去中心化身份

执行概要
为什么我们需要去中心化的身份
去中心化认证如何运作？
- 一个示例场景
- - DIDs入门
  - 获取DID
  - 使用个人数据存储进行DIDs交互
  - - 初级和成对DID
    - 查找和发现DID
在DID之间建立信任
- DIDs的公开和认证
使用个人数据存储进行DIDs交互
- 管理数据访问权限
- Synchronization and replication of data
- 构建去中心化的应用程序和服务
- 恢复受损的DID
微软的分散式身份认证进展
关键理解

拥有并控制你的身份。

Decentralized Identity
Own and control your identity

执行概要

我们的数字和物理生活越来越与我们用来获取丰富体验的应用程序、服务和设备联系在一起。这种数字化转型使我们能够以以前无法想象的方式与数百家公司和数千名其他用户进行互动。

但是身份数据经常被泄露，影响到我们的社会、职业和财务生活。微软相信还有更好的方法。每个人都有权拥有并控制自己的身份，这种身份可以安全地存储其数字身份的元素并保护隐私。本白皮书解释了我们如何与一个多元化的社区携手为个人和组织构建一个开放、可信、可互操作和基于标准的去中心化认证（DID）解决方案。

我们每个人都需要一个我们自己的数字身份，一个安全和私人地存储我们的数字身份的所有元素。

这种自我拥有的身份必须无缝地融入我们的生活，让我们完全控制身份数据的访问和使用。

为什么我们需要去中心化的身份

今天，我们在工作中、在家里，以及在我们参与的每一个应用程序、服务和设备中使用我们的数字身份。它是由我们说的、做的和我们生活中的所有经历组成的，购买活动门票，入住酒店，甚至订午餐。目前，我们的身份和所有的数字互动都由第三方拥有和控制，其中一些我们甚至不知道。

用户的现状是对众多的应用程序和设备给予许可，这就需要高度警惕地跟踪谁可以访问哪些信息。在企业方面，与消费者和合作伙伴的协作需要高度接触的协调，以便以维护所有相关人员的隐私和安全的方式安全地交换数据。

我们相信，基于标准的去中心化认证系统可以开启一系列新的体验，使用户和组织能够更好地控制其数据，并为应用程序、设备和服务提供商提供更高程度的信任和安全。

需要用个人、组织和设备可以拥有的云身份系统来扩充现有的云身份系统，以便他们能够控制自己的数字身份和数据。这种自我拥有的身份必须无缝地融入我们的日常生活，完全控制我们分享的东西和与谁分享，并在必要时提供收回的能力。个人需要一个安全、加密的数字中心，在那里存储身份数据，并轻松控制对身份数据的访问，而不是对无数应用程序和服务给予广泛的同意，也不需要在众多提供商之间传播身份数据。

去中心化认证如何运作？

如今，用户身份的数字表示是许多应用程序和服务中分散的数据的混合。

需要一种新的身份识别形式，一种将技术和标准结合在一起，以提供关键的身份属性，如自主性和抗审查能力，而现有的系统很难实现这一点。
为了兑现这些承诺，我们需要一个由七个关键创新最显著的技术基础，即用户拥有的标识符、用于管理与这些标识符相关联的密钥的用户代理和加密的、用户控制的数据存储。

1、W3C去中心化标识符（DIDs） 用户独立于任何组织或政府创建、拥有和控制。did是与去中心化公钥基础设施（DPKI）元数据相关联的全局唯一标识符，该元数据由JSON文档组成，其中包含公钥材料、身份验证描述符和服务端点。

2、去中心化系统（例如，区块链和ledgers） DID植根于提供DPKI所需机制和功能的去中心化系统。微软正在参与开发社区正在开发的标准和技术，以支持一个充满活力的DID实现生态系统，支持各种区块链和账本。

3、DID用户代理 使真实的人能够使用分散身份的应用程序。用户代理应用程序有助于创建DID、管理数据和权限以及签署/验证DID链接声明。微软将提供一个类似钱包的应用程序，可以作为用户代理来管理DID和相关数据。

4、DIF通用解析器 一种服务器，它利用DID驱动程序的集合，为跨实现和分散系统的DID提供标准的查找和解析方法，并返回DID文档对象（DDO），该对象封装了与DID相关的DPKI元数据。

5、DIF身份中心 加密个人数据存储的复制网格，由云和边缘实例（如移动电话、PC或智能扬声器）组成，便于身份数据存储和身份交互。

6、DID Attestations 签署的证明基于标准格式和协议。它们使身份所有者能够生成、呈现和验证声明。这构成了系统用户之间信任的基础。

7、去中心化的应用和服务——DID与Identity Hub个人数据存储相结合，可以创建一类新的应用程序和服务。它们使用用户的身份中心存储数据，并在授予它们的权限范围内操作。

一个示例场景

爱丽丝最近大学毕业了。她可以申请一份大学颁发的文凭的电子版。她可以选择将自己的文凭展示给任何人，比如可以独立验证文凭颁发者、颁发时间和身份的潜在雇主。

DIDs入门

为了理解DID，将其与当前的身份系统进行比较是有帮助的。电子邮件地址和社交网络ID被创建为人类友好的协作别名，但现在已经超载，可以在协作之外的许多场景中作为数据访问的控制点。这就带来了一个潜在的问题，因为电子邮件提供商、社交网络提供商或其他外部机构可以随时取消对这些ID的访问。

分散标识符（did）是不同的。did是用户生成的、自主的、全球唯一的标识符，植根于分散系统中。它们具有独特的特性，比如更大程度地保证不变性、抗审查和避免篡改。对于任何旨在提供自拥有权和用户控制权的ID系统来说，这些属性都是至关重要的。

获取DID

要获得DID，您可以使用控制下的设备下载DID用户代理应用程序。正如web浏览器是一个可信任的用户代理，它可以帮助您导航web，DID用户代理可以帮助您管理DIDs的各个方面：标识符的创建、身份验证、数据加密以及密钥和权限的管理。关于分散身份的一个常见误解是，所有身份数据都暴露在区块链等公共系统上。这是不正确的。微软认为，DID的实现应该严格使用分散系统来锚定标识符和非PII-DPKI元数据（如上所列），以便为DID所有者启用路由和身份验证，而不存在审查风险。用户的实际身份数据在“链外”加密，由用户单独控制。（有关详细信息，请参阅本文档的“使用个人数据存储进行DID交互”部分。）

使用个人数据存储进行DIDs交互

1、DID用户代理应用程序组装了一个DID注册负载，其中包括密钥引用、标识中心服务终结点和恢复所需的公共值。
2、DID用户代理应用程序生成设备密钥和加密的所有者恢复捆绑包。
3、DID用户代理应用程序根据用户选择的DID实现协议，将DID注册负载推送到分散系统。

初级和成对DID

广泛使用电子邮件地址或社会身份证作为主要标识符已经导致了不良做法。用户已经养成了在各种产品和服务中使用相同标识符和密码的习惯。这会导致安全性差，并且会关联和跟踪帐户。

从概念上讲，did可以分为两类：公共did和成对did。公共did是用户选择有意地将自己与为公众准备的数据链接起来的id，例如，包含照片和简要描述的小型相册。如果你想让一个活动或互动以一种可以被他人验证的方式与自己联系起来，那么公共DID是合适的。但是，将你所做的每一件事都与一件事联系起来并在网络上进行追踪，会带来严重的隐私和安全风险。这就是为什么成对did是有用的。每当用户想要隔离他们的交互并防止关联时，就会生成成对的did。对于许多用户来说，成对did可能是他们用来进行身份交互的主要机制。

查找和发现DID

一旦你有了一个DID，你可能会问如果你遇到另一个DID或者想搜索一个DID，你应该怎么做。用户代理应用程序是否与DIF通用解析器实例通信以查找DID。当一个DID传递给通用解析器时，解析器使用适当的驱动程序与分散系统接口并检索匹配的DID文档。一些DID实现创建时具有发现其所根植的分散系统中存在的所有DID的能力；其他一些则缺乏这种能力。微软认为这是一个很有价值的功能，因为它允许应用程序和服务确定地生成一个did的通用目录。这在许多应用程序和服务场景中都很有用，如果没有它就很困难。

在DID之间建立信任

在一个任何人都可以创建帐户或获得DID的世界里，你怎么知道基于DID的身份不是假的？就像个人的名誉一样，DID开始的时候没有证据证明；它们代表着空洞的身份，只有拥有者才能证明对DID的拥有。为了获得合法性的证据，did需要现有的信任提供者和流程的支持，比如企业、教育机构和政府。基于DID的系统提供了一种机制来创建证明，其中包括对谁签发背书以及何时签发的独立验证。通过从多个信任系统中积累这些证明，身份可以随着时间的推移建立更大的信心，以匹配访问应用程序或服务的固有风险水平。

与电子邮件标识符和其他基于经常账户的系统不同，DID是自主的，与加密密钥相关联，并植根于分散的系统中，这些系统维护着DPKI操作的共享、全球血统。这使得更高级的身份活动成为可能，比如创建和验证DID签名的证明。证明是一个或多个DID用它们的密钥签名以生成关于另一个DID的断言的独立可验证的声明。数据的时间状态可以通过区块链账本记录并独立验证，而不需要信任其他实体或组织来记录发生的时间。
例如，一所大学可能会签署一份证明，证明某人的名字是鲍勃·凯利，他是一名在校学生，而且他的外貌与他的学校照片相符。大学和其他组织可以通过演示对web域的控制或通过更直接/个人验证程序来证明DID的所有权。然后，这些组织可以根据现有凭证签发证词或证明，并使用标准加密密钥套件进行验证。结果是，在参与身份交互和敏感披露之前，您可以要求来自多个信任提供者的标准、可互操作、可验证的声明，以匹配被解锁的价值级别。这是许多行业的游戏规则改变者。

DIDs的公开和认证

您可以使用DID与其他人、应用程序或服务进行交互，但最基本的交互是身份验证。为了向外部方验证DID，DID所有者向该方披露DID。外部方通过DIF通用解析器（可能使用DID用户代理应用程序）查找DID，解析器返回匹配的DPKI元数据。外部方通过使用DPKI元数据中的公钥引用生成质询，并与用户进行握手。如果用户能够完成质询-响应握手，那么已经证明该用户是相关DID的所有者。微软正在研究将对DID的支持与现有标准（如FIDO/WebAuthn）结合起来的方法，同时保持隐私、信任和安全承诺。

使用个人数据存储进行DIDs交互

如今，用户通常将个人数据存储在本地计算机上或使用基于提供商的服务。虽然这些存储选项有自己的位置，但它们通常会将个人数据暴露给意外实体访问，而且通常是通用存储系统，而不是为身份交互而设计的。

DIF身份中心基于用户控制的、链外的个人数据存储。用户通过他们的DID用户代理应用程序，决定他们想要与谁共享数据，以及共享到什么样的粒度级别。对身份中心的请求是基于DPKI元数据路由的，该元数据称为与did相关联的服务端点。身份中心是一个多实例的个人网格，其中的数据是边缘加密和用户许可，以确保隐私设计。身份枢纽被设计为支持广泛的身份交互，并为无服务器、提供者无关的、分散的应用程序提供基础。

微软相信一个被广泛接受的个人数据存储标准是在这个新的生态系统中解锁最引人注目的用例的关键，并且是DIF中众多致力于DIF身份中心规范和参考实现的成员之一。微软将提供一个DIF的Identity Hub实例作为一个Azure服务，用户可以选择它作为他们的Identity Hub实例之一。

管理数据访问权限

身份中心主机是存储和消息中继的促进者。它们没有解密用户数据的密钥，用户可以从任何实体撤消/删除加密的数据访问。权限用它们的DID密钥签名，并根据它们对数据进行加密。有关Identity Hub权限规范的详细信息将在未来几周内提供。

Synchronization and replication of data

DIF Identity Hubs的一个关键特性是，用户可以跨提供者和基础设施边界利用多个实例来同步和复制数据，以实现共享状态。但是你根本不需要为你的身份中心使用提供者：身份中心是一种开源服务器技术，你可以在任何设备或基础设施上运行。这样可以确保您的身份数据不会绑定到任何组织，从而支持分散、自主和用户控制的承诺。

构建去中心化的应用程序和服务

与身份集线器配对的DIDS创建了一种新型的分散式应用程序的基础，其特征和功能使多种用途得以实现：
支持与提供商无关的无服务器应用程序，这些应用程序可以编写为纯客户端软件包，将其数据存储在用户的身份中心，而不管身份中心实例位于何处。这允许应用程序通过所有实现都支持的一组标准api与任何用户的身份中心交互。
从应用程序、服务和组织用来交换和协作的任何共享模式或数据集中存储数据对象的语义、无模型存储。
任何人都可以抓取或订阅的开放数据层，可以在所有DID中高效地发现和感知语义数据。DID所有者可以选择发布（必要时撤销）任何类型的数据、意图或表达式。这就创造了一个充满活力、开放的预期公共数据市场，这些数据可用于P2P产品发现和价值交换，如二手商品销售、共享单车和假期租赁。

以下是三个不同行业的示例，它们说明了以这种方式重新调整数据交换和存储的可能性：

1、卖家和gig经济参与者可以直接将待售商品和其他优惠信号发布到开放、分散的市场层，方法是将商品编码为语义报价对象，并通过身份中心公开它们。
2、患者可以通过提供对身份中心的hl7fhir编码对象的访问，允许医生与他们的医疗数据进行交互。hl7fhir是一种常用于医生、保险提供商和医院的模式。
3、供应商和零售商可以将产品和服务数据作为GS1对象编码到其身份中心，使他们能够比以往任何时候都更高效、更安全地交换供应链数据。

恢复受损的DID

DID社区中的一个公开问题是，如果控制权曾因盗窃或相关钥匙/设备丢失而受损，如何处理DID的恢复。我们相信，如果用户是他们数字身份的真正拥有者，他们必须具备可靠地恢复自己的did的能力。微软有一个假设，描述了如何授权用户自行恢复密钥。在接下来的几个月里，我们将与社区分享我们工作和代码的细节。我们期待着与您合作应对这一重要挑战。

微软的分散式身份认证进展

在过去的18个月里，微软已经投资酝酿了一套使用区块链和其他分布式账本技术来创建新型数字身份的想法，这些数字身份从一开始就是为了加强个人隐私、安全和控制而设计的。我们立志让DIDs成为微软身份认证体系中的一流公民。

在接下来的几个月里，我们将提供详细的规范，并在适当的情况下，为基于DID的技术组件提供公共代码，包括性能和规模的改进以及DID恢复的新工具。我们的目标是通过建立用户和开发人员社区可以依赖的关键基础设施来帮助引导这个新的DID生态系统。

关键理解

基于开放标准，用户可以拥有一个或多个did。
DID可以跨链和分类帐（公共、私有等）解决。
DID权限是通过只能由用户访问的密钥来管理的。
身份属性（或声明）存储在链外DIF Identity Hub个人数据存储中。
用户可以跨设备和云拥有一个或多个Identity Hub实例。
使用粒度访问控制访问证明/声明需要用户同意。
声明与现有标准（OAuth 2.0/OIDC）兼容。

去中心化身份（Decentralized Identity）相关推荐

去中心化身份一般见解
摘要 DID现在一般是"去中心化身份"(Decentralized Identity)的简称,它是一种没有中心化机构做最终担保的数字身份,是Web2"用户画像" ...
聊聊微软刚发布的区块链去中心化身份识别系统DID
这两天区块链技术圈都在讨论微软发布的去中心化身份识别系统 DID (1),微软的 DID (Decentralized IDs)是一线大型互联网公司首次公开拥抱去中心化技术,虽然有传闻说 facebo ...
苹果WWDC前瞻之iOS 13更新最受关注；微软发布基于区块链的去中心化身份识别系统；小米成立了新集团质量办公室……...
关注并标星星CSDN云计算极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...
西部世界又一发现：ION—存储在IPFS上的去中心化身份服务
近日,西部世界据IPFS官方周报报道,微软宣布推出ION v1.0去中心化身份服务,并将数据存储在IPFS上.自2019年以来,IPFS一直在与ION展开合作,支持ION使用IPFS存储数据.ION的 ...
Web3 元宇宙去中心化身份系统的未来
在进入 Web3 中的 Getaverse 和加密世界中的 Metaverse 的角色之前,让我们先看看一些基本的想法,它们将为我们将要讨论的内容奠定基础."metaverse"和 ...
关于去中心化身份的一点思考
我认为目前使用第三方的服务的关于身份的三种情况: 1:不需要身份,随意使用,比如不需要账号就可以上B站浏览视频,享受B站提供的视频服务. 2:可以是比较随意的账号身份,你可以随便注册一个账号,不填写身 ...
a16z：如何建设基于声誉的去中心化身份系统？ |链捕手
随着Web3概念以及ENS等项目的影响力逐渐扩大,去中心化身份及Web3 信誉系统也引起越来越多的关注. 近日,a16z官网发布了由哈佛商学院副教授Scott Kominers与Koodos联合创始人 ...
基于区块链的去中心化身份技术有哪些应用前景？
在当前数字化世界中,数据隐私安全的重要性不言而喻.随着区块链技术的兴起,基于区块链的去中心化身份(Decentralized Identity,以下简称"DID")逐渐成为技术社区 ...
Hyperledger Indy项目(开源去中心化身份平台)、去中心化身份(DID)、分布式数字身份项目
文章目录一.Hyperledger Indy 1. 什么是Hyperledger Indy 2. 名词概念 3. Indy实现独立的数字身份 4. Indy如何验证数字身份 5. 使用案例 Kiva ...

去中心化身份（Decentralized Identity）

去中心化身份

执行概要

为什么我们需要去中心化的身份

去中心化认证如何运作？

一个示例场景

DIDs入门

获取DID

使用个人数据存储进行DIDs交互

初级和成对DID

查找和发现DID

在DID之间建立信任

DIDs的公开和认证

使用个人数据存储进行DIDs交互

管理数据访问权限

Synchronization and replication of data

构建去中心化的应用程序和服务

恢复受损的DID

微软的分散式身份认证进展

关键理解

去中心化身份（Decentralized Identity）相关推荐

最新文章

热门文章