分布式數字身份原理、模型與關鍵技術_OIN

前情提要

2021年1月15日，北京金融科技產業聯盟成功舉辦“基于區塊鏈的金融分布式數字身份技術應用研討會”。本次研討會邀請金融機構和科技公司專家，共同探討分布式數字身份技術理論、模型原理和體系架構，分享技術實現、應用案例及落地實踐經驗，加強產用端的交流與合作。

中鈔區塊鏈技術研究院首席產品專家平慶瑞從分布式數字身份概念、工作機制、技術架構和技術特點等幾方面做了詳盡闡述。

本篇文章基于嘉賓演講內容整理。

分布式數字身份的起源

我們知道人類的文明史也是一部人類的遷徙史，為了生存和繁衍，數萬年前我們的遠古祖先從亞非大陸出發，長途遷徙，經歷農耕社會、工業革命，人類終于踏上了地球的每一塊土地。今天，生活在世界各地的人們，通過信息技術實現遠程通信，進行跨地域的社會交往。

互聯網的出現大大改變了人們的生活方式，越來越多現實生活中的活動正在遷移到網絡世界中。網絡空間已經被公認為繼陸、海、空、天之后的第五疆域。

然而，互聯網在發展之初沒有構建身份協議層，只是用來為傳輸信息而設計，因此無法解決網絡上的身份互信問題。1993年，《NewYork》上的這幅漫畫闡釋了互聯網的信任缺失問題。

為了在互聯網上提供服務，實現可信交互，產生了中心化身份賬戶身份解決方案。

該方案是指由網絡應用服務提供商對其用戶進行身份管理，包括提供身份注冊服務以分配用戶身份標識、保存用戶身份信息數據，進行用戶身份的識別、驗證和服務授權等。后來為了解決中小服務商難以提供用戶身份管理的問題，產生了聯盟身份，即由大的網絡服務提供商來代為提供用戶管理。中心化的身份賬戶存在以下主要問題。

中國工程院院士：分布式數據存儲成為維持元宇宙持久運轉的基本方式:11月23日，主題為“數據覺醒”的“2021（十七屆）中國數據與存儲峰會”在線上召開。“元宇宙既包含數字經濟中的5G、人工智能、區塊鏈、云計算、大數據，也融合了對VR、AR、腦機接口、物聯網等技術的前瞻布局。”中國工程院院士、清華大學計算機科學與技術系教授鄭緯民指出，元宇宙是一個由數據組成的世界，分布式數據存儲成為維持元宇宙持久運轉的基本方式。同時，在數據的使用過程中，數據生產者、管理者、整合者、使用者等角色之間的權利邊界存在一定的模糊交叉，導致數據要素的產權屬性難以確認，將引發大量數據濫用的情況，區塊鏈則是解決這一系列問題的關鍵技術和基礎設施。

在鄭緯民院士看來，算力和數據是元宇宙和數字經濟發展的基礎，數字政府、金融科技、智慧醫療、智能制造等互聯網創新領域都需要算力支撐。隨著我國數字經濟推進速度的加快，各行各業已經積累了大量的數據，為數據要素化、市場化奠定了穩固根基。（東方網）[2021/11/23 7:06:41]

首先，用戶身份依賴身份提供者；其次，用戶身份容易被盜用，無法實現行為的防抵賴；再次，不支持身份跨應用互認，因而難以實現服務協同。聯盟身份的發展導致了數據高度集中，形成了壟斷趨勢，一旦用戶數據泄露，對用戶造成的損失影響重大。

分布式身份正是在這樣一種時代背景下的產物，它將替代中心化身份認證的方案，以協議層方式重構互聯網底層信任基礎設施。

百望云研究院院長朱利明：區塊鏈是分布式商業時代必需的基礎設施:金色財經現場報道，9月26日，2021區塊鏈服務網絡（BSN）全球合作伙伴大會于杭州開幕，會上，百望云研究院院長朱利明演講表示，

百望云通過發票，服務了大概中國2000家以上的集團客戶。開發票，并不分行業，正是因為通用性，積累了龐大的客戶的群體。發票上有豐富的信息。它有交易的時間，交易的對手，還有交易的產品的明細。區塊鏈本身雖不能保證上鏈數據的真實性，但在中國，發票相對來說講真實程度比較高的。

今天，整個商業已經進入分布式商業時代，區塊鏈必然是基礎設施。通過建立區塊鏈平臺，不僅能幫我們減少，降低企業數字化難度，而且能夠更好的管理產業鏈。[2021/9/26 17:08:02]

分布式身份將解決身份所有權、身份安全性以及身份互聯互信的問題，是開啟下一個互聯網時代的入口。簡單來講，基于分布式數字身份基礎設施可以實現：一是協議層的身份解決方案，促進應用孤島的融合。二是服務提供商不需要進行用戶身份管理，只需要通過API實現用戶數據的請求和驗證。三是用戶持有身份數據，控制其身份數據的授權訪問。四是每個組織都可以簡單地介入互聯網的身份層，并從已經存在的生態組織中獲益。五是能夠創造具有網絡規模效應的價值。

分布式數字身份的工作機制

我們說身份有三個維度，這三個維度分別是身份標識、身份的屬性以及身份的交互。在物理世界，身份實體所有者本身就是身份的標識，在數字世界，我們需要用一個字符串來指代身份的所有者。在分布式數字身份中，分布式數字身份標識符由字符串組成，不需要中央注冊機構就可以實現全球唯一性，它可以用來指代身份主體在不同場景下的身份角色。

火鏈科技加入IEEE分布式賬本標委會 推動國際標準制定:據官方消息，近日，火鏈科技正式加入IEEE分布式賬本標準委員會，CEO袁煜明出任執行委員會成員，參與重大事項的決策。

此前，在9月24日召開的P3209身份密鑰的工作組會議中，袁煜明受邀出任副主席職務。目前，火鏈科技已經加入十多個IEEE區塊鏈相關標準制定的工作組，主導撰寫5項、并參與定制十多項標準，涉及區塊鏈技術在交易、支付、身份管理等領域的業務定義、設計框架、商業邏輯、技術實踐等話題。接下來，火鏈科技將繼續在標準建設方向持續投入，以推動形成行業內的標準與共識。[2020/9/30]

一個實體所具有的屬性是指，比如他是某國家的公民，某公司的員工，他具有某種車型的駕照。在數字世界里，需要通過與標識符所關聯的身份屬性斷言來表示，這種斷言因為有權威數據方的背書而具有公信力。在分布式數字身份中，身份的屬性通過可驗證憑證數據來表達。

與其他數字身份一樣，分布式數字身份交互也要解決身份的識別、驗證和授權問題。所不同的是，由于去中心化特征，分布式身份將發展出標準化的點對點通信協議。在討論分布式身份工作機制之前，我們需要進一步了解分布式身份的三個維度。

首先是去中心化標識符，大家看到的是。W3C關于分布式標識標準中的一個數據結構示例，一個標準的分布式數字身份標識符，通過結構化的DIDDock表示。除了分布式數字身份標識符以外，DIDDock中還包括與此身份相關聯的公鑰信息、授權支持信息、服務入口點地址、以及用于審計的時間戳和用于數據完整性校驗的簽名數據。可以看出，分布式數字身份其實是一種公鑰設施，身份DID的持有證明，也是DID私鑰的持有證明，通過公鑰驗簽方式來實現。此外，通過授權支持可以實現身份主體與身份控制者的分離，支持身份委托需求。

開源礦池方云豪：Filecoin發展到現在依然存在很多問題，分布式存儲賽道成立:IPFS100.com現場報道，9月20日，由節點咨詢主辦，WAVES、金色財經、IPFS100聯合主辦的“DeFi崛起 引領礦業新思潮”共為創業者大會·鷺島分論壇在廈門舉行。

在圓桌討論環節中，開源礦池合伙人方云豪表示，Filecoin發展到現在確實有很多問題。從技術開發上，廣大礦工高估了官方的技術水平，也高估了官方工程能力。可能很多中國技術公司甚至比官方的開發團隊還要強有效率及穩定。

第二個困境是經濟模型。至今都沒有提出很好的讓礦工可以接受的版本。

我們認為，Filecoin分布式存儲，要把礦工吸引進圈，礦工進圈子以后，后續的生態做得越來越強，質押幣的數量可以提上去，對網絡的生態增強有很好的幫助，但是Filecoin還是一個初期的項目，如果Filecoin像阿里云一樣是正常的項目，高質押是沒有問題的。

還有一個困境，有很多準礦工徘徊在外，進場時機是廣大礦工思考的問題。主網上線的時間也受限目前的經濟模型沒有確定。主網上線時間確定性與風險耦合，所以一直有這樣僵持的局面。分布式存儲賽道值得期待，Filecoin仍然是該領域最好項目。[2020/9/20]

分布式身份中的第二個維度是可驗證憑證。簡單來說，可驗證憑證就是關于某身份主體具有某種身份屬性的背書斷言數據，包括身份斷言和身份斷言簽名兩部分。如圖，是W3C可驗證憑證數據結構規范中的一個簡例，這是一個關于姓名的可驗證憑證，斷言部分只包括姓名屬性，簽名Proof的內容包括Proof驗證方法與憑證發行者ID所關聯的關于斷言的私鑰簽名。

支付寶自研分布式數據庫OceanBase向全球開放，可兼容Oracle:由支付寶自研的金融級分布式數據庫OceanBase正式通過阿里云向全球開放，企業可在云上獲得“支付寶同款”的數據庫處理能力。支付寶方面介紹稱，OceanBase可實現數千億條記錄、數百TB數據上的跨行跨表事務，可兼容Oracle和Mysql，支持一鍵快速遷移，并提供云上的完整生態服務。目前，OceanBase已經在建設銀行、南京銀行等多家商業銀行和保險機構上線。（IT之家）[2020/3/25]

分布式身份第三個維度是分布式通信協議，這個通信協議的2.0版本規范正在由DIF組織起草。DIDCommunication協議與傳統的WebAPI的主要不同在于，不是通過服務器來控制所有各方的交互狀態。相反，DID各方都是對等的，他們通過彼此對規則和目標的共同理解以及共識來進行互動。

協議主要包括兩個特征：一是DID通信協議是基于消息、異步和單工機制的。二是消息的安全性是基于對等身份驗證來建立的。基于DID通信協議進行自定義消息傳遞和處理，可以實現不同場景下的業務需求和擴展。我們可以看到DIDCommunication不依賴任何第三方組織可以最大程度滿足點對點實體的自由交互，激發數字化應用創新。

在了解了分布式身份的三個維度之后，我們來看一下分布式身份的工作模型。分布式身份的生態可以簡化為發行者、持有者和驗證者三方，其工作原理即可驗證憑證流轉模型。

首先，身份各方將自己的身份在分布式賬本上進行公示，以提供后續身份交互過程中的數據驗證支持。第二，發行人向身份持有者簽發身份憑證，身份持有人接收驗證并保存憑證。第三，身份驗證方向持有人請求身份憑證信息，持有者簽名并出示可驗證憑證，身份驗證方驗證憑證的歸屬和憑證簽發來源。可驗證憑證流轉模型的主要特點或者說是主要優勢在于：一是支持實體ID通過不同場景下角色來進行表達，從而避免了角色信息被歸集。二是DID與可驗證憑證解耦，支持了用戶名下的憑證信息可以被重新組合復用。三是基于分布式身份構建的可信Web不需要遵循任何預先建立的層次結構。

我們看這一點就與傳統的CA體系有很大的不同。中心化的CA系統之間如果要進行互認，那么需要依賴頂層的CA，這就需要在CA系統構建之初就進行規劃設計，明確下來。

分布式數字身份技術架構

去中心化公鑰基礎設施是分布式身份的基石，它為分布式數字身份提供了連接安全。與傳統PKI不同，去中心化公鑰基礎設施不需要中心化的CA組織來實現密鑰的分發與托管，而是身份所有者自己進行身份密鑰的創建與注冊。分布式賬本提供了統一的密鑰公式、維護和發現機制。與傳統PKI相比，去中心化公鑰基礎設施具有以下特征：它不依賴單一的中心化機構，沒有后門和管理員特權，無系統單點故障，具有彈性的信任基礎結構，支持互操作性。

基于去中心化公鑰基礎設施，可以有效的去除從前PKI體系下的中間人攻擊問題。那么我們需要如何建立DPKI的基礎設施呢？在分布式身份中，每個實體擁有不止一個DID，每個ID對應一個關系，一個私有的消息安全通道。怎樣來管理這些DID和私鑰？如果這些信息丟失了又應該怎么辦？答案是分布式密鑰管理系統。

分布式密鑰管理系統基于分布式賬本組件和身份代理軟件構建。分布式賬本用于發布連接驗證公鑰和數據所有者驗證公鑰信息，提供公開的身份驗證和憑證驗證。代理代表獨立的身份所有者和身份控制者，擁有唯一體現其授權的加密密鑰，代理基于DID通信協議進行交互。

代理軟件通常包括消息通信組件、身份錢包組件、本地數據容器組件。消息代理組件負責與外界的交互，以實現消息的收發。其次消息代理組件負責調用本地的身份錢包和數據容器，進行消息的加解密與存儲。身份錢包組件主要是進行密鑰和秘密數據的管理，具體而言，它會負責進行代理管理、DID連接管理以及憑證管理。

代理軟件根據其部署的位置不同，又分為邊緣代理和云代理。管理身份密鑰的代理軟件，多數情況下會安裝在個人所有的移動智能通訊設備上。為了實現持久消息在線和邊緣設備尋址，需要擴展身份代理到云端，云代理可以有不同的廠商來實現和維護，被注冊的邊緣代理提供消息路由服務。此外，云代理服務可以簡化邊緣代理的密鑰找回機制，并實現邊緣代理的數據備份和多設備同步需求，但是不會形成對邊緣設備的綁架和數據的竊聽。邊緣設備是唯一用戶身份密鑰管理設備，因而唯一可以代表身份持有者的意愿。

身份數據通常在邊緣設備的身份錢包中加密以后上傳云代理托管。在消息傳輸的過程中，邊緣代理發起交互，并進行消息加解密，云代理則主要提供消息路由、路由加解密功能，DKMS規范約束了錢包和代理的行為，其制定的宗旨是使身份代理標準化，消除安全隱私和供應商鎖定的隱患。

可驗證憑證技術提供了分布式數字身份中的數據安全，前面我們已經講到可驗證憑證是DID實體之間進行數據交換的方式，通過發行者簽名確保數據不可篡改。與可驗證憑證相對應的可驗證表述是身份所有者向身份驗證者提供數據的形式，它由分布式數字身份錢包中的加密組件進行構造，它也是一種防篡改的表述，來自一個或多個可驗證憑證，由披露該對象的主體進行簽名，無論是直接或者是間接引用可驗證憑證，身份屬性都以可驗證表述的方式進行提交，這也就是說可驗證表述中不包括可驗證憑證的原文，因此不會產生可驗證憑證接收者進行身份盜用的問題。

概括而言分布式數字身份系統的分布式體現在以下四個部分。

一是DID發現。基于開放的分布式賬本，而不是基于某一個中心化機構的系統。二是DID驗證。它是一種基于屬性的驗證，由代理之間相互認證，而不需要依賴第三方。三是DID交互。它是典型的點對點通信協議，與傳輸協議無關，他們之間的交互也不需要依賴第三方。四是DID數據存儲。基于分布式加密存儲，其推廣和分享都需要由所有者進行授權，數據具有可移植性，是不需要綁定在DID存儲商身上。

基于以上架構，分布式身份有效地建立了網絡主體之間的機器信任和人的信任，實現了身份的自主性、安全性和可移植性。

特別補充說明，在分布式數字身份可驗證憑證技術中，采用基于零知識證明的匿名憑證技術，可以有效解決隱私保護問題，實現憑證屬性的最小披露和基于邏輯范式的結果證明。分布式數字身份技術很好的回答了如何實現未來數字身份的十項基本要求。

從應用層面看，分布式數字身份將對數字化生活帶來哪些重要的影響呢？一是以用戶為中心，分布式身份改變了傳統的數據依賴方直接對接數據發行方的模式，使得數據回歸所有者，服務與數據分離，網絡應用得以以身份所有者為中心展開。二是基于屬性的訪問授權將逐漸取代基于角色的訪問授權，應用服務不再是千人一面，而是真正可以做到千人千面的定制化服務。三是基于分布式身份可以實現所有實體之間的可信身份交互和可信數據流轉，這不僅僅是分布式系統之間的，也包括中心化系統之間以及中心化系統到分布式系統之間，從而建立起真正的全網可信。四是可信數據與數據憑證化流轉將激活數據的資產屬性，也使得線下資產得以以數據化流轉，數字經濟將借由可信網絡而繁榮和發展。五是分布式身份和點對點通信協議將促進去中心化組織的發展，釋放人類在數字世界的創新潛能，加快人類經由數字化發展，提高集體社會智能的腳步。

本文來源：區塊鏈專業委員會

本文作者：中鈔區塊鏈技術研究院平慶瑞

Tags：DID區塊鏈OINFILdid幣是不是騙局區塊鏈運用的技術不包括coinbase下載app官方filecoin幣價估值

USDT