01 歷程溯源

在現(xiàn)代社會(huì)中，身份是處理實(shí)體關(guān)系的入口。對實(shí)體身份信息進(jìn)行判別和認(rèn)證，并未實(shí)體提供與其身份匹配的服務(wù)，是社會(huì)關(guān)系的一種重要模式。并要求用戶的身份信息和服務(wù)方共享。

今天，我們先來簡要的談一談身份和數(shù)字身份。

• 身份

國際電子技術(shù)委員會(huì)將“身份”定義為“一組與實(shí)體關(guān)聯(lián)的屬性”。這里的實(shí)體不僅僅是人，對于機(jī)器或者物體都可以是實(shí)體，甚至網(wǎng)絡(luò)中虛擬的東西也可以是實(shí)體并擁有身份。這些實(shí)體作為數(shù)字化社會(huì)的重要組成部分，共同構(gòu)建了數(shù)字生態(tài)。

• 數(shù)字身份

隨著互聯(lián)網(wǎng)的出現(xiàn)和普及，傳統(tǒng)的身份有了另外一種表現(xiàn)形式，即數(shù)字身份。一般認(rèn)為數(shù)字身份的演進(jìn)經(jīng)歷了四個(gè)階段，分別是：中心化身份、聯(lián)盟身份、以用戶為中心的身份以及自我主權(quán)身份。

• 中心化身份：由單一的權(quán)威機(jī)構(gòu)進(jìn)行管理和控制的，現(xiàn)在互聯(lián)網(wǎng)上的大多數(shù)身份還是中心化身份。
• 聯(lián)盟身份：解決了中心化身份中身份數(shù)據(jù)零碎混亂的弊端，此種身份是多個(gè)機(jī)構(gòu)或者聯(lián)盟進(jìn)行管理和控制的，用戶的身份數(shù)據(jù)具備了一定程度的可移植性，例如允許用戶登錄某個(gè)網(wǎng)站時(shí)，可以使用其他網(wǎng)站的賬戶信息，類似于QQ、微信或者微博跨平臺(tái)的登錄。
• 以用戶為中心的身份：重點(diǎn)集中在去中心化上，通過授權(quán)和許可進(jìn)行身份數(shù)據(jù)的共享，例如OpenID。
• 自我主權(quán)身份：真正意義上的去中心化的、完全由個(gè)人所擁有的和控制的身份。

02 PKI&DPKI

“身份”本身是基礎(chǔ)并客觀存在的，如今的互聯(lián)網(wǎng)廣泛通過“租借”第三方機(jī)構(gòu)（DNS注冊機(jī)構(gòu)、證書頒發(fā)機(jī)構(gòu)、ICANN）服務(wù)來構(gòu)建信任體系、實(shí)現(xiàn)實(shí)體間的安全通信，若要實(shí)現(xiàn)去中心化生態(tài)體系，那我們應(yīng)該了解基本的PKI與DPKI體系之間的關(guān)系。

• PKI

PKI是Public Key Infrastructure的縮寫，翻譯過來是公鑰基礎(chǔ)設(shè)施，是生成、存儲(chǔ)、分發(fā)和撤銷用戶數(shù)字身份證書所必須的軟件、硬件、人、策略及處理過程的集合，也是國際公認(rèn)普遍適用的一整套信息安全系統(tǒng)。PKI的建立依賴于權(quán)威的認(rèn)證，離不開可信第三方的協(xié)同工作，通過運(yùn)用多種技術(shù)，可為應(yīng)用提供認(rèn)證、加密和數(shù)字簽名等安全支撐，為信息系統(tǒng)提供秘鑰管理和證書管理等安全服務(wù)，其主要載體為X.509格式的證書文件。

• DPKI

分布式公鑰基礎(chǔ)設(shè)施(DPKI)作為PKI的演進(jìn)，并非是對PKI的全盤拋棄和替代，更多是在原有認(rèn)證體系基礎(chǔ)之上的一種改進(jìn)和補(bǔ)充，通過構(gòu)建一種分布式的認(rèn)證體系來解決中心化認(rèn)證體系存在的問題，是未來網(wǎng)絡(luò)信任生態(tài)的基礎(chǔ)設(shè)施。DPKI與PKI在業(yè)務(wù)流程上并無明顯區(qū)別，首先用戶提供相關(guān)信息并發(fā)起申請，接下來發(fā)證方審核信息，頒發(fā)證書，最后用戶出示證書完成驗(yàn)證。但不同于PKI體系，DPKI強(qiáng)調(diào)用戶身份的自主可控、身份可移植和分布式認(rèn)證，個(gè)人身份的驗(yàn)證不再依賴于發(fā)證方。

03 數(shù)字身份標(biāo)識(shí)-DID

伴隨著區(qū)塊鏈等可信技術(shù)的發(fā)展，各大公司、機(jī)構(gòu)紛紛入局，對DPKI的實(shí)現(xiàn)展開了更深入的研究探索，分布式數(shù)字身份(DID)解決方案應(yīng)運(yùn)而生。通過結(jié)合區(qū)塊鏈技術(shù)，分布式數(shù)字身份使用戶真正擁有并控制自己的個(gè)人數(shù)據(jù)和資產(chǎn)，可實(shí)現(xiàn)跨部門、跨行業(yè)、跨地域的去中心化共享能力。

Decentralized Identity 去中心化身份，簡稱DID，相對于傳統(tǒng)的的基于PKI的身份體系，基于區(qū)塊鏈建立的DID數(shù)字身份系統(tǒng)具有保證數(shù)據(jù)真實(shí)可信、保護(hù)用戶隱私安全、可移植性強(qiáng)等特征，其優(yōu)勢在在于

? 去中心化：基于區(qū)塊鏈，避免了身份數(shù)據(jù)被單一的中心化權(quán)威機(jī)構(gòu)所控制。

? 身份自主可控：基于DPKI（分布式公鑰基礎(chǔ)設(shè)施），每個(gè)用戶的身份不是由可信第三方控制，而是由其所有者控制，個(gè)人能自主管理自己的身份。

? 可信的數(shù)據(jù)交換：身份相關(guān)數(shù)據(jù)錨定在區(qū)塊鏈上，認(rèn)證的過程不需要依賴于提供身份的應(yīng)用方。

• DID 標(biāo)識(shí)

DID 標(biāo)識(shí)符其實(shí)就是一個(gè)字符串，在 W3C 中DID 參考的是 URN 的標(biāo)準(zhǔn)，特定格式如下:

• DID 文檔

每個(gè)DID標(biāo)識(shí)都會(huì)對應(yīng)一個(gè)DID文檔(Document)，文檔為JSON字符串格式，主要包含了與DID驗(yàn)證相關(guān)的密鑰信息和驗(yàn)證方法，用以實(shí)現(xiàn)對實(shí)體身份標(biāo)識(shí)的控制，DID文檔內(nèi)容格式如下圖所示：

并且，一個(gè)實(shí)體可對應(yīng)多個(gè)DID，實(shí)體在通過注冊申請后可獲得一個(gè)或多個(gè)由自己進(jìn)行維護(hù)管理的DID標(biāo)識(shí)，不同DID標(biāo)識(shí)所代表的身份之間互不相關(guān)，有效降低了身份信息之間的耦合性。總的來說，我們可以將DID基礎(chǔ)層看作是一個(gè)鍵值數(shù)據(jù)庫，DID標(biāo)識(shí)符當(dāng)作鍵，而DID文檔則是對應(yīng)的值，二者之間的關(guān)系結(jié)構(gòu)如下圖所示：

• 可驗(yàn)證聲明

可驗(yàn)證聲明(Verifiable Credential)提供了一種規(guī)范來描述實(shí)體所具有的某些屬性，實(shí)現(xiàn)基于證據(jù)的信任。DID持有者，可以通過可驗(yàn)證聲明，向其他實(shí)體(個(gè)人、組織、具體事物等)證明自己的某些屬性是可信的。同時(shí)，結(jié)合數(shù)字簽名和零知識(shí)證明等密碼學(xué)技術(shù)，可以使得聲明更加安全可信，并進(jìn)一步保障用戶隱私不被侵犯。

在DID生態(tài)體系內(nèi)，主要有用戶、發(fā)證方、使用方三種角色。

? 用戶（User）：擁有鏈上數(shù)字身份的任何人/組織/實(shí)物。任何實(shí)體對象都可通過開發(fā)者的項(xiàng)目去創(chuàng)建、管理自己的DID。

? 發(fā)證方（Issuer）：可發(fā)行數(shù)字憑證的人/組織。例如：高?？蔀槟硞€(gè)學(xué)生頒發(fā)數(shù)字畢業(yè)證，那么這個(gè)高校便是一個(gè)發(fā)證方。

? 驗(yàn)證方（Verifier）：也稱為業(yè)務(wù)方，指使用數(shù)字憑證的人/組織，驗(yàn)證方在經(jīng)用戶授權(quán)后，可對用戶的身份或其數(shù)字憑證進(jìn)行驗(yàn)證。例如：企業(yè)錄取某個(gè)人的時(shí)候，要對其高校畢業(yè)證進(jìn)行驗(yàn)證，那么這個(gè)企業(yè)便是一個(gè)驗(yàn)證方。

04 應(yīng)用場景

• 身份認(rèn)證

身份認(rèn)證可以說是DID最基本的應(yīng)用了，對于有身份識(shí)別(KYC)需求的場景，通過提前將多個(gè)機(jī)構(gòu)頒發(fā)的VC與用戶綁定，且錨定到區(qū)塊鏈上，憑借密碼算法，可進(jìn)行分布式驗(yàn)證，用戶只需獲取一次VC，便可隨時(shí)出示使用。例如員工入職背景調(diào)查，材料在流轉(zhuǎn)過程中極易遭受篡改，且驗(yàn)證手段較為匱乏，若使用DID解決方案，學(xué)生可以在鏈上使用自己的DID標(biāo)識(shí)向?qū)W校申請學(xué)歷（學(xué)位）憑證，向前公司申請工作（離職）憑證，而在求職時(shí)，現(xiàn)公司只需通過驗(yàn)證接口對上述憑證真實(shí)性進(jìn)行核驗(yàn)，即可快速完成員工的入職背調(diào)。

• 無密碼安全登錄

無口令安全登錄的應(yīng)用場景類似于微信掃碼登陸，當(dāng)我們需要注冊或登錄網(wǎng)站時(shí)，無需輸入用戶名、電子郵箱、密碼之類的口令，只需使用手機(jī)中存儲(chǔ)的用戶DID信息完成與網(wǎng)站DID的雙向驗(yàn)證。雖然登陸形式看起來沒有發(fā)生任何變化，但與傳統(tǒng)掃碼認(rèn)證方式不同的是，DID中的身份信息由用戶自己掌控，用戶首先通過二維碼獲得網(wǎng)站DID并進(jìn)行驗(yàn)證獲得公鑰，再使用公鑰加密請求數(shù)據(jù)，發(fā)送自己的身份信息交由服務(wù)器驗(yàn)證，若驗(yàn)證通過，則登陸成功。通過整個(gè)流程我們可以看出，服務(wù)器并不知道用戶的口令，而且也無法獲得除用戶DID文檔以外的任何信息，從而有效防止數(shù)據(jù)泄露，保護(hù)用戶身份隱私。

• 個(gè)人隱私保護(hù)

隱私保護(hù)是任何身份管理解決方案中不可或缺的一部分，DID也不例外，通過對用戶屬性的選擇性披露可以有效降低用戶隱私泄露的風(fēng)險(xiǎn)。在實(shí)際生活中，用戶身份通常具有多個(gè)屬性，如身份證上的姓名、出生年月、家庭住址、身份證號(hào)等，我們并不總是希望直接將整個(gè)證件亮給驗(yàn)證者查看，過多關(guān)聯(lián)信息的泄露會(huì)帶來一系列麻煩，不法分子就曾利用通行大數(shù)據(jù)（健康寶）竊取明星隱私并進(jìn)行傳播售賣DID憑證結(jié)合零知識(shí)證明技術(shù)，可以做到信息最小化提供的同時(shí)不影響憑證的合法性驗(yàn)證，有效保護(hù)用戶隱私。例如，一個(gè)有社會(huì)責(zé)任心的商店老板拒絕向未成年人出售香煙，對于買煙的顧客需要查驗(yàn)其年齡信息，此時(shí)若使用身份證則會(huì)泄露關(guān)聯(lián)敏感信息，但在DID技術(shù)中，可以只出示部分信息，證明自己已超過一定年齡（18歲）而無需透露其他信息，包括出生年月，從而實(shí)現(xiàn)對個(gè)人隱私信息的選擇性披露。

• 數(shù)字版權(quán)保護(hù)

線上數(shù)字內(nèi)容往往會(huì)面臨一系列的版權(quán)糾紛，利用區(qū)塊鏈不可篡改及數(shù)字身份自主可控的特性，可有效解決數(shù)字內(nèi)容版權(quán)保護(hù)問題，實(shí)現(xiàn)多方信息的實(shí)時(shí)共享、版權(quán)認(rèn)證、交易維權(quán)，促使數(shù)字資產(chǎn)合法合規(guī)流動(dòng)。鏈上參與者通過使用DID技術(shù)，使得作品具備唯一標(biāo)識(shí)，著作權(quán)經(jīng)過認(rèn)證后，成為不可篡改的鏈上憑證，可以作為舉證、流轉(zhuǎn)的聲明，應(yīng)用于資產(chǎn)確權(quán)、數(shù)據(jù)定價(jià)、流轉(zhuǎn)監(jiān)測分析以及侵權(quán)取證等場景。

• 物聯(lián)網(wǎng)及邊緣計(jì)算

物聯(lián)網(wǎng)設(shè)備通常分布在不同的地域，采用多種方式接入網(wǎng)絡(luò)，這也使得其編碼標(biāo)準(zhǔn)存在多樣性，具有較高管理成本和安全風(fēng)險(xiǎn)。若使用DID技術(shù)為物聯(lián)網(wǎng)設(shè)備分配全局唯一標(biāo)識(shí)，并結(jié)合廠家生產(chǎn)信息、物聯(lián)網(wǎng)運(yùn)營商以及設(shè)備的所有權(quán)信息，為設(shè)備頒發(fā)多種憑證，賦予設(shè)備可聲明、可驗(yàn)證的自主身份，即可在區(qū)塊鏈上實(shí)現(xiàn)設(shè)備身份和數(shù)據(jù)的高效分布式認(rèn)證，有效保障數(shù)據(jù)來源的真實(shí)性，同時(shí)也有利于對設(shè)備產(chǎn)生的數(shù)據(jù)進(jìn)行確權(quán)、計(jì)價(jià)。

05 總結(jié)

隨著數(shù)字經(jīng)濟(jì)時(shí)代來臨，數(shù)字化發(fā)展已成為全球共識(shí)。當(dāng)前，170多個(gè)國家陸續(xù)發(fā)布數(shù)字國家相關(guān)戰(zhàn)略，我國在“十四五規(guī)劃綱要”明確以數(shù)字化轉(zhuǎn)型整體驅(qū)動(dòng)生產(chǎn)方式、生活方式和治理方式變革，從數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)、數(shù)字政府、數(shù)字生態(tài)四方面建設(shè)“數(shù)字中國”。數(shù)字身份的發(fā)展將幫助用戶掌握其個(gè)人數(shù)據(jù)、實(shí)現(xiàn)數(shù)據(jù)在各數(shù)字化活動(dòng)之間自由流轉(zhuǎn)，數(shù)字身份將成為數(shù)字世界的入口，其重要性不言而喻。