1. 什么是WeIdentity

WeIdentity是一套微眾銀行自主研發(fā)并完全開源的實(shí)體身份標(biāo)識(shí)與可信數(shù)據(jù)解決方案，可承載實(shí)體對(duì)象（人或者物）的現(xiàn)實(shí)身份與鏈上身份的可信映射螺垢、以及實(shí)現(xiàn)實(shí)體對(duì)象之間安全的訪問授權(quán)與數(shù)據(jù)交換牵舱〈ǎ”

WeIdentity目前主要包含兩大模塊：WeIdentity DID以及WeIdentity Credential。

1．分布式身份標(biāo)識(shí) (WeIdentity DID)

WeIdentity DID模塊在FISCO-BCOS區(qū)塊鏈底層平臺(tái)上實(shí)現(xiàn)了一套符合W3C DID規(guī)范的分布式多中心的身份標(biāo)識(shí)協(xié)議芜壁，使實(shí)體（人或物）的現(xiàn)實(shí)身份實(shí)現(xiàn)了鏈上的身份標(biāo)識(shí)礁凡；同時(shí)，WeIdentity DID給與Subject（人或者物）直接擁有和控制自己身份ID的能力慧妄。

2．可驗(yàn)證數(shù)字憑證 (WeIdentity Credential)

現(xiàn)實(shí)世界中存在著各種各樣用于描述實(shí)體身份顷牌、實(shí)體間關(guān)系的數(shù)據(jù)，如身份證塞淹、行駛證窟蓝、存款證明、處方饱普、畢業(yè)證运挫、房產(chǎn)證、信用報(bào)告等套耕。WeIdentity Credential提供了一整套基于W3C VC規(guī)范的解決方案谁帕，旨在對(duì)這一類數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、電子化冯袍，生成可驗(yàn)證匈挖、可交換的憑證（Credential）碾牌。

在官方GitHub上，列出了5類應(yīng)用場(chǎng)景的案例儡循，分別是：新入職員工背景調(diào)查舶吗、醫(yī)療檢查結(jié)果與處方可信流轉(zhuǎn)、選擇性披露贮折、政務(wù)辦理裤翩、慈善公益。

以政務(wù)辦理為例调榄，居民政務(wù)數(shù)據(jù)存在于不同部門踊赠，跨部門的政務(wù)辦理往往需要先至部門A開具證明，再至部門B進(jìn)行辦理每庆。對(duì)居民而言筐带，流程繁瑣且文件不易管理與保存；對(duì)政府部門而言缤灵，希望提升用戶體驗(yàn)并確保用戶隱私數(shù)據(jù)不泄露伦籍。通過WeIdentity解決方案，可以為居民生成可信的電子證件腮出，居民授權(quán)后由機(jī)構(gòu)進(jìn)行驗(yàn)證帖鸦，從而簡(jiǎn)化業(yè)務(wù)流程，降低隱私數(shù)據(jù)泄露風(fēng)險(xiǎn)胚嘲。

WeIdentity官網(wǎng)：https://fintech.webank.com/weidentity

WeIdentity源代碼：https://github.com/WeBankFinTech/WeIdentity

區(qū)塊鏈備案信息：

除WeIdentity之外作儿，這次備案的企業(yè)中還有 4 個(gè)項(xiàng)目也是身份信息上鏈及應(yīng)用的相關(guān)項(xiàng)目。

image.png

2. 機(jī)遇與挑戰(zhàn)

2.1 機(jī)遇

1.市場(chǎng)需求巨大

根據(jù)市場(chǎng)研究機(jī)構(gòu)Smithers Pira預(yù)測(cè)馋劈，2016–2021年攻锰，身份和接入管理市場(chǎng)的規(guī)模將從80.9億美元增長(zhǎng)至148.2億美元，年復(fù)合增長(zhǎng)率達(dá)到12.9%妓雾。其中娶吞，亞洲將占全球個(gè)人身份市場(chǎng)的60%以上，按人民幣折算械姻，2021年亞洲市場(chǎng)為600億元妒蛇。

2.政策鼓勵(lì)支持

工業(yè)和信息化部發(fā)布的《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016－2020年）》明確提出：要樹立數(shù)據(jù)開放共享理念，完善相關(guān)制度楷拳，推動(dòng)數(shù)據(jù)資源開放共享與信息流通材部，促進(jìn)跨行業(yè)、跨領(lǐng)域唯竹、跨地域大數(shù)據(jù)應(yīng)用，形成良性互動(dòng)的產(chǎn)業(yè)發(fā)展格局苦丁。

3.行業(yè)方興未艾

近兩年來浸颓，政府支持或企業(yè)、產(chǎn)業(yè)聯(lián)盟主導(dǎo)的大數(shù)據(jù)交易平臺(tái)多地開花，但尚處初級(jí)和探索階段产上，未形成行業(yè)規(guī)范和規(guī)模效應(yīng)棵磷。而基于實(shí)體認(rèn)證和可信數(shù)據(jù)交換的數(shù)據(jù)管理平臺(tái)更處于萌芽階段，少有應(yīng)用案例晋涣。

2.2 挑戰(zhàn)

1.數(shù)據(jù)孤島

第一仪媒，數(shù)據(jù)場(chǎng)景化、碎片化谢鹊，造成數(shù)據(jù)源是多而零散的算吩；第二，數(shù)據(jù)管理呈現(xiàn)寡頭化的趨勢(shì)佃扼，數(shù)據(jù)寡頭占有大量數(shù)據(jù)偎巢，但又并不能完全覆蓋所有用戶信息；第三兼耀，數(shù)據(jù)類型復(fù)雜压昼、標(biāo)準(zhǔn)不一，數(shù)據(jù)交換缺乏信任源瘤运、安全難保障等諸多原因造成數(shù)據(jù)交換難窍霞、共享難。

2.數(shù)據(jù)濫用

個(gè)人作為數(shù)據(jù)主體的角色缺失拯坟，用戶授權(quán)機(jī)制不完善但金，隱私保護(hù)的法律法規(guī)、事后追責(zé)機(jī)制等相關(guān)體系仍需不斷發(fā)展完善似谁，這些原因都造成了數(shù)據(jù)濫用問題的普遍存在傲绣。

3.數(shù)據(jù)黑產(chǎn)

《中國(guó)網(wǎng)絡(luò)空間安全發(fā)展藍(lán)皮書》顯示，每年我國(guó)因個(gè)人信息泄露等遭受的經(jīng)濟(jì)損失高達(dá)數(shù)千億巩踏。網(wǎng)絡(luò)黑產(chǎn)已從半公開化的純攻擊模式轉(zhuǎn)化為斂財(cái)工具和商業(yè)競(jìng)爭(zhēng)手段秃诵，已形成跨平臺(tái)、跨行業(yè)的犯罪鏈條塞琼。

3. WeIdentity產(chǎn)品方案

各個(gè)參與者共同來完成整個(gè)身份驗(yàn)證的流程菠净。首先，由實(shí)體對(duì)象（即擁有鏈上身份 ID 的人或物）向若干機(jī)構(gòu)申請(qǐng)身份憑證彪杉；接著毅往，用戶代理（一般是權(quán)威可信機(jī)構(gòu)如某政府部門）為用戶生成鏈上 ID 并提供 KYC 服務(wù)。完成認(rèn)證后派近，實(shí)體可選擇將自己的各項(xiàng)數(shù)據(jù)授權(quán)給若干機(jī)構(gòu)使用攀唯；此時(shí)，使用數(shù)據(jù)的機(jī)構(gòu)可選擇購(gòu)買一些憑證驗(yàn)證方的服務(wù)渴丸，后者可協(xié)助多方該實(shí)體的數(shù)據(jù)是否被篡改侯嘀、是否經(jīng)過憑證發(fā)行方認(rèn)證（指對(duì)數(shù)據(jù)進(jìn)行發(fā)行和認(rèn)證的機(jī)構(gòu)或個(gè)體）另凌。在實(shí)體將其身份和數(shù)據(jù)上傳后，還有一個(gè)專門的數(shù)據(jù)托管機(jī)構(gòu)來確保實(shí)體的數(shù)據(jù)被安全存儲(chǔ)戒幔。

image.png

4. WeIdentity應(yīng)用場(chǎng)景

4.1 WeIdentity旗艦應(yīng)用：澳門智慧城市建設(shè)之“證書電子化”項(xiàng)目

解決方案：基于聯(lián)盟鏈的解決方案：WeIdentity

項(xiàng)目參與方：

• 澳門身份證明局（負(fù)責(zé)澳門居民的身份認(rèn)證）
• 澳門生產(chǎn)力中心吠谢、澳門理工大學(xué)等證書發(fā)行方（負(fù)責(zé)提供職業(yè)培訓(xùn)課程、專業(yè)考試及管理的政府機(jī)構(gòu)诗茎，以及提供學(xué)歷及學(xué)位證書的高校）
• 澳門電訊等企業(yè)（澳門電訊等企業(yè)）

流程：

1. 用戶在移動(dòng)端授權(quán)用戶代理處理證書相關(guān)服務(wù)
2. 用戶代理為澳門居民創(chuàng)建鏈上唯一的WeID
3. 身份證明局為澳門居民進(jìn)行身份驗(yàn)證
4. 證書發(fā)行方使用WeID生成證書Credential并將證明摘要上傳到區(qū)塊鏈
5. 驗(yàn)證方將鏈下獲取的原證書內(nèi)容工坊，與WeID Credential進(jìn)行校驗(yàn)

image.png

方案優(yōu)勢(shì)：

1. 證書電子化管理
2. 跨機(jī)構(gòu)信息交互
3. 信息真實(shí)性驗(yàn)證

4.2 其他應(yīng)用場(chǎng)景概述

image.png

場(chǎng)景一：新入職員工背景調(diào)查

1. 員工、學(xué)校敢订、公司分別進(jìn)行WeIdentity DID注冊(cè)及KYC認(rèn)證王污。
2. 員工向?qū)W校學(xué)校申請(qǐng)學(xué)歷證明憑證（Credential）、學(xué)位證明憑證（Credential）枢析。
3. 員工向前雇主公司申請(qǐng)工作證明憑證（Credential）玉掸、離職證明憑證（Credential）。
4. 員工將這些憑證（Credential）掛到自己的個(gè)人主頁(yè)上醒叁，或者直接提交給現(xiàn)雇主公司司浪。
5. 現(xiàn)雇主公司通過憑證驗(yàn)證（Verify）接口對(duì)上述憑證（Credential）進(jìn)行驗(yàn)證。
6. 驗(yàn)證通過把沼，現(xiàn)雇主公司發(fā)放入職offer啊易。

場(chǎng)景二：醫(yī)療檢查結(jié)果與處方可信流轉(zhuǎn)

1. 患者、醫(yī)院饮睬、藥店分別進(jìn)行WeIdentity DID注冊(cè)及KYC認(rèn)證租谈。
2. 患者就診過程中，醫(yī)院對(duì)患者生成各項(xiàng)醫(yī)療檢查憑證（Credential）捆愁，并開具處方憑證（Credential）割去。
3. 患者將這些憑證保存在本地?cái)?shù)據(jù)庫(kù)里（如手機(jī)等移動(dòng)存儲(chǔ)媒介）。
4. 患者在其他醫(yī)院進(jìn)行復(fù)診時(shí)昼丑，可直接出示以上憑證（Credential）呻逆，不需出示紙質(zhì)檢查結(jié)果及處方。
5. 其他醫(yī)院可通過憑證驗(yàn)證（Verify）接口進(jìn)行驗(yàn)證菩帝，并在此基礎(chǔ)上提供醫(yī)療服務(wù)咖城。
6. 患者在藥店開藥時(shí)，亦可出示以上憑證（Credential）并由藥店通過憑證驗(yàn)證（Verify）接口進(jìn)行驗(yàn)證呼奢。
7. 驗(yàn)證通過宜雀，藥店開藥。
8. 保險(xiǎn)機(jī)構(gòu)亦可通過憑證驗(yàn)證（Verify）接口進(jìn)行驗(yàn)證握础，驗(yàn)證通過辐董，為患者進(jìn)行保險(xiǎn)理賠。

場(chǎng)景三：選擇性披露

1. 實(shí)體人及娛樂機(jī)構(gòu)進(jìn)行WeIdentity DID注冊(cè)及KYC認(rèn)證禀综。
2. 實(shí)體人向娛樂機(jī)構(gòu)進(jìn)行選擇性披露，只披露KYC認(rèn)證（Credential）的DID视卢、有效期、出生日期等信息，隱藏其他信息棘钞。
3. 娛樂機(jī)構(gòu)通過憑證驗(yàn)證（Verify）接口對(duì)選擇性披露的數(shù)據(jù)進(jìn)行驗(yàn)證。
4. 驗(yàn)證通過啰挪，允許進(jìn)入兆览。

場(chǎng)景四：數(shù)據(jù)共享

1. 在身份證明機(jī)構(gòu)、數(shù)據(jù)持有機(jī)構(gòu)贱迟、數(shù)據(jù)使用機(jī)構(gòu)間搭建區(qū)塊鏈網(wǎng)絡(luò)姐扮，機(jī)構(gòu)作為節(jié)點(diǎn)接入并注冊(cè)WeIdentity DID
2. 由身份證明機(jī)構(gòu)為用戶進(jìn)行KYC并生成WeIdentity DID
3. 用戶授權(quán)數(shù)據(jù)使用機(jī)構(gòu)使用自己的數(shù)據(jù)
4. 數(shù)據(jù)使用機(jī)構(gòu)生成授權(quán)憑證（Credential），標(biāo)明授權(quán)對(duì)象衣吠、數(shù)據(jù)屬主茶敏、有效期、授權(quán)內(nèi)容等屬性缚俏，并使用機(jī)構(gòu)私鑰進(jìn)行簽名惊搏；數(shù)據(jù)使用機(jī)構(gòu)可選擇將授權(quán)憑證生成摘要并寫入?yún)^(qū)塊鏈，達(dá)到增信目的
5. 數(shù)據(jù)使用機(jī)構(gòu)出示授權(quán)憑證給數(shù)據(jù)持有機(jī)構(gòu)
6. 數(shù)據(jù)持有機(jī)構(gòu)通過憑證驗(yàn)證（Verify）接口忧换，驗(yàn)證授權(quán)憑證
7. 驗(yàn)證通過恬惯，數(shù)據(jù)持有機(jī)構(gòu)將數(shù)據(jù)發(fā)送給數(shù)據(jù)使用機(jī)構(gòu)

5. WeIdentity技術(shù)方案

設(shè)計(jì)目標(biāo)

.. raw:: html

<embed>
  <table border='1' style="width:100%;border-collapse:collapse">
     <tr>
        <th width="100">目標(biāo)</th>
        <th>說明</th>
     </tr>
     <tr>
        <td>多中心</td>
        <td>分布式多中心的ID注冊(cè)機(jī)制，擺脫對(duì)傳統(tǒng)模式下單一中心ID注冊(cè)的依賴</td>
     </tr>
     <tr>
        <td>開源開放</td>
        <td>技術(shù)方案完全開源亚茬，面向政府酪耳、企業(yè)、開發(fā)者服務(wù)</td>
     </tr>
     <tr>
        <td>隱私保護(hù)</td>
        <td>實(shí)體的現(xiàn)實(shí)身份和可驗(yàn)證數(shù)字憑證的內(nèi)容進(jìn)行鏈下存儲(chǔ)刹缝。支持實(shí)體將信息最小化或者選擇性披露給其他機(jī)構(gòu)碗暗，同時(shí)防止任何第三方反向推測(cè)出實(shí)體在現(xiàn)實(shí)世界或其他場(chǎng)景語(yǔ)義中的身份</td>
     </tr>
     <tr>
        <td>可移植性</td>
        <td>基于WeIdentity規(guī)范，數(shù)據(jù)可移植至遵循同樣規(guī)范的其他平臺(tái)梢夯，兼容業(yè)務(wù)主流區(qū)塊鏈底層平臺(tái)</td>
     </tr>
     <tr>
        <td>互操作性</td>
        <td>提供標(biāo)準(zhǔn)化接口言疗，支持跨鏈、跨平臺(tái)互操作</td>
     </tr>
     <tr>
        <td>可擴(kuò)展性</td>
        <td>保證操作性厨疙，可移植性或簡(jiǎn)單性的情況下洲守，數(shù)據(jù)模型可以通過多種不同方式進(jìn)行擴(kuò)展</td>
     </tr>
  </table>
  <br />
</embed>

什么是DID，Credential沾凄，Document

WeIdentity DID用來描述實(shí)體（人或物）梗醇，WeIdentity Credential用來描述實(shí)體的身份、屬性和實(shí)體間關(guān)系撒蟀。因此叙谨，一個(gè)WeIdentity DID可以持有多個(gè)WeIdentity Credential；而一個(gè)WeIdentity Credential則會(huì)包含至少一個(gè)所描述的WeIdentity DID保屯，可能會(huì)有多個(gè)手负。最后涤垫，每個(gè)WeIdentity DID都有一個(gè)WeIdentity Document，用來存儲(chǔ)此DID的認(rèn)證方式（如公鑰竟终、私鑰套件）等信息蝠猬，與WeIdentity Credential無(wú)關(guān)。

image.png

如何生成WeIdentity DID

WeIdentity DID = did:weid:net-id:bs-specific-string

Credential結(jié)構(gòu)
^^^^^^^^^^^^^^

.. list-table::
:header-rows: 1

• • 屬性
  • 說明
• • @context
  • 用于描述Credential的字段信息等
• • id
  • 本Credential的ID统捶，按UUID生成
• • issuer
  • Issuer的DID榆芦，遵從WeIdentity規(guī)范
• • issued
  • issue日期
• • claim
  • Claim的具體細(xì)節(jié)，數(shù)據(jù)結(jié)構(gòu)由CPT定義喘鸟，詳見CPT介紹
• • claim.primeNumberIdx
  • 素?cái)?shù)在素?cái)?shù)表中的index
• • claim.type
  • Claim Protocol Type的ID匆绣，申請(qǐng)按序遞增，例如中國(guó)內(nèi)地駕照設(shè)置為CPT100
• • revocation
  • 撤銷相關(guān)實(shí)現(xiàn)什黑，待補(bǔ)充
• • signature
  • Issuer的簽名列表崎淳，是一個(gè)數(shù)組，可由holder和issuer分別打上簽名
• • signature.type
  • 簽名類型
• • signature.created
  • 簽名的創(chuàng)建時(shí)間
• • signature.creator
  • 簽名機(jī)構(gòu)的WeIdentity DID
• • signature.domain
  • domain
• • signature.nonce
  • 隨機(jī)數(shù)
• • signature.signatureValue
  • 簽名的具體value愕把，對(duì)整個(gè)Credential結(jié)構(gòu)中除去signature字段的其他字段做簽名

WeIdentity Document格式
^^^^^^^^^^^^^^^^^^^^^^^

.. list-table::
:header-rows: 1

• • 字段
  • 說明
• • @context
  • 用于描述WeIdentity Document結(jié)構(gòu)等信息
• • id
  • WeIdentity DID拣凹，表示當(dāng)前Document描述的Entity，用于自描述
• • created
  • Document的創(chuàng)建時(shí)間
• • updated
  • Document的更新時(shí)間
• • publicKey
  • 公鑰數(shù)組列表礼华，格式如下
• • publicKey.id
  • 公鑰的ID
• • publicKey.type
  • 用于指定signature suite
• • publicKey.owner
  • 指定控制對(duì)應(yīng)私鑰的Entity咐鹤，遵從WeIdentity規(guī)范，如果為空圣絮，則表明owner是Document的id字段祈惶，如果是Credential類Entity，則owner一般是某用戶
• • authentication
  • 用于Entity證明其與當(dāng)前Document的關(guān)聯(lián)性
• • authentication.type
  • 用于指定signature suite
• • authentication.publicKey
  • 用來驗(yàn)證簽名的公鑰扮匠，引用publicKey數(shù)組里定義的公鑰
• • service
  • service描述數(shù)組捧请，用于描述跟當(dāng)前DID相關(guān)的服務(wù)，格式如下
• • service.id
  • service endpoint的ID
• • service.type
  • service endpoint的協(xié)議
• • service.serviceEndpoint
  • serviceEndpoint列表棒搜，可以是URI或者一個(gè)JSON-LD對(duì)象
• • service.其他
  • 待定
• • recovery
  • WeIdentity DID私鑰丟失后疹蛉，可由本字段指定的WeIdentity進(jìn)行公私鑰重置。是否需要抽象一層合約層來實(shí)現(xiàn)待定

6. 參考文檔

應(yīng)用場(chǎng)景文檔：https://weidentity.readthedocs.io/zh_CN/latest/docs/use-cases.html

WeIdentity 規(guī)范文檔：https://weidentity.readthedocs.io/zh_CN/latest/docs/weidentity-spec.html