微眾銀行區塊鏈張開翔:思考數字時代為何要構建分佈式數字身份?

微眾銀行區塊鏈張開翔:思考數字時代為何要構建分佈式數字身份?
  外匯天眼APP訊 : 6月24日,中鈔區塊鏈技術研究院、飛天誠信科技股份有限公司、微眾銀行等17家單位共同發起成立分佈式數字身份產業聯盟(DID-Alliance,簡稱DIDA),共建分佈式數字身份基礎設施,打造可信開放數字新生態。

  本文系微眾銀行區塊鏈首席架構師張開翔在 DIDA成立大會上的分享,也是微眾銀行區塊鏈團隊在分佈式數字身份領域技術研究和應用實踐的一些思考和積累。謹以此拋磚引玉,希望能和更多行業專 家、同道中人,在開源開放、互聯互通的基礎上聚力前行。

  數字化趨勢對分佈式數字身份體系的需求

  從現在到未來,人們越來越多地通過數字化方式接受服務,同時又生產數字信息。作為數字化的重要基石,全新的分佈式數字身份體系,為技術、應用、治理、法律法規的發展,帶來更多機遇和挑戰。

  與人們實體身份密切關聯的信息,諸如身份證照、職業資歷、醫療服務、金融賬户等,正在逐步電子化。另外,隨着互聯網的成熟,人們的線上身份關聯了大量社交網絡賬號、文娛和商業數據。

  在數字化版圖裏,機構需要在線上標識自己。根據機構性質的不同,權威機構更多是履行認證和監管職能,商業機構驗證憑證和使用數據,以提供場景應用服務。

  隨着新基建的推進,越來越多物聯網設備接入網絡,實物設備需要在網絡中明確自己的標識,且和其他實體,如人或者機構,建立綁定關係、產生數據,以及對指令做出響應。

  人、機構、實物都是數字化社會里的主體,構成巨大生態。數字化生態和初步的電子化有着代際區別:電子化主要指採用電子方式承載實體信息,數據是否歸用户所有、是否可以自由流轉,在當前產業生態和法律法規下,邊界還略顯模糊,實操上會遇到各種障礙;而在數字化社會里,實體追求自主管理數據,通過可信交換創造價值,用户的隱私和收益都可以得到保障,數據自由流動,生態蓬勃發展。

  既往,有的機構獲得大量用户的許可,生產、收集數據,併為自己所用,形成了一個個數據孤島。有的機構對數據有巨大需求,不得不付出商業成本,從外部輸入數據,其他機構則應運而生,對外提供數據獲取利益。

  在數據價值兑現的嘗試進程中,由於技術、商業模式、法律法規尚未成熟,數據交易常常遊離在法規邊緣,且交易代價巨大,數據不能順暢流動,難以體現其應有價值。更重要的是,忽略了用户的參與性和合法權益。

  我們認為,未來的數字化社會,應當以用户為核心,由用户明確授權,在安全隱私的前提下,共享和交換數據,各參與方之間建立分佈式驗證和聯合計算的關係。

  分佈式數字身份體系帶來了全新觀念,催生新的商業模式,使數據作為合法合規的生產要素成為可能。

  分佈式數字身份管理的定位

  在我們所理解的整個體系中,最底層是分佈式可信網絡,參與者共同完成共識、追求事務一致,所承載的數據難以篡改,且整個系統高效可靠。依託可信網絡,方案實現對身份的標識和管理,相關數據經過存證,得到信用背書且可追溯的數據可以進行可信共享和交換。進一步地,如果數據本身藴含着資產、價值、信用,那麼就會進入到資產管理和交易領域。

  金融業務、社會事務、產業智能等廣泛行業都需要這樣的分佈式基礎設施,產業參與者可以基於明確的身份、可信的數據、透明的規則、高效的協作模式,努力去擴大市場規模、改善決策成功率、提升風控效果、完成交易記賬和監管等流程。

  在如此龐雜的產業生態中,技術只是其中的一個路徑,領域的發展還需要評測認證、標準化建設,以及相關法律法規建設,追求在監管合規上的可行性,這樣整個產業才具備相當的可操作性、可持續性。

  從三個維度理解分佈式數字身份

  分佈式數字身份是一種基礎能力,更是業務開展的前置條件,就像當前金融業務都要做KYC一樣。其具有承上啓下的樞紐作用,只要流程與“人”相關,都脱離不了“身份”。

  對分佈式數字身份的準確定義,目前尚有不同的理解,需要深入討論,形成共識,逐步勾勒出明確邊界。在此,我們嘗試從“厚度”、“深度”、廣度這三個維度,闡述分佈式數字身份的內涵和外延。

  分佈式數字身份的“厚度”

  分佈式數字身份最為行業人士所知的一種形態,是W3C DID規範組織定義的一串字符,如

  “did:weid:101:0xae0b295667a9fd93d5f28d9ec85e40f4cb697bae”。

  這串字符分為幾個部分,聯合起來構成全局唯一的標識,在分佈式網絡中具有很強的通用性,是分佈式數字身份的起點。

  圍繞這個DID,國際標準化組織們設計了一系列功能完整、語義清晰的協議,定義了線上的身份描述文檔(Document),以及憑證(Credential)的生成、出示、驗證和銷燬等流程,覆蓋身份和憑證管理的完整生命週期。

  這一系列協議,可以成為我們重要的參照,是邁向標準化的基礎。

  協議中定義了三個重要角色:認證者、用户、驗證方。這些角色構成了生態裏的核心三元關係。其中,用户是核心中的核心,持有和控制自己的數據。用户的數據有字面意義上的文本、圖片、音視頻等原始數據,更進一步,有基於原始數據進行驗證、運算、評估後得出的各種憑證,如學歷證書等。最終,有價值的數據和憑證可以代表用户在生態中持有的資產和信用。

  有了明確的標識、可操作的協議,以及角色和數據的關聯,這些東西終究要在數字化的應用場景中使用和流動起來,這就是分佈式數字身份的最終目標:服務產業,創造價值。

  於是,標識、協議、角色、數據、場景共同疊加成分佈式數字身份的“厚度”,這也是分佈式數字身份的“核心內容”,回答的是“分佈式數字身份是什麼”和“包含了什麼”的問題。

  分佈式數字身份的“深度”

  “深度”這個關鍵字,主要是回答“要做什麼”和“有什麼挑戰”,以及闡述“是什麼支撐起整個分佈式數字身份的技術體系”。

  在回答這些問題之前,我們先提出幾個重要目標:用户控制、分佈式驗證、隱私保護。

  客觀地説,在傳統系統裏,對身份的管理已經比較成熟,有各種各樣的KYC、生物驗證、開放API、雲存儲等技術和系統,來幫助認證身份、管理數據、頒發憑證和進行驗證。

  而分佈式數字身份最大的不同在於其“分佈”,這個體系裏沒有控制數據的孤島,而是把數據的控制權交給用户,由用户自主選擇存儲方式,並根據自己的意願,在不同場景去使用。無論用户在哪裏,把憑證和數據給到誰,都可以在分佈式網絡上完成驗證,同時保護隱私,避免數據被濫用,以及防止使用方對用户畫像,避免在事後針對用户。

  W3C DID協議規範是個框架性的定義,比如,它要求在出示憑證時能做到“選擇性披露”,但具體怎麼做,可以根據場景和開發者的理解,選擇不同的方式。因此,在整個體系的技術實現和周邊支撐系統建設上,存在極大靈活性、開放性,同時也藴含巨大挑戰:採用怎樣的技術和方案是最合理、最高效、最符合用户需求的呢?這就需要反覆、迭代的實踐來證明了,所謂“粗略的共識,能跑的代碼”,實踐方得真知。

  為了使協議可以“用起來”,我們要為用户提供易用的終端工具,幫助用户安全且方便地管理個人數據,進行高效合規、能體現數據價值的數據交換。這些功能要覆蓋身份以及數據的產生、存儲、轉移、銷燬等全生命週期,要有完善的功能、良好的體驗、可接受的建設成本,以及邏輯自洽的運作模式。

  再深一層,是基礎的分佈式技術體系。如DPKI(分散式公鑰基礎設施)體系,當前PKI體系的分佈式版本;用區塊鏈為代表的分佈式賬本技術,建立分佈式的可信協作網絡;以及為了應對非集中管理的海量數據,需要成本更低、效率更高、更安全可靠的分佈式存儲技術。這些基礎平台性技術,有的已經漸趨成熟,有的還在高速發展中,牽涉到平台選型、核心技術突破、知識產權等問題。

  繼續前往技術的深水區——算法。分佈式系統牽涉的算法五花八門,分佈式一致性算法和密碼學前沿算法,是技術王冠上最亮的兩顆寶石,尤其在密碼學和隱私保護措施方面,以零知識證明、同態加密、安全多方計算、聯邦學習等為代表的方案,在保護性方面有良好的表現,但由於其理論較為複雜,部分算法要求多次交互,或因生成的數據過大,實際運行時,性能、用户體驗依舊有提升空間。我們要根據分佈式數字身份裏牽涉的具體場景、業務流程、用户需求,研究和實踐更為合適的算法。

  這一切構成了分佈式數字身份的“深度”,可見這個領域在技術和模式上具備相當的挑戰,也帶來諸多機會和發展空間,需要從業者羣策羣力,聯合產學研的力量,堅持安全可控路線,攜手攻關,在探索中掌握核心技術,擁有自主知識產權,並進行工程轉化,為產業所用。

  分佈式數字身份的“廣度”

  分佈式數字身份的“廣度”是讓從業者最感興奮的一面,透射這個領域的巨大潛力。

  以人為本的核心哲學,決定了人在哪裏,數據就在哪裏。“人”本來是最具備廣度的存在,其角色類型眾多,數據維度豐富。同時,人的活動可以跨地域,跨場景,作為一個自然人,在國內有國內的身份,在不同的主權地域跨境活動時,又需要符合當地法規的方式來標識和認證自己;在不同場景中,人的身份、屬性、憑證也會有所不同,其所攜帶的、綁定的、能運用的價值和信用會被重新劃定。相應地,機構級別的認證者和驗證者,在不同地域和場景也有着不同的職能。

  在這多變、廣袤的生態裏,“以用户為核心”的邏輯給出了一個清晰的視角和理念上的正確性。由用户支配自主身份和數據,便捷快速地響應用户需求,這就是數字化生存的基礎邏輯。

  同時,網絡化和分散性越強,對分佈式數字身份的要求越旺盛;分佈式數字身份體系的逐步成熟,又會催生出更多創新業務場景,帶來新商業模式。屆時,系統的建設、數據的價值和流通成本、隱私的保護,應該取得良好平衡,需要回答誰來建設系統、誰為數據買單、如何定價、如何分賬等一系列商業問題,並明確相應責權和義務,這就對標準建設、法律法規等提出了要求。

  法律法規的制定不會一蹴而就,在此之前,針對行業應用,尤其是和國計民生有關的活動,應本着“技術中立,風控優先,有法必依”的原則,抓住業務本質,遵守所在行業、所營業務的基本合規要求,規範運作。

  我們期待有關部門進一步明確和制定相應標準和規範,力求覆蓋面更廣、適用性更強、更具備產業可操作性,以滿足和實體經濟數字化方向相符的需求,並使現存規則可以平滑地向分佈式數字身份時代演進。

  綜上所述,分佈式數字身份體系,在內容承載上有足夠的厚度,在技術支撐和技術挑戰上有客觀的深度,在地域領域、場景覆蓋以及社會責任上有富含潛力的廣度。

  微眾銀行在分佈式數字身份領域的探索和實踐

  “不積跬步,無以至千里”。2018年,依託多年區塊鏈技術研究和應用落地經驗,微眾銀行在分佈式數字身份領域開展了系列實踐,並於當年開源WeIdentity,一個基於區塊鏈的實體身份認證及可信數據交換解決方案。

  WeIdentity提供分佈式身份可信及管理、可信數據交換協議等一系列的基礎層與應用接口,實現了一套符合W3C DID規範的分佈式多中心的身份可信協議,和符合W3C VC規範的可驗證數字憑證技術,使分佈式多中心的身份管理成為可能,機構也可以通過用户授權合法合規地完成可信數據的交換。

  WeIdentity的建設,體現了五個理念:

  開源開放:技術方案完全開源,包括對W3C DID協議、周邊支撐系統的實現。開源軟件有助於降低產業使用W3C DID方案的技術門檻和實施成本,且可以營造社區共建的氛圍,眾多開發者一起使用和優化開源軟件,在滿足應用需求的同時,為軟件增加更多特性,且迭代速度更快、方向更明確、質量更穩定。

  安全隱私:系統安全周密,保護用户隱私,是分佈式數字身份最大的亮點,也是以用户為核心的設計哲學。WeIdentity允許用户實現靈活的多ID登錄和自主關聯,結合自主存儲和代理服務穩妥保存用户數據,在用户授權、明示同意的前提下進行數據交換,在數據披露時引入選擇性披露,用證明代替明文、零知識證明等一系列策略和算法,實現了隱私保護。

  功能完備:完整實現W3C DID以及多個相關協議的數據結構定義和功能接口,同時實現鏈外治理、用户數據管理、海量數據交換、跨鏈、聯合計算等一系列支撐系統,功能完備,開箱即用,足以一站式建設分佈式數字身份服務。

  友好易用: 在安裝部署、開發調試、發佈交付等環節,面向開發、管理、運維等不同角色進行極致優化,易於理解和使用;面向應用提供業務模板、應用示例和DEMO等參考組件,以及周詳的技術文檔,step by step地引導開發者完成工作,助力高效率低成本地建設應用;為目標用户提供一系列工具,包括二維碼在內的豐富交互體驗,便於終端用户接入到分佈式數字身份網絡。

  互聯互通: 分佈式數字身份強調互聯互通,用户只要擁有唯一性數字ID,便可在不同的網絡裏自由漫步。W3C DID相關協議本身就是為互聯互通而生,只要系統符合協議定義的數據接口,實現相關接口,用户即可無縫訪問和支配自己的數據。WeIdentity忠實地遵循協議精神,甚至可以做到底層平台無關,插件化地適配多種分佈式賬本平台,開放性接入不同的認證機構和驗證機構,且可以使用跨鏈等技術,與異構平台或其他分佈式數字身份網絡進行互通。

  WeIdentity開源以來,在github上受到了較多關注,諸多項目使用或參照WeIdentity實現。WeIdentity的開放性和可用性廣泛得到行業證明,這裏介紹幾個典型案例:

  案例1:員工入職背景調查

  合作方是一家中小企業,在招聘員工時需要對員工的學歷信息、前僱主信息進行真實性驗證。

  存在的問題是:對員工而言,需要去每個機構花費大量時間精力獲取最新版材料。對企業而言,材料獲取和流轉過程中可能遭到篡改,而且缺乏驗證材料真實性的手段。

  使用WeIdentity解決方案時,員工、學校、公司分別進行WeIdentity DID註冊及KYC認證。員工向學校申請學歷證明憑證、學位證明憑證,向前僱主公司申請工作證明憑證、離職證明憑證,然後將這些憑證與自己的鏈上DID建立連接,採用可驗證憑證數據格式和協議保證憑證真實有效。在求職時,現僱主公司只需通過憑證驗證接口對上述憑證進行驗證,如驗證通過,現僱主公司發放入職offer。

  案例2:居民信息管理與政務辦理

  居民政務數據分存於不同部門,跨部門的政務辦理往往需要先到部門A開具證明,再到部門B進行辦理。對居民而言,流程繁瑣且文件不易管理與保存;對政府部門而言,希望提升用户體驗並確保用户隱私數據不泄露。

  通過WeIdentity解決方案,可以為居民生成可信的電子證件,居民授權後由機構進行驗證,從而使用合法合規的方式簡化業務流程,降低隱私數據泄露風險。

  使用WeIdentity解決方案時,由身份證明機構為居民進行WeIdentity DID註冊及KYC認證。居民向證件簽發機構申請證明文件,證明簽發機構按照規範生成電子憑證並關聯到居民的WeIdentity DID。居民授權證明驗證機構對憑證進行驗證,同時生成一條居民授權記錄,存儲在區塊鏈上。證明驗證機構通過憑證驗證接口進行驗證,如驗證通過,為居民進行業務辦理。

  案例1、2的意義在於,將分散的多個機構頒發的憑證和用户綁定,且錨定到區塊鏈上,憑藉密碼學算法,可以進行分佈式驗證,用户只需獲取一次憑證,就可以隨時出示,驗證方也不需要擔心憑證的真實性。

  案例3:版權保護

  微眾銀行與人民網合作的區塊鏈版權保護項目,基於FISCO BCOS區塊鏈底層技術開源平台,以及 WeIdentity解決方案,搭建新聞版權保護聯盟鏈。

  項目利用分佈式賬本及智能合約的特性,實現了多方信息實時共享、版權認證、交易及維權法訴的全流程線上化,有效解決了線上內容版權保護問題。鏈上參與的角色採用分佈式數字身份體系標識,著作和作品也具備唯一標識,著作權經過認證後,成為不可篡改的鏈上憑證,可以作為舉證、轉賬的聲明。

  現階段,平台已啓用被動確權、原創新聞認證、轉載監測分析以及侵權取證等線上場景。下一階段,平台還將引入互聯網法院、仲裁機構、國家權威版權保護機構,將侵權訴訟流程線上化,完成線上版權保護的線上閉環和全自動流程。

  案例3體現了數據確權和定價後,進行合法合規的流動,可以創造出一個健康且有價值的生態。

  案例4:物聯網和邊緣計算

  物聯網設備編碼標準存在多樣性,這些異構的編碼標準可能導致物聯網標識服務發生衝突。WeIdentity採用DID標識為物聯網分配全局唯一的標識,結合廠家生產信息、物聯網雲運營商、邊緣接入設備,以及用户對設備的所有權,為設備頒發多種憑證,賦予設備可聲明、可驗證的自主身份,保障數據來源的真實有效性。

  物聯網設備分佈在不同的地域,用多種方式接入網絡,具有較高管理成本和安全風險。基於WeIdentity分佈式網絡和智能合約,可構建透明可信的規則,使人與物、物與物之間形成統一的信任網絡。

  設備通過分佈式網絡進行跨地域、跨機構的尋址路由,其產生的數據必須包含數字簽名,且可選地進行加密混淆,使得設備身份和數據都可以在網絡上高效實現分佈式認證,還可以拒絕不安全的指令和數據,以保證網絡的安全。物聯網設備和屬主的隱私,也有利於對設備產生的數據進行確權、計價,構建商業模式。

  案例4的模型可廣泛用於物聯網和邊緣計算場景,目前已經有智能家居項目、智慧農業、工業互聯網等項目採用。

  除了以上幾個案例,開源社區已經將WeIdentity應用於各行各業,涵蓋金融、工業、智能家居、教育、社會治理、出行等場景,分佈式數字身份體系結合不同的行業,體現出各種各樣的創新潛力。

  結語

  “不積小流無以成江海”,在當下,我們會從技術研究出發,力求儘快完善技術體系,聯合更多同道中人,構建互聯互通的開放網絡,一起共建價值。

  相信隨着時間的推移,以及行業的共同努力,分佈式數字身份的概念和作用邊界將越來越清晰,技術難點將會一一得以解決,相關運作模式也會最終趨於規範合理。未來將會有更多的權威機構、產業機構,以及個人、物聯網設備,通過分佈式數字身份體系的助力,參與到廣闊的數字經濟世界來,開拓更多創新的應用場景。

版權聲明:本文源自 網絡, 於,由 楠木軒 整理發佈,共 7358 字。

轉載請註明: 微眾銀行區塊鏈張開翔:思考數字時代為何要構建分佈式數字身份? - 楠木軒