致 序 第一章：為什么需要用戶自治的數(shù)字身 傳統(tǒng)的中心化數(shù)字身 傳統(tǒng)的數(shù)字身份系統(tǒng)的痛 DID標準介 W3C的 歐洲的 中國公安部的 DID代表性項目介 元界DNA的DID數(shù)字身 Civic數(shù)字身份項 Evernym數(shù)字身份項 uPort數(shù)字身份項 微軟的DID數(shù)字身份項 第三章：DID安全與隱私考 DID安全注意事項:竊 DID安全注意事項:重放攻 DID安全注意事項：消息操 DID安全注意事項:中間人攻 DID安全注意事項:DID的CRUD安 DID安全注意事項：密鑰和簽名到 DID安全注意事項：抵賴攻擊 DID安全注意事項：服務(wù)端點(ServiceEnd DID安全注意事項：緩 DID安全注意事項：密鑰吊銷和恢 DID安全注意事項：中繼方（Relayer）威 DID安全注意事項：殘留風 DID隱私注意事項：將個人身份信息（PII）保 DID隱私注意事項：DID標識符的關(guān)聯(lián)風 DID隱私注意事項：DID文檔的關(guān)聯(lián)風 DID隱私注意事項：群體隱 第四章：SID在國內(nèi)的應用案 SID在數(shù)字政務(wù)中的使 中國數(shù)字政務(wù)的現(xiàn) 目前中國數(shù)字政務(wù)的痛 SID用戶自治數(shù)字身份解決方 SID用戶自治數(shù)字身份應用列 SID在電子簽名中的使 中國電子簽名的現(xiàn) 當前電子簽名的痛 SID電子簽名的解決方 參考資 通常企業(yè)內(nèi)用戶身份主要是用于認證及授權(quán)。用戶對于企業(yè)信息系統(tǒng)的訪（DAP服務(wù)器為了增強安全性，很多企業(yè)引入了多因子認證機制（MFA:Multi-Factor如人臉、指紋、語音等）PKI（PublicKeyInfrastructure）體職責分開（SeparationofDuty:SOD）：為不同職責的用戶分配不同的權(quán)最小權(quán)限（LeastPrivilege）：授權(quán)采用按需最小的原則，僅授予職員工ERP等系統(tǒng)，一般采用基于角色的訪問控制，通過對角色權(quán)限的一基于屬性的訪問控制（AtriueaedAesonrol:AA，不同于基AAC（比如訪問者職位、部門、登陸地點等）進行計算，根據(jù)計算結(jié)果，采用預定的訪問策略給予授權(quán)。AAC可以更方便地實現(xiàn)細顆粒度的授權(quán)管理。LANVPN加密通道等方式訪問），消費者訪問一般都HTTPSAppApp機的不重復的tokentokend

DictionaryServer)tokenApptokenAppApptoken被盜產(chǎn)生的安全風險，用戶每隔一段時間，需要重新輸入用戶名token。IOTX.509證書等。中心化數(shù)據(jù)可能被平臺或者第三方不合理使用。例子包括劍橋分析(CambridgeAnalytics)2019年目前，我們正在進入數(shù)據(jù)技術(shù)時代（DT：DataTechnology），在數(shù)據(jù)技術(shù)IT架構(gòu)和中心化的數(shù)字身份生平交易沒有好的解決方案。數(shù)據(jù)時代，數(shù)據(jù)私有化是數(shù)據(jù)是否能夠被合理，有的前提下，可以疊加用戶的信譽分數(shù)，在保護隱私的條件下有償?shù)卮鎯头窒硇抛u分數(shù)，并需要滿足各國的隱私法律和監(jiān)管條例（GDPR，美國加州CCPRDPA2018等等）和提供用戶能管理他們個人的信息和私隱保護。（SSISelfSovereignIdentity（DID:IDentity層面。從字面意義的角度,DID更加強調(diào)去中心化特性，更加強調(diào)身份系統(tǒng)中每DID更加側(cè)重于技術(shù)的實現(xiàn)方式與系統(tǒng)的架構(gòu)；SSI則更加SSI，DID在國際是更加通用，因此在這篇白皮書，我們會SSIDID技術(shù)術(shù)語表示同一個概念。DID規(guī)范（Specification)DID的發(fā)行者和驗證者都可以在公共區(qū)塊鏈上查找必要的公鑰進行驗證，而不管他們是否屬于同一身份證書頒發(fā)機構(gòu)PKIPKI（DitriuedPK）的全球身份網(wǎng)絡(luò)。這樣的數(shù)字身份系統(tǒng)從對于中心化的身份證書頒發(fā)機構(gòu)（A）的依賴DD3或者說是三大支柱：Google，WhatsApp，電子郵件提供商或電DID標識符。W3CWorldWideWebConsortium)現(xiàn)在正在研究開放的DID標準（https:///TR/did-core/）。有“公共”DID（Pairwise）DID。公用DID可用作“跳出”點，以觸發(fā)私有DID的交換。私有DID只能在連接中的兩方存儲或交換，任何第三方不可見。一旦兩方交換了私有DID來保護隱私。任何人都可以隨時創(chuàng)建可驗證證書協(xié)議，W3C和DIF(DecentralizedIdentityFoundation)發(fā)行了一種標準的開放式“可驗證證書（VC-VerifiableCredentials）”協(xié)議，用VC協(xié)議結(jié)合了成熟SMTPInternetTCP/IPVC協(xié)議的基礎(chǔ)上進行信任的構(gòu)建。VC協(xié)議可以參照鏈接VC協(xié)議DIDDID中。DID有關(guān)單位參考資料1.0（DIF23IP的信任網(wǎng)路（TrustoverIP-ToIP基金會,和Linux基金會）4：5：6:有一些標準沒有規(guī)定具體的底層區(qū)塊鏈技術(shù)（DID的協(xié)議），但是DIDMethod來規(guī)定。下面我們主要對于其中3種標準進行介紹因為他們一個代表北美的標準W3C的W3C標準的數(shù)字身份系統(tǒng)，為企業(yè)、用戶提供去中心DID是一個協(xié)議標準，主要定義了實現(xiàn)的格式與驗證方法。下面為一個基DID文檔的內(nèi)容："@context":"https:///ns/did/v1","id":"did:example:123456789abcdefghi","publicKey":"id":"did:example:123456789abcdefghi#key-1","type":"Ed25519VerificationKey2018","controller":"did:example:123456789abcdefghi",},"authentication":"id":"did:example:123456789abcdefghi#keys-1","type":"Ed25519VerificationKey2018","controller":"did:example:123456789abcdefghi","assertionMethod":["id":"did:example:123456789abcdefghi#keys-2","type":"Ed25519VerificationKey2018","controller":"did:example:123456789abcdefghi","proof":"created":"2020-05-"type":""service":[{"type":"VerifiableCredentialService","serviceEndpoint":"/vc/"這里主要分為：id、publicKey、authentication、assertionMethod、proofservice1?did:example:123456789abcdefghiDIDDIDdid:<method>:<method-specific-id>，DIDDID文檔的基本信息來加密生成的其中<method-specific-id>=base58(ripemd160(sha256(<BaseDIDDocument>)))；pubickey,DID文檔可以表達加密密鑰和其他驗證方法這些方法可DIDDIDpublicKey或身份驗證屬性。每個公共密鑰都有其自DID主體。身份驗證嘗試的驗證者可以檢查身份驗證方是否正在提供有效的身份驗證證明，即他們是他們所說的身份。authenticationDID主題和一組驗證方法（例如但不限于公鑰）DID主題已出于身份驗DIDauthentication屬性指示的驗證方DIDDID控制器(DIDDID主體的情況下(參見§7.5授權(quán)和委托)需要使用自己的DIDcapabilityInvocationcapabilityDelegation,keyAgreementassertionMethod3?assertionMethod屬性也用于表示驗證關(guān)系，該關(guān)系指示驗證方法可以用起使用的驗證方法是否包含在DIDDID主體斷言proof屬性，則該屬性的值務(wù)必(MUST)JSON-LD(LD-LinkData)證明，如鏈接數(shù)據(jù)證明所定義，通過使用鏈接數(shù)據(jù)證明[LD-PROOFS]，鏈接數(shù)據(jù)簽名4?serviceDIDDID主題或關(guān)聯(lián)實體進DID文檔中列出的服務(wù)可以包含有關(guān)保護隱私的郵件服務(wù)(privacyserviceidtype，以及URIserviceEndpoint。AppDIDDID的所有者，主要運用的機制是挑戰(zhàn)-響應機制：App首先根據(jù)用戶提供的DID用從DIDResolver查到對應DIDDocumentAppDIDDocument中的公鑰加密自己隨機生成的noncenoncenonce發(fā)送給App完成挑戰(zhàn)。歐洲的2019ESSIF-EuropeanSelfSovereignidentityframework（SID）的標準。SID表明于對于數(shù)字身份在數(shù)字化生活因此，EESCSID份是超越以用戶為中心的身份的下一步用戶必須是身份管理的中心?；谶@個觀點，SID提出了采用區(qū)塊鏈的技術(shù)來實現(xiàn)的數(shù)據(jù)流程，如下圖：eID是以國產(chǎn)自主密碼技術(shù)為基礎(chǔ)、以智能安全芯片為載體，采用空中開通863計劃“網(wǎng)域空間身份管理”等信息安全重大專項，研發(fā)了“網(wǎng)絡(luò)電子身份標識（elD）”技術(shù)并形成了相關(guān)208年，從我國數(shù)字身份發(fā)展的突出需求出發(fā)，結(jié)合以上科研eD（2120195eDeD數(shù)字身份鏈是以eD數(shù)字身份為索引的基礎(chǔ)鏈，在此基礎(chǔ)之上自下而上形成eD數(shù)字身份網(wǎng)絡(luò)、數(shù)據(jù)網(wǎng)絡(luò)、服務(wù)網(wǎng)絡(luò)、應用網(wǎng)絡(luò)，面向政務(wù)、企業(yè)、社會、行業(yè)等提供身份證明、聲譽證明、eD數(shù)字身份鏈繼承了eDD數(shù)字身份生態(tài)的建設(shè)。eID在技術(shù)分層架構(gòu)上，依賴eID數(shù)字身份鏈，在四個層次上構(gòu)建了相互關(guān)聯(lián)的網(wǎng)絡(luò)，分別為:eID在功能上，eID具有在線身份認證、簽名驗簽和線下身份證明等功能，能夠1：數(shù)字身份的全2：用戶對于數(shù)字3：身份沒有中心化發(fā)行或者認證5：基于非對稱加6：底層區(qū)塊鏈技DID5DIDDNADID數(shù)字身份是第CivicEvernymDNA的DIDDNADID數(shù)字身份又稱呼為“Avatar”,是全球第一個在鏈上實現(xiàn)的DIDDNA的客戶端或者錢包可以建立完全可控制DNA認為數(shù)字身份是虛擬世界不可分割的一部分。就其本身而言，數(shù)字身DNA生態(tài)系統(tǒng)中建立自己的DNA則不同，用戶的數(shù)字身份及其Profile信息的統(tǒng)稱，主要包OracleOracle和普通用戶參與到數(shù)據(jù)身份的應用中。Profile擁有一個全網(wǎng)唯一標識（DID），其主要包DID相當于一個未經(jīng)認證的賬號，DIDDID標識在交易Oracle；Oracle（數(shù)字身份的一種）鑒定該數(shù)字身份所提交OracleOracleOracleBaaS（BlockchainasaBaaS概念，即企業(yè)或個人可以根據(jù)自己的實際需求，CivicCivic是一個全新的基于區(qū)塊鏈技術(shù)的身份驗證平臺，它為用戶提供了按需定義、安全和低成本的數(shù)字身份隱私服務(wù)。Civic允許人們控制其身份信息的使Civic使用區(qū)塊鏈和生物識別技術(shù)的分散式架構(gòu)（區(qū)塊鏈&生物識別&數(shù)字身份），搭建安全身份平臺（SIP-SecureIdentityPlatform），提供多因素身份SPS（安全私人注冊）CivicSPL-SecurePersonal（安全私人登錄SPL提供更好的用戶體驗和多因素身份驗證，Civic的架構(gòu)圖。CivicCivic使用公共區(qū)塊鏈，故身份請求者不必Civic安全身份平臺解決方案。Civic不存儲用戶數(shù)據(jù)：身份數(shù)據(jù)被加密并存儲在用戶移動設(shè)備（主要是手機）Civic應用程序中。全球保護：使用第三方認證的身份數(shù)據(jù)，Civic不能被外國政府或犯罪組安全：Civic利用區(qū)塊鏈的強大功能確保為企業(yè)提供最高質(zhì)量的隱私和安身份盜竊保護：Civic通過身份盜竊監(jiān)控、身份監(jiān)控報警、欺詐支持、身100%擁有和控制的身份。未經(jīng)主人明確同意，任何人不得閱讀、使用、SovrinSovrin分類賬本是一個基礎(chǔ)的組成部分，是一個全球分布的根身份記錄SovrinSovrin身份所有者（個人和組SovrinSovrin身份所有者（通常在本地設(shè)備上如智能手機、筆記本電腦等）Sovrin代理商Sovrin賬本進行溝通，以進行各種身份交易。從安全和加密的角度來看，SovrinSovrin密鑰管理的“密鑰”。PlenumRBFTRedundantByzantineFaultTolerance（冗余拜占庭容錯）在早期PBFT-PlenumByzantineFaultToleranceAardvark協(xié)議的基礎(chǔ)上進行了改進，在用于節(jié)點間通信的數(shù)字簽名（RBFTMAC認證器，其速度更快，但f+1節(jié)點分發(fā)請求（f是故障節(jié)點的數(shù)目gossipprotocol（允許集體共識在部分分區(qū)的網(wǎng)絡(luò)中更快地進行（Plenum考慮故障的嚴重性并應用適當?shù)暮诿麊蝐atch-upmechanism（用于新的或崩潰/恢復的節(jié)點有效而安全地重新獲驗證節(jié)點運行PlenumSovrinSovrin分類賬Sovrin網(wǎng)絡(luò)的早期，所SovrinSovrin分類賬寫請求多出一個數(shù)量級。SovrinSovrin身份記錄的需求能夠Plenum共識協(xié)議的驗證節(jié)點性能的情況下進行擴展；Sovrinstewards操作，因此如果另一個驗證Sovrin分類賬事件。觀察SovrinSovrinSovrinSovrinSovrinP2P端點。SovrinSovrin客戶端都充當Sovrin分類賬的客戶端，其主要的區(qū)別在于，Sovrin代理不僅僅是一個客戶端；Sovrin網(wǎng)絡(luò)中提供以下核心功能：P2PSovrinSovrinSovrinSovrinSovrin代理的完整性。Sovrin有者的手中。Sovrin客戶端在其體系架構(gòu)中從如下幾方面進行了保證：Keychains：Sovrin身份所有者的私鑰作為最重要的單一數(shù)據(jù)資產(chǎn)，需要SovrinSovrin交易的安全Sovrin客戶都必須保留所有者Sovrin密鑰鏈的全部或至少本地容器：SovrinSovrin數(shù)據(jù)容器的全部或部首次配置：Sovrin客戶端必須連接到網(wǎng)絡(luò)進行網(wǎng)絡(luò)身份驗證之后方可使Sovrin身份所有者并進行信任關(guān)系確認理，Sovrin客戶端就準備好開始創(chuàng)建連接和共享數(shù)據(jù)。Sovrin客戶端：身份所有者可以在其所有設(shè)備、應用程序、Sovrin客戶端和所有者Sovrin代理之間執(zhí)行身份驗證過程。然后批準從所有者的現(xiàn)有配SovrinSovrin客戶端即可。uPortuPort是一個安全、易用的自主身份識別系統(tǒng)，致力于創(chuàng)建一個由用戶控制權(quán)。uPort將身份歸還給個人，其開放式身份系統(tǒng)允許用戶在以太坊上注冊自己uPortuPort身份完全由創(chuàng)建者擁有和控制，并且不依賴于集中的第三方進行創(chuàng)建blob的散列，與該標識關(guān)聯(lián)的所有數(shù)據(jù)都安全地存儲在該散列上。由于uPort通過代理合約及控制器合約希望實現(xiàn)用戶能夠在不更改其核心uPortuPort系統(tǒng)支持選擇性公開或者選擇與誰共享經(jīng)過用戶允許的數(shù)據(jù)，該數(shù)據(jù)系統(tǒng)依賴于每個具有公共加密密鑰的uPort標識。若用戶需要對屬性進行共uPort交互的方式，也是管理用戶私鑰的主要DID（IONIdentityNetworkION通過在第二層網(wǎng)絡(luò)進行批量合并的方式，將大量DID操作合并成一個上鏈操作，并將數(shù)據(jù)存于IPFS，另外將數(shù)據(jù)的哈希存在比特幣網(wǎng)絡(luò)上的方式，從而實現(xiàn)DID數(shù)據(jù)的不可篡改和可信存儲。ION規(guī)避了比特幣網(wǎng)絡(luò)的性能問題，可以支持比較好的數(shù)據(jù)吞吐量。微軟的MicrosoftAuthenticatorApp的使用也是MicrosoftDID20206DID加密密鑰MicrosoftAuthenticatorApp代碼將作為開放源代碼發(fā)布。此外，Microsoft表示發(fā)布與AzureVerifiableCredential軟件開發(fā)工具包，作為開源W3CDID標準為個人和組織構(gòu)建一套開放的、可信任的、可互7部分組成。W3C標準去中心化身份標識（DIDs）：W3C標準去中心化身份標識作為獨ID用戶創(chuàng)建、擁有和控制。DIDJSON文檔組成。去中心化系統(tǒng)（例如，區(qū)塊鏈和分類賬）：DIDDPKI提供所需機制DIF通用解析器：DIFDID跨系統(tǒng)提供標準的查找和解析方法，DIDDPKIDID文檔對象（DDO）。DID架構(gòu)圖。DIDDIDDID。DID用戶代理也可以DID的實現(xiàn)應該嚴格使用去中心化系統(tǒng)來標定標識符和非PIIDPKIDIDs用戶代理應用程序是否與DIF通用解析程序?qū)嵗ㄐ乓圆檎褼IDDIDDIDdid的通用目錄。DIDsDID創(chuàng)建之初僅代表這一個空洞的身份，只有所有者才能證明其擁有的時簽發(fā)的獨立驗證。通過從多個信任系統(tǒng)中積累這些證明，DID可以隨著時間的DIDDPKI操作的去中心化系統(tǒng)。系統(tǒng)基于此可支持進一步的身份活動，DIDDID用它們的密鑰簽名以生DIDDIDsDID與其他人、應用程序或服務(wù)進行交互（其中包含身份驗DIDDIFDIDDPKI用戶若能夠完成挑戰(zhàn)-DID的所有者。使DID交互DIF身份中心基于用戶控制的、鏈外的個人數(shù)據(jù)存儲，旨在支持廣泛的身份DIF身份中心的一個關(guān)鍵特性是用戶可以跨提供者和基礎(chǔ)設(shè)施邊界利用多個DIDDNADID15第三章：DIDW3CDIFDID標準相對成熟，我們主要參考這個標準來描述安全和隱私的考慮和解決方案或者說應對措施。DID標準由于規(guī)定必須用戶控制數(shù)據(jù)DID需要考慮的新的隱私和安全。DIDDID主體DID控制者DIDDIDDIDControllerDIDDIDDIDDIDDIDDID關(guān)聯(lián)的機制，例如公鑰和偽匿名生物驗證數(shù)據(jù)。DID文檔可能還包含描述主體的其他屬性或聲明。DIDJSON-LD表示，DID方法DLTDIDDID的創(chuàng)建（Create），讀?。≧ead），更新（Update）和刪除（Delete）CRUDuPort,Soverin，HederaDID讀取函數(shù)DIDDIDMethod方所定義的“讀取”操作。DID讀取者DID文檔的匹配（利用讀取函數(shù)）DIDDID服務(wù)端點（ServiceEndDID主體提供的網(wǎng)絡(luò)地址。特定服務(wù)的例子可以包括發(fā)現(xiàn)服務(wù)，社交網(wǎng)絡(luò)，文件存儲服務(wù)和可驗證的聲明存儲庫,數(shù)字資產(chǎn)服務(wù)。服務(wù)端點也可DID用戶代理程序（UserWebDID所有者（DID的主體），DIDDID驗證者之間進行通信調(diào)解。DIDDID主體。DIDDID發(fā)行者所發(fā)行的憑證。DIDHash應該存儲在鏈上，驗證者不需要一個中心化的數(shù)據(jù)庫進行驗證。DID驗證者可以是DID服務(wù)的提供方(ServiceProvider)或者中繼方（RelayingParty),DIDITEFRFC3552規(guī)定，DIDDID安全和隱私的范疇。CSAGCRDID安全注意事項:DID由于沒有規(guī)定傳輸中的機密性要求，竊聽方可能會在相對應的響應（Response）DID文檔中獲取敏感信息。DID請求的詳細信息將削弱請求方和響DIDDID主題，服務(wù)端點以及授權(quán)和委托信息。TLSIPSecDID事務(wù)的傳輸層將提供一定程度的保護。目前，最佳實DIDPII的敏感信息。DID安全注意事項:DID交易方提取資金或進行其他未經(jīng)授權(quán)的活動。BCHBSV硬分叉沒有對重放攻擊的限制，因此用戶BCHBSV鏈上發(fā)起相同的交易，從而導致在兩個鏈上重放交易或者雙會話管理：DID協(xié)議未指定任何會話管理要求。一種可能的對策是使DID連接變?yōu)闊o會話（Sessionless）連接。如果在某些應用場景會話是必需DIDDID文檔的DID日食攻擊（EclipseAttack）：在極少數(shù)情況下，如果區(qū)塊鏈的基礎(chǔ)層具有相合謀攻擊（CollusionAttack）：DIDDID主體同意的情況DID文檔。超前運行攻擊（FrontRUNNINGAttack）：DIDGas，EclipseP2P網(wǎng)絡(luò)層檢查并修復對等點發(fā)現(xiàn)方DLT技術(shù)有關(guān)。合謀攻擊（CollusionAttack）：DID所有者或主體丟失密鑰時，DID控制超前運行攻擊：（1）帶外通信（outofband）是一種對策。這個對策利用DID安全注意事項:威脅：中間人攻擊（ManintheMiddleAttack）惡意用戶代理（MaliciousUserAgent）：DIDURIDID交易包括取款，則可能存在風險（類似的攻擊發(fā)生在Ledger錢包上：https：academyhack-5-malicious-wallet）DID讀取者（DIDResolver）：DID讀取者是一種軟件和/或硬件組件，DLT應用，請始終使用雙因子驗證（2-FA）2-FA并不能保證完DID讀取者（DIDResolver）：DIDResolver，如果ResolverDIDResolverDID安全注意事項DIDCRUD威脅：DIDCRUD體如何實現(xiàn)與底層的DLT或者區(qū)塊鏈技術(shù)有關(guān)。每一個具體的定義是由DIDMethod（方法）來決定。需要考慮的安全威脅包括如下：鑰？用戶是否因為操作失誤引起私鑰的丟失和泄露？閱讀（Read或者Resolve）：DIDResolver可能發(fā)起中間人更新（Update）：DIDResolver如果合謀串通，則可以惡意更DID的元數(shù)據(jù)或控制者。刪除(Delete)：DIDDIDDID文檔的關(guān)聯(lián)被刪除DID用ResolverDIDResolver群集上加固安全。DIDResolver的代更新：使用時間戳（BIP0113）和時間鎖定（BIP65）的相似方法對于更DID文檔進行未經(jīng)授權(quán)的DID主體。這類似于密碼重置通知DID文檔的修改，DID控制者提供訂閱服務(wù)。通知DID文檔中列出的相關(guān)服務(wù)端點。時間戳（BIP0113）DID私鑰部分關(guān)聯(lián)的元數(shù)據(jù)的DID文檔的控制者簽名。驗證因此可以用于時間戳和到期時間。DID安全注意事項：抵賴攻擊對策：對于高價值（HighValue）DID主體關(guān)于交時間戳（BIP0113），可以利用時間戳增加不可抵賴的能力。防抵賴還有一個重DID安全注意事項：服務(wù)端點(ServiceEnd威脅DID服務(wù)端點的訪問需要具有特權(quán)，未經(jīng)授權(quán)的DIDDIDDIDHashDID版本可以檢查。IntelSGX等技術(shù)或者針對分布式緩存系DID對策（SocialRecovery）DIDDIDDID另外一個方法是使用時間戳（BIP0113）和時間鎖定（BIP65））來吊銷和模塊（HardwareSecurityModule）或者可信計算環(huán)境（TrustedExecution威脅:中繼方或服務(wù)提供商可能在沒有經(jīng)過DID主體或者控制者同意的情況DID文檔，從而引發(fā)安全和隱私問題。利用同態(tài)加密：同態(tài)加密允許對加密數(shù)據(jù)進行數(shù)學運算（例如，DID文檔DIDPII數(shù)據(jù)元素在事務(wù)處理中被加密而無需解密）。于DID的交易，同時保持其數(shù)據(jù)彼此之間的私密性（例如，DID各方可以使用MPC進行供應鏈融資）。也可以利用差分隱私（DifeenialPriay）：差分隱私允許通過向聚合查詢結(jié)果添加隨機化噪聲差分隱私算法保證攻擊者能獲取的個人數(shù)據(jù)幾乎和他們從沒有這個人記錄的數(shù)據(jù)集中能獲取的相差無幾。DID威脅：由于殘留風險是未知的，因此許多組織選擇接受或者轉(zhuǎn)移殘留風險-例如，通過購買保險將風險轉(zhuǎn)移給保險公司。例如，如果企業(yè)使用開源的DD代碼，開源DD代碼庫更新可能會帶來持續(xù)的殘留風險。DIDDIDDID文檔不能包含任何個所有個人數(shù)據(jù)（PII）應保存在服務(wù)端點（ServiceEndPoint）之內(nèi),對于這些DID主體的決定。URLDIDDIDDID交易中，DIDDID公（PairwiseDID,DID公開標識符，PII信息。GDPRDID隱私注意事項：DID像任何類型的全球唯一標識符一樣，DID標識符可以用于關(guān)聯(lián)。DID控制者僅當DID主體明確授權(quán)其他方之