ICS335.240 GB CCS L70 中华人民共和国国家标准化指导性技术文件 GB/ZXXXXX—XXXX 区块链和分布式记账技术分布式身份管理 系统概述 Blockchain and distributed ledger technology-Overview ofDLT systems for identity management (ISO/TR 23249:2022,IDT)) X X X X -X X - X x发 布 XX-XX-XXXX _实施 国家市场监督管理总局 发布 国家标准化管理委员会 目 次 前言 范围 规范性引用文件 3 术语和定义 4 缩略语 现有分类法和概念框架 5.1 概述 5.2 NIST的区块链IDMS分类方法 5.3 DLT在身份识别系统中的功能作用 5.4 Trustover IP（ToIP）基金会. 6 现有的DLT系统身份管理系统 6.1 概述 6.2 uPor 6.3 去中心化身份基金会(DIF) 6.4 Alastria ID 6.5 欧洲自主身份框架(ESSIF). 10 6.6 Sovrin网络、超级账本Indy、超级账本Aries、 超级账本Ursa 12 6.7 世界经济论坛已知旅行者数字身份(KTDI) .16 6.8 Weldentity ..19 6.9 Masterchain 6.10 LACChain .. 6.11 基于盲签名的去中心化数字身份架构 23 7 现有相关标准和框架， 25 参 考 文 献 30 区块链和分布式记账技术分布式身份管理系统概述 1范围 本文件概述了用于基于区块链和分布式记账技术的分布式身份管理系统，即一个或多个实体可以仓 建、接收、修改、使用和撤销一组身份属性的机制。 本文件涵盖以下内容： a）管理个人、组织、事物（物联网和对象）、功能和流程以及其他实体的身份，包括在DLT系统 内部和跨DLT系统。 b) 角色及其交互和常用接口的描述。 c）架构。 d）现有相关标准和框架。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T43572-2023区块链和分布式记账技术术语 3术语和定义 GB/T43572-2023区块链和分布式记账技术-术语界定的术语和定义适用于本文件。 4缩略语 AML：反洗钱（Anti-MoneyLaundering） BCOS：信任、开放、安全（Be CredibleOpen&Secure） BSP：生物识别服务提供商（BiometricServiceProviders） CCG：凭证社区组（Credentials Community Group） CHAPI：凭证处理程序编辑接口（CredentialHandlerAPI） CMS：机密信息服务（Confidential Messaging Service） DID：分布式身份（DecentralizedIdentifier） DIF：分布式身份基金会（DecentralizedIdentityFoundation） DKMS：分布式化密钥管理系统（DecentralizedKeyManagementSystem） DLT：分布式记账技术（Distributed LedgerTechnology） EBSI：欧洲区块链服务基础设施（EuropeanBlockchainServicesInfrastructure） eIDAS：欧盟关于电子识别、身份验证和信任服务的法规（EURegulationonelectronicIdentification， Authentication and trust Services ) ERC：以太坊意见征求稿（EthereumRequestforComments） ESSIF：欧洲自主主权认同框架（EuropeanSelfSovereignIdentityFramework） FISCO：深圳金融区块链联盟（Financial Blockchain Shenzhen Consortium） GDPR：欧盟通用数据保护条例（EUGeneralDataProtectionRegulation） HTTP：超文本传输协议（HypertextTransferProtocol） HTTPS：超文本传输安全协议（HypertextTransferProtocol Secure） ID：身份（identity） IDMS：身份证管理系统（Id Management System） INATBA：国际可信区块链应用协会（InternationalAssociation for Trusted BlockchainApplications） IPFS：星际文件系统（InterPlanetaryfile system） JSON：JavaScript对象表示法（JavaScriptobjectnotation） JSON-LD：JSON链接数据（JSONLinkedData） JWT：JSONWeb令牌（JSONWebToken） KTDITM：已知旅行者数字身份（KnownTravellerDigitalidentity） KYC：了解你的客户（KnowYourCustomer） NIS：网络和信息系统（Networkand InformationSystems） PKI：公钥基础设施（publickeyinfrastructure） SDK：软件开发工具包（softwaredevelopmentkit） SIOP：自行颁发的OpenID服务提供方（Self-issuedOpenIDProvider） 5现有分类法和概念框架 5.1概述 本章旨在通过一系列非详尽的示例展现分布式账本技术在身份管理领域现有的一些分类法和概念 架构。 5.2NIST的区块链TDMS分类方法 5.2.1概述 参考文献【4】提供了一种分类法示例，旨在理解新兴的美国国家标准与技术研究院（NIST）出版 的区块链身份管理系统。该文献强调不同分类可能存在的不同特征和特性，同时探讨了与之相关的机遇、 挑战和风险。 5.2.2授权模型 分布式身份管理系统主要有两种授权模型： 自上而下：系统所有者作为中心化权威机构，拥有对标识符发起和/或证书颁发的控制权，这 种权力可以下放形成层次结构。 自下而上：无中心化权威机构掌管身份标识符和身份凭据的发放权限。参与者在遵守身份验 证系统的（技术）规则的前提下，无需任何许可即可创建和管理自已的身份标识符和凭证。 身份标识符的生成有多种不同的方案。最初由控制相关私钥保管权的用户直接生成区块链地址作为 身份标识符，通常需要先生成一对公私钥，然后使用加密哈希函数和一些特定的协议的转换从公钥导出 区块链地址。还有其他身份标识符生成方案，并非直接采用区块链地址，而是在生成身份标识符后引用 区块链地址。 可以使用不同的方法创建身份标识符，如图1所示（经NIST许可复制）：图左侧表示不涉及初始注 册或自注册的情况。最右侧标有“通过中心化权威机构”的方框代表自上而下的授权模型。中间的示意 图表示其他可能的替代方案。 在自上而下的方式中，凭证和/或身份标识符由中央权威机构（如集团办公室、中央政府）颁发； 而在自下而上的方法中凭证和/或身份标识符可由任意用户颁发给另一个用户，或直接由用户自行颁发 2 用户身份标识符生成 基于区块链逻辑的注册 非区块链逻辑的注册 →简单的区块链地址 未注册 初始注册 →依赖方解析身份 标识符需访问标识 符管理事件的注册 通过主体 通过策展市 通过DAO组织 通过联盟组 通过中心化 场 织 权威机构 →由去中心化 →由主体管理 →代币管理注 →由联盟组织 →由单一实体 的注册 册 自治组织控制 控制的注册 控制注册 →开放式注册 →拍卖注册 的注册 →由联合实体 ★提交交易到 控制注册 公有链 图1： 身份标识符创建方案 5.2.3 托管和代表 图2（经NIST许可转载）展示了实体与身份管理系统之间的不同交互形式；这些交互要么是直接进 行交互，要么是委托给托管人进行交互（图中数据存储是一个与给定身份关联的链下个人存储）。 区块链 数据存储 星 星 星星星 云端托管生态系统 IDMS直接交互 托管人1 托管人2 数据存储 钱包 数据存储 钱包 服务器 服务器 凭证数据下载 降低用户 主体能力 负担服务 委托 凭证数据上传 主体1 主体 2 本地网络 本地网络 数据存储 钱包 数据存储 钱包 数据存储 数据存储 钱包 设备1 设备2 设备1 设备2 图 2相关参与方之间的交互 丢失私钥的用户可以通过特定的密钥恢复机制恢复私钥，如通过用户指定的托管人恢复、通过用户 委任的信任人名单恢复（社交恢复）、时间延迟机制以及由中央机构恢复密钥（若适用）。托管人可以 通过竞争市场提供服务。当一些凭证代表所有权关系时，一些类型的凭证可以在用户之间转让。所有这 些交互都可以通过托管人委托进行。 从一个或多个凭证中可以派生出一个“表示”，使主体能够直接与依赖方分享可验证信息并进行自 我认证。依托例如零知识证明等高级加密技术，“表示”的披露可以根据需要选择性地仅包含最少量的 信息。（在此背景下，“表示”指的是主体向验证者披露的、源自一个或多个凭证的信息，用以传达关 于该主体某些属性的质量）。 用户可以维护一组特殊用途的标识符，这些标识符可以不与其主要标识符关联。例如使用配对伪标 识符为每个第三方之间生成专用标