了解处于基础位置的计算层后，我们继续按照分层的思路往上走，来了解Web3.0的身份层和激励层。

在现实世界里，身份指的是一个人的出身和社会地位，也就是这个人和其他人互动的载体。而在Web3.0中，身份指的是一个用户参与各种活动的具体载体，也就是账户。

而不论是在现实世界还是在Web3.0中，激励都指的是通过制度设计对组织或个人行为进行引导。站在Web3.0生态的角度来看，各种去中心化应用的功能千差万别，但是每一个应用都离不开账户和经济激励机制。

接下来，我们先来看看身份在Web3.0中具体是如何发挥作用的。

一、身份的识别：DIDs

在去中心化的网络环境里，每位用户都需要一个独立的身份，所谓独立的身份就是一个不依赖第三方机构证明就可以把自己与他人区分开来的身份。这个身份不是指现实世界的身份证，因为身份证是政府机构给个体开的介绍信，所以身份证只在一定范围内有效，比如在某国境内。

这个身份也不是指在各个互联网平台或者社交媒体上注册的账号，因为该账号依赖互联网平台的认可而存在。此外，由于同一个用户需要在不同的互联网平台上重复进行注册和认证，这对于用户来说不但操作起来非常繁琐，而且存在极大的信息泄露风险，因此用户需要一个通用的且独立于使用平台的个人身份，以及对身份进行验证和授权的工具与能够反映更多身份信息的附属工具，而这个身份就是DIDs（Decentralized Identifiers，去中心化身份证明）。对于链上应用来说，DIDs还有一个非常现实的功能，即实现“一人多账户”的整合，这可以防止有人通过开设大量账户对区块链共识机制发起“女巫攻击”。

根据国际网络联盟（World Wide Web Consortium，以下简称W3C）下的定义，DIDs是一种用于验证去中心化数字身份的新型标识符，旨在使DIDs的控制器能够证明对它的控制，而这可以独立于任何集中注册表、身份提供者或证书认证机构而实施。2022年7月19日，W3C分布式标识工作组编制的DIDs规范1.0正式成为W3C推荐标准，这使得DIDs在国际技术标准方面获得与HTTP和CSS（层叠样式表）同等的基础性地位，同时预示着DIDs将对推动Web3.0的发展发挥更加直接的作用。

DIDs由基础层和应用层组成，其中，基础层包括DID标识符和DID文档。DID标识符是一套对DIDs进行辨识的标准表达形式，包括标识方法和标识内容两部分，截至2022年6月底已经有大约100种标识方法完成注册，微软、IBM以及腾讯等机构都对旗下相关标识方法进行了注册，以太坊等公链也是标识方法的一种。DID文档则对如何使用特定DIDs进行简单说明。DIDs基础层是DIDs的主体，但对个人的相关信息并没有具体说明，所以账户需要通过应用层来补充DIDs的具体内容。

DIDs的应用层主要由DID Resolver（DID解析器）和VC（Verifiable Credential，可验证申明）组成。DID Resolver主要负责通过DID标识符获取DID文档；而VC是由发行者如政府、银行、大学等机构和组织开具，由标识符注册机构如区块链、可信数据库、分布式账本等进行注册，由用户持有，并由验证者验证的数据使用授权书。简单地说，VC就是发行者对关于证明个人身份或者经历的文件进行加密，并在区块链或其他类型的分布式账本中注册，而当用户需要使用这份证明的时候，他可以通过专业的验证机构对发行机构的加密信息进行验证。由于发行机构掌握着非公开的私钥，所以一旦加密信息经过第三方认证即可使得VC成为可信文件。从技术原理来说，VC就是非对称加密技术在文件管理系统中的应用。

通过以上内容可知，DIDs是一个借助技术手段实现现实世界和虚拟世界衔接的综合性系统，同时需要借助不同参与主体的协同作用来实现系统的目标。据Amber Group提出的DIDs生态架构可知，（下图所示）DIDs生态系统主要包括四个层面，其中，标准层处于最基础的位置。W3C和DIF（Decentralized Identity Foundation，全球去中心化身份联盟）等国际性组织作为全球范围内技术标准的制定者和推动者，主要负责DIDs相关标准的制定，并推动DIDs和其他相关标准进行对接以实现融合，同时为各种技术的研发提供基本框架。从标准层往上。

第二层是基础设施层，包括为DIDs识别和验证提供服务的各类机构和项目，比如以太坊、Hyperledger等区块链，专注于DIDs集成的Ontology，以及基于区块链提供域名服务的ENS等。此外，VC的发行、验证以及数据存储等功能主要通过基础设施层实现。

第三层是集成层，其通过各种技术手段实现链下身份认证、链上身份聚合以及链上行为证明等，将链下和链上数据集成为DIDs标识符和标识文件。

第四层是应用层，主要功能是基于DIDs开发各种应用，比如信用评分、贷款、社交、门控、DAO和捐赠等。所以，DIDs构成了衔接现实世界和虚拟世界的一座桥梁，成为用户群体从现实世界向虚拟世界迁移的一个主要入口，而围绕这个入口进行各种Web3.0应用的开发将为用户带来较大的便利。

Amber Group提出的DIDs生态架构

在众多大型科技公司中，微软对DIDs的重视程度尤为突出。早在2018年，微软就宣布将DIDs作为公司区块链业务的切入点；2019年5月13日，微软发布了ION（Identity Overlay Network，身份覆盖网络）测试版，任何人都可以通过ION创建自己的DIDs。为了加强技术协调，微软加入了DIF，并和同属DIF的Consensys、Transmute等机构合作开发了支持规模化创建DIDs的协议，ION即基于该协议开发完成。微软为什么对DIDs如此热情呢？在其撰写的《去中心化身份》(Decentralized Identity)一书中，微软坦言其开发DIDs的首要目标就是将其应用于微软云计算平台，并将其打造成所有云计算用户的统一身份标识，基于DIDs为用户提供数据授权的功能。

二、身份的具象表达和应用

基于DIDs的整体架构，目前已经有多个团队在这个领域展开探索。对应DIDs生态架构的具体环节，探索过程总体上还是按照建立个人身份的基本流程展开的，从个人标识到数据聚合，再到基于DIDs开发各种应用。

（一）基础设施

基础设施类项目的主要功能在于为建立个人标识和实现数据聚合提供解决方案，其中，Hyperledger基金会推出的Sovrin协议和互联网公司Circle推出的Verite项目为DIDs提供整体性解决方案，Ontology基于自有公链在信用、身份、钱包、借贷和数据五个领域分别推出OScore、ONT ID、ONTO、Wing和SAGA五个生态项目，吸引了28万用户注册。另外，还有将原生的账户信息和个人信息关联的域名类项目，比如以太坊域名管理系统ENS、Polygon链上的域名管理系统Unstoppable Domains以及IC生态的Identity Labs。

案例

1.Sovrin(https://www.hyperledger.org/use/hyperledger-indy)

Sovrin是一个协议而不是一个具体的产品，该协议为建立DIDs定义了一个分层的、解耦合的和模块化的模型，厂商和开发团队都可以基于该模型进行开发，从而构建定制化DIDs的解决方案。

为了实现上述功能，Sovrin团队建立了一条专用链SovrinLedger，并设有节点、协议和治理架构。Sovrin不仅支持DIDs，还支持VC的发行和验证，由于其可以用同一个架构支持多种DIDs的搭建，因此Sovrin还支持不同DIDs进行相互认证和通信。此外，用户使用基于Sovrin发行的VC需要签名，即VC的使用需要得到用户的授权，这使得用户拥有对VC的绝对控制权。

Sovrin源于Hyperledger项目，而Hyperledger则属于以支持开源技术为主旨的Linux基金会。

2.ENS(https://ens.domains)

ENS是以太坊生态中的域名服务系统，其定位可对标Web2.0中的DNS（Domine Name System，域名系统）。ENS可将账户地址和.eth的域名进行绑定，用户基于ENS可以直接查看账户余额或者进行转账。自2022年以来，ENS已经支持了比特币和ETH等上千种数字资产的转账。

ENS不但和DNS功能比较类似，而且和DNS实现了兼容，所有DNS的域名（比如.com和.org等）都可以整合到ENS中，用户也可以基于ENS的域名直接向整合后的网站进行捐赠。相对于DNS，ENS的最大特点就是用户自己拥有域名，而ENS无权撤销任何域名。

ENS可以和各种钱包、去中心化应用集成，比如ENS可以和去中心化存储IPFS集成，还可以将文件存储到IPFS系统中，从而构建分层的去中心化网络。此外，在Web3.0中，域名的服务范围已经不再局限于网站，而是包括个人账户，这一变化使得人们对域名的需求大大增加。

3.POAP(https://poap.delivery)

POAP（Proof of Attendance Protocol，出勤证明协议）是一种按照ERC-721标准发行的NFT，其主要用途在于创造一种不可伪造的活动参与记录，用户可以通过钱包账户对外展示它。

POAP的适用范围非常广泛，用户可以通过一场AMA、一次空投、一次产品体验、一次社区投票甚至一次生日聚会发行POAP。对于用户来说，一系列的POAP直接反映了账户的活动经历，从而在一定程度上代表该账户背后的用户的身份特征。

POAP最初部署于以太坊中，但是由于以太坊经常发生网络拥堵和收取高昂的Gas Fee，POAP转移到以太坊侧链xDai上，而在xDai上用户甚至可以免费申领POAP。用户如果愿意支付Gas Fee，也可以基于POAP网站将POAP转移至以太坊主网。

（二）链下身份认证

虽然DIDs不要求链下个人信息和链上账户信息一一对应，但是以链下个人信息为线索进行链上信息整合是身份聚合的主要方式。链下身份认证正是基于这一目标而设立的一类项目，其中，Civic是最早提出DIDs身份认证的项目，其主要优势在于用户无须私钥和种子短语就可直接进行认证，即使私钥丢失也可以通过使用身份信息进行恢复；BrightID和Humanity DAO的认证方式较为相似，都是采用视频来进行认证，而Idena则通过测验来进行认证。

案例

1.BrightID

现实世界中的身份认证方式是个人信息和身份证件的强绑定，通过个人的身份证件就可以获得关于此人的基本信息。BrightID认为在虚拟世界中无须进行这样的强绑定，可以通过个人生物信息对链上账户进行整合，从而实现“一人一账户”，这对于防止“女巫攻击”有较大帮助。

因此，用户在申请BrightID账户时需要提交个人头像照片，并通过视频会议与审核人员进行对话以确保真人身份，但在对话过程中无须透露个人真实信息，只需通过视频确认在BrightID系统里申请唯一账号即可。

BrightID比较适合去中心化应用为启动社区而进行空投时的用户验证，可以有效防止“一人多账户”。同时，BrightID也可用于社区投票前的用户验证，以满足“一人一票”的要求，比如以太坊捐赠平台Gitcoin就通过BrightID进行用户验证，以强调用户参与人数的权重。截至2022年6月30日，BrightID已拥有注册用户约5万人。

2.Idena

获得Idena认证的前提是参加测试，而且申请验证的用户需要拿到来自已通过验证的用户的邀请码，拿到邀请码后用户还要在指定的时间参加线上逆图灵测试。所谓逆图灵测试就是基于图片识别的测试，我们在登录一些网站时要在一个9宫格中选出几张包含某种元素（比如火车、斑马线、飞机）的图片，这种测试就是最常见的一种逆图灵测试。参加完这类测试后，用户还需要参加新的测试，比如上传照片等。通过这种方式，Idena才可认定该用户为真人。

（三）链上身份聚合

链上身份聚合包括两种方式：一种是完全基于链上数据进行身份聚合，比如以太坊创始人维塔利克·布特林提出的SBT（Soul Bound Token，灵魂绑定通证），这一类项目的难点在于跨链数据的处理；另一种是链上和链下两类数据的聚合，如Unipass和DAS System等。Litentry是基于Polkadot生态的多链身份聚合协议，可提供去中心化的身份聚合和验证、信用评级等服务；

Selfkey提出验证请求的概念，其在基于零知识证明进行用户身份验证的同时保护个人数据不对外披露；Mykey是一个多链钱包，其独特之处在于用户基于Mykey ID可以一键登录多条区块链，并通过智能合约保存私钥，以便在丢失私钥的时候可以通过合约将其找回；Rabbit Hole提出“Learn to Earn”的概念，并根据用户参与各种去中心化应用的情况进行综合声誉评分，最后将评分情况生成VC存入DIDs中供其他应用调用；DAS System则可在所有支持EVM的公链上进行身份聚合。

案例

1.SBT

SBT是以太坊创始人维塔利克·布特林提出的一种通证，其主要特点是由某个账户持有且不可转让，但每个账户持有的SBT数量却不受限制，比如某用户毕业的学校、曾经工作过的单位，甚至曾经参与过的公益活动以及DAO都可以给该用户发放一枚SBT，而且在特定情况下，这枚SBT还可以被撤回，比如该用户从某一个DAO中退出，相应的SBT就会被撤回。如此一来，SBT实际上构成了一个完全去中心化的、自下而上的身份证明，这个身份证明含有极其丰富的信息，不但可以被更多的去中心化应用所采用，而且可以用极低的成本验证。SBT就像是以太坊生态中的一种VC。

2.Spruce

Spruce的主要目标是建立一个聚合Web2.0和Web3.0、多平台通用的统一身份，并基于该身份绘制账户画像。相对于Web2.0中的用户画像，账户画像可以间接反映用户特征，但不能和用户本人建立一一对应的关系。与Web2.0中的用户画像相似的是，账户画像同样可以用于产品推荐和精准营销。

Spruce设置了专用的SpruceID，并将该ID应用于跨产品或跨链的场景，其具备签署、验证和共享消息等功能。Spruce同时推出SIWE(Sign-In with Ethereum)，用户借此可直接通过以太坊账户在Web2.0应用中进行注册和登录，无须再通过手机或邮箱等中心化应用，比如用户使用SIWE无须进行二次验证，就可以直接登录Discord。通过Web2.0应用和Web3.0应用共享账户，Web2.0上的社交媒体流量就可以转移到Web3.0上，如此一来，Twitter上的大V（流量博主）就有望在DeFi平台获得更低贷款利息的优惠政策。

此外，Spruce还推出去中心化存储工具Kepler，基于Kepler用户可以针对存储位置和存储类型进行定制化存储，而且Kepler已经实现和SIWE的集成，用户可以在使用SIWE的时候通过Kepler保存数字凭证和私人文件。

（四）基于DIDs的应用

和去中心化应用实现对接是DIDs的终极使命。基于DIDs的应用主要涉及信用贷款、社交、社区治理和捐赠等领域，其中，基于Guild的应用可以在Discord和Telegram中设置社群准入条件，比如持有某种NFT才可以进入某个Discord频道等；基于Mintgate的应用可以为社区创建专门的代币支持的流媒体、票务等；基于ARCx的应用可以结合链上数据进行信用评级等。

案例

ARCx：DeFi Passport

账户是执行区块链交易的基本单元，但区块链账户和现实世界的用户并没有实现一一对应的强绑定，所以传统金融领域非常重要的信用概念就不能直接传递到DeFi世界，以致DeFi只允许抵押贷款，而不允许根据借款主体的信用状况进行差别定价，这一状况导致DeFi借贷的效率低下。

基于这一问题，ARCx计划打造一个体现账户信用状况的DeFi Passport。用户通过ARCx申请DeFi Passport需要缴纳1000枚DAI作为押金，在获得DeFi Passport之后会根据账户参与DeFi的情况获得一个信用评分，比如账户长期向Compound或者MakerDAO借款但从未被清算将被视为信用良好。项目公布的拟采用的信用评分标准还包括：参与“流动性挖矿”是否频繁发生“挖提卖”、获得空投奖励之后是否可以长期参与项目发展、是否积极参与社区治理等。

在获得信用评分之后，ARCx会对接借贷平台，并对信用评分更高的账户以更优惠的抵押率发放贷款，但该信用评分是动态的，会随着账户链上行为的变化而改变。

三、身份的载体：账户和钱包

尽管DIDs可以通过数据聚合形成用户画像，但在去中心化网络中，参与主体是账户，而从技术角度来看，账户功能的实现主要依赖于钱包。这里所说的钱包不包括基于中心化机构开设的托管式钱包，而特指非托管式去中心化钱包。

为什么是非托管式去中心化钱包呢？因为用户不需要把他的资产“装”到这个钱包里，而是通过钱包查看区块链账户的资产数据，并通过私钥授权账户进行转账或者和某一个智能合约进行交互。

托管式钱包就像银行账户或者各种Web2.0应用开设的账户一样，如果用户想享受银行或者某个互联网平台的服务，那么他需要先在银行或者互联网平台开设一个账户。在银行，他需要把他的现金存到银行的账户，虽然账户是他的，但从技术和业务的角度来讲，由银行决定资金的使用方式。在Web2.0的互联网平台上，不管是社交平台还是电商平台，用户的数据都由平台代为保存，因此互联网平台的估值都是由历史数据或者每日新增用户数据（就是流量）决定的。

但非托管式去中心化钱包和前面讲到的托管式钱包完全不一样，最大的区别就在于，托管式钱包的账户和使用是捆绑在一起的，都必须依赖银行或者互联网平台；而非托管式钱包基于区块链使用密码学函数开设账户，账户和钱包是完全没有关系的，因为钱包的主要作用是帮助用户保存和管理私钥，但同一个账户可以通过多个钱包同时进行私钥管理，钱包对于用户行为没有任何限制能力。非托管式去中心化钱包更像一个数据浏览器，它不保存任何资产但可以帮用户读取数据以及发起交易。

假设用户有一枚比特币并把它保存在一个只有他知道私钥的账户里，那么他通过Ledger钱包可以看到这枚比特币。但如果他把这个账户导入Imtoken钱包，那么他在Imtoken里能看到这枚比特币吗？答案当然是能。那么，他现在是有2枚比特币了吗？当然不是，他还是只有一枚比特币。

将比特币换成法币，用户通过工商银行的App看到账户余额是10000元，同时，在招商银行的App上也看到账户余额是10000元，那么，他总共只有10000元吗？显然不是，他总共有20000元。这就是非托管式去中心化钱包和托管式钱包最本质的区别。

非托管式去中心化钱包充分体现了Web3.0自主、通用和去信任的基本特征，可以说它是专为Web3.0而生的基础设施。那么去中心化钱包具体能为Web3.0带来哪些好处呢？

首先，去中心化钱包为Web3.0提供一个更安全的资产管理工具。

去中心化钱包只对一个人提供资产相关的服务，不像中心化钱包那样把很多人的资产归集到一个账户中。对于计划针对账户进行攻击的黑客来说，攻破一个账户的成本差不多是相同的，但去中心化钱包分散管理资产的方式大大降低了黑客的攻击兴趣。

此外，从技术角度来看，去中心化钱包的作用就是基于电脑或者手机进行私钥保管，那么去中心化钱包本身会不会盗取用户的私钥呢？总体来看是不会的，因为去中心化钱包往往是代码开源的，其代码被公开在所有人都可以看到的代码仓库中，比如Github。虽然用户不一定能看懂代码，但是全世界范围内有很多人具备这个能力，如果他们发现钱包代码存在一些Bug（程序错误、缺陷），比如将用户的私钥悄悄传至别的地址，那么他们一定会把这件事公布于众。这就相当于社区帮用户做了验证。

其次，去中心化钱包在用户和Web3.0应用之间架起一座桥梁。

去中心化钱包实际上就是用户和各种去中心化应用交互的一个工具，还是一个不可或缺的工具，因为Web2.0的浏览器如谷歌、火狐等都不支持这个功能，Web2.0也没有这种需求，所以在用户和网络的交互中需要增加这一功能。

去中心化应用可以做很多事情，包括转账等简单链上操作，比如用户可以铸造自己设计的NFT作品，也可以进行社区投票，还可以享受各种去中心化金融服务等。但在使用所有这些功能之前，用户首先需要进入钱包页面，仅从这一点来看，去中心化钱包的商业价值就非常明显了。

区块链技术公司Consensys旗下的Metamask是目前使用量最大的一款钱包插件，据相关媒体报道，截至2022年第一季度末，Metamask月活用户已达到3000万，预计2022年全年收入达10亿美元，Metamask内置的Swap功能成为其主要的收入来源。钱包插件Metamask见图2-4。

再次，去中心化钱包是Web3.0身份的技术载体。

去中心化钱包不仅可以显示用户在各条链上的各类资产，还可以显示用户拥有的各种NFT，比如头像、宠物、房产或者土地等。假如用户属于某个俱乐部或者DAO，而这类组织的会员有一枚专属的NFT徽章，那么去中心化钱包可以在该用户的账户上把这枚徽章显示出来。用户还可以购买一个喜欢的域名，如果他拥有编号为8848的无聊猿，而且正好拥有8848.eth这个域名，那么域名和NFT都会通过钱包体现出来。当然，这些信息也可以通过其他方式体现出来，用户可以基于这些特征开展各种社交活动，或者被某些合约检索到，从而为虚拟生活增添一抹新的色彩。

钱包插件Metamask（图片来源：https://metamask.io/）

当然，去中心化钱包在当前状态中也存在功能不足的问题，特别是对于没有使用经验的用户。它需要用户适应“主网+账户+Gas Fee”的使用模式。

此外，虽然去中心化钱包不保存资产，但是其保存私钥，一旦文件遭到破坏就意味着资产流失，因为用户无法通过任何人的帮助找回私钥。在DIDs生态中，存在一类身份聚合项目（比如Mykey和Civic），为每个用户开设交易账户，并通过合约实现多人控制账户，因此用户即使丢失私钥，也能通过预先设定的机制取出账户内的资产。

案例

Ledger——把安全放在首位，把资金的处置权赋予用户的钱包

Ledger通过硬件钱包和软件钱包的组合为用户提供安全自由的非托管式去中心化钱包服务。Ledger包括Ledger硬件钱包与Ledger Live应用程序，其中硬件钱包通过离线方式保存私钥，这使得账户的安全性得到极大保障。在用户需要基于授权使用账户时，Ledger Nano在设备内部生成私钥，并将私钥存储在设备内部。当Ledger Nano没有连接到互联网时，Ledger Live协助用户实现和外界的交互。Ledger Nano和Ledger Live就像Apple Pro手机和Apple Store（苹果手机上的网上商店）一样配合，从而保障账户资产安全以及和其他应用的交互。Ledger钱包App及硬件见下图。

Ledger钱包App及硬件（图片来源：https://www.ledger.com）