詳解四大分布式數字身份項目 一文帶你看透DID本質

概述

數字身份伴隨著計算機科學的應用而發展。

在上個世紀 50年代到 90年代，數字身份緊跟著網際網路的發展而發展，它可能是 email地址、IP位址、域名，通常由不同的網絡服務提供。

當網際網路建立了統一的協議標準，迎來了計算機技術和網際網路應用的蓬勃發展，越來越多的工作和生活線上化。數字身份演變為複雜的體系，需要一套處理認證和訪問控制的業務系統。這時出於便利性的考量，大多數網際網路應用的數字身份一般是用戶名密碼。

當網際網路應用的量級劇烈增加，質的變化悄然發生。

網際網路巨頭依靠平臺效應壟斷市場，利用用戶數據作為護城河，產生了大量價值，但用戶並沒有對自己的數據擁有什麼話語權和價值收入。

由於利益驅使，圍繞著用戶數據發生的非法收集、數據洩露和買賣行為防不勝防，損害用戶安全。

用戶的數字身份——帳號密碼由服務商控制，用戶租借使用，服務商可以決定帳號禁用、服務終止。

網際網路的數字身份從屬於應用系統，決定了用戶要重複註冊很多的帳號密碼，而且網際網路在應用層面並不互聯互通，一個跨應用的業務實現難度很大。尤其對於需要用戶確權操作的跨應用業務，可能需要更改整個業務架構增加跨應用的用戶身份。

為解決這些問題，人們已做了大量的嘗試。

隱私保護政策紛紛落地。《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《信息安全技術個人信息安全規範》等國家技術標準出臺，明確了企業在收集、使用、保存隱私數據時所需要達到的技術效果及建議使用的標準化技術手段。國際上，被稱為史上最嚴格的隱私保護法案《通用數據保護法案》 (GDPR)除了明確技術效果之外，更引入了巨額的罰款措施。

區塊鏈技術帶來了新的啟示。作為一種新的分布式系統形態，區塊鏈技術用哈希鏈的數據結構改變了電子數據易被篡改的屬性，用「區塊+共識算法」解決分布式系統的數據一致性問題，拜佔庭容錯能力保證跨實體運行的系統不受少數節點惡意行為的影響，從而解決業務層面的信任難題，有望在服務商之間搭建互聯互通的協議。

在政策、技術、市場因素的共同驅動下，產生了一種新的數字身份形態——分布式數字身份，它用分布式基礎設施改變應用廠商控制數字身份的模式，讓用戶控制和管理數字身份，通過將數據所有權歸還用戶從根本上解決隱私問題。它通過定義身份層協議提供跨應用的互操作性，促進應用間的互聯互通，創造了一種扁平化、彈性化的數字身份模式。

分布式數字身份基本概念和模型

國際標準化組織/國際電子技術委員會將「身份」定義為「一組與實體關聯的屬性」，其中「實體」定義為「操作某個特定域的相關項，具有物理或邏輯形態，包括自然人、組織、設備、SIM卡、護照、網卡、應用軟體、服務或網站」。數字身份

通常由代表實體的身份標識符及與之關聯的屬性聲明來表示，分布式數字身份包

括分布式數字身份標識符和數字身份憑證（聲明集合）兩部分。

分布式數字身份標識符（DID）是由字符串組成的標識符，用來代表一個數字身份，它是一種去中心化可驗證的標識符，實體可自主完成 DID的註冊、解析、更新或者撤銷操作，不需要中央註冊機構就可以實現全球唯一性。通常，一個實體可以擁有多個身份，由實體自己進行管理、維護，不同的身份之間沒有關聯信息，可有效避免身份信息被第三方歸集。

數字身份憑證中一般包含一個或多個「聲明（claims） 」。聲明信息是與身份關聯的屬性信息，通常包括：姓名，年齡、學歷、職業等等。憑證由發行者籤名，可通過密碼學證明是否由憑證中聲稱的實體籤發且未被篡改，因此被稱為可驗證憑證。

1.1可驗證憑證模型

數字身份系統的主要目的是認證數字身份所有者的身份屬性，基於其身份信息提供應用系統的授權訪問和服務。

基於上節中分布式數字身份的設計，可以很好地實現基於可驗證憑證模型的工作流程：

憑證發行方根據身份所有者請求籤署發布可驗證憑證；身份所有者將可驗證聲明以加密方式保存，並在需要的時候自主提交給憑證驗證方進行驗證；憑證驗證方在無需對接憑證發行方的情況下，通過檢索身份註冊表，即可確認憑證與提交者之間的所屬關係，並驗證屬性聲明的真實來源。

圖1 可驗證憑證流轉模型

在分布式數字身份的模型中，將身份標識符的生成/維護，與身份屬性聲明的生成/存儲/使用分離開來，有助於構建一個模塊化的、靈活的、具有競爭力的身份服務生態系統。

1.2體系架構

如前所述，分布式數字身份的核心模型是分布式數字身份標識符和可驗證憑證流轉，核心技術是分布式帳本和密碼學技術，這二者的結合用以創建不可抵賴、且不可篡改的身份記錄。

從實現的角度而言，分布式帳本基礎設施、基於 DID的交互、可驗證憑證應用、治理框架組成了分布式數字身份的四層體系架構。

圖2 分布式數字身份體系架構

1.2.1分布式帳本

具有分布式 key-value數據存儲能力的分布式帳本，用作分布式數字身份標識符的註冊表，只要確保身份所有者保持對其私鑰的控制權，則任何第三方都無法擁有該標識符的使用權，也就無法冒充身份持有者意願，危害其利益。

分布式帳本不可篡改的特點，讓它既適合用於分布式數字身份數據（標識符、公鑰、通訊地址等）的發布和維護，也適合用於被多方信任的公開信息的公示和驗證（如憑證發行方的真實身份信息、憑證模板信息需要被多個憑證驗證方進行驗證）。

1.2.2基於 DID的交互

分布式數字身份主張用戶管理和控制數字身份，不同用戶之間不依賴於第三方進行安全通信。通過用戶自己管理的 DID標識符和密鑰、註冊到分布式帳本的分布式數字身份數據，滿足基於 DID的點對點相互認證和安全通信需要。

就兩點間通信而言，其安全通信的工作原理依然是基於傳統 PKI挑戰響應機制和協商數據加密方式。這種安全通信的底層協議可使用 HTTP、RPC、藍牙、NFC或其它協議，成為不同解決方案之間端到端互聯互通的標準通信方式；

就全網所有節點而言，通過部署在去中心化伺服器及個人客戶端的身份密鑰錢包，以及全網共享的 DID分布式帳本，代表任意不同實體身份的節點之間都可以實現基於非對稱密鑰方式的認證交互，並最終通過這種實體間的信任傳遞實現全網信任。

1.2.3可驗證憑證應用

可驗證憑證應用層包括各類基於 DID交互的上層應用。數字身份應用的主要目的是認證身份屬性，和基於其身份信息提供應用系統的授權訪問。可驗證憑證提供了一種以身份持有方為主導，連接憑證發行方和憑證驗證方（應用系統），憑證發行方和憑證驗證方不需要通信的憑證流轉方式。

除可驗證憑證流轉外，將來在這層也能實現其它點對點的典型應用，如加密社交、股份轉移，等等。

1.2.4治理框架

要在分布式網絡中建立人類信任，需要建立業務和法律協議，這是治理框架的工作。

治理框架指管理分布式數字身份生態系統的一套決策體系。它對於在沒有權利中心進行決策的生態中，有效發揮生態的作用非常重要。治理框架的主要元素包括治理角色、決策範圍、決策程序，通俗的說即人、事、規則。

分布式數字身份項目

分布式數字身份出現的歷史雖短，且仍在快速演化中。通過橫向比較具有代表性的一些項目特點，有助於我們更好的理解其技術本質/模式，也有助於了解其未來走向。

本研究選取的比較研究對象是 uport、sovrin、微軟 DID、WeIdentity這幾個具有一定時間跨度、方案特徵差異性、不同場景中的代表性項目。

表1 項目概況

2.1項目簡介

1. uPort

uPort是 Consensys推出的基於以太坊的分布式數字身份管理服務，它可以允許用戶進行身份驗證、無密登錄、數字籤名並和以太坊上的其它應用交互。uPort旨在解決普遍存在的區塊鏈用戶密鑰管理問題，為用戶提供持久可用的數字身份。於 2017年發布白皮書。

2. Sovrin

Sovrin是 Evernym初始開發、Sovrin基金會運營、Hyperledger孵化開源的一種用戶自主主權身份和去中心化信任的協議，它致力於提供自我主權身份的去中心化的全球公共網絡，該網絡於 2017年 7月正式啟動。

3.微軟 DID

微軟 DID是一套基於 Azure雲服務的分布式數字身份技術架構，它公開了原始碼、標準，希望實現互聯互通，於 2019年發布試用版本。

4. WeIdentity

WeIdentity是由微眾銀行推出的基於聯盟鏈身份的實體身份標識和可信數據交換解決方案，依託權威機構提供用戶 KYC服務，並以聯盟鏈作為各用戶角色的連接中心和信息的存證中心，促進數據可信交換。於 2019年發布。

2.2架構比較

表2 項目架構對比

2.2.1uPort

uPort是基於以太坊的分布式數字身份管理服務，它可以允許用戶進行身份驗證、無密登錄、數字籤名並和以太坊上的其它應用交互。

uPort的整體架構由智能合約、開發者庫和移動 APP組成。其中移動 APP持有用戶的密鑰。以太坊智能合約構成身份管理的核心，包括用戶的 uPort標識符管理、身份憑證的管理、以及可讓用戶在丟失行動裝置時恢復身份的邏輯。開發者庫可讓第三方應用開發者把 uPort集成到他們的應用中。

1、分布式帳本

uPort的底層基礎設施是公有鏈以太坊。uPort DID方法已註冊到 W3C維護的註冊表。

2、基於 DID的交互

uPort智能合約設計體現了用戶對數字身份的管理控制和使用。用戶使用uPort DID登錄其他在以太坊上註冊的應用。

圖3 uPort基於標識符的交互方式

標識符

其中，代理合約是用戶數字身份的象徵，uPort身份的核心標識符是代理合約的地址；控制合約，是代理合約的正式擁有者。控制合約維護了核心訪問控制特性，包含密鑰恢復和訪問控制邏輯；控制合約由 uPort移動 App中安全存儲的密鑰進行控制。

這種設計允許用戶使用密鑰向代理合約自我認證，並代表代理合約行事，有利於用戶在保持標識符不變的情況下替換私鑰。

交互

應用 DAPP與 uPort App均使用了以太坊智能合約，代理合約可以向應用合約轉發交易，並且通過這種機制，uPort身份與以太坊區塊鏈上的其他智能合約進行交互。

3、可驗證憑證應用層

uPort的身份認證應用中的用戶角色包含憑證發放機構、用戶、應用、uPort共四方。

uPort和憑證發布機構合作，憑證發放機構在以太坊網絡上註冊自己的身份，能夠籤署和驗證數據；憑證發放機構在其應用中提供二維碼信息以便於用戶交互，用戶使用 uPort APP掃描二維碼，向憑證發放機構註冊自己的 uPort ID。憑證發放機構根據業務需求按自己的方式認證用戶信息，認證通過後向用戶發放帶有籤名的身份憑證。

uPort服務通過註冊合約管理 uPort ID和用戶的身份憑證信息，每一個 uPort身份標識符綁定了一個相關的鏈下數據結構（如 IPFS），身份憑證存儲在鏈下。註冊合約扮演邏輯上中心化，物理上去中心的註冊表或查找表，將每一個 uPort身份標識符映射到一個 IPFS摘要上，這個 IPFS摘要與包含了用戶屬性、個人數據、見證的結構相連結。只有 uPort身份的所有者（設備密鑰的持有者）才有權利去修改相對應的註冊入口。

用戶註冊新的應用時，應用通過二維碼與用戶交互，獲取 uPort ID和應用需要的憑證。如果用戶註冊合約中已經存儲了相應的憑證，應用從 uPort伺服器獲取該憑證進行驗證。驗證通過後，應用將 uPort ID註冊為用戶帳戶，以後用戶只需要使用 uPort ID即可登錄該應用。

4、治理框架

uPort沒有提出新的治理框架，遵循了以太坊的治理模式，即通過以太幣支付網絡交易費用。

2.2.2Sovrin

Sovrin是一種用戶主權身份的基礎設施和全球可互操作的身份協議，它不是一種具體的解決方案，不依賴於特定軟體實現，不同的解決方案實現廠商可基於Sovrin協議和基礎設施搭建具有互操作性的平臺。Sovrin定義了分層的、解耦合、

模塊化的模型。

Sovrin基金會牽頭推進了 Hyperledger Indy項目，提供基於區塊鏈或其他分

布式帳本技術的工具、代碼庫和模塊化組件用於實現獨立的數字主權身份。2019年，從 Indy項目中獨立出了 Hyperledger Aries項目，用於實現其中的端到端交互。

1.分布式帳本

Sovrin基金會管理了一個特定的帳本 SovrinLedger，由 Stewards操作節點與 Sovrin共識協議進行通信維護，但同時 Sovrin協議可以運行在任何支持上面三層的分布式帳本上，不依賴於一種特定的區塊鏈或分布式帳本技術，才能形成全球可互操作的用戶主權身份網絡。

2.基於 DID的交互

Sovrin支持基於 DID進行點對點相互認證和安全通信，並且在 HyperledgerAries項目中孵化一套標準化的端到端交互軟體基礎設施，Aries項目於 2019年提出。

Aries的功能包括：建立和使用點對點連接，發送/接收點對點協議消息，並代表模塊所代表的實體執行操作。它是 Sovrin基礎架構的基石，通過該模塊，Sovrin實體形成連接並共享 Sovrin身份。點對點連接是兩個 Sovrin實體之間關係的基本單位，由一對僅被雙方實體知道的匿名標識符組成，這樣可以最大限度地避免一個實體的多個標識符被第三方歸集。

3.可驗證憑證應用層

基於零知識證明的匿名憑證技術實現了可驗證憑證，支持憑證信息的最小化披露：

支持對一個或多個憑證中的聲明進行選擇、組合併出示；

憑證驗證方不獲得數據明文或密文，而僅獲得數據的密碼學驗證方法，因

此也無法復用它來模擬另一個用戶。典型例子是在不揭示實際出生日期信息的情況下，出示有關年齡情況的證明（如「18歲以上」）。

4.治理框架

Sovrin基金會發布了治理框架，建立用於自我主權身份的分布式網絡所需的治理方法。框架定義了 Sovrin網絡所有成員同意遵守的商業、法律和技術術語，並且規定了 Sovrin基金會和成員之間的法律合同。

2.2.3微軟 DID

微軟 DID是一套基於 Azure雲服務的分布式數字身份技術架構和基礎功能，讓解決方案實施商可方便的在不同區塊鏈上實現分布式數字身份整體解決方案。微軟是 DIF聯盟的重要成員，以標準的開源技術、協議和參考實現為主要目標。

微軟 DID的技術架構包括區塊鏈 BAAS服務、註冊 DID的 Layer2方法 ION、隱私數據管理模塊 Identity Hub，均以 API的形式為開發者提供服務，ION和Identity Hub還提供了開源軟體。在未實現的計劃中，還包括手機端的身份管理模塊。

通過區塊鏈 BAAS服務向不同區塊鏈註冊分布式數字身份標識，可以成為廣泛使用的中間層，實現 DIF的互聯互通目標。

ION方法是 SideTree協議基於比特幣網絡的實現，用於解決向公有鏈註冊 DID存在的效率低下問題。

Identity Hub為開發者提供了管理用戶隱私數據的基礎模塊。

1.分布式帳本

微軟 DID的基礎設施不依賴於特定的分布式帳本。與 Azure區塊鏈服務的設計思想一脈相承，微軟 DID依託於 Azure雲服務支持多種分布式帳本協議，並且註冊了基於該分布式帳本的 DID操作方法，對開發者隱藏分布式帳本的接入細節，提供 Restful API接口。

目前微軟 DID支持以下兩個 DID操作方法：

Ion-test：註冊到比特幣測試網絡

test：註冊到微軟資料庫同時正在開發對以下三個分布式帳本的支持：

比特幣正式網絡

通過 uport的 DID方法，註冊到以太坊

通過 Sovrin的 DID方法，註冊到 Sovrin網絡

在 DID註冊和查詢過程中，為解決公鏈效率低下的問題，微軟和 DIF聯盟的幾個成員發起了 SideTree協議，構建了 L1層公鏈和 L2層 DID操作的分層架構：

L2層保存了 DID操作的源數據並推送到 IPFS網絡，匯聚儘可能多的 DID操作後錨定到 L1層；

L2層的每個「節點」各自與 L1層同步，獲取 Sidetree錨定交易後，拉取DID操作源數據。

圖4 SideTree架構

2.基於 DID的交互 &可驗證憑證應用

微軟 DID中未提供完整的 DID交互和可驗證憑證應用軟體，由開發者根據自己需求進行設計。微軟 DID主要為開發者提供了 Identity Hub模塊，它的目標是為用戶存儲和管理隱私數據，以增強數據表達能力的「語義數據模型」實現。在DIF的認可下，已發布了第一版開原始碼。

與傳統的數據存儲解決方案相比，Identity Hub具有去中心化的特性：

標準化接口：Hub的實現廠商需要滿足標準化的數據存取接口，包括為每個用戶的 Hub註冊 DID，不同用戶的 Hub通過 DID標識符進行互操作。

開源：通過開原始碼，鼓勵開發者運營自己的 Hub。

Identity Hub支持與用戶通過 DID進行點對點的安全通信，遵循 DIDAuth的相互認證和加密傳輸。

2.2.4WeIdentity

WeIdentity是基於聯盟鏈的可信數據交換解決方案，它是一套基於FISCO-BCOS區塊鏈底層平臺的解決方案，也是 BCOS聯盟鏈的應用場景。聯盟鏈為各用戶角色提供了接入中心，為數據交換提供了數據存證和驗證功能。

WeIdentity中的用戶角色包括憑證發行者、憑證驗證者、用戶代理和用戶共四種，其中用戶代理一般為權威可信機構，為用戶 KYC並生成數字身份標識符，用戶的數字身份和隱私數據託管於用戶代理中。

1.分布式帳本

WeIdentity基於微眾銀行的 FISCO-BCOS聯盟鏈實現，其整體架構具有明顯的聯盟鏈特徵。

2.基於 DID的交互

用戶的數字身份標識符、個人數據均託管於用戶代理中，由用戶代理與憑證發行方和憑證驗證方進行通信。

因此，用戶與其它實體之間的通信均通過用戶代理進行轉接。用戶代理由場景選擇，一個場景中一般具有一個用戶代理，這個用戶代理成為一個聯盟鏈網絡中的中心轉接點。

本方案中的數字身份標識符等同於聯盟鏈中的身份合約，是一條鏈上的唯一標識，提供了鏈上行為的可驗證和追溯特性。由於用戶的實體身份和標識符通過用戶代理機構綁定，用戶行為可查可歸集。

3.應用層

應用層是 WeIdentity解決方案的重點，以可驗證憑證數據模型規範作為標準的數據組織方式並進行分享。其目的是藉助區塊鏈實現可信數據的交換，提供直接出示和鏈上授權兩種方式。

1)直接出示

2)鏈上授權（適合用於用戶代理也不能保存數據原文的情況）

i.憑證發行方產生憑證，同時上鏈存證憑證摘要

ii.用戶向憑證驗證方發行一個授權憑證，並上鏈存證授權憑證摘要

iii.憑證驗證方向憑證發行方請求數據，出示用戶授權憑證，憑證發行方進

行驗證。

iv.驗證通過後，憑證發行方與憑證驗證方建立數據傳輸通道進行數據傳輸

4.治理框架

WeIdentity是基於場景落地的聯盟鏈解決方案，治理方式也具有明顯的聯盟鏈特徵。

聯盟鏈中，新成員加入都需要進行 KYC。個人用戶通過用戶代理機構進行 KYC和業務接入，比如使用用戶代理機構提供的身份管理工具 App；機構用戶可通過部署區塊鏈節點、或通過業務發起方提供開放平臺的方式接入聯盟鏈。

除用戶代理外，系統中還有一類具有特殊權限的權威機構。鏈上每個WeIdentity DID持有者（包括人，機構，或者物）都可以成為憑證發行者，但只有聯盟鏈裡面的權威機構才可以註冊成為 Authority Issuer。每個註冊為 AuthorityIssuer的新成員需要聯盟鏈內其他機構投票通過。

系統中還有一些聯盟鏈的內部治理角色，如系統管理員、機構委員會等。

WeIdentity的角色權限管理通過智能合約實現，不同類型的合約角色分配不同的權限。

2.3特性比較

本研究抽取了隱私保護和跨應用互操作性這兩個關鍵維度，對代表性項目的現狀和趨勢進行了分析。

一、隱私保護

隱私保護不完全等同於信息安全，信息安全強調在計算機技術層面上信息的保密性、完整性和可用性，目標在於保障授權用戶能夠在需要信息的任何時間點，獲得保密的、沒有被非法更改過的數據，是隱私保護的基礎。

隱私保護的目標在於防止隱私數據被非授權的主體使用或者以一種未授權的方式使用。隱私數據的範疇包括了所有的非公開數據。對於個人來講，隱私數據是關於自己和周邊環境包括社交網絡的個人數據。對於企業來講，隱私數據是關於自己和合作夥伴的業務和其他非公開數據。

目前，已有多種技術用於分布式數字身份系統以解決隱私性問題，主要可以分為改變數據控制權、使用多個標識符和基於密碼學三類。

（一）改變數據控制權是指通過改變用戶數字身份數據的所有權從根本上解決隱私性問題。

絕大多數分布式數字身份項目主張自我主權身份，自我主權身份意味著用戶是身份管理的中心，包括使用、授權和存儲等各個環節。

用戶將身份信息、密鑰和其它數據存儲在自己的設備上，而非網際網路公司的伺服器上。如此一來，所有數據都始終掌握在個人手中，可以隨時新增或刪除數據，授權或取消給他人讀取或寫入數據。用戶不需要以犧牲個人隱私、犧牲個人數據自主權的方式，來交換網際網路公司提供的免費服務。基於這個目的，用戶對管理身份、存儲數據的軟體服務應具有選擇權，軟體運營商應提供可移植性以便用戶遷移。

（二）使用多個標識符指不同場景使用新的身份標識符，使攻擊者難以分析標識符和用戶實體之間的聯繫，從而避免用戶信息的歸集。

（三）基於密碼學的技術依靠密碼學中的同態加密、零知識證明等技術，在敏感信息不外洩的基礎上實現系統功能。密碼學技術主要用於應用層可驗證聲明數據模型和數據存儲軟體中。

各項目使用了幾種隱私保護技術的集合：

表3 項目隱私保護特性對比

二、跨應用互操作性

提供跨應用互操作性目的是為了促進應用間的互聯互通，解決網際網路信息孤島、跨應用合作困難的問題，以及在未來獲得非線性增長的能力。

一種方案是否有助於促進互聯互通和它是否支持標準化建設、適用範圍和應用增長速度這三個方面都有著重要關係。

（一）標準化建設

分布式數字身份研究時間不長，但發展迅速，也已從最初的單一項目、單一技術研究進入到超大型技術公司為主導的標準化研究進程。分布式數字身份中的關鍵數據的組織形式，如分布式標識符（DID）及可驗證憑證（verified credentials）規範已由國際化標準組織 W3C牽頭制定中。

（二）適用範圍

適用範圍指一個方案可以使用的邊界和適合應用的場景，它決定了一個方案能達到互聯互通的上限。

（三）應用增長速度

以 HTTP協議為例，一個最終被廣泛應用的協議不一定是最優秀的，和營銷、發展速度也有關。若能形成網絡效應可以獲得超線性的增長速度。

一方面，網絡協議具有網絡效應，隨著越來越多的人使用，對用戶會更有價值。另一方面，憑證發行方和憑證驗證方具有典型的雙邊網絡效應，任何一組用戶的增加會增加對另一組用戶的需求。

表4 項目跨應用互操作性對比

分布式數字身份應用案例

目前在W3C的DID註冊表中已註冊了50多個項目，這些構建在分布式基礎設施上的數字身份項目都統稱為分布式數字身份，而通過上一章我們也看到不同項目的差異性非常大。在應用落地的過程中，通常針對不同場景中的不同需求採取了不同的實現方案。通過這些應用案例的分析，有助於我們理解不同分布式數字身份方案的價值。

3.1 VON

VON全稱Verifiable Organization Network，即可驗證企業網絡，是Sovrin協議的開源項目Hyperledger Indy的應用。由加拿大的哥倫比亞省政府發起，目前已在哥倫比亞省和安大略省公開商用，為企業籤發了數百萬個可驗證憑證。

作為政府，關心如何為企業提供優質服務、以及提高整體經濟活力。相比個人應用來說，企業在線上的商業應用非常少，幾乎只有商品交易和廣告，因此線上經濟具有強大的潛力。線上經濟最大的挑戰還是對企業數字身份的認證和識別，政府擁有絕大多數企業所需的數字身份的認證能力，但傳統的數字身份方案從屬於應用，且數字身份易被黑客攻擊和竊取，難以讓企業數字身份產生可信和具有規模的跨應用使用，從而帶來最大的經濟活力。

應用了Hyperledger Indy後，用戶自主控制的特性增加了身份竊取和偽裝的難度，加上可驗證憑證流轉提供了可信的數字身份屬性，為企業提供標準化可驗證的數字身份，將政府的高可信屬性傳遞給企業，減少社會總體信任成本。

由於政府是天然的憑證發行方，在既沒有憑證發行方/驗證方、也沒有企業身份所有者來接收和存儲憑證的情況下，哥倫比亞省政府選擇了「構建企業公開信息註冊表（「OrgBook」），引入憑證發行方」的策略。即由可信機構運營企業憑證的公開註冊表OrgBook，接收憑證發行方發出的企業憑證，並向個人和企業提供企業信息的搜索和驗證。因此在當前階段，VON僅支持企業公開信息的籤發，不支持隱私場景。將來，通過企業自己管理數字身份數據，憑證發行方可將隱私數據籤發至企業自己。

針對憑證發行方/驗證方，VON提供便利、個性化的接入方式以完成快速對接，具體包括監控憑證發行方數據源並向Indy agent批量推送發證數據、以及通過OrgBook提供的API驗證企業憑證以確認企業是否擁有申請某憑證的前置條件。

圖5 VON方案架構

VON是一系列生態系統，每個生態系統均由一個司法管轄區域運營，一般由一個OrgBook和圍繞著OrgBook的一組憑證發行方/驗證方Agent組成。按照VON的設想，以及按照標準化端到端交互模塊的實際實現，多個生態系統之間可以互相連接，以形成跨區域的可驗證組織網絡。

分布式數字身份在VON項目中的應用帶來了以下特性：

一、可信數據

基於匿名憑證技術實現的可驗證憑證，由密碼學保證了憑證的發行方和憑證的接收方真實可信、憑證內容未被篡改、以及憑證未被撤銷，能夠成為企業的可信基礎，並提供離線驗證特性，即憑證驗證方無需聯繫憑證發行方，通過分布式帳本和密碼學技術即可驗證數據的可信。

二、易於擴展

VON遵循Sovrin協議，在Hyperledger Indy的基礎上實現，目前一直在持續地產品化和模塊化，未來能兼容Hyperledger Aries標準。因此VON網絡非常易於擴展，形成跨區域跨應用的可驗證組織網絡。

3.2 澳門智慧城市

澳門智慧城市建設的「證書電子化」項目中應用了WeIdentity方案。

早在2005年，澳門特別行政區就制定了《個人資料保護法》，規定了以公開、透明以及尊重資料當事人意願的原則處理個人資料，設置了嚴格的安全保護措施。比如機構向當事人收集個人資料，無論通過哪種途徑、用於何處、交由其它機構，都必須告知當事人並取得同意。

在用戶求職等場景中，求職企業需要驗證個人用戶的畢業證書、職業證書等憑證。由於政府機構也受到上述法律法規的約束，不能隨意收集用戶數據，因此澳門沒有類似於學信網這一類政府運營、提供公開服務的第三方機構，企業必須通過聯繫不同的憑證發行方才能驗證真偽。

WeIdentity方案主要通過區塊鏈提供的存證功能解決憑證驗證問題。憑證發行方和驗證方都通過區塊鏈節點接入網絡，憑證發行方將個人資料的密碼學摘要作為可驗證憑證發布上鏈，憑證驗證方收到個人資料後向區塊鏈查詢真偽。在這過程中不需要第三方存儲和收集個人資料明文信息。

在該項目中，澳門特別行政區身份證明局承擔了用戶代理的角色。身份證明局是由行政法務司監督，輔助澳門特別行政區行政當局在民事與刑事身份認別及旅行證件的行政機構，本就具有對個人用戶KYC的能力與職責；澳門生產力中心、澳門理工大學等機構承擔了憑證發行方角色；澳門電訊等企業承擔了憑證驗證方角色。

分布式數字身份在澳門「證書電子化」項目中的應用帶來了以下特性：

一、可信數據

WeIdentity方案中，可驗證憑證以摘要形式存證在區塊鏈上，任何人可根據數據原文驗證可驗證憑證的內容未被篡改。

二、隱私保護

基於屬性分片進行摘要算法實現的鏈上可驗證憑證，支持憑證驗證方對其中部分屬性進行驗證，從而支持用戶只向憑證驗證方出示部分屬性。這通過使用一種比匿名憑證技術更加簡單的方式實現了部分匿名憑證的功能，匿名憑證技術的優勢在於不需要向憑證驗證方出示屬性明文，而僅出示屬性的密碼學證明。

三、場景式落地

用戶代理是方案中的控制中心和數據中心，託管了用戶密鑰和可驗證憑證。因此實際上用戶不具有對自己數據的控制權。由於聯盟鏈的本質和中心化管理方式，不同場景之間不需要進行連通，可根據不同場景進行定製化開發。

3.3 更多

本文中提到的4個項目僅是分布式數字身份藍圖中的一小部分，更多項目已在全球各地產生和應用。

一、ShoCard

ShoCard是較早嘗試分布式數字身份管理的項目，它利用分布式帳本為用戶綁定標識符和現有的可信憑證（如護照、駕照），記錄驗證歷史，為用戶提供分布式的可信身份。

ShoCard的典型應用是與SITA航空合作的旅行認證解決方案。人們在跨國旅行時，在機場安檢的過程中要不斷出示護照、登機牌、面部核驗等信息，這些信息組成的數字身份是個人與身份驗證方互動的關鍵。

旅行者使用移動終端對身份證件拍照，將元數據加密存儲在本地，將可驗證信息存證於區塊鏈，當用戶出示證件進行驗證時，身份驗證方除了驗證物理證件，還可驗證區塊鏈記錄。如果驗證通過，身份驗證方請求ShoCard成員管理伺服器生成認證證書。認證證書存儲在用戶終端，同時在區塊鏈存證。以後可用於提供給有相同要求的身份驗證方。

ShoCard實踐較早，應用廣泛。包括：與多家銀行合作將用戶KYC信息作為可信憑證發送給用戶，以便銀行在不查詢其它金融機構資料庫的情況下授權客戶，減少重複KYC流程；為繁忙的醫護人員提供胸牌安全憑證，對於與多個醫療保健機構籤約的醫療工作者可以在不需要中心化身份的情況下訪問多家機構的資源。

ShoCard作為一個早期方案，在適用範圍、隱私保護上均有所欠缺。其用戶數字身份由身份提供方創建，只能在相應的生態系統內使用。而成員管理伺服器的存在，可以關聯用戶與身份驗證方的關係，也造成了用戶使用的不確定性——當公司不存在時，用戶將無法使用已獲得的證書。

ShoCard的價值主要是創新性的提出了技術思路，即在個人終端存儲密鑰和憑證等個人數據，以區塊鏈作為去中心的交換承諾而存在，不存儲敏感信息，保證信息的可信和完整。其它較早期的分布式數字身份方案均在此共識基礎上加入創新，包括Civic、IDHub等等。

二、IdentiCAT

2019年9月，西班牙加泰隆尼亞自治區政府宣布啟動用戶主權的分布式數字身份項目IdentiCAT，這是歐洲第一個開放的數字身份。IdentiCAT提倡用戶控制自己的數字身份和相關數據，構建在分布式帳本基礎上，居民通過自己的軟體管理數字身份，維護隱私。它遵循歐盟的eIDAS規範，因此可在歐盟的所有國家使用。在該項目中，政府不收集數據，主要承擔項目保障的角色，為居民、企業提供工具和可信賴的法律框架。

趨勢與展望

相比傳統數字身份系統，分布式數字身份具有隱私保護、可控安全、持久可用等特點，基於屬性的授權訪問方式能夠更好的支持開放環境下靈活的訪問策略。短短幾年時間，已取得了豐富的規範和技術標準化研究成果。隨著標準化成果的繼續拓展，未來越來越多的應用可方便、安全的切換到分布式數字身份基礎設施上來，形成互聯互通的網際網路身份網絡。

參考文獻：

[1] W3C. Decentralized Identifiers (DIDs) v1.0 [EB/OL]. [2020-04-08]. https://w3c-ccg.github.io/did-spec/

[2] W3C. Verifiable Credentials Data Model 1.0 [EB/OL]. [2020-01-15]. https://w3c.github.io/vc-data-model/

[3] Christopher Allen. The path to self-sovereign identity [EB/OL]. [2016-04-25]. http://www.lifewithalacrity.com/previous/.

[4] Oskar Van Deventer. Self-sovereign identity-the good, the bad and the ugly; May 2019 [EB/OL]. [2019-05]. https://blockchain.tno.nl/blog/self-sovereign-identity-the-good-the-bad-and-the-ugly/

[5] Web of Trust. [EB/OL]. [2020-04-09]. https://github.com/WebOfTrustInfo/rwot6-santabarbara/blob/master/final-documents/did-auth.md

[6] Web of Trust. [EB/OL]. [2020-04-09]. https://github.com/WebOfTrustInfo/rwot1-sf/blob/master/final-documents/dpki.pdf

[7] ConsenSys. [EB/OL]. [2020-04-09]. https://www.uport.me/

[8] Dr. Christian Lundkvist, Rouven Heck, Joel Torstensson, Zac Mitton, Michael Sena. UPort: A Platform for Self-Sovereign Identity [EB/OL]. [2017-02-21]. https://blockchainlab.com/pdf/uPort_whitepaper_DRAFT20161020.pdf

[9] Sovrin. Sovrin: A Protocol And Token For Self-Sovereign Identity And Decentralized Trust [EB/OL]. [2018-01-16]. https://sovrin.org/library/sovrin-protocol-and-token-white-paper/

[10] Nathan George. Hyperleger Aries Proposal [EB/OL]. [2020-04-09]. https://wiki.hyperledger.org/display/HYP/Hyperledger+Aries+Proposal

[11] Microsoft. Decentralized Identity: Own and control your identity [EB/OL]. [2020-04-09]. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2DjfY

[12] The Sidetree Protocol: Scalable DPKI for Decentralized Identity [EB/OL]. [2020-04-09]. https://medium.com/decentralized-identity/the-sidetree-scalable-dpki-for-decentralized-identity-1a9105dfbb58

[13] WeBank [EB/OL]. [2020-04-09]. https://fintech.webank.com/weid/

[14] About Verifiable Organizations Network (VON). [EB/OL]. [2020-04-09]. https://vonx.io/about/

本文由中鈔區塊鏈技術研究院授權巴比特資訊獨家首發，轉載需註明出處。

原題《分布式數字身份架構及項目研究》

作者：中鈔區塊鏈技術研究院 潘鑥鑥

本文來源： 金色財經 / 責任編輯：郝月 / 作者：中鈔區塊鏈技術研究院 潘鑥鑥