微軟這個項目堪比Facebook發幣，很多人卻仍未看懂並“蒙”在鼓裏

我們每個人都需要擁有自己的一套數字身份，來安全地、私密地存儲我們數字身份相關的所有信息。這套自有的數字身份必須易於使用，隻有用戶本人才能完全控製身份數據的存儲和使用。

—Ankur Patel，微軟身份部門首席產品經理

當你通過支付寶來租借共享充電寶或租車時，如果你的芝麻信用分達標，可以享受免押金政策。這個信用分，是基於你在支付寶生態裏的消費行為數據而得出的。這些數據都存儲在支付寶服務器中，你自己可能也未必清楚，而數據的使用也並不需要你知曉或授權。

如果你希望自己的個人信息、學位文憑、在職情況等個人資料，以加密的形式安全地保存在多個節點而非某個機構手中，別人或機構需要查詢你的相關信息時，都必須經你授權，查詢結果以你認可的形式提供給對方。

早前，白話區塊鏈的《區塊鏈與比特幣的“頭號大廠鐵粉”：微軟》一文中，就著重提到了微軟這個 DID 項目對其的重要戰略意義。

事實上，不久前微軟發布的 ION（Identity Overlay Network 身份覆蓋網絡） 在業界得到了廣泛熱議，ION 正是一個去中心化身份 DID（Decentralized ID）的實現。

微軟的 DID 代表了大型互聯網公司公開擁抱去中心化技術，給我們展開了利用 DID 技術來搭建未來身份賬號體係的一個宏偉藍圖。

01 什麼是 DID？

根據 W3C 的定義，DID 是用於可驗證的、自我治理的數字化身份體係，DID 獨立於任何中心化注冊機構、身份提供者或證書頒發機構。

在實現上，一個標準的 DID 分成三部分：

在上麵這個例子中，“did” 是前綴，“example” 是一個 DID 方法，後麵 “123456789abcdefghi” 是具體的 DID 身份標識。

什麼是 DID 方法？DID 方法是定義如何訪問 DID 文檔的途徑，可以理解成一種 DID 的實現。根據 W3C 注冊中心的最新文檔，目前有 28 種已經注冊的 DID 方法，包括知名的 ION、uPort、IPLD 等等。DID 方法大多對應一個區塊鏈網絡，比如 ION 就對應於比特幣網絡。

上麵例子中的“did:example:123456789abcdefghi”是指通過 example 網絡或區塊鏈來提供的身份， example 在 W3C 中主要用於示例作用。

一個 DID 可以存儲這個 ID 的相關數據，正式的名稱叫 DID 文檔。

02 DID 怎麼用？

談到 DID，通常就離不開可驗證聲明（Verified Claim）。目前，大部分 DID 示例場景都是可驗證聲明。舉個例子，“張三是上市公司員工”就是一個可驗證聲明。

那可驗證聲明用在什麼場景中呢？下麵，白話區塊鏈（ID：hellobtc）將舉兩個例子來說明。

樓宇的門禁係統是一個典型的 DID 應用，訪客提前使用自己的 DID 申請授權，訪問公司認可的任一員工使用自己的 DID 接受申請，訪客來訪時使用自己的 DID 就可以順利進樓了。

或者，用戶去車行租車，通常要求用戶提供押金，以降低運營風險，但是對於某些資質好的用戶可以提供免押金要求，比如上市公司或是大型國企的員工。

上述功能在 DID 網絡中如何運行呢? 以租車需要提供的證明為例：

方法1：用戶提供上市公司或者是大型國企的工作工卡，這是最直接的方法，但是用戶會暴露一定程度的隱私，即會向租車方提供並不必要的工作信息。

方法2：通過 DID 可驗證聲明來證實，用戶提供的 DID 文檔中聲明了此用戶屬於上市公司或大型國企的員工，租車行可以去向頒發機構驗證，驗證結果隻會返回一個“是/否”的結果，不需要返回用戶具體的工作信息，因此在滿足業務需求的同時，用戶保留了自己的隱私。

在上麵例子中，車行需要向聲明（Claim）的頒發機構（Issuer）去驗證結果，頒發機構一般是一個守信的第三方，比如 LinkedIn。用戶在獲取可驗證聲明時候，可能需要向頒發機構提供自己的工卡證明，頒發機構則可以生成可驗證聲明提供給用戶使用。

03 DID 是如何實現的？

前麵提到，DID 是通過不同的 method（方法）來實現。method 提供了訪問 DID 的方法，以最近微軟發布的 ION（Identity Overlay Network）為例。

ION 通過實現 Sidetree 協議來訪問比特幣網絡。由於比特幣是一個處理速度比較慢的網絡，ION 通過在比特幣第二層進行批量合並的方式，將大量 DID 操作合並成一個上鏈操作，將修改的數據實體存在 IPFS ，數據實體的哈希存在比特幣網絡的方式，來實現 DID 數據的可信存儲。

與所有基於 Sidetree 的 DID 網絡一樣，ION 包括三大功能: 一係列核心 Sidetree 邏輯模塊、基於比特幣網絡的讀寫適配器和在節點之間複製數據的 CAS 協議（例如IPFS）。這三大體係共同創建了在現有比特幣之上的第二層 DID 網絡，ION 可以支持每秒數千甚至數萬個操作。

由於比特幣上鏈需要交易費，維護 ION 節點也需要成本，但目前 ION 並沒有公布完整的經濟運行機製。ION 可以向進行 DID 數據操作的用戶收費，但是這個收費能不能覆蓋 ION 網絡運行成本還是個問題。當然，微軟完全可以自行承擔 ION 網絡的運行成本，但這又與 DID 去中心化運行的初衷相離了。

在使用上，微軟推出的 DID 和目前的支付寶掃碼租用充電寶的流程可能相類似。

據微軟宣稱：微軟認證器（Microsoft Authenticator App）每天有數百萬用戶用來進行身份驗證，微軟計劃下一步將會在應用中支持去中心化身份並進行測試，在用戶同意的情況下，通過這一應用來管理用戶身份數據並作為加密密鑰，此時隻有 ID 保存在鏈上，身份數據則是用密鑰加密後保存在鏈下的 ID Hub 中。

04 DID 和以前中心化的係統有什麼區別？

簡單來說，基於區塊鏈的 DID 是用戶在互聯網數字化的價值體現。從實現的角度看，實現上述入住或租車場景可能隻需要極少行代碼的智能合約即可實現，且不需要依賴公司的任何資源。不過，按照區塊鏈的常見的做法，用戶“授權”查詢的操作需要支付小額的 Gas 費，以支持背後執行智能合約以及將數據入鏈的礦工。

DID 默認是匿名的，有點類似實名認證之前的手機 SIM 卡，從技術角度看它具有唯一性且不可偽造。由於運營商把控了發卡，因此要群控一堆賬號需要一定的工作量證明。即使 SIM 卡不做實名，因為其唯一性和不可偽造，也是各個 App 所需的優質的真實身份標識。

跟 SIM 卡不同的是，用戶完全掌控自己的匿名身份。用戶的數據可以有選擇地加密保存在區塊鏈上，比如用戶的學曆證明，隻需要用戶自己和對應的權威 DID 可以訪問數據的詳細資料，而查詢方將隻會看到權威 DID 對用戶學曆證書認可的簽名，從而保證了數據的安全性。

通過 DID，用戶可以向訪問的係統提供有限的信息。比如隻提供昵稱 Hellobtc，避免用戶注冊一個係統就要重複地暴露自己大量隱私數據。用戶也可選擇將自己部分物理身份，比如社交賬號，與 DID 關聯。如果將身份信息和 DID 關聯，就可以實現刷臉入住酒店等功能 。

在隱私方麵，DID 可以有選擇地公開自己的隱私數據。比如打車時，僅向對方公布自己的打車曆史記錄及信用。由於區塊鏈本質是匿名並且部分數據是可加密的，這個在技術上不難實現，而這一切（僅公開對方需要的信息）可以通過智能合約來自動完成，不需要像 Android 安裝應用的時候，提示用戶需要做出複雜的授權選擇。

05 小結DID 成為互聯網的基礎設施之後，如果跟智能合約關聯並支持跨鏈應用，用戶就可以很方便利用去中心化網絡去聯係到一輛同城共享汽車，而共享司機也可以查看下單的 DID 信用信息決定是否接單。

用戶可以給一個餐廳的 DID 執行外賣合約，餐廳接單之後，智能合約會自動觸發送貨員的 DID 執行送貨的合約，之後所有結算自動進行，中間也不需要一個中心化組織來協調。

由於區塊鏈的不可篡改特性，自然形成了用戶的信用記錄。

對於 LinkedIn 這樣的職場記錄，一個用戶要通過 DID 形成自己的工作履曆，需要每份經曆得到相關同事（DID）的證明及認可。由於信息不可篡改，承擔證明的同事會更重視信息的真實性，從而會形成非常有價值的數據沉澱。

DID 將會是推動信息互聯網到價值互聯網轉型的一個重要開始。

第290期：你希望擁有自己的去中心化身份（DID）嗎？為什麼？歡迎在留言區分享你的觀點。

——End——

原創： Tim Yang