摘要：本文由中钞区块链技术研究院授权巴比特资讯独家首发，转载需注明出处。原题《分布式数字身份架构及项目研究》作者中钞区块链技术

本文由中钞区块链技术研究院授权巴比特资讯独家首发，转载需注明出处。

原题《分布式数字身份架构及项目研究》

作者：中钞区块链技术研究院 潘镥镥

 

概述

 

数字身份伴随着计算机科学的应用而发展。

在上个世纪 50年代到 90年代，数字身份紧跟着互联网的发展而发展，它可能是 email地址、IP地址、域名，通常由不同的网络服务提供。

当互联网建立了统一的协议标准，迎来了计算机技术和互联网应用的蓬勃发展，越来越多的工作和生活线上化。数字身份演变为复杂的体系，需要一套处理认证和访问控制的业务系统。这时出于便利性的考量，大多数互联网应用的数字身份一般是用户名密码。

当互联网应用的量级剧烈增加，质的变化悄然发生。

? 互联网巨头依靠平台效应垄断市场，利用用户数据作为护城河，产生了大量价值，但用户并没有对自己的数据拥有什么话语权和价值收入。

? 由于利益驱使，围绕着用户数据发生的非法收集、数据泄露和买卖行为防不胜防，损害用户安全。

? 用户的数字身份——账号密码由服务商控制，用户租借使用，服务商可以决定账号禁用、服务终止。

? 互联网的数字身份从属于应用系统，决定了用户要重复注册很多的账号密码，而且互联网在应用层面并不互联互通，一个跨应用的业务实现难度很大。尤其对于需要用户确权操作的跨应用业务，可能需要更改整个业务架构增加跨应用的用户身份。

为解决这些问题，人们已做了大量的尝试。

隐私保护政策纷纷落地。《中华人民共和国密码法》、《中华人民共和国网络安全法》、《信息安全技术个人信息安全规范》等国家技术标准出台，明确了企业在收集、使用、保存隐私数据时所需要达到的技术效果及建议使用的标准化技术手段。国际上，被称为史上最严格的隐私保护法案《通用数据保护法案》 (GDPR)除了明确技术效果之外，更引入了巨额的罚款措施。

区块链技术带来了新的启示。作为一种新的分布式系统形态，区块链技术用哈希链的数据结构改变了电子数据易被篡改的属性，用“区块+共识算法”解决分布式系统的数据一致性问题，拜占庭容错能力保证跨实体运行的系统不受少数节点恶意行为的影响，从而解决业务层面的信任难题，有望在服务商之间搭建互联互通的协议。

在政策、技术、市场因素的共同驱动下，产生了一种新的数字身份形态——分布式数字身份，它用分布式基础设施改变应用厂商控制数字身份的模式，让用户控制和管理数字身份，通过将数据所有权归还用户从根本上解决隐私问题。它通过定义身份层协议提供跨应用的互操作性，促进应用间的互联互通，创造了一种扁平化、弹性化的数字身份模式。

 

1分布式数字身份基本概念和模型

 

国际标准化组织/国际电子技术委员会将“身份”定义为“一组与实体关联的属性”，其中“实体”定义为“操作某个特定域的相关项，具有物理或逻辑形态，包括自然人、组织、设备、SIM卡、护照、网卡、应用软件、服务或网站”。数字身份

通常由代表实体的身份标识符及与之关联的属性声明来表示，分布式数字身份包

括分布式数字身份标识符和数字身份凭证（声明集合）两部分。

分布式数字身份标识符（DID）是由字符串组成的标识符，用来代表一个数字身份，它是一种去中心化可验证的标识符，实体可自主完成 DID的注册、解析、更新或者撤销操作，不需要中央注册机构就可以实现全球唯一性。通常，一个实体可以拥有多个身份，由实体自己进行管理、维护，不同的身份之间没有关联信息，可有效避免身份信息被第三方归集。

数字身份凭证中一般包含一个或多个“声明（claims） ”。声明信息是与身份关联的属性信息，通常包括：姓名，年龄、学历、职业等等。凭证由发行者签名，可通过密码学证明是否由凭证中声称的实体签发且未被篡改，因此被称为可验证凭证。

1.1可验证凭证模型

数字身份系统的主要目的是认证数字身份所有者的身份属性，基于其身份信息提供应用系统的授权访问和服务。

基于上节中分布式数字身份的设计，可以很好地实现基于可验证凭证模型的工作流程：

1. 凭证发行方根据身份所有者请求签署发布可验证凭证；
2. 身份所有者将可验证声明以加密方式保存，并在需要的时候自主提交给凭证验证方进行验证；
3. 凭证验证方在无需对接凭证发行方的情况下，通过检索身份注册表，即可确认凭证与提交者之间的所属关系，并验证属性声明的真实来源。

图2 分布式数字身份体系架构

1.2.1分布式账本

具有分布式 key-value数据存储能力的分布式账本，用作分布式数字身份标识符的注册表，只要确保身份所有者保持对其私钥的控制权，则任何第三方都无法拥有该标识符的使用权，也就无法冒充身份持有者意愿，危害其利益。

分布式账本不可篡改的特点，让它既适合用于分布式数字身份数据（标识符、公钥、通讯地址等）的发布和维护，也适合用于被多方信任的公开信息的公示和验证（如凭证发行方的真实身份信息、凭证模板信息需要被多个凭证验证方进行验证）。

1.2.2基于 DID的交互

分布式数字身份主张用户管理和控制数字身份，不同用户之间不依赖于第三方进行安全通信。通过用户自己管理的 DID标识符和密钥、注册到分布式账本的分布式数字身份数据，满足基于 DID的点对点相互认证和安全通信需要。

就两点间通信而言，其安全通信的工作原理依然是基于传统 PKI挑战响应机制和协商数据加密方式。这种安全通信的底层协议可使用 HTTP、RPC、蓝牙、NFC或其它协议，成为不同解决方案之间端到端互联互通的标准通信方式；

就全网所有节点而言，通过部署在去中心化服务器及个人客户端的身份密钥钱包，以及全网共享的 DID分布式账本，代表任意不同实体身份的节点之间都可以实现基于非对称密钥方式的认证交互，并最终通过这种实体间的信任传递实现全网信任。

1.2.3可验证凭证应用

可验证凭证应用层包括各类基于 DID交互的上层应用。数字身份应用的主要目的是认证身份属性，和基于其身份信息提供应用系统的授权访问。可验证凭证提供了一种以身份持有方为主导，连接凭证发行方和凭证验证方（应用系统），凭证发行方和凭证验证方不需要通信的凭证流转方式。

除可验证凭证流转外，将来在这层也能实现其它点对点的典型应用，如加密社交、股份转移，等等。

1.2.4治理框架

要在分布式网络中建立人类信任，需要建立业务和法律协议，这是治理框架的工作。

治理框架指管理分布式数字身份生态系统的一套决策体系。它对于在没有权利中心进行决策的生态中，有效发挥生态的作用非常重要。治理框架的主要元素包括治理角色、决策范围、决策程序，通俗的说即人、事、规则。

 

2分布式数字身份项目

 

分布式数字身份出现的历史虽短，且仍在快速演化中。通过横向比较具有代表性的一些项目特点，有助于我们更好的理解其技术本质/模式，也有助于了解其未来走向。

本研究选取的比较研究对象是 uport、sovrin、微软 DID、WeIdentity这几个具有一定时间跨度、方案特征差异性、不同场景中的代表性项目。

表1 项目概况

项目历史主导机构设计思想uPort2017年发布白皮书Consensys建立在以太坊区块链上的分布式身份管理应用Sovrin2017年正式启动网络，2018年发布白皮书Sovrin基金会负责运营，Hyperledger Indy和Aries为实现方案自我主权身份和去中心化信任的数字身份生态和网络微软DID2019年发布试用版本微软和DIF基于Azure云服务的DID基础设施组件和标准WeIdentity2019年发布微众银行基于联盟链的可信数据交换解决方案

2.1项目简介

1. uPort

uPort是 Consensys推出的基于以太坊的分布式数字身份管理服务，它可以允许用户进行身份验证、无密登录、数字签名并和以太坊上的其它应用交互。uPort旨在解决普遍存在的区块链用户密钥管理问题，为用户提供持久可用的数字身份。于 2017年发布白皮书。

2. Sovrin

Sovrin是 Evernym初始开发、Sovrin基金会运营、Hyperledger孵化开源的一种用户自主主权身份和去中心化信任的协议，它致力于提供自我主权身份的去中心化的全球公共网络，该网络于 2017年 7月正式启动。

3.微软 DID

微软 DID是一套基于 Azure云服务的分布式数字身份技术架构，它公开了源代码、标准，希望实现互联互通，于 2019年发布试用版本。

4. WeIdentity

WeIdentity是由微众银行推出的基于联盟链身份的实体身份标识和可信数据交换解决方案，依托权威机构提供用户 KYC服务，并以联盟链作为各用户角色的连接中心和信息的存证中心，促进数据可信交换。于 2019年发布。

2.2架构比较

表2 项目架构对比

对比项uPortSovrin微软DIDWeIdentity分布式账本以太坊Sorvin Ledger或其他DLT基于Azure云服务的多链账本FISCO-BCOSDID方法did:Ethr（符合W3C）did:sov（符合W3C，并成为单独标准）did:ion-test;

 

did:testdid:weid(符合W3C，不具有互操作性)基于DID的交互通过智能合约之间转发交易进行交互遵循Hyperleger Aries，标准化的端到端交互模式Identity Hub支持基于DID和密钥的相互认证、安全通信用户依赖于用户代理机构转发可验证凭证应用

基于智能合约绑定DID和链下的身份凭证，使其成为一种新型的用户控制的“数字证书”

遵循W3C可验证凭证数据模型不提供身份认证应用，提供应用需要使用的隐私数据存储管理模块Identity Hub基于W3C可验证凭证数据模型的数据分享，有直接出示和链上授权两种方式治理框架以太币支付交易费用的公有链方式Sovrin治理框架基于云服务的中心化治理联盟链治理方式

2.2.1uPort

uPort是基于以太坊的分布式数字身份管理服务，它可以允许用户进行身份验证、无密登录、数字签名并和以太坊上的其它应用交互。

uPort的整体架构由智能合约、开发者库和移动 APP组成。其中移动 APP持有用户的密钥。以太坊智能合约构成身份管理的核心，包括用户的 uPort标识符管理、身份凭证的管理、以及可让用户在丢失移动设备时恢复身份的逻辑。开发者库可让第三方应用开发者把 uPort集成到他们的应用中。

1、分布式账本

uPort的底层基础设施是公有链以太坊。uPort DID方法已注册到 W3C维护的注册表。

2、基于 DID的交互

uPort智能合约设计体现了用户对数字身份的管理控制和使用。用户使用uPort DID登录其他在以太坊上注册的应用。

图5 VON方案架构

VON是一系列生态系统，每个生态系统均由一个司法管辖区域运营，一般由一个OrgBook和围绕着OrgBook的一组凭证发行方/验证方Agent组成。按照VON的设想，以及按照标准化端到端交互模块的实际实现，多个生态系统之间可以互相连接，以形成跨区域的可验证组织网络。

分布式数字身份在VON项目中的应用带来了以下特性：

一、可信数据

基于匿名凭证技术实现的可验证凭证，由密码学保证了凭证的发行方和凭证的接收方真实可信、凭证内容未被篡改、以及凭证未被撤销，能够成为企业的可信基础，并提供离线验证特性，即凭证验证方无需联系凭证发行方，通过分布式账本和密码学技术即可验证数据的可信。

二、易于扩展

VON遵循Sovrin协议，在Hyperledger Indy的基础上实现，目前一直在持续地产品化和模块化，未来能兼容Hyperledger Aries标准。因此VON网络非常易于扩展，形成跨区域跨应用的可验证组织网络。

3.2?? 澳门智慧城市

澳门智慧城市建设的“证书电子化”项目中应用了WeIdentity方案。

早在2005年，澳门特别行政区就制定了《个人资料保护法》，规定了以公开、透明以及尊重资料当事人意愿的原则处理个人资料，设置了严格的安全保护措施。比如机构向当事人收集个人资料，无论通过哪种途径、用于何处、交由其它机构，都必须告知当事人并取得同意。

在用户求职等场景中，求职企业需要验证个人用户的毕业证书、职业证书等凭证。由于政府机构也受到上述法律法规的约束，不能随意收集用户数据，因此澳门没有类似于学信网这一类政府运营、提供公开服务的第三方机构，企业必须通过联系不同的凭证发行方才能验证真伪。

WeIdentity方案主要通过区块链提供的存证功能解决凭证验证问题。凭证发行方和验证方都通过区块链节点接入网络，凭证发行方将个人资料的密码学摘要作为可验证凭证发布上链，凭证验证方收到个人资料后向区块链查询真伪。在这过程中不需要第三方存储和收集个人资料明文信息。

在该项目中，澳门特别行政区身份证明局承担了用户代理的角色。身份证明局是由行政法务司监督，辅助澳门特别行政区行政当局在民事与刑事身份认别及旅行证件的行政机构，本就具有对个人用户KYC的能力与职责；澳门生产力中心、澳门理工大学等机构承担了凭证发行方角色；澳门电讯等企业承担了凭证验证方角色。

分布式数字身份在澳门“证书电子化”项目中的应用带来了以下特性：

一、可信数据

WeIdentity方案中，可验证凭证以摘要形式存证在区块链上，任何人可根据数据原文验证可验证凭证的内容未被篡改。

二、隐私保护

基于属性分片进行摘要算法实现的链上可验证凭证，支持凭证验证方对其中部分属性进行验证，从而支持用户只向凭证验证方出示部分属性。这通过使用一种比匿名凭证技术更加简单的方式实现了部分匿名凭证的功能，匿名凭证技术的优势在于不需要向凭证验证方出示属性明文，而仅出示属性的密码学证明。

三、场景式落地

用户代理是方案中的控制中心和数据中心，托管了用户密钥和可验证凭证。因此实际上用户不具有对自己数据的控制权。由于联盟链的本质和中心化管理方式，不同场景之间不需要进行连通，可根据不同场景进行定制化开发。

3.3?? 更多

本文中提到的4个项目仅是分布式数字身份蓝图中的一小部分，更多项目已在全球各地产生和应用。

一、ShoCard

ShoCard是较早尝试分布式数字身份管理的项目，它利用分布式账本为用户绑定标识符和现有的可信凭证（如护照、驾照），记录验证历史，为用户提供分布式的可信身份。

ShoCard的典型应用是与SITA航空合作的旅行认证解决方案。人们在跨国旅行时，在机场安检的过程中要不断出示护照、登机牌、面部核验等信息，这些信息组成的数字身份是个人与身份验证方互动的关键。

旅行者使用移动终端对身份证件拍照，将元数据加密存储在本地，将可验证信息存证于区块链，当用户出示证件进行验证时，身份验证方除了验证物理证件，还可验证区块链记录。如果验证通过，身份验证方请求ShoCard成员管理服务器生成认证证书。认证证书存储在用户终端，同时在区块链存证。以后可用于提供给有相同要求的身份验证方。

ShoCard实践较早，应用广泛。包括：与多家银行合作将用户KYC信息作为可信凭证发送给用户，以便银行在不查询其它金融机构数据库的情况下授权客户，减少重复KYC流程；为繁忙的医护人员提供胸牌安全凭证，对于与多个医疗保健机构签约的医疗工作者可以在不需要中心化身份的情况下访问多家机构的资源。

ShoCard作为一个早期方案，在适用范围、隐私保护上均有所欠缺。其用户数字身份由身份提供方创建，只能在相应的生态系统内使用。而成员管理服务器的存在，可以关联用户与身份验证方的关系，也造成了用户使用的不确定性——当公司不存在时，用户将无法使用已获得的证书。

ShoCard的价值主要是创新性的提出了技术思路，即在个人终端存储密钥和凭证等个人数据，以区块链作为去中心的交换承诺而存在，不存储敏感信息，保证信息的可信和完整。其它较早期的分布式数字身份方案均在此共识基础上加入创新，包括Civic、IDHub等等。

二、IdentiCAT

2019年9月，西班牙加泰罗尼亚自治区政府宣布启动用户主权的分布式数字身份项目IdentiCAT，这是欧洲第一个开放的数字身份。IdentiCAT提倡用户控制自己的数字身份和相关数据，构建在分布式账本基础上，居民通过自己的软件管理数字身份，维护隐私。它遵循欧盟的eIDAS规范，因此可在欧盟的所有国家使用。在该项目中，政府不收集数据，主要承担项目保障的角色，为居民、企业提供工具和可信赖的法律框架。

 

趋势与展望

 

相比传统数字身份系统，分布式数字身份具有隐私保护、可控安全、持久可用等特点，基于属性的授权访问方式能够更好的支持开放环境下灵活的访问策略。短短几年时间，已取得了丰富的规范和技术标准化研究成果。随着标准化成果的继续拓展，未来越来越多的应用可方便、安全的切换到分布式数字身份基础设施上来，形成互联互通的互联网身份网络。

参考文献：

[1] W3C. Decentralized Identifiers (DIDs) v1.0 [EB/OL]. [2020-04-08]. https://w3c-ccg.github.io/did-spec/

[2] W3C. Verifiable Credentials Data Model 1.0 [EB/OL]. [2020-01-15]. https://w3c.github.io/vc->

[3] Christopher Allen. The path to self-sovereign identity [EB/OL]. [2016-04-25]. http://www.lifewithalacrity.com/previous/.

[4] Oskar Van Deventer. Self-sovereign identity-the good, the bad and the ugly; May 2019 [EB/OL]. [2019-05]. https://blockchain.tno.nl/blog/self-sovereign-identity-the-good-the-bad-and-the-ugly/

[5] Web of Trust. [EB/OL]. [2020-04-09]. https://github.com/WebOfTrustInfo/rwot6-santabarbara/blob/master/final-documents/did-auth.md

[6] Web of Trust. [EB/OL]. [2020-04-09]. https://github.com/WebOfTrustInfo/rwot1-sf/blob/master/final-documents/dpki.pdf

[7] ConsenSys. [EB/OL]. [2020-04-09]. https://www.uport.me/

[8] Dr. Christian Lundkvist, Rouven Heck, Joel Torstensson, Zac Mitton, Michael Sena. UPort: A Platform for Self-Sovereign Identity [EB/OL]. [2017-02-21]. https://blockchainlab.com/pdf/uPort_whitepaper_DRAFT20161020.pdf

[9] Sovrin. Sovrin: A Protocol And Token For Self-Sovereign Identity And Decentralized Trust [EB/OL]. [2018-01-16]. ?https://sovrin.org/library/sovrin-protocol-and-token-white-paper/

[10] Nathan George. Hyperleger Aries Proposal [EB/OL]. [2020-04-09]. https://wiki.hyperledger.org/display/HYP/Hyperledger+Aries+Proposal

[11] Microsoft. Decentralized Identity: Own and control your identity [EB/OL]. [2020-04-09]. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2DjfY

[12] The Sidetree Protocol: Scalable DPKI for Decentralized Identity [EB/OL]. [2020-04-09]. https://medium.com/decentralized-identity/the-sidetree-scalable-dpki-for-decentralized-identity-1a9105dfbb58

[13] WeBank [EB/OL]. [2020-04-09]. https://fintech.webank.com/weid/

[14] About Verifiable Organizations Network (VON). [EB/OL]. [2020-04-09]. https://vonx.io/about/