身份安全的下一站：去中心化身份管理（DID）技术简析

随着互联网技术的出现和普及，数字身份几乎支撑着我们生活的方方面面。而这些数字身份也经历了多个不同的发展阶段：最初的阶段是由单一组织进行授权、管理和控制的中心化身份，不同机构之间身份数据互不相通；接下来的阶段是由多个机构或者联盟组织进行管理和控制的联盟身份，在此阶段，用户的身份数据具备了一定的可移植性和复用性。随着数字化创新应用的不断发展，以用户为中心的身份管理需求不断增强，用户需要能够自主掌控自身的数字身份信息，以去中心化为特征的数字身份管理时代已经来临。

去中心化身份管理的理念

去中心化身份管理是一种创新的身份安全和访问管理理念，它不再强调用户信息的集中化采集、存储，而是增强了用户个人对其身份数据的控制，因此也被称为自我主权模式（Self-Sovereign identity，SSI）的身份管理。

在去中心化身份认证方式下，会要求每个用户自主拥有自己的身份信息，不同的用户可以将凭据和个人信息存储在类似于“数字钱包”的管理工具中。而在进行去中心化身份认证时，相关身份信息的使用也会分布在分布式计算机系统中，如分布式账本或区块链，这样可以使数字身份避免被篡改和窃取的影响，即使用户的身份信息以电子格式记录，也难以被更改、窃取或删除。而且，去中心化身份管理特有的透明性使得身份信息可以即时验证，而不必依赖于身份发行者。下图是对去中心化身份管理工作原理的简要说明：

【去中心化身份管理运行体系示意图】

需要说明的是，在去中心化身份管理模式下，各类身份信息本身并不存储在区块链上，区块链只是用于生成一个不可变的交易记录，可以清晰看到信息是如何从发行组织传递给用户。这种“数字指纹”（也称为哈希）对每个凭据都是唯一的，能够可靠地证明用户的身份所有权。

在去中心化身份管理生态系统中，会涉及多种类型的参与者，主要包括：

•用户/持有者（holder）：拥有和使用身份信息的个人。这些用户可以在数字钱包中保存各种标识符，并根据需要共享它们。

• 发行者（issuer）：向用户发放凭据和声明的组织和机构。这可以是政府的税务部门，也可以是企业雇主、学术机构或者任何可以发布身份信息的实体。

• 验证者（verifier）：需要身份信息来建立信任并授予服务访问权限的第三方。例如，在线商店在允许您购买某些商品之前可能需要用户的年龄或公民身份证明。任何能够证明身份的信息都需要可被核实。

【去中心化身份系统的主要参与者】

与任何现有的统一身份管理系统架构一样，去中心化身份管理的各类组件可以组合在一起，从而更加安全地促进对关键信息的访问，同时更加便捷地验证用户的身份。

去中心化身份管理的关键要素

去中心化身份管理可以让每个用户独立控制自己的个人信息，而不是由中央组织或某个企业组织控制，这与传统的中心化身份管理模式有着显著差异，具体差别如下表所示：

从以上特点可以发现，组织在构建去中心化身份管理系统时，需要包含以下几个关键要素：

•区块链：系统需要构建一个去中心化的数据库，在区块链网络中的计算机之间共享，以一种很难改变、黑客攻击或欺骗系统的方式记录身份相关信息。

•去中心化身份管理工具：一个应用程序，允许用户创建自己的去中心化标识符并管理他们的可验证凭据。

•去中心化身份标识符（DID）：这主要指区块链上的唯一标识符，由一串字母和数字组成，其中包含公钥和验证信息等详细信息。

•可验证凭证（VC）：纸质凭证和数字凭证的数字加密安全版本，人们可以将其提交给需要验证的组织。

采用去中心化身份管理的必要性

通过一些实际落地的应用实践表明，采用去中心化身份管理模式能够给企业组织带来以下诸多好处：

1

让用户能够更好地控制自己的个人信息

在中心化身份管理情境下，用户必须相信中央组织或公司会保护他们的个人信息安全，且不会被滥用。但通过去中心化身份管理方法，用户可以控制谁可以访问他们的个人信息，并且可以在必要时自行撤销访问权限；

2

实现更高的安全性

在中心化身份管理模式中，如果中央组织或企业的安全态势受到损害，则其所有用户的所有个人信息都将处于危险之中。而采用去中心化身份管理方法时，每个用户的个人信息是去中心化的，而非集中在一个地方，因此即使部分用户的身份信息被泄露，也不会影响到组织其他用户的身份信息安全。

3

让身份管理更加私密性

在身份集中管理的情况下，用户往往需要向中央机构或公司提供大量的个人信息，这些信息可能会被用于定向广告或其他用户可能不太满意的目的。有了去中心化的身份管理，用户只需要分享他们想要的个人信息，其余的都可以保密。

4

让身份认证更便捷

去中心化身份管理可以消除繁琐的多因素认证协议，实现无密码认证，这让很多数字化服务的开展变得更容易和更快捷，因为用户无需再输入繁琐的长密码。组织机构也可以快速验证用户身份，而无需强迫他们接受繁琐的KYC流程。

5

降低身份管理成本

统计数据显示，全球企业组织每年用于身份管理的花费高达数十亿美元，去中心化身份管理让每个用户都参与到管理工作中，并存储报关个人的身份数据，从而能够为企业减轻负担。如果没有了身份数据中心的管理需求，企业就可以减少身份管理的运行成本，并将资金重新投入到改善数字安全运营的其他方面。

6

有利于监管合规

全球各国的监管机构正在不断加强数据隐私的法律监管。不遵守用户隐私保护的企业，或将面临严厉制裁。去中心化身份管理体系能够帮助组织降低对用户身份信息管理的法律责任。因此，公司可以更好地遵守数据隐私法，避免引起监管机构的关注和处罚。

7

加强组织和用户之间的信任

信任是维系公司和客户之间关系的粘合剂。消费者面对公司收集他们的身份信息数据时，往往会担心被用于身份欺诈，因此企业在提供服务之前需要漫长的验证过程。去中心化身份可以解决这个问题，并在用户和服务提供者之间建立其前所未有的信任水平。

实施去中心化身份管理面临的主要挑战

与目前大多数行业一样，AI技术正在影响运营并导致组织实时发展，这对去中心化身份管理体系的构建也是如此。AI技术使个人的真实性变得不那么明显，因此企业需要提出分层的身份验证方法，以确保人们在获得凭据之前确认他们的真实性。

此外，用户体验也会带来挑战，这包括如何使用身份、身份回收、数字钱包选择以及编写管理声明等，此外，当发行方和验证方是不同的组织时，它需要可互操作的协议，而这仍处于较早期的产品研发阶段。

标准和互操作性也是应用去中心化身份管理是的一个关键挑战。必须存在标准，以支持充当发行者和验证者的不同企业之间的互操作性，以及不同的身份管理工具（数字钱包），这些参与企业可以通过不同供应商的开源应用来实现，这需要重新思考企业与用户身份数据信息之间的关系以及如何挖掘这些数据的使用潜力。

与任何创新一样，攻击者始终都会找到有效的攻击方法渗透到即使是最强大的安全控制措施中。有鉴于此，企业组织在应用去中心化身份管理方法时，也需要对可能的新型攻击保持警惕。特别是随着去中心化身份应用变得越来越普遍，企业需要投资新的安全防护产品来阻止潜在风险，从而保持领先于攻击者一步。

https://web3.hashnode.com/what-is-decentralized-identity

https://www.okta.com/blog/2021/01/what-is-decentralized-identity/