作者
【火幣研究院】袁煜明,王蕊
【中國數字經濟百人會可信數字城市專項工作組】黃懷澄,郭雲超
【太一雲技術股份有限公司】甘國華
摘要
數字身份是網路中的標識,其核心是透過提供和驗證身份資訊來證明“我是我”,其主要環節包括身份所有者註冊身份、身份提供者簽發身份、身份依賴者驗證身份以及對身份資訊和資料的管理,都需要經過密碼學演算法來實現。目前常見的身份認證方式包括口令、智慧卡、生物特徵識別、數字簽名、數字證書等,當前最主流的身份認證和管理系統PKI就是以數字證書為核心的。
網際網路時代,數字身份成為重要的基礎設施,如多國政府都在佈局eID。然而傳統的數字身份存在諸多問題:(1)身份資料在各機構中分散,需要重複認證且難以共享;
(2)傳統由中心化簽發認證身份的模式信任成本高,且容易出現中心單點失效問題,容錯率低。
(3)身份所有者的身份資料被他方儲存利用,影響使用者身份隱私,且安全性不強;
(4)傳統身份證明無法覆蓋所有人。在對安全身份認證和身份隱私保護的要求下,自主主權身份被提出。
區塊鏈數字身份能夠一定程度上改善以上問題。
(1)採用分散式賬本和身份加密上鍊,可以讓中心化的身份簽發和資料共享變成分散式的資料認證,由使用者掌握身份私鑰來進行多機構之間的可信身份授權共享,從而解決重複認證、中心失效的問題。如eID數字身份鏈、聯核雲和ShoCard;
(2)利用區塊鏈鏈式結構的不可篡改性,結合生物識別技術為無法獲得官方身份簽發的人形成可信數字身份,如ID2020;為沒有銀行賬戶的人記錄鏈上可信金融行為,幫助其提高信用,實現普惠金融;
(3)區塊鏈是實現自主主權身份的必要技術,使用者透過註冊可嵌入多種區塊鏈賬本的分散式身份標識DID,實現使用者身份證明(VC)、資訊明文、私鑰等安全儲存在本地,使用者作為中心掌控主動權,結合零知識證明使得不洩露身份資訊的情況下完成身份驗證,如Uport。
區塊鏈結合數字身份使用也存在一定的難點。
首先,區塊鏈技術和資料隱私保護技術存在效能較低的問題;
第二,使用者隱私保護和企業資料變現的商業模式存在衝突,在安全多方計算很不成熟的前提下,目前要保護使用者隱私只能授權身份驗證,無法授權身份資訊,可能導致企業沒有參與的動力。
第三,DID和私鑰都很難記憶,且需要使用者自己儲存,對使用者的使用門檻較高。
展望:目前,區塊鏈數字身份發展和使用的最強驅動力主要來自數字金融行業的發展,因為金融對區塊鏈有顯著需求,且區塊鏈身份能更好地幫助KYC和監管;實際落地過程中,區塊鏈的統一身份標識會是最先落地的領域,同時需要政府牽頭去推進相關係統的建立和使用,出臺相關標準和政策,更快地推動區塊鏈數字身份的發展。
一、 傳統數字身份的執行邏輯
1.1 數字身份的含義
身份是每個人必不可少的特徵,傳統社會中我們透過一系列的紙質材料來證明“我是我”。這些材料不僅僅包括我是誰的證明,如身份證,還包括了一個人一系列的社會關係與行為證明,如結婚證、駕照、畢業證等等,均包含在身份的概念中。
進入網際網路時代後,紙質材料變為電子資訊,因此就出現了數字身份。狹義上來說,數字身份是我們傳統社會身份的數字化,而廣義上來說,數字身份是我們以資訊和數字呈現在網際網路中的身份,除了以往社會關係中的材料,更多的身份資訊來自於我們在網際網路上的行為資料。在網際網路時代,數字身份不僅能指代人,還能指代物,如一個機器、一個網站等等。
每個數字身份從誕生到使用,主要包括以下四個環節:註冊、簽發、驗證和管理,以及三個參與方:身份所有者(使用者)、身份提供方(簽發機構)、身份依賴方(有身份驗證需求)。
(1)註冊:註冊和簽發都是獲取身份的過程,需要有另一個人或機構來承認你的身份。註冊即為你向你希望獲得身份的承認機構發起請求。這是身份所有者自己發起的行為。
(2)簽發:即上述你申請註冊的這家機構能夠記錄並承認你的身份,給予你一個在他的系統中能夠被識別的身份標識。比如公民的身份證是政府機構簽發的身份標識,網站的數字證書是CA中心簽發的身份標識,我們在各類網站門戶上的賬號是由這些網站門戶簽發的身份標識。對於大部分簽發機構來說,簽發身份需要獲得對方的信任,比如確認有你的存在,或者是確認你符合他們簽發身份的要求。而有些簽發則不需要知道你在現實生活中是誰,只需要保證他們承認的那個數字身份即可,比如一個虛擬賬號。簽發機構即是你的身份提供者。
(3)驗證:主要用於身份的使用。當我們擁有身份之後,可以透過在身份的簽發機構以及對該簽發機構信任的依賴方處使用身份。驗證則是使用各類的身份認證技術,讓這些簽發機構和依賴方,相信你是身份所有者,而不是別人冒充的。
(4)管理:對數字身份的綜合管理,包括身份的儲存、更新、撤銷、授權等等一系列的事項。
1.2 數字身份認證與管理
1.2.1 身份認證的密碼學演算法
進行身份認證的技術主要是密碼學演算法,包括對稱加密演算法、非對稱加密演算法(公開金鑰密碼演算法)等。對稱加密演算法是早期應用的密碼學演算法,資料發信方將明文(原始資料)和加密金鑰一起經過特殊加密演算法處理後,變成密文傳送出去。收信方收到密文後,若想解讀原文,則需要使用加密用過的金鑰及相同演算法的逆演算法對密文進行解密,才能使其恢復成可讀明文。在對稱加密演算法中,使用的金鑰只有一個,發收信雙方都使用這個金鑰對資料進行加密和解密,這就要求解密方事先必須知道加密金鑰。
而非對稱加密包含兩個密碼:公鑰和私鑰。其中公鑰是可以告知別人的,私鑰是隻能自己持有的。公鑰與私鑰是一對,如果用公鑰對資料進行加密,只有用對應的私鑰才能解密。其實現機密資訊交換的基本過程是:甲方生成一對金鑰並將公鑰公開,需要向甲方傳送資訊的其他角色(乙方)使用該金鑰(甲方的公鑰)對機密資訊進行加密後再傳送給甲方。
透過加密演算法,可以在網路間實現身份驗證和密文傳遞。
1.2.2 身份認證的實現
身份認證的目的是鑑別通訊另一端是誰的問題,防止出現偽造和假冒等情況。在網路中,要識別真偽,必須先有信任。信任不是對一個人的純粹的認可,而是表明已經掌握了被驗證身份者的重要秘密資訊。主要包括:所知(what you know),如口令、金鑰;所有(what you have),如身份證、信用卡等;和生物特徵(Who you are),如指紋、虹膜等。
目前的身份認證方法均透過上面三種秘密資訊之一或組合來實現。常見的方法包括:
(1)口令:口令包括靜態口令、動態口令。靜態口令是原始的賬戶和密碼形式,身份註冊後,靜態口令儲存在資料庫中長期有效。由於靜態口令使用簡單便捷,目前大多數的網際網路應用仍然使用靜態口令的方式進行身份認證。但由於靜態口令的安全性不足,容易被破解、攻擊,便出現了動態口令,如簡訊驗證碼,常用於安全性要求更高的場合,如銀行轉賬。透過將使用者口令和隨機數進行加密生成一次性口令,並與伺服器進行相同操作後的結果進行比對,來進行身份驗證。
(2)智慧卡:一種內建積體電路的晶片,晶片中存有與使用者身份相關的資料。智慧卡由使用者自己持有,透過專門的讀卡器來獲取使用者資料。智慧卡認證是透過智慧卡硬體不可複製來保證使用者身份不會被仿冒。
(3)生物特徵識別:由於生物特徵具有穩定性和唯一性,非常適合用來作為身份認證的依據。常見的做法是將生物特徵預處理後提取影象特徵,並進行加密後存入資料庫,與其他身份資訊相繫結。
(4)數字簽名:數字簽名是採用非對稱加密演算法的身份認證方法,用於證明資訊確實由身份所有者發出。具體方法為:傳送者先用雜湊函式對需要傳送的明文M進行計算得到雜湊值H,然後用自己的私鑰對H加密得到S。則這個S就是傳送者對明文M的數字簽名。然後傳送者將S附在M上傳送給接收者。接收者知道傳送者的公鑰,透過對M進行相同的雜湊演算法得到h2,然後再用傳送者的公鑰對數字簽名S解密驗證得到H2。如果h2=H2則可以證明該數字簽名是由傳送者簽署的。簡單來說就是私鑰加密生成簽名,公鑰解密驗證簽名。
在資訊傳輸過程中,如果要對資訊進行加密,則傳送者可以先用私鑰進行數字簽名,然後再用接收者的公鑰對明文M進行加密(確保只有接收者可以解開),兩者一起傳送。接收者可以用自己的私鑰對加密後的資訊進行解密,然後再用傳送者的公鑰印證數字簽名,從而完成一次安全可信的身份認證和資訊傳遞。在區塊鏈系統中也透過這樣的方式實現資產的安全通訊。
(5)數字證書:數字證書是應用了數字簽名的一種身份標識,用於證明某個公鑰確實對應其應有的身份所有者,可以理解為數字世界的身份證。某些情況下,可能會有中間人C將資訊接收者B儲存的傳送者A的公鑰替換成了自己(C)的公鑰,導致B在收到C的資訊是以為是A發出的。數字證書能夠將公鑰與其他身份資訊相連的,其是由權威的證書認證機構(CA,Certificate Authority)簽發的,包含公鑰擁有者資訊、公鑰、簽發者資訊、有效期以及擴充套件資訊的一種資料結構。CA通常為有政府背景或權威性的第三方機構,能夠證明身份和簽發身份,並透過在自己簽發的數字證書中加上CA的數字簽名達到信用背書的可驗證。
1.2.3 傳統身份認證管理系統
目前,最主流的傳統身份認證系統是基於PKI(公鑰基礎設施)的。PKI其是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構,其目的在於創造、管理、分配、使用、儲存以及撤銷數字證書。
PKI的基礎體系中有一個證書籤署中心(CA,Certification Authority)、一個證書註冊中心(RA,Registration Authority)、一個存放證書的公共資料庫。證書的簽署和使用等包括下列幾個部分。
(1)證書註冊:使用者與PKI的安全伺服器建立連線,並生成自己的公鑰和私鑰。使用者透過安全伺服器向RA傳送自己的身份資訊和公鑰,向RA請求註冊數字證書。
(2)證書籤署:證書籤發的過程。RA審查後將使用者申請註冊證書的資訊發給CA,CA驗證後對此公鑰形成數字證書,並加上CA的數字簽名完成簽發。
(3)證書存放:申請數字證書成功後,RA獲得證書和轉發給使用者,並將證書和使用者資訊一起存放在證書資料庫中。需要將證書存放的理由在於,可能當需要驗證使用者身份時,該使用者不一定線上或隨時應答。有了PKI的標準資料庫之後,需要數字證書的使用者可以在這個資料庫中進行查詢。
(4)證書登出和更新:當使用者申請登出數字證書時,用該公鑰對應的私鑰對一個固定格式的訊息進行數字簽名並傳給RA,當RA驗證簽名合法後,將證書從資料庫中刪除,同時在證書登出表(CRL)中新增被登出的證書資訊。當使用者需要更新自己的證書時,選取一個新的公鑰,用原來公鑰對應的私鑰對新公鑰進行簽名,將簽名資訊傳給CA,CA驗證簽名有效後簽署一個新的數字證書。使用者再將該新數字證書連同用原私鑰簽名的證書更新請求傳給RA,RA在驗證簽名以及新證書的合法性後,將原來的證書從資料庫中刪除,新增新證書,同時在證書登出表中新增被登出的證書資訊。
(5)證書的獲取:當其他使用者需要某個使用者的數字證書時,向 RA 提出諮詢請求,由RA將數字證書傳給諮詢者。有時候,諮詢者只想檢視一下該數字證書是否仍然有效,RA 只需傳遞是否有效的資訊即可,不需要把整個證書資料在網上傳輸。
(6)證書的驗證:當獲得證書後,可以透過CA的公鑰對此數字證書進行解密。但由於CA有很多家,驗證者和證書持有人不一定有相同的CA。多個CA通常透過自上而下的樹狀CA結構進行通訊,頂端的為根CA,透過根CA逐一對下面的分支CA進行驗證並獲得所需要的數字證書。
二、 數字身份市場發展現狀與趨勢
2.1 數字身份市場現狀
由於全球研究機構MarketsandMarkets最新報告資料顯示,2019年全球數字身份解決方案市場規模達到137億美元,到2024年,該市場預計將增長至305億美元,預測期內(2019-2024年)的年複合增長率(CAGR)為17.3%。
預測期內,亞太地區將以最高複合增長率增長。當下,中國、日本和新加坡等國家已經開始在各個垂直領域實施數字身份解決方案,包括銀行、金融服務和保險(BFSI)、醫療、政府和國防垂直領域。
數字身份產品中典型的案例是eID。eID即為公民網路電子身份,中國的eID是以國產自主密碼技術為基礎、以智慧安全晶片為載體,採用空中開通或臨櫃面審的方式,依據對法定身份證件核驗的結果,由“公民網路身份識別系統”簽發給公民的網路電子身份標識,不僅能夠在不洩露身份資訊的前提下線上識別自然人主體,還能用於線下身份證明,可在使用者忘帶身份證的時候使用。
目前,eID在全球的使用較為廣泛。歐盟多個國家已經頒發了eID來替代傳統的身份證件,使eID既具備了線下身份識別的功能,又具備了網路遠端身份識別功能。目前已經發行eID的國家有德國、法國、西班牙、義大利、俄羅斯、比利時、愛沙尼亞、奧地利、丹麥、芬蘭、葡萄牙、斯洛維尼亞、立陶宛、馬耳他、盧森堡、荷蘭、瑞典、冰島、阿聯酋以及我國香港特別行政區等。其中,德國、西班牙、義大利、比利時、愛沙尼亞和奧地利已經普及,廣泛用於電子政務、電子商務、社交網路等各個領域。
2.2 現有數字身份的痛點
2.2.1身份資料分散和重複認證
數字身份涉及的資訊包羅永珍,有權威部門簽發的身份資訊,也有各種網際網路應用的賬號資訊系統。不同行業不同部門的身份認證系統各不相同,一個公民可能在不同的身份系統中儲存著不同的身份資訊和行為資料。對金融KYC來說,同一個公民去不同的銀行需要做不同的KYC。這些身份資料中很多相互重疊,一方面造成了資源儲存的浪費,另一方面也給使用者使用身份帶來了不便與低效,往往需要重複註冊和認證。也不同身份系統中的使用者身份資料由各系統單獨儲存,無法共享和流通,也無法綜合利用,對於身份提供者來說跨域認證效率低。
單個公民的統一的身份認證必然是未來的趨勢。目前eID的出現能夠一定程度上解決上述重複認證的問題,其目前還在發展階段,還未能形成更廣泛的身份資訊的繫結和資料的綜合利用。另外目前十分常見以類似OAuth協議為基礎的單點登入,Facebook、微信、支付寶等,可以允許第三方應用代表使用者獲得訪問的許可權,這樣使用者只需要在單個平臺上註冊即可。但這種方式還存在很大的安全隱患以及資料流失、資料隱私的問題。2016年11月,香港中文大學的研究人員發表文章稱,“使用 OAuth 2.0 協議可以毫不費力地登入十億移動LApp賬戶”。
2.2.2中心化認證效率和容錯性低
在傳統的PKI系統中,數字證書是核心,其是由相對權威的CA機構簽發的。目前CA機構的相互認證以樹狀結構為主流,最頂端的根CA是系統的核心,通常為政府機構。一方面,這種中心結構可能存在效能問題,其涉及證書的所有操作,任務繁重,可能成為效能短板拖累效率。另一方面則是安全問題,我們雖然無需置疑根CA的信用問題,但這種單中心的結構容易使其成為攻擊的目標,一旦中心失效,則左右與之關聯的下級CA均會收到牽連。並且,在這種串聯式的CA結構中,只有上級CA可以驗證下級的身份,每一個下級CA都無法驗證上級。由於CA也有民間團體,因此無法完全保證每個CA的信用。據谷歌官方安全部落格報道,2013 年 12 月 7 日,他們發現一個與法國資訊系統安全域性(ANSSI) 有關係的中級 CA 發行商向多個Google 域名發行了偽造的 CA 證書,在網路安全行業影響十分惡劣。
2.2.3身份資料隱私與安全
當前數字身份的身份資訊散落在各個身份認證者手中,可能是身份提供者本身對使用者資訊的儲存,或者是身份依賴者在驗證了使用者身份後即獲取了使用者的身份資訊。有些服務方可能在未獲使用者授權的情況下對這些資料進行處置,幾乎毫無顧忌地收集、儲存、傳輸、買賣使用者,這實際上是對於使用者隱私資訊的嚴重侵犯。同時,使用者身份資訊儲存在各個應用的中心化服務後,還存在著伺服器被攻擊,使用者隱私洩露等問題。大部分企業都需要盡全力去保護使用者個人資訊,但是成本昂貴。資料顯示,歐盟地區,僅英國每年的身份確認成本已經超過 33億英鎊,約等於 290億人民幣。
2018年5月,歐盟正式推出通用資料保護條例(GDPR),其目的在於遏制個人資訊被濫用,保護個人隱私。根據 GDPR 規定:企業在收集、儲存、使用個人資訊時要取得使用者的同意,使用者對自己的個人資料有絕對的掌控權。而且個人還應可以隨時撤銷該許可。另外,無論資料流向何方,身份資訊的使用記錄都必須留存。歐盟的法案進一步強調了使用者隱私保護的重要性,成為未來數字身份的重要趨勢。
2.2.4傳統身份證明無法覆蓋所有人
儘管我們可以透過如eID等專案來促進單一身份認證,但並不是所有人都擁有諸如身份證號這種具有權威統一的身份證明或標識。全球大約有11億人沒有官方身份證明,包括大量的難民、兒童和一部分婦女,他們可能無法獲得應有的權利,比如教育、醫療、保險、金融等。他們雖然可以擁有一些非官方提供的身份,但卻缺乏足夠的信任,支撐他們獲得應有的權利。因此,對於這些人群來說急需可信身份。
2.3 數字身份的演變與主權身份的崛起
基於對統一認證、資料隱私等等的需求,數字身份也出現了多種的轉變與探討,逐漸向著自我主權身份的要求轉變,目前比較廣泛認可的主要包括四個階段:集中式身份、聯盟身份、以使用者為中心的身份,以及自我主權身份。
(1)集中式身份:即為傳統身份認證,如CA,由單一的機構進行集中式的認證和管理。這種型別存在上文所探討的中心失效,資料分散等缺點。目前集中式的身份認證仍然是最主流的身份認證方法。
(2)聯盟身份:是指多個機構或聯盟管理控制的身份體系,可以支援身份資訊資料和可移植性。聯盟身份由微軟在1999年推出Passport計劃時首次推出,使用者一次登入就可以擁有聯盟中多個網站的訪問許可權。但其最終形成了身份資訊寡頭壟斷的格局。
(3)以使用者為中心的身份:無需聯盟,以使用者為中心,使用者透過授權和許可將身份資訊從一個服務共享到另一個服務,如上文提到的OAuth協議就是這種模式。但是這類身份體系,使用者一般會選擇在一個較大的服務商處進行註冊,再授權登入到其他網站,存在著被註冊和授權網站洩露、刪除身份的隱患,使用者並沒有完全取得身份的掌控權。
(4)自我主權身份:使用者完全掌控自己的身份資料,是身份管理的中心,具有單獨控制、安全性和完全可移植性,不能所鎖定到某個站點或區域。Blockstream的Christopher Allen曾總結了自我主權身份的十項原則:獨立存在、使用者可控、可訪問(使用者可訪問自己的所有資料)、透明度、身份永久存在、可移動、互操作性、可授權、資訊披露最小化、使用者權利保護。
對於自我主權身份,傳統的數字認證和管理方法無法達到要求,而區塊鏈技術是實現這一目標的突破口,透過其分散式賬本和密碼學演算法建立分散信任的環境,提供可信身份。
三、區塊鏈與數字身份的結合形式
3.1 區塊鏈實現數字身份的可信互認
當前在自我主權身份發展早期的階段,前三個階段的數字身份形式仍然是最主流的。本節主要探討如何運用區塊鏈技術改善傳統數字身份認證方式,提高安全性和資料共享。
3.1.1 分散式身份認證
目前,傳統的PKI系統中,核心為數字證書和其簽發機構CA。針對CA的中心化簽發所引發如中心失效、網路安全等問題,可以運用區塊鏈技術實現分散式的數字證書籤發,讓以往由集中式CA認證中心簽發數字證書可以由區塊鏈的分散式賬本實現。一種方式是形成CA之間的區塊鏈,使得CA之間不必相互信任,以共識的方式完成數字證書的簽發和管理。第二種方式,區塊鏈的記賬和維護可以由系統中的所有證書持有者來共同完成。基於區塊鏈的PKI可以實現傳統PKI系統的證書申請、簽發、驗證和管理。
(1)證書籤發:使用者自己生成公私鑰對,私鑰自己儲存,並將公鑰和用於驗證個人身份資訊的資料發動給驗證節點進行證書的申請。
(2)證書籤發:會根據新使用者提交的資訊驗證其身份的真實性;驗證透過後生成數字證書並上鏈。
(3)證書撤銷:證書使用者提出證書撤銷請求,其中包括使用者的證書以及可以證實使用者身份的資訊;驗證節點根據使用者提交的資訊驗證使用者身份,稽覈證書撤銷請求透過後,將未納入區塊的合法證書資訊以及證書狀態上鍊。
(4)證書更新:使用者需要產生一份新的數字證書,與原有證書有相同的DN(Distinguished Name)項。證書使用者向區塊鏈網路發起證書更新請求,提交待更新的證書,新產生的證書以及證實身份的資訊。其後再由驗證節點進行驗證上鍊。
3.1.2 跨機構安全身份授權
目前數字身份資料分散,難以共享,傳統的身份授權方式不夠安全。在統一身份標識無法快速實現和成熟的背景下,可以利用區塊鏈的分散式賬本讓身份共享和授權更加安全,其核心思想是透過聯盟鏈的形式來彼此鑑權和認可對方的登入請求,並授權訪問對應的使用者資料,形成可信安全的身份資訊互通體系。
具體流程如下:
1擁有使用者資料的服務商將使用者資訊加密生成私鑰和公鑰,其中公鑰生成該運營商的數字簽名,將公鑰和數字簽名上鍊,私鑰則儲存在使用者本地,如SIM卡。
2使用者登入聯盟鏈中某一應用(依賴方)時,該應用會向有使用者身份資訊的服務商(身份提供方)發起請求,接收到請求後,服務商向使用者傳送授權申請,等待使用者同意。
3應用獲得使用者授權後,在鏈上對使用者身份進行匹配,匹配成功後即說明對使用者身份認可,可以登入。
在這種方式下,應用主要依託於服務商的信用,可以不必要獲得使用者資訊即完成身份驗證,保護了使用者隱私。而應用本身也可以作為服務商,為其他應用提供使用者身份授權,以此形成一個分散式的可信身份網路。
3.1.2所描述的跨機構身份驗證方案實際上與上一小節的分散式身份認證採用了同樣的區塊鏈思維,即將身份資訊標識(證書)上鍊,具有使用者資訊的身份提供方扮演了和CA相同的角色,為使用者提供身份認證。
3.2 區塊鏈數字身份提供可信基礎設施
前文提到,全球有11億人群沒有官方簽發的身份證明,或者是增強其信用的行為證明,導致這些人無法享受很多應有的權利。同樣的,傳統的資訊形式,無論是線上還是線下都存在一些諸如身份偽造等事件。區塊鏈能夠利用其鏈上資訊真實可信,不可篡改等特點為這些人們提供低門檻的可信身份。
第一,區塊鏈技術可以和生物識別技術相結合,建立真實唯一,難以偽造的數字身份。主要思想為,讓使用者的生物特徵成為其身份標識,如指紋、面部、虹膜等,提取其二進位制特徵向量, 經過 Hash 處理後以數字摘要的形式儲存在區塊鏈上,形成不可篡改的數字身份,代替傳統所需的ID號。
第二,可以利用區塊鍊形成使用者不可篡改的行為記錄,與其身份繫結,增強其身份特性和可信行為特性。這對於提升普惠金融是很有意義的方式。據世界銀
行統計,2017 年世界上仍有17 億人沒有銀行賬戶。這是一個十分驚人的數字,這意味著世界上有17 億人無法利用銀行進行基本的儲蓄、匯款等業務。而更重要的是,銀行絕大部分現有金融服務又依賴於客戶的KYC 情況、過往金融記錄等銀行資料,而很難將金融服務延伸給這些真正需要融資的貧困人群等。透過區塊鏈數字身份,可以對很多以往無法統計的金融行為進行記錄,由於資訊的不可篡改性,使用者的金融信用會加強,更有助於其獲得金融機構的認可,能夠實現應用的金融權利。
3.3 區塊鏈實現自我主權身份與資料管理
3.3.1 實現使用者資料自治:分散式身份標識
自我主權身份相比於基於聯盟鏈的分散式身份認證和授權更多強呼叫戶身份的自主權和身份資料的控制權。區塊鏈提供分散式的信任環境,是實現自我主權身份的必要技術。
基於區塊鏈的自我主權身份的核心思想是創造一個全域性唯一的身份標識DID(分散式身份標識),具有高可用性、可解析性和加密可驗證性。目前相對有影響力的DID標準主要包括W3C提出的DID標準,以及DIF(Decentralized Identity Foundation)的DID Auth,比較知名的運用了DID專案有:MicrosoftDID、Sovrin、uPort、Evernym、Civic、ShoCard等。
以W3C的DID標準為例,DID系統主要包括了基礎層的DID識別符號、DID文件,以及應用層的可驗證宣告(VC)。
(1)DID識別符號:是全域性唯一的身份標識,類似一個人的身份證、賬號等。DID識別符號很長,不容易記憶。根據Zooko三角形理論,沒有任何識別符號能夠同時實現易記憶、安全、去中心化,W3C的DID取了後兩者。
(2)DID文件:描述如何使用該 DID 的簡單文件。每個 DID 文件可能至少包含三部分:證明目的、驗證方法和服務端點。證明目的與驗證方法相結合,以提供證明事物的機制。例如,DID 文件可以指定特定的驗證方法,例如密碼公鑰或化名生物特徵協議,可以用於驗證為目的而建立的方法。服務端點支援與 DID 控制器的可信互動。。
(3)可驗證宣告(VC):DID文件本身無法和使用者的真實身份資訊相關聯,需要VC來實現,是整個系統的價值所在。VC類似數字證書,是對使用者身份的證明。VC也有一套類似PKI的系統:
發行者(Issuer):擁有使用者資料並能開具VC的實體,如政府、銀行、大學等官方機構和組織,即身份提供方。
驗證者(Inspector-Verifier,IV):即需要驗證使用者身份的應用,即身份依賴方。
持有者(Holder):向Issuer請求、收到、持有VC的實體,一般即為使用者(身份所有者)或使用者的身份代理。開具的VC可以放在VC本地錢包裡,方便以後再次使用。
識別符號序號產生器構(Identifier Registry):維護DIDs的資料庫,如某條區塊鏈、分散式賬本。
下圖為DID系統獲得和使用身份的具體流程:
在DID系統中,VC儲存在使用者本地,儲存在使用者控制的儲存區中,出於對使用者隱私的保護,通常為鏈下儲存,而將加密後的資訊摘要到鏈上,使用者擁有VC的控制權。VC出具時可以根據IV對資訊的需求做到隱私資訊的最大保護,如可以只提供可信機構對使用者身份的認可VC,或“是”、“否”型別的回答,無需暴露使用者的真實資訊。IV一方面在區塊鏈上驗證使用者的DID,一方面透過VC來驗證身份資訊。
此外,DID本身只是一種身份標識,其無需根植於某個區塊鏈,只要接受這一身份標識格式,DID可以移植到各個區塊鏈中,完成跨鏈單一的身份,相比於傳統的區塊鏈地址有更強的便利性和可用性。
透過區塊鏈和DID,使用者可以將所有身份資訊自己掌握,且實現單一身份,做到真正的自主主權身份和資料自治,保護使用者應用的權利和資料隱私。
3.3.2 資料隱私保護的解決思路
在保護使用者隱私上,結合DID,當前有多種密碼學及軟硬體解決思路:
(1)零知識證明(Zero-Knowledge Proof):指的是可以在不洩露任何其他資訊的前提下證明一個命題的正確性。這裡的“零知識”並不是什麼都不知道,而是什麼都不洩露。身份認證是零知識證明的典型應用,例如匿名認證(透過認證並獲得相應的許可權,卻不洩露身份),保護使用者的隱私。零知識證明可以結合可驗證宣告為身份依賴者提供身份驗證,比如證明你已經成年,卻不會暴露你的真實年齡。對於身份依賴方來說,其實就是匿名形式的認證。
(2)分散式金鑰管理:指的是將金鑰進行分片,多個金鑰碎片分散式儲存,必須要大於一定比例的金鑰碎片才能夠合成完整的金鑰。金鑰碎片可以由區塊鏈網路節點進行管理,相比如公鑰直接上鍊具有更強的安全性和隱私性,加強了數字證書的不可篡改性。
(3)可信執行環境(TEE,Trusted Execution Environment):基於晶片硬體形成的可信環境,能夠對敏感資料進行有效保護。TEE隔離於REE(移動裝置執行OS的環境)、只能透過特定的入口與TEE通訊;TEE可以訪問REE的記憶體、REE無法訪問受硬體保護的TEE記憶體;TEE還可抵禦某些基於硬體的攻擊。因此TEE常用於資料內容版權保護、金融支付、身份認證等場景。在身份認證中,TEE可用於保護本地的使用者隱私資料以及使用者的金鑰。
(4)安全多方計算(Secure Multi-Party Computation):該方案主要針對無可信第三方的情況下,如何安全地計算一個約定函式的問題。參與計算的各方可以在不洩露自己的資料的前提下,共同完成某個計算過程,並且最終的計算結果還能證明是正確的。安全多方計算可以解決大資料時代,有價值的資料或是隱私資料難以分享的痛點,例如身份資料,金融資料等。在安全多方計算的協助下,多個資料持有方才能更放心的開展合作,在不損害自身利益的情況下,創造更大的價值。
四、案例分析:區塊鏈數字身份的功能實現
4.1分散式身份認證與授權平臺:eID數字身份鏈、聯核雲、ShoCard
4.1.1 eID數字身份鏈
eID數字身份鏈是以國家863重大專項公民數字身份為基礎的國家數字基礎設施。透過對接聯合國家各部委和有關部門,建立連結個人各維度資料的個人隱私保護體系和資料流轉平臺。eID數字身份鏈的指導機構和參與建設單位為公安部第三研究所,北京公易聯科技有限公司是數字身份鏈的協議建設單位及共同推廣機構。
eID數字身份鏈的技術框架如下:
(1)身份ID網路層:是整個生態的底層網路,以eID數字身份為索引,匯聚不同應用的數字身份一起組建的最底層資料關係。一邊保證eID數字身份與其他應用數字身份的關聯關係,另一邊也隔離了其他各應用之間使用者資料的關聯。
(2)資料網路層:以身份資料為本,管理其他各種資料組建的資料管理網路。透過eID數字身份建立鏈下原始資料與鏈上資料的關聯,並將這種關聯記錄上鍊。
(3)服務網路層:以身份服務為首,關聯了其他各種服務一起組建的可信服務網路。不同服務產生的資料都會分別存到鏈下資料庫和鏈上(加密後),在獲得授權的時候可以提取資料。
(4)應用網路層:以身份應用為先,會同其他應用組建的使用者應用網路。他可以是來自不同服務的資料,透過加工整合對外提供各種應用功能;也可以是統一服務支援多個應用。
eID數字身份鏈的具體使用流程如下:
(1)eID開通: 擁有eID的使用者即可使用eID數字身份鏈服務;使用者私鑰儲存在智慧裝置晶片中;
(2)身份資訊登記:身份資料提供人(如其他應用)提交資訊確權申請,由身份鏈稽覈節點進行稽覈,透過後將身份資料索引上鍊。
(3)資料流通授權:除使用者本人以外的其他主體檢視使用者身份資訊時,續取得使用者本人授權;授權時,使用者簽署電子協議,授權給資料提供方相應許可權,資料提供方將授權記錄上鍊;資料需求方在鏈上確認使用者已授權,並返回相應資料。
eID數字身份鏈支援各類機構、企業、參與方等在eID數字身份鏈上開發資料應用相關服務,並配備大量成熟元件方便其快速開發自己獨立的分散式應用,可以保證快速實現電商平臺、物流應用、醫療應用、交通應用、信貸應用、網際網路金融等應用開發,從而共同構建一個立體化的資料生態系統。
eID數字身份鏈的典型應用包括基於eID數字身份的區塊鏈電子證照。證照的持有人身份及發證機構的法人身份均由公民網路電子身份標識(eID)繫結,實現“人證合一”;發證機構經過平臺嚴格稽覈,在平臺備案後,可以入駐開放平臺發證,也可以透過API接入系統進行發證;每張證照進行權威、極速登記服務,透過區塊鏈、可信身份、數字簽名、可信時間戳“四重”技術認證,為每張證書生成不可篡改的“鏈上證書”DNA;所有發證記錄全網可查,將實現跨機構的證照溯源,證照持有人、取證機構可透過手機eID功能進行證照查詢與授權,實現證照的便捷流通,保證多方資料一致。包括基於eID數字身份的權威證書。2020年3月,深圳市資訊服務業區塊鏈協會舉辦區塊鏈諮詢師培訓,學員線上上考試成績合格者,可由深圳是資訊服務業協會發放“區塊鏈諮詢師”(初級)證書,證書基於區塊鏈發放,藉助於eID數字身份鏈進行證書核驗,證書獲得者可以用個手機號查詢和永久儲存自己的電子證書,同時,支援eID的手機可以透過電子簽證進行證書核驗。此外,中華國際科學交流基金會與中國集團公司促進會也藉助eID數字身份鏈的區塊鏈電子證照平臺頒發了公益捐贈證書。
4.1.2 聯核雲
聯核雲是中國移動、世紀幹金和火幣中國基於聯盟鏈推出的區塊鏈數字身份專案,其主要利用了中國移動的使用者身份資訊庫,推出多樣的數字身份核驗終端,為商家提供基於核驗終端的分散式網路資源和基於區塊鏈的分散式身份驗證和授權。
(1)端:數字身份核驗智慧終端
聯核雲智慧共享身份證核驗平臺由SAM_A分散式服務節點(Hytera-聯核雲S1)、聯核雲管理中心以及客戶端組成。透過結合物聯網、雲端計算與區塊鏈技術,聯核雲在傳統身份證閱讀器的基礎上進行改造,實現了裝置閒置時身份證核驗服務的共享,令帶有NFC功能的手機、行業終端以及各類RFID射頻讀卡等智慧裝置都能低成本、高效率地應用身份證雲核驗功能,從而為同一使用者提供不同場景下的身份交叉認證服務。由此可見,具備數字身份核驗功能的智慧硬體終端,成為聯核雲平臺提供身份即服務的重要抓手。
(2)雲:數字身份認證服務平臺
聯核雲透過組建P2P模式實現去中心化的分散式身份核驗,當客戶端申請核驗服務時由雲管理中心分配至線上的聯核雲服務節點(身份證閱讀器),客戶端直接與服務節點互動完成身份證核驗,大大降低了對集中式伺服器的資源和效能要求。其中,SAM_A 分散式服務節點每成功解碼一條身份證資訊,把交易事件新增到聯盟區塊鏈,鏈上資料無法篡改,有利於溯源監管。
(3)鏈:分散式數字身份驗證與授權系統
在聯核雲的區塊鏈數字身份方案中,藉助非對稱加密,私鑰擁有者可以推匯出相應的地址,作為身份的唯一識別符號,進而將身份屬性透過智慧合約進行關聯。使用者可以選擇性地公開身份資料,也可對第三方進行授權使用,同時因為區塊鏈去中心化的特性,服務商之間不必維護使用者身份儲存,統一從區塊鏈中公開或授權的方式獲得相關資訊即可。
(4)解決方案:分散式身份管理應用場景
聯核雲還透過SDK開發包方便各類企業合作伙伴接入,透過共建應用生態為使用者提供各種身份認證和授權服務,這意味著同一使用者可以在不同應用場景實現快速安全的數字身份認證和授權共享,真正擁有一張通行數字世界的“身份通”。
ShoCard是一個基於區塊鏈的身份管理生態系統,使用者可以在生態中建立和授權自己的數字身份,其核心思路是記錄和儲存使用者的第一次身份認證,解決重複KYC的問題。ShoCard中的數字身份允許多個實體企業或個人透過獨立的資訊驗證來建立信任,不需要雙方透過長期建立相互信任的關係,也不需要可信任的第三方進行獨立的驗證,所以ShoCard的數字身份是在其自己的生態內進行使用的。具體流程為:
(1)使用者將自己的ShoCard ID上鍊,並將如身份證、指紋等資訊上傳至ShoCard系統,本地儲存。
(2)使用者開始第一次身份認證,需要使用傳統的認證方法:如認證身份證時,身份依賴者一方面進行真實的身份證查驗,另一方面在區塊鏈中查詢該使用者的ShoCard ID。在確認該ShoCard
ID對應的使用者與其上傳繫結的身份證件確實是同一人後,即代表對該使用者的身份進行了認證。
(3)該身份依賴者可以成為身份提供者,為改ID提供類似數字簽名或可驗證宣告的認證材料,並加密後上鏈。
(4)使用者將獲得的證書儲存在本地,用於後續相同的驗證時使用,可以無需一次次地進行身份認證,保護使用者隱私。
ShoCard還提供了SDK,可以整合到企業客戶端和移動應用的應用程式和伺服器中,可以應用於企業之間的身份資訊共享,如金融KYC、旅遊、政府機構等。例如在金融行業中,ShoCard允許原始驗證者(例如執行初始KYC的銀行)使用區塊鏈向其他也要進行 KYC 的金融機構收取資訊費用,使用者自主決定和選擇與其他方共享的證書,可以幫助需要驗證金融機構降低其整體 KYC 成本並加快認證速度。
4.2基於生物識別技術的區塊鏈數字身份:ID2020、迪拜機場數字護照
4.2.1 ID2020
2015年9月,聯合國所有會員國透過了2015年-2030年的可持續發展目標,其中承諾到2030年“為所有人提供合法身份,包括出生登記”。 目前全球還有大約11億的難民沒有合法的身份證明。
ID2020聯盟在這樣的背景下,成立。其是由眾多企業、非盈利機構、政府等組成的聯盟,致力於提高數字身份的影響力,開發數字身份解決方案。目前ID2020的聯盟成員包括創始合夥人:微軟、埃森哲、洛克菲勒基金會(Rockefeller Foundation)、加維疫苗聯盟(Gavi)、IDEO.org,一般合夥人:援助機構Mercy Corps、非盈利組織Kiva、iRespond、Hyperledger、聯合國國際計算中心、Care International、非盈利生物識別技術公司Simprints、FHI360、CITRIS政策實驗室;以及無償支援公司:戰略傳播諮詢公司Copperfield Advisory和法律支援公司Chapman and Cutler LLP。
ID2020的主要服務目標為沒有合法身份的難民等人群,提供具有唯一性,私人可控的,永久存在和行動式的區塊鏈數字身份,其中主要運用生物識別技術創造身份標識。
目前ID2020聯盟已經有部分割槽塊鏈數字身份的實踐。2018年,聯盟成員iRespond與國際救援委員會合作,開始為大約35,000名接受IRC服務的湄拉難民營(泰國)的居民提供安全的加密數字身份。當難民加入該計劃時,將掃描他或她的虹膜,然後iRespond的專有演算法將那個唯一的影象轉換為12位數字,且沒有名稱或個人識別符號。這種數字身份可以連結難民的身份資訊,幫助他們認證身份,獲得醫療服務,且準確安全的記錄醫療健康資訊。如果難民希望分享向新的醫生分享其醫療資訊,可以讓醫生掃描虹膜,並透過在區塊鏈上提取他們的號碼來訪問他們的記錄。iRespond的營運長Scott
Reid說:“訪問該資訊的唯一方法是讓虹膜存在;沒有地址,名字,生日,與區塊鏈ID號相關的個人身份資訊。” 該方案為這些居民提供了行動式的“數字錢包”,這些電子錢包不僅可以儲存其醫療記錄,還可以儲存教育和職業證書,營地工作的歷史記錄以及無數其他可以證明的記錄。對於任何希望在營地之外樹立身份並在開始新生活的人來說都是必不可少的。
2019年1月,聯盟在達沃斯世界經濟論壇上釋出了ID2020認證標誌。由數字ID及其底層技術的領先專家組成的ID2020技術諮詢委員會(TAC),為使用者管理,隱私保護和行動式數字ID建立了一套基於結果的功能性技術要求。希望獲得其認證的公司可以提出符合該技術要求的數字身份解決方案,並向ID2020提出認證申請。
4.2.2 迪拜機場數字護照
2017年6月起,迪拜政府與英國初創區塊鏈技術企業ObjectTech合作,共同研發迪拜機場基於區塊鏈技術的安全系統。
ObjectTech表示,該電子護照有望替代迪拜國際機場的人工核對電子護照程式。該系統結合了生物識別驗證系統和區塊鏈技術,使用“預先核准的完全數字化護照”來驗證乘客的入境許可。該系統將透過短通道里的三位掃描系統,進一步驗證個人資訊,從他們進入機場到領取行李這一整個過程。透過區塊鏈技術,該企業表示數字化護照融合了一種稱為“自管理個人身份認證”功能,有利於個人隱私保護,讓乘客能夠控制哪些人有權檢視他們的護照資訊。ObjectTech創始人與CEO Paul Ferris在部落格中表示,他們計劃為國際旅客提供更快速和安全的出入境服務,讓乘客完全掌握他們的電子資料。該試驗專案計劃在2020展開,儘管具體專案時間表尚未釋出。
在這一嘗試中,基於區塊鏈的電子護照實現了:在獲得居民自身授權的前提下,居民身份資訊在城市間共享。
4.3自我主權身份應用: Uport
(1)uPort介紹
uPort是Consensys 建立在以太坊區塊鏈上的身份管理應用,其基本符合W3C制定的關於DID的標準,屬於使用者的代理,即Holder角色,會幫助使用者去進行可驗證宣告VC的申請、儲存和授權,以及DID在區塊鏈上的註冊。
uPort App類似於一款數字錢包,在APP上註冊會擁有一個uPort ID,由DID + 以太坊賬戶組成。一個uPort賬戶關聯了以下內容:1)一個uPort ID;2)個人基本資訊:可選填姓名、郵件、國家、電話四個欄位;3)Credentials:Credentials就是在W3C標準裡的VC。uPort App會幫使用者儲存VC。4)其他輔助資訊:如賬號的二維碼、賬戶頭像等等。
(2)uPort認證流程
Uport擁有的全域性唯一身份識別符號被以太坊代理合約(Proxy Contract)定義,代理合約可以傳遞交易,透過該合約機構與以太坊其他應用的智慧合約(Application Contract)互動。當使用者想和其他應用的智慧合約互動時,透過控制合約(Controller Contract)傳送事務,傳遞給應用的合約。控制合約中包含了訪問控制策略。
用過代理合約的方式在使用者私鑰和應用的合約中進入了中介軟體,也能夠讓使用者在丟失終端後替換原有的私鑰。控制合約中還包括還原網路,其成員由使用者指定,可以是使用者的好友、可信的機構等。如果使用者終端丟失,可以向拿到新的終端後向還原網路廣播新的公鑰,同時還原網路中的成員透過還原合約將使用者新公鑰確認併傳送到控制合約中儲存,當成員達到一定數量並確認後,控制合約更新使用者公鑰,讓使用者身份恢復。
由於uPort身份是以太坊智慧合約,依託於以太坊區塊鏈,未提供傳統管理系統中的證書服務,需要與各個Issuer進行合作來幫助使用者獲得更多的VC。
(3)uPort應用案例——瑞士楚格數字公民專案
瑞士楚格利用uPort與盧塞恩大學金融服務研究所Zug(IFZ)一起在以太坊區塊鏈上建立了世界上第一個政府自主發行的身份專案。楚格在以太坊公共網路上建立了自己的身份,使他們能夠簽名和驗證資料。授予楚格城市身份的訪問權委託給城市職員,城市職員使用具有特定管理員許可權的個人uPort身份。
瑞士人實行直接民主制,每年將他們帶到投票箱中約四次,以就與其所在州有關的無數問題進行投票,例如在餐館吸菸,為博物館提供資金以及擴大當地公交路線。儘管這是近代最民主的政府,但它也造成了麻煩,昂貴和耗時的過程。透過區塊鏈數字身份專案,楚格公民透過在使用者的uPort應用中顯示其ZUG
ID來獲得多項服務,比如,他們可以對即將到來的節日進行投票,而無需前往投票站。試點表明,使用者控制的身份可以支援電子投票計劃的現代化,這可以為該市節省數百萬的人口和生產力成本。
五、區塊鏈數字身份的難點
5.1 區塊鏈與隱私保護技術的低效問題
區塊鏈用分散式賬本的共識替代了原本的集中式認證,本身會導致一定的效率低下。同時在區塊鏈上驗證身份時,用遍歷區塊鏈的方法查詢身份—公鑰對,從而驗證某公鑰是否屬於通訊對方,這是目前常用的方法,但是會隨著區塊鏈賬本體積的不斷增大而效率更低。
對於隱私保護技術來說,身份認證的常用技術為零知識證明,用於保證使用者在授權其他應用身份時是匿名的,無需透露身份資訊。零知識證明本身是一種還未成熟的技術,且其需要依靠雙方的多次互動來進行,必然會導致效率的低下。而未來如果要使用安全多方計算,則對網路資源的依靠會更加嚴重。
因此,分散式身份受到網路和共識的影響會限制其發展,在技術本身不夠成熟的情況下,短期內只能實現相對簡單的認證功能。隨著5G上線,將能夠進一步擴寬網路的頻寬,稍微改善隱私保護技術的互動效率。也有一些學者在研究提升區塊鏈身份認證的效率的方法,如湯凌韜等(2019)提出一種基於密碼累加器的身份認證方式,將鏈上身份和公鑰資訊對映為累加值,實現認證功能的同時提高了身份—公鑰對的驗證效率,同時解決了區塊鏈體積不斷增長的情況下輕節點儲存空間不夠的問題。
5.2 使用者資料隱私與企業資料變現的現實衝突
對於區塊鏈的資料共享,主要有四種形式:
(1)資料直接上鍊公開:這種方式資料可以做到最大限度的共享,但是毫無隱私可言。
(2)一部分資料(通常為加密後)的資料上鍊,鏈下鏈上資料互通:這種形式能夠實現脫敏資料的共享,同時又保護了鏈下重要資料的隱私。這種形式也分兩種情況1)如果不把鏈下資料共享,則其通常只能實現資料驗證,無法將真實的資料加以綜合利用;2)如果透過使用者授權的形式分享了鏈下資料,則一次授權後資料就會洩露出去,無法實現每次使用每次授權。
(3)將所有隱私資料都儲存起來,只有擁有私鑰的人才能使用。這種形式可無法實現資料共享。
(4)使用安全多方計算:各方在不需要知道對方資料的情況下進行資料計算,既保證了資料的隱私,也實現了資料共享和價值挖掘。
在分散式的數字身份中,由於傾向於保護使用者資料隱私,所以最大限度的做到資訊披露的最小化,所以其主要透過第二種資料共享的方式,僅進行認證結果的共享。在分散式身份授權中,通常由一家企業掌握使用者身份,經使用者許可將其身份授權給其他應用,這種授權僅僅是提供了一個可信證明用於登入或驗證,無法提供更深層次的身份資訊。如果提供在使用者授權下提供具體的身份資訊,那麼其實不算真正意義的隱私保護。而在自我主權身份中,這種情況則更甚。所以在隱私保護的前提下,使用者身份資訊是難以共享的。
而目前大量的網際網路公司都是以使用者大資料分析實現的商業模式,如廣告業務、金融業務、電商業務等等,這些業務都需要以使用者的身份資訊作為基礎來進行開展,所以和使用者資料隱私保護存在著難以調和的現實衝突。以資料作為核心商業模式的公司必然沒用動力去參與這樣的數字身份系統,所以目前的很多自我主權身份應用都沒有獲得非常大的成功。
如果要同時保證資料隱私,以及資料互動計算,那麼需要使用安全多方計算的密碼學演算法。然而安全多方計算目前還在技術發展早期,只能實現最基礎的計算,要進行多方大資料分析還為時尚早。所以這種現實矛盾在長期來看都是存在的。對於自主身份的推進更多時候一方面需要依靠使用者本身的隱私意識,另一方面需要政府對此類保護使用者隱私的數字身份給予政策支援或推出官方標準,推動企業去轉變其商業模式。
5.3 私鑰管理和身份識別符號的使用門檻較高
前文說到,分散式身份識別符號DID為了保證分散式和安全性,犧牲了其可用性,識別符號的文字通常複雜難記。同時,使用者如果為了進一步提高隱私安全,可以使用一個人對應多DID的方式,每個身份資訊(如身份證、電話、駕駛證)等都對應一個DID,那麼其管理將加倍困難。
私鑰和身份識別符號同理,也是一串難以記憶的長字串,且私鑰由使用者自己儲存,如果使用者希望完全掌控自己的資料,那麼私鑰理論上是隻有使用者知道,一旦丟失私鑰中對應的資料均會丟失。目前很多數字身份的私鑰儲存在手機等移動終端裡,如SIM卡,如果手機丟失或被偷,也會造成比較嚴重的後果。這並不符合普通網際網路使用者的習慣,使用門檻較高,使得人們對這種方式的接受度降低。
六、區塊鏈數字身份的未來展望
6.1 數字金融的發展驅動區塊鏈數字身份崛起
區塊鏈數字身份實際上是一種基礎設施,主要基於使用區塊鏈技術的前提下探討的,所以在實體經濟中,區塊鏈數字身份的使用依賴於實體企業對區塊鏈技術的使用。當前,數字金融的發展將是推進區塊鏈數字身份使用的最重要驅動力。主要基於兩個點:
(1)金融行業對區塊鏈具有現實的需求。金融行業區塊鏈技術最早發展也是最適合結合的行業之一。金融領域中包括(跨境)支付、證券、供應鏈金融等行業,由於涉及多個環節和多方合作,區塊鏈的分散式賬本能夠幫助其更高效的實現通訊和資金交易。同時,數字資產是區塊鏈最經典的應用,在金融行業中一方面可以將金融憑證上鍊形成可交易可流轉的數字資產,還可以利用數字資產進行支付,實現實時清結算。
另外,普惠金融則對區塊鏈有更強的需求,透過其不可篡改性建立低門檻的可信數字身份,為廣大發展中國家缺乏信用身份的公民提供實現金融行為的基礎。
目前,全球各大金融機構均在探討區塊鏈和金融的結合,全球最大的跨國銀行清結算通訊體系SWIFT也計劃將區塊鏈加入其中;Facebook推出了非國家化的數字貨幣Libra,致力於推進普惠金融;美國、中國、歐洲等國政府均在積極探討和部署央行數字貨幣。可見全球對區塊鏈金融發展和其影響力的認可
(2)區塊鏈數字身份能夠幫助數字金融更好地實現KYC共享和機構監管。上文說到,區塊鏈數字身份實際上是可信的基礎設施。傳統的區塊鏈系統具有匿名性,監管機構難以判斷其真實身份,所以始終對區塊鏈技術存在擔憂。因此,在區塊鏈中實現可信的數字身份是必要的,透過將使用者的數字身份標識與真實身份進行繫結,由官方機構為數字身份標識提供可驗證宣告,讓監管機構能夠知道數字身份的背後是誰。最重要的是,區塊鏈數字身份可以實現金融機構之間KYC的共享,使得追溯個人完整的金融交易行為變為可能,實現對洗錢、恐怖主義融資等危害金融安全的事項的及時發現和追蹤。
6.2 區塊鏈統一身份標識率先落地
由於當前區塊鏈數字身份在隱私保護和資料共享利用上無法實現非常理想化的結果,其發展也需要循序漸進。短期來看,建立使用者的統一數字身份標識,避免重複認證和登入,是區塊鏈數字身份最根本、需求性最強也可最先落地的領域。如在上一節提到的在金融區塊鏈中實現統一身份標識,追溯完整金融行為,便是這一概念。
2019年6月,Visa B2B Connect正式投入商用,該系統為金融機構提供基於區塊鏈的數字身份解決方案,以安全地處理跨境支付。其中,Visa B2B Connect 擁有獨特的數字身份識別功能,能夠將企業的敏感商務資訊(如銀行資訊和賬號)數字化,生成唯一的加密識別符號,並用於在此網路中完成交易。
要實現統一的身份標識,其應該具有相同的技術標準和高相容性,能夠在不同的區塊鏈系統中進行識別和識別。目前已經國家釋出了《公民網路電子身份標識格式規範》的技術標準,eID就是基於這個標準建立的統一身份標識。在案例中,eID數字身份鏈使用eID可以作為統一的身份標識,面向各種資料來源、區塊鏈系統開放,支援任意節點加入後可無縫連線其它節點,其還採用松耦合的模組化設計,使得任何政府部門、行業協會、機構單位可獨立快速部署節點接入,具有很高的易用性。
6.3 以各國政府牽頭推動建立區塊鏈數字身份系統
區塊鏈數字身份屬於基礎設施,很大程度上依賴公關事務,且與部分商業企業存在一定利益衝突,所以政府需要成為建立區塊鏈數字身份系統,強呼叫戶資料隱私的主要推動力,使其成為未來資料主權社會的重要基礎設施。
例如在歐盟推出通用資料保護條例(GDPR)後,歐洲眾多企業均改變了其資料運用模式。劍橋區塊鏈是一家制作數字身份軟體的公司,透過使用區塊鏈技術讓個人擁有資料的儲存、共享和驗證許可權,為企業提供有效的解決方案,幫助金融機構滿足最嚴格的新資料隱私規則,消除多餘的身份合規性檢查流程,主動迎合監管的同時降低成本。該初創公司已經獲得了富士康HCM Capital、Paypal等公司合計1050萬美元的A輪融資。
2020年2月,中國人民銀行正式釋出了《金融分散式賬本技術安全規範》,其中第十三章提到了身份管理的規範,對身份註冊、身份核實、身份管理等多個方面提出了要求;第十四章則提到了隱私保護,規定了所有資訊需獲得資訊所有人的授權,需告知使用者其被使用的資料等。
3月22日,中國人民銀行金融研究所首席研究員鄒平座發表中國人民銀行論文《貨幣政策的市場化協同與大資料機制研究》,文章表示,人的價值管理產業將來可能是最賺錢的產業,特別是在人民幣產業化、市場化、國際化的背景下,中國未來5-10年將出現以區塊鏈為基礎技術的"價值產業",這個產業是由科技革命引起的價值函式的變化引起的,並且透過數字經濟和通證經濟,推動中國轉向人類的第三次文明-科學社會,引發深層次的社會變革,這種變革將可能成為全球的標杆。這種貨幣制度的傳導機制將用區塊鏈的超級賬戶定義每個人的價值,並且生成每個人的價值大資料,這種大資料與每個人的收入函式大資料和支出函式大資料相互映證,並且透過市場生成每個人的通證。人的價值的通證,就是數字貨幣。文中提到的“超級賬戶”概念本質上與區塊鏈數字身份不謀而合,透過數字身份將不可轉改的鏈上資訊與現實身份資訊將結合,創造個人價值最大化。
因此,以政府牽頭來建立區塊鏈身份系統,可以更好地建立被廣泛認可的身份標識和身份規範,更利於推廣和使用。同時,政府對於身份保密性通常有更高的要求,所以區塊鏈數字身份也會成為政府政務等系統中必不可少的基礎設施。
七、參考文獻
[1]The Path to Self-Sovereign Identity. Christopher Allen. https://www.coindesk.com/path-self-sovereign-identity
[2]網路安全之身份認證. https://blog.csdn.net/wowotuo/article/details/82825427
[3]劉千仞, 薛淼, 任夢璇, et al. 基於區塊鏈的數字身份應用與研究[J]. 郵電設計技術, 2019, 518(04):87-91.
[4]呂凌浩. 基於區塊鏈技術的數字證書處理構想[J]. 中國資訊化,2019(5):91-92.
[5]李強, 舒展翔, 餘祥, et al. 區塊鏈系統的認證機制研究[J]. 指揮與控制學報, 2019, 5(1):1-17.
[6]去中心化身份(Decentralized ID, DID)介紹. https://blog.csdn.net/treaser/article/details/99004355
[7]Can Blockchain Finally Give Us The Digital Privacy We Deserve? https://www.newsweek.com/2019/03/08/can-blockchain-finally-give-us-digital-privacy-we-deserve-1340689.html
[8]Dubai Plans Digital Passports Using Blockchain
Tech. https://www.coindesk.com/dubai-plans-gate-less-airport-security-using-blockchain-tech
[9] Zug Digital ID: Blockchain Case Study for Government Issued Identity. https://consensys.net/blockchain-use-cases/government-and-the-public-sector/zug/
[10]湯凌韜, 許敏, 金玉榮. 基於區塊鏈的身份認證機制的效率最佳化方法研究[J]. 計算機應用研究, 2019(10).
[11]鄒平座, 中國人民銀行論文《貨幣政策的市場化協同與大資料機制研究》.
作者介紹
1.關於火幣區塊鏈研究院
火幣區塊鏈應用研究院(簡稱“火幣研究院”)成立於2016年4月,於2018年3月起致力於全面拓展區塊鏈各領域的研究與探索,以泛區塊鏈領域為研究物件,以加速區塊鏈技術研究開發、推動區塊鏈行業應用落地、促進區塊鏈行業生態最佳化為研究目標,主要研究內容包括區塊鏈領域的行業趨勢、技術路徑、應用創新、模式探索等。本著公益、嚴謹、創新的原則,火幣研究院將透過多種形式與政府、企業、高校等機構開展廣泛而深入的合作,搭建涵蓋區塊鏈完整產業鏈的研究平臺,為區塊鏈產業人士提供堅實的理論基礎與趨勢判斷,推動整個區塊鏈行業的健康、可持續發展。
2. 關於中國數字經濟百人會可信數字城市專項工作組
中國數字經濟百人會是在工業和資訊化部、中國科學技術協會和中華全國工商業聯合會的指導下,由中國電子學會聯合國家級科研機構、知名高校、事業單位、行業組織和典型企業共同發起成立。中國數字經濟百人會可信數字城市專項工作組是為響應中國數字經濟百人會(以下簡稱“數百會”)推動中國數字經濟高質量發展、協力營造融合發展新生態、著力構造公共政策新智庫、努力打造經濟增長新動能的定位宗旨,經數百會執委會常務委員會測評與表決程式批准,於2020年3月正式成立。
中國數字經濟百人會可信數字城市工作組致力於凝心聚力、務實高效地開展數字經濟背景下可信數字城市的建設和數字身份標準的推動等專項工作,旨在推動數字身份領域應用實踐,將數字身份打造成數字經濟發展的重要基礎和數字中國關鍵性基礎設施。
重點工作方向:
圍繞建設可信數字城市制定和推動數字身份鏈標準,打造數字身份創新試點專案,組織召開系列巡迴研討會,梳理傳播數字身份應用和落地經驗。
3. 關於太一雲技術股份有限公司
北京太一雲技術股份有限公司是新三板掛牌的區塊鏈高新技術企業(NEEQ:430070)公司總部位於北京,在深圳、廣州、蘇州、湖南、江西等地設有分子公司,在海外積極響應國家一帶一路倡議,在英國、加拿大、日本、泰國、阿聯酋、哈薩克、香港等國家和地區都有業務存在或者區域合作伙伴。公司是國內最早進行區塊鏈技術研發的公司,擁有一支能力傑出,經驗豐富的技術隊伍,與中科院聯合組建了大資料與區塊鏈實驗室。公司參與了《可信區塊鏈標準》、《合規區塊鏈指引》《eID數字身份鏈白皮書》《賽迪公鏈測評標準》等國家行業標準制定,擁有近百項發明專利和軟體著作權。公司在金融、醫療、食品、旅遊、交通、防偽溯源、社會治理、文化版權、供應鏈管理等領域擁有成熟的解決方案和實施案例,服務了包括國家電網、中化集團、中核集團、新華網等在內的多家央企和中國銀聯等多家金融機構,是公安部eID數字身份鏈的聯合共建和授權合作單位。公司是多個重要的區塊鏈行業協會和標準組織的發起機構和理事長、副理事長單位,多次代表中國區塊鏈行業參加達沃斯論壇並擔任中國區塊鏈應用研究中心理事長單位,中國集團公司促進會區塊鏈專委會副會長單位,擔任中國數字經濟百人會可信數字城市專項工作組牽頭單位,全國工商聯併購公會區塊鏈專委會主任單位,中國電子學會區塊鏈分會會員單位,HyperLedger超級賬本理事成員。
免責宣告
1.本報告作者及其所在機構與本報告中所涉及的其他第三方不存在任何影響報告客觀性、獨立性、公正性的關聯關係。
2.本報告所引用的資料及資料均來自合規渠道,資料及資料的出處皆被作者認為可靠,且已對其真實性、準確性及完整性進行了必要的核查,但作者不對其真實性、準確性或完整性做出任何保證。
3.報告的內容僅供參考,報告中的事實和觀點不構成商業、投資等相關建議。作者不對因使用本報告內容而導致的損失承擔任何責任,除非法律法規有明確規定。讀者不應僅依據本報告做出商業、投資方面的決策,也不應依據本報告喪失獨立判斷的能力。
4.本報告所載資料、意見及推斷僅反映研究人員於定稿本報告當日的判斷,未來基於行業變化和資料資訊的更新,存在觀點與判斷更新的可能性。
5.本報告版權僅為火幣區塊鏈研究院所有,如需引用本報告內容,請註明出處。如需大幅引用,請事先告知(聯絡方式見“關於火幣區塊鏈研究院”),並在允許的範圍內使用。在任何情況下不得對本報告進行任何有悖原意的引用、刪節和修改。
