简介
作为个人和组织,我们许多人在各种各样的上下文中使用全局唯一标识符。它们用作通信地址(电话号码、电子邮件地址、社交媒体上的用户名)、身份证号(护照、驾照、税号、健康保险)和产品标识符(序列号、条形码、RFID)。URI(统一资源标识符)用于Web上的资源,您在浏览器中查看的每个网页都有一个全局唯一的URL(统一资源定位符)。
这些全局唯一标识符中的绝大多数不在我们的控制之下。它们由外部权威机构颁发,由这些机构决定它们指代谁或什么,以及何时可以被撤销。它们仅在某些上下文中有用,且仅被我们无法选择的某些机构所认可。它们可能随着某个组织的失败而消失或失效。它们可能不必要地泄露个人信息。在许多情况下,它们可以被恶意第三方欺诈性地复制和声明,这通常被称为"身份盗窃"。
本规范中定义的去中心化标识符(DIDs)是一种新型的全局唯一标识符。它们旨在使个人和组织能够使用他们信任的系统生成自己的标识符。这些新标识符使实体能够通过使用加密证明(如数字签名)进行身份验证来证明对其的控制。
由于去中心化标识符的生成和声明由实体控制,每个实体可以拥有所需数量的DID,以维持其期望的身份、角色和交互的分离。这些标识符的使用可以适当地限定在不同的上下文中。它们支持与要求实体标识自身或其控制事物的其他人、机构或系统的交互,同时控制应该透露多少个人或私密数据,而无需依赖中央权威来保证标识符的持续存在。这些想法在DID用例文档[[DID-USE-CASES]]中进行了探讨。
本规范不预设任何特定的技术或密码学来支撑DID的生成、持久化、解析或解释。例如,实现者可以基于在联合或集中式身份管理系统中注册的标识符来创建去中心化标识符。实际上,几乎所有类型的标识符系统都可以添加对DID的支持。这在集中式、联合式和去中心化标识符的世界之间创建了一个互操作性桥梁。这也使实现者能够设计特定类型的DID以与他们信任的计算基础设施配合工作,例如分布式账本、去中心化文件系统、分布式数据库和点对点网络。
本规范适用于:
- 任何想要了解作为去中心化标识符基础的核心架构原则的人;
- 想要生产和消费去中心化标识符及其相关数据格式的软件开发者;
- 想要了解如何在其软件和硬件系统中使用去中心化标识符的系统集成商;
- 想要创建符合本文档所描述生态系统的新DID基础设施(即DID方法)的规范作者。
除本规范外,读者可能会发现去中心化标识符的用例和需求[[DID-USE-CASES]]文档很有用。
一个简单示例
[=DID=]是一个由三部分组成的简单文本字符串:1)`did` URI方案标识符,2)[=DID method=]的标识符,3)DID方法特定标识符。
上面的示例[=DID=]解析为一个[=DID document=]。[=DID document=]包含与[=DID=]关联的信息,例如以加密方式[=authentication|authenticate=][=DID controller=]的方法。
{
"@context": "https://www.w3.org/ns/did/v1.1",
"id": "did:example:123456789abcdefghi",
"authentication": [{
// used to authenticate as did:...fghi
"id": "did:example:123456789abcdefghi#keys-1",
"type": "Multikey",
"controller": "did:example:123456789abcdefghi",
"publicKeyMultibase": "z6MkmM42vxfqZQsv4ehtTjFFxQ4sQKS2w6WR7emozFAn5cxu"
}]
}
设计目标
[=Decentralized Identifiers=]是更大系统的组成部分,例如可验证凭证生态系统[[VC-DATA-MODEL]],它影响了本规范的设计目标。去中心化标识符的设计目标概述如下。
| 目标 | 描述 |
|---|---|
| 去中心化 | 消除标识符管理中对中心化权威机构或单点故障的需求,包括全局唯一标识符、公共验证密钥、[=services=]和其他信息的注册。 |
| 控制 | 赋予实体(包括人类和非人类)直接控制其数字标识符的能力,无需依赖外部权威机构。 |
| 隐私 | 使实体能够控制其信息的隐私,包括属性或其他数据的最小化、选择性和渐进式披露。 |
| 安全 | 为请求方提供足够的安全性,使其能够依赖[=DID documents=]达到所需的保证级别。 |
| 基于证明 | 使[=DID controllers=]在与其他实体交互时能够提供加密证明。 |
| 可发现性 | 使实体能够发现其他实体的[=DIDs=],以便了解更多关于这些实体的信息或与其交互。 |
| 互操作性 | 使用可互操作的标准,使[=DID=]基础设施能够利用为互操作性而设计的现有工具和软件库。 |
| 可移植性 | 与系统和网络无关,使实体能够在任何支持[=DIDs=]和[=DID methods=]的系统中使用其数字标识符。 |
| 简洁性 | 倾向于精简的简单功能集,使技术更易于理解、实现和部署。 |
| 可扩展性 | 在可能的情况下,支持可扩展性,前提是不严重妨碍互操作性、可移植性或简洁性。 |
架构概述
本节提供去中心化标识符架构主要组件的基本概述。
图中出现六个内部标注的形状,它们之间有标注的箭头,如下所示。图的中心是一个标有"DID URL"的矩形,包含小号打字文本"did:example:123/path/to/rsrc"。图的中上方是一个标有"DID"的矩形,包含小号打字文本"did:example:123"。图的左上方是一个标有"DID Subject"的椭圆。图的下方中心是一个标有"DID document"的矩形。左下方是一个标有"DID Controller"的椭圆。图的右侧中间是一个二维渲染的圆柱体,标有"Verifiable Data Registry"。
从"DID URL"矩形的顶部,一个标有"contains"的箭头向上延伸,指向"DID"矩形。从"DID URL"矩形的底部,一个标有"refers, and dereferences, to"的箭头向下延伸,指向"DID document"矩形。从"DID"矩形,一个标有"resolves to"的箭头向下指向"DID document"矩形。从"DID"矩形,一个标有"refers to"的箭头向左指向"DID subject"椭圆。从"DID controller"椭圆,一个标有"controls"的箭头向右指向"DID document"矩形。从"DID"矩形,一个标有"recorded on"的箭头向右下方指向"Verifiable Data Registry"圆柱体。从"DID document"矩形,一个标有"recorded on"的箭头向右上方指向"Verifiable Data Registry"圆柱体。
- DID和DID URL
- 去中心化标识符,即[=DID=],是由三部分组成的[=URI=]:方案`did:`、方法标识符,以及由[=DID method=]指定的唯一的方法特定标识符。[=DIDs=]可解析为[=DID documents=]。[=DID URL=]扩展了基本[=DID=]的语法,以包含其他标准[=URI=]组件,如路径、查询和片段,用于定位特定的[=resource=]—例如,[=DID document=]内的加密公钥,或[=DID document=]外部的[=resource=]。这些概念在[[[#did-syntax]]]和[[[#did-url-syntax]]]中有详细阐述。
- DID主体
- [=DID=]的主体,按定义,是由[=DID=]标识的实体。[=DID subject=]也可能是[=DID controller=]。任何事物都可以成为[=DID=]的主体:人、群体、组织、事物或概念。这在[[[#did-subject]]]中有进一步定义。
- DID控制者
- [=DID=]的[=controller=]是有能力—按照[=DID method=]的定义—对[=DID document=]进行更改的实体(人、组织或自主软件)。此能力通常通过控制一组加密密钥来声明,这些密钥由代表控制者行事的软件使用,但也可能通过其他机制来声明。请注意,一个[=DID=]可能有多个控制者,且[=DID subject=]可以是[=DID controller=]或其中之一。此概念在[[[#did-controller]]]中有文档记录。
- 可验证数据注册表
- 为了能够解析为[=DID documents=],[=DIDs=]通常记录在某种底层系统或网络上。无论使用何种具体技术,任何支持记录[=DIDs=]并返回生成[=DID documents=]所需数据的系统都称为[=verifiable data registry=]。示例包括[=distributed ledgers=]、去中心化文件系统、各种数据库、点对点网络和其他形式的可信数据存储。此概念在[[[#methods]]]中有进一步阐述。
- DID文档
- [=DID documents=]包含与[=DID=]关联的信息。它们通常表达[=verification methods=],例如加密公钥,以及与[=DID subject=]交互相关的[=services=]。[=DID document=]支持的通用属性在[[[#core-properties]]]中指定。[=DID document=]可以序列化为字节流(见[[[#representations]]])。[=DID document=]中存在的属性可以根据[[[#methods]]]中概述的适用操作进行更新。
- DID方法
- [=DID methods=]是创建、解析、更新和停用特定类型[=DID=]及其关联[=DID document=]的机制。[=DID methods=]使用单独的DID方法规范定义,如[[[#methods]]]中所述。
- DID解析器和DID解析
- [=DID resolver=]是一个系统组件,它以[=DID=]为输入并产生一个合规的[=DID document=]作为输出。此过程称为[=DID resolution=]。解析特定类型[=DID=]的步骤由相关的[=DID method=]规范定义。[=DID resolution=]的过程在[[?DID-RESOLUTION]]中有详细阐述。
- DID URL解引用器和DID URL解引用
- [=DID URL dereferencer=]是一个系统组件,它以[=DID URL=]为输入并产生一个[=resource=]作为输出。此过程称为[=DID URL dereferencing=]。[=DID URL dereferencing=]的过程在[[?DID-RESOLUTION]]中有详细阐述。
本文档包含含有JSON和JSON-LD内容的示例。其中一些示例包含无效字符,如内联注释(`//`)和使用省略号(`...`)来表示对示例贡献不大的信息。如果实现者希望将这些信息用作有效的JSON或JSON-LD,请注意移除这些内容。
一些示例包含未在本规范中定义的术语,包括属性名和值。这些用注释(`// external (property name|value)`)表示。在[=DID document=]中使用此类术语时,应在DID扩展仓库[[?DID-EXTENSIONS]]中注册,并附带正式定义和JSON-LD上下文的链接。
[=DIDs=]和[=DID documents=]实现的互操作性通过评估实现创建和解析符合本规范的[=DIDs=]和[=DID documents=]的能力来测试。[=DIDs=]和[=DID documents=]的生产者和消费者之间的互操作性通过确保[=DIDs=]和[=DID documents=]的合规性来提供。[=DID method=]规范的互操作性由每个[=DID method=]规范中的细节提供。可以理解的是,正如Web浏览器不需要实现所有已知的[=URI=]方案一样,与[=DIDs=]配合工作的合规软件也不需要实现所有已知的[=DID methods=]。但是,给定[=DID method=]的所有实现都应该对该方法具有互操作性。
conforming DID是[[[#identifier]]]中指定规则的任何具体表达,它符合该节中的相关规范性声明。
conforming DID document是本规范中描述的数据模型的任何具体表达,它符合[[[#data-model]]]和[[[#core-properties]]]中的相关规范性声明。合规文档的序列化格式是确定性的、双向的和无损的,如[[[#representations]]]中所述。
conforming producer是以软件和/或硬件实现的任何算法,它生成[=conforming DIDs=]或[=conforming DID Documents=],并符合[[[#representations]]]中的相关规范性声明。
conforming consumer是以软件和/或硬件实现的任何算法,它消费[=conforming DIDs=]或[=conforming DID documents=],并符合[[[#representations]]]中的相关规范性声明。
conforming DID method是符合[[[#methods]]]中相关规范性声明的任何规范。
目标受众
本规范有两个主要受众:合规DID方法的实现者;以及希望与DID交互和对接的系统和服务的实现者。预期受众包括但不限于软件架构师、数据建模师、应用开发者、服务开发者、测试人员、运维人员和用户体验(UX)专家。参与去中心化身份、可验证凭证和安全存储相关广泛标准工作的其他人员也可能对阅读本规范感兴趣。
