11月8日下午,由巴位元主辦的“2019世界區塊鏈大會·烏鎮”繼續進行,在分論壇“技術改變世界:區塊鏈底層基礎設施”上,中鈔區塊鏈技術研究院院長張一鋒發表《分散式數字身份-構建區塊鏈基礎設施》主題演講。
以下為張一鋒院長的演講全文。
下午分論壇的主題是區塊鏈基礎設施,對於這個名詞,每個人都有不同的視角。我嘗試從區塊鏈應用下一步發展的角度,談一談我的看法。
第一點是關於行業或區域的公共區塊鏈平臺的建設。當前區塊鏈應用發展的總體形勢很好,新的應用不斷被挖掘並開始落地。
但如果依舊是搭建一條條割裂的聯盟鏈,和一個個割裂的聯盟鏈應用,一是對業務創新團隊的技術門檻要求過高,二是造成巨大的資源浪費,三也不利於形成創新的集聚效應。我們知道,創新的孕育,往往需要一定的濃度。
而公有鏈,使用者和節點可以自由進出,資料開放共享,似乎滿足了人們對網際網路自由創新的烏托邦式的想象和嚮往,但現實是效能仍較低下、完全的匿名造成監管的缺失和非法應用的泛濫,所以客觀上一直遊離於現實經濟的應用之外。
目前來看,開放許可鏈,或者也叫做公共聯盟鏈,既透過許可鏈模式限制共識節點的數量來達到提升系統效能的目的,又開放接入節點開放資料訪問來實現最大範圍的跨機構跨應用的資料與業務協作,我認為是推進區塊鏈基礎設施建設,構建行業或區域公共區塊鏈平臺的重要技術路徑。
第二點想談談數字身份,這是推動區塊鏈更廣泛應用的另一項重要基礎設施。今天區塊鏈很少形成大規模應用,仍未產生殺手級應用,其一個重要的原因,就是尚未建立數字身份的公共基礎設施,導致一些很有潛力的應用,較難突破從1到100的這一步。這十多年,手機智慧應用的蓬勃發展,得益於移動網際網路的基礎設施的完善;未來十年,區塊鏈應用的興起,更需要數字身份的公共基礎設施的完善,使得區塊鏈的應用,與現實中的個人形成更緊密的連線,既保護個人的隱私,又使得區塊鏈應用突破完全匿名導致非法濫用的窘境。
就數字身份,我重點談談四點認識和理解。
1
數字身份的演進
從網際網路誕生的那一天開始,其底層只有IP地址,沒有賬戶和身份的模型,賬戶與身份,完全依託應用層來實現;而區塊鏈從比特幣開始,就區分了節點和賬戶的不同概念。
網際網路上最早的數字身份模式,就是賬號+密碼的應用賬戶模式,簡單明瞭,所以到今天仍最廣泛使用,適應了網際網路發展的初期,而到了後來,每個人都需要記憶和管理一大堆不同應用的賬戶和密碼時,就出現了極大的侷限性。
之後,一些巨無霸的應用(像Facebook,微信)開始開放自己的身份體系,允許其他應用方直接使用Facebook或微信的賬戶登入各自的應用,形成了所謂的聯盟身份模式。當然,因為身份授權和個人隱私的問題,聯盟身份模式在實際中也出現了些糾紛。
而當身份應用進一步往前發展,比如,用微信來投個票,投票發起方既難以審查投票過程,甚至連投票人也不知道自己的投票意願是否被真實計票;密碼學技術開始融入數字身份,基於PKI體系的數字證書,可以構建起數字身份對應主體的個人意志的真實表達、傳遞和驗證。
我們正看到,下一代的數字身份的發展,開始朝著這樣的一些新的特性。
數字身份,不再是被應用方或聯盟方所壟斷,數字身份的管理權迴歸到使用者主體,被主體自己所管理,所以有時候也叫做自主權身份(SSI)。
另一方面,數字身份中的身和份,即主體識別符號和主體屬性開始解耦,後者形成獨立的可驗證憑證,用於更廣泛並使用者可控的數字身份資訊互動。
下一代的數字身份,必然是分散式的。說它是分散式的,不是因為我們今天來開會的都喜歡分散式。是因為現實世界中,集中與分佈,中心化與去中心化,這兩種基本正規化,一直共存並相互補充。從區域性看,每一個身份的證明,都依賴於某一個集中的中心,從全域性看,人類社會的身份,數字世界的身份,又是由無數箇中心來共同提供的。中心化與去中心化,對立而統一。但總體來說,數字身份,呈現的是一個分散式的形態,才更具有彈性和扁平化特性,這既是現實世界的真實反應,也更符合數字世界發展和治理的需要。
2
分散式數字身份模型
在現實世界裡,我們每個人都擁有不同的身份,在單位是經理,回到家是丈夫,一個主體,多個身份,而這多個身份,往往還不可以混用。回到家,還老覺得自己是個經理,這往往是一些家庭悲劇開始的原因。在分散式數字身份的物件模型裡,每個人也需要有不同的ID,來對應不同環境、不同場景、不同應用下不同的身份,這些歸屬於同一人不同的數字身份,由個人自己來管理、維護和歸集。而每一個數字身份的驗證和使用,在W3C的模型裡叫做可驗證憑證,這個可驗證憑證可以透過WIFI、藍芽、NFC、二維碼等多種形式進行傳遞並被可信的驗證。
在分散式數字身份業務模型中,通常有三個不同的角色,發行者、持有者和驗證者。舉個例子,馬拉松賽的成績證明,賽事主辦方是憑證的發行者,負責馬拉松成績證書的頒發;馬拉松選手是持有者,申請、儲存並出示成績憑證;每個人都可以是驗證者,驗證馬拉松選手出示的成績憑證,並透過區塊鏈上的身份登錄檔來核驗賽事主辦方(發證方)的合法身份。以往的發證方往往同時需要提供憑證線上驗證的服務,一旦這個服務終止,則所有已發行的憑證的有效性都將不再能被驗證;分散式數字身份模型中,所有已發行的憑證的有效性,都不再依賴於發行者是否還提供服務。
我們看一下分散式數字身份的一個典型架構,最底下一層是區塊鏈為基礎的身份賬本註冊體系;第二層是代理層,為每一個數字身份主體提供安全的接入服務和訊息轉發通道,有點類似移動通訊中的無線基站;再上面一層,就是剛才介紹的可驗證憑證的流轉,從發行者到持有者再到驗證者;而最上層,負責這個分散式數字身份世界的治理。
3
分散式數字身份的相關標準和關鍵密碼技術
從協議分層的角度,大致可分為四個方面。W3C組織定義了一套全球唯一的、通用的、標準化的、可機讀的DID分散式數字身份識別符號,而Verifiable Credentials標準規範了可驗證數字身份憑證的資料格式和互動,為未來數字身份互聯互通準備了條件。DIF組織提出的DID Auth標準著手解決不同業務方之間認證DID控制權的方法。而DKMS致力於透過對分散式金鑰生命週期管理的設計,來構建一個可信的點對點的安全通訊鏈路。
在分散式數字身份的關鍵密碼技術裡,最重要的是anonymous credential匿名憑證技術。這是一種基於零知識證明的密碼學技術,使得憑證持有者不再只是憑證流轉過程中的一個透明的通道,而真正成為了憑證的持有者和管理者,可以自主決定和選擇披露所出示憑證的內容範圍、顆粒度和形式。比如只出示一個年齡>18歲的證明,而不用過度披露出生年月甚者整個身份證資訊;又比如只需要出示銀行存款餘額>50萬的證明,而不用直接披露存款餘額的真實數字。之前微軟和IBM主要是基於Idemix演算法,今年開始Bulletproofs演算法也開始嶄露頭角。
4
小 結
最後做個小結。只有分散式數字身份體系建立起來之後,區塊鏈的應用才可能真正和現實世界的業務打通,完成與現實世界相關的應用落地,並藉助區塊鏈技術的特性,構建出嶄新的創新應用。移動網際網路,微信和支付寶成為了中國人接入這個數字世界的實際的主要入口,在區塊鏈構建的進化中的新的數字世界,分散式數字身份會是真正的入口,只要遵循開放的協議,這個入口不再為某一家企業或機構所壟斷,而透過這個入口,資料才可以真正圍繞資料的所有者(個人主體)來可控的流轉和使用,區塊鏈上對映的價值物件,也才能被有序的確權和轉移。身份,資料,價值,是區塊鏈世界的三個基本要素,其中身份是最關鍵的基礎。
謝謝大家!
