數字身份的前世&今生

01 歷程溯源

在現代社會中，身份是處理實體關係的入口。對實體身份信息進行判別和認證，並未實體提供與其身份匹配的服務，是社會關係的一種重要模式。並要求用戶的身份信息和服務方共享。

今天，我們先來簡要的談一談身份和數字身份。

• 身份

國際電子技術委員會將「身份」定義為「一組與實體關聯的屬性」。這裡的實體不僅僅是人，對於機器或者物體都可以是實體，甚至網路中虛擬的東西也可以是實體並擁有身份。這些實體作為數字化社會的重要組成部分，共同構建了數字生態。

• 數字身份

隨著互聯網的出現和普及，傳統的身份有了另外一種表現形式，即數字身份。一般認為數字身份的演進經歷了四個階段，分別是：中心化身份、聯盟身份、以用戶為中心的身份以及自我主權身份。

• 中心化身份：由單一的權威機構進行管理和控制的，現在互聯網上的大多數身份還是中心化身份。
• 聯盟身份：解決了中心化身份中身份數據零碎混亂的弊端，此種身份是多個機構或者聯盟進行管理和控制的，用戶的身份數據具備了一定程度的可移植性，例如允許用戶登錄某個網站時，可以使用其他網站的賬戶信息，類似於QQ、微信或者微博跨平台的登錄。
• 以用戶為中心的身份：重點集中在去中心化上，通過授權和許可進行身份數據的共享，例如OpenID。
• 自我主權身份：真正意義上的去中心化的、完全由個人所擁有的和控制的身份。

02 PKI&DPKI

「身份」本身是基礎並客觀存在的，如今的互聯網廣泛通過「租借」第三方機構（DNS註冊機構、證書頒發機構、ICANN）服務來構建信任體系、實現實體間的安全通信，若要實現去中心化生態體系，那我們應該了解基本的PKI與DPKI體系之間的關係。

• PKI

PKI是Public Key Infrastructure的縮寫，翻譯過來是公鑰基礎設施，是生成、存儲、分發和撤銷用戶數字身份證書所必須的軟體、硬體、人、策略及處理過程的集合，也是國際公認普遍適用的一整套信息安全系統。PKI的建立依賴於權威的認證，離不開可信第三方的協同工作，通過運用多種技術，可為應用提供認證、加密和數字簽名等安全支撐，為信息系統提供秘鑰管理和證書管理等安全服務，其主要載體為X.509格式的證書文件。

• DPKI

分散式公鑰基礎設施(DPKI)作為PKI的演進，並非是對PKI的全盤拋棄和替代，更多是在原有認證體系基礎之上的一種改進和補充，通過構建一種分散式的認證體系來解決中心化認證體系存在的問題，是未來網路信任生態的基礎設施。DPKI與PKI在業務流程上並無明顯區別，首先用戶提供相關信息並發起申請，接下來發證方審核信息，頒發證書，最後用戶出示證書完成驗證。但不同於PKI體系，DPKI強調用戶身份的自主可控、身份可移植和分散式認證，個人身份的驗證不再依賴於發證方。

03 數字身份標識-DID

伴隨著區塊鏈等可信技術的發展，各大公司、機構紛紛入局，對DPKI的實現展開了更深入的研究探索，分散式數字身份(DID)解決方案應運而生。通過結合區塊鏈技術，分散式數字身份使用戶真正擁有並控制自己的個人數據和資產，可實現跨部門、跨行業、跨地域的去中心化共享能力。

Decentralized Identity 去中心化身份，簡稱DID，相對於傳統的的基於PKI的身份體系，基於區塊鏈建立的DID數字身份系統具有保證數據真實可信、保護用戶隱私安全、可移植性強等特徵，其優勢在在於

• 去中心化：基於區塊鏈，避免了身份數據被單一的中心化權威機構所控制。

• 身份自主可控：基於DPKI（分散式公鑰基礎設施），每個用戶的身份不是由可信第三方控制，而是由其所有者控制，個人能自主管理自己的身份。

• 可信的數據交換：身份相關數據錨定在區塊鏈上，認證的過程不需要依賴於提供身份的應用方。

• DID 標識

DID 標識符其實就是一個字元串，在 W3C 中DID 參考的是 URN 的標準，特定格式如下:

• DID 文檔

每個DID標識都會對應一個DID文檔(Document)，文檔為JSON字元串格式，主要包含了與DID驗證相關的密鑰信息和驗證方法，用以實現對實體身份標識的控制，DID文檔內容格式如下圖所示：

並且，一個實體可對應多個DID，實體在通過註冊申請後可獲得一個或多個由自己進行維護管理的DID標識，不同DID標識所代表的身份之間互不相關，有效降低了身份信息之間的耦合性。總的來說，我們可以將DID基礎層看作是一個鍵值資料庫，DID標識符當作鍵，而DID文檔則是對應的值，二者之間的關係結構如下圖所示：

• 可驗證聲明

可驗證聲明(Verifiable Credential)提供了一種規範來描述實體所具有的某些屬性，實現基於證據的信任。DID持有者，可以通過可驗證聲明，向其他實體(個人、組織、具體事物等)證明自己的某些屬性是可信的。同時，結合數字簽名和零知識證明等密碼學技術，可以使得聲明更加安全可信，並進一步保障用戶隱私不被侵犯。

在DID生態體系內，主要有用戶、發證方、使用方三種角色。

• 用戶（User）：擁有鏈上數字身份的任何人/組織/實物。任何實體對象都可通過開發者的項目去創建、管理自己的DID。

• 發證方（Issuer）：可發行數字憑證的人/組織。例如：高校可為某個學生頒發數字畢業證，那麼這個高校便是一個發證方。

• 驗證方（Verifier）：也稱為業務方，指使用數字憑證的人/組織，驗證方在經用戶授權後，可對用戶的身份或其數字憑證進行驗證。例如：企業錄取某個人的時候，要對其高校畢業證進行驗證，那麼這個企業便是一個驗證方。

04 應用場景

• 身份認證

身份認證可以說是DID最基本的應用了，對於有身份識別(KYC)需求的場景，通過提前將多個機構頒發的VC與用戶綁定，且錨定到區塊鏈上，憑藉密碼演算法，可進行分散式驗證，用戶只需獲取一次VC，便可隨時出示使用。例如員工入職背景調查，材料在流轉過程中極易遭受篡改，且驗證手段較為匱乏，若使用DID解決方案，學生可以在鏈上使用自己的DID標識向學校申請學歷（學位）憑證，向前公司申請工作（離職）憑證，而在求職時，現公司只需通過驗證介面對上述憑證真實性進行核驗，即可快速完成員工的入職背調。

• 無密碼安全登錄

無口令安全登錄的應用場景類似於微信掃碼登陸，當我們需要註冊或登錄網站時，無需輸入用戶名、電子郵箱、密碼之類的口令，只需使用手機中存儲的用戶DID信息完成與網站DID的雙向驗證。雖然登陸形式看起來沒有發生任何變化，但與傳統掃碼認證方式不同的是，DID中的身份信息由用戶自己掌控，用戶首先通過二維碼獲得網站DID並進行驗證獲得公鑰，再使用公鑰加密請求數據，發送自己的身份信息交由伺服器驗證，若驗證通過，則登陸成功。通過整個流程我們可以看出，伺服器並不知道用戶的口令，而且也無法獲得除用戶DID文檔以外的任何信息，從而有效防止數據泄露，保護用戶身份隱私。

• 個人隱私保護

隱私保護是任何身份管理解決方案中不可或缺的一部分，DID也不例外，通過對用戶屬性的選擇性披露可以有效降低用戶隱私泄露的風險。在實際生活中，用戶身份通常具有多個屬性，如身份證上的姓名、出生年月、家庭住址、身份證號等，我們並不總是希望直接將整個證件亮給驗證者查看，過多關聯信息的泄露會帶來一系列麻煩，不法分子就曾利用通行大數據（健康寶）竊取明星隱私並進行傳播售賣DID憑證結合零知識證明技術，可以做到信息最小化提供的同時不影響憑證的合法性驗證，有效保護用戶隱私。例如，一個有社會責任心的商店老闆拒絕向未成年人出售香煙，對於買煙的顧客需要查驗其年齡信息，此時若使用身份證則會泄露關聯敏感信息，但在DID技術中，可以只出示部分信息，證明自己已超過一定年齡（18歲）而無需透露其他信息，包括出生年月，從而實現對個人隱私信息的選擇性披露。

• 數字版權保護

線上數字內容往往會面臨一系列的版權糾紛，利用區塊鏈不可篡改及數字身份自主可控的特性，可有效解決數字內容版權保護問題，實現多方信息的實時共享、版權認證、交易維權，促使數字資產合法合規流動。鏈上參與者通過使用DID技術，使得作品具備唯一標識，著作權經過認證後，成為不可篡改的鏈上憑證，可以作為舉證、流轉的聲明，應用於資產確權、數據定價、流轉監測分析以及侵權取證等場景。

• 物聯網及邊緣計算

物聯網設備通常分布在不同的地域，採用多種方式接入網路，這也使得其編碼標準存在多樣性，具有較高管理成本和安全風險。若使用DID技術為物聯網設備分配全局唯一標識，並結合廠家生產信息、物聯網運營商以及設備的所有權信息，為設備頒發多種憑證，賦予設備可聲明、可驗證的自主身份，即可在區塊鏈上實現設備身份和數據的高效分散式認證，有效保障數據來源的真實性，同時也有利於對設備產生的數據進行確權、計價。

05 總結

隨著數字經濟時代來臨，數字化發展已成為全球共識。當前，170多個國家陸續發布數字國家相關戰略，我國在「十四五規劃綱要」明確以數字化轉型整體驅動生產方式、生活方式和治理方式變革，從數字經濟、數字社會、數字政府、數字生態四方面建設「數字中國」。數字身份的發展將幫助用戶掌握其個人數據、實現數據在各數字化活動之間自由流轉，數字身份將成為數字世界的入口，其重要性不言而喻。