)的密鑰信息和驗(yàn)證方法，提供了一組使 DID 控制者能夠證明其對(duì) DID 控制的機(jī)制。根據(jù) W3C 的規(guī)范定義，DID Doc 由以下標(biāo)準(zhǔn)元素組成：統(tǒng)一資源標(biāo)識(shí)符（URI），用于標(biāo)識(shí)允許各方閱讀 DID 文檔的術(shù)語(yǔ)和協(xié)議標(biāo)識(shí) DID 文檔身份主體的 DID用于認(rèn)證，授權(quán)和通信機(jī)制的一組公共密鑰用于 DID 的一組身份驗(yàn)證方法，以向其他實(shí)體證明 DID 的所有權(quán)針對(duì) DID 的一組授權(quán)和委派方法，以允許另一個(gè)實(shí)體代表他們進(jìn)行操作（即保管人）服務(wù)端點(diǎn)集，以描述在何處以及如何與 DID 身份主體進(jìn)行交互創(chuàng)建文檔的時(shí)間戳記可選文檔上次更新的時(shí)間戳可選完整性的密碼證明（例如，數(shù)字簽名）

40、可選需要注意的是，考慮隱私保護(hù)等相關(guān)法律，身份應(yīng)盡可能避免被歸集，尤其對(duì)于非公示性個(gè)人身份，通?？紤]用成對(duì)假名或一次性 DID 來(lái)表達(dá)。Verifiable Credential（W3C）分布式數(shù)字身份標(biāo)識(shí)符在 ID 層面提供了自我主權(quán)的技術(shù)實(shí)現(xiàn)，但并未附加與該數(shù)字身份實(shí)體相關(guān)的現(xiàn)實(shí)世界屬性，因此不是一個(gè)完整的數(shù)字身份表達(dá)。參照現(xiàn)實(shí)世界中物理憑證的使用場(chǎng)景和核心模型，W3C CCG 發(fā)布了可驗(yàn)證憑證（verifiable credential）規(guī)范，該規(guī)范定義了可在實(shí)體之間交換的憑證格式，用以提供對(duì)于實(shí)體的屬性說(shuō)明?？沈?yàn)證憑證是由發(fā)行人簽名加密的防篡改憑證，具有密碼學(xué)安全、隱私保護(hù)和機(jī)器可讀的

41、特點(diǎn)。憑證通常由至少兩組信息組成。 其一表示可驗(yàn)證的憑證本身，包含憑證元數(shù)據(jù)和聲明。 其二表示數(shù)字證明，通常是數(shù)字簽名。圖 4-實(shí)體、標(biāo)識(shí)符與可驗(yàn)證憑證為了增強(qiáng)隱私保護(hù)，相關(guān)規(guī)范還定義了可驗(yàn)證表述（verifiable presentation），用于證明實(shí)體在特定場(chǎng)景下的身份角色屬性?？沈?yàn)證表述是一種防篡改的描述，它來(lái)自一個(gè)或多個(gè)可驗(yàn)證憑證，并由披露這些憑證的主體用密碼簽名。無(wú)論是直接使用可驗(yàn)證憑證，還是從可驗(yàn)證憑證中獲得的數(shù)據(jù)構(gòu)造身份證明，DID 身份證明都將以“可驗(yàn)證表述（verifiable Presentation）”的方式進(jìn)行出示?？沈?yàn)證的描述通常由以下內(nèi)容組成：唯一標(biāo)識(shí)描述（pr

42、esentation）的 URI標(biāo)識(shí)對(duì)象類型的 URI從中推出（描述）的一個(gè)或多個(gè)可驗(yàn)證憑證（credential）或數(shù)據(jù)可驗(yàn)證表述（presentation）的創(chuàng)建者 URI（例如 DID）身份主體的密碼證明（例如，數(shù)字簽名）“可驗(yàn)證表述”的數(shù)據(jù)格式可以進(jìn)行密碼驗(yàn)證，但其本身并不包含可驗(yàn)證憑證?？沈?yàn)證憑證支持與身份持有者所關(guān)聯(lián)的屬性信息基于密碼學(xué)方式進(jìn)行簽發(fā)與驗(yàn)證，從而確保憑證的權(quán)威性、和隱私保護(hù)性?？沈?yàn)證憑證同時(shí)支持可撤銷能力，憑證的創(chuàng)建者負(fù)責(zé)通過(guò)撤銷機(jī)制撤銷已經(jīng)發(fā)出的憑證，驗(yàn)證方則相應(yīng)需要具有靈活高效地驗(yàn)證憑證是否已處于被撤銷狀態(tài)的能力。DID-Auth （RWOT）DID 驗(yàn)證的目的是

43、讓用戶證明自己擁有某身份 DID 用戶只要證明自己擁有該 DID 公鑰匹配的私鑰即可。通過(guò) DID 驗(yàn)證后，不同個(gè)體之間能建立可信任且更長(zhǎng)久的通信管道，以便在此之上協(xié)商交換其它資料，例如可驗(yàn)證憑證。DID-Auth 與其它身份驗(yàn)證方法類似，依賴于“ 挑戰(zhàn)-響應(yīng)”方式。身份所有者（代理）所遇到身份驗(yàn)證挑戰(zhàn)的方式以及挑戰(zhàn)的格式將視情況而定，例如：根據(jù)挑戰(zhàn)發(fā)起者是否預(yù)先了解待驗(yàn)證方 DID，挑戰(zhàn)信息中可能包括也可能不包括對(duì)方 DID。DID-Auth 并不是一個(gè)具體協(xié)議，而是一種實(shí)現(xiàn)框架。目前，許多不同項(xiàng)目正在以不同的方式實(shí)現(xiàn)“ DID-Auth”，它們可能使用了不同的數(shù)據(jù)格式，傳輸機(jī)制和協(xié)議。 D

44、ID-Auth 實(shí)現(xiàn)的具體協(xié)議工作正在推進(jìn)中，目前在探索如何與現(xiàn)有的成熟身份驗(yàn)證框架結(jié)合，例如 OIDC 和 WebAuth，以推動(dòng) DID 規(guī)范的應(yīng)用。例如，DIF 起草的“ SIOP DID 配置文件”（SIOP DID）是 DID Auth 與 OpenID Connect（OIDC）結(jié)合的規(guī)范，通過(guò)將用戶身份錢包集成到 Web 應(yīng)用程序的方法，將基于 DID 的身份認(rèn)證方式集成到注冊(cè)/登錄應(yīng)用的過(guò)程中，為每個(gè)人提供強(qiáng)大的、分布式的隱私和安全性保證。DKMS（OASIS）如何無(wú)需依賴具有密鑰訪問(wèn)或控制權(quán)限的第三方，實(shí)現(xiàn)所有者自我管理密鑰和證書的能力？分布式密鑰管理系統(tǒng)（DKMS）的解決之

45、道在于標(biāo)準(zhǔn)化身份錢包的工作機(jī)制，這部分涉及到以下組件：DID 層、身份所有者云錢包、云代理，邊緣代理、邊緣錢包。DKMS 規(guī)范了身份錢包應(yīng)如何管理密鑰生命周期創(chuàng)建，恢復(fù)，備份和吊銷密鑰的各個(gè)方面，并說(shuō)明了：分布式數(shù)字身份可能需要什么密鑰及其用途，應(yīng)該在哪里存儲(chǔ)和保護(hù)它們，如何從丟失或破壞中恢復(fù)，如何根據(jù)需要輪換它們，以及在不再需要該密鑰時(shí)撤銷并通知公眾。密鑰可以分發(fā)給其他實(shí)體，但必須由其所有者控制。DKMS 使用以下密鑰類型：主密鑰：不受密碼保護(hù)的密鑰。 它們是手動(dòng)分發(fā)的，也可以是最初安裝的，并受到程序控制和物理或電子隔離的保護(hù)。密鑰加密密鑰：用于密鑰傳輸或其他密鑰存儲(chǔ)的對(duì)稱或公共密鑰。數(shù)據(jù)密

46、鑰：用于對(duì)用戶數(shù)據(jù)提供加密操作（例如，加密，身份驗(yàn)證）。密鑰保護(hù)遵循分級(jí)保護(hù)的思想，一級(jí)密鑰用于保護(hù)較低級(jí)別的項(xiàng)目。 因此，主密鑰的安全性是整個(gè)系統(tǒng)的關(guān)鍵，應(yīng)考慮采取特殊措施來(lái)保護(hù)主密鑰，包括嚴(yán)格限制訪問(wèn)和使用、，硬件保護(hù)以及僅在共享控制下提供對(duì)密鑰的訪問(wèn)等。除了密鑰種類設(shè)計(jì)、密鑰生命周期管理、密鑰恢復(fù)機(jī)制，DKMS 設(shè)計(jì)與架構(gòu) 4.0還補(bǔ)充了密鑰生命周期管理中的代理策略，細(xì)化了邊緣代理與云代理基于 DKMS 協(xié)議進(jìn)行所有標(biāo)準(zhǔn) DKMS 密鑰管理操作的流程，確保在引入云端代理的同時(shí)，整體代理方案依然具有高安全性和隱私保護(hù)特征，支持真正的分布式 PKI。DKMS 設(shè)計(jì)必須是基于開放標(biāo)準(zhǔn)和開放系統(tǒng)

47、的，DKMS4.0 已于 2019 年 3 月發(fā)布，進(jìn)入公開公眾審查和評(píng)論流程，以準(zhǔn)備將 DKMS 提交給 HYPERLINK / OASIS 等標(biāo)準(zhǔn)開發(fā)組織進(jìn)行正式標(biāo)準(zhǔn)化。DIDComm（DIF）“協(xié)議”是交互雙方必須共同遵從的一組約定，如怎么樣建立連接、怎么樣互相識(shí)別等?，F(xiàn)有互聯(lián)網(wǎng)應(yīng)用交互的 Web API 協(xié)議方式基于 C/S 結(jié)構(gòu)的假設(shè)，從信息交互和安全角度都是非對(duì)等的，并不適合 DID 對(duì)等交互的需求。在 DID 通信世界，消息協(xié)議是分布式的。這意味著該協(xié)議沒(méi)有監(jiān)督者來(lái)保證信息流，強(qiáng)制雙方行為并確保一致性。DIDComm 協(xié)議通過(guò)雙方對(duì)規(guī)則和目標(biāo)的共同理解和共識(shí)達(dá)成互動(dòng)，這與 Web

48、API 方式下依賴中心化的規(guī)則管理有很大的不同。DID 持有者在數(shù)字世界通過(guò)各自的代理軟件進(jìn)行交互，他們基于預(yù)定義的 DIDComm 消息協(xié)議，啟動(dòng)特定交互-連接，維護(hù)關(guān)系，頒發(fā)憑據(jù)，提供證明等。DIDComm設(shè)計(jì)目標(biāo)如下：確保安全性具有隱私保護(hù)可互操作與傳輸方式（協(xié)議）無(wú)關(guān)可擴(kuò)展性為了保證安全和私有，協(xié)議應(yīng)當(dāng)是分布式的，互操作性意味著 DIDComm 應(yīng)該跨編程語(yǔ)言，區(qū)塊鏈，供應(yīng)商，OS /平臺(tái)，網(wǎng)絡(luò)，法律管轄區(qū)，地域，加密和硬件以及跨時(shí)間工作。DIDComm 使用 DID 持有人本人身份錢包所提供的公鑰密碼技術(shù)實(shí)現(xiàn) DPKI 安全通信，而不是第三方的證書和在其他方登記注冊(cè)的密碼，其安全保證

49、獨(dú)立于它所基于的數(shù)據(jù)傳輸方式，是非會(huì)話保持方式的；當(dāng)需要進(jìn)行身份驗(yàn)證時(shí)，所有各方都以相同的方式對(duì)等進(jìn)行。主要的 DIDComm 相關(guān)規(guī)范包括：DIDComm 消息結(jié)構(gòu)規(guī)范，DIDComm 消息加密規(guī)范，DIDComm 相關(guān)傳輸規(guī)范?；?DIDComm 結(jié)構(gòu) HYPERLINK /hyperledger/aries-rfcs/blob/master/concepts/0003-protocols/README.md 建立的 HYPERLINK /hyperledger/aries-rfcs/blob/master/concepts/0003-protocols/README.md 協(xié)議除了：建

50、立 DID 連接、憑證請(qǐng)求與簽發(fā)、身份驗(yàn)證等，還可以針對(duì)各種豐富的主題進(jìn)行自定義。第四章 分布式數(shù)字身份的支撐體系身份管理系統(tǒng)廣泛用于提供用戶身份，同時(shí)管理組織內(nèi)部和網(wǎng)絡(luò)服務(wù)上的身份驗(yàn)證、授權(quán)和數(shù)據(jù)共享。傳統(tǒng)的身份管理系統(tǒng)中，組織可以存儲(chǔ)與之交互的每個(gè)用戶的憑據(jù)（例如密碼），在聯(lián)盟身份模型中，他們可以通過(guò)第三方來(lái)存儲(chǔ)相關(guān)信息。由于控制身份信息的實(shí)體的特權(quán)位置，可能引發(fā)隱私保護(hù)問(wèn)題和由于數(shù)據(jù)高度集中帶來(lái)的不平等性。此外，傳統(tǒng)的身份系統(tǒng)是中心化的，通常會(huì)有單點(diǎn)故障隱患和缺乏互操作（可移植）性的問(wèn)題?；趨^(qū)塊鏈技術(shù)的分布式數(shù)字身份管理有助于解決以上問(wèn)題：它們可以支持用戶控制自己的標(biāo)識(shí)符和憑證的托管，

51、轉(zhuǎn)換數(shù)據(jù)治理模型，減少對(duì)受信任中介的依賴性，并使用戶和企業(yè)從中受益。用戶可以自己管理自己的身份數(shù)據(jù)，并在知情和授權(quán)的基礎(chǔ)上將其公開給依賴方；企業(yè)可以依靠可驗(yàn)證的用戶信息來(lái)簡(jiǎn)化其運(yùn)營(yíng)，而不必自己充當(dāng)數(shù)據(jù)托管人并處理相關(guān)的成本和風(fēng)險(xiǎn)（例如，基礎(chǔ)架構(gòu)，安全性和法規(guī)遵從性）。分布式數(shù)字身份區(qū)別于中心化身份系統(tǒng)的最大不同在于：分布式數(shù)字身份體系分解了標(biāo)識(shí)符和憑證體系結(jié)構(gòu)，且標(biāo)識(shí)符體系和憑證體系都應(yīng)貫穿分布式的實(shí)現(xiàn)，從而支持創(chuàng)建分布式互操作的生態(tài)系統(tǒng)。分布式數(shù)字身份憑證的發(fā)行，呈現(xiàn)和驗(yàn)證是在一系列協(xié)議和技術(shù)中進(jìn)行的。相關(guān)棧包括四層：分布式賬本層，代理層，憑證交換層，治理層，這些層如圖 1 所示。本文的其余

52、部分將詳細(xì)討論每一層。圖 11-分布式數(shù)字身份分層架構(gòu)對(duì)參與分布式數(shù)字身份生態(tài)系統(tǒng)的用戶來(lái)說(shuō)，自底層向上分別需要分布式賬本提供身份注冊(cè)，代理軟件（服務(wù)）提供所有者身份管理和實(shí)現(xiàn)與他人通信，憑證工具提供憑證流轉(zhuǎn)和驗(yàn)證功能。此外，當(dāng)用戶數(shù)據(jù)使用云存儲(chǔ)代替本地存儲(chǔ)時(shí)，還需要云服務(wù)商提供安全的數(shù)據(jù)托管服務(wù)。分布式賬本代表實(shí)體身份的全球唯一分布式標(biāo)識(shí)符應(yīng)該如何存儲(chǔ)和提供訪問(wèn)？人們?nèi)绾卧L問(wèn)它們？為了使身份真正具有自主權(quán)，這種基礎(chǔ)設(shè)施需置于分布式信任的環(huán)境中，而不屬于任何單一組織所控制的環(huán)境，分布式賬本（區(qū)塊鏈）正是這樣一種創(chuàng)新技術(shù)。自主權(quán)身份 DID 錨定于分布式賬本，以避免被特定中心化服務(wù)所掌控。區(qū)塊鏈

53、通過(guò)充當(dāng)公共密鑰基礎(chǔ)結(jié)構(gòu)（PKI）的受完整性保護(hù)的“公告板”來(lái)支持密鑰和標(biāo)識(shí)發(fā)現(xiàn)，在大多數(shù)情況下，基于 PKI 的“公告板”形成標(biāo)識(shí)符管理系統(tǒng)（DID方法實(shí)現(xiàn)），除了密鑰和標(biāo)識(shí)符外，可驗(yàn)證憑證也可能依賴于區(qū)塊鏈實(shí)現(xiàn)流轉(zhuǎn)、驗(yàn)證。考慮分布式賬本專門用于支持身份交易，應(yīng)具有以下幾個(gè)重要屬性：可公開訪問(wèn) - 此分布式賬本是公共可訪問(wèn)的，因此任何人都可以在沒(méi)有中介的情況下使用它。通過(guò)在盡可能廣泛的范圍里部署分散節(jié)點(diǎn)網(wǎng)絡(luò)，實(shí)現(xiàn)即使一個(gè)或多個(gè)節(jié)點(diǎn)關(guān)閉或無(wú)法運(yùn)行，人們?nèi)钥梢噪S時(shí)訪問(wèn)該網(wǎng)絡(luò)。可信驗(yàn)證 分布式賬本的每個(gè)節(jié)點(diǎn)都運(yùn)行分布式數(shù)字身份賬本，分布式賬本能夠生成狀態(tài)證明，客戶端可以使用狀態(tài)證明來(lái)了解分類賬的狀

54、態(tài)，而不必下載和訪問(wèn)整個(gè)分類賬。 每個(gè)狀態(tài)證明都包含一個(gè)時(shí)間戳，以便客戶端可以確定狀態(tài)證明是否足夠適合他們的用例或是否需要刷新。 這使得它非常適合用于證書驗(yàn)證，在該驗(yàn)證中客戶端可能會(huì)在一段時(shí)間內(nèi)無(wú)法訪問(wèn)互聯(lián)網(wǎng)，從而需要離線驗(yàn)證，這是普遍采用數(shù)字證書的關(guān)鍵要求。此外，狀態(tài)證明可以交叉錨定在其他分布式賬本上，以提高可靠性，可信賴性。操作成本低廉 考慮作為分布式數(shù)字身份需要成為廣泛可用的基礎(chǔ)設(shè)施，賬本上的交易驗(yàn)證應(yīng)該是成本低廉的，賬本訪問(wèn)應(yīng)盡可能便宜，以覆蓋更廣泛的網(wǎng)絡(luò)受眾。分布式賬本中應(yīng)為分布式標(biāo)識(shí)符提供以下屬性（能力）：不可重新分配 - DID 是永久性，持久性和不可重新分配的。 永久性確保標(biāo)識(shí)

55、符始終引用同一實(shí)體。 因此，DID 比可以重新分配的標(biāo)識(shí)符（例如域名，IP 地址，電子郵件地址或手機(jī)號(hào)碼）更具私密性和安全性。 永久性對(duì)于身份持有者的控制和自我主權(quán)至關(guān)重要?？山馕?- DID 基礎(chǔ)結(jié)構(gòu)通過(guò)全局分散的 key-value 結(jié)構(gòu)存儲(chǔ)，其中 DID 充當(dāng) key， DID Doc 充當(dāng) value。DID 解析是指在 DID 賬本中查找特定 DID Doc 的操作。可加密驗(yàn)證的 DID 與加密密鑰相關(guān)聯(lián)，控制 DID 的實(shí)體可以使用這些密鑰來(lái)證明 DID 所有權(quán)（DID-Auth）。彼此直接交換了 DID 的各方（稱為對(duì)等方）可以通過(guò)解析 DID 實(shí)現(xiàn)相互身份驗(yàn)證并加密其通信。分布

56、式數(shù)字身份體系并不局限于區(qū)塊鏈技術(shù)，更不綁定到唯一的區(qū)塊鏈平臺(tái)上，其系統(tǒng)模塊可能基于不同的區(qū)塊鏈平臺(tái)實(shí)現(xiàn)，甚至是非區(qū)塊鏈的其他分布式賬本實(shí)現(xiàn)。為了確保不同系統(tǒng)的 DID 數(shù)據(jù)互聯(lián)互通，一是要求實(shí)現(xiàn)廠商按照統(tǒng)一的 DID 規(guī)范定義和實(shí)現(xiàn) DID 數(shù)據(jù)對(duì)象，二是對(duì)于不同的 DID 操作實(shí)現(xiàn)，通過(guò)全球統(tǒng)一的 DID 實(shí)現(xiàn)方法注冊(cè)，以達(dá)成不同系統(tǒng)間的 DID 查詢與解析，實(shí)現(xiàn) DID 互聯(lián)互通。身份代理在數(shù)字環(huán)境中，人和組織（有時(shí)是設(shè)備）無(wú)法直接產(chǎn)生和消費(fèi)數(shù)字信息、存儲(chǔ)和管理數(shù)據(jù)，分布式數(shù)字身份系統(tǒng)中代表身份所有者執(zhí)行自主權(quán)身份相關(guān)的數(shù)字權(quán)益的 “數(shù)字代表”軟件被稱為代理組件。代理是一種籠統(tǒng)的說(shuō)法，它

57、通常包括：負(fù)責(zé)對(duì)外消息通信的代理組件（agent），支持分布式密鑰管理的錢包組件（wallet），以及用戶數(shù)據(jù)存儲(chǔ)組件（hub）。代理（agent）組件是分布式數(shù)字身份的對(duì)外接口，調(diào)用了本地的數(shù)字身份錢包和數(shù)據(jù)組件。代理軟件通常包括客戶端代理和服務(wù)器端代理?？蛻舳舜碇饕虞d在用戶的智能手機(jī)、汽車、筆記本電腦等終端設(shè)備上，終端設(shè)備具有私有屬性，終端代理主要用來(lái)管理用戶身份私鑰，個(gè)人秘密，以及本人身份憑證等；服務(wù)器端代理實(shí)現(xiàn)了可尋址的網(wǎng)絡(luò)端，主要用來(lái)為其客戶端代理提供以下服務(wù)：持久的 P2P 消息服務(wù)；協(xié)調(diào)身份所有者的多個(gè)客戶端代理；加密數(shù)據(jù)存儲(chǔ)與共享；身份所有者密鑰的加密備份等。每個(gè)代理所關(guān)聯(lián)

58、的錢包都有其自己的密鑰，密鑰不會(huì)在代理之間復(fù)制。設(shè)備代理的使用高度分散，因?yàn)樗忻荑€和憑證都存儲(chǔ)在互聯(lián)網(wǎng)終端設(shè)備之中。盡管云代理托管在云中，但它們也可以分散管理，由合格的服務(wù)提供商（稱為代理商）負(fù)責(zé)運(yùn)維。與邊緣代理一樣，云代理始終完全在擁有它的個(gè)人或組織的控制之下，身份所有者應(yīng)該能夠輕松切換代理。此外，代理商無(wú)權(quán)訪問(wèn)存儲(chǔ)在云代理中的數(shù)據(jù)。 通常，云代理數(shù)據(jù)是加密存儲(chǔ)的，只能由設(shè)備代理使用存儲(chǔ)在最安全的終端設(shè)備中的密鑰解密，因此云代理商不會(huì)有通常的數(shù)據(jù)蜜罐風(fēng)險(xiǎn)。代理的安全策略必須健全，事故或惡意不應(yīng)損害所有者對(duì)身份控制權(quán)的掌握，倘若出現(xiàn)問(wèn)題應(yīng)該具有快速解決的能力。代理基于 DKMS 標(biāo)準(zhǔn)存儲(chǔ)、管

59、理，以及使用密鑰和憑證，這不僅為身份所有者的隱私和自主權(quán)帶來(lái)了好處，而且支持人們從事故和攻擊中恢復(fù)。DID 持有者應(yīng)能夠通過(guò)各自的代理軟件，在數(shù)字世界安全進(jìn)行交互，而不需要依賴特定的第三方。基于已定義的 DIDComm 消息協(xié)議，代理之間可以直接實(shí)現(xiàn)：交互連接、憑證請(qǐng)求，以及憑證驗(yàn)證等交易。DIDComm 標(biāo)準(zhǔn)正在制定中，它旨在成為所有自主權(quán)互動(dòng)中的面向未來(lái)的通用語(yǔ)言。代理到代理之間的通信不必依賴特定的第三方進(jìn)行，它具有以下兩個(gè)重要特征：基于消息，異步和單工當(dāng)今，移動(dòng)和 Web 開發(fā)中的主要范例是雙工請(qǐng)求響應(yīng)。通常調(diào)用具有特定輸入的 API，隨即在同一通道上獲得具有特定輸出的響應(yīng)。然而，許多代

60、理不能很好地模擬 Web 服務(wù)器，比如移動(dòng)設(shè)備，它們以無(wú)法預(yù)測(cè)的時(shí)間間隔關(guān)閉，并且缺少與網(wǎng)絡(luò)的穩(wěn)定連接。代理交互的基本范例是基于消息、異步和單工方式的。代理 X 通過(guò)通道 A 發(fā)送消息。稍后，它可能會(huì)通過(guò)通道 B 從代理 Y 接收響應(yīng)。相比 Web 范式，代理之間的交互更接近電子郵件范式。消息級(jí)安全性，對(duì)等身份驗(yàn)證傳統(tǒng) Web C/S 模式下，傳輸級(jí)別（TLS）提供了 Web 安全性，但這種安全并不是消息本身的獨(dú)立屬性。在異步單工工作模式下，傳統(tǒng)的 TLS，登錄和會(huì)話有效期這些措施都是不切實(shí)際的，無(wú)法繼續(xù)用來(lái)支撐通訊的安全性。代理交互使用 DID 持有人本人身份錢包所提供的公鑰密碼技術(shù)實(shí)現(xiàn) D