新兴技术策展系列4去中心化标识符

技术定制系列 问题4：分散标识符(DID) 技术与创新实验室韩国办事处 ACKNOWLEDGEMENTS 世界银行韩国办事处 杰森·迈克尔·奥尔福德(特别代表) WBG，信息技术解决方案，技术与创新实验室（ITSTI） Yusuf Karacaoglu (董事兼高级顾问), Stela Mocan (经理), Jinhee Park (IT官员), YongdaeKim (IT官员) © 2023世界银行1818 HStreet NW Washington DC20433电话：202 - 473 - 1000互联网：www. worldbank. org 这项工作是世界银行工作人员在外部贡献下的产物。这项工作中表达的调查结果、解释和结论不一定反映世界银行、其执行董事会或他们所代表的政府的观点。 世界银行不保证本作品中包含的数据的准确性。本作品中任何地图上显示的边界，颜色，面额和其他信息并不意味着世界银行对任何领土的法律地位或认可或接受此类边界的任何判断。 权限和权限 本作品中的材料受版权保护。由于世界银行鼓励传播其知识，因此只要给予该作品的全部归属，就可以出于非商业目的全部或部分复制该作品。 有关权利和许可，包括附属权利的任何疑问，应向世界银行出版物，世界银行集团，华盛顿特区西北1818号H街，美国，DC 20433；传真：202 - 522 - 2625；电子邮件：pubrights @ worldbank. org。 技术与创新实验室韩国办事处 EMERGING技术定制系列 问题4：分散标识符(DID) Contents I.DID的ABC：APrimer7II.数字身份的演进及其优势DID技术带来的12Identity .........................................................................................13 ....................................................................................................................14....................................................................................................................14 III.韩国DID技术16 ....................................................................................................................17....................................................................................................................19 IV.展望未来：发展影响的潜力28 首字母缩略词 DID分散标识符DIF分散身份基金会FIDO快速身份在线GDPR一般数据保护条例GPKI政府公钥基础设施GS良好的软件IANA互联网数字分配机构IdP身份提供商IETFInternet工程任务组KDCA韩国疾病控制和预防机构KIPO韩国知识产权局KOSDAQ韩国证券交易商自动报价MMA军事人力管理MND国防部MOIS内政和安全部MSIT科学和ICT部OAuth打开授权RP答复方SAML安全断言标记语言SSI自我主权身份SSO单点登录URI统一资源标识符VC可验证凭据VDR可验证的数据注册表W3C万维网联盟 摘要 证明一个人的身份的身份证在现代社会中是必不可少的。它允许个人通过验证其身份来访问各种在线和面对面的公共服务。通过身份证，可以顺利提供政府服务，例如民事投诉，税收，医疗保健，保险和养老。在某些情况下，身份证可能包含其他信息，例如您的家庭住址或获得某些服务的资格，这些信息可用于验证您的身份和获得某些福利的资格。身份证对于访问个人需要验证信息的公共和私人服务至关重要。但是，大多数ID都是由外部机构发布和控制的，信息会根据请求共享和撤销。 分散标识符(DID)是一种新型的全球唯一持久标识符,其不需要集中的注册机构。DID通过密码重复生成和注册，实现了一种新的分散式数字身份模型，称为自我主权身份或分散式身份。1这有时允许用户快速验证信息，而无需联系多个发行方。 新兴技术系列的第四期简要介绍了分散式标识符及其解决发展挑战的潜力，以及韩国在探索和采用新兴技术方面的经验和教训的主要亮点。 本文是WBG ITS技术与创新实验室的产品，是WB韩国国家办事处合作的成果。T＆I实验室是WBG的学习中心，用于实验，原型设计和尖端技术的主流化，并一直在发布新兴技术系列。该系列旨在捕捉新技术和趋势，并分享有助于解决发展挑战的知识。关于DID，实验室在2020年建立了一个原型，并概述了各种考虑因素，这些考虑因素可以解决汤加（和其他太平洋岛国）劳动力流动计划申请人的证书验证所带来的问题。这篇新论文对DID技术进行了更深入的研究和全面的分析，提供了详细的技术概述，并探索了其应用和发展潜力。 I.AABCOFDID:APRIMER T自我主权身份（SSI）是一种管理技术，允许用户将其个人信息存储在自己的设备中，并仅提交身份验证所需的数据信息。它是个人直接管理自己的数据的结构。这是建立在一个概念上的，该 概念允许在不通过集中式机构的情况下进行验证，并且可以在需要身份验证的各种情况下使用。SSI技术可以在基于分布式账本技术（DLT）的区块链系统上开发。虽然它不一定必须使用区块链实现，但考虑到额外的优势，如证书颁发者和验证者之间没有集成的可验证性（跨域互操作性），后者非常适合SSI。 SSI概念由Christopher Alle于2016年在他的文章“通往自我主权身份的道路”中首次提出。1他提到了数字身份和自我主权的10条原则（如下所示），并坚持认为用户应保留对数字身份使用的控制权。SSI可以实现为分散标识符(DID)和可验证凭证(VC) - SSI的两个核心组件。DID是用于基于可验证数据注册(VDR)来标识人或对象的标识符,并且VC体现表示关于个人的特定声明或属性的数字凭证。 TABLE1: 图1: 信息流的作用 在网络世界中实施SSI需要以下两个要素。 1.Identifier and VC：一个标识符，用来证明我是“真实的我”。2.身份数据：呈现和证明我拥有的信息和属性的信息。 图2: 去中心化识别符(DID)示例 标识符的情况被实现为DID（分散标识符），并且正在研究中。最近，DID v1.0已获得W3C标准的正式地位。2 DID由三个部分组成，如下所示： 1.URI（统一资源标识符）方案：例如，http / https和DID。URI列表由IANA（Internet分配号码授权）管理32.DID方法：如何实现特定DID方法方案的定义。新的DID方法也可以在其自己的规范中进行设计和明确定义，以实现同一DID方法的不同实现之间的互操作性。目前，下表显示了DID方法的一些示例。 TABLE2: DID方法及其注册表的示例 3.DID方法特定的标识符：标识符是允许定位DID文档的唯一引用，DID文档是描述DID主题的一组数据。通常，DID文档以结构化格式编写，例如JSON。下表显示了DID文档的示例。 TABLE3: JSON格式的文档示例 {"id":"did: example:123456789abcdefghi", "authentication":[{"id":"did: example: 123456789abcdefghi#keys-1","type":"Ed25519VerificationKey2018", "controller":"did:example: 123456789abcdefghi","publicKeyBase58":"H3C2AVvLMv6gmNam3uJCwDwnZn6z3wXmqPV "}]} DID文档是一种数字文档，用于使用加密技术以分散的方式识别和验证个人或实体。DID文档通常由以下几种不同的属性组成： < DID文档中的属性> II.数字身份的演变与DID技术带来的优势 数字身份的三种模式 大多数在线身份都基于ID和密码。用户通过创建ID和密码来注册每个Web服务，以便在登录时使用（以验证用户的身份）。在注册过程中，用户的个人信息存储在Web服务中。这称为集中式身份它的主要特征是用户必须为每个服务创建不同的ID和密码-因为如果用户为其所有服务创建了相同的ID和密码，则获得用户ID和密码的攻击者可以因此获得对整个用户的服务的访问权限。这里的问题-至少对于大多数具有平均召回能力的人来说-一直是难以为他们使用的各种服务管理广泛且最可能扩展的ID和密码集。 出现的一个解决方案是联邦身份称为单点登录(SSO)。这是一种通过社交媒体或网络邮件通过帐户身份验证登录第三方Web服务的方法。因此，用户可以使用其现有帐户登录，而不必为每个新服务创建帐户。例如，您的Gmail帐户或Twitter帐户（称为身份提供商（IdP））可用于登录第三方Web服务（称为依赖方（RP））。为了实现这些机制,使用开放认证(OAth)和安全断言标记语言(SAML)。 第三个选择是以用户为中心/分散身份，从而将大量个人信息存储在用户侧，仅向每个服务提供必要的个人信息。使用第三种模式，个人信息不存储在Web服务中，数据泄露的风险较小。因为用户拥有数据，所以没有人可以在没有用户同意的情况下访问它。换句话说，由于用户的个人数据存储在他们自己的设备中-而不是存储在中央的一个主机服务器数据库中-服务器被黑客入侵和数百万用户的个人信息立即被泄露的风险不再是潜在的担忧。 图3: DID技术的优势 安全和隐私 DID技术是一种基于自我主权身份模型改进个人信息管理和认证的模型。在大多数传统系统中,每个服务提供商在其服务器上存储所有用户的个人信息。如果攻击成功，所有用户的个人信息都可能被泄露。一系列广为宣传的个人信息泄露事件，自然引发了人们对个人信息保护的浓厚兴趣。2016年，Uber泄露了超过5000万条个人信息，包括电子邮件地址、手机号码和60万名司机的驾照号码。优步隐瞒了这一事实一年，随后不得不支付1.48亿美元的罚款。2019年，Faceboo也发生了类似事件，超过5.3亿用户的个人信息被泄露。被泄露的个人信息，如手机号码、全名、位置和电子邮件地址，都是由网络犯罪分子在线发布的。这种侵犯用户隐私的行为导致美国联邦贸易委员会罚款50亿美元。 然而, DID技术可以通过提供管理个人设备中的个人数据而不是单个主机服务器的安全方法来提供减轻这种风险的方法。通过将个人信息以加密状态存储在您个人控制下的安全区域中，您可以进一步增强隐私并减少网络攻击造成的任何损害-前提是您的设备首先得到保护和正确管理。 便利性和业务效率 DID技术通过消除多个机构（每个机构颁发单独的证书）的角色，提高了用户的效率，从而减轻了向第三方提供不必要个人信息的负担。 例如,用户必须向银行提交他们的个人信息才能开户。至少，所需的个人数据是姓名，公司名称，年龄和地址。在现有的ID系统中，用户应收到公司签发的就业证明并将其提交给银行。鉴于此证书仅带有用户的姓名，公司名称，职务和职位，银行还要求年龄和地址。因此，用户还必须提交护照，居民登记卡或同等学历的副本（显示年龄和地址）。但是，通过向银行提交两种不同的证书，不必要的个人信息，职位和职位被共享给银行。 通过利用VC技术,用户可以通过仅选择和提交银行需要的年龄、地址、公司和姓名来接收认证。换句话说,将通过选