Sovrin 白皮书：第二部分 - 解决方案

使用区块链技术，我们最终能够解决这个问题

一个公共的区块链是一个去中心化的 root of trust，它不属于任何人，但是任何人都可以使用

区块链技术从头改变了中心化的 root of trust 模型。它使用一种 共识算法 在一个去中心化的网络中的不同的机器上运行并且被不同的实体（entities）来复制，而这些并不依赖于 CAs，联盟或者政府来作为一个加密的 root of trust。比特币网络通过运行 8 年多而没有出过问题证实了这个模型。

区块链将对于人类的信任转化为对于数学计算的信任

不管他们特殊的设计，所有的区块链都是在展示一种加密的三重运算：

1. 区块链中的每笔交易（transaction）都被交易的发起者进行了数字签名（digitally signed）
2. 每一笔交易 - 单独的或是被打包在块中的 - 都和前一笔交易通过一个数字哈希值 digital hash 链在一起（chained）
3. 经过验证的交易（Validated transactions）通过一种共识算法（consensus algorithm）被 复制 到网络中的所有机器上

这么做的结果便是生成了一个包含有不可篡改记录的加密账本，这让修改之前的交易或者恶意控制未来的交易变得非常困难，甚至基本是不可能的。

所以区块链是一个理想的作为一个去中心化的自我服务的公钥注册的服务

因为区块链中存储的每笔交易都有一个需要私钥的数字签名，这也是一个很明显的选择使用区块链本身来存储对应的公钥 - 或者任何其他的加密密钥，这些密钥都是可以被密所有者用来证明他们的所有权的。这个是从中心化的 PKI 转移到 去中心化的 PKI（decentralized PKI, DPKI）的核心想法。

事实上，使用区块链技术，每个公钥现在都可以拥有一个自己的地址

这个地址被称为去中心化的身份标识（Decentralized identifier, DID） - 来自于 W3C 的另外一个标准

DIDs 为个人和组织提供了一中标准的方式来创建永久的、全球唯一的、加密过的可验证身份信息，这个身份信息是完全由身份信息的所有者所掌控的。不同于域名、IP 地址或者电话号码，一个 DID 并不是从任何的服务供应商那里租用来的，并且没有人能够将它从拥有或者管控着相关私钥的人那里带走。

DIDs 是第一个无需注册机构的全球唯一的可验证身份信息

一个 DID 是存储在区块链上的，并且还带有一个 DID 文档，这个文档中包含有关于这个 DID 的公钥，身份信息所有者想要公开的任何公共的凭证，和能够跟这个身份信息进行交互的网络地址。身份信息的所有者通过管控相关的私钥来管控这些 DID 的文档。

因为 DID 是一个公开的标准，任何的区块链都可以创建一个 DID 方法 来定义 DIDs 在该区块链上是如何被注册（写入）和处理（读取）的。并且由于对 DID 的控制是完全要使用加密技术的 - 需要在注册这个 DID 的区块链中对交易进行数字签名 - 注册 DID 不需要任何的中心化的机构组织，也不需要任何的中心化的机构组织来追踪和管理 DIDs。

DIDs 使真正的自我主权的身份信息（self-sovereign identity）成为可能，这对于任何的个人、组织或者事物都是便携的数字身份信息，并且永远不会被消除

DIDs 对于数字身份是一次巨大的变化。这在历史中是第一次，一个身份信息的所有者不再需要依赖于一个外部的提供商来获得一个在互联网上可以查询和使用的永久且唯一的身份信息。并且基于正确的区块链经济，DIDs 可以很便宜，所以人们可以生成他们需要数量的 DIDs 来保护他们的隐私。最后也是最重要的一点，每一个能够访问互联网的个人和组织都能够有一种方式来证明他们对于某个公钥的所有权，这让他们的 claims 能够被验证成为了可能。

通过一个 DIDs 的公共的区块链，任何人都可以颁发一个经过数字签名的凭证，并且任何其他的人都可以验证它

最终我们能够使用跟离线模式相同的流程来在线进行身份信息的验证

因为每个 DID 都有一个相关联的公钥私钥对（public-private key pair），每一个拥有 DID 的人应该都能够数字化地颁发可验证的 claims 和其他的文档并为其提供签名。作为拥有颁发者的 DID 的验证者（通常这个 DID 会包含在凭证中），它能够很容易地在区块链中查找颁发者的公钥并确认 claims 上的签名。这个过程太直接了，它应该成为使用数字凭证的软件的一个默认的行为。

数字凭证的颁发者和验证者应该不需要再形成身份信息联盟（identity federation）了

DID 的特殊性确保了无论在哪里进行颁发和确认都可以在一个公共的区块链上查询必要的公钥，不管他们是否属于相同的组织或者身份信息联盟（identity federation）。这个从没有连接的每个带有它自己的 PKI 的 “身份信息孤岛” 到一个基于去中心化 PKI （decentralized PKI, DPKI）的全球身份信息网络的演进 - 同之前发生的从 “网络的孤岛” （本地区域网络）到一个全球的互联网的演进是相同的。

最终，我们可以从依赖于中心化的 CAs 转移到一个更有弹性的、去中心化的 web of trust 模型。