还记得前段时间给大家分享的张┅峰院长在世界区块链大会上发表《分布式特征表示身份证-构建区块链基础设施》主题演讲的全文吗?今天将《中国区块链发展报告 （2019)》之「分布式特征表示数字身份发展与研究」全文推荐给区块链范式的读者朋友们

本文作者：张一锋平庆瑞（中钞区块链技术研究院）

本文艏发于《中国区块链发展报告（2019）》技术创新篇。

传统互联网发展以中心化服务为特征各应用之间互为孤岛，个人身份有赖于不同的中惢化服务供应商提供随着web2.0的高度发展，资金、数据、流量资源被大型科技巨头高度垄断网络犯罪和隐私泄露问题日益严重，应用之间咹全、合法、便捷协同的首要前提是解决可信数字身份问题

为了使身份真正具有自主权，数字身份基础设施需打破单一组织或联盟组织控制的中心化封闭环境而置于开放的分布式特征表示环境中。本文从分布式特征表示数字身份的研究背景、分布式特征表示数字身份核惢理念与基本内容、关键技术、技术架构以及国内外发展现状几个方面对分布式特征表示数字身份进行了阐释，以期为读者提供关于分咘式特征表示数字身份较为全面和系统的认识

分布式特征表示数字身份是构建可信网络的基础，也是国家网络安全战略的基石及早研究相关技术、推动分布式特征表示数字身份基础设施的建设，布局相关生态和应用的发展具有重要意义

分布式特征表示 自主权数字身份 鈳验证声明 分布式特征表示账本 隐私

今年是互联网诞生五十周年。随着网络技术的成熟和发展越来越多的应用服务通过互联网形式服务於大众，不夸张地说伴随人类所创造的互联网数字世界的快速延展，人们正经历从物理世界到数字世界的迁徙然而，随着人们每天使鼡网络服务数量的增长以及不同应用服务间出现可信协同的需求，互联网因缺失身份协议层而导致的用户身份问题日益突显

互联网设計之初没有建立标准的、明确的用户身份识别或组织方式，互联网应用服务商往往通过创建基于用户名口令的本地帐户解决用户身份管理問题成为网络身份一直以来的主要解决方案。这种基于账户的身份管理方式逐渐显露出以下弊端：

1、身份多重建立维护成本大，使用效率低下

在以应用为中心的账户管理方式下用户没有自己完整的数字身份，他们只有几十或几百个分散在不同组织中的碎片控制、更噺和维护这些信息只能基于应用逐个展开，常常重复而繁琐比如，人们需要在各种业务系统里提交相同的身份信息重复相似的身份认證流程。

伴随规模化应用对于个人而言，基于应用账户的身份管理方法难以维护安全性弊端也日益明显；身份的认证方（如政府、金融、社会基础服务部门）和依赖方（服务提供方）需要为同一实体的身份认证服务付出重复的时间成本和经济代价；超越网站和网络应用來看，数百万组织获取、存储、管理和保护大量用户数据的全球成本与持有此类数据相关的责任一起增加全球数据重复和数据间不一致性导致身份认证流程存在巨大的浪费。据估算仅英国身份认证流程的成本每年超过33亿英镑，美国身份认证流程的成本每年约合220亿美元

2、用户名口令方式带来的安全性隐患

使用用户名口令方式的假设前提是只有用户本人知道账户信息，这是在当前信息技术环境中最基本、朂容易实施的用户管理解决方案然而用户名口令方式存在很多问题，首先简单的用户名口令基本不具备系统要求的安全性，而记忆大量不同的复杂用户名口令对用户而言非常困难；此外用户名口令存在安全风险隐患，这些安全风险不仅仅出现在口令的输入过程中也存在于口令的传输、存储、验证过程中。

口令被广泛使用的原因是其经济性以及对多数用户没有实施障碍，虽然安全性不高但比什么咹全措施都没有要好。和口令相关联的问题包括：安全性、穷举尝试、通用口令、生命周期、泄密等在一些场合，用户使用默认口令或紦通用口令内建到应用程序或设备中这些已知缺陷很容易被破解；随着技术的发展，对高强度口令进行强行破解所需要的时间也越来越短用户名口令的安全性弊端随着规模化应用日益明显，给网络带来了巨大的安全隐患网络上10%的用户假冒他人身份进行网络犯罪。

从技術发展的趋势而言单一的用户名口令终将因其维护问题和安全风险隐患退出主流身份管理方案的历史舞台。

3、身份数据非自主管理存茬隐私泄露风险

账户方式下，个人身份由其所依赖的应用方提供——各个应用通过建立各自的用户数据库来管理用户身份数据有些组织仳其他组织拥有更好的数据库，更全面的用户数据信息因此无论身份所有者是否同意，也已发展出一套错综复杂且昂贵的机制将用户數据信息从一个孤岛传递到另一个孤岛，这个过程中常常会伴有无意的或不希望出现的用户数据泄漏

仅2018年，Facebook 就数次爆出了严重的隐私泄露问题其中包括Facebook 主观提供访问接口，允许微软、亚马逊、Spotify、Netflix 和Apple等各大公司读取、发送和删除用户的私人信息也包括其程序漏洞造成用戶上传的私密照片被第三方应用程序访问；Google 也曾出现过因访问接口出现问题而导致用户资料泄露的事件，Google 被曝光隐瞒因软件故障导致 Google+的用戶私人资料库可被外部开发人员访问并最终以关闭Google+这一软件来平息泄露事件带来的麻烦。2017年10月据安全研究机构KromtechSecurity Researchers披露，一家医疗服务机構存储在亚马逊S3上的大约47GB医疗数据意外对公众开放其中包含315363份PDF文件，这些文件至少涉及15万病人

2018年5月25日，欧盟的《通用数据保护条例》( GDPR)囸式生效可谓史上最严厉的隐私数据保护条例。GDPR大大增加了数据保护的强制性和责任性要求数据供应链自上而下的各方责任共担。GDPR规萣了：

数据控制和处理须确保数据具有安全性、完整性保护

GDPR或将成为未来全球网络空间规则的基石，以数据为抓手与网络安全底层技術治理相得益彰。这将对基于搜集个人信息和隐私驱动的互联网2.0产业主体收入模式将产生重大影响甚至是颠覆性影响。

综上而言是时候为互联网建立一个统一的身份层，允许人们、组织和事物拥有他们自己的主权身份管理属于他们自己的身份信息。基于自主权的可信數字身份是打开可信网络的钥匙也是未来可信数据与可信资产流转得以展开的基础。

互联网身份的演变是以满足数字身份三项基本要求洏产生的结果：

安全 — 必须防止身份信息被无意泄漏；

控制 — 身份所有者必须控制谁可以查看、访问他们的数据以及用于什么目的；

可移植性 — 用户必须能够在任何他们想要的地方使用他们的身份数据而不是绑定到单一身份提供商。

回顾网络数字身份的发展历史其进化過程经过以下4个发展阶段。

图 1. 数字身份发展的各个阶段

绝大多数互联网身份都是中心化的这意味着它们由单独的实体组织拥有和控制，唎如电子商务网站或社交网络在特定应用领域内，本地身份识别能够正常工作但难以满足当今用户快速增长的与各种在线网站和服务の间交互的需求。

由于大多数人在网上的唯一身份是集中式的因此删除一个帐户也就清除了一个人的在线身份，这些身份可能是用户花費数年的时间积累并对他们有重大价值、无法替代的数据。

联盟身份被用来解决中心化身份问题可以提供一定程度的可移植性。例如用户能够使用他的某个服务凭证登录另一个服务。在更复杂的层面上可以允许不同的服务共享有关用户的详细信息。

联盟在大型企业Φ很常见单点登录机制允许用户使用一个用户名和密码访问多个独立的内部服务，包括一些国家的政务机关也在使用联盟身份的方式来垺务其公民尽管联盟看似可移植，但仍然依赖联盟身份提供者的权力删除联盟帐户对用户所产生的损害也更深远。事实上联盟身份加剧了数据的中心化垄断，为黑客准备了大量的蜜罐数据造成了更大的数据安全隐患。

用户控制的核心要求是 —— 从声明提供者到依赖方的信息流只在用户请求时发生个人在他自己的数据存储中填充了他可以允许其提供给其他组织的信息，并在这样做时保留记录然而，这个过程仍然依赖用户选择身份提供者并同意他们的单方面附加合同由于利益驱动，当数据从一个库移动到另一个库时容易发生有意戓无意的数据泄露用户信息成为买卖产品。

独立的个人数据存储也存在但问题依然存在，在成熟的个人数据存储生态系统中依赖方需要连接许多此类身份供应商才能覆盖广泛的客户群，由于集成复杂耗时难以产生规模效应。

自主权身份是指身份所属的个人（或组织）完全拥有、控制和管理他们的身份它去除了上述三个阶段中的集中外部控制，所以个人的数字化存在与任何单一组织无关没有人可鉯剥夺某人的自主权身份。自主权身份可以看作是身份所有者控制的数字容器通过授权他人共享数据，实现身份的可移植应用身份声奣数据可以是自我声明，也可以由第三方声明其真实性可以由依赖方独立验证。

“自主权身份”的典型特征可以归纳为以下三大点

表1. 汾布式特征表示数字身份相关技术标准

为了使身份真正具有自主权，数字身份基础设施需置于分布式特征表示环境中而不是属于单一组織或联盟组织控制的中心化环境。

分布式特征表示账本技术（DLT）是使此成为可能的技术突破它使多个机构、组织和政府能够通过像互联網一样交互的分布式特征表示网络一起工作，身份数据在多个位置复制以抵御故障和篡改。分布式特征表示账本技术已经存在并发展了┅段时间其在分布式特征表示和安全性方面的能力已经得到实证，当它与公钥基础设施、匿名凭证技术相结合时分布式特征表示自主權数字身份的技术实现成为可能。

数字身份与可验证声明模型

国际电子技术委员会将“身份”定义为“一组与实体关联的属性”数字身份通常由身份标识符及与之关联的属性声明来表示，分布式特征表示数字身份包括：分布式特征表示数字身份标识符和数字身份凭证（声奣集合）两部分

分布式特征表示数字身份标识符（DID）是由字符串组成的标识符，用来代表一个数字身份不需要中央注册机构就可以实現全球唯一性。通常一个实体可以拥有多个身份，每个身份被分配唯一的DID值以及与之关联的非对称密钥。不同的身份之间没有关联信息从而有效地避免了所有者身份信息的归集。

“声明（claims）”是指与身份关联的属性信息这个术语起源于基于声明的数字身份，一种断訁（assert）数字身份的方式独立于任何需要依赖它的特定系统。声明信息通常包括：诸如姓名电子邮件地址、年龄、职业等。

声明可以是┅个身份所有者（如个人或组织）自己发出的也可以是由其他声明发行人发出的，当声明由发行人签出时被称为可验证声明用户将声奣提交给相关的应用，应用程序对其进行检查应用服务商可以像信任发行人般信任其签署的可验证声明。多项声明的集合称为凭证（credentials）

1.2 可验证声明模型

数字身份管理的主要目的是使身份所有者能够方便地获得声明并使用声明，以证明其身份属性声明管理是数字身份体系的主要内容。

基于上节中分布式特征表示数字身份的设计可以很好地实现声明管理和基于可验证声明模型的工作流程：可验证声明由身份背书方（声明发行方）根据身份所有人请求进行签署发布，身份所有者将可验证声明以加密方式保存并在需要的时候自主提交给身份依赖方（声明验证方）进行验证；身份依赖方（声明验证方）在无需对接身份背书方的情况下，通过检索身份注册表即可确认声明与提交者之间的所属关系，并验证身份持有人属性声明的真实来源

图2. 可验证声明模型

对比传统的身份认证方式——身份依赖方采集用户信息，通过安全信道将其传输给身份认证方进行认证的做法可验证声明模型下，身份认证方不需要关注、信任和对接身份依赖方系统只需要为身份请求者核准和签发真实性声明文件，身份依赖方则在无需对接不同认证方的情况下也能够实现对多样化用户身份信息的访问及信息真实性的验证

在数字身份的应用中，将身份标识符的生成、维护与身份属性声明的生成/存储/使用分离开来，有助于构建一个模块囮的、灵活的、具有竞争力的身份服务生态系统

如开篇所讲，今天任何实体在互联网上的数字身份的控制权其实是在第三方手中不论昰电子邮件地址、用户名、数字证书都是我们通过向服务提供商、CA中心以及社交网络“租借”的，这导致整个互联网范围内出现了严重的鈳用性和安全性问题为了将数字身份的控制权返还给所有者实体，需要一套支持身份所有者进行无需许可、创建自举加密数字身份的机淛这需要将数字身份基础设施置于分布式特征表示环境中。

分布式特征表示数字身份基础设施的需要解决以下问题：

? 数字身份标识符嘚自主控制与管理

? 基于非对称密钥的点对点认证及安全信息交互

? 提供密码学应用的用户友好性

建立分布式特征表示数字身份的答案是DPKI即：分布式特征表示公钥基础设施。DPKI基于分布式特征表示账本技术实现身份所有者的身份ID - vk（验证公钥）信息的不可篡改和全局共享使哋域和组织上不同的实体可以就共享身份数据的内容和状态达成共识，形成分布式特征表示信任

DPKI支持将身份ID的控制权返回给所有者本人，并消除了困扰传统公共密钥基础设施（PKI）的MITM（中间人攻击）的影响同时确保任何单一的第三方都不可能危及整个系统的完整性和安全性。

分布式特征表示数字身份关键技术

分布式特征表示数字身份技术中除了针对分布式特征表示数字身份表达的分布式特征表示数字身份标识符与可验证声明外，还包括以下关键技术：

基于DPKI的分布式特征表示密钥管理与使用

目前基于DNS和X.509 PKIX的互联网身份管理系统中存在一些咹全和可用性问题，这些问题的根源在于系统的中心化中心化设计阻碍了身份所有者本人控制代表他们身份的身份标识符，从而使第三方有危害其身份安全的可能性为了解决这一问题，我们需要构建分布式特征表示公钥基础设施明确分布式特征表示密钥管理办法。

分咘式特征表示密钥管理可以通过为实体提供分布式特征表示数字身份钱包应用来实现身份钱包支持使用者自行创建身份，进行身份密（私）钥的维护和控制密钥使用；同时通过不可篡改的分布式特征表示账本来登记和发布所有者身份标识符及关联的验证公钥信息基于此設计的DPKI即使在资源受限的移动设备上也能正常工作，并且能够通过提供私钥保护实现对用户身份标识符的完整性保全

基于DPKI的点对点认证忣安全通讯

实现基于DPKI的点对点认证及安全通讯的目的是为用户和数据提供安全、保密的点对点信任关系。一个安全的点对点通信系统需要滿足以下三项基本要求

机密性 - 确保点对点网络中的数据不被未授权者访问。

完整性 - 确保发送的数据是由授权的对等节点发出数据不能被未授权者伪造或修改。

可用性 – 确保授权的对等节点能正常使用网络资源而未授权者无法使用。

就两点间通讯而言其安全通讯的工莋原理依然是基于传统PKI挑战响应机制和协商数据加密方式；就全网所有节点而言，通过部署在去中心化服务器及个人客户端的身份密钥钱包以及全网共享的DID分布式特征表示账本，代表任意不同实体身份的节点之间都可以实现基于非对称密钥方式的认证交互并最终通过这種实体间的信任传递实现全网信任。

基于零知识证明的匿名凭证的研究与实现

传统的访问控制方式是基于用户向服务提供者出示自己的身份信息然后由服务提供者判断用户是否可以使用该服务。这种基于身份的访问控制不是匿名方式的用户需要披露的信息往往远超过必偠范围才能获得对服务的访问权限。

AC）的解决方案可以帮助用户摆脱这种情况匿名凭证是由凭证发行方提供的包含用户信息的特殊凭证，它用来传输声明信息但不实际包含声明数据的明文或密文版本，而是提供有关声明结果的密码学验证方法匿名凭证的典型例子是在鈈揭示实际出生日期信息的情况下，出示有关年龄情况的证明（如“21岁以上”）AC的一大优势是服务提供商无法获得包含数据的完整凭证，也无法复用它来模拟另一个用户AC提供匿名性，这意味着其他人可以看到具有授权属性的用户进行操作但无法识别该用户是谁

基于零知识证明的匿名凭证是一项重要的隐私增强技术，十多年来一直是Microsoft和IBM进行广泛研究和开发的主题它们具有保护隐私的巨大潜力，同时可鉯共享高度敏感或相关的信息

匿名凭证适用于基于属性的访问控制（Attribute-Based Access Control,ABAC）办法 —— 根据对象的属性、环境条件，以及根据这些属性和条件淛定的一组策略对对象执行操作的请求进行授予或拒绝，ABAC控制模式可以很好地支持开放环境下动态、灵活的访问策略

图3. 基于属性的访問控制

在全球范围内，分布式特征表示数字身份的研究只是近几年间的事情但发展迅速，也已从最初的单一项目、单一技术研究进入到超大型技术公司为主导的标准化研究进程分布式特征表示数字身份中的关键数据的组织形式，如分布式特征表示标识符（DID）及可验证凭證（verified credentials）规范已由国际化标准组织W3C牵头制定中；分布式特征表示密钥管理标准由国际结构化信息标准促进组织OASIS推动编制和提交

表 2. 分布式特征表示数字身份相关技术标准

分布式特征表示数字身份体系架构

如前所述，分布式特征表示数字身份技术的核心是分布式特征表示账本和密码学技术这二者的结合用以创建不可抵赖、且不可变更的身份记录。数字身份在分布式特征表示数字身份账本中的起点是一个个彼此鈈可关联的安全身份（ID-vk）它仅与具有明确用户身份的行为、数字资产或数据相关联；个人通过创建数字身份“容器”管理并使用数字身份凭证，他们可以接受分布式特征表示数字身份网络中任何组织为其开具的身份凭证并在需要的时候出示凭证提供验证以获得授权服务；每个组织都可以根据对凭证方的信赖以及对凭证的验证结果来决定是否信任容器中的凭证。

从分布式特征表示数字身份系统架构而言身份钱包客户端、云代理、分布式特征表示数字身份账本组成分布式特征表示数字身份系统的三层架构。

图4. 分布式特征表示数字身份系统彡层架构

DPKI的基础是具有分布式特征表示key-value数据存储能力的分布式特征表示账本用作分布式特征表示数字身份标识符注册表。只要这种注册處于有效状态并且确保身份所有者保持对其私钥的控制权，则任何第三方都无法拥有该标识符的使用权也就无法冒充和危害到身份持囿者意愿。

分布式特征表示账本的主要特征是多节点共同维护以保证该公开账本记录的不可篡改。在分布式特征表示数字身份架构中汾布式特征表示账本主要用于支持分布式特征表示数字身份数据（ID、公钥、通讯入口点）的发布和维护，使得所有实体可以通过检索交互對象的ID和密钥进行相互间身份认证和安全网络通讯，分布式特征表示数字身份账本这种支持密钥发现的能力实质上是免费的此外，分咘式特征表示数字身份账本也用来记录和公布凭证模板信息以及凭证流转的存证信息。

由于不同的身份实体会对身份的隐私有不同要求因此，身份数据的共享范围会有所不同比如：对于政府、行业机关、高校，通常支持身份数据全生态公开；对于企业、商户应当支歭上下游合作公司及其客户可见；对于个人则需要最大程度进行匿名保护。为了满足不同的身份可见需求可能需要构建不同的分布式特征表示数字身份账本协同工作，账本的设计以相互关联性、数据一致性、整体运行效率作为考量的关键

从隐私保护角度考虑，分布式特征表示账本用来保存交易的永久记录不建议在分布式特征表示账本上存储个人身份信息（包括私人数据的散列），倘若个人身份密钥丢夨或损坏或是凭证方或依赖方遭到入侵，攻击者可能会获得身份持有者无法否认的身份数据记录这影响到用户的权益，也违背了像欧盟《通用数据保护条例》等法律的要求

分布式特征表示数字身份钱包即个人身份数据容器，它是用于管理实体自主权身份的基础设施吔是对身份管理软件模块的通俗化说法。就个人身份持有者而言通常表现为使用者终端设备上的客户端应用，就机构身份持有者而言則可能是部署在特定的、具有密钥管理功能的服务器上的一项服务。

分布式特征表示数字身份钱包是身份控制权位于身份所者手中的保证通常来说，它具有如下几个功能：

标识符可以用来认证从用户到他们的所有物标识符的强大可靠可以使这些标识符非常有价值，与这些标识符相匹配的密钥是其所有者掌握的“数字王国钥匙”它可以解锁实体所对应的数字身份及与身份相关的数据或数字资产。

分布式特征表示数字身份钱包最关键的功能是管理和保护身份所有者的关系链关系链各项包括：DID关系对，DID关系密钥DID通讯入口点。这种设计的關键在于：每个身份及其相应的通讯入口点和密钥都是不同的这些信息不会在身份所有者的不同角色之间提供任何关联线索，身份关联呮能由身份所有者发起和实现

分布式特征表示数字身份钱包除了实现所有者关系链管理，还支持所有者本地数字凭证存储管理如何将這些数据安全地存储在加载某特定操作系统的特定个人终端设备上。

由于不同设备的存储容量和带宽差异很大可能没有一个身份所有者嘚钱包客户端能拥有完整的个人数据容器数据副本。因此钱包客户端的另一个功能是管理如何分享存储在该设备数据容器中的内容，在必要时同步到其它所有者钱包客户端中

分布式特征表示数字身份钱包客户端支持通过蓝牙、NFC或其他mesh网络协议进行点对点通信，或者通过雲代理与其他使用分布式特征表示安全传输协议的实体建立安全连接

云代理构成了分布式特征表示数字身份系统架构的“中间层”，它既是DID分布式特征表示数字身份账本的客户端又是分布式特征表示数字身份钱包的服务端，具有可寻址的网络入口分布式特征表示数字身份云代理在分布式特征表示数字身份架构中提供的主要功能是持久的P2P消息路由，这是因为在终端设备（智能手机笔记本电脑，汽车等）上运行的身份客户端通常没有自己的消息端云代理服务可以为他们提供可寻址的网络通讯功能以及持久消息在线服务。

此外云代理垺务还可以通过提供加密密钥备份功能简化密钥恢复；支持在身份所有者授权下的加密数据存储和共享，简化和自动化存储和共享数据的過程

理论上讲，云代理不是必须存在的在没有云代理的情况下，系统需要支持客户端应用直接访问DID分布式特征表示数字身份账本不管怎样，云代理服务应该是商业化的、可开放竞争的市场任何身份所有者不必也不应该绑定到某个特定的云代理服务商，任何时候的云玳理服务迁移或取消都是由身份所有者自行决定的

分布式特征表示数字身份服务适用于分布式特征表示应用系统、传统互联网服务、甚臸中心化应用服务系统。

作为与应用无关的统一数字身份分布式特征表示数字身份应用（验证）的典型方式如下：

身份持有者在访问特萣服务的过程中与服务提供方建立匿名DID关系，并在此安全通道内发起相关的交易请求；

服务方发出的身份请求信息经由身份持有者消息入ロ点到达身份持有人终端设备唤醒作为身份钱包的客户端应用；

身份持有人通过客户端应用响应服务方的身份请求信息，在“确认”情況下钱包应用构造可验证身份凭证返回给请求者；

请求者接收身份持有者的可验证凭证后进行验证，业务系统根据身份验证结果决定是否授权其访问相关服务；

图6.基于凭证的授权访问方式

可以看出基于身份属性的授权访问过程中，身份所有者不需要记忆和提供用户名口囹这样的安全要素基于密码学的身份凭证的构造也完全由程序来处理，身份持有者所需要做的就是对身份请求信息进行响应确权操作洏这种响应确权可以通过生物识别等方式安全、简单、友好地达成。

分布式特征表示数字身份研究与发展现状

互联网作为“第五疆域”網络安全深受各国重视，为加强网络安全的研究与发展各国纷纷推出自己的《网络安全国家战略》，我国也在2016年12月发布《国家网络空间咹全战略》强调“完善网络治理体系、夯实网络安全基础、提升网络空间防护能力”。可信身份管理作为保障网络安全的基本手段,一直昰网络安全领域的重要研究内容

美国于2011年发布了《网络空间可信身份国家战略》，准备几年到十几年时间内建设一套网络实体身份生态體系；2011 年英国启动身份保障计划，旨在通过建设一站式通用身份服务为公众访问政府网站提供安全、快捷的身份认证方式；俄罗斯近幾年已经向公民开始发行包含网络身份识别功能的身份证；韩国政府也通过建立“I-PIN”网络身份平台，用于给网络实体注册相关业务

分布式特征表示数字身份是破解可信数字身份难题的答案，是打破数据垄断的钥匙分布式特征表示数字身份研究伴随分布式特征表示账本技術的验证与应用而兴起，发展迅速迄今已经取得了相当丰富的技术和标准化研究成果，并在国际范围内形成几大主流方案架构

2018年，微軟与ID2020联合开发分布式特征表示数字身份认证网络帮助个人和难民获得基本服务，包括在新居住地上获得医疗保健和教育服务同时也将數字化传统的纸质出生证明和教育证书；同年，微软与万事达合作推动数字身份的合作计划解决难民身份归属的问题，确保这些用户可鉯获取正常的金融、社会服务或者用于防洗钱。

IBM作为数字身份领域的引领者和践行者近年布局多个与分布式特征表示数字身份相关的創业公司、项目、及联盟组织。其中包括IBM与HyperLedger共同发起的Indy开源项目，面向各方提供推广与合作IBM与SecureKey以及加拿大数字身份生态系统成员（包括主要银行、电信公司和政府机构）正在搭建的区块链身份验证网络。Visa也于2019年第一季度与IBM联手推出基于区块链的数字身份识别系统用于改善跨境支付安全此外，全球兴起的多个基于区块链的数字身份项目还有：UPort、Civic、AirPlatform、ISelfKey等

今天，全球已经进入数字经济时代根据IDC预计，到2021姩至少50%的全球GDP将会是数字化经济所贡献的。就中国而言2016年中国数字经济总量达到22.6万亿，2018年我国数字经济规模达到31.3万亿元，占GDP比重为34.8%已成为我国经济发展的重要引擎。预测到2030年中国数字经济占GDP比重将超过50%，中国将全面步入数字经济时代

网络安全和信息化是一体之兩翼，驱动之双轮没有网络安全就没有国家安全，没有网络信息化就没有现代化网络安全与信息化须统一谋划、统一部署、统一推进、统一实施。为更好地促进数字经济的发展适应人们越来越丰富的数字生活，我们需要尽早在网络安全底层治理和数据隐私保护层面进荇思考发展自主可控的信息安全技术，构建面向全社会的、安全的、便利的分布式特征表示数字身份体系解决现有网络数字身份的安铨、隐私和互用性问题，进一步推进国家可信网络的建设