近日，“海峡链”的账户系统设计标准SCID符合W3C[1] 去中心化标识符工作组发布的 Decentralized Identifiers (DIDs) v1.0 正式推荐标准的规范要求，已收录于W3C的《The interoperability registry for Decentralized Identifiers》标准表中。

（图1：《去中心化标识符的互操作性注册表》，此表总结了当前各主流机构正在开发的DID方法规范）

并且，scid DID Method已被添加到W3C的did-spec-registries代码库中。

（图2：scid DID Method被添加到W3C的did-spec-registries代码库）

W3C 发布 DID 1.0 正式推荐标准

2022年7月19日，W3C 去中心化标识符工作组发布 Decentralized Identifiers (DIDs) v1.0 正式推荐标准。该规范定义了去中心化标识符 (DIDs)，这是一种新型标识符，支持可验证的、去中心化的数字身份。一个 DID 可以标识由 DID 控制者决定的任何主题（例如个人、组织、事物、数据模型、抽象实体等）。与典型的联合标识符相比，DIDs 的设计使其分离于集中式注册表、身份提供者以及证书颁发机构。DIDs 是将 DID 主题与 DID 文档相关联的 URIs，允许与该主题相关联的可信交互。每个 DID 文档都可以表达加密材料、验证方法或服务，提供了一组让 DID 控制者能够证明对 DID 控制的机制。

传统的身份验证方式通常需要用户向一个中心机构（如银行或政府机构）提供个人信息，然后该机构会分配一个身份标识给用户。这种方式存在一些问题，例如用户个人信息的数据中心化，导致它们易受到黑客攻击和数据泄露的风险。出于对传统中心化身份体系的担忧，最具影响力的国际互联网技术标准机构” 万维网联盟“（W3C）牵头制定了DIDs。DIDs是一种新型的数字身份解决方案，旨在用来替代传统的中心化身份验证方法。

根据定义DIDs须包含DID Scheme、DID Method、DID Method Specific String三个部分，其中DID Scheme为DIDs的通用格式，针对不同方法定义了不同的格式；DID Method表示该DID Scheme是以何种方式运行在区块链或网络上；DID Method Specific String是由DID Method所产生出的识别符号，在所产生的集合中不与其他识别符号重复。

（图3：scid DID的示例）

DIDs的架构可以被想成是一个全球性的key-value资料库，每个key会对应到一笔资料，而这些资料被称为DID document，其中包含了证明身份的相关信息，像是公钥、生物识别码等不同属性的资料，同时可以证明DIDs与其拥有者的关联。DID document是基于图形化结构的资料，常使用 JSON-LD的格式进行储存，当中可包含DID本身、加密资讯、加密协定、服务终端、时间戳记、JSON-LD签章等信息。

（图4：SCID的DID document示例，图片来源：github.com/StraitsChai…

DID 提供了一种新的身份验证方式，它是去中心化的，意味着用户可以在不需要向任何机构提供个人信息的情况下自己生成和管理自己的身份标识。DID 通过一个可信的存储层（如区块链）来确保用户身份的可信度，并通过一个独立的解析层来确保用户身份的独立性。这种方式不仅可以解决传统身份验证方式的安全性问题，而且还能保障用户隐私，因为用户的身份信息存储在用户控制的存储层中，而非中心化的数据库中。

SCID符合DIDs标准的一种新型的数字身份解决方案

“海峡链”基于DIDs标准，采用Lindell [1] 协议，设计了一套半托管的去中心化账户体系，旨在让海峡链用户在Web3或元宇宙世界中能够拥有如同在Web2网络中一样流畅的体验，并享有数据所有权和隐私安全保护，支持可验证、去中心化的数字身份。

（图5：海峡链去中心化账户整体设计方案示意图）

**StraitsChain Identity(SCID)基于区块链，为跨系统和跨组织的可信数字身份和数据交换服务提供基础设施。**SCID允许用户为人、企业、设备和数字对象提供分布式身份，构建一个分布式，数据安全的、隐私保护的身份系统，解决人、企业、设备、数字对象之间的可信链接。SCID 是海峡链去中心化账户体系设计中的核心主体，用于统一管理海峡链用户链上账户及用户数据。

“海峡链”采用基于安全多方计算（MPC）的密钥管理方案

“海峡链”去中心化账户的另一个重要基础功能就是密钥管理。密钥管理是一个正在变得越来越重要的概念，已经成为区块链领域重要的基础设施。当链上资产更多地被交易和使用，加密不再只涉及安全存储，它还包括在新经济中使用资产。但是，不断增加的攻击面和漏洞，再加上日益丰富的功能，使得钱包需要既能够抵御攻击，同时又能支持日常业务和个人使用。

随着去中心化世界的发展，用户使用加密账户的频率愈发频繁，而以MetaMask等为代表的非托管式钱包，因使用便捷、易用而逐渐的普及。但我们同样看到，这类**非托管式热钱包，从密钥生成（创建加密密钥）、密钥存储（保护静态的密钥）以及密钥使用（与各类应用交互使用密钥授权）等方面，都存在风险点。**尤其是当用户访问一些具备风险的网站，或者通过热钱包与一些存在风险的合约进行交互时，极易发生资产安全隐患。

从根源上看，目前，加密账户由单一私钥来决定账户的控制权（经过十几年的发展，加密账户的基本形态并未发生根本变化），虽然这看起来符合去中心化的意识形态，但这确实是其在安全性上存在的一个机制缺陷，即私钥的丢失与泄露，都会造成不可逆的资产损失。而且私钥和助记词的体系与传统互联网的用户名 - 密码体系相比复杂了很多。据 Chainalysis 的研究报告显示，截至 2021 年约有 20% 流通中的比特币，因所有者不记得私钥而丢失。总而言之，这样的方式既不安全，也不友好，更难以满足诸多应用场景的需求。

针对于加密账户现存的各项痛点问题，“海峡链”去中心化账户体系采用了基于 MPC（Multi-Party Computation 安全多方计算）的密钥管理方案。

MPC 是一种重要的加密安全措施。**MPC 密钥管理的核心思路为分散控制权以达到分散风险或提高备灾的目的，有效避免了单点失败等安全问题。MPC 密钥管理，通过对私钥进行多方计算在链下实现“多签”、“跨链”等更复杂的验证方式。**简单来说，就是将一个私钥分成多片，将私钥分片交与一个去中心化的网络进行计算和加密。当需要私钥签名时，则将碎片再拼接起来形成一个完整的私钥。由于生成签名的逻辑是放在 MPC 里实现的，出来的是一个标准的签名，内部使用什么算法来生成签名外界是不知道的。因此，把签名结果放到链上去，别人分不清它后面是一个人签的还是多个人签的，因为它的形态、样子就是一个签名，和直接用私钥签出来是一模一样的。

MPC 密钥管理主要是用于产生一个签名，它与合约模块是完全解耦的，不需要去适配合约和链系统，合约是怎么写的、链是怎么样的，它完全不在乎。它只依赖于签名算法，只要签名算法是链系统支持的，它就能很好地接入，所以兼容算法就能兼容很多链。基于 MPC 的密钥管理能做到对多链友好，这是它的一大优势。

另外一个优势就是MPC签名是链下产生，因此更加安全，它避免了合约被黑客攻击的风险，而且设计策略可以更加灵活，因为除了验签外的大部分流程都搬到链下了，使用方可以根据场景，制定自己的私钥分片管理策略。

MPC密钥管理方案的优势总结：

• 私钥链下多方分片加密掌管，防止单点隐患；
• 通过在链下基于算法产生签名后，并不通过智能合约安全性更高，且无需对区块链底层进行适配（具备广泛性）；
• 不暴露签名关系；
• 设计策略可以更加灵活（大部分流程都在链下）使用方可以根据场景，制定自己的碎片管理策略；
• 可以在保持接收地址保持不变的情况下，轻松更改 Key Shares 的数量（MPC内部不断的刷新即可），以进一步提高安全门槛，降低安全隐患；
• 在物理层面直接从系统里剥离了密钥，整个密钥管理的生命周期里，真正的私钥从来没有出现过（MPC钱包通常在用户端“不产生”私钥）；
• 基于MPC，钱包产品有望获得Web2产品的优质体验。

我们看到，基于 MPC 的密钥管理方案，更具广泛性、安全性与灵活性。因此，“海峡链”去中心化账户体系采用了基于MPC的密钥管理方案。

安全高效的两方协同ECDSA签名方案

在“海峡链”去中心化账户系统中设计了一种安全高效的两方协同ECDSA签名方案，此方案是基于两方 MPC-ECDSA 协议来构建，核心算法采用了Lindell [1] 协议（由Lindell 提出的两方 ECDSA 协议《Fast Secure Two-Party ECDSA Signing》）。

ECDSA（Elliptic Curve Digital Signature Algorithm）是一种数字签名算法，它使用椭圆曲线密码学来生成和验证签名。ECDSA允许两个用户通过数字签名来确认双方同意一项交易，同时又保证交易内容不被篡改。

Two-Party Sign顾名思义是两方签名，Party1和Party2分别为签名的双方。从图5-海峡链去中心化账户整体设计方案示意图中可以看出，用户持有Party1私钥，钱包托管平台或监管平台持有Party2私钥。当用户需要进行一笔链上交易时，需要Party1私钥和Party2私钥在链下各自进行Two-Party Sign，再生成一份完整的签名，上传到链上进行确认，最终完成交易，这避免签名关系的暴露，提高了交易的安全性。当用户持有的Party1私钥泄露时，用户可以向钱包托管平台或监管平台申请将Party2私钥冻结，防止单点风险，保障用户的数据安全。

海峡链基于SCID打通第三方平台账户和数据

目前，海峡链已经同多个平台合作，采用SCID进行账户和数据的打通，包括十一维度、数藏宝、易术派等多家元宇宙及数字藏品平台，为未来各个平台，各个平行元宇宙的用户协同、数据协同，打造更加丰富的互联互通的应用场景，提供了技术基础。

“海峡链” 是全国首创为加强和推进海峡两岸及全球经贸文化交流，服务于全球企业和开发者的区块链底层基础设施，由中国工合国际委员会指导建设并携手中国技术市场协会国际科技合作委员会、北京培黎职业学院、法中交流促进会、福建省区块链协会等众多权威机构与单位联合发起，由熵链科技（厦门）提供技术运营支持，建设新一代区块链底层技术服务平台。

“海峡链” 作为区块链底层基础设施和技术提供商，始终坚持区块链及元宇宙等新兴技术与实体相结合，赋能实体经济和数字经济的发展，进一步激发技术的潜能，成为实体经济和数字经济中不可或缺的一环。“海峡链”将继续研究底层技术及区块链应用场景标准协议，为海峡链开发者和合作伙伴提供更加完善的区块链技术服务，不断丰富“海峡链”在实体经济和数字经济的应用场景，为中国区块链的应用落地贡献力量。

附注：

[1] W3C 正式推荐标准（W3C Recommendation）是基于广泛共识且获得 W3C 及其会员一致认可的技术规范，是 W3C 推荐广泛部署的 Web 标准，并依据《W3C 免版税专利政策》免费开放给公众使用。

参考文献：

1. www.theblockbeats.info/news/32272

2. www.chaincatcher.com/article/208…

3. mp.weixin.qq.com/s/ZbOl5qgeW…

4. www.infocomm-journal.com/txxb/CN/10.…