分布式數字身份產業聯盟：《DIDA白皮書》（58頁）.pdf

《分布式數字身份產業聯盟：《DIDA白皮書》（58頁）.pdf》由會員分享，可在線閱讀，更多相關《分布式數字身份產業聯盟：《DIDA白皮書》（58頁）.pdf（58頁珍藏版）》請在三個皮匠報告上搜索。

1、 I 前前 言言 本白皮書參與編寫的單位（排名不分先后）：北京百度網訊科技有限公司、微眾 銀行、溪塔科技、中鈔區塊鏈技術研究院、飛天誠信科技股份有限公司、國家金融 IC 卡安全檢測中心、騰訊云計算(北京）有限責任公司、浦發銀行、億聯銀行。 本白皮書主要編寫人員（排名不分先后）：張開翔、韓丹、汪佳偉、李璇、王玉 操、張亞寧、盧緗梅、平慶瑞、潘镥镥、曾梓杰、張利琴、劉雅靜、楊波、張彥超、 劉江、劉鑫、黃超、郭林海、馬文婷、張增駿。 本白皮書的評審專家（排名不分先后）：蔡吉人（中國工程院院士，國家信息化 專家咨詢委員會委員）、陳靜（國家信息化專家咨詢委員會委員，中國人民銀行科技 司原司長）、劉多（中

2、國信息通信研究院院長、中國通信標準化協會副理事長、中國 互聯網協會副理事長及秘書長、工業互聯網產業聯盟理事長）、李京春（中國信息安 全標準委員會(TC260)安全評估組(WG5)組長，中國信息協會信息安全專委會副主任委 員）、馬智濤（微眾銀行副行長兼首席信息官）、詹榜華（北京數字認證股份有限公 司董事長，北京商用密碼行業協會會長）、徐?。ㄇ迦A大學計算機系副主任）。 II 目 錄 第一章 聯盟定位，愿景，目標，計劃 . I 第二章 行業現狀分析 . 3 2.1 現有數字身份痛點分析 . 3 2.2 分布式數字身份標準 . 5 2.2.1 分布式數字身份介紹 . 5 2.2.2 分布式數字身份主流

3、協議與規范 . 6 2.2.3 分布式數字身份的支撐體系 . 7 2.2.4 分布式數字身份主流國際組織與應用場景 . 7 2.3 分布式數字身份整體框架 . 11 2.3.1 分布式賬本層 . 12 2.3.2 DPKI 網絡層 . 12 2.3.3 可信交換層 . 12 第三章 主流 DID 協議和規范 . 14 3.1 DID（W3C） . 14 3.2 Verifiable Credential（W3C） . 17 3.3 DID-Auth （RWOT） . 18 3.4 DKMS（OASIS） . 19 3.5 DIDComm（DIF） . 20 第四章 分布式數字身份的支撐體系 .

4、 22 4.1 分布式賬本 . 23 III 4.2 身份代理 . 25 4.3 憑證交換 . 28 4.4 身份數據中心 . 30 4.5 委員會和治理 . 31 第五章 領域應用場景和案例 . 32 5.1 WeIdentity . 32 5.2 分布式數字身份 + 教育身份：騰訊云可信教育數字身份（教育卡） . 32 5.3 分布式數字身份 + 投票：網貸機構良性退出平臺 . 34 5.4 分布式數字身份 + 版權保護：“人民版權”平臺 . 35 5.5 分布式數字身份 + 證書管理：澳門智慧城市之證書電子化項目 . 36 5.6 基于物聯網 + 數字身份的智慧停車系統 . 37 5.7

5、 分布式數字身份+電子車牌： 騰訊領御 TUSI DID 電子車牌應用 . 39 第六章 分布式數字身份建設面臨的挑戰和應對 . 41 6.1 技術儲備 . 41 6.2 行業應用 . 42 6.3 標準和規范建設. 43 6.4 法律法規的發展. 45 第七章 總結和展望 . 47 附錄一：相關法律法規 . 49 附錄二：協議規范 . 51 1 第第一章一章 聯盟定位，愿景，目標，計劃聯盟定位，愿景，目標，計劃 分布式數字身份產業聯盟（DID-Alliance，簡稱 DIDA）由中鈔區塊鏈技術研究院 與飛天誠信科技股份有限公司共同發起，聯合百度、國家金融 IC 卡安全檢測中心、杭 州城市大腦

6、有限公司、杭州銀行、京東數科、浦發銀行、奇安信、山東區塊鏈研究院、 騰訊云、微眾銀行、西安大數據、溪塔科技、億聯銀行、中國電信研究院、中國銀聯 電子支付研究院（排名不分先后）成立的非營利性社會組織。聯盟秉持“讓數字世界 互信互連”的基本愿景，以“共建分布式數字身份基礎設施，打造可信開放數字新生 態”為聯盟主要使命。 “身份”與每個人都息息相關，人們都在不同的地方擁有不同的身份屬性，身份 即一個人所有的屬性和行為的集合。在現實生活中，我們擁有身份證、護照、駕照、 企業工牌等，在以往，我們使用這些有著物理介質、或者部分電子化的憑據形式給出 身份證明，但在互聯網這個的大環境中，如何構造合理并可信的身

7、份證明關系，使其 具備數字化、網絡化的特質，是值得探討的課題。 另一方面，目前的互聯網應用尚未脫離互信互通的困境，數據孤島和數據濫用的 問題依舊存在。隨著新基建等浪潮推動，價值互聯網是進化的方向，人們日益重視隱 私保護，數據成為生產要素，于是身份和相關憑據、數據的可信互通成為迫切的需求。 我們認為，在政策、技術和市場的共同驅動下，分布式數字身份技術終將成為數 字化進程的必然選擇。聯盟的工作目標是希望最大化地挖掘分布式數字身份技術的潛 能，推動互聯網技術的發展，促進分布式數字身份技術與現有生態的融合。 DIDA 將從以下四個方面入手開展工作： 2 深入研究分布式數字身份技術深入研究分布式數字身份

8、技術。聯盟將致力于了解、跟進全球分布式數字身份的 最新動態，深入研究包括去中心化公鑰基礎設施（DPKI）、密碼學、憑證在內的各項 核心技術，探索分布式數字身份的多種技術演進路線，促進分布式身份技術的交流與 傳播。 促進分布式數促進分布式數字身份的行業應用字身份的行業應用。 作為我國分布式數字身份行業中領先的產業組織， 聯盟致力于探索分布式數字身份的應用場景，搭建合作交流平臺，組織產、學、研開 展合作，在促進成員共同發展的同時，為社會提供基于分布式數字身份的跨域協同項 目示范。 搭建中國的分布式數字身份網絡搭建中國的分布式數字身份網絡。全球分布式數字身份網絡以互聯互通作為目標， 聯盟將參考國際最

9、佳實踐，結合國內廠商搭建的基礎設施，通過提供開源工程、制定 規范等方式，促進中國分布式數字身份網絡的落地和互聯互通。 與國際分布式數字身份接軌。與國際分布式數字身份接軌。作為本土企業與國際數字身份聯盟和標準化組織的 橋梁，聯盟致力于加強國際間交流與合作，一方面，促進分布式數字身份相關國際標 準的帶入和本土化， 另一方面， 通過國際間項目合作促進全球互聯互通的確認和發展。 3 第二章第二章 行業現狀分析行業現狀分析 情報和市場研究平臺 MarketsandMarkets 最新報告中指出，2019 年全球數字身份解 決方案市場規模達到 137 億美元，到 2024 年，該市場預計將增長至 305

10、億美元，預測 期內（2019-2024 年）的年復合增長率（CAGR）為 17.3%。 在分布式數字身份誕生之前，人們的身份信息其實或多或少已經數字化，但數字化 不意味著網絡化、可信任，以及可以便捷且合法合規的互聯互通。本節從觀摩行業現 狀開始，并展望分布式數字身份的發展。 2.1 2.1 現有數字身份痛點分析現有數字身份痛點分析 從我們熟悉的互聯網業務來看，用戶的身份和數據已經一定程度上數字化和網絡 化， 互聯網公司通常也具備一整套處理認證和訪問控制的業務系統。 出于便利性考量， 大多數互聯網應用的數字身份以用戶名密碼為主，并結合真實身份認證完成實名驗身。 互聯網的賬戶體系通常從屬于應用領域

11、，如社交、電商等領域分別采用不同賬號，這 就使得用戶要重復注冊很多的賬號密碼。 其次，出于運營主體和運營壁壘考量，互聯網業務在應用層面并不互聯互通，跨 應用的業務實現難度很大，尤其對于需要用戶確權操作的跨應用業務，可能需要更改 整個業務架構，以使得不同應用領域的用戶身份。 互聯網巨頭依靠平臺效應壟斷市場， 利用用戶數據作為護城河， 產生了大量價值， 但用戶對自己的數據并未擁有話語權和價值收入。用戶的數字身份的關鍵控制點即賬 號密碼，由服務商控制，對用戶來說，僅為租借和使用服務商的服務，服務商可以決 4 定賬號禁用、服務終止，更進一步，由于利益驅使，圍繞著用戶數據發生的非法收集、 數據泄露和買賣

12、行為防不勝防，損害用戶安全。 隨著數字社會的發展，金融、政務、交通等實體經濟領域也融合了大量的互聯網因 素，其原有的、基于物理介質和實體身份的認證體系在進化過程中，已經遭遇互聯網 服務類似的問題，由于實體經濟的地域性特征更濃，安全等級要求更嚴，蘊含的價值 更高，隱私挑戰更大，事關國計民生，所以，身份認證帶來的問題會更加突出。 綜上所述，我們將其歸結到三個痛點問題： 1 1、重復認證、多地認證的問題、重復認證、多地認證的問題 例如，在金融場景下，同一公民去不同的銀行開戶需要分別進行 KYC，用戶體驗 繁瑣，身份數據相互重疊，數據可能存在差異甚至沖突。多頭建設的身份體系在浪費 資源的同時，也存在諸

13、多數據共享和使用上的障礙，不同企業主體間的數據信息分別 存儲，無法綜合利用。 2 2、身份數據隱私與安全問題、身份數據隱私與安全問題 用戶身份信息散落在各個企業級的身份認證者手中，用戶對自身信息的使用不夠 審慎，或者企業對用戶身份進行信息驗證都會引發身份信息的暴露，甚至對用戶隱私 信息造成嚴重侵犯。其次，用戶身份信息在各家企業的服務器上存儲，不同的企業對 數據安全的重視程度和措施強度不同，使得用戶的數據泄漏是一個木桶效應的問題， 任何一處被攻破，用戶的隱私即被泄露。用戶個人信息維護成本昂貴。數據顯示，歐 盟地區，僅英國每年的身份確認成本已經超過 33 億英鎊，約等于 290 億人民幣。 3 3

14、、中心化認證效率和容錯性問題、中心化認證效率和容錯性問題 在傳統的 PKI 系統中， 數字證書是認證的核心， 它由相對權威的 CA 機構簽發的。 一方面，這種中心結構可能存在性能問題，其涉及證書的所有操作，任務繁重，可能 5 成為性能短板拖累效率，如龐大的已撤銷證書列表的有效分發。另一方面，單中心的 結構容易使其成為攻擊的目標，一旦上級 CA 機構被攻破，則與之相關聯的下級 CA 也 會受到牽連。 2.2 2.2 分布式數字身份標準分布式數字身份標準 2.2.1 2.2.1 分布式數字身份介紹分布式數字身份介紹 在政策、技術、市場因素的共同驅動下，產生了一種新的數字身份形態分布式 數字身份，它

15、用分布式基礎設施改變應用廠商控制數字身份的模式，讓用戶控制和管 理數字身份，通過將數據所有權歸還用戶從根本上解決隱私問題。 要使身份具有真正的自我主權，這種基礎設施必然需要駐留在分散信任的環境中。 區塊鏈技術的出現讓自我主權身份的實現終于找到了突破口，作為分布式體系里的代 表性技術，區塊鏈有望成為分布式數字身份的技術基礎。區塊鏈技術用哈希鏈的數據 結構改變了電子數據易被篡改的屬性， 用“區塊+共識算法”解決分布式系統的數據一 致性問題，拜占庭容錯能力保證跨實體運行的系統不受少數節點惡意行為的影響，從 而解決業務層面的信任難題，有望在服務商之間搭建互聯互通的協議。 W3C 提出了基于區塊鏈的分布

16、式數字身份 DID 的概念， 分布式數字身份具有以下 優勢： 1） 安全性： 身份所有者身份信息不被無意泄露， 身份可以由身份持有者持久保存， 身份信息提供可符合最小披露原則； 2）身份自主可控：用戶可以自主管理身份，而非依賴可信第三方；身份所有者可 以控制其身份數據的分享。 6 3）身份的可移植性：身份所有者能夠在任何他們需要的地方使用其身份數據，而 不需依賴特定的身份服務提供商。 當然，區塊鏈技術只是用于實現分布式數字身份的基礎技術之一，分布式數字身 份的版圖中無論是技術、生態還是行業法規還有更廣泛的內涵和外延。 2.2.2 2.2.2 分布式數字身份主流協議與規范分布式數字身份主流協議與

17、規范 正如互聯網建立在 TCP/IP 等協議提供的網絡連接能力上，分布式數字身份也建立 在一系列為互聯網身份而定制的協議規范基礎上。 國際電子技術委員會對“身份”的定義是“一組與實體關聯的屬性”， 分布式數字 身份也不例外， W3C 的 DID 規范和可驗證憑證規范分別定義了代表實體的身份標識符 及與之關聯的屬性聲明，其共同支撐了分布式數字身份基礎模型可驗證憑證流轉 模型的有效運轉。 圖 1-分布式數字身份基礎模型可驗證憑證流轉模型 分布式數字身份主要規范作為對可驗證憑證基本模型的支撐，尤其是對于 DID 層 面的信任框架的保障，通過 DKMS、DID-Auth、DIDComm 等一系列協議和

18、標準，提 供了分布式數字身份自主可控、可信交換、隱私保護等特點。 7 2.2.3 2.2.3 分布式數字身份的支撐體系分布式數字身份的支撐體系 為了使人們能夠隨時、隨地使用分布式數字身份，且具有良好的用戶體驗和豐富的 應用場景，需要一系列基礎設施來支持。 自底層向上，用戶分別需要分布式賬本提供對身份自主權的支持、代理組件提供用 戶管理身份和與其它實體通信的工具、憑證應用工具提供用戶身份憑證流轉支持。此 外，當用戶數據使用云存儲代替本地存儲時，還需要個人數據存儲組件提供安全的數 據管理服務。 2.2.4 2.2.4 分布式數字身份主流國際組織與應用場景分布式數字身份主流國際組織與應用場景 2.2

19、.4.1 2.2.4.1 分布式數字身份主流國際組織分布式數字身份主流國際組織 分布式數字身份出現的歷史雖短，但發展速度快，受到了極高關注。 目前國內外 已經問世的和分布式數字身份相關的項目已經超過 200 個，其中一部分加入了 DIF （https:/identity.foundation/）即分布式數字身份基金會，該基金會旨在推動基于區塊鏈 的分布式數字身份管理協議的通用化和標準化。DIF 成員包括 IBM，微軟，NEC，埃 森哲，區塊鏈組織超級賬本，R3，以太坊企業聯盟，金融機構 MasterCard，國內也有多 個組織加入，如微眾銀行等。 W3C 組織的 DID 工作組成立于 2019

20、 年 9 月，主要任務是制定 DID 規范，DID 規 范包括對 DID URL 方案標識符、數據模型、DID 文件語法等的標準化。截至目前， 該工作組已有來自全球的多個機構，包括 GS1、微軟等，以及國內的工信部信通院等。 目前 DID 的規范和技術方案已經初步成型，W3C 的 DID 規范 8 （https:/w3c.github.io/did-core/）和相關協議認可度較高，是行業采用的主要參考，其他 還有基于以太坊的多個 EIP 提案的實現，在工業物聯網層面，也存在 Handle，Ecode 等多種標識規范。各項規范和協議在設計思路、細節風格上雖然有一定的差異，其核 心都是為了解決身

21、份標識、權威認證、可信驗證、高效互通、隱私保護等核心問題。 目前在 W3C 的 DID 注冊表中已注冊了 50 多個廠家的 DID method 實現， 在應用落 地的過程中，通常針對不同場景中的不同需求采取了不同的實現方案。我們將介紹基 于 W3C 組織 DID 協議規范的海外主要應用場景與案例， 通過對這些應用場景與具體案 例的分析，有助于我們理解不同分布式數字身份方案的價值。 2.2.4.2 2.2.4.2 可驗證企業網絡可驗證企業網絡 VONVON VON 全稱 Verifiable Organization Network，即可驗證企業網絡，是 Sovrin 協議的開 源項目 Hyp

22、erledger Indy 的應用。該項目是加拿大不列顛哥倫比亞省政府關于實現可分 享企業（組織）數據的開放、統一和可信網絡的一項探索，該網絡通過流轉有關企業 資質的可驗證憑證，減少了那些需要和請求企業（組織）數據的應用服務的人們的工 作量，因為基于 VON 可以從受信任的來源輕松獲得這些數據。VON 為政府數字服務 提供者提供了極大改善其用戶服務體驗的可能性。 2.2.4.3 2.2.4.3 分布式數字身份管理分布式數字身份管理 ShoCardShoCard 9 ShoCard 是較早嘗試分布式數字身份管理的項目， 它利用分布式賬本為用戶綁定標 識符和現有的可信憑證（如護照、駕照），記錄驗證

23、歷史，為用戶提供分布式的可信 身份。旅行者使用移動終端對身份證件拍照，將元數據加密存儲在本地，將可驗證信 息存證于區塊鏈，當用戶出示證件進行驗證時，身份驗證方除了驗證物理證件，還可 驗證區塊鏈記錄。 IdentiCATIdentiCAT 2019 年 9 月，西班牙加泰羅尼亞自治區政府宣布啟動用戶主權的分布式數字身份 項目 IdentiCAT，這是歐洲第一個開放的數字身份。IdentiCAT 提倡用戶控制自己的數 字身份和相關數據，構建在分布式賬本基礎上，居民通過自己的軟件管理數字身份， 維護隱私。 瑞士楚格市居民數字身份瑞士楚格市居民數字身份 ZugZug DigitalDigital ID

24、ID 從 2017 年 9 月開始，瑞士楚格市為全市約 30,000 公民提供分布式電子身份 eID， 該身份基于去中心化身份平臺 uPort 在以太坊區塊鏈（Ethereum）上實現，eID 的所有 者可以使用移動應用程序提供身份信息，依賴方可以通過區塊鏈檢查數字簽名來驗證 數據的真實性。所有個人數據僅存儲在單獨的移動電話上，經過加密，公民完全可以 控制要發布的信息以及向誰發布的信息。eID 可以用于多個城市特定服務，例如城市公 共事物公民投票，城市共享自行車 AirBie 服務等。 ThalesThales Gemaltos Trust ID NetwGemaltos Trust ID N

25、etworkork Thales Gemalto s Trust ID Network 是一個基于區塊鏈的分布式數字 ID 平臺， 基于 R3 區塊鏈平臺構建，允許服務提供商簡化客戶身份管理和簡化盡職調查流程，支持最 終用戶完全控制自己的身份。作為數字身份系統，它引入多個 ID 驗證源，并符合數據 隱私合規性要求， 可用于構建一個國家身份計劃， 或者在行業內部形成聯盟身份計劃。 10 2.2.4.4 KYC2.2.4.4 KYC 客戶身份分析客戶身份分析 Synechrons SelfSynechrons Self- -sovereign KYCsovereign KYC Synechron

26、設計和構建的 CorDapp 在 Corda 區塊鏈中網絡支持了交換和管理客戶的 KYC數據， 39個實體在Microsoft Azure區塊鏈服務平臺中部署并總共運行了45個節點。 銀行參與居多，包括荷蘭銀行，阿爾法銀行，塞浦路斯銀行等。銀行可以在區塊鏈網 絡上請求訪問客戶的 KYC 測試數據，而客戶可以批準請求并撤消訪問權限?？蛻暨€能 夠更新其身份數據，然后自動對所有具有訪問權限的銀行進行更新。 韓國的韓國的 NongHyupNongHyup（NHNH）銀行區塊鏈）銀行區塊鏈 IDID 卡卡 韓國的 NongHyup（NH）銀行已經引入基于區塊鏈的移動 ID 系統，新的移動 ID 系統基于

27、區塊鏈技術，通過智能手機（而非傳統的 ID 卡）實現方便的身份驗證。該項 目旨在有效保護其個人身份數據的前提下，面向個人提供更好的服務：基于區塊鏈的 ID 服務將用于通勤和管理進入辦公室的訪問權限，將來，計劃擴展移動 ID 卡，使其 方便設置服務的約會和付款。 加拿大銀行分布式數字身份加拿大銀行分布式數字身份 加拿大一些領先的銀行正在支持新的基于區塊鏈的數字身份網絡。由多倫多的 SecureKey Technologies 開發，Verified.Me 結合了在線銀行憑證，生物識別技術和移動運 營商有關人們手機的信息，以進行多因素驗證。CIBC，Desjardins，RBC，Scotiaban

28、k， TD，BMO（蒙特利爾銀行）和加拿大國家銀行等多家加拿大銀行都在支持這項服務。 該服務利用了 Telus，Bell 和 Rogers 擁有的合資公司 EnStream 的數據，這些數據提供有 關與用戶智能手機有關的因素的身份信息。該服務可以幫助明顯改善客戶體驗，并滿 足 KYC 和反洗錢（AML）的義務。 11 阿塞拜疆中央銀行分布式數字身份阿塞拜疆中央銀行分布式數字身份 阿塞拜疆中央銀行表示，2020 年第一季度阿將采用基于區塊鏈的數字 ID 系統。該 系統在轉移到信貸組織的個人數據的安全性以及遠程處理大多數操作方面具有廣闊前 景。在初始階段，阿塞拜疆中央銀行（CBA）將為法人和個人開

29、設遠程帳戶；在最后 階段，該項目的目標是將其他銀行服務和自動化的資金監控系統包括在內，以防止恐 怖主義融資和洗錢。CBA 指出，采用該系統的直接結果將是“將 CBA 轉變為開放銀行 業務”。 2.3 2.3 分布式數字身份整體框架分布式數字身份整體框架 分布式數字身份一般采用多層框架，如下圖是一種典型的分布式數字身份三層架 構。 圖 2-分布式數字身份三層架構 12 2.3.1 2.3.1 分布式賬本層分布式賬本層 分布式賬本層是整個方案的基礎設施，提供了對 DID 文檔（DID Document）以及 其他需要分布式存儲內容的數據存儲錨定。DID 文檔可以直接通過區塊鏈網絡存儲， 在對數據隱

30、私關注更高的情況下也可以結合分布式存儲使用，DID 文檔內最關鍵的是 DID 與公鑰的對應關系，通過區塊鏈錨定這些身份數據的對應關系。 2.3.2 DPKI2.3.2 DPKI 網絡層網絡層 構建分布式數字身份體系，要滿足大規模的數字身份使用場景，需要建立一個大 型的服務系統。而一般的區塊鏈網絡受限于性能和擴展性，無法滿足上層業務場景使 用需求，因此在分布式賬本層的基礎上，可以進一步抽象出 DPKI 二層網絡，通過分 布式的二層網絡解決區塊鏈的擴展問題。 DPKI 網絡層對上層提供了統一的 DID 解析服務， 即 DID Resolver， 此服務可以同 時對接例如 DIF 社區等不同的 DI

31、D 生態，保證 DID 生態間的互認。 DPKI 節點會把上層的 DID 相關的操作打包，創建一個鏈上交易，并在交易中嵌 入該操作批次的哈希，從而提高系統的整理處理性能。使用 DPKI 節點也可以隔離上 層業務對底層區塊鏈存儲的差異性，對業務層和存儲層進行解耦。 2.3.3 2.3.3 可信交換層可信交換層 可信交換層是 DID 系統中各個生態參與方互相建立安全身份認證與數據交換層， 從角色上一般會分為用戶、發證方、驗證方等。用戶通過用戶代理(User Agent)注冊鏈 13 上身份獲得 DID，并依托 DID 向發證方申請各類可驗證憑證，最終向驗證方提供 DID 和可驗證憑證完成驗證流程，

32、典型的身份驗證流程如 DID-Auth 等。 14 第三章第三章 主流主流 DIDDID 協議和規范協議和規范 近年來，圍繞分布式數字身份，由多個標準組織、開源社區、分布式數字身份聯 盟共同努力，推進了一系列分布式數字身份相關技術標準和協議的制定，主要包括： 萬維網聯盟 （W3C） 推動中的分布式標識符 （DID） 和可驗證憑證 （Verifiable Credential） 規范 重啟可信網絡（RWOT）工作組的 DID Auth 規范 結構化信息標準促進組織（OASIS）的 分布式密鑰管理 DKMS 規范 去中心化身份基金會（DIF）推動中的 DIDComm 協議 分布式數字身份主要規范是

33、對作為對可驗證憑證流轉基本模型的支撐，尤其也是 對于 DID 層面的建立分布式數字身份信任框架的保障，為應用間的互聯互通提供共同 的數據格式、通信協議等前提條件。 3.1 DID3.1 DID（W3CW3C） 基于區塊鏈技術的分布式數字身份是 一種自我主權的、 可驗證的、 新型數字身份。 W3C 為這種身份定義了“分布式數字身份標識符規范”（Decentralized ID, DID） 一種新型的全球唯一標識符。 分布式標識符（DID）的用途包括以下兩個方面：其一，使用標識符來標識 DID 主體（人員，組織，設備，密鑰，服務和一般事物）的特定實例；其二，促進實體之 間創建持久加密的專用通道，而

34、無需任何中心化注冊機制。它們可以用于諸如憑證交 換和認證。 15 圖 3- 分布式數字身份對象與 DID Doc（引自 W3C DIDcore） DID 是將是將 DIDDID 對象（對象（DIDDID）與）與 DID 文檔（DID DocDID Doc）相關聯的）相關聯的 URLURL，一個實體可 以具有多個 DID，甚至與另一個實體的每個關系可以關聯一個或多個 DID（成對假名 和一次性標識符）以保護隱私性，身份所有者通過證明擁有與綁定到該 DID 的公鑰相 關聯的私鑰來建立 DID 的所有權。 一個 DID 的定義具有以下形式：“did:” + + “:” + 這類似于一種名字空間的表達

35、，通常是實現并注冊了特定 DID 操作 方法的廠商名稱的縮寫，比如 did:nist:0 x1234abcd?？紤]到方便與其它基于 Internet 的標 識符一起使用，method 特定的標識符通常是 URL 或URI標識符。 DID MethodDID Method 是一組公開的標準操作， 通過它們可以創建， 解析， 更新和刪除 DID。 這些方法允許 DID 在身份管理系統中注冊，替換，輪換，恢復和到期。目前已實現的 DID Method 集中登記在由 W3C CCG 工作組維護的分布式標識符注冊表中，如果現有 分布式 DID Method 不適用，可能需要向此注冊表添加新方法。為了向該注冊表添加新 方法，實現者必須： 16 實現新 DID 方法，至少已完成實驗版本。 在https:/w3c-ccg.github.io/did-spec/上創建一個描述新 DID 方法的規范，該規范可公 開獲得并旨在與 DID 規范保持一致。 確保規范中的標題包含版本號。 作為 DID 方法的一部分，DID 解析器（DID resolver）允許將 DID 作為輸入，并 返回