1.简介
分散式标识符(Decentralized Identifier),简称DID,⽤于可验证的“⾃我主权”数字⾝份的新型标识符。DID独⽴于任何集中注册表,⾝份提供者或证书颁发机构,具有全球唯⼀性、可解析性⾼、可加密、并且能够加密验证的特点。DID通常与加密内容相关联,例如公钥和服务终端,⽤于建⽴安全的通 网络雷达无线接收器信信道。DID对于受益于⾃分配,可加密验证的标识符(例如个⼈标识符,组织标识符和物联⽹⽅案标识符)的任何应⽤程序都很有⽤。例如,W3C(证书社区⼩组)⼤量使⽤分散式标识符来认证⼈员,组织和事物,并实现许多安全的隐私保护凭证。
表⾯上看,分散式标识符(DID)只是⼀种新型的全球性的唯⼀标识符,但在更深层次上,DID是互联⽹的⼀种全新的分布式数字⾝份,同时,它也是公钥基础设施(PKI)层的核⼼组成部分。这种分布式的公钥基础设施(DPKI)可能对全球⽹络安全和隐私与加密⽹络流量(现在是世界上最⼤的PKI)
的SSL / TLS协议具有同等重要的影响⼒。
作为DID架构的新⼿不仅需要了解DID规范,⽽且还要了解⽬前正在开发的DID相关规范系列所代表的分布式⾝份的整体架构。它涵盖:(1)背景介绍:DID的起源和DID规范 (2)DID与其他全局唯⼀标识符的区别
(3)如何调整DID的语法以适应分布式的⽹络
(4)DID如何解析,包含公钥和服务节点的DID⽂档
海星吸盘
(5)DID⽅法在DID基础架构实施中的关键作⽤
(6)使⽤DID的隐私考虑因素
(7)DID基础架构如何为可验证的凭据奠定基础 。
传统的⾝份管理系统基于集中的权限,例如公司⽬录服务,证书颁发机构或域名注册。从加密信任验证的⾓度来看,这些集中式权限中的每⼀个都是其⾃⼰ 的信任根。要使⾝份管理跨这些系统⼯作,需要实现联合⾝份管理。分布式账本技术(DLT)的出现,有时被称为区块链技术,为完全分散的⾝份管理提供了机会。在分散的⾝份系统中,实体可以⾃由使⽤任何共享的信任根。全球分布式分类账(或提供类似功能的分散式P2P⽹络)提供了⼀种管理信任根的⽅法,既没有集中权限也没有单点故 障。DLT和分散式⾝份系统结合使⽤使任何实体都能够在任意数量的独⽴信任根上创建和管理⾃⼰的标识符。
实体由分散标识符(DID)标识。他们可以通过证明(例如,数字签名,隐私保护⽣物识别协议等)进⾏⾝份验证。
DID指向DID⽂档。DID⽂档包含⼀组⽤于与实体交互的服务端点。遵循隐私设计的格⾔,每个实体可以根据需要拥有尽可能多的DID,以尊重实体所希望的⾝份,⼈物⾓⾊和背景的分离。
2.DID与其他全球唯⼀标识符的区别
⽬前,标识在中⼼化机构(如ICANN)集中注册的⽅式⼀直被世⼈所诟病,对不需要集中注册机构的全球性唯⼀标识符的需求并不新鲜。20世纪80年代,UUID(通⽤唯⼀标识符的简称,也称为GUID,全球唯⼀标识符)就是为解决这⼀需求⽽开发的,⾸先由开放软件基⾦会标准化,然后由IETF RFC4122进⼀步完善。
对永久性标识符(可以⼀次分配给实体并且永远不需要更改的标识符)的需求也不是新的。这类标识符⾸先由IETF RFC2141标准化为URN(统⼀资源名称) ,最近由RFC8141进⼀步标准化。但是,作为⼀项规则,UUID不能实现全球解析,URN(如果可解析)需要依赖集中注册机构,此外,UUID或URN本⾝都不具备第三个特征 - 能够以加密⽅式验证标识符的所有权。对于可以定义为不依赖于任何机构集中授权的永久性可移植⾝份的⾃我主权⾝份,我们需要⼀种新的标识符来满⾜所有四个要求:持久性、全球可解析,加密可验证性和分散性。
3.DID的格式
2016年,DID规范的开发⼈员同意Christopher Allen的建议,即DID可以通过遵循与URN规范相同的基本模式来适应多个区块链:
轻钢结构雨棚>浏阳霉素
关键区别在于,对于DID,名称空间组件标识DID算法(DID Method),DID算法规范决定特定标识符的格式。 DID算法定义了DID如何与特定区块链⼀起使⽤。所有DID算法规范都必须定义标识符的格式和⽣成规则,⽽算法特定标识符字符串在该DID ⽅法的名称空间中必须是唯⼀的。
光纤熔接示意图4.DID⽂件(DID Document)
DID的基础设施是⼀个全球性可拓展的数据库,其中包括了所有与DID兼容的区块链,分布式分类账或分散式⽹络。在此虚拟数据库中,密钥是DID,值是 DID⽂档。DID⽂档的⽬的是描述引导所标识的实体的加密可验证交互所必需的公钥,认证协议和服务节点。
DID⽂档是⼀个有效的JSON-LD对象,它使⽤DID规范中定义的DID上下⽂(属性名称的RDF词汇表)。这包括六个组件(全部可选):(1)DID本⾝,因此DID⽂档完全是⾃我描述的
(2)⼀组加密材料,例如公钥,可⽤于⾝份验证或与DID主题交互
(3)⽤于与DID主题交互的⼀组加密协议,例如⾝份验证和功能划分
(4)⼀组服务端点,⽤于描述与DID主题交互的位置和⽅式
(5)审计时间戳
(6)可选的JSON-LD签名,⽤于验证DID⽂档的完整性。
检修口盖板5.DID算法(DID Method)
DID和DID⽂档可以适应任何现代区块链,分布式分类帐或其它能够将唯⼀密钥解析为唯⼀值的分散⽹络,不管共有区块链、联盟链还是私有链。
定义如何在特定区块链或“⽬标系统”上创建、解析和管理DID和DID⽂档是DID算法规范的作⽤。DID算法规范属于通⽤的DID规范,正如URN命名空间规范(UUID,ISBN,OID,LSID等)属于通⽤IETF URN规范(RFC 8141)。
DID算法规范通常为特定⽬标系统定义以下操作:
(1)创建。某些DID算法可以直接从加密密钥对⽣成DID,其他⼈可以在区块链上使⽤交易地址或智能合约。
(2)读。⼀些DID算法使⽤可以直接在区块链上存储DID⽂档的区块链。其他⼈可能会指⽰DID解析器根据区块链记录的属性动态构建它们。还有⼀些⼈可以将区块链上的指针存储到诸如IPFS或STORJ之类的其它分布式存储⽹络上的⼀个或多个部分中的DID⽂档。
(3)更新。从安全⾓度来看,更新操作是最关键的,因为DID⽂档的控制表对实体进⾏⾝份验证所需的公钥或证据的进⾏控制(因此攻击者可以冒充实体)。由于DID⽂档更新权限的验证只能由⽬标区块链强制执⾏,因此DID算法规范必须精确定义如何对任何更新操作执⾏⾝份验证和授权。
(4)删除。根据定义,区块链上的DID条⽬是不可变的,因此在传统的数据库意义上它们永远不会被“删除”,但是,它们可以在加密意义上被撤销。DID算法规范必须定义如何执⾏此终⽌,例如,通过写⼊空DID⽂档。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议