为了能够解析为 DID 文档,DID 通常
记录在某种底层系统或网络上。无论使用的
具体技术是什么,任何支持记录 DID
并返回产生 DID
文档所需数据的系统都称为
可验证数据注册表。示例包括分布式账本、
去中心化文件系统、任何类型的数据库、点对点网络,以及
其他形式的可信数据存储。该概念在
7.
方法中进一步阐述。
本规范有两个主要读者群体:符合要求的 DID 方法的实现者;以及希望与 DID 交互并对接的
系统和服务的实现者。预期读者包括但不限于软件架构师、数据建模者、应用开发者、服务开发者、
测试人员、运维人员和用户体验(UX)专家。参与与去中心化身份、可验证凭证和安全存储相关的
各类标准工作的其他人员,也可能会对阅读本规范感兴趣。
一种全局唯一的持久标识符,不需要中心化
注册机构,并且通常以密码学方式生成和/或注册。
DID 的通用格式定义于 3.1 DID 语法。特定的 DID 方案定义于
DID
方法规范中。许多(但并非全部)DID 方法使用
分布式账本技术(DLT)或某种
其他形式的去中心化网络。
DID
控制者
有能力对 DID 文档进行更改的实体。
一个
DID 可能有多个 DID 控制者。DID 控制者
可以由
DID 文档顶层的可选 controller 属性表示。请注意,DID 控制者可能是
DID
主体。
DID 委托者
由 DID 控制者授予权限的实体,该实体可通过
DID 文档使用与
DID 关联的
验证
方法。例如,控制子女 DID 文档的父母可能允许子女
使用其个人设备来进行
认证。在
这种情况下,子女就是 DID 委托者。子女的个人设备
将
包含私有密码学材料,使子女能够
使用该 DID 进行
认证。但是,未经父母许可,子女可能
不被允许添加其他个人设备。
去中心化标识符的形式语法。通用 DID 方案
以前缀 did: 开头,如 3.1 DID
语法中所定义。每个 DID 方法
规范都定义了一个与该特定
DID 方法一起工作的特定
DID 方法方案。在特定 DID
方法方案中,DID 方法名称跟在第一个冒号之后,并以
第二个冒号结束,例如 did:example:
DID 主体
由 DID 标识并由 DID 文档描述的实体。
任何事物都可以是 DID 主体:个人、群体、组织、物理事物、
数字事物、逻辑事物等。
DID URL
一个 DID 加上符合
3.2 DID URL 语法中定义的任何额外语法组件。
这包括可选的 DID
路径及其前导
/ 字符
(U+002F SOLIDUS)、
可选的 DID 查询及其前导
? 字符
(U+003F QUESTION MARK),
以及可选的 DID 片段及其前导
# 字符
(U+0023 NUMBER SIGN)。
DID 文档中用于标识
DID 主体或 DID
控制者的标识符不能使用查询参数或片段标识符。
强烈建议实现者特别注意
3.1
DID 语法一节中的允许
字符列表,该列表清楚说明了这一要求;
该
语法既不包含 ? 字符,也不包含 # 字符。这与
DID 文档中用于标识
验证
方法或 服务的标识符形成对比,后者遵循
3.2 DID URL 语法一节中的语法规则,这些规则允许使用查询参数和
片段
标识符。即便如此,在为 DID 生态系统创建的长期规范
标识符中使用查询参数也不被鼓励,因为这可能增加
DID 解析软件的复杂性,并可能导致更大的
安全攻击面。片段标识符也预期在特定
DID 文档内保持唯一,并且不鼓励实现者
随时间重用它们来指代不同的资源,例如同一
DID 文档内的两个不同
验证方法。
如果 DID 控制者希望如此,DID 或 DID URL 能够
充当持久的、位置无关的资源标识符。
此类标识符
被归类为统一资源名称(URN),并定义于 [RFC8141]。
DID 是 URN 的增强形式,为数字
资源提供密码学安全、位置无关的标识符,同时也提供可实现检索的元数据。
由于 DID 文档与 DID 本身之间存在
间接层,DID 控制者可以调整资源的实际位置——或者
甚至直接提供该资源——而无需调整 DID。
此类 DID 可以确定性地验证所检索的资源
实际上就是被标识的资源。
DID 控制者预期应发布其操作
策略,以便请求方能够确定
其可以在多大程度上依赖由该 DID 控制者控制的
DID的持久性。在
没有此类策略的情况下,请求方不应对
DID是否是同一
DID 主体的持久标识符作任何
假设。
8.7 不可变性
许多网络安全滥用都取决于利用现实与
理性、善意参与者假设之间的差距。DID 文档的不可变性
可以提供一些安全收益。各个 DID 方法应
考虑去除其不需要的行为或语义的约束。
在提供相同特性集合的同时,DID 方法越
锁定,就越不容易被恶意行为者操纵。
作为示例,请考虑对 DID 文档的一次编辑
可以更改
除文档根 id 属性之外的任何内容。但
服务在定义后更改其
type 是否真的可取?或者密钥更改其值是否可取?又或者
当对象的某些基本属性发生变化时,要求使用新的 id 是否
更好?网站的恶意接管通常旨在达到这样的结果:网站保留其主机名标识符,
但底层已被微妙地更改。如果规范要求网站的某些属性(例如
与其 IP 地址关联的 ASN)
不可变,则异常检测会更容易,攻击也会
更难且成本更高。
对于绑定到全局事实来源的 DID 方法,直接、
即时查找 DID 文档的最新版本始终
是可能的。然而,似乎缓存层最终可能会位于
DID 解析器与该事实来源之间。如果确实如此,
当 DID 文档中对象的属性实际上存在细微差异时
却相信它们处于某种给定状态,可能会招致利用。这一点在某些查找是完整
DID 文档,
而
另一些查找是基于假定更大上下文的部分数据时尤其如此。
8.8 DID
文档中的加密数据
已知加密算法可能会由于密码学和计算能力的进步而失效。
建议实现者假定,放置在
DID 文档中的任何加密数据,最终都可能以明文形式
提供给与加密数据可见范围相同的受众。如果
DID 文档是公开的,这一点尤其相关。
加密 DID 文档的全部或部分内容
不是长期保护数据的适当
手段。同样,将加密数据放入
DID 文档也不是保护个人
数据的适当手段。
鉴于上述注意事项,如果在 DID 文档中包含加密数据,
建议实现者不要关联任何可关联信息,
这些信息可能用于推断加密数据
与关联方之间的关系。可关联信息的示例包括
接收方的公钥、已知由接收方控制的数字资产标识符,
或对接收方的人类可读描述。
8.9 等价属性
鉴于 equivalentId 和 canonicalId
属性由 DID 方法自身生成,适用于已解析
DID(出现在
DID 文档的 id 字段中)的相同安全和
准确性保证也适用于这些
属性。
alsoKnownAs 属性并不保证是准确的
等价声明,且不应在未执行
超出解析 DID 文档之外的验证步骤时依赖它。
equivalentId 和 canonicalId
属性表达了对由同一 DID 方法产生的单个 DID变体的等价断言,
其可信程度取决于
请求方对 DID 方法以及符合要求的生产者和
解析器的信任程度。
{"@context":"https://www.w3.org/ns/did/v1.1","id":"did:example:123","verificationMethod":[{// 一个相对 DID URL,将被转换为绝对 DID URL 值 did:example:123#key-1"id":"#key-1","type":"Ed25519VerificationKey2020","controller":"did:example:123","publicKeyMultibase":"z6MkmM42vxfqZQsv4ehtTjFFxQ4sQKS2w6WR7emozFAn5cxu"}],"authentication":["#key-1"],"capabilityInvocation":["#key-1"],"capabilityDelegation":["#key-1"],"assertionMethod":[// 使用相对 DID URL #key-1 等同于使用绝对 DID URL 值 did:example:123#key-1"did:example:123#key-1"]}
{// external (all terms in this example)"@context":["https://www.w3.org/ns/credentials/v2","https://w3id.org/citizenship/v4rc1"],"type":["VerifiableCredential","PermanentResidentCardCredential"],"issuer":{"id":"did:key:zDnaeYGXycLmAn5m9akGtdL6rqBspGQPM7QZXW2CvJ3k9c2Bz","image":"data:image/png;base64,iVBORw0KGgo...5CYII="},"name":"Permanent Resident Card","description":"Government of Utopia Permanent Resident Card.","credentialSubject":{"type":["PermanentResident","Person"],"givenName":"JANE","familyName":"SMITH","gender":"Female","image":"data:image/png;base64,iVBORw0KGgoAA...kJggg==","residentSince":"2015-01-01","commuterClassification":"C1","birthCountry":"Arcadia","birthDate":"1978-07-17","permanentResidentCard":{"type":"PermanentResidentCard","identifier":"83627465","lprCategory":"C09","lprNumber":"999-999-999"}},"validFrom":"2025-01-04T00:00:00Z","validUntil":"2026-01-04T23:59:59Z","proof":{"type":"DataIntegrityProof","created":"2025-01-04T15:02:36Z","verificationMethod":"did:key:zDnaeYGXycLmAn5m9akGtdL6rqBspGQPM7QZXW2CvJ3k9c2Bz#zDnaeYGXycLmAn5m9akGtdL6rqBspGQPM7QZXW2CvJ3k9c2Bz","cryptosuite":"ecdsa-rdfc-2019","proofPurpose":"assertionMethod","proofValue":"z5CK4DPN7...Jpqwp"}}
{// external (all terms in this example)"@context":["https://www.w3.org/ns/credentials/v2","https://w3id.org/citizenship/v4rc1"],"type":["VerifiableCredential","PermanentResidentCardCredential"],"issuer":{"id":"did:example:123#key-1","image":"data:image/png;base64,iVBORw0KGgo...5CYII="},"name":"Permanent Resident Card","description":"Government of Utopia Permanent Resident Card.","credentialSubject":{"type":["PermanentResident","Person"],"givenName":"JANE","familyName":"SMITH","gender":"Female","image":"data:image/png;base64,iVBORw0KGgoAA...kJggg==","residentSince":"2015-01-01","commuterClassification":"C1","birthCountry":"Arcadia","birthDate":"1978-07-17","permanentResidentCard":{"type":"PermanentResidentCard","identifier":"83627465","lprCategory":"C09","lprNumber":"999-999-999"}},"validFrom":"2025-01-04T00:00:00Z","validUntil":"2026-01-04T23:59:59Z","proof":{"type":"DataIntegrityProof","created":"2025-01-04T15:02:36Z","verificationMethod":"did:example:123#key-1","cryptosuite":"ecdsa-jcs-2019","proofPurpose":"assertionMethod","proofValue":"z5m9akGtdL...6rqBspGQP"}}
{// external (all terms in this example)"@context":["https://www.w3.org/ns/credentials/v2","https://w3id.org/citizenship/v4rc1"],"type":["VerifiableCredential","PermanentResidentCardCredential"],"issuer":{"id":"did:key:zUC7DojAAkoD8WpSS87KG6iuMSBd4wH1fZzmcwmakx4JfaXN7RLSES4wNCfWboHvULxGxRwiSsj6UYSgq1dWGusdwrrJsjUQQEb1oid3igF4hbSFzFjf9aWTJSphhu63vHGoAVE","image":"data:image/png;base64,iVBORw0KGgoAA...CYII="},"name":"Permanent Resident Card","description":"Government of Utopia Permanent Resident Card.","credentialSubject":{"type":["PermanentResident","Person"],"givenName":"JANE","familyName":"SMITH","gender":"Female","image":"data:image/png;base64,iVBORw0KGgoAAA...3dgg==","residentSince":"2015-01-01","commuterClassification":"C1","birthCountry":"Arcadia","birthDate":"1978-07-17","permanentResidentCard":{"type":"PermanentResidentCard","identifier":"83627465","lprCategory":"C09","lprNumber":"999-999-999"}},"validFrom":"2025-01-04T00:00:00Z","validUntil":"2026-01-04T23:59:59Z","proof":{"type":"DataIntegrityProof","verificationMethod":"did:key:zUC7DojAAkoD8WpSS87KG6iuMSBd4wH1fZzmcwmakx4JfaXN7RLSES4wNCfWboHvULxGxRwiSsj6UYSgq1dWGusdwrrJsjUQQEb1oid3igF4hbSFzFjf9aWTJSphhu63vHGoAVE#zUC7DojAAkoD8WpSS87KG6iuMSBd4wH1fZzmcwmakx4JfaXN7RLSES4wNCfWboHvULxGxRwiSsj6UYSgq1dWGusdwrrJsjUQQEb1oid3igF4hbSFzFjf9aWTJSphhu63vHGoAVE","cryptosuite":"bbs-2023","proofPurpose":"assertionMethod","proofValue":"u2V0ChVhQik2d4...pc3N1ZXI"}}
{// external (all terms in this example)"protected":{"kid":"did:example:123#_Qq0UL2Fq651Q0Fjd6TvnYE-faHiOpRlPVQcY_-tA4A","alg":"EdDSA"},"payload":{"@context":["https://www.w3.org/ns/credentials/v2","https://w3id.org/citizenship/v4rc1"],"type":["VerifiableCredential","PermanentResidentCardCredential"],"issuer":{"id":"did:key:zUC7Do...oAVE","image":"data:image/png;base64,iVBORw0KGgoAA...CYII="},"name":"Permanent Resident Card","description":"Government of Utopia Permanent Resident Card.","credentialSubject":{"type":["PermanentResident","Person"],"givenName":"JANE","familyName":"SMITH","gender":"Female","image":"data:image/png;base64,iVBORw0KGgoAAA...3dgg==","residentSince":"2015-01-01","commuterClassification":"C1","birthCountry":"Arcadia","birthDate":"1978-07-17","permanentResidentCard":{"type":"PermanentResidentCard","identifier":"83627465","lprCategory":"C09","lprNumber":"999-999-999"}},"validFrom":"2025-01-04T00:00:00Z","validUntil":"2026-01-04T23:59:59Z",},"signature":"qSv6d...bJRAw"}
{// external (all terms in this example)"ciphertext":"3SHQQJajNH6q0fyAHmw...","iv":"QldSPLVnFf2-VXcNLza6mbylYwphW57Q","protected":"eyJlbmMiOiJYQzIwUCJ9","recipients":[{"encrypted_key":"BMJ19zK12YHftJ4sr6Pz1rX1HtYni_L9DZvO1cEZfRWDN2vXeOYlwA","header":{"alg":"ECDH-ES+A256KW","apu":"Tx9qG69ZfodhRos-8qfhTPc6ZFnNUcgNDVdHqX1UR3s","apv":"ZGlkOmVsZW06cm9wc3RlbjpFa...","epk":{"crv":"X25519","kty":"OKP","x":"Tx9qG69ZfodhRos-8qfhTPc6ZFnNUcgNDVdHqX1UR3s"},"kid":"did:example:123#zC1Rnuvw9rVa6E5TKF4uQVRuQuaCpVgB81Um2u17Fu7UK"}}],"tag":"xbfwwDkzOAJfSVem0jr1bA"}
虽然所检索的
DID 文档中的 id 属性值必须始终与正在解析的 DID匹配,但
DID实际指向的资源是否
会随时间变化,取决于 DID 方法。例如,一种允许
DID 主体发生变化的 DID 方法
可用于为某个特定角色的当前占有者生成
DID——例如一家公司的 CEO——
而实际担任该角色的人会因解析该 DID
的时间不同而不同。
图中出现两个小黑色圆点,一个在左上方,标记为
"DID Controller",一个在右上方,标记为 "DID Subject"。一条实心红色
箭头从 DID Controller 圆点延伸到 DID Subject 圆点,箭头上方以
大号粗体文本标记为 "DID",箭头下方以小号斜体文本标记为
"Identifies"。一条虚线红色双向箭头,标记为 "Equivalence",
在两个圆点之间形成弧线,位于二者之间和上方的空间中。
图的下部是一个带弯折角、黑色轮廓的矩形,
其中包含标签 "DID Document"。箭头在该 DID
Document 矩形与表示 DID Controller 和 DID
Subject 的小黑色圆点之间指向,带有斜体标签,如下所示。
一条蓝色箭头从 DID Document 指向 DID Subject,标记为 "Describes"。
一条绿色箭头从 DID Controller 指向 DID Document,标记为 "Controls"。一条绿色箭头
从 DID Document 指向 DID Controller,向外成弧,标记为
"Controller"。一条虚线红色箭头,标记为 "Resolves to",从 DID
controller 起始向右,从指向 DID
Subject 的箭头处分叉,然后向下弯曲指向 DID Document。
从图模型的角度看,即使在
图
7 中被标识为
DID 控制者和 DID 主体的节点
是不同的,也有一条
逻辑弧线连接它们,以表达语义等价关系。
B.9.2 集合
#2:DID 主体不是 DID 控制者
本节为非规范性内容。
第二种情况是 DID 主体与
DID 控制者是分离的实体。例如,当父母为
子女创建
并维护一个 DID的控制权时;当
公司为子公司创建并
维护一个 DID的控制权时;或者
制造商为产品、物联网设备
或数字文件创建并维护一个 DID的控制权时,就是这种情况。
从图模型的角度看,与集合 1 的唯一区别是
DID 主体和
DID 控制者节点之间
不存在等价弧线关系。
在 2010 年代中期,将成为去中心化标识符的初步实现是与
Jeremie Miller 的 Telehash 项目以及由 Dave Longley 和 Manu Sporny 领导的
W3C
Web Payments Community Group 工作协作
构建的。大约一年后,XDI.org Registry Working Group
开始探索去中心化技术,以替代其现有的
标识符注册表。一些最早
撰写的
论文
探讨去中心化标识符概念,其源头可以追溯到由 Christopher
Allen 召集的最早几届 Rebooting the Web of Trust 研讨会。
这些工作促成了 Christopher Allen、Drummond
Reed、Les Chasen、Manu Sporny 和 Anil John 之间的关键协作。Anil 看到了该技术
的前景,并分配了最初一批政府资金来探索该领域。
如果没有 Anil John 的支持以及他多年来的指导,
去中心化标识符很可能不会达到今天的状态。Rebooting the Web of Trust 研讨会上的进一步
打磨促成了第一份
实现者文档,由 Drummond Reed、Les Chasen、Christopher
Allen 和 Ryan Grant 编辑。贡献者包括 Manu Sporny、Dave Longley、Jason
Law、Daniel Hardman、Markus Sabadello、Christian Lundkvist 和 Jonathan
Endersby。这些初始工作随后并入 W3C
Credentials Community
Group,进一步孵化,并最终转入 W3C
Decentralized
Identifiers Working Group,进行全球标准化。
本规范的部分工作由美国
国土安全部(US DHS)科学与技术局
根据合同 HSHQDC-16-R00012-H-SB2016-1-002 和 HSHQDC-17-C-00019 资助,
也由 US DHS Silicon Valley Innovation Program 根据合同
70RSAT20T00000010、70RSAT20T00000029、70RSAT20T00000030、70RSAT20T00000045、
70RSAT20T00000003 和 70RSAT20T00000033 资助。本规范内容
不一定反映美国政府的立场或政策,也不应推断出任何
官方认可。
本规范的工作还得到了 Rebooting
the Web of Trust 社区的支持,该社区
由 Christopher Allen、Shannon Appelcline、Kiara Robles、Brian
Weller、Betty Dhamers、Kaliya Young、Kim Hamilton Duffy、Manu Sporny、Drummond
Reed、Joe Andrieu 和 Heather Vescent 促成。本规范的开发也得到了
W3C
Credentials
Community Group 的支持,该小组曾由 Kim Hamilton Duffy、Joe Andrieu、
Christopher Allen、Heather Vescent 和 Wayne Chang 担任主席。Internet Identity Workshop 的参与者,
由 Phil Windley、Kaliya Young、Doc
Searls 和 Heidi Nobantu Saul 促成,也通过大量
工作会议支持了本工作,这些会议旨在讨论、改进并教育参与者了解
本规范。
工作组感谢以下个人对
本规范的贡献(按字母顺序排列,Github 账号以 @ 开头并
按姓氏排序):Denis Ah-Kang, Nacho Alamillo, Christopher Allen, Joe
Andrieu, Antonio, Phil Archer, George Aristy, Baha, Juan Benet, BigBlueHat, Dan
Bolser, Chris Boscolo, Pelle Braendgaard, Daniel Buchner, Daniel Burnett, Juan
Caballero, @cabo, Tim Cappalli, Melvin Carvalho, David Chadwick, Wayne Chang,
Sam Curren, Hai Dang, Tim Daubenschütz, Oskar van Deventer, Kim Hamilton Duffy,
Arnaud Durand, Ken Ebert, Veikko Eeva, @ewagner70, Carson Farmer, Nikos Fotiou,
Gabe, Gayan, @gimly-jack, @gjgd, Ryan Grant, Peter Grassberger, Adrian Gropper,
Amy Guy, Daniel Hardman, Kyle Den Hartog, Philippe Le Hegaret, Ivan Herman,
Michael Herman, Alen Horvat, Dave Huseby, Marcel Jackisch, Mike Jones, Andrew
Jones, Tom Jones, jonnycrunch, Gregg Kellogg, Michael Klein, @kdenhartog-sybil1,
Paul Knowles, @ktobich, David I. Lehn, Charles E. Lehner, Michael Lodder,
@mooreT1881, Dave Longley, Tobias Looker, Wolf McNally, Robert Mitwicki, Mircea
Nistor, Grant Noble, Mark Nottingham, @oare, Darrell O'Donnell, Vinod Panicker,
Dirk Porsche, Praveen, Mike Prorock, @pukkamustard, Drummond Reed, Julian
Reschke, Yancy Ribbens, Justin Richer, Rieks, @rknobloch, Mikeal Rogers,
Evstifeev Roman, Troy Ronda, Leonard Rosenthol, Michael Ruminer, Markus
Sabadello, Cihan Saglam, Samu, Rob Sanderson, Wendy Seltzer, Mehran Shakeri,
Jaehoon (Ace) Shim, Samuel Smith, James M Snell, SondreB, Manu Sporny, @ssstolk,
Orie Steele, Shigeya Suzuki, Sammotic Switchyarn, @tahpot, Oliver Terbu, Ted
Thibodeau Jr., Joel Thorstensson, Tralcan, Henry Tsai, Rod Vagg, Mike Varley,
Kaliya "Identity Woman" Young, Eric Welton, Fuqiao Xue, @Yue, Dmitri Zagidulin,
@zhanb, and Brent Zundel。
E. IANA 考量
当本规范成为 W3C 提议推荐标准时,
本节将提交给 Internet Engineering Steering Group
(IESG) 进行审查、批准,并向 IANA 注册。
