淺談去中心化數(shù)字身份

作者：中國工商銀行金融科技研究院區(qū)塊鏈研究團(tuán)隊

隨著互聯(lián)網(wǎng)的出現(xiàn)和普及，數(shù)字身份已經(jīng)逐漸融入到我們的日常生活，傳統(tǒng)的身份（如身份證或戶口本等實物證件）也逐漸被數(shù)字身份所替代。目前我們使用的數(shù)字身份以中心化的數(shù)字身份為主，由單一服務(wù)平臺提供身份信息管理和身份認(rèn)證服務(wù)，用戶需要在不同服務(wù)平臺重復(fù)提交原始的證明材料注冊不同賬號來進(jìn)行身份認(rèn)證。同時，服務(wù)平臺可以根據(jù)協(xié)議單方面停用或注銷用戶賬號，甚至將賬號回收后重新分配給其他用戶，如果這些賬號（如手機號和郵箱等）又關(guān)聯(lián)了用戶其他賬號，通過短信驗證碼登錄或重置密碼，將存在冒用他人賬號和偷看他人信息的風(fēng)險。此外，各個服務(wù)平臺存有大量用戶的身份數(shù)據(jù)，由于管理水平參差不齊，導(dǎo)致數(shù)據(jù)泄露的案件時有發(fā)生。為了解決上述問題，結(jié)合以區(qū)塊鏈為代表的去中心化分布式賬本技術(shù)，業(yè)界提出了去中心化數(shù)字身份的解決方案。本文將簡要介紹去中心化數(shù)字身份技術(shù)的原理，展望其在金融行業(yè)的應(yīng)用前景。

一、什么是去中心化數(shù)字身份

數(shù)字身份是實體（包括人、設(shè)備、應(yīng)用程序等）身份在網(wǎng)絡(luò)空間的映射，是實體身份的數(shù)字化表現(xiàn)形式。數(shù)字身份主要由數(shù)字身份標(biāo)識和身份屬性構(gòu)成，其中數(shù)字身份標(biāo)識可以類比實體身份的身份證號，身份屬性則可以類比與實體身份相關(guān)的一切數(shù)字信息，如性別、年齡、家庭住址、個人愛好等。傳統(tǒng)數(shù)字身份是中心化的數(shù)字身份，由單一應(yīng)用服務(wù)平臺提供和管理，身份的使用局限于單一平臺。

去中心化數(shù)字身份（Decentralized Identity，DID）又稱為分布式數(shù)字身份或基于區(qū)塊鏈的數(shù)字身份，是一種通過分布式賬本技術(shù)使其具備去中心化技術(shù)特性的新型數(shù)字身份。DID可以讓用戶擁有和控制自己的數(shù)字身份，而不是依賴于某個中心化的服務(wù)提供商。

與傳統(tǒng)的中心化數(shù)字身份相比，DID在控制權(quán)、隱私保護(hù)、互操作性、安全性和管理成本等方面存在優(yōu)勢。在控制權(quán)方面，用戶可以決定如何存儲和使用自己的身份數(shù)據(jù)，不需要依賴于第三方機構(gòu)。在隱私保護(hù)方面，只有經(jīng)過用戶授權(quán)才能訪問和使用用戶的身份信息，減少了用戶信息被濫用和泄露的風(fēng)險。在互操作性方面，遵循統(tǒng)一開放的規(guī)范協(xié)議，可以跨平臺、跨機構(gòu)和跨場景共享和使用經(jīng)過用戶授權(quán)的身份數(shù)據(jù)，不需要用戶在不同平臺和應(yīng)用之間重復(fù)注冊不同賬號。在安全性方面，用戶的身份數(shù)據(jù)通過分布式賬本（如區(qū)塊鏈）進(jìn)行發(fā)布和驗證，降低了被篡改和被濫用的風(fēng)險。在管理成本方面，用戶的身份數(shù)據(jù)可以由用戶自主管理，企業(yè)不需要投入大量資源來存儲和保管用戶身份數(shù)據(jù)。

二、去中心化數(shù)字身份技術(shù)

近年來業(yè)界圍繞DID制定了一系列技術(shù)標(biāo)準(zhǔn)和協(xié)議，其中W3C（萬維網(wǎng)聯(lián)盟）的DID規(guī)范和協(xié)議被廣泛認(rèn)可和應(yīng)用，業(yè)界DID產(chǎn)品基本上都遵循該規(guī)范協(xié)議。在W3C的規(guī)范中，DID的組成主要包括分布式標(biāo)識、可驗證憑證和分布式賬本（如圖1所示）。

圖1 去中心化數(shù)字身份的組成

分布式身份標(biāo)識（DID標(biāo)識）是一個特定格式的字符串（格式為：did:example:123456789abcdefghi），可以用來代表任意一個實體，全網(wǎng)唯一。DID標(biāo)識采用公私鑰機制，通過私鑰簽名和公鑰驗證來實現(xiàn)身份認(rèn)證。每個DID標(biāo)識會綁定一個DID文檔，用于記錄該DID標(biāo)識的相關(guān)信息，其中包括最關(guān)鍵的公鑰信息。公鑰會隨DID文檔發(fā)布到分布式賬本上全網(wǎng)公開，私鑰則由實體自己保管，從而實現(xiàn)了一種去中心化的數(shù)字身份驗證方式。

可驗證憑證（Verifiable Credential），類似于我們?nèi)粘Ｉ钪械母鞣N證明材料（如出生證明、收入證明等），一般由可信的權(quán)威機構(gòu)頒發(fā)?？沈炞C憑證除了包含發(fā)行者對指定用戶提出的聲明信息（如醫(yī)院出具的出生證明，包含持證人的出生時間、地點以及父母等信息）外，還帶有使用了發(fā)行者的DID標(biāo)識私鑰所生成的數(shù)字簽名信息。由于該私鑰由發(fā)行者保管和使用，其他人無法偽造，同時其他用戶可以使用公鑰進(jìn)行快速驗證，包括驗證該憑證是否由可信的權(quán)威機構(gòu)頒發(fā)，憑證內(nèi)容是否有被篡改，確保憑證的可信度和權(quán)威性。

分布式賬本是一種基于點對點的網(wǎng)絡(luò)的數(shù)據(jù)庫，去中心化特性是其核心特點之一，所有交易都需要經(jīng)過共識機制進(jìn)行驗證，以確保所有參與者的賬本記錄一致。通過使用分布式賬本注冊和維護(hù)DID標(biāo)識，存儲和公布DID文檔，即使沒有權(quán)威的中心化CA（認(rèn)證機構(gòu)），也能實現(xiàn)DID標(biāo)識全網(wǎng)唯一，每個實體都能擁有一個（或多個）獨一無二的身份標(biāo)識。此外，所有用戶都可以通過分布式賬本獲得DID標(biāo)識公鑰，對用戶提供的數(shù)字簽名和憑證進(jìn)行驗證。

三、去中心化數(shù)字身份的工作流程

W3C規(guī)范還提出了可驗證憑證流轉(zhuǎn)的參考模型，該模型由身份持有者、憑證發(fā)行者、憑證驗證者和可驗證數(shù)據(jù)注冊中心組成（如圖2所示）。

圖2 可驗證憑證流轉(zhuǎn)模型

身份持有者是一個實體，擁有一個或多個DID標(biāo)識和可驗證憑證；憑證發(fā)行者也是一個實體，同樣擁有一個或多個DID標(biāo)識，具有一定權(quán)威性，如政府部門、金融機構(gòu)等，可以基于某個實體的聲明頒發(fā)可驗證憑證，然后將憑證提供給身份持有者自行保管；憑證驗證者一般為服務(wù)提供方，通過接收身份持有者提供的一個或多個可驗證憑證，對其身份進(jìn)行確認(rèn)，為符合條件的用戶提供服務(wù)；可驗證數(shù)據(jù)注冊中心用于注冊和維護(hù)DID標(biāo)識，采用分布式賬本（如區(qū)塊鏈等）存儲和公布DID文檔。

可驗證憑證流轉(zhuǎn)模型的工作流程主要包括注冊身份、請求憑證、頒發(fā)憑證、保存憑證、出示憑證和驗證憑證六個環(huán)節(jié)。

注冊身份

身份持有者、憑證發(fā)行者和憑證驗證者需要先在可驗證數(shù)據(jù)注冊中心上注冊一個DID標(biāo)識，獲得一個全網(wǎng)唯一的數(shù)字身份標(biāo)識。注冊身份的操作可以由用戶自主完成，通過密碼學(xué)算法生成一對公私鑰，私鑰由用戶自己保管，公鑰作為DID文檔的一部分登記到可驗證數(shù)據(jù)注冊中心，對全網(wǎng)所有用戶公開。

請求憑證

前文提到“數(shù)字身份主要由數(shù)字身份標(biāo)識和身份屬性構(gòu)成”，通過身份注冊，用戶已經(jīng)獲得了一個全網(wǎng)唯一的數(shù)字身份標(biāo)識，而身份屬性還需要通過可驗證憑證來實現(xiàn)。所有實體都能頒發(fā)可驗證憑證，但服務(wù)提供方只接受他們信任和認(rèn)可的服務(wù)機構(gòu)頒發(fā)的可驗證憑證。因此，用戶需要選擇一個大家信任和認(rèn)可的服務(wù)機構(gòu)，作為憑證發(fā)行者為自己頒發(fā)后續(xù)可用于證明自己身份和權(quán)益的數(shù)字憑證。

頒發(fā)憑證

憑證發(fā)行者先對用戶提供的身份信息進(jìn)行核驗，核驗通過后為用戶頒發(fā)其需要的數(shù)字憑證。由于憑證中帶有憑證發(fā)行者DID標(biāo)識私鑰生成的數(shù)字簽名，可以為憑證中的聲明內(nèi)容進(jìn)行背書，用戶可以通過出示憑證來證明自己的身份和權(quán)益。

保存憑證

憑證發(fā)行者給用戶頒發(fā)憑證后，用戶作為身份持有者對帶有自己的身份屬性信息的數(shù)字憑證擁有自主控制權(quán)，可以選擇安全和便捷的保存方式，如保存在本地或其他存儲設(shè)備中，以備后續(xù)在需要時出示和使用。

出示憑證

服務(wù)提供方在向用戶提供服務(wù)前，需要作為憑證驗證者對用戶的身份和權(quán)益進(jìn)行確認(rèn)，需要用戶提供能證明其身份和權(quán)益的相應(yīng)憑證。用戶作為身份持有者從已保存的憑證列表里選擇符合要求的憑證提供給服務(wù)提供方。

驗證憑證

服務(wù)提供方作為憑證驗證者接收到用戶提供的一個或多個憑證，可以從憑證中獲取到憑證發(fā)行者的DID標(biāo)識，然后從可驗證數(shù)據(jù)注冊中心獲得憑證發(fā)行者DID標(biāo)識的公鑰，再對憑證中的數(shù)字簽名進(jìn)行驗證，可以確認(rèn)憑證的真?zhèn)魏蛢?nèi)容是否有被篡改。驗證通過后，服務(wù)提供方為符合條件的用戶提供相關(guān)服務(wù)。

總的來說，去中心化數(shù)字身份與傳統(tǒng)的中心化數(shù)字身份相比，主要區(qū)別在于服務(wù)提供方對用戶進(jìn)行身份認(rèn)證可以無需依賴于第三方認(rèn)證服務(wù)機構(gòu)。用戶保管自己的身份認(rèn)證數(shù)據(jù)（私鑰和憑證），需要時再提供給服務(wù)提供方。驗證信息通過分布式賬本存儲和發(fā)布，服務(wù)提供方可以從可驗證數(shù)據(jù)注冊中心獲取DID標(biāo)識的公鑰，對用戶提供的數(shù)字簽名和數(shù)字憑證進(jìn)行驗證來確認(rèn)用戶的身份。

四、去中心化數(shù)字身份的應(yīng)用

去中心化數(shù)字身份可以解決用戶在不同平臺和機構(gòu)之間身份認(rèn)證，數(shù)據(jù)共享和協(xié)作等問題。下面以供應(yīng)鏈金融、數(shù)字資產(chǎn)和數(shù)據(jù)流通應(yīng)用為例，說明去中心化數(shù)字身份在其中所發(fā)揮的作用。

供應(yīng)鏈金融

供應(yīng)鏈金融存在的問題主要包括信息不對稱，以及風(fēng)險防控和監(jiān)管水平不足。各類信息分散在不同的參與方手上，線下流程紙質(zhì)單據(jù)的真實性難以驗證，上下游多級供應(yīng)商、經(jīng)銷商無法借助核心企業(yè)的信用進(jìn)行貸款融資，導(dǎo)致中小企業(yè)融資困難。去中心化數(shù)字身份可以為供應(yīng)鏈金融提供一種統(tǒng)一的身份認(rèn)證機制，通過可驗證憑證，參與者可以通過技術(shù)手段驗證流轉(zhuǎn)信息以及單據(jù)的真實性和有效性，提高風(fēng)險防控和監(jiān)管水平，做到交易可追溯和公開透明，實現(xiàn)核心企業(yè)的信用向下游的中小企業(yè)傳遞，解決供應(yīng)鏈中小企業(yè)的融資難、融資貴等問題。

數(shù)字資產(chǎn)

數(shù)字資產(chǎn)存在的問題主要包括數(shù)字資產(chǎn)的確權(quán)和私有化問題，以及數(shù)字資產(chǎn)在源頭的真實性問題。在數(shù)字資產(chǎn)領(lǐng)域應(yīng)用去中心化數(shù)字身份技術(shù)，主要涉及數(shù)字資產(chǎn)交易和所有權(quán)驗證。在數(shù)字資產(chǎn)交易方面，參與者可以使用去中心化數(shù)字身份進(jìn)行身份驗證，無需依賴第三方機構(gòu)，有助于提高交易的隱私性和安全性；在所有權(quán)驗證方面，數(shù)字資產(chǎn)的所有者可以通過可驗證憑證來證明自己對該資產(chǎn)的所有權(quán)，并對其進(jìn)行驗證，有助于防止數(shù)字資產(chǎn)的盜用和欺詐行為。

數(shù)據(jù)流通

數(shù)據(jù)流通存在的問題主要包括數(shù)據(jù)共享和流轉(zhuǎn)復(fù)雜，一方面難以界定數(shù)據(jù)的權(quán)屬，另一方面用戶信息難以得到充分保護(hù)，容易發(fā)生隱私泄露。去中心化數(shù)字身份在數(shù)據(jù)流通領(lǐng)域發(fā)揮著重要的作用，在數(shù)據(jù)共享和流轉(zhuǎn)方面，通過使用去中心化數(shù)字身份系統(tǒng)，用戶或機構(gòu)可以授權(quán)其他個人或機構(gòu)訪問自己的數(shù)據(jù)，同時可以控制數(shù)據(jù)的訪問權(quán)限和共享范圍，避免數(shù)據(jù)泄露和濫用。此外，結(jié)合可驗證憑證，數(shù)據(jù)買家可以驗證數(shù)據(jù)賣家的身份和數(shù)據(jù)的真實性，避免數(shù)據(jù)欺詐和假冒行為，促進(jìn)數(shù)據(jù)的流通和利用。

去中心化數(shù)字身份應(yīng)用前景廣闊，可以提供更加安全、可靠的身份認(rèn)證和管理方式，降低了運維風(fēng)險和成本。目前去中心化數(shù)字身份尚處于不斷發(fā)展和完善的過程中，國內(nèi)的應(yīng)用場景主要以試點驗證為主。隨著用戶對個人信息主權(quán)和隱私保護(hù)訴求的不斷提高，國內(nèi)相關(guān)法律法規(guī)的不斷完善，金融科技的不斷發(fā)展和數(shù)字化的加速轉(zhuǎn)型，以及Web3.0和元宇宙等前沿領(lǐng)域創(chuàng)新場景的不斷探索，相信去中心數(shù)字身份將會得到越來越廣泛的應(yīng)用，并將成為構(gòu)建未來身份認(rèn)證體系必不可少的基礎(chǔ)設(shè)施，為我們的工作和生活帶來更多便利和安全保障。