一、什么是 DID？

DID 是指 Decentralized Identity，即去中心化数字身份（分布式数字身份）。

数字化生活与物理世界不断交融的今天，每个人都需要一个自己拥有、控制、去中心化的数字身份，并由自己拥有的、能够开展安全私密交互的身份标识符（identifier）支持。

DID 是区块链世界的身份证，有可能会成为区块链的基础设施，让更多的人拥有并使用 DID 更有利于人们理解并使用区块链技术。

为了推动 DID 领域的发展，行业内成立了去中心化身份基金会（Decentralized Identity Foundation,DIF），成员包括 ConsenSys、微软、埃森哲、IBM、Hyperledger、比原链、亦来云等。另外，万维网联盟（W3C）已经开始了 DID 的规范制定，并且已经有不少项目加入 W3C DID 阵营，不少项目还提交了各自的 DID 协议方法。

二、为什么需要 DID？

数字身份的发展历程分为 4 个阶段。

第一个阶段是“中心化身份”，由权威机构进行管理和控制。

第二个阶段是“联盟身份”，由多个机构或者联盟管理控制。

第三个阶段是“以用户为中心的身份”，核心是每个人都应该有权控制自己的数字身份，目前处于该阶段但实际上用户并未完全取得身份的掌控权。

第四个阶段是“自我主权身份”，基于区块链的分布式账本和密码学算法创建可信的环境，让用户完全掌控自己的身份数据，给他人提供可信身份。

目前的数字身份存在以下几个痛点：

1、身份数据分散、在不同机构需要重复认证；

2、个人身份数据被冒用或盗用的风险较高；

3、容易造成个人信息大规模泄露。

因此，由自己拥有、控制、具有统一唯一性的 DID 很有必要。相较而言，基于区块链的 DID 有 3 个优势：

一是去中心化，基于区块链分布式存储，避免了身份数据被单一的中心化权威机构所控制，即使存储于单一中心化节点，也可以设置调阅过程记录在册；

二是身份自主可控，基于 DPKI （分布式公钥基础设施），个人能自主管理自己的身份数据；

三是可信的数据交换，身份数据锚定于区块链上，认证过程简单可信，不容易被盗用，同时可以实现多个信息系统的数据互通，无需重复认证。

三、DID 的运行原理

DID 的应用包括身份认证、身份数据授权两个方面。身份认证主要由身份提供机构和用户完成，身份数据授权主要发生在应用与用户之间。

1、身份认证

身份认证包括证书申请、证书签发和验证、证书撤销、证书更新。

证书申请是指用户通过非对称加密算法生成公私钥对，私钥自己保存，公钥和用于验证个人身份信息的数据发送给验证节点进行证书的申请。

证书签发和验证是指，根据新用户提交的信息（公钥和身份信息数据）验证其身份的真实性，验证通过后生成数字证书并上链。

证书撤销是指用户通过私钥主动提出证书撤销请求，或者由于证书到期由智能合约触发证书撤销（过期、失效等），验证节点根据信息进行审核验证，以完成撤销状态上链。

证书更新是指用户向区块链网络发起证书更新请求，提交待更新的新证书，并由验证节点验证上链。

2、身份数据授权

拥有用户数据的服务商将用户信息加密生成私钥和公钥，其中公钥生成该运营商的数字签名，私钥则保存在用户本地，如 SIM 卡或手机。

用户登录联盟链中某一应用时，该应用向有用户身份信息的服务商（身份提供方）发起请求，接收到请求后，服务商向用户发送授权申请，等待用户同意。

用户通过私钥对该申请进行授权，应用在链上对用户身份进行匹配，匹配成功后完成授权并登录该应用。

身份认证和身份数据授权相结合，基本就是 DID 系统的整体运行流程：

四、DID 的案例分析

案例 1: 微软 DID

2019 年 5 月，微软将微软 DID 发布在比特币网络上运行，该技术旨在通过区块链技术更好地证明用户的身份。

DID 利用区块链技术实现让数字身份真正为用户所拥有并支配，不再有任何中间人接触拥有控制用户的身份和数据。

微软 DID 方案可以拆解为三部分：sidetree、ION、DID，分别对应协议层、网络层、应用层，三者属于逐级向上建构的关系。

协议层：Sidetree

Sidetree 是协议层，可以部署在比特币以及以太坊网络上，也可以部署于其他区块链网络上。目前，仅被部署在比特币网络上。

Sidetree 的核心功能有三项：

1、Sidetree Core （Sidetree 核心）

观测来自目标区块链（比特币区块链）的传入事务（incoming trasactions)，抓取其观测到的、所有的 DID 操作（operations），进而验证每一个 DID 的状态。

2、Content Addressable Storage Protocol （内容可寻址存储协议）

这一功能类似 IPFS，它将数据在链下存储以减少链上的负担，并允许跨节点的事务传播（transaction propagation across nodes）。

3、Blockchain/Ledger Adapter （区块链 / 账本适配器）

向底层区块链读取和写入 DID 操作的代码。

网络层：ION （Identity Overlay Network)

ION 是一个基于 Sidetree 协议的开源网络，可以通过将操作写入安全且不可变的区块链（比特币网络）来巩固和维护对 DID 的所有权。

ION 具有全球可扩展性，同时保有比特币区块链的去中心化特性。

由于 ION 是 Layer 2，所以 ION 不受限于 Layer1 的比特币区块链的吞吐量限制，其 TPS 可成千上万。

应用层：DID

DID 包括两方面内容：

1、唯一标识符（a unique identifier）

2、相关的 DID 文档（an associated DID Document）

前者是后者的标签，后者则包含诸如 DID 可以授权什么，在哪些服务中 DID 可以被使用等信息。

微软 DID 项目的意义：

1、优化比特币的舆论环境，强化其龙头地位。比特币的应用性不足一直为人诟病，随着日臻完善的 Layer 2 方案开始被微软这样的巨头采用，比特币的应用性方面的舆论压力会减轻不少。

2、鼓励更多项目开源运作，提升行业透明度。微软 DID 保持开源运作，将很大程度促使更多项目效仿，提升行业的透明度。

案例 2：eID 数字身份链

eID 是以国产自主密码技术为基础、以智能安全芯片为载体，采用空中开通或临柜面审的方式，依据对法定身份证件核验的结果，由“公民网络身份识别系统”签发给公民的网络电子身份标识，属于国家层面的数字身份。

eID 数字身份链是以 eID 数字身份为统一的个人身份标识，结合 eID 电子签名和区块链技术，链接个人各维度数据的数据流通服务平台，是在 eID 数字身份体系上发展起来的 eID 应用基础设施服务。数字身份链是以 eID 为基础的联盟链，由公安部第三研究所为指导单位，北京公易联科技有限公司投资建设及联合推广。eID 数字身份链可以提供个人身份认证、签名授权、区块链存证等平台解决方案，在保护用户数据的前提下，实现多个信息系统的数据互通。

使用体验：只要拥有 eID，就可以使用 eID 数字身份链。华为手机的卡证区可以绑定 eID，eID 数字身份 APP 可以将各种证书授权上链。

2020 年 3 月，深圳市信息服务业区块链协会举办区块链咨询培训，学员在线上考试成绩合格后，由该协会发放“区块链咨询师”证书，eID 数字身份链对该证书进行核验，可永久保存该电子证书。另外，中华国际科学交流基金会与中国集团公司促进会，也利用 eID 数字身份链颁发了“公益捐赠证书”。

案例 3：百度智能云 CloudDID

CloudDID 是百度智能云于 2019 年 11 月推出的一款智能小程序，其核心是基于企业区块链平台天链的可信数字身份解决方案，为企业 / 用户提供数字身份服务。

使用体验：用户先注册百度 APP 账号，再登录 CloudDID 小程序，然后系统会自动生成 DID 和私钥（包括主私钥和备用私钥）。CloudDID 采用的是 Secp256k1 签名算法，私钥仅本地存储。目前，用户可以申请个人认证和企业认证。

百度 CloudDID 的项目运行原理与微软 DID 项目基本一样。

2020 年 4 月，国家网信办发布《境内区块链信息服务备案清单（第三批）》中包括百度的可信计算平台 BCP 和可信数字身份 BIP。同时，CloudDID 已实现开源并被 W3C 技术标准收录。

主要功能：认证和授权。认证的功能是证明用户使用某产品或服务前，具有使用资质；授权的功能是用户在获取某权利或认证时，需要通过前置认证来获得授权。

用户 DID 不是由单一机构赋予，而是根据确定的算法（DID Spec）生成，同时还会生成一对密钥（公钥和私钥），其中公钥与 DID 绑定在分布式存储上，私钥则保存在用户的设备上。

案例 4:uPort

uPort 是 ConsenSys 建立在以太坊区块链上的身份管理应用，基本符合 W3C 制定的关于 DID 的标准。属于用户的代理，即 Holder 角色，会帮助用户去进行可验证声明 VC 的申请、储存和授权，以及 DID 在区块链上的注册。

使用体验：uPort App 类似于一款数字钱包，在 App 上注册一个 uPort ID，由 DID+以太坊账户组成。一个 uPort 账户关联了以下内容：1、uPort ID；2、个人基本信息：可选填姓名、邮件、国家、电话四个字段；3、Credentials：Credentials 就是在 W3C 标准里的 VC；4、其他辅助信息：如账号的二维码、账户头像等。

瑞士楚格利用 uPort 在以太坊区块链上创建了世界上第一个政府自主发行的身份项目，楚格公民可以通过 uPort 应用进行投票。

案例 5: 井证 J-DID

井证是井通公链生态的一个节点，号称也拿到了公安部的个人身份代理资格。井证有两个产品：Jpassword （密码管理软件）、井证 J-DID。

Jpassword 是面向 C 端用户的密码管理软件，用于保存用户名、密码、私钥和其他个人隐私数据。

目前传统的同类软件是将这些个人隐私数据保存在中心化的服务器中，而 Jpassword 则将数据保存在去中心化的 IPFS 分布式数据库中。

J-DID 是面向 B 端和 G 端的基于区块链的可信数字身份平台，遵循 W3C DID 标准。

传统的中心化身份验证平台，各个平台之间都是数据孤岛，存在重复验证的问题，而 J-DID 则打造一个权属完全属于个人的 ID，用户是基于个人的 ID 去进行实名认证，实现数据和应用分离。

井证和中国电信、公安部第一研究所在天翼 U 盾中有合作：基于区块链的数字身份，用户的 J-DID 和私钥存储在电信 SIM 卡的安全芯片中，与 DID 相关的隐私数据保存在 IPFS 分布式存储平台，从而帮助用户管理密码及其他个人隐私数据，将 U 盾电子化、软件化、虚拟化。

除此之外，还有不少企业布局了 DID 这个赛道。比如：Paypal 投资了 Cambridge blockchain startup；Telegram 推出了 Telegram Passport，与微软 DID 类似，可以加密用户的私人信息，并使用它们在各类应用服务中安全地交互；Coinbase 则收购了 Distributed Systems，并且可能会通过数字身份在 Coinbase 旗下产品之间构建桥梁；IBM 与 HyperLedger 共同发起的 HyperLedger Indy 项目 Soverin 是企业级方案的先行者，对企业需要立刻部署基于开源技术的 DID 具有优势。

五、DID 的前景展望

区块链+数字身份这个领域，已经实现初步的应用落地，但尚未出现现象级产品。DID 项目的发展前景，主要取决于三个特性：

1、隐私保护

隐私保护是 DID 区别于传统数字身份的关键特性之一。DID 可以防止隐私数据被非授权的主体盗用，这个特性是长足优势、硬需求。

2、互操作性

DID 项目本身并不具备广泛的应用属性，DID 相当于是区块链世界的一个基础设施，DID 需要具备跨应用的互操作性以获得在商业场景中的附加价值。

跨应用互操作性可以促进应用间的互联互通，解决信息孤岛、跨应用合作困难的问题。所以，DID 项目在标准化、适用范围方面的建设非常重要。
标准化方面的建设，目前主要由国际化标准组织 W3C 牵头制定；适用范围方面的建设，主要取决于 DID 项目本身的初始设计，必须要有足够的适用广度、具备足够的跨应用互操作性，更有可能获得普遍推广应用。3、项目信用
DID 项目信用，早期可能主要取决于建设主体的信用，后期主要取决于项目机制和项目建设成效。
DID 虽然是去中心化数字身份，但是不可否认 DID 非常依赖公关事务，商业属性较弱，比较依赖公共机构牵头。以政府或者公共机构牵头建立的区块链数字身份系统，在早期更容易被广泛认可，更有希望形成社会共识。同时，政府对于身份保密性通常也有一定的要求，所以 DID 也可能成为政府政务系统中的一项基础设施。DID 这个领域本身的发展前景，随着标准化的继续拓展，相信会有越来越多的应用切换 / 加入到 DID 这个基础设施上来。