2. 术语
本节为非规范性内容。
本节定义了本标准和整个去中心化标识符基础中使用的术语。只要这些术语在本标准中出现,就会提供相关链接。
放大攻击(amplification attack)
一类攻击,攻击者通过向系统提供少量有效输入,试图耗尽目标系统的 CPU、存储、网络或其他资源,从而造成破坏性影响,其处理成本可能以指数形式超过输入本身。
验证(authenticate)
身份验证是一个实体使用一种或多种验证方法证明其拥有特定属性或控制特定秘密的过程。就 DID 而言,一个常见的例子是证明与 DID 文档中公布的公钥相关的加密私钥的控制权。
加密套件(cryptographic suite)
为实现特定安全目标而定义特定加密原语用法的标准。这些文件通常用于指定验证方法、数字签名类型、其标识符和其他相关属性。
去中心化识符(decentralized identifier (DID))
全球唯一永久的标识符,不需要中央注册机构,通常以加密方式生成和/或注册。3.1 DID 语法中定义了 DID 的通用格式。具体的 DID 方案在 DID 方法标准中定义。许多——但并非所有——DID 方法都使用分布式账本技术(DLT)或其他形式的去中心化网络。
去中心化身份管理(decentralized identity management)
基于使用去中心化标识符为的身份管理。将生成、注册和分配标识符的权力扩展到传统的信任根基之外,如 X.500 目录服务、域名系统和大多数国家的身份证系统。
DID 控制者(DID controller)
具有能力更改 DID 文档的实体。一个 DID 可能有不止一个 DID 控制器。DID 控制器可通过 DID 文档顶层的可选控制器属性表示。请注意,DID 控制器可能就是 DID 主题。
DID 委托人(DID delegate)
DID 控制员通过 DID 文档授权使用与 DID 相关的验证方法的实体。例如,控制孩子 DID 文档的家长可能允许孩子使用个人设备进行身份验证。在这种情况下,孩子就是 DID 委托人。孩子的个人设备包含私人加密材料,使孩子能够使用 DID 进行身份验证。不过,未经父母允许,孩子可能不得添加其他个人设备。
DID 文档(DID document)
描述 DID 主题的一组数据。其包括 DID 主题或 DID 委托人可用于验证自身身份并证明与 DID 关联的机制(如加密公钥)。一个 DID 文档可能有一个或多个不同的表示法,如 6.表示法或 W3C 文件中的定义。表示法或 W3C DID 标准注册表 [DID-SPEC-REGISTRIES] 中定义的一种或多种不同表示法。
DID 片段(DID fragment)
DID URL 中第一个散列符号字符 (#) 之后的部分。DID 片段语法与 URI 片段语法相同。
DID 方法(DID method)
特定 DID 方法方案实现方式的定义。DID 方法由 DID 方法标准规定,该标准规定了创建、解析、更新和停用 DID 和 DID 文档的详细操作。请参阅 8.方法 。
DID 路径(DID path)
DID URL 中以第一个正斜线 (/) 字符开头并包含该字符的部分,以问号 (?)、片段哈希符号 (#) 字符或 DID URL 结尾结束。DID 路径语法与 URI 路径语法相同。请参阅路径。
DID 查询(DID query)
DID URL 中第一个问号字符 (?) 之后的部分。DID 查询语法与 URI 查询语法相同。请参阅查询。
DID 解析(DID resolution)
将 DID 和一组解析选项作为输入,并以符合要求的表示形式返回 DID 文档和附加元数据的过程。该流程依赖于适用 DID 方法的 “读取 ”操作。该流程的输入和输出在 7.1 DID 解析中定义。
DID 解析器(DID resolver)
DID 解析器是执行 DID 解析功能的软件和/或硬件组件,它将 DID 作为输入,并将符合要求的 DID 文档作为输出。
DID 方案(DID scheme)
去中心化标识符的正式语法。通用 DID 方案以 3.1 DID 语法中定义的前缀 did: 开始。每个 DID 方法标准都定义了与特定 DID 方法配合使用的特定 DID 方法方案。在特定 DID 方法方案中,DID 方法名称以第一个冒号开头,以第二个冒号结尾,如 did:example:
DID 主题(DID subject)
由 DID 认证并由 DID 文档描述的实体。任何东西都可以成为 DID 主题:人、群体、组织、客观事物、数字事物、主观事物。
DID URL
DID 加上符合 3.2 DID URL 语法定义的任何附加语法组件。这包括可选的 DID 路径(带前导 / 字符)、可选的 DID 查询(带前导 ? 字符)和可选的 DID 片段(带前导 # 字符)。
DID URL 解引用(DID URL dereferencing)
将一个 DID URL 和一组输入元数据作为输入,并返回一个资源的过程。该资源可能是 DID 文档加上附加元数据,也可能是 DID 文档中包含的二级资源,还可能是与 DID 文档无关的资源。该流程使用 DID 解析来获取 DID URL 中包含的 DID 所指示的 DID 文档。解引用流程可对 DID 文档处理,以返回 DID URL 所指的解引用资源。该流程的输入和输出在 7.2 DID URL 解引用中定义。
DID URL 解引用器(DID URL dereferencer)
对给定 DID URL 或 DID 文档执行 DID URL 解引用功能的软件和/或硬件系统。
分布式账本(distributed ledger (DLT))
用于记录事件的非集中式系统。这些系统为参与者建立了足够的信任,使其能够依赖他人记录的数据做出操作决策。它们通常使用分布式数据库,不同节点使用共识协议确认加密签名交易的排序。经过数字签名的交易随着时间的推移被连接起来,这通常会使账本的历史不可更改。
公钥描述(public key description)
包含在 DID 文档中的数据对象,其中包含使用公钥或验证密钥所需的所有元数据。
资源(resource)
由 [RFC3986] 定义: “…术语’资源’用于一般意义上的任何可由 URI 标识的内容”。同样,任何资源都可以作为由 DID 标识的 DID 主题。
表示法(representation)
正如 [RFC7231] 为 HTTP 所定义: “旨在反映指定资源的过去、当前或期望状态的信息,其格式可通过协议轻松通信,由一组表示元数据和可能无限制的表示数据流组成”。DID 文档是描述 DID 主题的信息表征。见 6. 表示。
特殊表征条目(representation-specific entries)
DID 文档中的条目,其含义是特定表示法所特有的。在 4. 数据模型》和《6. 表示法中定义。例如,JSON-LD 表示法中的 @context 就是特定于表示法的条目。
服务(services)
通过一个或多个服务端点与 DID 主题或相关实体进行通信或交互的方式。例如,发现服务、代理服务、社交网络服务、文件存储服务和可验证凭证存储库服务。
服务端点(service endpoint)
一个服务代表 DID 主题运行的网络地址,如 HTTP URL。
统一资源标识符(Uniform Resource Identifier (URI))
由 [RFC3986] 定义的万维网上所有资源的标准标识符格式。DID 是 URI 方案的一种。
可验证凭证(verifiable credential)
W3C 可验证凭证规范 [VC-DATA-MODEL] 所定义的加密可验证数字凭证的标准数据模型和表示格式。
可验证数据注册中心(verifiable data registry)
一种便于创建、验证、更新和/或停用去中心化标识符和 DID 文档的系统。可验证数据注册中心也可用于其他加密可验证数据结构,如可验证凭证。更多信息,请参阅 W3C 可验证凭证规范 [VC-DATA-MODEL]。
可验证时间戳(verifiable timestamp)
可验证时间戳可让第三方验证数据对象在某一特定时刻是否存,以及自该时刻起是否被修改或损坏。如果数据完整性从该时刻起已被修改或损坏,则时间戳无法验证。
验证方法(verification method)
一组参数,可与流程一起用于独立验证证明。例如,加密公共密钥可用作数字签名的验证方法;在这种用法中,它可以验证签名者是否拥有相关的加密密钥。
本定义中的 "验证 "和 "证明 "意在广泛适用。例如,在 Diffie-Hellman 密钥交换过程中,可以使用加密公开密钥来协商加密共享对称密钥。这保证了密钥协议过程的完整性。因此,这也是另一种验证方法,尽管对这一过程的描述可能不会使用 "验证 "或 "证明 "等词。
验证关系(verification relationship)
DID 主题与验证方法之间关系的表述。5.3.1 验证就是验证关系的一个例子。
**全球唯一标识符 **(Universally Unique Identifier (UUID))
由 [RFC4122] 定义的一种全球唯一标识符。UUID 与 DID 类似,都不需要集中注册机构。UUID 与 DID 的不同之处在于它们不可解析或不可加密验证。
除上述术语外,本标准还使用 [INFRA] 规范中的术语来正式定义数据模型。当使用 [INFRA] 术语(如字符串、集合和映射)时,会直接链接到该标准。