2022 DID终极指南

原文作者:   Dock

原文:标题 Decentralized Identity: The Ultimate Guide 2022

自2017年以来，专家团队一直在致力于构建最前沿的可验证凭证和去中心化身份技术,并创建了这个完整的去中心化身份指南来解释它是什么，它是如何工作的，以及它对组织、个人和开发人员的诸多好处。

太长不看版：

证书欺诈、伪造证书、缓慢的验证过程和数据泄露是我们目前中心化数字身份识别系统所遇到的一些相关问题，而去中心化身份识别技术可以解决这些问题。

去中心化身份是身份管理类型的一种，它具有以下优点：

1）机构：发证机构可提供防伪证书，验证机构可即时核实证书的真实性。

2）个人：完全拥有并控制其数字身份和凭证，无需依赖任何第三方证明其声明。

3）开发人员：构建以用户为中心的应用，消除需要密码和低效身份验证的过程。

• 一个去中心化的身份识别系统由3个支柱组成：区块链、可验证的凭证（VCs）和去中心化的标识符（DIDs）。

• 去中心化身份识别技术可以应用于越来越多的场景，包括对供应链的可跟踪性、颁发防欺诈的认证和管理员工的ID。

简介：一些正在发生的严肃事实

• 2021年，在去年获得新执照的合格护士中，近十分之一的人要等6个月或更长时间才能开始工作。在22.6万名注册护士和执业护士中，有三分之一以上至少等待了三个月。

• 供应链欺诈对组织来说是一个日益全球化的商业风险。美国注册欺诈检查师协会（Association of Certified Fraud Examiners）表示，在其2016年调查的欺诈案件中，83.5%的案件具有资产挪用计划，包括欺诈性账单和支付。

• 每年有7110万人成为网络犯罪的受害者，平均每人损失4476美元。

• 96%的婴儿潮一代、94%的00后和93%的90后不相信社交媒体平台能保护他们的数据

但不要太沮丧，因为随着去中心化身份识别技术得到越来越多的采用，个人和组织将能够安全地共享数据。

什么是去中心化身份？

去中心化身份（Decentralized identity）是一种身份管理类型，它允许人们在不依赖于特定服务提供商的情况下控制自己的数字身份。

数字身份是关于存在于网上的个人、组织或电子设备的信息主体。形成一个数字身份的数据包括：

• 用户名及密码

• 搜索历史记录

• 社会保障号码

• 购买历史

去中心化身份如何使组织受益

• 允许组织立即验证信息，而不需要联系发证方，如驾驶执照组织或大学，以确保ID、证书或文件是有效的。传统的人工验证过程需要数周到数月的时间，这减慢了招聘和处理时间，同时耗费了大量的财务和人力资源。想象一下，通过扫描二维码或使用用户友好的证书验证工具，可以在几秒钟内立即验证某人的证书。

• 使发行机构能够方便地向人们提供可验证的凭证，并以一种大大降低成本和提高效率的方式防止欺诈。

去中心化身份对个人有什么好处

• 因为用户对其身份和凭据有完全的控制和所有权，所以他们能够在不依赖任何一方的情况下证明自己的声明。

• 人们可以决定将哪些信息透露给特定的一方，如政府或雇主。

• 一旦人们的身份证存储在他们的移动数字身份钱包中，任何一方都不能拿走他们的身份证。

• 人们可以通过用户界面友好的去中心化身份平台轻松创建和管理他们的去中心化身份。

作为公民，我们通常需要可验证的存在证明，才能行使获得医疗、银行和教育等基本服务的权利。不幸的是，世界上有10亿人没有官方的身份证明。有了去中心化的身份识别系统，你所需要的只是一个可连接的互联网和一台智能设备，而这些设备现在变得越来越容易获得。

高效且以更低的成本地颁发防欺诈证书

如果一个像大学或培训项目这样的组织正在颁发证书，他们可以通过制造证书欺诈证明来安全地做到这一点。假文凭是一个价值十亿美元的产业，人们很容易伪造一张证书。这给公司带来了许多风险，并影响了人们的安全，因为许多获得假证书的人从事医疗保健工作或更危险的操作重型机械的现场工作。早在上世纪80年代，美国就有大约5000名假医生，现在人们相信这个数字还会更多。

通过使用去中心化的身份识别技术，组织可以帮助防止欺诈，以确保雇佣的是具有真实证书的合格人员。假设一家公司正在寻找一个项目经理，他们有一套有效招聘的实践模型来获得最好的候选人，但也许会花很长时间来核实候选人的资格，这会导致他们失去了最佳的招聘机会，因为高质量的申请人往往会同时得到多个offer。

以下是该公司如何利用去中心化的身份识别技术来进行高效招聘的：

• 求职者玛丽用一个去中心化身份钱包在她的手机上用于管理她的去中心化身份和可验证凭据，她想申请一家寻找项目经理的公司。

• 学校发给她一个电子项目管理证书，作为可验证的凭证，她存储在她的数字钱包里，这个凭证是不能伪造的。

• 该公司发出了一份工作邀请，他们只需要检查她的证书是否真实

• 该公司要求她提供数据，她的手机会提示她授权该公司出示她的证书。

• 该公司收到一个二维码，只需扫描它就能立即确认她的程序管理证书是否是真实的。

• 玛丽得到这份工作。

而传统的人工验证过程通常需要数周甚至数月的时间。

什么是自我主权身份（Self-Sovereign Identity）？

自主权身份（SSI） 的三大支柱是可验证凭证、区块链和去中心化标识符

术语“去中心化身份”与自我主权身份可以互换使用，SSI是一种数字身份的方法，使个人能够控制自己的数字身份。自我主权认同的三个支柱是：

• 区块链：在区块链网络中的计算机之间共享的去中心化数据库，它记录信息的方式使更改、黑客攻击或欺骗系统变得非常困难。

• 可验证凭证（VCs）：纸质和数字凭证的数字加密安全版本，人们可以将其提交给需要验证的组织。

• 分散标识符（DIDs）：由用户创建、用户拥有、独立于任何组织的密码可验证的标识符。DIDs不包含个人身份信息。

包括欧盟在内，世界各地越来越多的政府和私营部门组织正在利用去中心化身份技术。随着世界越来越向Web3发展，这是互联网的下一个演进，越来越多的人将通过去中心化和区块链来重新掌控自己的数据。

中心化和联合化数字身份管理系统的问题和风险

中心化身份管理：由单个机构或多层次结构机构来进行管理控制

几乎我们所有的数字身份都是通过服务、设备和应用程序连接起来的。我们的个人信息，如信用卡、姓名和地址，被存储和共享在越来越多的网站上，同时我们的数据也经常被网站用来跟踪人们，以展示有针对性的内容和广告。随着人们访问越来越多的网站和应用程序，他们需要创建和管理的账户也越来越多，这就造成了糟糕的用户体验。

中心化管理系统经常使数字身份更容易受到网络攻击和隐私泄露，包括身份盗窃。因为如此多的用户数据存储在同一个地方，可以方便黑客一次性访问大量的机密信息。

联合化身份管理

由于中心化数字身份识别所带来的问题，联合化身份应运而生。联合化身份允许授权用户使用一组凭证访问多个应用程序和域，比如当人们可以使用他们的谷歌或Facebook登录网站或应用程序时。这种方式的登录也称为“单点登录”工具。

虽然这种登录方式对人们来说更方便，因为他们不需要创建一个全新的帐户，但主要的缺点是，如果你的密码被盗，你使用该单点登录帐户使用的所有其他网站都可能被暴露。你必须信任提供单点登录服务的两家公司，以保护你的隐私和安全，以及所有提供这些选项的第三方网站，以正确实现它们。近年来，已经发生了几起Facebook和谷歌滥用信息的案例，包括Facebook用户数据来操纵人们的情绪，以及谷歌员工利用他们的职位来窃取、泄露或滥用他们可能有权访问的数据。

在我们生活的更多方面，为了申请抵押贷款、买车或注册一项新服务，需要验证我们的身份。人们几乎别无选择，只能放弃自己的隐私来使用他们想要的东西。

值得庆幸的是，去中心化的身份解决方案可以有效地解决这些隐私和数据泄露问题。去中心化身份使人们能够完全拥有和控制自己的个人信息和证书。

中心化身份与去中心化身份管理比较

建立去中心化身份的标准

有许多组织正在努力规范和塑造去中心化身份领域。这些是主要的组织:

• 去中心化身份基础（DIF）：一个工程驱动的组织，专注于开发为去中心化身份建立开放生态系统和确保所有参与者之间的互操作性所必需的基础元素。

• 万维网联盟（W3C）：W3C数字身份社区组的使命是识别和解决现实世界的身份问题，探索和建立一个更安全可信的互联网上的人、组织和事物数字身份生态系统。他们的工作专注于生态系统的可伸缩性、互操作性、移动性、安全和隐私。

• Internet工程工作组（IETF）：一个开放的国际社区，由网络设计师、运营商、供应商和研究人员组成，致力于互联网架构的演变和互联网的平稳运行。

去中心化身份解决方案的主要优势

• 组织：即时发布和验证防欺诈凭证和文件，通过存储更少的用户信息来降低数据泄露的风险

• 个人：拥有和控制你的数字身份与更多的隐私

• 开发者：为应用用户提供安全认证登录，无需密码，并使用保护隐私的用户验证

对组织的好处

去中心化身份解决方案为组织带来了许多优势，包括:

• 以更低的成本加快验证过程

• 防止证书欺诈

• 利用公钥密码技术提高数据安全性，实现信息的安全加密和解密

• 通过存储更少的用户数据来降低成为网络攻击目标的风险

能够立即验证证书对各种用例都是有益的，包括加快招聘过程和降低雇佣没有适当证书的人的风险。

世界各地的许多组织必须遵守关于如何收集、存储和使用用户数据的规定。如果他们不遵守规定，他们可能会因违反规定或数据泄露而面临处罚和制裁。

数据泄露对组织的影响：

• 对一家小企业来说，数据泄露的平均成本是每年10.8万美元

• 在一个组织内识别数据泄露的平均时间是206天，修复它的平均时间是73天

• 小企业是43%的数据泄露的受害者

• 对于大公司来说，数据泄露的平均成本是每名员工204美元，而对于中小企业来说，每名员工的平均成本是3,533美元

对个人的好处

去中心化身份使人们能够：

• 完全拥有和控制他们的数据

• 防止他们浏览网站时的设备和数据被跟踪

• 选择他们想要分享他们相关信息的人

• 防止在他们不知情的情况下传播他们的数据

去中心化数字钱包可以在手机上使用，通过加密安全地存储您的数字身份和凭证。这种方法隐藏了数据，大大降低了凭证跟踪、黑客攻击和获得未经授权访问以窃取或变卖人们数据的风险。对于去中心化身份，当信息被请求时，必须有人给予授权才能共享信息。

Verizon的电子邮件黑客统计数据显示，网络钓鱼企图导致了80%的恶意软件感染和几乎95%的间谍攻击。此外，Facebook自成立以来发生了许多数据泄露事件。在一次Facebook数据泄露事件中，5.4亿条记录被泄露，其中包括Facebook id、密码、好友、照片和签到信息。这些数据对于计划网络钓鱼和社交工程攻击的黑客来说是一座金矿。

在去中心化身份下，不存在密码。相反，在用户登录时使用加密密钥进行身份验证。你可以使用去中心化的标识符数据而不是用户名登录网站。基本上，您只需要共享与访问每个服务相关且必要的信息。

对开发人员的好处

去中心化身份解决方案通过以下方式帮助开发者：

• 创造机会来构建以用户为中心的应用程序，消除对密码的需求和低效的身份验证过程，从而增强用户体验

• 能够在保护用户隐私的同时，安全地直接向用户请求数据

想象一下，在不需要建立和存储包括信用卡信息在内的个人信息的网站上购物。相反，您经过验证的支付和配送信息将从您的去中心化身份钱包安全地传输。

或者如果有人想申请贷款，不需要寻找所有的文件，他们可以允许银行立即接收所有相关信息，以表明他们有资格获得贷款，包括他们的工资、地址和姓名。

去中心化身份是如何工作的

一个去中心化的身份系统有以下几个主要元素：

• 区块链：在区块链网络中的计算机之间共享的去中心化数据库，它记录信息的方式使更改、黑客攻击或欺骗系统变得非常困难。

• 去中心化身份钱包（Decentralized Identity Wallet）：一个允许用户创建去中心化标识符并管理其可验证凭据的应用程序。

• 去中心化标识符（DID）：区块链上的唯一标识符，由一串包含公钥和验证信息等细节的字母和数字组成。

• 可验证凭证（VC）：纸质和数字凭证的数字、加密安全版本，人们可以向需要它们的组织出示以进行验证。以下是VC系统中的主要参与方：

• 持有者：使用数字钱包应用程序创建其去中心化标识符并接收可验证凭证的用户。

• 颁发者：使用其私钥签署可验证凭据并将其颁发给持有者的组织。

• 验证者：检查凭据的一方，可以读取颁发者在区块链上的公共DID，以验证持有者共享的可验证凭据是否由颁发者的DID签名。

让我们更详细地了解这些元素各自的工作方式，以及它们如何一起工作。

区块链上的去中心化身份

区块链是一个数字分布式数据库，在节点（即区块链网络中的计算机）之间共享，这使得更改、攻击或欺骗系统变得困难或不可能。区块链的设计允许网络中的每个人都知道所包含的信息是真实有效的。每个区块都有唯一的数据，并且区块组合成完整的链。节点执行发送和接收信息等功能。区块链技术也被称为分布式账本技术（DLT）。

区块链的主要特性

• 去中心化：公共无权限区块链使用任何人都可以加入的点对点网络。没有人能够改变或操纵一个区块链的行为方式。

• 区块链充当分布式账本：数字数据库在世界各地计算机的分布式网络上运行，这使得某人或组织难以更改或操作信息。相比之下，中心化系统使某些人更容易在其他人不知道的情况下更改或操纵信息，因为他们是唯一有权访问这些记录的人。

• 但是在区块链技术中，网络中的每个节点都得到了一个完整的区块链副本，并且可以利用该信息来验证它没有被篡改。当数据被验证后，每个节点将这些信息添加到自己的区块链中。网络中的每个人都创建了共识，他们同意哪些区块是有效的，哪些是无效的。被篡改的块会被网络中的节点拒绝。

• 不可篡改：链上的每个区块都包含来自前一个区块的信息，并且这些区块不能篡改或回溯。每个区块上都有一个哈希，就像一个数字指纹。如果哈希值发生了变化，网络就会知道它被篡改了。

• 强大的安全性：区块链支持数字签名和加密哈希函数，以保护人们的身份免受泄露和盗窃。

值得注意的是，任何人都可以加入公共无权限区块链。受许可的区块链不允许任何人未经授权加入，因为一些用例要求只有特定的人应该访问网络。对于有权限的区块链，用户需要获得网络所有者的权限才能成为网络的一部分来访问、读取和/或写入区块链上的信息。

以下是各方如何在去中心化身份系统中使用区块链：

• 持有者：可验证证书(例如驾照)的持有者在区块链上有他们的公共DID。

• 颁发者：颁发者发布公共DID和关联的公钥在区块链上。当一个颁发者(就像一个许可组织一样)向一个证书持有者(比如驾照)提供一个证书时，颁发者使用他们的私钥对该证书进行签名。

• 验证者：类似于按需驾驶公司的验证者可以检查区块链，以确保他们信任的许可部门确实签发了许可证以及许可证颁发给了谁。

区块链允许网络中的每个人都拥有相同的真实来源，知道哪些凭证是有效的，以及谁验证了凭证内部数据的有效性。区块链通过维护可验证的注册表（或记录）建立了信任的基础：

• 所有的DIDs

• 颁发的证书证明（如果该证书已锚定以证明存在和真实性）

• 公共密钥

• 撤销登记处

身份信息并不存储在区块链上，而是存储在持证人的数字钱包上。

什么是去中心化标识符 (DID)？

去中心化标识符（DID）：

• 由存储在区块链上的一串字母和数字组成的全局唯一标识符且独立于任何组织

• 允许所有者证明对它们进行加密控制

• 带有一个或多个私钥和公钥对

• 不包含个人资料或钱包信息

• 允许双方之间的私有和安全连接，并且可以随时随地进行验证

可以使用DID来查找包含相关信息的已连接DID文档，以实现登录、数据加密和通信等用例。

现在，我们大多数人使用电子邮件、密码和用户名等信息作为标识符来访问网站、应用程序和服务。但这些标识符通常会导致：

• 我们的个人信息被黑客入侵

• 身份盗窃

• 我们的数据在我们不知情的情况下被他人共享

• 让人更难管理多种登录方式

• 受服务提供者的摆布，他们可以在任何时候撤销这些标识符

但是DIDs解决了其中的许多问题。它们为交换和验证数字证书提供了一个普遍接受的标准。无论是个人还是组织，都可以为不同的关系创建任意数量的DIDs。DIDs就像人们可以创造的不同的角色。

现在，许多人使用LinkedIn来展示他们的职业经验和信息。但因为他们不想让雇主看到他们的个人照片和兴趣爱好，所以他们在Facebook上建立了一个单独的个人资料。DID的类似之处在于，你可以为不同的目的创建不同的配置文件。

例如，你可以：

• 用于个人兴趣爱好，比如登录购物网站或显示你已经到了购买酒精的法定年龄

• 用于专业目的，你可以用它向雇主展示教育或专业证书

• 用于访问不同的加密货币相关的应用程序和服务，这些应用程序和服务需要为您的交易和投资活动验证您的身份

公钥加密和私钥加密的区别举例

每个DID都带有一个或多个私钥和公钥：

• 私钥（Private key）：由一长串字母和数字组成，允许人们证明所有权、同意共享选定的数据以及签署文件。它用于对数据进行加密和解密。打个比方，私钥就像主钥一样，可以访问你的所有信息，而私钥的所有者永远不应该与任何人共享他们的私钥。

• 公钥：由一长串字母和数字组成，可以安全地与你选择提供特定信息的任何人共享。

你可以有多个私有-公共密钥对，在与另一方共享信息时，生成新的公钥是一个很好的实践。这就相当于在10个不同的网站上使用相同的密码。出于安全考虑，这样做并不安全。最好为所有网站设置不同的长而复杂的密码。类似地，最好为共享信息的每一方生成一个新的公钥。

如何使用私钥和公钥的示例

假设有一个健康和安全培训组织提供建筑安全认证，这门课程是工人在建筑公司找到工作的必要条件。以下是去中心化身份如何帮助防止欺诈，并使组织在颁发和验证凭据方面节省大量时间和资源：

• 卡尔完成了课程，培训机构要求与他的数字身份钱包连接

• 当卡尔授权培训组织进行连接时，钱包将共享他的public DID，以便他们签发凭证。

• 培训机构用他们的私钥签署数字结业证书，并颁发证书。它们的公钥存储在区块链上。通过去中心化身份平台，组织可以轻松高效地同时发布许多凭证。

• 卡尔会把他的证件放在手机上的电子钱包里，他可以随身携带。

• 卡尔授权建筑公司查看他的证件，但没有显示任何不必要的信息，如他的地址和出生日期。

• 由于培训机构的公钥在区块链上，该公司通过扫描二维码立即验证其证书的真实性，而根本不需要联系发行者。

传统的认证核实过程通常需要几周时间，他才能开始工作，因为建筑公司必须手动联系发证机构。以前的核查过程既费时又昂贵。

去中心化身份生态系统中的层次

可验证凭证

可验证凭据是纸质和数字凭据的数字、加密安全版本，人们可以将其提交给需要验证的组织。以下是一些可以作为可验证凭证发布的信息示例:

• 驾照

• 护照

• 专业认证

• 员工身份

当数字证书符合（W3C World Wide Web Consortium（制定的可验证证书数据模型1.0（verified credentials Data Model 1.0）时，它们就可以被称为可验证证书。

去中心化身份验证的例子

可验证凭据的一个主要好处是保持隐私。假设有一家按需送餐公司，要求申请人持有有效驾照。该公司可以立即检查“可验证证书”，以确认申请人是否拥有有效的驾照。一个可验证的陈述将允许申请人，即持有者，显示他们的许可证号码，而不共享他们的全名或地址等不必要的信息。

在另一个例子中，俱乐部的工作人员可以扫描持有者可验证证书的二维码，以确保他们至少年满18岁。政府许可证部门的公众DID在区块链上，允许俱乐部验证可验证证书的真实性，因为俱乐部信任颁发证书的部门。可验证凭据在双方之间建立信任，并保证数据和声明的真实性，而无需实际将数据存储在区块链上。

在另一种情况下，索菲亚刚搬到加拿大，没有大学学位的实体复印件，她需要证明她的研究领域，以获得工作机会。然后，她的大学会向她颁发一个可验证的证书，即与她所做的工作相关的学位，她可以将其存储在她的数字钱包中。最后，索菲亚将证书交给雇主，雇主可以立即核实证书的真实性。

去中心化数字身份 Web3 钱包

去中心化数字身份钱包使人们能够安全地存储、管理和共享DIDs和可验证凭证。它类似于一个物理钱包，包含各种身份证明和关于你自己的声明，如服务卡、银行卡和许可证。Web3钱包将存储经过验证的凭证详细信息，如公民身份、就业、姓名和地址，以证明资格、身份或完成交易。

移动身份钱包将信息存储在手机上，而不是浏览器的存储或云端。数字钱包允许人们在不泄露个人信息的情况下使用应用程序和服务。DIDs还可以防止你的设备被跟踪和关联(数据可能会追溯到某人的身份或在线行为)。验证者可以连接到用户的Web3钱包并请求数据，而用户总是选择何时授予共享数据的权限。

去中心化身份钱包允许你完全控制谁可以访问您的数据，而无需提供任何不必要的详细信息。

去中心化身份用例

下面只是众多例子中的几个，这些例子说明了去中心化身份技术如何解决各种行业中传统验证流程和中心化身份管理系统所导致的许多问题。

去中心化的技术优势

结论

去中心化身份是一种身份管理类型，允许人们拥有和控制自己的数字身份，而不依赖于特定的服务提供商。去中心化身份技术解决了中心化和联合式身份管理系统带来的许多问题，包括广泛存在的证书欺诈、缓慢而昂贵的验证过程以及数据泄露的风险。