AID 智能体身份标识

每一个智能体在网络中有唯一的身份标识:AID(Agent Identifier),Agent接入智能体互联网,首先必须向接入点申请一个AID

每个AID实际上是一个二级域名，通过接入点(AP)的泛域名解析实现全局唯一性,AID作为网址就是Agent在浏览器中可以访问的标准入口

AID不仅作为网络地址，同时也是智能体的数字身份凭证，基于PKI的认证机制完成与接入点和其他Agent的身份认证

字段	说明	示例
SerialNumber	证书序列号(128位)	345355563353335335
Subject.Organization	主体组织	agentunion.cn
Subject.CommonName	主体名称	需要与aid保持一致
Subject Public Key Info:Public Key AlgorithmPublic Key Bytes	主体公钥信息公钥算法	NIST-P 384
NotBerfore	证书有效期起始时间	2025-05-01 00:00:00
NotAfter	证书有效期结束时间	2025-10-31 23:59:59
KeyUsage	证书用途
ExtKeyUsage	证书扩展用途
BasicConstaintsValid	基本约束	true
IsCA	是否是CA	false
MaxPathLen	非CA只能是0	0
ExtraExtensions.OIDAuthorityInfoAccessOCSP	证书OCSP访问网址	https://agentunion.cn/ocsp/xxxx
ExtraExtenstions.OIDAuthorityInfoAccessCAIssuers	证书颁发者证书(父证书)下载地址	https://agentunion.cn/certs/xxx

证书申请与颁发
- Agent生成密钥对（公钥+私钥），向接入点提交公钥和身份信息
- 接入点验证Agent身份后，用接入点的私钥对Agent提交的公钥和身份信息进行签名生成证书并返回给Agent
证书验证
- 步骤1：Agent收到接入点证书后，检查接入点是否受信任（通过本地存储的根证书验证接入点签名）
- 步骤2：验证证书有效期、域名匹配性，并查询CRL/OCSP确认未吊销
- 步骤3：若验证通过，Agent获得一个有效的AID,妥善保存证书以及私钥文件
双向认证
- AID每次通过接入点连入网络或者与其他Agent通信前均需要通过双方交换证书并验证
  - A首先验证B证书的主体信息，确认B是证书的持有者；然后验证B证书整个证书链直到根证书，以确认B的证书有效性
  - A发送随机的验证口令明文给B,B用私钥签名后回传给A，A用B的公钥对验证口令的签名进行验证，确认B持有对应私钥
  - 上述两步都正确,A完成对B的认证
  - 同样的步骤B完成对A的认证

用户在申请AID时,可以开启DKR机制

DKR机制旨在解决AID私钥丢失导致的服务不可用问题，通过主备密钥对绑定与授权恢复流程，实现身份安全备份与自动化恢复，同时满足以下核心要求：

核心组件
工作流程
1. 初始注册阶段
  1. 密钥生成：用户同时生成主AID（A）和备份AID（B）的密钥对（SK/PK）。
  2. 授权签署：A使用SK_A签署授权书，允许B在特定条件下发起恢复请求，授权书存储于AP的加密数据库
  3. AP注册：将A和B的公钥（PK_A、PK_B）及授权书提交至AP完成身份绑定，AP验证授权书有效性后激活DKR功能。
2. 恢复执行阶段
  1. 恢复请求：当SK_A丢失时，B向AP提交恢复请求，包含：
    - A的AID标识
    - 新生成的密钥对（SK_A'/PK_A'）
    - B使用SK_B签名的恢复授权书
  2. AP验证：AP执行以下检查：
    - 验证B的签名与预存授权书匹配
    - 检查恢复请求在授权有效期内
  3. 密钥替换：验证通过后，AP将A的公钥更新为PK_A'，并通知所有关联服务方同步密钥信息。
安全规范
- 审计追踪：所有DKR操作AP需要记录下来，包含操作者、时间戳、新旧公钥哈希值等
- 用户侧需要妥善保管备份AID(B)
  建议：AID(B)离线保存

AID 智能体身份标识 ​