使用去中心化标识符 (DID) 作为标识符元系统


去中心化标识符(DID) 具有一个经常被忽视的优势:它们充当标识符元系统,可实现未来防护和跨不同身份系统的互操作性。

这一概念是 Sam Curren 在互联网身份研讨会 (IIW) 上题为“DID 还是非 DID?标识符元系统的价值;eIDAS 是否错误?”的会议的核心内容。

什么是标识符元系统?
标识符元系统充当不同数字身份系统和机制的中介,促进互操作性并防止冲突。它在各个标识符系统之上提供了一个抽象层,使它们能够无缝协作。

从标识符和标识符系统开始,您可能熟悉的示例包括:

  • 国家身份识别系统(例如社会安全号码、国民身份证)
  • 互联网地址的域名系统 (DNS)
  • 书籍的国际标准书号 (ISBN)
  • 软件系统的通用唯一标识符 (UUID)

什么是去中心化标识符?
去中心化标识符(DID) 是一种新型标识符,可实现可验证的去中心化数字身份。DID指的是由 DID 控制者确定的任何主体(例如,个人、组织、事物、数据模型、抽象实体等)

去中心化标识符 (DID) 是一种新型的全局唯一标识符。它们旨在使个人和组织能够使用他们信任的系统生成自己的标识符。这些新标识符使实体能够通过使用数字签名等加密证明进行身份验证来证明对它们的控制。

由于去中心化标识符的生成和声明由实体控制,因此每个实体可以拥有尽可能多的 DID,以维持其所需的身份、角色和交互分离。这些标识符的使用范围可以适当地限定在不同上下文中。它们支持与其他人、机构或系统的交互,这些交互需要实体识别自己或他们控制的事物,同时控制应披露多少个人或私人数据,所有这些都无需依赖中央机构来保证标识符的持续存在。

与典型的联合标识符相比,DID 的设计使得它们可以与中心化注册中心、身份提供者和证书颁发机构分离。具体而言,虽然可以使用其他方来帮助发现与 DID 相关的信息,但该设计使DID的控制者能够证明对它的控制,而无需任何其他方的许可。DID是将DID 主体与DID 文档相关联的URI,从而允许与该主体进行可信交互。

每个DID 文档都可以表达加密材料、验证方法或服务,这些机制提供了一组机制,使 DID 控制者能够证明对DID的控制。服务支持与DID 主体相关的可信交互。如果DID 主体是信息资源(例如数据模型), 则DID可能会提供返回DID 主体本身的方法。

DID是一个简单的文本字符串由三部分组成:1) URI 方案标识符,2) DID 方法did的标识符,3)DID 方法特定的标识符。

一个简单的 DID 文档:

{
  "@context": [
   
"https://www.w3.org/ns/did/v1",
   
"https://w3id.org/security/suites/ed25519-2020/v1"
  ]
 
"id": "did:example:123456789abcdefghi",
 
"authentication": [{
    
   
"id": "did:example:123456789abcdefghikeys-1",
   
"type": "Ed25519VerificationKey2020",
   
"controller": "did:example:123456789abcdefghi",
   
"publicKeyMultibase": "zH3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
  }]
}

去中心化标识符 (DID) 也是可以进一步充当标识符元系统的标识符。DID 规范定义了标识符的通用结构和语法,以及解析它们以检索相关元数据(例如公钥和服务端点)的方法。这允许不同的 DID 方法(每个方法都有自己特定的实现细节)在单个系统中互换使用。


通用标识符和 DID 之间的区别
一般来说,标识符(通常存储在组织或应用程序数据库中)缺乏上下文,因此很难确定其范围和唯一性。相比之下,DID 是全局唯一标识符,可提供清晰的上下文。这种差异类似于描述另一个页面内容的网页与超链接之间的区别——使用后者,您可以保证到达源头并获取最新信息。

在 IT 系统层面,通用标识符缺乏上下文和唯一性可能会在公司合并或迁移系统时带来麻烦,因为可能会发生冲突。

标识符元系统的主要优点
DID 提供的标识符元系统有几个主要优点:

  1. 互操作性:使用不同 DID 方法的不同系统仍然可以交互和交换数据,而不会发生冲突或需要进行大量定制。
  2. 灵活性:组织可以选择最适合其需求和限制的 DID 方法,同时仍保持与其他系统的兼容性。 
  3. 面向未来:随着新 DID 方法的开发,它们可以轻松集成到现有系统中,而无需对底层基础设施进行重大更改。
  4. 规范化和可审计的数据存储:DID 使组织和应用程序能够以规范化和可审计的方式存储标识符,从而无需进行大规模检修即可更轻松地轮换和更新身份系统。
  5. 增强隐私:DID 提供了一种私密且安全地绑定凭证的方法,证明某些凭证确实是发给特定用户,而不会损害隐私。

解决常见误解
采用 DID 的一些常见障碍源于以下误解:

  1. 认为您必须支持所有 DID 方法:DID 方法有很多,但实施者可以根据他们的要求和限制选择支持哪种方法。
  2. 不确定要使用和支持哪种 DID 方法:实施者经常犹豫不决,因为他们不确定要选择哪种 DID 方法。直接的建议是选择一种适合您用例的方法,这有助于面向未来并简化跨不同系统的集成。
  3. 相信有更简单的方法可以实现相同的结果:由于 DID 本身的技术细节,DID 作为标识符元系统的好处可能会被忽视。然而,关注标识符元系统的好处可以提供更清晰的商业价值和面向未来性。

使用 DID 的另一个潜在问题是缺乏用于 DID 解析和取消引用的高级标准(“W3C 推荐”状态或类似标准)。此问题已在DID WG 章程更新中得到解决,该更新将于 2024 年 4 月 25 日生效,届时 DID 工作组将接管 W3C Credentials 社区组目前正在进行的 DID 解析工作。

DID 作为现有令牌或标识符的未来变体
即使系统目前必须使用 JSON Web Keys (JWK),采用 `did:jwk` 方法也可以充当桥梁,让身份系统更轻松地轮换和更新,而无需进行大规模改造。这种方法使组织能够以规范化和可审计的方式存储标识符,同时确保兼容性并避免将来的潜在冲突。

欧盟观点

  • 隐私问题

一些人反对 DID,因为他们认为 DID 可能导致隐私侵犯和跟踪。在某些框架中,这导致了 DID 的拒绝。但是,使用 DID 并不比相应的机制更具风险;例如 did:jwk 提供与 JWK 相同的隐私特性。而且在一般情况下,DID 有可能提供显着改进的隐私保护(请参阅上文标识符元系统的主要优势下的第 5 点)。
  • 监管挑战和建议

针对 X.509 证书等传统标识符的监管建议已经很完善,放弃它们可能不是一个选择。但是,即使在这种环境下,`did:x509` 也可用于遵守现有要求,同时通过标识符元系统进行未来验证并提高未来迁移的能力。

实施 DID:整个组织的决策
DID 作为标识符元系统的优势有时会因为 DID 本身的技术细节而被忽视。然而,关注标识符元系统的优势可以提供更清晰的商业价值和面向未来性。

  • 系统架构师应将采用 DID 视为与长期业务目标相一致的战略决策,并重点关注 DID 的总体优势。
  • 产品经理需要确定与用例的监管要求(例如无法使用区块链)或用户要求相关的要求、限制和其他特征。
  • 架构师和开发人员应根据上述要求以及任何其他操作考虑(工具支持)选择适当的 DID 方法。

DID 方法的选择也受到参与者角色的影响。对于机构来说,可以优先选择 `did:x509` 或 `did:web` 方法,而对于个人来说,`did:jwk` 方法可能更合适,允许循环使用各种凭证,同时保持隐私和面向未来性。

实施者应该专注于构建支持 DID 的技术系统,无论环境如何,确保解决广泛的考虑因素,例如开放标准/源、可能的用户成本、其他元素是否支持 DID,以及 DID 是否简单存储或者生态系统是否对它们提供一流的支持。

潜在风险和担忧
虽然 DID 作为标识符元系统提供了显著的优势,但仍存在潜在的风险和问题需要考虑:

  1. 迁移激励:虽然在设计新系统时考虑 DID 是有意义的,但考虑到所涉及的潜在成本和精力,组织可能没有足够的动力去重写或迁移现有系统以采用 DID。
  2. DID 方法的控制和管理:存在一些问题,例如谁来决定 DID 的“方法”部分(例如,`did:method`),如何确保不存在冲突或名称抢注,以及谁来控制和管理各种 DID 方法。

在做出采用和实施的决定时,组织应该仔细评估这些风险和问题以及 DID 作为标识符元系统的潜在好处。
虽然围绕迁移激励和 DID 方法控制的担忧是合理的,但它们不应掩盖 DID 在互操作性、灵活性、未来保障和增强隐私方面提供的显著优势。

为了减轻这些风险,组织可以:

  1. 进行彻底的成本效益分析,以确定采用 DID 的长期价值,考虑降低集成复杂性、改进数据规范化和增强隐私功能等因素。
  2. 与 DID 社区互动并参与相关 DID 方法的治理过程,以确保他们的担忧和要求得到解决。
  3. 制定分阶段采用计划,优先在新系统中实施 DID,并随着时间的推移逐步迁移现有系统,最大限度地减少干扰并分摊成本。
  4. 与行业合作伙伴、标准机构和监管机构合作,为 DID 的采用和治理建立最佳实践和指南,促进更加稳定和可预测的生态系统。

通过主动解决这些风险和担忧,组织可以放心地采用 DID 作为标识符元系统,利用其优势构建更具弹性、可互操作和面向未来的身份解决方案,以增强隐私、简化集成并为不断发展的数字身份格局奠定坚实的基础。