01 曆程溯源

在現代社會中，身份是處理實體關系的入口。對實體身份信息進行判别和認證，并未實體提供與其身份匹配的服務，是社會關系的一種重要模式。并要求用戶的身份信息和服務方共享。

今天，我們先來簡要的談一談身份和數字身份。

• 身份

國際電子技術委員會将“身份”定義為“一組與實體關聯的屬性”。這裡的實體不僅僅是人，對于機器或者物體都可以是實體，甚至網絡中虛拟的東西也可以是實體并擁有身份。這些實體作為數字化社會的重要組成部分，共同構建了數字生态。

• 數字身份

随着互聯網的出現和普及，傳統的身份有了另外一種表現形式，即數字身份。一般認為數字身份的演進經曆了四個階段，分别是：中心化身份、聯盟身份、以用戶為中心的身份以及自我主權身份。

• 中心化身份：由單一的權威機構進行管理和控制的，現在互聯網上的大多數身份還是中心化身份。
• 聯盟身份：解決了中心化身份中身份數據零碎混亂的弊端，此種身份是多個機構或者聯盟進行管理和控制的，用戶的身份數據具備了一定程度的可移植性，例如允許用戶登錄某個網站時，可以使用其他網站的賬戶信息，類似于QQ、微信或者微博跨平台的登錄。
• 以用戶為中心的身份：重點集中在去中心化上，通過授權和許可進行身份數據的共享，例如OpenID。
• 自我主權身份：真正意義上的去中心化的、完全由個人所擁有的和控制的身份。

02 PKI&DPKI

“身份”本身是基礎并客觀存在的，如今的互聯網廣泛通過“租借”第三方機構（DNS注冊機構、證書頒發機構、ICANN）服務來構建信任體系、實現實體間的安全通信，若要實現去中心化生态體系，那我們應該了解基本的PKI與DPKI體系之間的關系。

• PKI

PKI是Public Key Infrastructure的縮寫，翻譯過來是公鑰基礎設施，是生成、存儲、分發和撤銷用戶數字身份證書所必須的軟件、硬件、人、策略及處理過程的集合，也是國際公認普遍适用的一整套信息安全系統。PKI的建立依賴于權威的認證，離不開可信第三方的協同工作，通過運用多種技術，可為應用提供認證、加密和數字簽名等安全支撐，為信息系統提供秘鑰管理和證書管理等安全服務，其主要載體為X.509格式的證書文件。

• DPKI

分布式公鑰基礎設施(DPKI)作為PKI的演進，并非是對PKI的全盤抛棄和替代，更多是在原有認證體系基礎之上的一種改進和補充，通過構建一種分布式的認證體系來解決中心化認證體系存在的問題，是未來網絡信任生态的基礎設施。DPKI與PKI在業務流程上并無明顯區别，首先用戶提供相關信息并發起申請，接下來發證方審核信息，頒發證書，最後用戶出示證書完成驗證。但不同于PKI體系，DPKI強調用戶身份的自主可控、身份可移植和分布式認證，個人身份的驗證不再依賴于發證方。

03 數字身份标識-DID

伴随着區塊鍊等可信技術的發展，各大公司、機構紛紛入局，對DPKI的實現展開了更深入的研究探索，分布式數字身份(DID)解決方案應運而生。通過結合區塊鍊技術，分布式數字身份使用戶真正擁有并控制自己的個人數據和資産，可實現跨部門、跨行業、跨地域的去中心化共享能力。

Decentralized Identity 去中心化身份，簡稱DID，相對于傳統的的基于PKI的身份體系，基于區塊鍊建立的DID數字身份系統具有保證數據真實可信、保護用戶隐私安全、可移植性強等特征，其優勢在在于

• 去中心化：基于區塊鍊，避免了身份數據被單一的中心化權威機構所控制。

• 身份自主可控：基于DPKI（分布式公鑰基礎設施），每個用戶的身份不是由可信第三方控制，而是由其所有者控制，個人能自主管理自己的身份。

• 可信的數據交換：身份相關數據錨定在區塊鍊上，認證的過程不需要依賴于提供身份的應用方。

• DID 标識

DID 标識符其實就是一個字符串，在 W3C 中DID 參考的是 URN 的标準，特定格式如下:

• DID 文檔

每個DID标識都會對應一個DID文檔(Document)，文檔為JSON字符串格式，主要包含了與DID驗證相關的密鑰信息和驗證方法，用以實現對實體身份标識的控制，DID文檔内容格式如下圖所示：

并且，一個實體可對應多個DID，實體在通過注冊申請後可獲得一個或多個由自己進行維護管理的DID标識，不同DID标識所代表的身份之間互不相關，有效降低了身份信息之間的耦合性。總的來說，我們可以将DID基礎層看作是一個鍵值數據庫，DID标識符當作鍵，而DID文檔則是對應的值，二者之間的關系結構如下圖所示：

• 可驗證聲明

可驗證聲明(Verifiable Credential)提供了一種規範來描述實體所具有的某些屬性，實現基于證據的信任。DID持有者，可以通過可驗證聲明，向其他實體(個人、組織、具體事物等)證明自己的某些屬性是可信的。同時，結合數字簽名和零知識證明等密碼學技術，可以使得聲明更加安全可信，并進一步保障用戶隐私不被侵犯。

在DID生态體系内，主要有用戶、發證方、使用方三種角色。

• 用戶（User）：擁有鍊上數字身份的任何人/組織/實物。任何實體對象都可通過開發者的項目去創建、管理自己的DID。

• 發證方（Issuer）：可發行數字憑證的人/組織。例如：高校可為某個學生頒發數字畢業證，那麼這個高校便是一個發證方。

• 驗證方（Verifier）：也稱為業務方，指使用數字憑證的人/組織，驗證方在經用戶授權後，可對用戶的身份或其數字憑證進行驗證。例如：企業錄取某個人的時候，要對其高校畢業證進行驗證，那麼這個企業便是一個驗證方。

04 應用場景

• 身份認證

身份認證可以說是DID最基本的應用了，對于有身份識别(KYC)需求的場景，通過提前将多個機構頒發的VC與用戶綁定，且錨定到區塊鍊上，憑借密碼算法，可進行分布式驗證，用戶隻需獲取一次VC，便可随時出示使用。例如員工入職背景調查，材料在流轉過程中極易遭受篡改，且驗證手段較為匮乏，若使用DID解決方案，學生可以在鍊上使用自己的DID标識向學校申請學曆（學位）憑證，向前公司申請工作（離職）憑證，而在求職時，現公司隻需通過驗證接口對上述憑證真實性進行核驗，即可快速完成員工的入職背調。

• 無密碼安全登錄

無口令安全登錄的應用場景類似于微信掃碼登陸，當我們需要注冊或登錄網站時，無需輸入用戶名、電子郵箱、密碼之類的口令，隻需使用手機中存儲的用戶DID信息完成與網站DID的雙向驗證。雖然登陸形式看起來沒有發生任何變化，但與傳統掃碼認證方式不同的是，DID中的身份信息由用戶自己掌控，用戶首先通過二維碼獲得網站DID并進行驗證獲得公鑰，再使用公鑰加密請求數據，發送自己的身份信息交由服務器驗證，若驗證通過，則登陸成功。通過整個流程我們可以看出，服務器并不知道用戶的口令，而且也無法獲得除用戶DID文檔以外的任何信息，從而有效防止數據洩露，保護用戶身份隐私。

• 個人隐私保護

隐私保護是任何身份管理解決方案中不可或缺的一部分，DID也不例外，通過對用戶屬性的選擇性披露可以有效降低用戶隐私洩露的風險。在實際生活中，用戶身份通常具有多個屬性，如身份證上的姓名、出生年月、家庭住址、身份證号等，我們并不總是希望直接将整個證件亮給驗證者查看，過多關聯信息的洩露會帶來一系列麻煩，不法分子就曾利用通行大數據（健康寶）竊取明星隐私并進行傳播售賣DID憑證結合零知識證明技術，可以做到信息最小化提供的同時不影響憑證的合法性驗證，有效保護用戶隐私。例如，一個有社會責任心的商店老闆拒絕向未成年人出售香煙，對于買煙的顧客需要查驗其年齡信息，此時若使用身份證則會洩露關聯敏感信息，但在DID技術中，可以隻出示部分信息，證明自己已超過一定年齡（18歲）而無需透露其他信息，包括出生年月，從而實現對個人隐私信息的選擇性披露。

• 數字版權保護

線上數字内容往往會面臨一系列的版權糾紛，利用區塊鍊不可篡改及數字身份自主可控的特性，可有效解決數字内容版權保護問題，實現多方信息的實時共享、版權認證、交易維權，促使數字資産合法合規流動。鍊上參與者通過使用DID技術，使得作品具備唯一标識，著作權經過認證後，成為不可篡改的鍊上憑證，可以作為舉證、流轉的聲明，應用于資産确權、數據定價、流轉監測分析以及侵權取證等場景。

• 物聯網及邊緣計算

物聯網設備通常分布在不同的地域，采用多種方式接入網絡，這也使得其編碼标準存在多樣性，具有較高管理成本和安全風險。若使用DID技術為物聯網設備分配全局唯一标識，并結合廠家生産信息、物聯網運營商以及設備的所有權信息，為設備頒發多種憑證，賦予設備可聲明、可驗證的自主身份，即可在區塊鍊上實現設備身份和數據的高效分布式認證，有效保障數據來源的真實性，同時也有利于對設備産生的數據進行确權、計價。

05 總結

随着數字經濟時代來臨，數字化發展已成為全球共識。當前，170多個國家陸續發布數字國家相關戰略，我國在“十四五規劃綱要”明确以數字化轉型整體驅動生産方式、生活方式和治理方式變革，從數字經濟、數字社會、數字政府、數字生态四方面建設“數字中國”。數字身份的發展将幫助用戶掌握其個人數據、實現數據在各數字化活動之間自由流轉，數字身份将成為數字世界的入口，其重要性不言而喻。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!