区块链与身份自主权

去中心化身份 DID Decentralized Identity 是近年来开始被重视及讨论的概念，其主张抛开身份提供者的框架，个资拥有权回归使用者。本文由 BSOS 区块链后端工程师李彦宽投稿，超过 5 年区块链研发经验，过去曾参与 BSOS 与北富银、国泰金等区块链专案。事件背景：日本 IT 巨头富士通推出数位身份交换技术，强调优于其他分散式身份识别系统DID

身份的建立、纪录及确认，是每个人在生活中无时无刻会遇到的情境：申办信用卡需要身份证、租车需要驾照、看病需要健保卡、缴税可使用自然人凭证等等，这些都是身份应用的场景。

除了实体的证件或卡片，网路世界也创造了大量的身份，每一个网路上的服务可能都伴随着身份体系，非常零散，还好有身份提供者 Identity Provider 的出现，例如 Google 或 Facebook 提供身份验证串接，让其它的服务提供商可以快速串接，无需另外建立自己的使用者身份验证及管理系统。

虽然现今的身份解决方案看起来已经很成熟，不过，依然存在不少可改善的空间。例如：不论实体与网路世界，时常会遇到重复验证的问题，例如开办不同银行的帐户，皆要进行类似的身份建立及审核流程，不同机构验证身份后，储存的使用者资讯重复且孤立，当资料有所变动时，使用者需至所有机构系统修改，造成个资难以有效率地维护。

去中心化身份 DID Decentralized Identity 是近年来开始被重视及讨论的概念，其主张抛开身份提供者的框架，个资拥有权回归使用者。想像人们透过自己的手机 App 管理个资，并透过生物辨识与加密技术保护敏感资讯。

负责认证身份的个体 Entity 或组织 Organization 透过公私钥签章，将签名注记在使用者身份上，等同核发认证的动作，使用者便可透过这些认证表彰身份。

举例来说，监理站核发驾照资格给民众，透过监理站的私钥将驾照电子档签名后注记在民众 DID 上，当民众需租车时，将个资一键授权给租车行查询，租车行确认该民众有驾照资格，快速验证身份完成租车。

这个案例中监理站就是身份授与者，民众就是身份拥有者，租车行则是服务供应商，跟传统作法的差别在于身份的保管不在授与者身上，而在拥有者、也就是民众身上。

要好好的保管及维护这些公钥，以及纪录身份数据，并且不回到中心机构代为保管的老路，实现使用者真正拥有自己的身份纪录，在实践上是非常困难的事。而区块链技术的问世，正好给了 DID 一个非常好的技术实现框架。

我们能够在区块链上以智能合约的方式实现 DID 的实作。

例如以太坊上主流的身份智能合约 ERC725，使用者在链上发布身份智能合约后，接着使用者产生数个公私钥对，其中私钥由使用者自行保存于钱包；公钥则上传至身份合约中。由于身份合约的自主性，只有身份拥有者有权上传这些公钥。

接下来，服务提供者如何信任提交验证请求的人，确实就是该身份的拥有者呢？这时候采用的机制是挑战回传机制 Challenge amp Response ，在使用者提出服务请求时，服务供应商会针对该身份在链上合约中的某把公钥进行挑战，例如利用公钥加密某一串数值；若使用者有办法透过该公钥对应的私钥完成解密并回传给服务供应商，便证明该使用者即是身份拥有者。

身份智能合约除了储存公钥外，还有一项重要的功能，就是认证 Credencial Claim。认证机构将认证内容签名后，可注记在使用者的身份合约上，相当于授与了该身份某一项认证，例如监理站授与某身份驾驶执照。

身份的建立、认证及验证，是 DID 最基础的机制，而目前搭配区块链技术，实作上也没有太大的困难了，主要普及门槛还是在于生态及使用群体的建立。另外，透过 DID 自主身份，还可以延伸出许多跨组织的应用，例如：

DID 的价值主张

DID 想解决的是目前大型机构垄断个资的问题，还权于民，同时也带来其它好处，例如：骇客无法透过一次攻破伺服器取得大量使用者个资，因为这些敏感资讯只存在于使用者手机上。

现行主流由大型机构扮演身份提供者，却难以解决某些问题，像是跨国疫苗护照，或是无国籍的难民身份，难以找到单一机构处理，DID 或许是这些问题的解决方法之一。

然而，DID 存在使用者体验的问题，使用者需自行保管大量私钥，并在验证与认证的过程中操作私钥签名，这有赖于更成熟的客户端设计及私钥保管技术。

我的身份由我自己宣示，并由他人认定。DID 的想法纯粹且立意良善，也许未来某一天，我们都能掌控自己身份的主权。

相关报导

LINE 与 Messenger 不定期为大家服务