【TEE从入门到精通及实战】90 从密钥托管到自主主权:在TEE中实现去中心化身份(DID)的可信载体 📅 2026/7/2 9:56:09 90 从密钥托管到自主主权:在TEE中实现去中心化身份(DID)的可信载体开篇故事去年,我帮一个医疗联盟做数据共享平台。他们的方案很“标准”:用户身份由联盟的CA中心签发,所有密钥托管在HSM里。直到有一天,联盟的运维工程师误操作,把HSM的密钥分区格式化了——虽然备份还在,但恢复过程需要所有联盟成员到场,整整停了48小时。更致命的是,一位患者发现自己的就诊记录被联盟管理员直接查询了。管理员解释:“我有密钥访问权限,这是审计需要。”但患者问:“我的身份数据,凭什么你说了算?”这个场景,正是传统PKI(公钥基础设施)的典型困境:身份主权掌握在第三方手里,而不是用户自己。去中心化身份(DID)的核心诉求,就是让用户自己控制私钥,实现“自主主权”。但问题来了:用户的手机、电脑不安全,私钥丢了怎么办?放在云上又回到中心化老路。今天,我们就用TEE来解决这个矛盾:在TEE里生成和管理DID私钥,既保证用户主权,又提供硬件级安全。痛点拆解:常见的“伪去中心化”实现误区1:在客户端生成DID,然后“加密上传”到服务器很多开发者觉得:我在手机App里生成密钥对,DID文档上传服务器,私钥用用户密码加密后存本地,这不就安全了吗?反例代码: