DID分布式身份标识技术调研

10.25DID调研

分布式身份标识(Decentralized Identifiers, DID)

1.背景

网络匿名⇒账号ID登录⇒授权一键登录⇒分布式数字身份

实现一个用户能自主创建、完全去中心化的身份管理。而区块链的出现，恰恰解决了 DID 去中心化的问题。

中心化身份 => 联盟身份 => 中心化身份（DID）一开始的数字认证始是中心化的，比如ICANN管理的域名与IP地址分配，以及PKI（Public Key Infrastructure）系统中的CA（Certificate Authority）证书机构管理的数字证书.中心化身份系统的本质就是，中央集权化的权威机构掌握着身份数据，因为围绕数据进行的认证、授权等也都由中心化的机构来决定。

身份不是由用户自己控制的。而且不同的中心化网站（比如淘宝、知乎、豆瓣等等）上有一套自己的身份系统，所以都需要你重新注册一个账户。而不同网站自己用的身份系统（及账户对应的数据）之间是不互通的。为了解决这个问题，不同的网站自己联合起来推出了联盟身份（这个概念是首先由微软在1999年提出的）。

在联盟身份体系下，用户的在线身份有了一定的可移植性。如今的不少网站注册都可以支持第三方登录，比如微信、QQ、新浪微博等。在联盟身份提出后，身份系统就开始走向去中心化了。期间也有很多去中心化的标准、方案出现，比如OpenID。其实就算是一些网站支持的微信、QQ第三方登录，其用户体验也不是很好，而且往往还是需要你用手机号 + 验证码进行注册的。

综上所述，中心化身份主要的问题就是两个，一是个人并不是真正意义上拥有自己的身份，二是身份无法互通。

2.基本概念术语

分布式数字身份包括：分布式数字身份标识符和数字身份凭证（声明集合）两部分：

2.1 分布式数字身份标识符

是一种去中心化的可验证的数字标识符，具有分布式、自主可控、跨链复用等特点

DID本质上是一个全球唯一的地址标识符URL，指向写有与用户身份关联的属性信息的DID文档

2.2 声明

是指与身份关联的属性信息。声明可以由身份所有者自己发出也可以由发行人发出，其中由发行人发出的为可验证声明

往往是个人或机构对自己身份的声称和主张，例如“我叫麦金塔，1984 年 1 月 24 日出生。”

2.3 可验证声明

DID持有者可以通过可验证声明，向其他实体(个人、组织、具体事物等)证明自己的某些属性是可信的

• 可验证声明(Verifiable Credential)提供了一种规范来描述实体所具有的某些属性，实现基于证据的信任。DID持有者，可以通过可验证声明，向其他实体(个人、组织、具体事物等)证明自己的某些属性是可信的
• 可验证声明可以表示现实事物所具有的相同信息。数字签名等技术的加入，使得可验证的凭证比其物理对等物更不易被篡改，也更值得信任。
• 可验证的声明可以快速地传输，这使得它们在尝试建立距离上的信任时比物理对等物更方便。
• 第三方根据他们的记录来确认声明是真实的。例如，一所大学可以证明某人在那里学习并获得了学位。来自权威的证明，要比能够伪造的证明更有说服力。

2.4 DID文档（Document）

与DID标识符形成键值对，描述引导与标识的实体进行密码可验证的交互所必需的公用密钥，身份验证协议和服务端点。

DID文档描述的是与被识别对象进行密码验证交互所必须的DID主体标识、公钥、验证协议、服务端点等，JSON-LD格式，LD(Linked Data)，VC的格式也是JSON-LD，该格式可以将文档转换为结构化的数据

3.基本实现原理

W3C的DID标准

3.1DID标识符规范格式

• DID的URL标识符

• DID方法标识符

• DID方法中特定的的标识符：在整个DID方法命名空间是唯一的

DID方法规范作用：如何在特定的区块链或者系统创建、解析、管理DID和DID文档，DID规范要包含：Create,Read,Update,Delete

3.2DID现有的方法

以bid方法为例——中国信息通信研究院（中国信通院）

经过椭圆曲线加密和SM2，输出公钥，并对公钥进行hash处理

BID身份描述对象