今天的建议|数字时代的身份基础设施建设

作者：张开祥，伟众银行区块链首席架构师6月24日，中国纸币区块链技术研究院、飞天诚信科技股份有限公司、伟中银行等17家单位，联合发起成立Dida（分布式数字身份产业联盟），共同建设分布式数字身份基础设施，打造可信、开放的数字新生态。

本文由伟中银行区块链首席架构师张凯祥在滴答成立大会上分享。也是微银行区块链团队在分布式数字身份领域的技术研究和应用实践的体现和积累。希望在开源、互联互通的基础上，与更多的行业专家、同行携手共进。

一。数字趋势对分布式数字身份系统的需求

从现在到未来，越来越多的人通过数字手段接受服务，同时产生数字信息。新的分布式数字身份系统作为数字化的重要基石，给技术、应用、治理、法律法规的发展带来了更多的机遇和挑战。

数字时代的身份识别系统

身份证、职业资格、医疗服务、金融账户等与人的身体身份密切相关的信息正逐步实现电子化。此外，随着互联网的成熟，人们的网络身份与大量的社交网络账号、娱乐和商业数据有关。

在数字版本中，组织需要在网上表明自己的身份。根据认证机构和服务机构的不同性质和使用情况，对认证机构进行更多的认证和服务验证。

随着新基础设施的发展，越来越多的物联网设备接入网络。物理设备需要在网络中标识自己，并与其他实体（如人或机构）建立绑定关系，生成数据，响应指令。

人、制度、物是数字社会的主体，构成了一个巨大的生态。数字生态与初步的“电子化”存在代际差异：电子化主要是指利用电子手段承载实体信息，数据是否属于用户所有，是否可以自由流转。在目前的产业生态和法律法规下，边界还有些模糊，在实践中会遇到各种障碍；在数字社会，实体追求数据的自我管理，通过可信的通信来创造价值，用户的隐私和收入可以得到保障，数据自由流动，生态蓬勃发展。

分布式数字身份管理的必要性

过去，一些组织获得了大量用户的许可来制作、收集数据，并将其用于自己的用途，形成了数据孤岛。一些组织对数据有着巨大的需求，需要支付商业成本才能从外部输入数据，而另一些组织则是随着时代的要求而出现的，需要提供数据以获取利益。

在试图实现数据价值的过程中，由于技术、商业模式和法律法规的不成熟，数据交易往往脱离法律法规的边缘，交易成本巨大，数据无法顺畅流动，难以体现其应有的价值。更重要的是，它忽视了用户的参与和合法权益。

在认证与共享的前提下，我们认为用户之间应该建立起共享和共享数据的共享关系。

分布式数字身份系统带来了新的思想和新的商业模式，使数据成为合法和合规的生产要素成为可能。

二。分布式数字身份管理的定位

分布式数字身份管理系统

在我们对整个系统的理解中，底层是分布式可信网络。参与者共同努力达成共识，追求交易一致性。它们携带的数据不易篡改，整个系统高效可靠。该方案依托可信网络，实现了身份的识别和管理。相关数据可以存储在证书中，可追溯数据可以可靠地共享和交换。此外，如果数据本身包含资产、价值和信用，它将进入资产管理和交易领域。

金融、社会事务、工业智能和其他行业都需要这种分布式基础设施。行业参与者可以凭借清晰的身份、可靠的数据、透明的规则和高效的合作模式，努力扩大市场规模，提高决策成功率，提高风险控制效果，完善交易记账和监管流程。

在如此复杂的产业生态中，技术只是其中的一条路径。该领域的发展还需要评估认证、标准化建设，以及相关法律法规的建设，以追求监管合规的可行性，使整个行业具有相当的可操作性和可持续性。

3。从三维角度理解分布式数字身份

分布式数字身份不仅是一种基本的能力，而且是业务发展的前提，就像当前金融业务需要的KYC一样。只要过程与“人”有关，就离不开“身份”

目前，对于分布式数字身份的准确定义还存在着不同的理解，需要深入探讨，形成共识，逐步勾勒出清晰的边界。本文试图从“厚”、“深”、“宽”三个维度来阐述分布式数字身份的内涵和外延。

分布式数字身份的“厚度”

最**的分布式数字标识形式是由W3C-did规范组织定义的字符串，例如迪德：韦德：101:0xae0b295667a9fd93d5f28d9ec85e40f4cb697bae”

这个字符串被分成几个部分，组合起来形成一个全局唯一的标识符。它在分布式网络中具有很强的通用性，是分布式数字身份认证的起点。

围绕这一目标，国际标准化组织设计了一系列功能完备、语义清晰的协议，定义了在线身份描述文档（document）及其生成、呈现、验证和销毁过程，涵盖身份和证书管理的完整生命周期。

这一系列协议可以作为我们的重要参考，也是我们规范化的基础。

协议中定义了三个重要角色：认证者、用户和验证者。这些角色构成了生态学的核心三元关系。其中，用户是核心，掌握和控制自己的数据。用户数据包括文字、图片、音频和视频数据。此外，还有各种基于原始数据经过核实、计算和评估的证书，如学术证书。**，有价值的数据和凭证可以代表生态系统中用户持有的资产和信用。

有了清晰的标识、可操作的协议以及角色和数据之间的关系，这些东西最终将在数字应用场景中使用和流动。这就是分布式数字身份的最终目标：服务业和价值创造。

因此，分布式数字身份的“厚度”由身份、协议、角色、数据和场景组成，这也是分布式数字身份的“核心内容”，它回答了“什么是分布式数字身份”和“其中包含什么”的问题。

分布式数字身份的“深度”

分布式数字身份的“深度”

重点阐述了“分布式技术”对“分布式系统”的支持和“深度”的挑战。

在回答这些问题之前，我们提出了几个重要的目标：用户控制、分布式认证、隐私保护。

客观地说，在传统体制下，身份管理已经相对成熟。有多种KYC、生物识别、开放API、云存储等技术和系统帮助认证、数据管理、证书颁发和验证。

分布式数字身份的**区别在于它的“分布”在本系统中，没有孤岛来控制数据。相反，数据的控制权交给了用户。用户可以自主选择存储方式，并根据自己的意愿在不同的场景下使用。无论用户在何处，由谁提供证书和数据，都可以在分布式网络上完成认证。同时，它可以保护隐私，避免数据滥用，防止用户分析用户，避免事后针对用户。

W3C-did协议规范是一个框架定义。例如，它要求在出示证书时“选择性披露”但是具体的方式可以根据场景和开发者的理解来选择。因此，在整个系统的技术实现和周边支撑系统的建设上具有很大的灵活性和开放性。同时，也蕴含着巨大的挑战：什么样的技术和方案才是最合理、很高效、***用户需求的？这需要反复的实践来证明所谓的“粗略的共识，可以运行的代码”可以通过实践真正理解。

为了使协议“可用”，我们应该为用户提供易于使用的终端工具，帮助用户安全、方便地管理个人数据，进行高效、合规、有数据价值的数据交换。这些功能应涵盖身份和数据生成、存储、传输和销毁的整个生命周期。他们应该有完善的功能，良好的经验，可接受的建设成本和逻辑自我一致的运作模式。

此外，它是基本的分布式技术系统。例如，dpki（distributed public key infrastructure）系统，即目前分布式版本的PKI系统；以区块链为代表的分布式账本技术，建立一个分布式可信协作网络；为了处理不中心化管理的海量数据，需要更低的成本、更高的成本高效、更安全可靠的分布式存储技术。这些基础平台技术有的逐渐成熟，有的还处于快速发展阶段，涉及平台选择、核心技术突破、知识产权等问题。

继续深入技术-算法的深水领域。分布式系统涉及多种算法。分布式一致性算法和密码前沿算法是技术皇冠上最耀眼的两颗宝石。特别是在密码学和隐私保护措施中，以零知识证明、同态加密、安全多方计算和联合学习为代表的方案在保护方面有着很好的表现，但它们的理论比较复杂，有些算法需要多次交互，或者由于生成的数据太大，在性能和用户体验方面仍有改进空间。我们应该根据分布式数字身份涉及的特定场景、业务流程和用户需求，研究和实践更合适的算法。

所有这些构成了分布式数字身份的“深度”可见，这一领域在技术和模式上都面临着相当大的挑战，也带来了许多机遇和发展空间。它要求从业者集思广益，团结产学研力量，坚持安全可控路线，共同攻关，掌握勘探核心技术，拥有自主知识产权，对工业用产品进行工程改造。

分布式数字身份的“广度”

分布式数字身份的“广度”

分布式数字身份的“广度”是从业人员最感兴趣的方面之一，它传递了这一领域的巨大潜力。

以人为本的核心理念决定了人在哪里，数据在哪里。”“人”最初是最广泛的存在，具有多种类的角色和丰富的数据维度。同时，当跨国界的人和活动是跨国界的，在不同的场景和地区，他们可以通过自己的身份和自然价值来识别。同时，它们也可以作为跨境人在不同情况下的身份和自然价值的新称谓。因此，机构层面的认证机构和验证机构在不同的区域和场景中具有不同的功能。

在这个瞬息万变、浩瀚的生态中，“以用户为核心”的逻辑给人一个清晰的视角和概念的正确性。用户控制自己的身份和数据，方便快捷地响应用户的需求，是数字生存的基本逻辑。

同时，网络化和去中心化程度越强，对分布式数字身份的要求就越高；分布式数字身份系统的逐步成熟将催生更多创新的商业场景和新的商业模式。同时，要在制度建设、数据价值和流通成本、隐私权保护等方面取得良好的平衡。一系列的商业问题需要解答，比如谁来建系统，谁来为数据买单，如何定价，如何分账等等，并明确相应的责任、权利和义务。

法律法规的制定不是一蹴而就的。在此之前，对于行业应用，特别是涉及国计民生的活动，要坚持“技术中立、风控优先、有法可依”的原则，把握业务性质，遵守行业和业务的基本合规要求，规范操作。

我们期待有关部门进一步明确和制定相应的标准和规范，争取覆盖面更广、适用性更强、产业可操作性更强，以适应实体经济数字化方向的需要，使现有规则顺利演变为分布式数字体时代。

综上所述，分布式数字身份系统在内容承载上具有足够的厚度，在技术支持和技术挑战方面具有客观深度，在区域领域、场景覆盖和社会责任方面具有潜在的广度。

4微银行在分布式数字身份认证领域的探索与实践

如果你不迈出一小步，你就永远走不到一千英里。2018年，微银行依托多年区块链技术研究和应用实施经验，在分布式数字身份领域开展了一系列实践，并推出了基于区块链的实体身份认证和可信数据交换解决方案开源Weidenty。

它提供了W3C、W3C等一系列可信身份交换协议，基于VC规范的可验证数字证书技术使得分布式多中心身份管理成为可能，组织可以通过用户授权合法合法地完成可信数据的交换。

人格建设体现了五个理念

“分布式身份与可信数据交换”在微银行中的实践

开源与开放：技术方案是完全开源的，包括W3C-did协议的实现和外围支持系统。开源软件有助于降低W3C-did解决方案在行业中的技术门槛和实施成本，营造社区共建的氛围。很多开发人员一起使用和优化开源软件，既能满足应用需求，又能为软件增加更多功能，迭代速度更快，方向更清晰，质量更稳定。

安全与隐私：系统的安全和用户隐私的保护是分布式数字身份知名的亮点，也是以用户为核心的设计理念。Weidentity允许用户实现灵活的多身份登录和独立关联。它将独立存储和**服务相结合，实现用户数据的安全存储，在用户授权和明示同意的前提下进行数据交换，并引入了一系列策略和算法，如数据披露中的选择性披露、以证据代替明文和零知识证明等，实现隐私保护。

具有行业应用和系统管理经验

功能齐全：完整的W3C did及多种相关协议的数据结构定义和功能接口，链外治理、用户数据管理、海量数据交换、跨链、联合计算等一系列支持系统功能齐全，可以开箱即用，足以一站式建设分布式数字身份服务。

友好易用：在安装部署、开发调试、发布交付等方面，针对开发、管理、运维等不同角色进行了极为优化，易于理解和使用；提供业务模板、应用实例，demo等参考组件，以及详细的应用步骤技术文档，指导开发者完成工作，帮助构建高效低成本的应用；为目标用户提供一系列工具，包括丰富的二维码等交互体验，以便最终用户能够访问分布式数字身份网络。

互联：分布数字身份强调互联。用户只要拥有唯一的数字标识，就可以在不同的网络中自由行走。W3C-did相关协议本身就是为了互联而诞生的。只要系统满足协议定义的数据接口并实现相关接口，用户就可以无缝地访问和控制自己的数据。伟迪忠实遵循协议精神，甚至可以独立于底层平台。它可以插件适应多种分布式计费平台，开放接入不同的认证机构和验证机构，并可以利用跨链技术与异构平台或其他分布式数字身份网络进行通信。

自从weidentity是开源的，它在GitHub上引起了更多的关注。许多项目使用或引用weidentity实现。weidenty的开放性和可用性已经被业界广泛证明。以下是一些典案例：

案例一：员工入职背景调查

合作伙伴是一家中小企业。**员工时需要核实员工的学历信息和原雇主信息的真实性。

问题是：对于员工来说，他们需要去每个组织，花费大量的时间和精力来获取新版本的材料。对于企业来说，物资采购和流通过程中可能会被篡改，而缺乏验证物资真实性的手段。

在使用weidentity解决方案时，员工、学校和公司分别进行weidentity-did注册和KYC认证。员工向学校申请文凭证书和学位证书，从原雇主公司申请工作证书和辞职证书，然后建立这些证书与自己的链之间的联系。采用可验证凭证数据格式和协议来保证凭证的真实性和有效性。目前用人单位在求职时，只需通过证书验证界面验证上述证书即可。如果审核通过，当前用人单位将发出录用通知书。

案例二：居民信息管理与政务

居民的政府数据存储在不同的部门。对于跨部门的政务，需要先向a部门出具证明，再由B部门办理。对于居民来说，流程繁琐，文件不易管理和保存；对于政府部门来说，希望能改善用户体验，确保用户隐私数据不被泄露。

通过微身份解决方案，可以为居民生成可信的电子证书，授权后可由机构进行验证，从而简化业务流程，降低隐私数据泄露的风险，采用合法合规的方式。

使用weidentity解决方案时，weidentity did注册和KYC认证由居民身份验证机构执行。居民向发证机构申请证明文件，证明发证机构按照规范生成电子凭证，与居民身份证有关联。居民授权认证机构对证书进行验证，生成居民授权记录，存储在区块链上。认证验证机构通过证书验证接口进行验证，验证通过后，对居民进行业务处理。

案例1和案例2的意义在于，去中心化机构颁发的证书绑定到用户，锚定在区块链上。利用密码算法，可以实现分布式认证。用户只需获得证书一次，就可以随时显示。验证者不必担心证书的真实性。

案例三：版权保护

伟中银行与人民银行合作的区块链版权保护项目每日网是基于FISCO bcos区块链底层技术的开源平台和微身份解决方案构建的新闻版权保护联盟链。

该项目利用分布式账本和智能合约的特点，实现多方信息实时共享、版权认证、交易和**诉讼的全过程在线，有效解决了在线内容版权保护问题。通过分布式数字身份识别系统对链中涉及到的角色进行识别，作品和作品也有唯一的标识。版权经过认证后，成为一个不可篡改的链上证书，可以作为证明和转让的声明。

现阶段，平台已实现被动**、原创新闻认证、转载监测分析、侵权证据收集等在线场景。下一阶段，平台还将引入互联网法院、仲裁机构、国家权威版权保护机构，使侵权诉讼过程实现在线化，完成网络版权保护的在线闭环、全自动流程。

案例3表明，经过数据权的确认和定价，通过法律和合规流程，可以创造一个健康、有价值的生态。

案例四：物联网与边缘计算

物联网设备的编码标准多种多样，这些异构的编码标准可能导致物联网识别服务的冲突。Weidentity使用did标识为物联网分配全局唯一标识符。结合厂商的生产信息、物联网云运营商、边缘接入设备、用户对设备的所有权，为设备颁发多个证书，赋予设备可声明、可验证的独立身份，保证数据源的真实性和有效性。

物联网设备分布在不同区域，接入方式多样，管理成本高，安全风险大。基于weidenty分布式网络和智能合约，构建透明可信的规则，形成人与物、物与物之间的统一信任网络。

设备产生的数据必须包含数字签名，并且可以有选择地加密和混淆，这样设备的身份和数据就可以在网络上高效地分布认证，并且可以拒绝不安全的指令和数据，以保证网络的安全。物联网设备和所有者的隐私权也有利于设备产生的数据的确认和定价，以及商业模式的构建。

案例4的模可广泛应用于物联网和边缘计算场景，并已应用于智能家居项目、智能农业、工业互联网等项目。

除上述案例外，开源社区还将weidenty应用于各行各业，涵盖金融、工业、智能家居、教育、社会治理、旅游等场景。分布式数字身份系统结合了不同的行业，反映了各种创新潜力。

结论

目前，我们将从技术研究入手，努力尽快完善技术体系，团结更多人同心协力，构建开放互联网络，共同构建价值观。

相信随着时间的推移和业界的共同努力，分布式数字身份的概念和功能边界将越来越清晰，技术难题将逐一解决，相关运营模式最终将趋于规范合理。未来会有更多权威机构、行业机构，以及个人和物联网设备。借助分布式数字身份系统，他们将参与到广阔的数字经济世界中，探索更具创新性的应用场景。