深入探讨了分布式数字身份的工作机制和技术架构

中国钞票区块链技术研究院首席产品专家平庆瑞阐述了分布式数字身份的概念、工作机制、技术架构和技术特点。

原题：分布式数字身份识别原理、模及关键技术

2021年1月15日，北京金融科技产业联盟成功举办了“基于区块链的金融分布式数字身份技术应用研讨会”。邀请金融机构和科技公司的专家对分布式数字身份识别技术的理论、模原理和体系结构进行探讨，分享技术实现、应用案例和实践经验，加强行业与用户的交流与合作。

中国钞票区块链技术研究院首席产品专家平庆瑞阐述了分布式数字身份的概念、工作机制、技术架构和技术特点。

本文以嘉宾演讲内容为基础。

---

分布式数字身份的起源

我们知道，人类文明史也是人类迁徙史。为了生存和繁衍，数万年前，我们的远古祖先从亚非大陆出发，长途跋涉，经历了农业社会和工业革命，最终踏上了地球的每一片土地。如今，生活在世界各地的人们，通过信息技术实现了远距离通信、跨地域的社会交往。

互联网的出现极大地改变了人们的生活方式，越来越多的现实生活活动正走向网络世界。网络空间已被公认为继陆、海、空、空之后的第五大领域。

然而，在互联网发展之初，还没有身份协议层，仅仅是为信息的传输而设计的，无法解决网络上的身份互信问题。1993年，纽约的这幅漫画说明了人们对互联网缺乏信任。

为了在Internet上提供服务，实现可信交互，提出了一种中心化式身份认证方案。

该方案是指网络应用服务提供商对用户的身份管理，包括提供身份注册服务来分配用户身份、保存用户身份信息数据、识别、验证用户身份和服务授权。后来，为了解决中小服务商难以提供用户身份管理的问题，产生了联盟身份，即大网络服务商代为提供用户管理。中心化身份账户存在的主要问题如下。

首先，用户身份依赖于身份提供者；其次，用户身份容易被盗用，无法实现不可否认行为；再次，不支持身份跨应用相互识别，难以实现服务协作。联盟身份的发展导致数据高度中心化，形成垄断趋势。一旦用户数据泄露，将对用户流失产生重大影响。

分布式身份是这个时代的产物。它将取代中心化式身份认证方案，以协议层的方式重构互联网底层的信任基础设施。

分布式身份将解决身份归属、身份安全、身份互联互信等问题，是进入下一个互联网时代的入口。总之，基于分布式的数字身份基础设施可以实现：首先，协议层的身份解决方案可以促进应用孤岛的集成。第二，服务提供商不需要管理用户的身份，只需要通过API请求和验证用户的数据。第三，用户持有身份数据并控制身份数据的授权访问。第四，每个组织都可以简单地介入互联网的身份层，并从现有的生态组织中获益。第五，利用网络规模效应创造价值。

分布式数字身份的工作机制

我们认为身份有三个维度，即身份认同、身份属性和身份互动。在现实世界中，身份实体的拥有者就是身份的认同者。在数字世界中，我们需要使用字符串来表示身份的所有者。在分布式数字标识中，分布式数字标识由字符串组成，无需注册中心即可实现全局唯一性。它可以用来指身份主体在不同场景中的身份角色。

一个实体的属性是指，例如，它是某个国家的公民，某个公司的雇员，并且它拥有某一类车辆的驾驶执照。在数字世界中，它需要用与标识符相关联的身份属性断言来表示，由于权威数据方的认可，这种断言具有可信度。在分布式数字身份中，身份的属性由可验证的凭证数据表示。

与其他数字身份一样，分布式数字身份交互也需要解决身份识别、验证和授权等问题。不同的是，由于分布式身份的去中心化性，分布式身份将开发一个标准化的点对点通信协议。在讨论分布式身份的工作机制之前，我们需要进一步了解分布式身份的三个维度。

首先，去中心化标识符，如您所见。W3C中关于数据结构的一个例子，分布式身份标准，一个标准的分布式数字身份识别器，用结构化dod dock表示。除了分布式数字ID标识符之外，did dock还包括与ID相关联的公钥信息、授权支持信息、服务入口点地址、用于审核的时间戳和用于数据完整性验证的签名数据。可见，分布式数字身份实际上是一种公钥设施。did的持有证明也是did私钥的持有证明，通过公钥签名验证来实现。另外，授权支持可以将身份主体与身份控制者分离，支持身份委托的要求。

分布式身份的第二个维度是可验证的凭证。简言之，可验证证书是关于具有一定身份属性的身份主体的认可断言数据，包括身份断言和身份断言签名。如图所示，这是W3C可验证证书数据结构规范的一个简单示例。这是关于名称的可验证证书。断言部分只包含name属性。签名证明的内容包括关于与证明验证方法相关联的断言的私钥签名和证书颁发者ID。

分布式身份的第三个维度是dif正在起草的分布式通信协议。did通信协议与传统的webapi的主要区别在于各方的交互状态不受服务器的控制。相反，did的各方是平等的，他们在规则和目标上通过相互理解和共识进行互动。

该协议主要包括两个特点：第一，did通信协议是基于消息、异步和单工机制的。第二，消息的安全性是基于对等认证的。基于did通信协议进行定制的消息传递和处理，可以实现不同场景下的业务需求和扩展。我们可以看到，did通信不依赖任何第三方组织，它可以**限度地实现点对点实体的自由交互，刺激数字应用创新。

在理解了分布式身份的三个维度之后，让我们来看看分布式身份的工作模。分布式身份的生态可以简化为三个部分：发布者、持有者和验证者。其工作原理可以验证证书流模。

首先，身份方在分布式账本上公开自己的身份，为后续的身份交互过程提供数据验证支持。第二，发卡机构向身份持有人发放身份证，身份持有人接收并验证身份证并保存。第三，身份验证器向持有者请求身份证书信息，持有者签名并出示可验证证书，身份验证器验证证书的所有权和证书的来源。可验证凭证流模的主要特点或优点是：一是支持在不同场景下用角色表示实体ID，避免角色信息被收集。第二，将did与可验证凭证分离，支持对用户名下的凭证信息进行重组和重用。第三，基于分布式身份的可信web不需要遵循任何预先建立的层次结构。

在我们看来，这与传统的CA系统有很大的不同。如果中央CA系统要相互识别，就需要依赖于顶层CA，这就需要在CA系统建设之初进行规划设计。

分布式数字身份技术体系结构

去中心化公钥基础设施是分布式身份的基石，为分布式数字身份提供了连接安全。与传统的PKI不同，去中心化PKI不需要中心化式CA组织来分发和管理密钥，而是由身份所有者自己创建和注册密钥。分布式账本提供了统一的密钥公式、维护和发现机制。与传统PKI相比，去中心化PKI具有以下特点：不依赖单一的中心化式机构，没有后门和管理员权限，没有单点失效，具有灵活的信任基础设施，支持互操作性。

基于分布式公钥基础设施，可以有效地消除原有PKI体系下的中间人攻击问题。那么我们需要如何建立dpki的基础设施呢？在分布式身份中，每个实体有多个did，每个ID对应一个关系，以及一个私有消息安全通道。如何管理did和私钥？如果信息丢失了怎么办？答案是分布式密钥管理系统。

分布式密钥管理系统基于分布式账本组件和身份**软件。分布式账本用于发布连接验证和数据所有者验证的公钥信息，提供公共认证和证书验证。**代表一个独立的身份所有者和身份控制器，并具有反映其授权的唯一加密密钥。agent基于did通信协议进行交互。

**软件通常包括消息通信组件、身份钱包组件和本地数据容器组件。messagebroker组件负责与外部世界的交互，以便发送和接收消息。其次，messagebroker组件负责调用本地身份钱包和数据容器来加密、解密和存储消息。身份钱包组件主要用于管理密钥和秘密数据。具体来说，它负责**管理、did连接管理和凭证管理。

**软件按其部署位置分为边缘**和云**。在大多数情况下，用于管理身份密钥的**软件将安装在所有个人移动智能通信设备上。为了实现持久的消息在线和边缘设备寻址，我们需要将身份**扩展到云端。云**可以由不同的厂商实现和维护，注册的边缘**提供消息路由服务。另外，云**服务可以简化边缘**的密钥恢复机制，实现边缘**的数据备份和多设备同步要求，但不会形成对边缘设备的绑架和数据窃听。边缘设备是唯一的用户身份密钥管理设备，只能代表身份持有者的意愿。

身份数据通常在边缘设备的身份钱包中加密，然后上传到云**进行托管。在消息传输过程中，边缘**发起交互并对消息进行加密和解密。云**主要提供消息路由和路由加解密功能。DKMS规范限制钱包和**的行为。其目的是规范身份**，消除安全、隐私和厂商锁定等隐患。

可验证证书技术为分布式数字身份认证提供了数据安全保障。如前所述，可验证证书是did实体之间进行数据交换的一种方式，它保证了数据不被发布者的签名篡改。与可验证证书相对应的可验证表示是身份所有者向验证者提供的数据的形式。它由分布式数字身份钱包中的加密组件构成。它也是一种防篡改的表示。它来自一个或多个可验证的证书，并由公开对象的主体签名。无论是直接引用还是间接引用可验证证书，可验证身份属性都是以可验证表达式的形式提交的，也就是说，可验证表达式不包含可验证证书的原始文本，因此不会出现可验证证书接收者的身份窃取问题发生。

一般来说，分布式数字身份识别系统主要体现在以下四个部分。

一是发现。基于一个开放的分布式账本而不是一个中心化的系统。第二，做了验证。它是一种基于属性的验证，不依赖第三方，由**相互认证。第三，做互动。它是一种典的点对点通信协议，与传输协议无关，它们之间的交互不需要依赖第三方。第四，做好数据存储。基于分布式加密存储，其推广和共享需要所有者的授权，并且数据是可移植的，因此不需要绑定到did存储提供商。

基于上述体系结构，分布式身份有效地建立了网络主体之间的机器信任和人的信任，实现了身份的自治性、安全性和可移植性。

特别是在分布式数字可验证证书技术中，基于零知识证明的匿名证书技术可以有效地解决隐私保护问题，实现证书属性的最小公开和基于逻辑范式的结果证明。分布式数字身份技术很好地回答了如何实现未来数字身份的十个基本要求。

从应用层面来看，分布式数字身份将给数字生活带来哪些重要影响？一是以用户为中心，分布式身份改变了数据依赖方直接与数据发布方对接的传统模式，使数据回归所有者，服务与数据分离，可以以身份所有者为中心进行网络应用。第二，基于属性的访问授权将逐步取代基于角色的访问授权。应用服务不再是为成千上万人定制的服务，而是为成千上万人定制的服务。第三，在分布式身份的基础上，实现分布式系统之间、中心化式系统之间、中心化式系统与分布式系统之间的可信身份交互和可信数据流，从而建立真正的可信网络。第四，可信数据和数据凭证传输将激活数据的资产属性，也使线下资产以数据的形式进行传输，使数字经济通过可信网络蓬勃发展。第五，分布式身份和点对点通信协议将促进去中心化组织的发展，释放人类在数字世界中的创新潜力，加快人类通过数字发展提高集体社会智力的步伐。