I 前 言 本白皮书参与编写的单位 （排名不分先后） ： 北京百度网讯科技有限公司 、 微众银行 、 溪塔科技 、 中钞区块链技术研究院 、 飞天诚信科技股份有限公司 、 国家金融 IC卡安全检测中心 、 腾讯云计算 (北京）有 限 责任公司 、 浦发银行 、 亿联银行 。 本白皮书主要编写人员（排名不分先后）： 张开翔 、 韩丹 、 汪佳伟 、 李璇 、 王玉操 、 张亚宁 、 卢缃梅 、 平庆瑞 、 潘镥镥 、 曾梓杰 、 张利琴 、 刘雅静 、 杨波 、 张彦超 、刘江 、 刘鑫 、 黄超 、 郭林海 、 马文婷 、 张增骏 。 本白皮书的评审专家（排名不分先后）： 蔡吉人（ 中国工程院院士 ，国家信息化专家咨询委员会委员） 、 陈静（国家信息化专家咨询委员会委员，中国人民银行科技司原司长） 、 李京春（中国信息安全标准委员 会 (TC260)安全评估组 (WG5)组长，中国信息协会信息安全专委会副主任委员） 、 马智涛（微众银行副行长兼首席信息官） 、詹榜华（北京 数字认证 股份有限公司董事长， 北京商用密码行业协会 会长） 、 徐恪（清华大学计算机系副主任） 。 II 目 录 第一章 联盟定位，愿景，目标，计划 . I 第二章 行业现状分析 . 3 2.1 现有数字身份痛点分析 . 3 2.2 分布式数字身份标准 . 5 2.2.1 分布式数字身份介绍 . 5 2.2.2 分布式数字身份主流协议与规范 . 6 2.2.3 分布式数字身份的支撑体系 . 7 2.2.4 分布式数字身份主流国际组织与应用场景 . 7 2.3 分布式数字身份整体框架 . 11 2.3.1 分布式账本层 . 12 2.3.2 DPKI网络层 . 12 2.3.3 可信交换层 . 13 第三章 主流 DID协议和规范 . 14 3.1 DID（ W3C） . 14 3.2 Verifiable Credential（ W3C） . 17 3.3 DID-Auth （ RWOT） . 18 3.4 DKMS（ OASIS） . 19 3.5 DIDComm（ DIF） . 20 第四章 分布式数字身份的支撑体系 . 22 4.1 分布式账本 . 23 III 4.2 身份代理 . 25 4.3 凭证交换 . 28 4.4 身份数据中心 . 30 4.5 委员会和治理 . 31 第五章 领域应用场景和案例 . 32 5.1 WeIdentity . 32 5.2 分布式数字身份 + 教育身份：腾讯云可信教育数字身份（教育卡） . 32 5.3 分布式数字身份 + 投票：网贷机构良性退出平台 . 34 5.4 分布式数字身份 + 版权保护： “ 人民版权 ” 平台 . 35 5.5 分布式数字身份 + 证书管理：澳门智慧城市之证书电子化项目 . 36 5.6 基于物联网 + 数字身份的智慧停车系统 . 38 5.7 分布式数字身份 +电子车牌： 腾讯领御 TUSI DID电子车牌应用 . 39 第六章 分布式数字身份建设面临的挑战和应对 . 41 6.1 技术储备 . 41 6.2 行业应用 . 42 6.3 标准和规范建设 . 43 6.4 法律法规的发展 . 45 第七章 总结和展望 . 47 附录一：相关法律法规 . 49 附录二：协议规范 . 51 1 第 一章 联盟定位，愿景，目标，计划 分布式数字身份产业联盟（ DID-Alliance，简称 DIDA）由中钞区块链技术研究院与飞天诚信科技股份有限公司共同发起，联合百度、国家金融 IC卡安全检测中心、杭州城市大脑有限公司、杭州银行、京东数科、浦发银行、奇安信、山东区块链研究院、腾讯云、微众银行、西安大数据、溪塔科技、亿联银行、中国电信研究院、中国银联电子支付研究院（排名不分先后）成立的非营利性社会组织。 联盟秉持 “ 让数字世界互信互连 ” 的基本愿景，以 “ 共建分布式数字身份基础设施，打造可信开放数字新生态 ” 为联盟主要使命。 “ 身份 ” 与每个人都息息相关，人 们都在不同的地方拥有不同的身份属性，身份即一个人所有的属性和行为的集合。在现实生活中，我们拥有身份证、护照、驾照、企业工牌等，在以往，我们使用这些有着物理介质、或者部分电子化的凭据形式给出身份证明，但在互联网这个的大环境中，如何构造合理并可信的身份证明关系，使其具备数字化、网络化的特质，是值得探讨的课题。 另一方面，目前的互联网应用尚未脱离互信互通的困境，数据孤岛和数据滥用的问题依旧存在。随着新基建等浪潮推动，价值互联网是进化的方向，人们日益重视隐私保护，数据成为生产要素，于是身份和相关凭据、数据的可信互通 成为迫切的需求。 我们认为，在政策、技术和市场的共同驱动下，分布式数字身份技术终将成为数字化进程的必然选择。联盟的工作目标是希望最大化地挖掘分布式数字身份技术的潜能，推动互联网技术的发展，促进分布式数字身份技术与现有生态的融合。 DIDA将从以下四个方面入手开展工作： 2 深入研究分布式数字身份技术 。 联盟将致力于了解、跟进全球分布式数字身份的最新动态，深入研究包括去中心化公钥基础设施（ DPKI）、密码学、凭证在内的各项核心技术，探索分布式数字身份的多种技术演进路线，促进分布式身份技术的交流与传播。 促进分布式数 字身份的行业应用 。作为我国分布式数字身份行业中领先的产业组织，联盟致力于探索分布式数字身份的应用场景，搭建合作交流平台，组织产、学、研开展合作，在促进成员共同发展的同时，为社会提供基于分布式数字身份的跨域协同项目示范。 搭建中国的分布式数字身份网络 。 全球分布式数字身份网络以互联互通作为目标，联盟将参考国际最佳实践，结合国内厂商搭建的基础设施，通过提供开源工程、制定规范等方式，促进中国分布式数字身份网络的落地和互联互通。 与国际分布式数字身份接轨。 作为本土企业与国际数字身份联盟和标准化组织的桥梁，联盟致力于加强国际间交流与合作，一方面，促进分布式数字身份相关国际标准的带入和本土化，另一方面，通过国际间项目合作促进全球互联互通的确认和发展。 3 第二章 行业现状分析 情报和市场研究平台 MarketsandMarkets最新报告中指出， 2019年全球数字身份解决方案市场规模达到 137亿美元，到 2024年，该市场预计将增长至 305亿美元，预测期内（ 2019-2024年）的年复合增长率（ CAGR）为 17.3%。 在分布式数字身份诞生之前，人们的身份信息其实或多或少已经数字化，但数字化不意味着网络化、可信任，以及可以便捷且合法合规的互联互通。本节从观摩行业现状开始，并展望分布式数字身份的发展。 2.1 现有数字身份痛点分析 从我们熟悉的互联网业务来看，用户的身份和数据已经一定程度上数字化和网络化，互联网公司通常也具备一整套 处理认证和访问控制的业务系统。出于便利性考量，大多数互联网应用的数字身份以用户名密码为主，并结合真实身份认证完成实名验身。互联网的账户体系通常从属于应用领域，如社交、电商等领域分别采用不同账号，这就使得用户要重复注册很多的账号密码。 其次，出于运营主体和运营壁垒考量，互联网业务在应用层面并不互联互通，跨应用的业务实现难度很大，尤其对于需要用户确权操作的跨应用业务，可能需要更改整个业务架构，以使得不同应用领域的用户身份。 互联网巨头依靠平台效应垄断市场，利用用户数据作为护城河，产生了大量价值，但用户对自己的数据并未拥有话语权和价值收入。用户的数字身份的关键控制点即账号密码，由服务商控制，对用户来说，仅为租借和使用服务商的服务，服务商可以决4 定账号禁用、服务终止，更进一步，由于利益驱使，围绕着用户数据发生的非法收集、数据泄露和买卖行为防不胜防，损害用户安全。 随着数字社会的发展，金融、政务、交通等实体经济领域也融合了大量的互联网因素，其原有的、基于物理介质和实体身份的认证体系在进化过程中，已经遭遇互联网服务类似的问题，由于实体经 济的地域性特征更浓，安全等级要求更严，蕴含的价值更高，隐私挑战更大，事关国计民生，所以，身份认证带来的问题会更加突出。 综上所述，我们将其归结到三个痛点问题： 1、重复认证、多地认证的问题 例如，在金融场景下，同一公民去不同的银行开户需要分别进行 KYC，用户体验繁琐，身份数据相互重叠，数据可能存在差异甚至冲突。多头建设的身份体系在浪费资源的同时，也存在诸多数据共享和使用上的障碍，不同企业主体间的数据信息分别存储，无法综合利用。 2、身份数据隐私与安全问题 用户身份信息散落在各个企业级的身份认证者手中，用户对 自身信息的使用不够审慎，或者企业对用户身份进行信息验证都会引发身份信息的暴露，甚至对用户隐私信息造成严重侵犯。其次，用户身份信息在各家企业的服务器上存储，不同的企业对数据安全的重视程度和措施强度不同，使得用户的数据泄漏是一个木桶效应的问题，任何一处被攻破，用户的隐私即被泄露。用户个人信息维护成本昂贵。数据显示，欧盟地区，仅英国每年的身份确认成本已经超过 33亿英镑，约等于 290亿人民币。 3、中心化认证效率和容错性问题 在传统的 PKI系统中，数字证书是认证的核心，它由相对权威的 CA机构签发的。一方面，这种中心 结构可能存在性能问题，其涉及证书的所有操作，任务繁重，可能5 成为性能短板拖累效率，如庞大的已撤销证书列表的有效分发。另一方面，单中心的结构容易使其成为攻击的目标，一旦上级 CA机构被攻破，则与之相关联的下级 CA也会受到牵连。 2.2 分布式数字身份标准 2.2.1 分布式数字身份介绍 在政策、技术、市场因素的共同驱动下，产生了一种新的数字身份形态 分布式数字身份，它用分布式基础设施改变应用厂商控制数字身份的模式，让用户控制和管理数字身份，通过将数据所有权归还用户从根本上解决隐私问题。 要使身份具有真 正的自我主权，这种基础设施必然需要驻留在分散信任的环境中。区块链技术的出现让自我主权身份的实现终于找到了突破口，作为分布式体系里的代表性技术，区块链有望成为分布式数字身份的技术基础。区块链技术用哈希链的数据结构改变了电子数据易被篡改的属性，用 “ 区块 +共识算法 ” 解决分布式系统的数据一致性问题，拜占庭容错能力保证跨实体运行的系统不受少数节点恶意行为的影响，从而解决业务层面的信任难题，有望在服务商之间搭建互联互通的协议。 W3C提出了基于区块链的分布式数字身份 DID的概念，分布式数字身份具有以下优势： 1）安全性 ：身份所有者身份信息不被无意泄露，身份可以由身份持有者持久保存，身份信息提供可符合最小披露原则； 2）身份自主可控：用户可以自主管理身份，而非依赖可信第三方；身份所有者可以控制其身份数据的分享。 6 3）身份的可移植性：身份所有者能够在任何他们需要的地方使用其身份数据，而不需依赖特定的身份服务提供商。 当然，区块链技术只是用于实现分布式数字身份的基础技术 之一 ，分布式数字身份的版图中无论是技术、生态还是行业法规还有更广泛的内涵和外延。 2.2.2 分布式数字身份主流协议与规范 正如互联网建立在 TCP/IP等协议提供的网络连接能力上，分布式数字身份也建立在一系列为互联网身份而定制的协议规范基础上。 国际电子技术委员会对 “ 身份 ” 的定义是 “ 一组与实体关联的属性 ” ，分布式数字身份也不例外， W3C的 DID规范和可验证凭证规范分别定义了代表实体的身份标识符及与之关联的属性声明，其共同支撑了分布式数字身份基础模型 可验证凭证流转模型的有效运转。 图 1-分布式数字身份基础模型 可验证凭证流转模型 分布式数字身份主要规范作为对可验证凭证基本模型的支撑，尤其是对于 DID层面的信任框架的保障，通过 DKMS、 DID-Auth、 DIDComm等一系列协议和标准，提供了分布式数字身份自主可控、可信交换、隐私保护等特点。