去中心化識別符號(DID) 具有一個經常被忽視的優勢:它們充當識別符號元系統,可實現未來防護和跨不同身份系統的互操作性。
這一概念是 Sam Curren 在網際網路身份研討會 (IIW) 上題為“DID 還是非 DID?識別符號元系統的價值;eIDAS 是否錯誤?”的會議的核心內容。
什麼是識別符號元系統?
識別符號元系統充當不同數字身份系統和機制的中介,促進互操作性並防止衝突。它在各個識別符號系統之上提供了一個抽象層,使它們能夠無縫協作。
從識別符號和識別符號系統開始,您可能熟悉的示例包括:
- 國家身份識別系統(例如社會安全號碼、國民身份證)
- 網際網路地址的域名系統 (DNS)
- 書籍的國際標準書號 (ISBN)
- 軟體系統的通用唯一識別符號 (UUID)
什麼是去中心化識別符號?
去中心化識別符號(DID) 是一種新型識別符號,可實現可驗證的去中心化數字身份。DID指的是由 DID 控制者確定的任何主體(例如,個人、組織、事物、資料模型、抽象實體等)
去中心化識別符號 (DID) 是一種新型的全域性唯一識別符號。它們旨在使個人和組織能夠使用他們信任的系統生成自己的識別符號。這些新識別符號使實體能夠透過使用數字簽名等加密證明進行身份驗證來證明對它們的控制。
由於去中心化識別符號的生成和宣告由實體控制,因此每個實體可以擁有儘可能多的 DID,以維持其所需的身份、角色和互動分離。這些識別符號的使用範圍可以適當地限定在不同上下文中。它們支援與其他人、機構或系統的互動,這些互動需要實體識別自己或他們控制的事物,同時控制應披露多少個人或私人資料,所有這些都無需依賴中央機構來保證識別符號的持續存在。
與典型的聯合識別符號相比,DID 的設計使得它們可以與中心化註冊中心、身份提供者和證書頒發機構分離。具體而言,雖然可以使用其他方來幫助發現與 DID 相關的資訊,但該設計使DID的控制者能夠證明對它的控制,而無需任何其他方的許可。DID是將DID 主體與DID 文件相關聯的URI,從而允許與該主體進行可信互動。
每個DID 文件都可以表達加密材料、驗證方法或服務,這些機制提供了一組機制,使 DID 控制者能夠證明對DID的控制。服務支援與DID 主體相關的可信互動。如果DID 主體是資訊資源(例如資料模型), 則DID可能會提供返回DID 主體本身的方法。
DID是一個簡單的文字字串,由三部分組成:1) URI 方案識別符號,2) DID 方法did的識別符號,3)DID 方法特定的識別符號。
一個簡單的 DID 文件:
{ |
去中心化識別符號 (DID) 也是可以進一步充當識別符號元系統的識別符號。DID 規範定義了識別符號的通用結構和語法,以及解析它們以檢索相關後設資料(例如公鑰和服務端點)的方法。這允許不同的 DID 方法(每個方法都有自己特定的實現細節)在單個系統中互換使用。
通用識別符號和 DID 之間的區別
一般來說,識別符號(通常儲存在組織或應用程式資料庫中)缺乏上下文,因此很難確定其範圍和唯一性。相比之下,DID 是全域性唯一識別符號,可提供清晰的上下文。這種差異類似於描述另一個頁面內容的網頁與超連結之間的區別——使用後者,您可以保證到達源頭並獲取最新資訊。
在 IT 系統層面,通用識別符號缺乏上下文和唯一性可能會在公司合併或遷移系統時帶來麻煩,因為可能會發生衝突。
識別符號元系統的主要優點
DID 提供的識別符號元系統有幾個主要優點:
- 互操作性:使用不同 DID 方法的不同系統仍然可以互動和交換資料,而不會發生衝突或需要進行大量定製。
- 靈活性:組織可以選擇最適合其需求和限制的 DID 方法,同時仍保持與其他系統的相容性。
- 面向未來:隨著新 DID 方法的開發,它們可以輕鬆整合到現有系統中,而無需對底層基礎設施進行重大更改。
- 規範化和可審計的資料儲存:DID 使組織和應用程式能夠以規範化和可審計的方式儲存識別符號,從而無需進行大規模檢修即可更輕鬆地輪換和更新身份系統。
- 增強隱私:DID 提供了一種私密且安全地繫結憑證的方法,證明某些憑證確實是發給特定使用者,而不會損害隱私。
解決常見誤解
採用 DID 的一些常見障礙源於以下誤解:
- 認為您必須支援所有 DID 方法:DID 方法有很多,但實施者可以根據他們的要求和限制選擇支援哪種方法。
- 不確定要使用和支援哪種 DID 方法:實施者經常猶豫不決,因為他們不確定要選擇哪種 DID 方法。直接的建議是選擇一種適合您用例的方法,這有助於面向未來並簡化跨不同系統的整合。
- 相信有更簡單的方法可以實現相同的結果:由於 DID 本身的技術細節,DID 作為識別符號元系統的好處可能會被忽視。然而,關注識別符號元系統的好處可以提供更清晰的商業價值和麵向未來性。
使用 DID 的另一個潛在問題是缺乏用於 DID 解析和取消引用的高階標準(“W3C 推薦”狀態或類似標準)。此問題已在DID WG 章程更新中得到解決,該更新將於 2024 年 4 月 25 日生效,屆時 DID 工作組將接管 W3C Credentials 社群組目前正在進行的 DID 解析工作。
DID 作為現有令牌或識別符號的未來變體
即使系統目前必須使用 JSON Web Keys (JWK),採用 `did:jwk` 方法也可以充當橋樑,讓身份系統更輕鬆地輪換和更新,而無需進行大規模改造。這種方法使組織能夠以規範化和可審計的方式儲存識別符號,同時確保相容性並避免將來的潛在衝突。
歐盟觀點
- 隱私問題
一些人反對 DID,因為他們認為 DID 可能導致隱私侵犯和跟蹤。在某些框架中,這導致了 DID 的拒絕。但是,使用 DID 並不比相應的機制更具風險;例如 did:jwk 提供與 JWK 相同的隱私特性。而且在一般情況下,DID 有可能提供顯著改進的隱私保護(請參閱上文識別符號元系統的主要優勢下的第 5 點)。
- 監管挑戰和建議
針對 X.509 證書等傳統識別符號的監管建議已經很完善,放棄它們可能不是一個選擇。但是,即使在這種環境下,`did:x509` 也可用於遵守現有要求,同時透過識別符號元系統進行未來驗證並提高未來遷移的能力。
實施 DID:整個組織的決策
DID 作為識別符號元系統的優勢有時會因為 DID 本身的技術細節而被忽視。然而,關注識別符號元系統的優勢可以提供更清晰的商業價值和麵向未來性。
- 系統架構師應將採用 DID 視為與長期業務目標相一致的戰略決策,並重點關注 DID 的總體優勢。
- 產品經理需要確定與用例的監管要求(例如無法使用區塊鏈)或使用者要求相關的要求、限制和其他特徵。
- 架構師和開發人員應根據上述要求以及任何其他操作考慮(工具支援)選擇適當的 DID 方法。
DID 方法的選擇也受到參與者角色的影響。對於機構來說,可以優先選擇 `did:x509` 或 `did:web` 方法,而對於個人來說,`did:jwk` 方法可能更合適,允許迴圈使用各種憑證,同時保持隱私和麵向未來性。
實施者應該專注於構建支援 DID 的技術系統,無論環境如何,確保解決廣泛的考慮因素,例如開放標準/源、可能的使用者成本、其他元素是否支援 DID,以及 DID 是否簡單儲存或者生態系統是否對它們提供一流的支援。
潛在風險和擔憂
雖然 DID 作為識別符號元系統提供了顯著的優勢,但仍存在潛在的風險和問題需要考慮:
- 遷移激勵:雖然在設計新系統時考慮 DID 是有意義的,但考慮到所涉及的潛在成本和精力,組織可能沒有足夠的動力去重寫或遷移現有系統以採用 DID。
- DID 方法的控制和管理:存在一些問題,例如誰來決定 DID 的“方法”部分(例如,`did:method`),如何確保不存在衝突或名稱搶注,以及誰來控制和管理各種 DID 方法。
在做出採用和實施的決定時,組織應該仔細評估這些風險和問題以及 DID 作為識別符號元系統的潛在好處。
雖然圍繞遷移激勵和 DID 方法控制的擔憂是合理的,但它們不應掩蓋 DID 在互操作性、靈活性、未來保障和增強隱私方面提供的顯著優勢。
為了減輕這些風險,組織可以:
- 進行徹底的成本效益分析,以確定採用 DID 的長期價值,考慮降低整合複雜性、改進資料規範化和增強隱私功能等因素。
- 與 DID 社群互動並參與相關 DID 方法的治理過程,以確保他們的擔憂和要求得到解決。
- 制定分階段採用計劃,優先在新系統中實施 DID,並隨著時間的推移逐步遷移現有系統,最大限度地減少干擾並分攤成本。
- 與行業合作伙伴、標準機構和監管機構合作,為 DID 的採用和治理建立最佳實踐和指南,促進更加穩定和可預測的生態系統。
透過主動解決這些風險和擔憂,組織可以放心地採用 DID 作為識別符號元系統,利用其優勢構建更具彈性、可互操作和麵向未來的身份解決方案,以增強隱私、簡化整合併為不斷髮展的數字身份格局奠定堅實的基礎。