去中心化身份认证——互联网协议中缺失的“身份层”

来源 | Authing作者 | Michiel Mulders

去中心化认证（DIDs, Decentralized Identifiers）是一种数据结构，这种数据结构可以定义人、物和机构。传统的身份认证管理系统是集中式的，而 DIDs 完全独立于集中式管理中心、第三方认证服务和证书颁发机构。

区块链技术的出现为实施去中心化身份管理（DIDM）提供了机会。在 DIDM 中，所有身份信息都以分布式账本的形式共享信任节点。

每个DID记录由身份所有者的私钥加密保护。它被公认为可以重新定义互联网协议中缺失的重要安全层，即身份层，而DID的规范也正好由万维网联盟（W3C）创建。

DIDs的优势
DID 规范和 Danube Tech CEO 兼联合创始人 Markus Sabadello 阐述了使用 DID 的好处：

使用去中心化身份认证（DIDs）不仅可以构建永久、安全和全局可处理的身份认证，还不需要中心化认证中心，这是一个重要的创新。

DID仅仅由其拥有者所控制，因此可以认为它是构建“主权身份”和“去中心化认证”的基础设施。

设想一下，你想要一个手机号，但是运营商没有主动给你分配，而是你自己选择。这时世界上的所有人仍然可以打电话给你，没有人能够从你那里拿走那个电话号码 —— DID就类似于这种情况。

从技术上讲，DID是有效的统一资源标识符（URI），因此它们与许多通用Web技术兼容，不限于单个协议或应用。

另一个好处是DID旨在与不同的区块链或其他系统协同工作，从而提高通用性和兼容性。

DID的应用场景
DID可用于认证或识别任何数字或现实资源，例如文档，个人，公司或物理对象。但是，DID本身并不能证明其所有者的唯一性。DID仅仅是标识符。你可以在多种业务下应用，并把他们互相关联。

但是，即使DID本身并不提供所有者的所有信息，你也可以使用在DID之上的协议来做验证。假如你需要一个网站登录的功能，就可以使用名为DID Auth的协议。这实现了与OpenID Connect等“去中心化认证”类似的功能。如果你想要得到有关DID所有者的更复杂的个人信息，例如一个人的年龄，组织，你可以使用由W3C指定的标准化凭证。它像一个知识图谱，可以在虚拟世界中构建一个真实的个人。

DID结构实例
DID有许多变体，完整的规范文件可以在W3C找到。以下是定义DID的一种方法，我们在这里看到的是DID的简单定义，其中包括创建日期，最后一次更新文档的日期，签名字段（可选）和“authorizationCapability”。最后一个字段包含引用其他DID的对象，这些DID通过此DID获得特定权限。例如，ID为215cb1dc-1f44-4695-a07f-97649cad9938的DID将获得更新此DID的权限。

“签名”字段经常被误解。 “签名”字段仅证明 DID 文档未被篡改，并且签名者在签名时会用私钥进行验证。但是，签名并不能证明签名者是实际的 DID 所有者。因此，虽然它可以是一个额外的安全功能，但在使用DID时它本身不能依赖它。它类似于在 Bitcointalk.com 论坛上公开放置PGP密钥以证明您拥有与您的Bitcointalk帐户相关联的密钥的过程。

Markus Sabadello 认为“权限”字段是 DID 规范中的不稳定元素，可能会被删除。其目的是表达谁可以更新 DID 文档的权限。

但是，这有一些问题：不同种类的DID（DID方法）在如何管理更新方面有着截然不同的处理方式。有关 DID 更新的任何授权信息都应由这些特定的DID方法指定，而不是以通用方式对所有 DID 强制执行。

我们一直在设计一种称为对象功能（Objcet Capabilities）的替代模型，这种模型不是传统权限管理中的访问控制列表，它的结构如下所示：

使用案例
最简单的例子是网站登录。您将拥有一个存储DID和相关密钥的数字钱包，您可以使用浏览器插件或应用程序，并在您登录时进行确认。这个想法与 MetaMask 插件有点相似，但使用体验非常落后。

另一个例子是在在线购物。你可以在网上购买一本书，当你下单时，你只需要提供你的DID（再次使用插件或应用程序）。这样，你的送货地址和付款信息可以在各个电商网站之间共享。

比较高级的一个例子是分布式通讯录。你可以与你的朋友或你关心的企业保持联系，并与他们共享你的个人信息，并且你对这些信息具有完全的控制权，除了你之外其他任何人都得不到这个信息。在你更新个人资料时，所有与你有关联的DID都会同步更新。

DID规范动态
目前仍然存在一些未解决的问题，但 W3C DID 工作组仍在持续发布新的版本。

此外，W3C还在开发工具，如Universal Resolver，有了它就可以在Java和Python3+以上处理DID认证。

DID的未来

DID 有可能取代当前的大部分互联网身份认证，包括用户名，域名，证书颁发机构等。当然还包括中心化身份服务，如“使用微信登录”。社会需要一些时间来适应这种“去中心化身份”应用，但它必然成为身份认证，数据共享和消息交换工作中更好的基础设施。

我们这些正在研究DID的人发现全世界都对这项新技术感兴趣。我们认为 DID 最终有机会成为互联网的“身份层”。
——Markus Sabadello

推荐阅读
▼
【智周万物第26期】CPChain项目进度报告

MOBI汽车会议在美正式召开，CPChain赵滨畅谈汽车区块链未来

[h1]CPChain惊艳亮相2019 BMW Demo Day，诠释新一代共享充电桩解决方案[/h1]

CPChain基金会2019年第三次财务执行状况披露