Hyperledger Indy项目(开源去中心化身份平台)、去中心化身份(DID)、分布式数字身份项目

一、Hyperledger Indy

官方文档：https://indy.readthedocs.io/en/latest/
官网：https://www.hyperledger.org/use/hyperledger-indy

1. 什么是Hyperledger Indy

参考URL: https://zhuanlan.zhihu.com/p/26754099

Hyperledger Indy是开源的去中心化身份平台。

该项目专注于区块链生态系统的数字身份工具。Indy由Sovrin基金会牵头推进，Sovrin基金会成立于2016年，致力于为去中心化的身份提供解决方案。

Hyperledger Indy是一个专门用于去中心化身份管理的分布式账本技术平台。它提供基于区块链或其他分布式账本技术的工具、代码库和模块化组件用于独立的数字主权身份，真正实现跨账本、跨区块链应用的不同身份之间的互操作。

• 专为分散身份而构建的分布式账本
• 关联抵抗设计（Correlation-resistant by design）
• 全局唯一且可通过账本解决的DID（去中心化身份标识符），无需任何集中式解析权威
• 成对标识符在任何两个实体之间创建安全的1：1关系
• 可验证声明是可互操作的格式，用于交换W3C当前在标准化管道中的数字身份属性和关系
• 零知识证明，可证明一组索赔中的某些或全部数据是真实的，而无需透露任何其他信息，包括证明者的身份

Indy账本只存储不具备关联性的身份数据

主要数据类型:
•去中心化身份 ID
•公钥
•服务端地址
•锚定的哈希值

2. 名词概念

identity owner（我们自己）

claims（关于identity owner的不同类型的assertions，在数字身份业界中的称呼）

issuer（颁发者，可信机构）

verifier（验证者，需要相信claims的个人或公司）

verifiable claims（定义、交换和验证数字凭证的一个标准的方式）

Decentralized identifier，DID（去中心化的身份标识）

3. Indy实现独立的数字身份

传统社会，一个人可能拥有的多个独立身份：车主、职业、家庭、教育…我们要证明这些身份时，需要一套独立的系统以及可以证明身份的材料，比如passport、ID card等等。

Indy分为两种节点类型：

• 验证节点
–用于处理写入请求
–参与达成共识
–全球部署60 – 120个节点
• 观察者节点
–处理读取请求
–状态数据与验证节点同步
–凭借节点性能和公信力升级成为验证节点
–全球计划部署几千个节点

4. Indy如何验证数字身份

举个例子说明业务流程：
医生A向国家卫生部发送了一条身份声明请求，卫生部返回一个验证请求处理结果，证明他是一名医生；卫生部将身份证明信息记录在Indy账本上，任意医院向Indy账本查证医生A身份时，都可证明医生A具备医师资质。

认证机构和查询机构可无限拓展到全球范围
多个独立身份也可以同时锚定到Indy账本上的去中心化身份上

Indy称这种身份验证请求为Sovrin请求，它具备如下特征：
•实时请求验证

• 无需直接联系身份持有者（声明者）
  •可废弃 (保持匿名)
  •多个声明者
• 可从多个维度声明身份的描述信息，比如信用分、负债、收入
  •尊重隐私
• 匿名、防关联、信息选择性披露
  技术上，Indy使用数千个独立数据采集点（包括生物识别、位置等）来交叉证明身份；涉及隐私保护使用零知识证明技术
  

5. 使用案例

Kiva与Hyperledger Indy一起推出非洲首个全国性分散式身份证系统

案例分析：Kiva与Hyperledger Indy一起推出非洲首个全国性分散式身份证系统
Kiva launches Africa’s first national decentralized ID system with Hyperledger Indy
https://www.hyperledger.org/learn/publications/kiva-case-study

关于Kiva
Kiva是一家非营利性组织，致力于为全球服务不足的人群提供更多的经济机会。自2005年以来，Kiva已为94个国家/地区提供了超过15亿美元的贷款。使用kiva.org，贷方可以帮助借款人创办或发展业务，为他们提供机会，而这些机会通常很少。Kiva还致力于通过Kiva协议等项目解决系统性问题，这些问题使社区无法获得所需的金融服务。

非洲第一个区块链和去中心化的国家身份系统。

对快速，廉价和安全的ID系统的不断增长的需求与Kiva协议背后的核心论点完全吻合。

Kiva协议通过eKYC流程验证ID多么容易。过去需要花费两周的时间现在不到11秒，并且只需使用身份证号码和指纹即可完成。

使用Indy简化贷款申请流程

Hyperledger案例：使用Indy简化贷款申请流程
参考URL: https://www.liankexing.com/notetwo/11492

从银行借钱是一个耗时且复杂的过程。银行接受贷款申请，只向有风险的借款人提供贷款。

为确定合适的借款人，银行收集个人身份信息（PII）的详细信息，如DoB（出生日期）政府身份证，电费，护照号码等等。他们使用信息位来评估申请人的信用评级，以预测他们的债务偿还能力以及债务违约的可能性。此外，在许多情况下，法规要求与监管机构共享某些PII，例如洗钱。

持有大量PII的主要担忧是它将数据暴露于黑客和回火等威胁。它使存储在集中式银行服务器中的PII成为网络恐怖分子的轻松目标。

解决方案：Hyperledger Indy
Hyperledger Indy是针对银行用例的Hyperledger区块链应用程序开发项目下的主要区块链技术框架之一。

Hyperledger Indy

Indy在这样的用例中提供了独特的身份解决方案。它提供工具，库和可重用组件，以在区块链或其他分布式账本上生成不可变和安全的数字身份。它还使数字身份可以跨管理域和应用程序等各种实体进行互操作。

基于Hyperledger Indy的解决方案

基于Indy的解决方案使借款人只能共享不同银行业务的特定信息。它以确定信任，为贷款人注入信心并最终履行监管机构义务的方式做到这一点。通过数字身份解决方案，借款人有资格在几秒钟内向50家不同的银行机构提交贷款申请。此外，它消除了将任何敏感业务数据或个人信息存储到由集中管理机构控制的可破解数据库的需要。

Indy使用户能够生成零知识证明，而不是透露任何PII来验证信息，例如：

• 最低年龄限制
• 拥有有效的政府身份证号码
• 信用评分在过去一周内达到了设定的门槛

使用Hyperledger Indy创建的不可变分布式分类帐标识可以形成全球真实来源，为不同的利益相关者提供价值。申请人可以允许，每个人都可以核实何时以及如何给予。此外，银行可以遵守监管要求，并提供不可变的审计跟踪。

因此，它将实现完美的市场运作。银行将能够在没有信任的情况下提供贷款，而申请人将能够保护他们的PII。

其他Hyperledger区块链框架加强系统

如果我们添加其他Hyperledger项目的优势，牛逼他使用的情况下，可以变得更简单，更高效。

例如，我们可以使用Hyperledger Burrow将贷款申请流程自动化为智能合约，并将它们连接到基于Indy的身份。我们可以使用Hyperledger Fabric通过将其与贷款申请上预先存在的自我主权身份相关联来引入会员制度。

二、去中心化数字身份DID

1. 背景

中钞区块链技术研究院：四大分布式数字身份架构的对比及研究
参考URL: https://www.btcfans.com/article/27661

在上个世纪 50年代到 90年代，数字身份紧跟着互联网的发展而发展，它可能是 email地址、IP地址、域名，通常由不同的网络服务提供。

当互联网建立了统一的协议标准，迎来了计算机技术和互联网应用的蓬勃发展，越来越多的工作和生活线上化。数字身份演变为复杂的体系，需要一套处理认证和访问控制的业务系统。这时出于便利性的考量，大多数互联网应用的数字身份一般是用户名密码。

当互联网应用的量级剧烈增加，质的变化悄然发生。

• 互联网巨头依靠平台效应垄断市场，利用用户数据作为护城河，产生了大量价值，但用户并没有对自己的数据拥有什么话语权和价值收入。

• 由于利益驱使，围绕着用户数据发生的非法收集、数据泄露和买卖行为防不胜防，损害用户安全。

• 用户的数字身份——账号密码由服务商控制，用户租借使用，服务商可以决定账号禁用、服务终止。

• 互联网的数字身份从属于应用系统，决定了用户要重复注册很多的账号密码，而且互联网在应用层面并不互联互通，一个跨应用的业务实现难度很大。尤其对于需要用户确权操作的跨应用业务，可能需要更改整个业务架构增加跨应用的用户身份。

分布式数字身份基本概念和模型

中钞区块链技术研究院：四大分布式数字身份架构的对比及研究
参考URL: https://www.btcfans.com/article/27661

国际标准化组织/国际电子技术委员会将“身份”定义为“一组与实体关联的属性”，其中“实体”定义为“操作某个特定域的相关项，具有物理或逻辑形态，包括自然人、组织、设备、SIM卡、护照、网卡、应用软件、服务或网站”。数字身份

通常由代表实体的身份标识符及与之关联的属性声明来表示，分布式数字身份包

括分布式数字身份标识符和数字身份凭证（声明集合）两部分。

**分布式数字身份标识符（DID）是由字符串组成的标识符，用来代表一个数字身份，它是一种去中心化可验证的标识符，实体可自主完成 DID的注册、解析、更新或者撤销操作，不需要中央注册机构就可以实现全球唯一性。**通常，一个实体可以拥有多个身份，由实体自己进行管理、维护，不同的身份之间没有关联信息，可有效避免身份信息被第三方归集。

数字身份凭证中一般包含一个或多个“声明（claims） ”。声明信息是与身份关联的属性信息，通常包括：姓名，年龄、学历、职业等等。凭证由发行者签名，可通过密码学证明是否由凭证中声称的实体签发且未被篡改，因此被称为可验证凭证。

凭证由发行者签名，可通过密码学证明是否由凭证中声称的实体签发且未被篡改，因此被称为可验证凭证。

可验证凭证模型

中钞区块链技术研究院：四大分布式数字身份架构的对比及研究
参考URL: https://www.btcfans.com/article/27661

数字身份系统的主要目的是认证数字身份所有者的身份属性，基于其身份信息提供应用系统的授权访问和服务。

1. 基于上节中分布式数字身份的设计，可以很好地实现基于可验证凭证模型的工作流程：

2. 凭证发行方根据身份所有者请求签署发布可验证凭证；

3. 身份所有者将可验证声明以加密方式保存，并在需要的时候自主提交给凭证验证方进行验证；

4. 凭证验证方在无需对接凭证发行方的情况下，通过检索身份注册表，即可确认凭证与提交者之间的所属关系，并验证属性声明的真实来源。

在分布式数字身份的模型中，将身份标识符的生成/维护，与身份属性声明的生成/存储/使用分离开来，有助于构建一个模块化的、灵活的、具有竞争力的身份服务生态系统。

体系架构

中钞区块链技术研究院：四大分布式数字身份架构的对比及研究
参考URL: https://www.btcfans.com/article/27661

如前所述，分布式数字身份的核心模型是分布式数字身份标识符和可验证凭证流转，核心技术是分布式账本和密码学技术，这二者的结合用以创建不可抵赖、且不可篡改的身份记录。

从实现的角度而言，分布式账本基础设施、基于 DID的交互、可验证凭证应用、治理框架组成了分布式数字身份的四层体系架构。

1. 分布式账本

   具有分布式 key-value数据存储能力的分布式账本，用作分布式数字身份标识符的注册表，只要确保身份所有者保持对其私钥的控制权，则任何第三方都无法拥有该标识符的使用权，也就无法冒充身份持有者意愿，危害其利益。

   分布式账本不可篡改的特点，让它既适合用于分布式数字身份数据（标识符、公钥、通讯地址等）的发布和维护，也适合用于被多方信任的公开信息的公示和验证（如凭证发行方的真实身份信息、凭证模板信息需要被多个凭证验证方进行验证）。

2. 基于 DID的交互
   分布式数字身份主张用户管理和控制数字身份，不同用户之间不依赖于第三方进行安全通信。通过用户自己管理的 DID标识符和密钥、注册到分布式账本的分布式数字身份数据，满足基于 DID的点对点相互认证和安全通信需要。

   就两点间通信而言，其安全通信的工作原理依然是基于传统 PKI挑战响应机制和协商数据加密方式。这种安全通信的底层协议可使用 HTTP、RPC、蓝牙、NFC或其它协议，成为不同解决方案之间端到端互联互通的标准通信方式；

   就全网所有节点而言，通过部署在去中心化服务器及个人客户端的身份密钥钱包，以及全网共享的 DID分布式账本，代表任意不同实体身份的节点之间都可以实现基于非对称密钥方式的认证交互，并最终通过这种实体间的信任传递实现全网信任。

3. 可验证凭证应用

   可验证凭证应用层包括各类基于 DID交互的上层应用。数字身份应用的主要目的是认证身份属性，和基于其身份信息提供应用系统的授权访问。可验证凭证提供了一种以身份持有方为主导，连接凭证发行方和凭证验证方（应用系统），凭证发行方和凭证验证方不需要通信的凭证流转方式。

   除可验证凭证流转外，将来在这层也能实现其它点对点的典型应用，如加密社交、股份转移，等等。

4. 治理框架

   要在分布式网络中建立人类信任，需要建立业务和法律协议，这是治理框架的工作。

   治理框架指管理分布式数字身份生态系统的一套决策体系。它对于在没有权利中心进行决策的生态中，有效发挥生态的作用非常重要。治理框架的主要元素包括治理角色、决策范围、决策程序，通俗的说即人、事、规则。

2. 什么是DID

业界精英早就知道微软这个项目堪比Facebook发币，很多人却仍未看懂“蒙”在鼓里
参考URL: https://www.odaily.com/post/5139482

DID规范最初是由Respect Network(后来被Evernym收购)创建的，并在Rebooting Web of Trust conference 会议上提出。后来被 去中心化身份基金会(DIF) 收纳。**DIF是由uPort、Microsoft、Sovrin、Blockstack和许多其他对身份识别和Web3有深入了解的公司创立的。这些组织有不同的需求和方法，但都致力于实现一个共享和互操作的自我主权身份模型的愿景。**创建DID规范是为了确保工作相互补充，使用DID的任何应用程序都可以访问用户和功能的整个生态系统，没有人被局限在单一的隔离方法中。

任何想要建立真正用户基础的产品、服务或平台，以及想要参与全球Web3运动并从中受益的人都应该使用DID。

根据 W3C 的定义，DID 是用于可验证的、自我治理的数字化身份体系，DID 独立于任何中心化注册机构、身份提供者或证书颁发机构。

在实现上，一个标准的 DID 分成三部分：
在上面这个例子中，“did” 是前缀，“example” 是一个 DID 方法，后面 “123456789abcdefghi” 是具体的 DID 身份标识。

什么是 DID 方法？DID 方法是定义如何访问 DID 文档的途径，可以理解成一种 DID 的实现。根据 W3C 注册中心的最新文档，目前有 28 种已经注册的 DID 方法，包括知名的 ION、uPort、IPLD 等等。DID 方法大多对应一个区块链网络，比如 ION 就对应于比特币网络。

上面例子中的“did:example:123456789abcdefghi”是指通过 example 网络或区块链来提供的身份， example 在 W3C 中主要用于示例作用。

一个 DID 可以存储这个 ID 的相关数据，正式的名称叫 DID 文档。

3. DID互操作性的最低要求

来自W3C的DID是已被广泛接受的去中心化身份ID标准。 它确保身份系统可以跨许多不同的网络和环境进行互操作。DID为全局唯一身份ID提供了一种通用格式，而该身份ID来自于任何单个密钥对的抽象。

// Example of a 3ID DID method
did:3:bafyreib5c5gwpwzxl4pcrl7qw4j6lvgg7ug4zdflnhg2eqvuiw7kv7fng4

因此，与密钥对不同，DID可以:

• 支持多个键;
• 在添加、删除或更改密钥时保持身份ID;
• 实现跨网络解决方案和通信；
• 关联与DID相关的元数据、服务接口或其他相关信息的DID文档。

4. DID 怎么用？

谈到 DID，通常就离不开可验证声明（Verified Claim）。目前，大部分 DID 示例场景都是可验证声明。 举个例子，“张三是上市公司员工”就是一个可验证声明。

那可验证声明用在什么场景中呢？下面将举两个例子来说明。

楼宇的门禁系统是一个典型的 DID 应用，访客提前使用自己的 DID 申请授权，访问公司认可的任一员工使用自己的 DID 接受申请，访客来访时使用自己的 DID 就可以顺利进楼了。

或者，用户去车行租车，通常要求用户提供押金，以降低运营风险，但是对于某些资质好的用户可以提供免押金要求，比如上市公司或是大型国企的员工。

上述功能在 DID 网络中如何运行呢? 以租车需要提供的证明为例：

方法1：用户提供上市公司或者是大型国企的工作工卡，这是最直接的方法，但是用户会暴露一定程度的隐私，即会向租车方提供并不必要的工作信息。

方法2：通过 DID 可验证声明来证实，用户提供的 DID 文档中声明了此用户属于上市公司或大型国企的员工，租车行可以去向颁发机构验证，验证结果只会返回一个“是/否”的结果，不需要返回用户具体的工作信息，因此在满足业务需求的同时，用户保留了自己的隐私。

在上面例子中，车行需要向声明（Claim）的**颁发机构（Issuer）**去验证结果，颁发机构一般是一个守信的第三方，比如 LinkedIn。用户在获取可验证声明时候，可能需要向颁发机构提供自己的工卡证明，颁发机构则可以生成可验证声明提供给用户使用。

注意 是颁发机构则可以生成可验证声明提供给用户使用。

5. DID 是如何实现的？

前面提到，DID 是通过不同的 method（方法）来实现。method 提供了访问 DID 的方法，以最近微软发布的 ION（Identity Overlay Network）为例。

ION 通过实现 Sidetree 协议来访问比特币网络。由于比特币是一个处理速度比较慢的网络，ION 通过在比特币第二层进行批量合并的方式，将大量 DID 操作合并成一个上链操作，将修改的数据实体存在 IPFS ，数据实体的哈希存在比特币网络的方式，来实现 DID 数据的可信存储。

与所有基于 Sidetree 的 DID 网络一样，ION 包括三大功能: 一系列核心 Sidetree 逻辑模块、基于比特币网络的读写适配器和在节点之间复制数据的 CAS 协议（例如IPFS）。这三大体系共同创建了在现有比特币之上的第二层 DID 网络，ION 可以支持每秒数千甚至数万个操作。

由于比特币上链需要交易费，维护 ION 节点也需要成本，但目前 ION 并没有公布完整的经济运行机制。ION 可以向进行 DID 数据操作的用户收费，但是这个收费能不能覆盖 ION 网络运行成本还是个问题。当然，微软完全可以自行承担 ION 网络的运行成本，但这又与 DID 去中心化运行的初衷相离了。

在使用上，微软推出的 DID 和目前的支付宝扫码租用充电宝的流程可能相类似。

据微软宣称：微软认证器（Microsoft Authenticator App）每天有数百万用户用来进行身份验证，微软计划下一步将会在应用中支持去中心化身份并进行测试，在用户同意的情况下，通过这一应用来管理用户身份数据并作为加密密钥，此时只有 ID 保存在链上，身份数据则是用密钥加密后保存在链下的 ID Hub 中。

6. DID 和以前中心化的系统有什么区别？

简单来说，基于区块链的 DID 是用户在互联网数字化的价值体现。从实现的角度看，实现上述入住或租车场景可能只需要极少行代码的智能合约即可实现，且不需要依赖公司的任何资源。不过，按照区块链的常见的做法，用户“授权”查询的操作需要支付小额的 Gas 费，以支持背后执行智能合约以及将数据入链的矿工。

DID 默认是匿名的，有点类似实名认证之前的手机 SIM 卡，从技术角度看它具有唯一性且不可伪造。由于运营商把控了发卡，因此要群控一堆账号需要一定的工作量证明。即使 SIM 卡不做实名，因为其唯一性和不可伪造，也是各个 App 所需的优质的真实身份标识。

跟 SIM 卡不同的是，用户完全掌控自己的匿名身份。用户的数据可以有选择地加密保存在区块链上，比如用户的学历证明，只需要用户自己和对应的权威 DID 可以访问数据的详细资料，而查询方将只会看到权威 DID 对用户学历证书认可的签名，从而保证了数据的安全性。

通过 DID，用户可以向访问的系统提供有限的信息。比如只提供昵称 Hellobtc，避免用户注册一个系统就要重复地暴露自己大量隐私数据。**用户也可选择将自己部分物理身份，比如社交账号，与 DID 关联。**如果将身份信息和 DID 关联，就可以实现刷脸入住酒店等功能 。

在隐私方面，DID 可以有选择地公开自己的隐私数据。比如打车时，仅向对方公布自己的打车历史记录及信用。由于区块链本质是匿名并且部分数据是可加密的，这个在技术上不难实现，而这一切（仅公开对方需要的信息）可以通过智能合约来自动完成，不需要像 Android 安装应用的时候，提示用户需要做出复杂的授权选择。

DID 成为互联网的基础设施之后，如果跟智能合约关联并支持跨链应用，用户就可以很方便利用去中心化网络去联系到一辆同城共享汽车，而共享司机也可以查看下单的 DID 信用信息决定是否接单。

用户可以给一个餐厅的 DID 执行外卖合约，餐厅接单之后，智能合约会自动触发送货员的 DID 执行送货的合约，之后所有结算自动进行，中间也不需要一个中心化组织来协调。

由于区块链的不可篡改特性，自然形成了用户的信用记录。

对于 LinkedIn 这样的职场记录，一个用户要通过 DID 形成自己的工作履历，需要每份经历得到相关同事（DID）的证明及认可。由于信息不可篡改，承担证明的同事会更重视信息的真实性，从而会形成非常有价值的数据沉淀。

DID 将会是推动信息互联网到价值互联网转型的一个重要开始。

三、分布式数字身份项目

区块链与数字身份：uport、Civic、Evernym、AirPlatform、Indy、SelfKey
参考URL: https://www.jianshu.com/p/fe1807af171f
中钞区块链技术研究院：四大分布式数字身份架构的对比及研究
参考URL: https://www.btcfans.com/article/27661

全球已经兴起了多个基于区块链的数字身份项目，侧重点各有不同，值得关注的项目有uport、Civic、Evernym、AirPlatform、Indy、SelfKey等，认识和挖掘这些项目可以帮助我们数字身份的应用形态。

（1）uport是基于以太坊的自主权身份ID应用，它可以允许用户身份验证、无密登录、数字签名并和以太坊上的其它应用交互；
（2）Civic是一个基于区块链和生物识别的多因素身份认证系统，可以在移动端无需用户名和密码的情况下进行准确安全的用户身份识别；
（3）Evernym 及其主权身份解决方案旨在相互交易的个人、组织和连接的设备之间建立信任体系；
（4）AirPlatform是一个高度安全的数字身份平台，建立在“超级账本”区块链项目之上，它采用一种创新的方式，用户可以通过微支付的便捷方式参与其中，从而允许其他各方增加定向内容，并增强用户参与互动；
（5）Hyperledger Indy 提供了工具、程序库和可重复使用的组件，用于提供基于区块链或者其它分布式账本的数字身份，从而让它们跨管理域、跨应用和其他silo进行互操作；
（6）SelfKey是一个的点对点的数字身份生态系统，由系统中原始的 key 代币提供系统运行的燃料，授权并激励生态系统里的数字身份的参与方，在这个生态系统里，用户可以通过叫 key 的代币进行价值的转移；
(7) 微软DID: 微软 DID是一套基于 Azure云服务的分布式数字身份技术架构和基础功能，让解决方案实施商可方便的在不同区块链上实现分布式数字身份整体解决方案。微软是 DIF联盟的重要成员，以标准的开源技术、协议和参考实现为主要目标。

四、参考

业界精英早就知道微软这个项目堪比Facebook发币，很多人却仍未看懂“蒙”在鼓里
参考URL: https://www.odaily.com/post/5139482
初学Hyperledger indy day2
参考URL: https://www.cnblogs.com/nykuvl/p/12187061.html
[推荐]中钞区块链技术研究院：四大分布式数字身份架构的对比及研究
参考URL: https://www.btcfans.com/article/27661