分布式数字身份.docx

1、分布式数字身份分布式数字身份第一章 行业现状分析情报和市场研究平台 MarketsandMarkets 最新报告中指出，2019 年全球数字身份解决方案市场规模达到 137 亿美元，到 2024 年，该市场预计将增长至 305 亿美元，预测期内（2019-2024 年）的年复合增长率（CAGR）为 17.3%。在分布式数字身份诞生之前，人们的身份信息其实或多或少已经数字化，但数字化不意味着网络化、可信任，以及可以便捷且合法合规的互联互通。本节从观摩行业现状开始，并展望分布式数字身份的发展。1.1现有数字身份痛点分析从我们熟悉的互联网业务来看，用户的身份和数据已经一定程度上数字化和网络化，互联网

2、公司通常也具备一整套处理认证和访问控制的业务系统。出于便利性考量， 大多数互联网应用的数字身份以用户名密码为主，并结合真实身份认证完成实名验身。互联网的账户体系通常从属于应用领域，如社交、电商等领域分别采用不同账号，这就使得用户要重复注册很多的账号密码。其次，出于运营主体和运营壁垒考量，互联网业务在应用层面并不互联互通，跨应用的业务实现难度很大，尤其对于需要用户确权操作的跨应用业务，可能需要更改整个业务架构，以使得不同应用领域的用户身份。互联网巨头依靠平台效应垄断市场，利用用户数据作为护城河，产生了大量价值， 但用户对自己的数据并未拥有话语权和价值收入。用户的数字身份的关键控制点即账号密码，由

3、服务商控制，对用户来说，仅为租借和使用服务商的服务，服务商可以决定账号禁用、服务终止，更进一步，由于利益驱使，围绕着用户数据发生的非法收集、数据泄露和买卖行为防不胜防，损害用户安全。随着数字社会的发展，金融、政务、交通等实体经济领域也融合了大量的互联网因素，其原有的、基于物理介质和实体身份的认证体系在进化过程中，已经遭遇互联网服务类似的问题，由于实体经济的地域性特征更浓，安全等级要求更严，蕴含的价值更高，隐私挑战更大，事关国计民生，所以，身份认证带来的问题会更加突出。综上所述，我们将其归结到三个痛点问题：1、重复认证、多地认证的问题例如，在金融场景下，同一公民去不同的银行开户需要分别进行 KY

4、C，用户体验繁琐，身份数据相互重叠，数据可能存在差异甚至冲突。多头建设的身份体系在浪费资源的同时，也存在诸多数据共享和使用上的障碍，不同企业主体间的数据信息分别存储，无法综合利用。2、身份数据隐私与安全问题用户身份信息散落在各个企业级的身份认证者手中，用户对自身信息的使用不够审慎，或者企业对用户身份进行信息验证都会引发身份信息的暴露，甚至对用户隐私信息造成严重侵犯。其次，用户身份信息在各家企业的服务器上存储，不同的企业对数据安全的重视程度和措施强度不同，使得用户的数据泄漏是一个木桶效应的问题， 任何一处被攻破，用户的隐私即被泄露。用户个人信息维护成本昂贵。数据显示，欧盟地区，仅英国每年的身份确

5、认成本已经超过 33 亿英镑，约等于 290 亿人民币。3、中心化认证效率和容错性问题在传统的 PKI 系统中，数字证书是认证的核心，它由相对权威的 CA 机构签发的。一方面，这种中心结构可能存在性能问题，其涉及证书的所有操作，任务繁重，可能成为性能短板拖累效率，如庞大的已撤销证书列表的有效分发。另一方面，单中心的结构容易使其成为攻击的目标，一旦上级 CA 机构被攻破，则与之相关联的下级 CA 也会受到牵连。1.2分布式数字身份标准1.2.1分布式数字身份介绍在政策、技术、市场因素的共同驱动下，产生了一种新的数字身份形态分布式数字身份，它用分布式基础设施改变应用厂商控制数字身份的模式，让用户控

6、制和管理数字身份，通过将数据所有权归还用户从根本上解决隐私问题。要使身份具有真正的自我主权，这种基础设施必然需要驻留在分散信任的环境中。区块链技术的出现让自我主权身份的实现终于找到了突破口，作为分布式体系里的代表性技术，区块链有望成为分布式数字身份的技术基础。区块链技术用哈希链的数据结构改变了电子数据易被篡改的属性，用“区块+共识算法”解决分布式系统的数据一致性问题，拜占庭容错能力保证跨实体运行的系统不受少数节点恶意行为的影响，从而解决业务层面的信任难题，有望在服务商之间搭建互联互通的协议。W3C 提出了基于区块链的分布式数字身份 DID 的概念，分布式数字身份具有以下优势：1)安全性：身份所

7、有者身份信息不被无意泄露，身份可以由身份持有者持久保存，身份信息提供可符合最小披露原则；2)身份自主可控：用户可以自主管理身份，而非依赖可信第三方；身份所有者可以控制其身份数据的分享。3)身份的可移植性：身份所有者能够在任何他们需要的地方使用其身份数据，而不需依赖特定的身份服务提供商。当然，区块链技术只是用于实现分布式数字身份的基础技术之一，分布式数字身份的版图中无论是技术、生态还是行业法规还有更广泛的内涵和外延。1.2.2分布式数字身份主流协议与规范正如互联网建立在 TCP/IP 等协议提供的网络连接能力上，分布式数字身份也建立在一系列为互联网身份而定制的协议规范基础上。国际电子技术委员会对

8、“身份”的定义是“一组与实体关联的属性”，分布式数字身份也不例外，W3C 的 DID 规范和可验证凭证规范分别定义了代表实体的身份标识符及与之关联的属性声明，其共同支撑了分布式数字身份基础模型可验证凭证流转模型的有效运转。图 1-分布式数字身份基础模型可验证凭证流转模型分布式数字身份主要规范作为对可验证凭证基本模型的支撑，尤其是对于 DID 层面的信任框架的保障，通过 DKMS、DID-Auth、DIDComm 等一系列协议和标准，提供了分布式数字身份自主可控、可信交换、隐私保护等特点。1.2.3分布式数字身份的支撑体系为了使人们能够随时、随地使用分布式数字身份，且具有良好的用户体验和丰富的应

9、用场景，需要一系列基础设施来支持。自底层向上，用户分别需要分布式账本提供对身份自主权的支持、代理组件提供用户管理身份和与其它实体通信的工具、凭证应用工具提供用户身份凭证流转支持。此外，当用户数据使用云存储代替本地存储时，还需要个人数据存储组件提供安全的数据管理服务。1.2.4分布式数字身份主流国际组织与应用场景2.2.4.1分布式数字身份主流国际组织分布式数字身份出现的历史虽短，但发展速度快，受到了极高关注。 目前国内外已经问世的和分布式数字身份相关的项目已经超过 200 个，其中一部分加入了 DIF（https:/identity.foundation/）即分布式数字身份基金会，该基金会旨在

10、推动基于区块链的分布式数字身份管理协议的通用化和标准化。DIF 成员包括 IBM，微软，NEC，埃森哲，区块链组织超级账本，R3，以太坊企业联盟，金融机构 MasterCard，国内也有多个组织加入，如微众银行等。W3C 组织的 DID 工作组成立于 2019 年 9 月，主要任务是制定 DID 规范，DID 规范包括对 DID URL 方案标识符、数据模型、DID 文件语法等的标准化。截至目前， 该工作组已有来自全球的多个机构，包括 GS1、微软等，以及国内的工信部信通院等。目前 DID 的规范和技术方案已经初步成型，W3C 的 DID 规范（https:/w3c.github.io/did

11、-core/）和相关协议认可度较高，是行业采用的主要参考，其他还有基于以太坊的多个 EIP 提案的实现，在工业物联网层面，也存在 Handle，Ecode 等多种标识规范。各项规范和协议在设计思路、细节风格上虽然有一定的差异，其核心都是为了解决身份标识、权威认证、可信验证、高效互通、隐私保护等核心问题。目前在 W3C 的 DID 注册表中已注册了 50 多个厂家的 DID method 实现，在应用落地的过程中，通常针对不同场景中的不同需求采取了不同的实现方案。我们将介绍基于 W3C 组织 DID 协议规范的海外主要应用场景与案例，通过对这些应用场景与具体案例的分析，有助于我们理解不同分布式数

12、字身份方案的价值。2.2.4.2可验证企业网络VONVON 全称 Verifiable Organization Network，即可验证企业网络，是 Sovrin 协议的开源项目 Hyperledger Indy 的应用。该项目是加拿大不列颠哥伦比亚省政府关于实现可分享企业（组织）数据的开放、统一和可信网络的一项探索，该网络通过流转有关企业资质的可验证凭证，减少了那些需要和请求企业（组织）数据的应用服务的人们的工作量，因为基于 VON 可以从受信任的来源轻松获得这些数据。VON 为政府数字服务提供者提供了极大改善其用户服务体验的可能性。2.2.4.3分布式数字身份管理ShoCardShoCa

13、rd 是较早尝试分布式数字身份管理的项目，它利用分布式账本为用户绑定标识符和现有的可信凭证（如护照、驾照），记录验证历史，为用户提供分布式的可信身份。旅行者使用移动终端对身份证件拍照，将元数据加密存储在本地，将可验证信息存证于区块链，当用户出示证件进行验证时，身份验证方除了验证物理证件，还可验证区块链记录。IdentiCAT2019 年 9 月，西班牙加泰罗尼亚自治区政府宣布启动用户主权的分布式数字身份项目 IdentiCAT，这是欧洲第一个开放的数字身份。IdentiCAT 提倡用户控制自己的数字身份和相关数据，构建在分布式账本基础上，居民通过自己的软件管理数字身份， 维护隐私。瑞士楚格市居

14、民数字身份 Zug Digital ID从 2017 年 9 月开始，瑞士楚格市为全市约 30,000 公民提供分布式电子身份 eID， 该身份基于去中心化身份平台 uPort 在以太坊区块链（Ethereum）上实现，eID 的所有者可以使用移动应用程序提供身份信息，依赖方可以通过区块链检查数字签名来验证数据的真实性。所有个人数据仅存储在单独的移动电话上，经过加密，公民完全可以控制要发布的信息以及向谁发布的信息。eID 可以用于多个城市特定服务，例如城市公共事物公民投票，城市共享自行车 AirBie 服务等。Thales Gemaltos Trust ID NetworkThales Gem

15、altos Trust ID Network 是一个基于区块链的分布式数字 ID 平台，基于R3 区块链平台构建，允许服务提供商简化客户身份管理和简化尽职调查流程，支持最终用户完全控制自己的身份。作为数字身份系统，它引入多个 ID 验证源，并符合数据隐私合规性要求，可用于构建一个国家身份计划，或者在行业内部形成联盟身份计划。2.2.4.4KYC 客户身份分析Synechrons Self-sovereign KYCSynechron 设计和构建的 CorDapp 在 Corda 区块链中网络支持了交换和管理客户的KYC 数据，39 个实体在Microsoft Azure 区块链服务平台中部署并

16、总共运行了 45 个节点。银行参与居多，包括荷兰银行，阿尔法银行，塞浦路斯银行等。银行可以在区块链网络上请求访问客户的 KYC 测试数据，而客户可以批准请求并撤消访问权限。客户还能够更新其身份数据，然后自动对所有具有访问权限的银行进行更新。韩国的 NongHyup（NH）银行区块链 ID 卡韩国的 NongHyup（NH）银行已经引入基于区块链的移动 ID 系统，新的移动 ID 系统基于区块链技术，通过智能手机（而非传统的 ID 卡）实现方便的身份验证。该项目旨在有效保护其个人身份数据的前提下，面向个人提供更好的服务：基于区块链的ID 服务将用于通勤和管理进入办公室的访问权限，将来，计划扩展移动 ID 卡，使其方便设置服务的约会和付款。加拿大银行分布式数字身份加拿大一些领先的银