用户自治数字身份安全白皮书.pdf

2020 云安全联盟大中华区- 版权所有 12020 云安全联盟大中华区- 版权所有 2 2 0 2 0 云安全联盟大中华区 - 保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（ h t t p s : / / w w w . c - c s a . c n ）。须遵守以下 : （ a ）本文只可作个人、信息获取、非商业用途； ( b ) 本文内容不得篡改 ; ( c ) 本文不得转发 ; ( d ) 该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区2020 云安全联盟大中华区- 版权所有 3 致谢云安全联盟大中华区（简称： C S A G C R ）区块链安全工作组在 2 0 2 0 年 2 月份成立。包括 1 0 0 多位安全专家们，分别来自中国电子学会、耶鲁大学、北京大学、北京理工大学、武汉大学、世界银行、华为、腾讯、知道创宇、赛博英杰、元界 D N A 、慢雾科技、安比实验室、启明星辰、天融信、联想、 O P P O 、零时科技、安永、阿斯利康等五十多家单位。区块链安全工作组有 9 个项目小组，包括智能合约安全、数字钱包安全、共识算法安全、交易所安全、 D a p p 安全、去中心化数字身份（D I D ）安全、网络层安全、数据层安全，A M L 技术安全等方向。本白皮书主要由去中心化数字身份安全小组专家撰写，并由 D I D 安全小组及 I A M 工作组的专家共同审核，感谢以下专家的贡献：区块链安全组组长：黄连金 D I D 安全小组的领军人物：初夏虎白皮书作者名单：程伟强、初夏虎、黄连金、李程、李腾飞、刘洁、王登辉、于继万、袁运亮、周庆松（按照字母排序）如本白皮书有不妥当之处，敬请读者联系 C S A G C R 秘书处给与雅正! 联系邮箱：i n f o c - c s a . c n ; 云安全联盟 C S A 公众号2020 云安全联盟大中华区- 版权所有 4 序言数字身份是保障数字经济安全的信任基石，业界目前的数字身份体系一般都是中心化的，区块链作为解决可信问题的分布式技术，给数字身份自治的场景打开了天窗，比如分散云计算中心化身份数据大量聚合的泄露风险，在边缘计算分布式系统中使可信身份认证管理更加便捷私密等等。这本白皮书不是有关于用户自治数字身份（D I D ）的标准。 D I D 标准是 W 3 C 正在开发的一系列标准，包括 D I D 数据模型， D I D 方法， D I D 通讯等等。本书主要是针对于希望用 D I D 来进行技术开发或者应用落地的项目或公司需要注意的一些安全与隐私的问题，且分析为什么在新的数字化转型过程中 D I D 能够解决的痛点问题，介绍目前国际已有的标准和案例。本白皮书目前是第一版本，因为 D I D 本身的一系列标准还在开发之中，安全对于数字身份是第一要素，新的安全问题肯定会出现，欢迎读者专家们能够提出意见，使下一个版本的覆盖面更广，对于行业的发展能有更大贡献。李雨航 Y a l e L i C S A 大中华区主席兼研究院院长2020 云安全联盟大中华区- 版权所有 5 目录致谢. 3 序言. 4 第一章：为什么需要用户自治的数字身份. 7 1 . 1 传统的中心化数字身份. 7 1 . 2 传统的数字身份系统的痛点. 9 第二章：用户自治的数字身份（S S I ）和去中心化数字身份（D I D ）. 1 0 2 . 1 D I D 标准介绍. 1 2 2 . 1 . 1 W 3 C 的 D I D. 1 3 2 . 1 . 2 欧洲的 S I D. 1 7 2 . 1 . 3 中国公安部的 E I D. 1 9 2 . 2 D I D 代表性项目介绍. 2 1 2 . 2 . 1 元界 D N A 的 D I D 数字身份. 2 1 2 . 2 . 2 C i v i c 数字身份项目. 2 5 2 . 2 . 3 E v e r n y m 数字身份项目. 2 7 2 . 2 . 4 u P o r t 数字身份项目. 3 1 2 . 2 . 5 微软的 D I D 数字身份项目. 3 2 第三章：D I D 安全与隐私考虑. 3 7 3 . 1 D I D 安全注意事项: 窃听. 3 9 3 . 2 D I D 安全注意事项: 重放攻击. 4 0 3 . 3 D I D 安全注意事项：消息操纵. 4 0 3 . 4 D I D 安全注意事项: 中间人攻击. 4 1 3 . 5 D I D 安全注意事项: D I D 的 C R U D 安全. 4 2 3 . 6 D I D 安全注意事项：密钥和签名到期. 4 3 3 . 7 D I D 安全注意事项：抵赖攻击（R e p u d i a t i o n ). 4 4 3 . 8 D I D 安全注意事项：服务端点( S e r v i c e E n d P o i n t ). 4 4 3 . 9 D I D 安全注意事项：缓存. 4 4 3 . 1 0 D I D 安全注意事项：密钥吊销和恢复. 4 52020 云安全联盟大中华区- 版权所有 6 3 . 1 1 D I D 安全注意事项：中继方（R e l a y e r ）威胁. 4 5 3 . 1 2 D I D 安全注意事项：残留风险. 4 6 3 . 1 3 D I D 隐私注意事项：将个人身份信息（P I I ）保密. 4 6 3 . 1 4 D I D 隐私注意事项：D I D 标识符的关联风险. 4 7 3 . 1 5 D I D 隐私注意事项：D I D 文档的关联风险. 4 7 3 . 1 6 D I D 隐私注意事项：群体隐私. 4 8 第四章： S I D 在国内的应用案例. 4 9 4 . 1 S I D 在数字政务中的使用. 4 9 4 . 1 . 1 中国数字政务的现状. 4 9 4 . 1 . 2 目前中国数字政务的痛点. 5 1 4 . 1 . 3 S I D 用户自治数字身份解决方案. 5 2 4 . 1 . 4 S I D 用户自治数字身份应用列表. 5 4 4 . 2 S I D 在电子签名中的使用. 5 6 4 . 2 . 1 中国电子签名的现状. 5 6 4 . 2 . 2 当前电子签名的痛点. 5 7 4 . 2 . 3 S I D 电子签名的解决方案. 5 8 参考资料. 6 12020 云安全联盟大中华区- 版权所有 7 第一章：为什么需要用户自治的数字身份 1 . 1 传统的中心化数字身份传统的数字身份是中心化的，主要可以按照下面的应用场景进行分类。 A . 企业内部使用身份（ E n t e r p r i s e I d e n t i t y ）通常企业内用户身份主要是用于认证及授权。用户对于企业信息系统的访问，用户使用账号密码登陆，通过认证后，根据服务端的配置获得相关的访问授权。用户的账号及密码信息存储在认证及授权相关的服务器中（例如 L D A P 服务器），用户输入账号及密码，认证程序会对比相关服务器存储的信息，以确认该用户持有正确的用户账号及密码。从而允许用户访问，并授予相应的访问权限。为了增强安全性，很多企业引入了多因子认证机制（ M F A : M u l t i - F a c t o r A u t h e n t i c a t i o n ），用户不仅仅需要提供所知道的用户账号及密码，还需要提供发送至个人持有设备（比如令牌、手机等）的随机信息或个人生物认证的信息（比如人脸、指纹、语音等）。还有一些企业采用 P K I （ P u b l i c K e y I n f r a s t r u c t u r e ）体系，用户（主要是特权用户）持有私有密钥，用户在某些应用场景中需要使用私有密钥，或者采用私有密钥签名，做为身份的证明。为了用户登陆企业内多个系统的便利性，很多企业引入了单点登陆机制。用户仅需要单点登陆服务器的一次身份认证，就可以访问具有相关授权的资源。企业的用户访问授权主要关注以下几方面： 1 . 职责分开（ S e p a r a t i o n o f D u t y : S O D ）：为不同职责的用户分配不同的权限，避免单个职员有过多的、职责冲突的系统操作权限，从而在系统中进行业务授权之外的操作，产生业务风险。 2 . 最小权限（ L e a s t P r i v i l e g e ）：授权采用按需最小的原则，仅授予职员工作所必须的操作权限。降低系统误操作、舞弊等风险2020 云安全联盟大中华区- 版权所有 8 3 . 基于角色的访问控制（R o l e B a s e d A c c e s s C o n t r o l : R B A C ）：企业应用系统，例如 E R P 等系统，一般采用基于角色的访问控制，通过对角色权限的一次性配置，然后将角色权限授予相关的用户。当用户的工作内容发生变更时，只需要调整相关的角色分配即可以完成相关访问权限的调整。 4 . 基于属性的访问控制（ A t t r i b u t e B a s e d A c c e s s C o n t r o l : A B C A ，不同于基于角色的访问控制， A B A C 基于一组访问策略进行授权，认证授权服务器验证用户的身份后，基于一些特性（比如访问者职位、部门、登陆地点等）进行计算，根据计算结果，采用预定的访问策略给予授权。 A B A C 可以更方便地实现细颗粒度的授权管理。 B . 个人或者消费者身份管理（ C o n s u m e r I d e n t i t y ）：通常个人 / 消费者用户要求更方便的认证及授权体验，访问负载通常变化也比较大。而且不同于企业用户访问通常有一定的内部网络边界，接入渠道受控（通过局域网 L A N ，虚拟私有网络 V P N 加密通道等方式访问），消费者访问一般都是通过互联网传输，这对于应用服务商带来更多的挑战，应用服务商在提升用户体验的同时，还需要兼顾相关的安全性。 H T T P S 在 A p p 后台为了避免每次验证用户身份都需要传输用户名和密码，一般采用以下机制。 A p p 后台接收到 A p p 发送的用户名和密码后，验证用户名和密码是否正确。如果错误则返回错误信息。如果 A p p 后台验证正确，生成一个随机的不重复的 t o k e n 字符串。 t o k e n 字符串作为用户的唯一标识，在 R e d i s （R e m o t e D i c t i o n a r y S e r v e r ) 中建立 t o k e n 字符串和用户信息的对应关系。 A p p 后台把 t o k e n 字符串和用户信息返回给 A p p ， A p p 保存这些数据作为以后身份验证的必备数据。为了减少 t o k e n 被盗产生的安全风险，用户每隔一段时间，需要重新输入用户名及密码，生成新的 t o k e n 。提供用户身份验证除了基本的用户名，密码之外，也采用其它身份验证方式，例如短信验证码，指纹，人脸生物特征识别等，通过对于设备等其它相关信息的综合判断，给与登陆用户相应的认证及授权。为了对抗一些暴力破解，还会采取一些用户行为验证（例如：图形选择，数学计算，拼图等2020 云安全联盟大中华区- 版权所有 9 应用服务商集中存储大量用户个人信息及相关验证信息。为避免用户隐私泄露，认证信息泄露，用户信息数据库的安全防护，就成为应用服务企业重要的控制领域。除了对服务器数据库的基本防护措施，相关用户存储信息一般需要采用加密，或摘要等方式，避免万一数据库被盗，引发用户个人信息及认证信息泄露的问题。 C . 物联网设备的身份：由于物联网设备硬件能力相对比较弱，需要采用轻量级的身份认证方式。提供 I O T 服务的云厂商，都有一些物联网身份的解决方案，比如采用 X . 5 0 9 证书等。目前还缺乏成熟的身份管理系统。用户与设备的认证协议主要为了实现用户匿名和互认证；设备与服务器的认证协议主要为了实现轻量级认证和隐私保护；设备与设备的认证协议主要为了实现隐私保护、高效认证和移动认证。 1 . 2 传统的数字身份系统的痛点传统的数字身份系统有下面一些主要的痛点： 1 . 中心化数字身份容易遭到黑客进攻，由于黑客一旦成功攻破一个中心化的身份数字系统，就可以或得几千万乃至几个亿的数字身份。去中心化数字身份相对进犯本钱高，因为黑客需要攻破每一个去中心化的身份。 2 . 中心化数据可能被平台或者第三方不合理使用。例子包括剑桥分析 ( C a m b r i d g e A n a l y t i c s ) 师公司对于美国和英国民意的控制，也包括国内在 2 0 1 9 年一些数据公司因为卖隐私数据被审查事件。 3 . 目前，我们正在进入数据技术时代（D T ：D a t a T e c h n o l o g y ），在数据技术数据与工业时代的汽油一样重要。但是，目前的 I T 架构和中心化的数字身份生态对于数据的确权，数据的价值定价，和数据在基于所有权不变的前提下进行公平交易没有好的解决方案。数据时代，数据私有化是数据是否能够被合理，有效，安全地使用的必要条件。那么，数据私有化本身的必要条件是什么呢？数字2020 云安全联盟大中华区- 版权所有 1 0 身份私有化就是这个必要条件。没有数字身份的私有化或者说去中心化，公链或者联盟链生态体系的数据很难确权。 4 . 数据私有化以后，如何鼓励用户有偿地分享数据呢？中心化的架构不可能合理，安全，有效地解决这个分享的问题。这个也需要基于去中心化数字身份下的通证激励机制在身份私有化和数据确权的情况下才能发挥价值。 5 . 基于用户的信誉的生态系统是包括金融，电子商务，保险，房地产，政务，物流等等产业系统的技术和数据支撑。区块链项目的落地，也需要与之对应的用户的信誉的生态系统。传统的数字身份系统下，用户的信誉存储在中心化的数据库存在被盗用和被篡改的情况。去中心化的数字身份在对于用户的数据进行确权的前提下，可以叠加用户的信誉分数，在保护隐私的条件下有偿地存储和分享信誉分数，并需要满足各国的隐私法律和监管条例（如欧盟 G D P R ，美国加州 C C P R ，英国 D P A 2 0 1 8 等等）和提供用户能管理他们个人的信息和私隐保护。第二章：用户自治的数字身份（SSI ）和去中心化数字身份（DID ）用户自治的数字身份（ S S I ： S e l f S o v e r e i g n I d e n t i t y ）和去中心化数字身份（ D I D : D e c e n t r a l i z e d I D e n t i t y ）没有本质上的区别主要区别是在字面意义和实务应用两个层面。从字面意义的角度 , D I D 更加强调去中心化特性，更加强调身份系统中每个用户通过标识符实现点对点的交互，没有单独某个或一群节点可以控制所有流程产生的数据，因此 D I D 更加侧重于技术的实现方式与系统的架构； S S I 则更加倾向于对用户权利的主张，表达了用户对个人数据隐私保护和对数据的使用具有许可权的诉求。比较 S S I ， D I D 在国际是更加通用，因此在这篇白皮书，我们会使用 S S I 和 D I D 技术术语表示同一个概念。 D I D 规范（S p e c i f i c a t i o n ) 可确保 D I D 的发行者和验证者都可以在公共区块链上查找必要的公钥进行验证，而不管他们是否属于同一身份证书颁发机构（C A - C e r t i f i c a t e A u t h o r i t y ）系统还是同一个身份联邦系统（ F e d e r a t e d I d e n t i t y ）2020 云安全联盟大中华区- 版权所有 1 1 这种进展与局域网的 “网络孤岛” 到互联互通的全球互联网相似。从各自具有自己的 P K I 的断开的 “ 身份孤岛 ” 到基于去中心化 P K I （D i s t r i b u t e d P K I ）的全球身份网络。这样的数字身份系统从对于中心化的身份证书颁发机构（ C A ）的依赖转变为更具弹性，安全和隐私保护的系统。 D I D 协议有下面的 3 个重要组成部分，或者说是三大支柱：第一个支柱：安全连接协议，一种标准的开放协议，用于在两方之间建立唯一，私有和安全的连接，而无需诸如 G o o g l e ， W h a t s A p p ，电子邮件提供商或电话运营商之类的中间“连接代理”的协助。安全连接是由两个对等方创建的，它们创建并交换 D I D 标识符。 W 3 C ( W o r l d W i d e W e b C o n s o r t i u m ) 现在正在研究开放的 D I D 标准（ h t t p s : / / w w w . w 3 . o r g / T R / d i d - c o r e / ）。有 “ 公共 ” D I D 和 “ 私有 ” 或 “ 对等 ” （ P a i r w i s e ） D I D 。公用 D I D 可用作 “ 跳出 ” 点，以触发私有 D I D 的交换。私有 D I D 只能在连接中的两方存储或交换，任何第三方不可见。一旦两方交换了私有 D I D ，他们就可以安全地进行通信，就像通过一条其他人看不到的专用隧道一样。用户可以为每个数字关系使用不同的 D I D 来保护隐私。任何人都可以随时创建 D I D ，而无需第三方。这个安全的连接不能提供信任，提供信任需要第二个支柱。第二个支柱：可验证证书协议，W 3 C 和 D I F ( D e c e n t r a l i z e d I d e n t i t y F o u n d a t i o n ) 发行了一种标准的开放式 “ 可验证证书（ V C - V e r i f i a b l e C r e d e n t i a l s ）”协议，用于签发，持有和验证数字证书，例如驾驶执照，会员卡，机票和医疗资格。这样，任何人都可以验证任何数据的来源，完整性和有效性。这种 V C 协议结合了成熟的公钥加密技术对每个数据元素进行数字签名，并且可以增强隐私和避免个人在线数据被关联的可能性。类似于使电子邮件使用 S M T P 和 I n t e r n e t 使用 T C P / I P 协议，任何人都可以在 V C 协议的基础上进行信任的构建。 V C 协议可以参照链接（ h t t p s : / / w w w . w 3 . o r g / T R / v c - d a t a - m o d e l / ）。任何人都可以出于任何目的将任何数据放入可验证的凭证中。在初步应用中，证书的颁发者可以是权威机构，比如大学学位证书可以由大学颁发。信任的建立是基于证书发行者的签名和 V C 协议层的密码学2020 云安全联盟大中华区- 版权所有 1 2 第三个支柱：用于存储证书颁发者的公钥的分布式账本或者是 D I D 的底层区块链技术和账本。这样，任何人都可以随时查找和检索公钥来验证数据并且验证符合 V C 标准的任何数据的来源，完整性和有效性。这些密钥和其他密码数据保存在 D I D 文档和凭证定义中，并固定在证书颁发者的公共 D I D 中。这三个组件的组合定义 D I D 的新身份范式。它将改变我们今天所知道的数据格局。这些组件一起提供了一种新的方法，可将数据从 A 可靠地移动到 B ，而无需中间人窥探，而且接收者可以验证数据的来源，完整性和有效性。各地的每个人都可以颁发，持有和验证有关任何事物的任何凭证。这意味着不再有专有的数据库 “拥有” 你的身份。在这种环境中，人与密码的信任相结合意味着你最终可以同时提高安全性和减少摩擦。 2 . 1 D I D 标准介绍目前在去中心化数字身份的标准制定方面有下面的一些标准组织在做努力，他们之间有一些沟通，但是缺乏统一的行动，因此可能因为不同的应用场景（比如：公链和联盟链的不同的应用）可以预见以后多种标准的共存：有关单位参考资料 1 ： D I D 的核心架构，数据模型和表示，版本 1 . 0 （D I F 和 W 3 C ） ht t p s : / / w w w . w 3 . o r g / T R / d i d -c o r e / 2 ：欧洲的 S I D ht t p s : / / w w w . e e s c . e ur o p a. e u/ e n/ ne w s -m e d i a / p r e s e nt at i o ns / e ur o p e an-s e l f -s o v e r e i g n-i d e nt i t y -f r am e w o r k 3 ：基于 I P 的信任网路（ T r u s t o v e r I P - T o I P 基金会 , 和 L i n u x 基金会） ht t p s : / / t r us t o v e r i p . o r g / 4 ： I D 2 0 2 0 ht t p s : / / i d 2 0 2 0 . o r g2020 云安全联盟大中华区- 版权所有 1 3 5 ： E R C 7 2 5 ht t p s : / / e r c 7 2 5 al l i anc e . o r g / 6 : 中国公安部的 E I D h t t p s : / / e i d . c n / 所有这些标准的共同属性如下： 1 . 数字身份的全球唯一性。 2 . 用户对于数字身份的可控制性。 3 . 身份没有中心化发行或者认证机构。 4 . 隐私保护。 5 . 基于非对称加密算法。 6 . 有一些标准没有规定具体的底层区块链技术（比如 D I D 的协议），但是基本都假定底层的技术是基于区块链。具体区块链技术可以用协议的方法比如 D I D M e t h o d 来规定。下面我们主要对于其中 3 种标准进行介绍因为他们一个代表北美的标准（D I D ）也有国内和欧洲的有关机构支持，另外一个主要是欧洲的标准，最后一个是中国公安部的标准（E I D ）。 2 . 1 . 1 W 3 C 的 D I D 基于区块链建立符合 W 3 C 标准的数字身份系统，为企业、用户提供去中心化的数字身份，保证数字身份的绝对可控和绝对拥有，解决企业和用户隐私泄漏难题。 D I D 是数字身份的基础，其核心是基于区块链去中心化、不可篡改的特性而创建的。多方通过接入工具接入分布式网络，以区块链为依据，建立不同身份标识之间的安全通讯，为可验证声明（一种数字证书）的流转建立前提。所有用户都可以根据自己的需要，通过任意一个实现了 D I D 算法的平台都可以创建新的 D I D ，是完全由用户自主控制的。生成 D I D 的同时，也会生成一对秘2020 云安全联盟大中华区- 版权所有 1 4 钥，并把公钥与 D I D 的绑定关系发布在分布式存储上，而私钥则由用户保管，最后只需把身份相关数据锚定在区块链上即可。在应用方验证用户身份信息时，只需要根据分布式系统中形成共识的用户的公开秘钥，进行验证计算即可验证用户的真实性。 D I D 是一个协议标准，主要定义了实现的格式与验证方法。下面为一个基本的 D I D 文档的内容： c o n t e x t : h t t p s : / / w w w . w 3 . o r g / n s / d i d / v 1 , i d : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i , p u b l i c K e y : i d : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i # k e y - 1 , t y p e : E d 2 5 5 1 9 V e r i f i c a t i o n K e y 2 0 1 8 , c o n t r o l l e r : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i , p u b l i c K e y B a s e 5 8 : H 3 C 2 A V v L M v 6 g m M N a m 3 u V A j Z p f k c J C w D w n Z n 6 z 3 w X m q P V , . . . , a u t h e n t i c a t i o n : i d : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i # k e y s - 1 , t y p e : E d 2 5 5 1 9 V e r i f i c a t i o n K e y 2 0 1 8 , c o n t r o l l e r : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i , p u b l i c K e y B a s e 5 8 : H 3 C 2 A V v L M v 6 g m M N a m 3 u V A j Z p f k c J C w D w n Z n 6 z 3 w X m q P V , a s s e r t i o n M e t h o d : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i # k e y s - 1 , i d : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i # k e y s - 2 , t y p e : E d 2 5 5 1 9 V e r i f i c a t i o n K e y 2 0 1 82020 云安全联盟大中华区- 版权所有 1 5 c o n t r o l l e r : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i , p u b l i c K e y B a s e 5 8 : H 3 C 2 A V v L M v 6 g m M N a m 3 u V A j Z p f k c J C w D w n Z n 6 z 3 w X m q P V , p r o o f : c r e a t e d : 2 0 2 0 - 0 5 - 0 1 T 0 3 : 0 0 : 0 2 Z , c r e a t o r : d i d : e x a m p l e : 1 2 D 3 K o o W M H d r z c w p j b * * * * * * * * c g q X 3 b 5 d p u P t P a 9 o t 6 9 y e w ; e x a m p l e : k e y = i d = b a f y r e i c u b t x 5 w * * * * * * * z r k c t f h w d 6 r e w e z g p w o e 4 s w i r l s 4 e b d h s 2 i , s i g n a t u r e V a l u e : o 9 r 6 L x g o G N 8 F o a e e U A 6 E d D c v 1 2 G v D z F E m C g j W z v p u r 2 Y S Q y A 8 W 2 r 0 S S W U K + n H 5 t M q z a F L u n 6 w w Z 1 E o t 3 7 a m G D g = = , t y p e : L i n k e d D a t a S i g n a t u r e 2 0 1 5 , s e r v i c e : i d : d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i # v c s , t y p e : V e r i f i a b l e C r e d e n t i a l S e r v i c e , s e r v i c e E n d p o i n t : h t t p s : / / e x a m p l e . c o m / v c / 这里主要分为： i d 、 p u b l i c K e y 、 a u t h e n t i c a t i o n 、 a s s e r t i o n M e t h o d 、 p r o o f 、 s e r v i c e 等属性。其中： 1 d i d : e x a m p l e : 1 2 3 4 5 6 7 8 9 a b c d e f g h i 就是 D I D D I D 的完整格式为： d i d : : ， D I D 的生成是根据 D I D 文档的基本信息来加密生成的其中 = b a s e 5 8 ( r i p e m d 1 6 0 ( s h a 2 5 6 ( ) ) ) ； p u b i c k e y , D I D 文档可以表达加密密钥和其他验证方法这些方法可以用于验证或授权与 D I D 主题或关联方的交互。所表达的信息通常包括全局明确2020 云安全联盟大中华区- 版权所有 1 6 的标识符和公钥材料，可用于验证数字签名。可以表示其他信息，例如密钥的状态信息（例如，密钥是否被挂起或吊销），或者其他属性，使人们可以确定它是否是硬件支持的加密密钥。关于加密密钥材料，可以根据其用途将公共密钥包含在 D I D 文档中，例如，使用 p u b l i c K e y 或身份验证属性。每个公共密钥都有其自己的标识符（i d ），类型和控制器，以及取决于其类型的其他属性。 2 a u t h e n t i c a t i o n ，身份验证是一种机制，通过该机制，实体可以证明自己是 D I D 主体。身份验证尝试的验证者可以检查身份验证方是否正在提供有效的身份验证证明，即他们是他们所说的身份。 a u t h e n t i c a t i o n 属性是 D I D 主题和一组验证方法（例如但不限于公钥）之间的关系。这意味着 D I D 主题已出于身份验证目的（根据 a u t h e n t i c a t i o n 属性的值）授权了一些验证方法集。 a u t h e n t i c a t i o n 属性的值应该是一组验证方法。由 D I D 文档的 a u t h e n t i c a t i o n 属性指示的验证方法只能用于认证 D I D 主体。为了认证 D I D 控制器 ( 在 D I D 控制器不是 D I D 主体的情况下) ，与控制器的值相关联的实体 ( 参见7 . 5 授权和委托 ) 需要使用自己的 D I D 文档和所附的 a u t h e n t i c a t i o n 验