用户自治的数字身份(SSI:Self Sovereign Identity )和去中心化数字身份(DID: Decentralized IDentity)没有本质上的区别,主要区别是在字面意义和实务应用两 个层面。从字面意义的角度, DID更加强调去中心化特性,更加强调身份系统中 每个用户通过标识符实现点对点的交互,没有单独某个或一群节点可以控制所有 流程产生的数据,因此 DID 更加侧重于技术的实现方式与系统的架构;SSI则更 加倾向于对用户权利的主张,表达了用户对个人数据隐私保护和对数据的使用具 有许可权的诉求。比较SSI,DID在国际是更加通用,因此在这篇白皮书,我们 会使用SSI和DID技术术语表示同一个概念。
DID规范(Specification) 可确保DID的发行者和验证者都可以在公共qukuailian 上查找必要的公钥进行验证,而不管他们是否属于同一身份证书颁发机构 (CA-Certificate Authority)系统还是同一个身份联邦系统(Federated Identity)。
这种进展与局域网的“网络孤岛”到互联互通的全球互联网相似。从各自具有自 己的PKI的断开的“身份孤岛”到基于去中心化PKI(Distributed PKI)的全球身 份网络。这样的数字身份系统从对于中心化的身份证书颁发机构(CA)的依赖 转变为更具弹性,安全和隐私保护的系统。DID协议有下面的 3 个重要组成部分, 或者说是三大支柱:
第一个支柱:安全连接协议,一种标准的开放协议,用于在两方之间建立唯 一,私有和安全的连接,而无需诸如Google,WhatsApp,电子邮件提供商或电 话运营商之类的中间“连接代理”的协助。
安全连接是由两个对等方创建的,它们创建并交换DID标识符。W3C (World Wide Web Consortium) 现 在 正 在 研 究 开 放 的 DID 标 准 (https://www.w3.org/TR/did-core/)。有“公共” DID和“私有”或“对等” (Pairwise)DID。公用DID可用作“跳出”点,以触发私有DID的交换。私有 DID只能在连接中的两方存储或交换,任何第三方不可见。一旦两方交换了私有 DID,他们就可以安全地进行通信,就像通过一条其他人看不到的专用隧道一样。 用户可以为每个数字关系使用不同的DID来保护隐私。任何人都可以随时创建 DID,而无需第三方。 这个安全的连接不能提供信任,提供信任需要第二个支柱。
第二个支柱:可验证证书协议,W3C和DIF (Decentralized Identity Foundation) 发行了一种标准的开放式“可验证证书(VC Verifiable Credentials)”协议,用 于签发,持有和验证数字证书,例如驾驶执照,会员卡,机票和医疗资格。这样, 任何人都可以验证任何数据的来源,完整性和有效性。这种VC协议结合了成熟 的公钥加密技术对每个数据元素进行数字签名,并且可以增强隐私和避免个人在 线数据被关联的可能性。类似于使电子邮件使用SMTP和Internet使用TCP / IP 协议,任何人都可以在VC协议的基础上进行信任的构建。VC协议可以参照链接 (https://www.w3.org/TR/vc-data-model/)。任何人都可以出于任何目的将任何 数据放入可验证的凭证中。在初步应用中,证书的颁发者可以是权威机构,比如 大学学位证书可以由大学颁发。信任的建立是基于证书发行者的签名和VC协议 层的密码学。
第三个支柱:用于存储证书颁发者的公钥的分布式账本或者是DID的底层区 块链技术和账本。这样,任何人都可以随时查找和检索公钥来验证数据并且验证 符合VC标准的任何数据的来源,完整性和有效性。这些密钥和其他密码数据保 存在DID文档和凭证定义中,并固定在证书颁发者的公共DID中。
这三个组件的组合定义DID的新身份范式。它将改变我们今天所知道的数据 格局。这些组件一起提供了一种新的方法,可将数据从A可靠地移动到B,而无 需中间人窥探,而且接收者可以验证数据的来源,完整性和有效性。各地的每个 人都可以颁发,持有和验证有关任何事物的任何凭证。这意味着不再有专有的数 据库“拥有”你的身份。在这种环境中,人与密码的信任相结合意味着你最终可 以同时提高安全性和减少摩擦。
2.1 DID 标准介绍
目前在去中心化数字身份的标准制定方面有下面的一些标准组织在做努力, 他们之间有一些沟通,但是缺乏统一的行动,因此可能因为不同的应用场景(比 如:公链和联盟链的不同的应用)可以预见以后多种标准的共存:所有这些标准的共同属性如下:1. 数字身份的全球唯一性。2. 用户对于数字身份的可控制性。3. 身份没有中心化发行或者认证机构。4. 隐私保护。5. 基于非对称加密算法。6. 有一些标准没有规定具体的底层qukuailian技术(比如DID的协议),但是 基本都假定底层的技术是基于qukuailian。具体qukuailian技术可以用协议的方 法比如DID Method 来规定。 下面我们主要对于其中 3 种标准进行介绍因为他们一个代表北美的标准 (DID)也有国内和欧洲的有关机构支持,另外一个主要是欧洲的标准,最后一 个是中国公安部的标准(EID)。
2.1.1 W3C 的 DID
基于qukuailian建立符合W3C标准的数字身份系统,为企业、用户提供去中心 化的数字身份, 保证数字身份的绝对可控和绝对拥有,解决企业和用户隐私泄 漏难题。
DID是数字身份的基础,其核心是基于qukuailian去中心化、不可篡改的特性而 创建的。多方通过接入工具接入分布式网络,以qukuailian为依据,建立不同身份标 识之间的安全通讯,为可验证声明(一种数字证书)的流转建立前提。
所有用户都可以根据自己的需要,通过任意一个实现了DID算法的平台都可 以创建新的DID,是完全由用户自主控制的。生成DID的同时,也会生成一对秘钥,并把公钥与DID的绑定关系发布在分布式存储上,而私钥则由用户保管,最 后只需把身份相关数据锚定在qukuailian上即可。在应用方验证用户身份信息时,只 需要根据分布式系统中形成共识的用户的公开秘钥,进行验证计算即可验证用户 的真实性。
DID是一个协议标准,主要定义了实现的格式与验证方法。
这里主要分为:id、publicKey 、authentication、assertionMethod、proof、 service等属性。其中:
1 did:example:123456789abcdefghi 就 是 DID DID 的 完 整 格 式 为 : did::,DID的生成是根据DID文档的基本信息来加 密 生 成 的 其 中 =base58(ripemd160(sha256()));pubickey, DID文档可以表达加密密钥和其他验证方法这些方法可 以用于验证或授权与DID主题或关联方的交互。所表达的信息通常包括全局明确的标识符和公钥材料,可用于验证数字签名。可以表示其他信息,例如密钥的状 态信息(例如,密钥是否被挂起或吊销),或者其他属性,使人们可以确定它是 否是硬件支持的加密密钥。关于加密密钥材料,可以根据其用途将公共密钥包含 在DID文档中,例如,使用publicKey或身份验证属性。每个公共密钥都有其自 己的标识符(id),类型和控制器,以及取决于其类型的其他属性。
2 authentication,身份验证是一种机制,通过该机制,实体可以证明自己是 DID主体。 身份验证尝试的验证者可以检查身份验证方是否正在提供有效的身 份验证证明,即他们是他们所说的身份。authentication属性是DID主题和一组 验证方法(例如但不限于公钥)之间的关系。 这意味着DID主题已出于身份验 证目的(根据authentication属性的值)授权了一些验证方法集。authentication 属性的值应该是一组验证方法。由DID文档的authentication属性指示的验证方 法只能用于认证DID主体。为了认证DID控制器(在DID控制器不是DID主体的 情况下),与控制器的值相关联的实体(参见§7.5授权和委托)需要使用自己的DID 文档和所附的authentication验证方法关系来认证自己。除了authentication,其 他如capabilityInvocation, capabilityDelegation, keyAgreement和assertionMethod 也可以进行验证。
3 assertionMethod属性也用于表示验证关系,该关系指示验证方法可以用 于代表DID主体断言一个语句。判断方法尝试的验证者可以通过检查与该证明一 起使用的验证方法是否包含在DID文档的判断方法中,来检查代表DID主体断言 的陈述的证明。
proof属性,则该属性的值务必(MUST)是有效的JSON-LD (LD-LinkData)证明, 如链接数据证明所定义,通过使用链接数据证明[LD-PROOFS],链接数据签名 [LD-SIGNATURES]和各种签名套件,可以实现对多种类型的密码证明格式的支持。
4 、service属性,在DID文档中使用服务端点来表达与DID主题或关联实体进 行通信的方式。DID文档中列出的服务可以包含有关保护隐私的邮件服务(privacy preserving messaging)的信息,或者包含更多公共信息,例如社交媒体帐户,个人 网站和电子邮件地址。与服务关联的元数据通常是特定于服务的。例如,与加密的消息传递服务关联的元数据可以表示在消息传递开始之前如何启动加密的链 接。
使用service属性表示服务的指针。 每个服务都有自己的id和type,以及 带有URI或其他描述服务的属性的serviceEndpoint。
其中,利用公钥的验证应用流程示例如下,
用户在 App 上使用 DID时得证明自己是 DID的所有者,主要运用的机制 是挑战-响应机制:App首先根据用户提供的 DID 用从 DID Resolver 查到对应 的 DID Document,然后App 使用 DID Document 中的公钥加密自己随机生成的 一串 nonce,发送给用户,用户用自己的私钥解密后得到这串 nonce,把 nonce 发送给 App 完成挑战。
2.1.2 欧洲的 SID
欧洲经济和社会委员会于 2019 年组织发表了ESSIF-European Self Sovereign identity framework (简称SID)的标准。SID表明于对于数字身份在数字化生活 与工作中都具有非常重要的作用,包括但不限于学历真假、难民身份、贷款或补 贴、判断年龄、客户体验、地方身份、当前公私机构等。
传统的身份认证方式具有以下问题需要解决掉:- 纸质文件的重复提交与审核需要浪费很多时间与金钱;
- 验证的结果不能进行有效共享,机构需要对纸质文件的真实性需要进行 验证;
- 相同的信息需要向多个不同的机构进行提交,不同的机构也要进行相同 的检查;
- 所有验证都是手工检查,不能进行自动化验证;
- 所有提交出为的信息,将不再由自己进行控制,容易导致滥用
为了解决现有身份认证的问题,提出来自我主权的身份设计。自我主权的身 份是超越以用户为中心的身份的下一步: 用户必须是身份管理的中心。基于这个 观点,SID提出了采用qukuailian的技术来实现的数据流程 - 用户的私有数据由用户自己存储,包括用户的公私钥、身份证、邮编、 学历等;
- 用户向对应的验证机构进行验证,验证结果保存在qukuailian系统中;
- 数据使用方向用户申请获得用户的身份对应信息的凭证;
- 数据使用方使用用户的公钥解密用户的凭证后,与链上数据进行对比,如果一致即可验证用户的身份。
2.1.3 中国公安部的 EID
eID是以国产自主密码技术为基础、以智能安全芯片为载体,采用空中开通 或临柜面审的方式,依据对法定身份证件核验的结果,由“公民网络身份识别系 统”签发给公民的网络电子身份标识,不仅能够在不泄露身份信息的前提下在线 识别自然人主体,还能用于线下身份证明。
公安部第三研究所于十二五期间承担了国家 863 计划“网域空间身份管理” 等信息安全重大专项,研发了“网络电子身份标识(elD)”技术并形成了相关 标准体系。并于 2018 年,从我国数字身份发展的突出需求出发,结合以上科研 成果和近年在该领域的实践和理论研究,推出《eID数字身份体系白皮书( 2018 )》。 在 2019 年 5 月,推出了eID 数字身份链,eID 数字身份链是以 eID 数字身份为 索引的基础链,在此基础之上自下而上形成 eID 数字身份网络、数据网络、服 务网络、应用网络,面向政务、企业、社会、行业等提供身份证明、声誉证明、 资产保管、支付记账、数据存证、数据管理等服务。eID 数字身份链继承了 eID 和qukuailian的特点,具有权威、中立、多方、普适、可控、隐私等特点,有力支撑 了 eID 数字身份生态的建设。
在发行与服务流程上,通过泛用户与应用场景、多登记发行机构,中心化签 发中心、内网存储原始数据的方式,再结合实名身份认证服务、签名认证服务、 匿名身份认证服务,网络身份信息保护服务等方式为各应用提供服务。
eID 在发行阶段与服务阶段的说明,如下:
在技术分层架构上,依赖 eID 数字身份链,在四个层次上构建了相互关联的网 络,分别为:eID数字身份网络、数据网络、服务网络、应用网络。
在功能上,eID具有在线身份认证、签名验签和线下身份证明等功能,能够 在保护公民个人信息安全的前提下准确识别自然人主体身份,可以运用在网上签 约授权、交易支付、航旅服务、酒店住宿等多种场景。目前已经有一些角行、数 据交易、政务等应用在使用。
2.2 DID 代表性项目介绍
下面主要介绍 5 个具有代表性的DID项目。元界DNA的DID数字身份是第 一个在链上实现数字身份的qukuailian项目,其他项目把数字身份作为第二层协议实 现,主要原因是在qukuailian设计过程中没有认识到去中心化数字身份的重要性。例 如以太坊qukuailian就没有在链上实现的原生的qukuailian,必须在第二层进行拓展才能 实现。Civic数字身份是美国的一个非常有影响力的早期项目,值得参考。Evernym 与Linux基金会合作把Evernym的数字身份项目贡献给HyperLedger。Uport是基 于以太坊的数字身份项目。微软代表着大公司对于去中心化数字身份的努力。
2.2.1 元界 DNA 的 DID 数字身份
元界DNA的DID数字身份又称呼为“Avatar”, 是全球第一个在链上实现的 原生的DID数字身份。用户在元界DNA的客户端或者钱包可以建立完全可控制 的身份,这就意味着不必依赖中心化实体或第三方进行身份验证。用户拥有真正 意义上的自主身份,可以创建、签署、验证,同时与用户进行交互的人也能够证 明其身份。此外,这些拥有自主数字身份的用户能够选择性地披露他们的信息。 元界DNA认为数字身份是虚拟世界不可分割的一部分。就其本身而言,数字身份可以采取任一形式,如个人或价值中介(机构和实体)。因此,个人在不同的 场所可以拥有不同的数字身份,如职场身份和家庭身份,但这些最终都是以用户 的现实身份为基础。用户可以通过数字身份在元界DNA生态系统中建立自己的 声誉,同时这也会改进交换价值的方式。它可以通过数字签名、验证要求和交易 来实现这一目的,并逐步树立起可以被市场上其他数字身份和价值中介(Oracle) 检查和验证的声誉基础。对于一些中心化实体,如果他们的服务器崩溃,那么它 们多年树立的身份和声誉将永远消失。元界DNA则不同,用户的数字身份及其 声誉将受到qukuailian的保护。
元界提出数字资产、数字身份和价值中介这三大核心要素,建立一个具备智 能属性的网络,从而为元界上的所有去中心化应用提供协议级的支持。
数字身份 数字身份作为用户拥有的主私钥所对应账户的Profile信息的统称,主要包 括了Oracle角色以及普通用户角色,任何数字身份都可以作为Oracle和普通用 户参与到数据身份的应用中。Profile拥有一个全网唯一标识(DID),其主要包 含以下信息:个人交易记录、资产信息、自定义描述字段。其操作流程如下:
- 创建:任何用户都可以创建数字身份,并与自己的主私钥绑定。如果创 建完成后并未绑定任何主私钥,那么该DID相当于一个未经认证的账号, 无法使用数字身份的任何功能和应用。
- 验证:Profile能够提供有效的证明链用来证明该数字身份下的客观事实。
- 授权:通过触发脚本去验证目标账户数字身份信息中的资产信息后方提 供服务。
- 查询:使用DID标识作为在场外交易的主体,可通过该DID标识在交易 市场中查询交易请求以及历史交易记录。
数字身份与主私钥是一对多的关系,一个数字身份可以对应多个主私钥;数 字身份与资产是一对多的关系。数字身份不可转移和销毁,但其对应用户的现实 中的关系是可以变更的。
链下数据及资产管理
链下数据指的是没有记录在qukuailian上的数据,其具有数据结构复杂、数据体 量庞大的特点,元界通过以下步骤将数字身份与其相关联的有效链下数据进行登 记: - 拥有数据的用户在元界上建立其数字身份,并提供其自定义格式的数据, 将数据打包提交给负责数据鉴定与背书的Oracle;
- 具备鉴定数据资格的Oracle(数字身份的一种)鉴定该数字身份所提交 数据的有效性、真实性;
- 经数据所有者和Oracle签名后的资产将通过主私钥与数字身份绑定;
- 其他用户可以在数据所有者的授权下,查看该数据资产所代表的详细信 息。
应用管理
数字身份可以解决账户无法跨平台使用和账户资产无法跨平台流通的痛点。 应用平台在元界中注册为数字身份并在自己的数字身份上定义出标识符,并使用 该数字身份关联相应的主私钥,将元界钱包服务配置进气应用中。应用平台的用 户在元界上注册数字身份,用户使用该数字身份在各应用平台登录时,可选择性 的将身份信息授权给应用平台,而无需再次注册和认证身份信息。用户只要使用该数字身份即可在各应用平台间进行访问,而无需再次注册。因数字身份不隶属 于任何一个中心化的应用平台,故无需担心数字身份被删除、泄露或者篡改。用 户可以选择性的将自己的数字身份中的绑定信息授权给其他应用平台,未经授权 的信息,平台则无法读取。数字身份与 BaaS ( Blockchain as a Service)
元界支持基于公链的BaaS概念,即企业或个人可以根据自己的实际需求, 向qukuailian解决方案供应商定制qukuailian服务。BaaS服务主要包括: 1 、基于数字身 份进行对象管理; 2 、对链上数据进行深度挖掘和检测; 3 、提供一体化的资产管 理底层服务; 4 、为关联交易方提供透明的信息授权。
2.2.2 Civic 数字身份项目
Civic是一个全新的基于qukuailian技术的身份验证平台,它为用户提供了按需 定义、安全和低成本的数字身份隐私服务。Civic允许人们控制其身份信息的使 用,使用qukuailian身份验证技术来保障和保护个人信息传输,身份验证服务应该安 全、可获得并且按需提供。
Civic使用qukuailian和生物识别技术的分散式架构(qukuailian & 生物识别 & 数 字身份),搭建安全身份平台(SIP-Secure Identity Platform),提供多因素身份 验证,无需用户名,密码,第三方身份验证器或物理硬件令牌。
- 由第三方钱包生成密钥;
- 在用户设备上的应用程序中的身份数据完全加密,只能使用生物识 别技术进行访问- 验证授权机构的公共标识符,散列标识数据和指示数据的标志仍然 有效
身份数据的真正所有者可以使用SPS(安全私人注册)创建新帐户。同时, 用户可以在没有用户名或密码的情况下使用Civic的SPL-Secure Personal(安全私 人登录)登录网络和移动应用程序。SPL提供更好的用户体验和多因素身份验证, 无需使用弱密码,有效规避密码重置漏洞或传统双因素身份验证的麻烦。
Civic身份体系有如下优势:
- 没有特定软件或基础设施:因Civic使用公共qukuailian,故身份请求者不必 投入大量资金来建立技术基础设施来支持Civic安全身份平台解决方案。
- 数据可撤销:身份数据可由身份验证机构撤销。
- Civic不存储用户数据:身份数据被加密并存储在用户移动设备(主要是 手机)上的Civic应用程序中。
- 全球保护:使用第三方认证的身份数据,Civic不能被外国政府或犯罪组 织强迫使身份数据失效。
- 全球兼容:用户可以在世界任何地方存储和分享自己的身份,他们的数 据可以在全世界任何地方被访问。
- 安全:Civic利用qukuailian的强大功能确保为企业提供最高质量的隐私和安 全。
- 身份盗窃保护:Civic通过身份盗窃监控、身份监控报警、欺诈支持、身 份盗窃保险等措施提供事件之前、期间和之后完整的身份盗窃保护。
2.2.3 Evernym 数字身份项目
Sovrin是Evernym的旗舰产品,项目的代码已捐赠给Hyperledger。Sovrin的 身份系统可以应用于许多不同的应用程序。Sovrin的目标是用安全的通用协议来 取代当今的中介,从而简化交互并增强信任度。
Sovrin的一个关键特征是它的“自我主权身份”,即SSID,它是一个由个人 或组织100%拥有和控制的身份。未经主人明确同意,任何人不得阅读、使用、 关闭或带走。这是一种简单的身份形式,是私人的,安全的。这将使个人、机构 和企业之间发生可信的互动。
使用Sovrin,医疗行业的成员将能够直接、有效地沟通,减少责任,并得到 患者的立即同意。同时,政府可以使用Sovrin为土地记录、财产所有权、出生登 记、疫苗接种、难民身份识别等提供数字身份验证。
Sovrin 架构
作为Internet的标识层,Sovrin可以看作是一个三层软件堆栈
- Sovrin分类账本是一个基础的组成部分,是一个全球分布的根身份记录 分类账本,由全世界受信任的机构维护;
- Sovrin代理是一种新型的网络服务,它为Sovrin身份所有者(个人和组 织)提供一种永久的、隐私保护的方式来执行身份和数据管理事务。Sovrin 代理并不是Sovrin体系结构所严格要求的,它们只是使Sovrin身份更容 易、更有效地使用;
- Sovrin客户端是Sovrin身份所有者(通常在本地设备上如智能手机、笔记本电脑等)使用的应用程序,用户可以使用该客户端与Sovrin代理商和Sovrin账本进行沟通,以进行各种身份交易。从安全和加密的角度来 看,Sovrin客户端是Sovrin密钥管理的“密钥”。
Plenum 共识协议
RBFTRedundant Byzantine Fault Tolerance( 冗 余 拜 占 庭 容 错 ) 在 早 期 PBFT-Plenum Byzantine Fault Tolerance和Aardvark协议的基础上进行了改进,在 不考虑系统以前或将来的性能/条件的情况下,并行执行多个具有不同主验证节 点的协议实例,实时检测任何性能问题。Plenum协议在如下几个方面对RBFT协 议进行了改进:
5. 用于节点间通信的数字签名(RBFT使用MAC认证器,其速度更快,但 不支持不可抵赖性);
6. 只向f+1节点分发请求(f是故障节点的数目);
7. 主验证节点的两种选择机制(一种是确定性的,另一种是非确定性的);
8. gossip protocol(允许集体共识在部分分区的网络中更快地进行);
9. 多个明确的黑名单策略(Plenum考虑故障的严重性并应用适当的黑名单 策略);
10. catch-up mechanism(用于新的或崩溃/恢复的节点有效而安全地重新获得完整状态)。
验证和观察节点
验证节点运行Plenum共识协议来验证新的Sovrin事务,对于Sovrin分类账 本中的每个“写入”都必须发送到验证节点进行验证。在Sovrin网络的早期,所 有节点都是验证节点,因为它们需要处理网络的读写负载。随着网络规模的扩大, 逐步引入了观察节点。从Sovrin客户端的角度来看,观察节点只是Sovrin分类账 本的只读副本。观察节点主要实现以下三个功能:
11. 分流读取请求:与DNS、LDAP和其他大型标识系统一样,读请求通常比 写请求多出一个数量级。Sovrin观察节点使Sovrin身份记录的需求能够 在不影响运行Plenum共识协议的验证节点性能的情况下进行扩展;
12. 热备份:由于观察节点也由Sovrin stewards操作,因此如果另一个验证 程序节点出现故障或受损,它们可以作为活动验证程序节点进行替换;
13. 推送订阅:不同的参与者可能希望订阅特定的Sovrin分类账事件。观察 节点提供了一种将事件通知推送到没有增加验证器节点负载的订阅服务 器的能力。
Sovrin 代理 Sovrin代理构成了Sovrin体系结构的“中间层”,
Sovrin代理是Sovrin网络的P2P端点。Sovrin代理和Sovrin客户端都充当 Sovrin分类账的客户端,其主要的区别在于,Sovrin代理不仅仅是一个客户端; 它还是一个服务器,或者至少是一个具有可寻址网络端点的服务器进程。通常, 此端点将具有与其他关键网络基础设施(路由器、DNS、电子邮件等)相同的高 可用性。代理在Sovrin网络中提供以下核心功能:
14. 持久的P2P消息传递终结点;
15. 多个客户端的协调终结点;
16. 加密的Sovrin密钥环备份;
17. 加密数据存储和共享。
需要注意的是Sovrin体系结构并不严格要求具有Sovrin代理,任何Sovrin 客户端都可以直接与Sovrin分类账进行交互。在某些情况下建议这样做是为了确 保特定交易的完整性或验证Sovrin代理的完整性。
Sovrin客户端
Sovrin客户端是Sovrin架构的“最后一英里”,其实际控制权掌握在身份所 有者的手中。Sovrin客户端在其体系架构中从如下几方面进行了保证:
18. Keychains:Sovrin身份所有者的私钥作为最重要的单一数据资产,需要 Sovrin客户端进行管理和保护。为了维护身份所有者Sovrin交易的安全 和隐私,每个Sovrin客户都必须保留所有者Sovrin密钥链的全部或至少 一部分的副本。
19. 本地容器:Sovrin客户端维护着身份所有者Sovrin数据容器的全部或部 分本地副本,故需要其管理特定操作系统来讲这些数据安全地在物理存 储中存储。
20. 首次配置:Sovrin客户端必须连接到网络进行网络身份验证之后方可使 用。若身份所有者还没有Sovrin身份,则需要在提供第一个Sovrin客户 端时连接到名为信任锚点的现有Sovrin身份所有者并进行信任关系确认 后方可注册。一旦身份所有者同时拥有一个Sovrin身份和一个Sovrin代 理,Sovrin客户端就准备好开始创建连接和共享数据。
21. 配置额外的Sovrin客户端:身份所有者可以在其所有设备、应用程序、服务和网络中使用数字身份。身份所有者在新的Sovrin客户端和所有者 的当前Sovrin代理之间执行身份验证过程。然后批准从所有者的现有配 置的Sovrin客户端之一添加新的Sovrin客户端即可。
2.2.4 uPort 数字身份项目
uPort是一个安全、易用的自主身份识别系统,致力于创建一个由用户控制 的,基于qukuailian的数字身份,用户可以基于不同情况授予或废除对其信息的访问 权。uPort将身份归还给个人,其开放式身份系统允许用户在以太坊上注册自己 的身份、发送和查询证书、签署交易以及安全地管理密钥和数据。
uPort 身份
uPort身份完全由创建者拥有和控制,并且不依赖于集中的第三方进行创建 或验证。身份可以通过加密方式链接到链外数据存储。每个标识都能够存储属性 化数据blob的散列,与该标识关联的所有数据都安全地存储在该散列上。由于 它们可以与qukuailian交互,因此uPort身份还可以控制数字承载资产,如加密货币 或其他标记化资产。
uPort标识的核心是uPort标识符,它是一个 20 字节的十六进制字符串,充 当全局唯一的持久标识符。此标识符定义为以太坊智能合约(称为代理合约)的 地址。代理合约可以中继交易,正是通过这种机制,身份得以与以太坊qukuailian上 的其他智能合约进行交互。
智能合约
当用户想要与特定的应用程序智能合约交互时,可以通过代理合约、包含主 访问控制逻辑的控制器合约发送事务。代理合约将此事务转发到应用程序智能合 约。
使用代理合约作为核心标识符的目的是允许用户在维护持久标识符的同时 替换其私钥。如果用户的uPort标识符是与其私钥相对应的公钥,并且用户丢失 了存储私钥的设备,那他们将失去对其标识符的控制。
在设备丢失的情况下,控制器合约可以通过维护的恢复委托列表帮助uPort 用户恢复其身份,这些代表可以是个人或者机构。可以通过仲裁委托使用户恢复 其身份并将其连接到新设备。
uPort通过代理合约及控制器合约希望实现用户能够在不更改其核心uPort 标示符(与信誉、资产和历史等相关)的情况下更新器智能合约逻辑。其中控制 器合约维护核心访问控制功能,允许用户对代理合约使用其私钥进行身份验证。
隐私保护
uPort系统支持选择性公开或者选择与谁共享经过用户允许的数据,该数据 在默认情况下进行了加密保护。通过此方式可以增加用户数据的隐私保护。
系统依赖于每个具有公共加密密钥的uPort标识。若用户需要对属性进行共 享,则可以使用对称密钥对属性进行加密,然后使用允许读取此属性的标识的公 钥对该对称密钥进行单独加密。
移动应用程序
移动应用程序是最终用户与其uPort交互的方式,也是管理用户私钥的主要 手段。其主要思想是将用户密钥保存在其设备的安全存储中,并在使用密钥进行 签名时通过本地生物认证进行访问。密钥保留在设备上,无法从设备导出私钥, 从而保证了密钥的安全性。
2.2.5 微软的 DID 数字身份项目
微软的DID方法的实现是基于身份覆盖网络(ION,Identity Overlay Network)。 ION 是一个基于比特币的双层网络,通过侧树(Sidetree)协议访问比特币网络。 ION 通过在第二层网络进行批量合并的方式,将大量DID 操作合并成一个上链 操作,并将数据存于 IPFS,另外将数据的哈希存在比特币网络上的方式,从而 实现 DID 数据的不可篡改和可信存储。ION 规避了比特币网络的性能问题,可 以支持比较好的数据吞吐量。微软的Microsoft Authenticator App的使用也是 Microsoft DID方案的一部分。微软在 2020 年 6 月表示,用于管理DID加密密钥 的Microsoft Authenticator App代码将作为开放源代码发布。此外,Microsoft表 示发布与Azure服务一起使用的Verifiable Credential软件开发工具包,作为开源 代码。
微软基于W3C的DID标准为个人和组织构建一套开放的、可信任的、可互 操作的解决方案,使用户能够更好的控制自身的数字身份和数据。该系统主要由 用户标示符,用于管理身份标识、加密等密钥的用户代理,用户控制的数据存储 等 7 部分组成。
W3C标准去中心化身份标识(DIDs):W3C标准去中心化身份标识作为独 立于任何组织或政府的ID用户创建、拥有和控制。DID是与分散公钥基础设施 (DPKI)元数据链接的全局唯一标识符,该元数据由包含公钥材料、身份验证描 述符和服务端点的JSON文档组成。
去中心化系统(例如,qukuailian和分类账):DID基于为DPKI提供所需机制 和特性的去中心化系统。
DID用户代理:微软提供一款类似钱包的应用程序,用于充当管理DID和相 关数据的用户代理,具有创建标示符、身份验证、数据加密以及密钥和权限管理 等功能。
DIF通用解析器:DIF通用解析器为DID跨系统提供标准的查找和解析方法, 并返回封装了与DID相关联的DPKI元数据的DID文档对象(DDO)。
DIF身份中心:一个由云和边缘实例(如移动电话、PC或智能扬声器)组成 的支持个人数据加密存储的网络,可用于身份数据存储和身份交互。
DID认证:基于标准格式和协议,使身份所有者能够生成、呈现和验证声明。 这构成了系统用户之间信任的基础。
去中心化应用程序和服务:DID与身份中心个人数据存储结合,可以创建一 类新的应用程序和服务。它们使用用户的身份中心存储数据,并在授予它们的权 限范围内操作。
DID 创建
用户可以通过下载DID用户代理应用程序来获取DID。DID用户代理也可以 帮助用户管理DID创建标识符、身份验证、数据加密以及密钥和权限管理的所有 方面。微软认为DID的实现应该严格使用去中心化系统来标定标识符和非PII DPKI 元数据,以便为DID所有者启用路由和身份验证,从而保证不存在审查风险。用 户的实际身份数据在由用户以加密的“链外”方式进行存储。用户可以根据DID 实现的协议选择用户代理应用程序是否生成设备密钥。
DIDs 的查找与发现
用户代理应用程序是否与DIF通用解析程序实例通信以查找DID。当一个DID 被传递给通用解析器时,解析器使用适当的驱动程序与分散的系统接口并检索匹 配的DID文档。它允许应用和服务确定地生成did的通用目录。
在 DID之间建立信任
因DID创建之初仅代表这一个空洞的身份,只有所有者才能证明其拥有的 DID。为了获得合法性,DID需要现有的信任提供者(如企业、教育机构和政府) 和流程进行背书。该系统提供了一种创建证明的机制,其中包括了谁签发以及何 时签发的独立验证。通过从多个信任系统中积累这些证明,DID可以随着时间的 推移建立逐渐建立起信任,以匹配其访问的应用程序或服务所固有的风险水平。
与电子邮件标识符和其他基于账户的系统不同,DID是自有的且与加密密钥绑定, 并基于维护DPKI操作的去中心化系统。系统基于此可支持进一步的身份活动, 如创建和验证已签名的DID证明。证明是一个或多个DID用它们的密钥签名以生 成关于另一个DID可独立验证的声明。数据的时间状态可以通过qukuailian账本进行 记录,并在不信任其他实体或组织记录发生时间的情况下进行独立验证。
DIDs 信息披露与认证
用户可以使用DID与其他人、应用程序或服务进行交互(其中包含身份验 证)。
- DID所有者向第三方提供DID;
- 第三方通过DIF通用解析器查找DID,解析器返回匹配的DPKI元数据;
- 第三方通过使用DPKI元数据中的公钥引用生成挑战,并与用户执行握手 流程;
- 用户若能够完成挑战-响应握手,则可以证明该用户是该DID的所有者。
使用存储的个人数据进行DID 交互
DIF身份中心基于用户控制的、链外的个人数据存储,旨在支持广泛的身份 交互,为无服务器、提供者无关的、分散的应用程序提供基础。用户可以通过 DID用户代理应用程序,决定与谁共享数据以及共享数据的粒度级别。身份中心 是一个多实例的个人网络,其中的数据使用边缘加密以及用户许可来确保用户隐 私。
管理数据访问权限
身份中心主机用于存储和消息转发,其无法解密用户数据,用户可以通过任 何实体进行登录并撤销或者删除加密的数据。用户可以使用DID密钥对身份中心 主机中存储的数据进行加密,并对权限进行签名。
数据同步与复制
DIF身份中心的一个关键特性是用户可以跨提供者和基础设施边界利用多个 实例来同步和复制数据以实现共享,但不需要使用标识中心的提供者。从而确保 身份数据不绑定到任何组织,以实现支持分散化、自主权和用户控制的目的。
恢复 DID
用户作为数字身份的真正拥有者,可以使用可靠的设备来恢复其自身的DID。 DID 代表性项目总结表 元界 DNA DID 数字身份 项目