01 歷程溯源

在現(xiàn)代社會中，身份是處理實體關(guān)系的入口。對實體身份信息進行判別和認證，并未實體提供與其身份匹配的服務(wù)，是社會關(guān)系的一種重要模式。并要求用戶的身份信息和服務(wù)方共享。

今天，我們先來簡要的談一談身份和數(shù)字身份。

• 身份

國際電子技術(shù)委員會將“身份”定義為“一組與實體關(guān)聯(lián)的屬性”。這里的實體不僅僅是人，對于機器或者物體都可以是實體，甚至網(wǎng)絡(luò)中虛擬的東西也可以是實體并擁有身份。這些實體作為數(shù)字化社會的重要組成部分，共同構(gòu)建了數(shù)字生態(tài)。

• 數(shù)字身份

隨著互聯(lián)網(wǎng)的出現(xiàn)和普及，傳統(tǒng)的身份有了另外一種表現(xiàn)形式，即數(shù)字身份。一般認為數(shù)字身份的演進經(jīng)歷了四個階段，分別是：中心化身份、聯(lián)盟身份、以用戶為中心的身份以及自我主權(quán)身份。

• 中心化身份：由單一的權(quán)威機構(gòu)進行管理和控制的，現(xiàn)在互聯(lián)網(wǎng)上的大多數(shù)身份還是中心化身份。
• 聯(lián)盟身份：解決了中心化身份中身份數(shù)據(jù)零碎混亂的弊端，此種身份是多個機構(gòu)或者聯(lián)盟進行管理和控制的，用戶的身份數(shù)據(jù)具備了一定程度的可移植性，例如允許用戶登錄某個網(wǎng)站時，可以使用其他網(wǎng)站的賬戶信息，類似于QQ、微信或者微博跨平臺的登錄。
• 以用戶為中心的身份：重點集中在去中心化上，通過授權(quán)和許可進行身份數(shù)據(jù)的共享，例如OpenID。
• 自我主權(quán)身份：真正意義上的去中心化的、完全由個人所擁有的和控制的身份。

02 PKI&DPKI

“身份”本身是基礎(chǔ)并客觀存在的，如今的互聯(lián)網(wǎng)廣泛通過“租借”第三方機構(gòu)（DNS注冊機構(gòu)、證書頒發(fā)機構(gòu)、ICANN）服務(wù)來構(gòu)建信任體系、實現(xiàn)實體間的安全通信，若要實現(xiàn)去中心化生態(tài)體系，那我們應(yīng)該了解基本的PKI與DPKI體系之間的關(guān)系。

• PKI

PKI是Public Key Infrastructure的縮寫，翻譯過來是公鑰基礎(chǔ)設(shè)施，是生成、存儲、分發(fā)和撤銷用戶數(shù)字身份證書所必須的軟件、硬件、人、策略及處理過程的集合，也是國際公認普遍適用的一整套信息安全系統(tǒng)。PKI的建立依賴于權(quán)威的認證，離不開可信第三方的協(xié)同工作，通過運用多種技術(shù)，可為應(yīng)用提供認證、加密和數(shù)字簽名等安全支撐，為信息系統(tǒng)提供秘鑰管理和證書管理等安全服務(wù)，其主要載體為X.509格式的證書文件。

• DPKI

分布式公鑰基礎(chǔ)設(shè)施(DPKI)作為PKI的演進，并非是對PKI的全盤拋棄和替代，更多是在原有認證體系基礎(chǔ)之上的一種改進和補充，通過構(gòu)建一種分布式的認證體系來解決中心化認證體系存在的問題，是未來網(wǎng)絡(luò)信任生態(tài)的基礎(chǔ)設(shè)施。DPKI與PKI在業(yè)務(wù)流程上并無明顯區(qū)別，首先用戶提供相關(guān)信息并發(fā)起申請，接下來發(fā)證方審核信息，頒發(fā)證書，最后用戶出示證書完成驗證。但不同于PKI體系，DPKI強調(diào)用戶身份的自主可控、身份可移植和分布式認證，個人身份的驗證不再依賴于發(fā)證方。

03 數(shù)字身份標識-DID

伴隨著區(qū)塊鏈等可信技術(shù)的發(fā)展，各大公司、機構(gòu)紛紛入局，對DPKI的實現(xiàn)展開了更深入的研究探索，分布式數(shù)字身份(DID)解決方案應(yīng)運而生。通過結(jié)合區(qū)塊鏈技術(shù)，分布式數(shù)字身份使用戶真正擁有并控制自己的個人數(shù)據(jù)和資產(chǎn)，可實現(xiàn)跨部門、跨行業(yè)、跨地域的去中心化共享能力。

Decentralized Identity 去中心化身份，簡稱DID，相對于傳統(tǒng)的的基于PKI的身份體系，基于區(qū)塊鏈建立的DID數(shù)字身份系統(tǒng)具有保證數(shù)據(jù)真實可信、保護用戶隱私安全、可移植性強等特征，其優(yōu)勢在在于

? 去中心化：基于區(qū)塊鏈，避免了身份數(shù)據(jù)被單一的中心化權(quán)威機構(gòu)所控制。

? 身份自主可控：基于DPKI（分布式公鑰基礎(chǔ)設(shè)施），每個用戶的身份不是由可信第三方控制，而是由其所有者控制，個人能自主管理自己的身份。

? 可信的數(shù)據(jù)交換：身份相關(guān)數(shù)據(jù)錨定在區(qū)塊鏈上，認證的過程不需要依賴于提供身份的應(yīng)用方。

• DID 標識

DID 標識符其實就是一個字符串，在 W3C 中DID 參考的是 URN 的標準，特定格式如下:

• DID 文檔

每個DID標識都會對應(yīng)一個DID文檔(Document)，文檔為JSON字符串格式，主要包含了與DID驗證相關(guān)的密鑰信息和驗證方法，用以實現(xiàn)對實體身份標識的控制，DID文檔內(nèi)容格式如下圖所示：

并且，一個實體可對應(yīng)多個DID，實體在通過注冊申請后可獲得一個或多個由自己進行維護管理的DID標識，不同DID標識所代表的身份之間互不相關(guān)，有效降低了身份信息之間的耦合性。總的來說，我們可以將DID基礎(chǔ)層看作是一個鍵值數(shù)據(jù)庫，DID標識符當作鍵，而DID文檔則是對應(yīng)的值，二者之間的關(guān)系結(jié)構(gòu)如下圖所示：

• 可驗證聲明

可驗證聲明(Verifiable Credential)提供了一種規(guī)范來描述實體所具有的某些屬性，實現(xiàn)基于證據(jù)的信任。DID持有者，可以通過可驗證聲明，向其他實體(個人、組織、具體事物等)證明自己的某些屬性是可信的。同時，結(jié)合數(shù)字簽名和零知識證明等密碼學技術(shù)，可以使得聲明更加安全可信，并進一步保障用戶隱私不被侵犯。

在DID生態(tài)體系內(nèi)，主要有用戶、發(fā)證方、使用方三種角色。

? 用戶（User）：擁有鏈上數(shù)字身份的任何人/組織/實物。任何實體對象都可通過開發(fā)者的項目去創(chuàng)建、管理自己的DID。

? 發(fā)證方（Issuer）：可發(fā)行數(shù)字憑證的人/組織。例如：高校可為某個學生頒發(fā)數(shù)字畢業(yè)證，那么這個高校便是一個發(fā)證方。

? 驗證方（Verifier）：也稱為業(yè)務(wù)方，指使用數(shù)字憑證的人/組織，驗證方在經(jīng)用戶授權(quán)后，可對用戶的身份或其數(shù)字憑證進行驗證。例如：企業(yè)錄取某個人的時候，要對其高校畢業(yè)證進行驗證，那么這個企業(yè)便是一個驗證方。

04 應(yīng)用場景

• 身份認證

身份認證可以說是DID最基本的應(yīng)用了，對于有身份識別(KYC)需求的場景，通過提前將多個機構(gòu)頒發(fā)的VC與用戶綁定，且錨定到區(qū)塊鏈上，憑借密碼算法，可進行分布式驗證，用戶只需獲取一次VC，便可隨時出示使用。例如員工入職背景調(diào)查，材料在流轉(zhuǎn)過程中極易遭受篡改，且驗證手段較為匱乏，若使用DID解決方案，學生可以在鏈上使用自己的DID標識向?qū)W校申請學歷（學位）憑證，向前公司申請工作（離職）憑證，而在求職時，現(xiàn)公司只需通過驗證接口對上述憑證真實性進行核驗，即可快速完成員工的入職背調(diào)。

• 無密碼安全登錄

無口令安全登錄的應(yīng)用場景類似于微信掃碼登陸，當我們需要注冊或登錄網(wǎng)站時，無需輸入用戶名、電子郵箱、密碼之類的口令，只需使用手機中存儲的用戶DID信息完成與網(wǎng)站DID的雙向驗證。雖然登陸形式看起來沒有發(fā)生任何變化，但與傳統(tǒng)掃碼認證方式不同的是，DID中的身份信息由用戶自己掌控，用戶首先通過二維碼獲得網(wǎng)站DID并進行驗證獲得公鑰，再使用公鑰加密請求數(shù)據(jù)，發(fā)送自己的身份信息交由服務(wù)器驗證，若驗證通過，則登陸成功。通過整個流程我們可以看出，服務(wù)器并不知道用戶的口令，而且也無法獲得除用戶DID文檔以外的任何信息，從而有效防止數(shù)據(jù)泄露，保護用戶身份隱私。

• 個人隱私保護

隱私保護是任何身份管理解決方案中不可或缺的一部分，DID也不例外，通過對用戶屬性的選擇性披露可以有效降低用戶隱私泄露的風險。在實際生活中，用戶身份通常具有多個屬性，如身份證上的姓名、出生年月、家庭住址、身份證號等，我們并不總是希望直接將整個證件亮給驗證者查看，過多關(guān)聯(lián)信息的泄露會帶來一系列麻煩，不法分子就曾利用通行大數(shù)據(jù)（健康寶）竊取明星隱私并進行傳播售賣DID憑證結(jié)合零知識證明技術(shù)，可以做到信息最小化提供的同時不影響憑證的合法性驗證，有效保護用戶隱私。例如，一個有社會責任心的商店老板拒絕向未成年人出售香煙，對于買煙的顧客需要查驗其年齡信息，此時若使用身份證則會泄露關(guān)聯(lián)敏感信息，但在DID技術(shù)中，可以只出示部分信息，證明自己已超過一定年齡（18歲）而無需透露其他信息，包括出生年月，從而實現(xiàn)對個人隱私信息的選擇性披露。

• 數(shù)字版權(quán)保護

線上數(shù)字內(nèi)容往往會面臨一系列的版權(quán)糾紛，利用區(qū)塊鏈不可篡改及數(shù)字身份自主可控的特性，可有效解決數(shù)字內(nèi)容版權(quán)保護問題，實現(xiàn)多方信息的實時共享、版權(quán)認證、交易維權(quán)，促使數(shù)字資產(chǎn)合法合規(guī)流動。鏈上參與者通過使用DID技術(shù)，使得作品具備唯一標識，著作權(quán)經(jīng)過認證后，成為不可篡改的鏈上憑證，可以作為舉證、流轉(zhuǎn)的聲明，應(yīng)用于資產(chǎn)確權(quán)、數(shù)據(jù)定價、流轉(zhuǎn)監(jiān)測分析以及侵權(quán)取證等場景。

• 物聯(lián)網(wǎng)及邊緣計算

物聯(lián)網(wǎng)設(shè)備通常分布在不同的地域，采用多種方式接入網(wǎng)絡(luò)，這也使得其編碼標準存在多樣性，具有較高管理成本和安全風險。若使用DID技術(shù)為物聯(lián)網(wǎng)設(shè)備分配全局唯一標識，并結(jié)合廠家生產(chǎn)信息、物聯(lián)網(wǎng)運營商以及設(shè)備的所有權(quán)信息，為設(shè)備頒發(fā)多種憑證，賦予設(shè)備可聲明、可驗證的自主身份，即可在區(qū)塊鏈上實現(xiàn)設(shè)備身份和數(shù)據(jù)的高效分布式認證，有效保障數(shù)據(jù)來源的真實性，同時也有利于對設(shè)備產(chǎn)生的數(shù)據(jù)進行確權(quán)、計價。

05 總結(jié)

隨著數(shù)字經(jīng)濟時代來臨，數(shù)字化發(fā)展已成為全球共識。當前，170多個國家陸續(xù)發(fā)布數(shù)字國家相關(guān)戰(zhàn)略，我國在“十四五規(guī)劃綱要”明確以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式、生活方式和治理方式變革，從數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府、數(shù)字生態(tài)四方面建設(shè)“數(shù)字中國”。數(shù)字身份的發(fā)展將幫助用戶掌握其個人數(shù)據(jù)、實現(xiàn)數(shù)據(jù)在各數(shù)字化活動之間自由流轉(zhuǎn)，數(shù)字身份將成為數(shù)字世界的入口，其重要性不言而喻。