区块链中的did

摘要： 什么是 DID？（核心定义）去中心化身份 是一种新的身份模型，它旨在将数字身份的所有权和控制权交还给个人或实体，而不是由中心化的机构（如政府、公司、社交平台）来控制，DID 你自己...

什么是 DID？（核心定义）

去中心化身份 是一种新的身份模型，它旨在将数字身份的所有权和控制权交还给个人或实体，而不是由中心化的机构（如政府、公司、社交平台）来控制。

DID 你自己的数字身份证”，它由你创建、由你保管、由你决定谁能使用以及如何使用。

DID 的三大核心支柱：

1. 去中心化：身份不由单一的中心化机构发行和管理,你不需要依赖任何第三方来证明你是你。
2. 用户控制：你是自己身份的最终控制者，你可以自主创建、更新、停用你的身份,并精细地管理你的数据访问权限。
3. 可验证：你的身份信息可以被其他人或机器安全、可信地验证,而无需每次都向对方透露你的全部信息。

为什么我们需要 DID？（传统身份的痛点）

为了理解 DID 的革命性,我们先看看我们当前使用的中心化身份系统有什么问题：

• 数据孤岛：你在 Google、Facebook、微信、淘宝等平台上的身份信息是相互隔离的，每次注册新服务，你都得重复填写信息，或者通过“第三方登录”将一个平台的身份绑定到另一个,这本质上还是依赖中心化平台。
• 隐私泄露风险：所有你的身份数据都存储在公司的中心化服务器上，一旦服务器被黑客攻击（如 Facebook 数据泄露事件）,你的敏感信息就可能大规模泄露。
• 身份盗用与欺诈：攻击者可以通过窃取你的密码或利用社会工程学冒充你。
• 缺乏自主权：你无法轻易地将你的数据从一个平台迁移到另一个平台，平台可以随时封禁你的账户,你对此毫无办法。
• 无法验证：在线上，你很难向对方证明你的真实身份（证明你已满18岁、证明你拥有某大学的学位），而不泄露你的出生日期、学校等所有信息。

DID 的目标就是解决以上所有问题。

DID 是如何工作的？（核心组件与工作流程）

一个完整的 DID 系统主要由以下几个部分组成：

1 核心组件

1. DID (Decentralized Identifier)

   
   （图片来源网络，侵删）
   • 是什么：一个全局唯一的、去中心化的身份标识符,它就像你的数字身份证号。
   • 格式：通常遵循一个标准格式，did:method:specific-identifier。
     • did:：固定前缀。
     • method:：定义了创建和解析这个 DID 的特定方法（ethr, sov, key 等）。
     • specific-identifier：由该方法生成的唯一字符串,通常与公钥或区块链地址相关。
   • 示例：did:ethr:0x1234abcd... (一个基于以太坊的 DID)

2. DID Document (DID 文档)

   • 是什么：一个与 DID 绑定的 JSON 文档，是 DID 系统的核心，它描述了与该身份相关的公钥、服务端点、身份验证方法等关键信息。
   • • 公钥：包含一个或多个公钥，用于验证该身份的签名，任何人都可以用这个公钥来验证用对应私钥签名的信息确实来自这个 DID。
     • 身份验证方法：指定了哪些公钥可以用来进行身份验证。
     • 服务端点：定义了可以与这个 DID 交互的服务地址，例如个人资料存储、通讯录服务等。
   • 存储：DID 文档本身可以存储在任何地方，但它的标识符（DID）和如何找到其文档的信息通常记录在去中心化的账本（如区块链）上,以确保其不可篡改和可发现性。

3. VC (Verifiable Credential, 可验证凭证)

   • 是什么：由“发行者”（Issuer）签发给“持有者”（Holder）的、标准化的、防篡改的声明，它就像你现实世界中的毕业证、驾照、会员卡。
   • 结构：包含三部分核心信息：
     • 发行者：谁签发的这个凭证（某大学、某政府机构）。
     • 持有者：这个凭证属于谁（用持有者的 DID 表示）。
     • ：凭证的具体信息（“张三”拥有“计算机科学”的“学士学位”）。
   • 关键特性：VC 由发行者的私钥进行数字签名，因此任何人都可以用发行者的公钥来验证其真伪,确保内容未被篡改。

2 工作流程（一个简单的例子）

假设 Alice 想向 Bob 证明她已年满 18 岁。

1. 凭证创建与持有：

   
   （图片来源网络，侵删）
   • 政府机构是发行者，它签发了一个 VC 给 Alice，内容是 { "name": "Alice", "ageOver": 18 }。
   • Alice 的钱包App保存了这个 VC。

2. 凭证出示：

   • Alice 打开她的钱包App，选择向 Bob “出示”这个年龄凭证。
   • 关键步骤（选择性披露）：Alice 的钱包App 不会把整个 VC 发给 Bob，相反，它会创建一个“可验证出示”（Verifiable Presentation, VP），在这个过程中，App 可能会隐藏 Alice 的姓名，只保留“年龄大于18岁”这个声明，并用 Alice 的私钥对整个出示过程进行签名。

3. 凭证验证：

   • Bob 收到了这个 VP，他需要做两件事：
     • 验证签名：用 Alice 的 DID 公钥验证签名，确认这个出示请求确实来自 Alice。
     • 验证凭证：用政府机构的 DID 公钥验证原始 VC 的签名,确认这个年龄声明是真实有效的。

4. 完成：

   • 验证通过后，Bob 就可以 100% 确信 Alice 年满 18 岁，但他并不知道 Alice 的具体姓名，从而保护了 Alice 的隐私。

DID 的主要优势

• 隐私保护：用户可以通过选择性披露，只分享必要的信息,最小化数据暴露。
• 用户主权：用户完全拥有和控制自己的身份和数据。
• 安全性：基于公钥密码学和区块链,身份难以被伪造或盗用。
• 互操作性：基于开放标准（如 W3C 的 DID 和 VC 标准）,不同系统和服务之间可以互相识别和验证身份。
• 减少欺诈：身份的不可篡改性和可验证性大大降低了在线欺诈的风险。

应用场景

DID 的应用潜力极其广泛,几乎涉及所有需要身份验证的领域：

• 金融服务：无银行账户身份验证、KYC（了解你的客户）、信贷评分。
• 医疗健康：安全地共享病历、管理医疗授权、药品溯源。
• 供应链与物流：验证产品真伪、追踪商品来源、管理供应商资质。
• 物联网：设备身份认证、确保数据来源的可靠性。
• 社交网络：创建真正属于你自己的社交图谱,摆脱平台锁定。
• 教育：验证学历和证书的真伪。
• 政府与公共服务：电子投票、数字驾照、社会福利发放。

面临的挑战

尽管前景光明，DID 的普及仍面临一些挑战：

• 用户体验：对于普通用户来说，管理私钥、理解 DID 和 VC 的概念仍然过于复杂,需要更友好的钱包和界面。
• 私钥管理：私钥是身份的“命根子”，一旦丢失，身份可能永久无法恢复，如何安全、便捷地管理私钥是一个核心难题（“私钥地狱”问题）。
• 法律与监管：DID 系统的法律地位、数据保护法规（如 GDPR）的兼容性、以及凭证发行者的责任界定等问题仍需明确。
• 标准化：虽然 W3C 等组织正在推动标准，但不同 DID 方法、不同实现之间的互操作性仍有待完善。
• “冷启动”问题：如何让足够多的发行者（政府、大学、公司）参与进来，并让普通用户愿意使用,是一个网络效应问题。

区块链中的 DID 是一场关于“数字身份所有权”的范式转移。 它将身份从“由他人授予”转变为“由自我拥有”，通过结合区块链的去中心化、不可篡改特性和密码学的可验证性，为构建一个更安全、更隐私、更自主的数字世界提供了坚实的技术基础，虽然仍处于早期发展阶段,但它无疑是未来数字社会不可或缺的基石。