研報 | 詳解DID：一種全新的身份標識技術_DOC

隨著元宇宙、Web3的快速發展，去中心化身份再次成為被熱議的話題之一。除元宇宙、Web3外，DID在數字城市等領域中，也具有很大應用潛力。但為什么是DID？和傳統身份管理方案相比，DID的價值是什么？技術發展瓶頸又是什么？針對這些問題，萬向區塊鏈首席經濟學家辦公室王普玉進行了深入研究，以下為研究報告全文，供大家參考。作者：萬向區塊鏈首席經濟學家辦公室王普玉審核：萬向區塊鏈首席經濟學家鄒傳偉近年來，大家對個人數據的隱私安全問題關注度明顯上升，本文將從身份管理角度討論該問題，主要包括四方面：第一，傳統身份管理方案有什么問題？第二，DID是什么？技術實現過程是怎么樣的？第三，DID技術發展有什么瓶頸？第四，區塊鏈技術和DID技術的結合能夠擦除什么樣的火花？

一、身份管理

身份系統包括三個要素：身份、身份證明和身份驗證。我們結合三個要素，從物理世界和互聯網世界兩個維度分別討論身份管理。

1、身份系統

身份

在物理世界中，每個人從出生就擁有獨一無二的身份特征，包括外貌、體重、年齡、膚色、指紋等等；為了快速描述任何個體的身份特征，我們使用姓名作為代號，可以幫助大家快速識別他人并聯想到關于對方的一切信息，這些內容被統稱為身份。

與物理世界相對應的還有一個互聯網世界，身份的概念完全不同。在互聯網世界，用戶完全可以根據自己的喜好設置想象中的“身份”，包括姓名、性別、身高、體重等；甚至可以隨時更改這些“身份特征”，確切來說，此時的身份不同于傳統意義上的身份，因為不具有唯一性和確定性。

身份證明

在物理世界中，由人構成的系統變得日益龐大，為了便于中心化機構的管理，出現了身份證明。中心化機構根據不同人的身份特征簽發了唯一身份證明，用于證明主體擁有某項資產的所有權或申明其享有某種社會權益，同時在不同個體及組織之間交互時，可以用于定責、糾紛追溯和信任保障。身份證明使身份的特征從隱性變為可視以及可追蹤，例如政府簽發的身份證、護照等，證明主體屬于某個國家的身份以及享有某種權益；再比如駕駛證，能夠證明某個身份具有車輛駕駛技能。

在互聯網世界中的主體身份證明完全不同于物理世界。在物理世界中，身份證明與身份有著直接的關聯，即通過身份證明就能映射到主體本人；但在最初的互聯網世界中，身份證明和身份之間并不存在映射關系，不同主體只需根據設想中的身份特征提交身份證明申請，而無需與物理世界身份特征保持一致，因此僅憑互聯網身份證明是無法映射到主體本人。隨著互聯網世界的發展，匿名性和不可追溯性逐漸影響到了物理世界的治理和安全，多項規定要求平臺方需做好用戶實名制驗證工作，這樣就出現了互聯網身份證明與物理世界身份證明映射的關系，進一步出現與主體身份映射的關系。

動態 | 海南成立國際知識產權交易中心 研報建議引進區塊鏈技術:據科技日報今日消息，12月28日，海南成立國際知識產權交易中心。海南國際知識產權交易中心發布《關于在海南試行知識產權定向稅收優惠及人民幣自由匯兌政策的建議》等研究報告。研究報告建議指出，引進區塊鏈技術，在知識產權登記、交易、清算、存證等方面探索適合自貿港經濟發展的創新模式。[2019/12/29]

有意思的是，互聯網用戶的身份證明，需要依賴于物理世界身份證明的映射，來確定身份的唯一性和確定性。但互聯網世界中的網站卻完全不同，它從開始就有一套完整的身份證明體系，如圖1所示的統一資源標識符URI。每個網站擁有獨一無二的域名，域名的簽發是由國際域名管理中心統一管理，我國是由中國互聯網絡信息中心管理。

圖1：統一資源標識符架構身份驗證

在現代社會體系下，身份的驗證是信任建立的基礎。當個體或組織之間發生交互關系時，均需要進行身份的驗證，即證明某個體或組織擁有某項資源的所有權或享有某些權益，目的是通過身份驗證系統維護系統運行的基本規則和安全。

①物理世界身份驗證

物理介質證明，如各種紙質文件或卡片證明，是人類發展史上依賴最長久的身份證明，包括身份證、護照、社會醫療保障卡、駕駛證等等。隨著技術的發展，物理介質證明作假越來越容易，且在身份驗證環節無法有效辨別，經常出現身份篡改、身份冒用等導致資產非法轉移及社會權益盜用等問題。因此，通過物理介質實現身份證明來維護原有的社會規則和安全難以持續下去。為了防止身份作假，各政府及組織從兩方面進行升級：第一方面是對身份證明的物理介質升級，增加了各種特征可供驗證，如我國身份證上增加激光變色識別、增加微縮文字、視覺上呈現圖層疊放等；這些升級只是增加了非法分子的作假成本，一旦他們掌握了這些技術，依然可以復制出各種身份證明，而無法從根本上杜絕作假問題；第二方面是提升驗證手段，政府機構對接各類身份證明平臺，能夠在某主體享有權益或處置資產前，通過比對物理介質證明與系統信息進行身份真偽識別，這種模式下存在兩方面問題，第一個問題是各類身份證明平臺未全面聯通，數據孤島導致驗證信息不完整；第二個問題是企業及其他個體用戶無權對接身份識別平臺，在日常交易合作中，無法通過該模式驗證身份真偽。

②互聯網用戶身份驗證

在互聯網世界中，身份驗證主要依賴于用戶名和密碼。能夠輸入正確的信息，就意味著身份驗證通過。這種驗證體系存在兩種問題，第一種是用戶名和密碼容易被網絡攻擊者盜用；第二是中心化平臺對用戶身份信息擁有絕對控制權，他們可以在未獲得用戶許可的情況下，根據自己的需要刪除、增加、更改、甚至交易用戶的身份信息。

分析 | 火幣研報：8 月8 日至15日大跌或是大量用戶拋售個人錢包中的比特幣:據火幣研報，通過分析 2018年8 月8 日至8 月15日所有的比特幣地址與轉賬記錄，基于分類算法得出活躍地址數的分布：活躍地址中，44%為交易所地址，30%為服務商地址，19%為個人錢包地址，6%為公司，1%為礦池。再進一步分析新建地址數和轉賬明細得出：1）交易所和服務商新增地址數在這幾周內變化不大，但是新建個人錢包地址 數卻呈現明顯下降趨勢。 2）比特幣由個人地址轉入交易所的量遠遠大于從交易所轉入個人地址的量。最后推測該周比特幣價格大幅下挫原因可能有：1）新入場的投資者人數的減少。2）很有可能是有大量用戶將個人錢包中的比特幣轉入交易所進行拋售。[2018/9/5]

2、身份信息安全問題

無論是物理世界還是互聯網世界，都存在身份管理方面的問題，而且兩個平行世界的身份證明逐漸融合。物理世界中的身份證明作假問題，借助互聯網來加強身份驗證能力；而互聯網世界由于匿名信和不可追溯性導致的安全問題，通過與物理世界的身份映射方式來解決。我們解決了身份的真實性和可信性帶來的困擾，但同時也給我們帶來了新的麻煩，即身份的特征和行為暴露在網絡中，被各個平臺無視相關規定，肆意收集身份相關的行為信息并濫用這些信息。

圖2：用戶信息傳統數據庫管理模式如圖2所示，在中心化管理模式下，用戶信息被不同平臺重復收集并存儲，在2021年第76期《從用戶畫像實現看數據隱私問題》一文中，我們指出其中的問題，包括用戶信息被過度采集、信息被不同平臺交易、用戶對個人行為數據沒有控制權等問題。

3、其他

當前我們面對的不僅僅是上面所提到的關于人的身份管理問題，隨著互聯網技術及通信技術的發展，網絡連接萬事萬物，構筑出一個與物理世界相平行的數字世界。數字世界里的參與者不僅僅是人，還有包括其他萬事萬物，如何定義數字世界里的這些萬事萬物所屬權，以及怎么定義每一個數字對象的權益？這個問題關系著數字世界的正常秩序的維護以及信任的構建。前面提到的三要素“身份-身份證明-身份驗證”僅圍繞人來討論，但物理世界中，除人的身份以外，我們還有其他各種國際統一標識，比如商品相關的統一編碼等。未來我們需要管理數字世界中每一種要素，前提是做好這些要素的身份管理。進一步說，我們需要一項能夠統一維護不同身份標識方法的工具，能夠做到不同事物的“身份標識-身份證明-身份驗證”。

二、DID技術詳述

全球比特幣挖礦成本研報：年耗電量超過捷克，相當于全球總用電量0.3%:鏈塔智庫發布《全球比特幣挖礦成本研究報告》。報告中稱，截至22日，比特幣年耗電量估計為68.08萬億瓦小時，相當于全球總用電量0.3%。如果比特幣是一個國家，它的耗電量排名大致在41名，位于智利和捷克之間。在韓國比特幣挖礦電力成本最高，委內瑞拉最低。大部分挖礦依靠煤電。全球58%的比特幣礦場位于中國，16%位于美國。[2018/5/23]

分布式數字身份,在W3C的《DIDV1.0》中，將DID定義為一種新的全球唯一標識符。這種標識符不僅可以用于人，也可以用于萬事萬物，包括一輛車、一只動物，甚至是一臺機器，本文主要以人為例來展開DID的討論。

下面我們從技術實現和應用兩個角度介紹DID技術，技術實現主要講述DID技術的構成要素；而應用主要圍繞“身份-身份證明-身份驗證”討論DID的實現。

1、技術實現

DID技術的核心構成要素包括三個：DID、DIDDocument和VerifiableDataRegistry。

圖3：DID架構及相關構成要素之間的關系DID

DID屬于統一資源標識符URI的一種，是一個永久不可變的字符串，它存在的意義有兩點，第一，標記任何目標對象(DIDSubject)，可以是一個人、一件商品、一臺機器或者一只動物等等；第二，DID是通過DIDURL關聯到描述目標對象的文件唯一標識符，即通過DID能夠在數據庫中搜索到具體的DIDDoc。

①DID標識方法

DID分為三個部分，如圖4所示，第一部分是DIDScheme；第二部分是DID方法標識符；第三部分是DID方法中特定的標識符：在整個DID方法命名空間是唯一的。W3C只規范了DID的表示結構，即,但沒有規范三部分內容的具體標準，具體內容與DIDMethod有關，將在下面第2部分介紹。

圖4：DID簡單示例②DIDMethod

DIDMethod是一組公開的操作標準，定義了DID的創建、解析、更新和刪除，并涵蓋了DID在身份系統中注冊、替換、輪換、恢復和到期等。目前沒有統一的操作標準，各個公司可以根據場景特征自行設計，由W3CCCG工作組統一維護。截至2021年8月3日發布《DIDV1.0》,在W3C登記的DIDMethod高達103項，均有不同的名稱和特定的標識符表示方法。

大摩研報：加密貨幣的興起可能改變央行應對金融危機的方式:摩根士丹利分析師Sheena Shah及其團隊近期發布的研報分析了央行使用加密貨幣的幾個可能的領域，其中最引人注目的潛在應用領域為貨幣政策領域。報告稱，各國央行可以使用加密貨幣，以便在未來一旦發生金融危機時能夠激進地降低利率，減輕危機的影響：“理論上，一個100%數字化的貨幣系統可以允許出現更低的負利率”。[2018/5/15]

③DIDURL

為融合現有URI網絡位置標識方法，DID使用了DIDURL表示資源的位置。W3C對DIDURL的語法描述ABNF規定如下：<did-url=didpath-abempty>。

DIDDocument

DIDDocument(DIDDoc)包含著所有與DIDsubject有關的信息，在Doc中有身份信息驗證方法。DIDDoc是一個通用數據結構，通常是由DIDcontroller負責數據寫入和更改，文件里包含與DID驗證相關的密鑰信息和驗證方法，提供了一組使DID控制者能夠證明其對應DID控制的機制。需要說明的是，這里的管理DIDDoc的DIDController可能是DIDsubject本人，也有可能是第三方機構，不同DIDMethod對DIDDoc的權限管理有所區別。

如圖5所示，是一個與圖4中的DID對應的DIDDoc，存儲在所有人能控制的位置，以便輕松查找。

圖5：DIDDoc示例DIDDoc可以被看作是一個身份信息地圖，如圖6所示由兩部分組成，第一部分被稱為標簽，在DIDDoc中可以查詢到并可以直接閱讀的內容，包括三部分：核心標簽、拓展標簽、以及一些未在W3CDID規范登記的標簽；第二部分是未在DIDDoc列出，而是借助URL等特定形式，鏈接到第三方平臺或網站系統查詢相關身份信息；為了保證最大程度的互操作性和信息兼容性，W3C建立了DIDSpecificationRegistry,保證特定形式的內容在DIDDoc中是可以被識別和解析的。當有新的標簽出現，相關平臺或系統需要向DIDSpecificationRegistry登記。

圖6：DIDDoc的身份特征入口不同DID之間可能存在信息交互關系，如圖7所示，在W3C中提出了Production&Consumption概念：創建一個DIDDocument的過程是Production,而將創建的這條Document引用至該DIDSubject其他DID創建過程則是Consumption。在驗證過程中，每個DID對應的DIDDocument是獨立的，相當于對每個DID做了信息隔離。在驗證過程中，DID持有人可以根據需要對不同DID授權，驗證人只能閱讀到被授權的DIDDoc，而無法獲得更多信息，從而達到DIDSubject的信息保護目的。

天風證券最新研報：預計2020年國內供應鏈金融規模達15萬億，區塊鏈能夠更好的進行企業風險刻畫:4月16日，天風證券最新研報顯示，預計到2020年，國內供應鏈金融市場規模將接近15萬億元。研報顯示，供應鏈上的核心企業以及做供應鏈管理的傳統巨頭企業天然具有開展供應鏈金融業務的優勢，而區塊鏈技術能夠更好的進行企業風險刻畫，從而擴大業務覆蓋范圍，因此非常有動力搭建區塊鏈供應鏈金融平臺，但對自身供應鏈之外的企業吸引力較低。但區塊鏈初創公司在與核心企業的談判中，并不具備非常大的話語權，因此目前主要還是以技術服務商的角色來參與，很難做成生態。[2018/4/16]

圖7：DID生成和消耗的表示VerifiableDataRegistries(VDR)

DID的初衷是將用戶身份信息管理權從平臺交回用戶自己，這過程中用戶必須解決的問題是信息存儲在哪里？以及需要驗證的時候去哪里找到這些數據？怎么保證數據的真實性？VDR討論的就是怎么解決這些問題，我們將支持記錄DID數據且能夠在生成DIDDoc時提供相關數據的系統稱為VerifiableDataRegistry，這種系統包括分布式賬本、分布式文件系統、P2P網絡或其他可被信任的渠道；而且VDR與DIDMethod有著直接的關聯性，一般每個VDR都會基于W3CDID規范提出自己的DIDMethod。目前市場主推DID儲存媒介是錢包，分為托管錢包、普通錢包，以及智能錢包，具體哪種媒介能更有效的存儲DID信息，暫不在本文詳細討論。

2、DID的實現：“身份-身份證明-身份驗證”

我們基于第一部分的“身份-身份證明-身份驗證“，簡單討論DID如何實現這些功能的。

身份

在DID方案中，每個人可以在不同場景、不同時間，因為不同目的，在任意可信的第三平臺登記不同的DID，相關權益和資產所屬權與不同的DID直接綁定，而身份主體通過持有DID來證明其對資產的所有權或具體權益。DID沒有直接與物理世界身份生成映射關系，且DID信息維護也是由身份主體或可信第三方來維護，保證了信息的安全性。對于身份主體而言，需要做好DID的安全持有工作，同時維護好與DID對應的身份文件(DIDDoc)。

身份證明

DID只是一串帶有密鑰的隨機數值，在具體使用中第三方機構根據DID信息將身份證明寫入DIDDoc，同時第三方機構會將自己的數字簽名加入文件中，方便后期身份驗證。例如，張三，需要證明自己具有駕駛能力，此時無需像傳統的中心化方法，由權威機構簽發一張駕駛證給張三，具體個人信息也無需存儲在權威機構的數據庫里；通過DID技術給出的解決方案是：張三向車管所提供自己準備的DID或使用車管所提供的DID，車管所按照DIDDoc的JSON-LD數據結構寫入相關信息，同時加入車管所的數字簽名。DIDDoc可以儲存在車管所，可以儲存在張三的智能錢包里，或者其他存儲媒介。需要注意的是，此處DID并沒有泄露張三的身份特征，沒有映射物理世界的其他身份證明，這個DID只是張三持有的眾多DID中的一個。因此，只要張三本人不出示DID證明，就沒有人能知道這份DIDDoc是張三的，從而保護了張三的個人隱私。

身份驗證

驗證的主要目的是為了證明目標主體可以合規的或有權限的進行某項程序，在W3C《DIDV1.0白皮書》中從驗證目的進行了梳理，分為五類，分別是：驗證、申明、重要協議、性能調用和性能授權。根據五種不同目的，在DIDMethod中可以設計不同的方案。驗證信息的來源分為兩類，一類是DIDDoc中列舉的數據；另一類是需要借助于外部系統或平臺的數據，對于材料的格式W3C做了要求，以方便解析及識別。下面以“申明”為例說明，根據國家最新青少年網絡游戲規定中要求每天限時一小時，傳統的方法則需要上傳身份證信息，但分布式標識符解決方案中，只需要提供自己持有的DID，通過零知識證明驗證用戶是否超過18歲即可，而無需告知平臺方用戶具體年齡。這只是眾多驗證方法中的一種。

三、DID的應用及發展

DID從提出到現在已經有四年時間，各行業協會、互聯網平臺、基金會都在積極推動并完善DID技術。經過長時間探索，W3C于2021年8月3日發布了DID1.0版白皮書。相比初期0.1版搭建了一個全新的身份標識體系，到1.0版開始考慮如何融合市場上已有的身份標識方法。其他協會、組織及企業也基于W3C的DID規范提出了多種DIDMethod,但距離DID技術落地應用，仍然有很多問題需要進一步去解決，主要包括：

1、如何滿足合規性要求？

互聯網最初只需要通過用戶名/密碼實現平臺身份驗證即可，但為了滿足合規要求，增加了物理世界身份驗證。這種方法初衷是為了讓網絡用戶的行為可問責、可追溯，逐步建立網絡信任體系，但負面影響是造成大量個人信息泄露。DID有效解決了這些問題，但面臨的仍然是合規性問題。雖然當前未出臺相關規定，但不遠將來肯定會面臨如何將不同的DID映射到具體主體的問題，同時需要考慮這種映射關系，是否會造成新一輪信息泄露問題？該問題有待進一步探討及觀察。

2、如何驗證DID與持有人之間的關系？

DID具有匿名性，當前主流DID技術給出的解決方案是：誰持有DID，誰就有權享受相關權益。這種方案無法驗證DID提供者是不是本人，也無法避免DID被盜取并用于非法目的。雖然部分DIDMethod提出將DID映射到中心化數據庫，通過中心化的一套方法驗證DID提供者是不是本人的問題，但這仍將給個人信息保護留下漏洞，例如是否能夠通過中心化數據庫倒推出DID持有人？

3、DID如何市場化推行？

DID市場化過程中，當前有兩方面瓶頸：第一方面，沒有企業愿意主動放棄用戶數據；用戶數據如同平臺護城河，產生了大量價值，如果同意DID的使用，就等于同意拆除護城河，對于互聯網企業是致命性打擊。第二方面，DID技術推行誰來買單？第一，不同用戶愿不愿意為自己的身份信息買單？換句話說，用戶是否愿意向類似智能錢包這種供應方付費？雖然未來個人行為數據有機會變現，并足夠支付這部分費用，但商業模式不清晰的情況下，有多少人感興趣參與其中？第二，DID技術將打破各平臺方原有數據管理結構，必定需要新增相關驗證平臺，相關成本誰來承擔？這些瓶頸將會極大阻礙DID技術的推行，如何平衡相關方利益關系，目前仍沒有理想的方案。

4、密鑰管理風險大

DID的可信性主要依賴于密鑰技術，如果第三方機構的私鑰被竊取，會不會出現隨意簽發證書的行為？或者某個身份主體將私鑰無意丟失，是否永遠無法使用這些DID證書？這些問題目前沒有非常理想的解決方案，對于現實使用也會提出較大挑戰。

5、身份信息泄露風險

相比傳統身份信息管理手段，DID已經在很大程度上提升了數據的安全性，但在具體應用中仍有一定的風險，例如當第三方收集足夠量的個人DID數據時，有可能通過海量數據進行逆向推理，發現DID標識符之間的映射關系并推出物理世界的個人身份。這一問題的根本原因在于大多基于W3C的DIDMethod是靜態身份，而非動態身份;如果未來能夠設計一套動態身份管理體系，定期可以更新DID標識符，那么即使第三方能夠收集到部分DIDSubject的數據，但也無法通過海量數據發現DID之間的關聯關系。

四、區塊鏈與DID的結合

雖然區塊鏈不是DID技術的必選項，但區塊鏈技術能夠助力與DID技術的實施，避免很多爭端問題的發生，同時能夠以更低成本維護數據的可信性，主要體現在以下幾方面：

1、降低驗證成本

DID技術提倡的是將DID和DIDDoc存儲在用戶端，但如何保證DIDDoc不會在用戶端被篡改？如果不使用區塊鏈，則需要DID證書簽發者同步維護這些證書，增加了維護成本。當使用DID時，合作方可以將DID持有人的DIDDoc與簽發方的數據庫進行一致性驗證，增加了驗證成本。但使用區塊鏈技術則能降低簽發方這部分成本，只要寫入持有人DIDDoc的信息將被記錄在鏈上，無法做出修改，保證了信息的真實性和安全性；簽發人無需增加數據庫存儲及維護成本，而合作人也無需增加成本將持有人DIDDoc與簽發方數據庫做一致性檢驗。

2、基于DID的信任體系的搭建

當前圍繞區塊鏈的方案大多沒有實現生態閉環，假如有人在區塊鏈生態中出現違約，仍需回歸到中心化模式下尋找法律解決方法，并沒有減輕政府治理壓力。未來是否會通過構建基于DID的信用記錄系統，來補齊這塊生態閉環構建的短板？該問題值得觀察。不同主體的行為信息會隨著DID被記錄在DIDDoc中，也將成為不同相關方合作的重要參考，隨著數據的增加違約的成本也將增加，例如無法從銀行獲取貸款、無法找到工作、無法找到合作伙伴，因此，這種信任體系將會對生態治理起到非常積極影響。而這一切的基礎是可信數據，區塊鏈不能缺席。

附注：

由于不同DIDMethod有不同操作建議，此處僅為舉例說明DID身份證明簽發的一種方法。

Tags：DIDDOCIDD區塊鏈DIDO價格DocumentchainAstridDAO Token區塊鏈工程專業學什么課程

Coinw