SZSD02 0013—2024数字身份——基于区块链的去中心化标识（DID）技术要求.docx

前言21范国32规范性引用文件33术谙和定义3-1缩略语55设计原则51.1 去中心化51.2 直接控制51.3 肥私安全61.4 加密交互61.5 互操作性61.6 可移植性61.7 简易性66 DID标识符66.1 嘱于区块链的DID标识符56.2 DID主体56.3 DlD持有方57 DID方法68 WD数据模型69 DID生成710 DID验证711 DID解析712隐私安全7参考文献8本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则3的规定起草.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的贲住.本文件由省岛市大数据发展管理局提出并归口。本文件起草单位：北京泰尔英福科技有限公司、竹岛科技大学本文件主要起草人：艾崔沔、孙丽珥数字身份一一基于区块链的去中心化标识（DlD）技术要求1黄围本文件规定了数字身份中葩于区块读的去中心化标识的设计原则、Dn）标识符、DlD方法,DID数据模型、DID生成.DiD验证、DID解析,以及除私安全的要求.本文件适用于作为区块挑很务的去中心化标巩的设计'建设及庖用活动.2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款，其中，注H期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件，其于新版本（包括所有的修改单）适用于本文件,GB/T15843.2-2017信息技术安全技术实体鉴别第2部分，采用对称加密算法的机制GB/T15813.3-2016信息技术安全技术实体将别第3部分，果用数字签名技术的机制GB/T15843.4-2008GB/T15843.5-2005信息技术信息技术安全技术实体赛别第4部分：采用密码校蕤函数的机制安全技术实体鉴别第5部分：采用零知识鉴别的机制（；B/T2506g-2022伯息安全技术术语GB/T36651-201H信息安全技术基于可伯环境的生物特征识别身份甄别协议框架GB/T39786-2021信息安全技术信息系统密码应用基本要求3术语和定义GB/T25069-2022界定的以及下列术语和定义适用本文件,用户um使用从于区块横的去中心化标识符的主体.注，中请方、声称方、持有方代表了用户在不同场景下的不同角色.来源；GB.T25069-2022.3.733,有粮改|3.2持相方holder已获得WD的用户.3.3申请方PPiont谙未成为力有方的主体，可对其进行身份核股。3.4，方ollmnt被?别的DID持有方或才是代表持。方的主体.注，声软方捆行其代我用户从事鉴别交换时所必须的功能和私有数据.来1.GBT25069-2022.3.535.有粮改3.5去中心化标IR符do11trallzdid11tiflr,DIO组与用户关联机件.全局唯的知识符,通过分布式注价的方式为实体社会中的用户身份提供数字空间的映射.WD可以分为基础层和应用层两个层次.基磷层是DIO的规苑，包括DID标识符号和DlD文档：应用层主要是可收证凭证.3.6DID文IiIDIDdocuamt存储在区块链上，包含DKh公铜信息，以及DID林有者的其他M性的描述性文档.来源IW3CDecentralizedIdentifiers.2.有惚改可IifiE凭证vrlflblordntll一种数字文档，文档以键值对的结构而某个实体的属性做出系列声明，并采用密码技术实现可脸证.朱源；W3CVerifiableCredentialsDataModel.2.有修改13.8InftiE达vrifibpresentation由多个可验证凭证组合得到其所有权可以通过密码技术5金证.来源：W3CVerifiableCredentialsD*uModel.2.有修改)3.9WWOleiB不带证明的关于实体的数字断吉.(iSsITU-TX.I252.6.19.有修改3.10字，份dlfltll<tontlty主体在规上交易场景中的表示，通常由标识符、可验证凭证、可蛤证表达共同标识其唯一性。来温；NlSTSP800-63.4.1.一修改|依方rlyparty依林数字身份粉证结果以确定是否与用户建上信任关系的参与方。方或字，份摄供方rlyNrty为用户濒发与其所持有的国家法定身价证件关联对应的数字身份的权或可信机构.业务Alt字IH»11供方rayPrty为用户在各类业务活动中获得的姐件提供数字化证明材料的机构.3. 14字做包digitalwllt装就在用户设备上的一种应用,以存储对应私知的方式实现用户对数字身份标识符和凭证的控制权.来源：ITU-TX.1252.6.983.15可It环境trutdnvlro11M11t用户设备上的安全区域，可保证加敦到其内部数据的安全性，包括保宙性、完整性和可用性等，如可信执行环境(TEE),安全元件(SE、可信密码模块(TOI)或其他具备安全边界的保护区域来源：GB/T36651-2018,3.14 me下列缗路语适用于本文件.DlD数字身份标识符DigitalIdentityIdentifierDID文档数字身份标识符文档DigitalIdentityIdentifierDocumentVC可验证凭证VerifiableCredentialVP可脸证表达VerifiablePresentation5 ttt-*M5.1 去中心化基于区块俗的DlD采取分布式管理原则.减少DID注册信息和服务的集中控制,避免对中心机构或单点故障的依赖性。5.2 KtteEM持有方直接控制其DID.无需依赖外部机构的介入.SZSD0200132024用户具需控制其信息防私的能力，确保其他主体可依据DID文档与持有者获得所需的安全保证级别的交互.1.4 加&交互DID持有方在与其他主体交互时进行加密交互.1.6 互作性DID施础设施可利用具备互操作性的软件工具和解1.7 InM性I）II）独立于系统和网络,挣有方能在任何支持DID和EMD方法的系统中使用其DID.1.8 管局性DID设计支持简易操作批件功能，易于理解.实施和部詈。6 DIDCdRff6.1 苔于区轶的DI。*仅将DlD标识符由DID小请方创建并由持有方控制,能够代发DID主体并解析为描述DID主体的Dn）文档.区块能作为泛在数据注册中心，Dn）的申请方通过使用公用在区块椎上创建DU）：DlD声称方通过使用与该DID公钥对应的私钥证实其身份并使用区块流管理其DID文档，执行更新DID文档愫作，.2DID主体DID的主体由DIDSi定并由IHD文件描述.DID主体的DIDtWn）文档中的ID属性衰示,ID的值符合DlD语法规则的字符申，且存在于DlD文档的数据模型的根映射中,6.3 DID婚*方Dn）持有方具备通过区块桂对DlD文档更新的能力,DID方法规定DID持有方的具体授权过程.持有方在DlD文档中的值是一个字符中或一组符合DlD语法烷则的字符率.其DlI）文档包含明确允许为特定目的使用特定箴证方法的验证关系。7 DID方堂DID方法符合以卜技术要求：a）规定授权及执行的操作过程及方法，包括加密过程：b）规定DlD控制器创建DlD及其关联的I）ID文档的过程及方法；c）规定Dn）解析器解析DID文档的过程及力.法,包括DH）解析器如何验证响应的真实性：d）规定DID文档更新的条件以及DID卷制人更新D【D文档的方法,或声明无法进行更新的办法，<?）规定DID持有方声明DID铮川条件及方法.或说明不可存用.8 DIDftMflDlD数据模型应提供DID文档和DID文档数据结构.，DID文档应与DID标识符形成键值对,描述引导与标识实体进行加密验证交互所必需的公钥、身份验证协议和眼务端点，如图1所示.DlD文档数据模型中的所有键值对应为序列化的字符中.DID数据模型可定义其他的扩展机制，扩展机制支持无损转换到任何其他致性去示。9 DlD生JtDlD标识符的生成由其对陶的Dn）方法定义的创建过程.DID和DID文档宜通过将加密资料转化为符合要求而生成的序列表示.DID方法可使用基于区块链的可验证的数照注册我.10 DIDttSDID文档可定义验证方法，每个验证方法宜用-个映射来表示.加密公钥可用于验证或授权与DID主体或关联方的交互，包括但不限于以下缝证技术要求：a）根据标识符在区块钺中我泡到该DlO对应的DIO文档；b）从DlD文档中选定个或者多个身份验证方法.形成并发送身份物证消息：.c）依据身份验证方法对用户开展身份物证的过程应符合相应验证为议的要求，包括但不限FGB/T15843.2-2017.GB/T15843.3-2015>GB158434-2008.GB/T1543.5-25>GB36651-2018：d）依据选定的身份验证方法对应的公私钠对、密码打法等，验证响应消息，井I可红验证结果.11 DIDIIMDlD解析宜通过DID解析函数使用区块就将一个DID解析为一个DlD文档，DID解析应定义从UlD解析到DID文档的输入和输出，定义一个通用解析器的功能：至少实现一个标准解析功能.并且必现能峪以至少一个标准方式返回标准解析文档.使用DID方法中的“读取”操作.通过DID斛析函数将一个DII）解折为一个DlD文档，12 安全基于区块超的DID宜符合以下安全技术要求：a）保证DID标识符的全局唯一性；b）保证所管理的DlD文档、数据注册表的先整性和不可乳效性；C）通过访问控制保证只有持有方或短持行方授权方可以访问身份数推；d）支持用户访问DIP文档；e）DlD生成系统应符合等保及相关法情法规要求，应至少遵循GHT39786-2021中三被及以上密码应用要求：O支持DlD文档的生命周期泞理（产生、更新'失效等）:g）采用整码技术保证交互过程数据来源的Ji实性、数据的先整性；h）来用定码技术保证交互过程正要数据的机密性.参考文献IW3C去中心化标识符(DID)V1.0(DecentralizedIdentifiers(DIDs)vl.O>