6月24日,中鈔區塊鏈技術研究院、飛天誠信科技股份有限公司、微眾銀行等17家單位共同發起成立分散式數字身份產業聯盟(DID-Alliance,簡稱DIDA),共建分散式數字身份基礎設施,打造可信開放數字新生態。
本文系微眾銀行區塊鏈首席架構師張開翔在 DIDA成立大會上的分享,也是微眾銀行區塊鏈團隊在分散式數字身份領域技術研究和應用實踐的一些思考和積累。謹以此拋磚引玉,希望能和更多行業專家、同道中人,在開源開放、互聯互通的基礎上聚力前行。
數字化趨勢
對分散式數字身份體系的需求
從現在到未來,人們越來越多地透過數字化方式接受服務,同時又生產數字資訊。作為數字化的重要基石,全新的分散式數字身份體系,為技術、應用、治理、法律法規的發展,帶來更多機遇和挑戰。
數字時代的身份體系
與人們實體身份密切關聯的資訊,諸如身份證照、職業資歷、醫療服務、金融賬戶等,正在逐步電子化。另外,隨著網際網路的成熟,人們的線上身份關聯了大量社交網路賬號、文娛和商業資料。
在數字化版圖裡,機構需要線上上標識自己。根據機構性質的不同,權威機構更多是履行認證和監管職能,商業機構驗證憑證和使用資料,以提供場景應用服務。
隨著新基建的推進,越來越多物聯網裝置接入網路,實物裝置需要在網路中明確自己的標識,且和其他實體,如人或者機構,建立繫結關係、產生資料,以及對指令做出響應。
人、機構、實物都是數字化社會里的主體,構成巨大生態。數字化生態和初步的“電子化"有著代際區別:電子化主要指採用電子方式承載實體資訊,資料是否歸使用者所有、是否可以自由流轉,在當前產業生態和法律法規下,邊界還略顯模糊,實操上會遇到各種障礙;而在數字化社會里,實體追求自主管理資料,透過可信交換創造價值,使用者的隱私和收益都可以得到保障,資料自由流動,生態蓬勃發展。
分散式數字身份管理的必要性
既往,有的機構獲得大量使用者的許可,生產、收集資料,併為自己所用,形成了一個個資料孤島。有的機構對資料有巨大需求,不得不付出商業成本,從外部輸入資料,其他機構則應運而生,對外提供資料獲取利益。
在資料價值兌現的嘗試程序中,由於技術、商業模式、法律法規尚未成熟,資料交易常常遊離在法規邊緣,且交易代價巨大,資料不能順暢流動,難以體現其應有價值。更重要的是,忽略了使用者的參與性和合法權益。
我們認為,未來的數字化社會,應當以使用者為核心,由使用者明確授權,在安全隱私的前提下,共享和交換資料,各參與方之間建立分散式驗證和聯合計算的關係。
分散式數字身份體系帶來了全新觀念,催生新的商業模式,使資料作為合法合規的生產要素成為可能。
分散式數字身份管理的定位
分散式數字身份管理體系
在我們所理解的整個體系中,最底層是分散式可信網路,參與者共同完成共識、追求事務一致,所承載的資料難以篡改,且整個系統高效可靠。依託可信網路,方案實現對身份的標識和管理,相關資料經過存證,得到信用背書且可追溯的資料可以進行可信共享和交換。進一步地,如果資料本身蘊含著資產、價值、信用,那麼就會進入到資產管理和交易領域。
金融業務、社會事務、產業智慧等廣泛行業都需要這樣的分散式基礎設施,產業參與者可以基於明確的身份、可信的資料、透明的規則、高效的協作模式,努力去擴大市場規模、改善決策成功率、提升風控效果、完成交易記賬和監管等流程。
在如此龐雜的產業生態中,技術只是其中的一個路徑,領域的發展還需要評測認證、標準化建設,以及相關法律法規建設,追求在監管合規上的可行性,這樣整個產業才具備相當的可操作性、可持續性。
從三個維度理解分散式數字身份
分散式數字身份是一種基礎能力,更是業務開展的前置條件,就像當前金融業務都要做KYC一樣。其具有承上啟下的樞紐作用,只要流程與“人”相關,都脫離不了“身份”。
對分散式數字身份的準確定義,目前尚有不同的理解,需要深入討論,形成共識,逐步勾勒出明確邊界。在此,我們嘗試從“厚度”、“深度”、“廣度"這三個維度,闡述分散式數字身份的內涵和外延。
分散式數字身份的“厚度”
分散式數字身份的“厚度”
分散式數字身份最為行業人士所知的一種形態,是W3C DID規範組織定義的一串字元,如 “did:weid:101:0xae0b295667a9fd93d5f28d9ec85e40f4cb697bae”。
這串字元分為幾個部分,聯合起來構成全域性唯一的標識,在分散式網路中具有很強的通用性,是分散式數字身份的起點。
圍繞這個DID,國際標準化組織們設計了一系列功能完整、語義清晰的協議,定義了線上的身份描述文件(Document),以及憑證(Credential)的生成、出示、驗證和銷燬等流程,覆蓋身份和憑證管理的完整生命週期。
這一系列協議,可以成為我們重要的參照,是邁向標準化的基礎。
協議中定義了三個重要角色:認證者、使用者、驗證方。這些角色構成了生態裡的核心三元關係。其中,使用者是核心中的核心,持有和控制自己的資料。使用者的資料有字面意義上的文字、圖片、音影片等原始資料,更進一步,有基於原始資料進行驗證、運算、評估後得出的各種憑證,如學歷證書等。最終,有價值的資料和憑證可以代表使用者在生態中持有的資產和信用。
有了明確的標識、可操作的協議,以及角色和資料的關聯,這些東西終究要在數字化的應用場景中使用和流動起來,這就是分散式數字身份的最終目標:服務產業,創造價值。
於是,標識、協議、角色、資料、場景共同疊加成分散式數字身份的“厚度”,這也是分散式數字身份的“核心內容”,回答的是“分散式數字身份是什麼”和“包含了什麼”的問題。
分散式數字身份的“深度”
分散式數字身份的“深度”
“深度”這個關鍵字,主要是回答“要做什麼”和“有什麼挑戰”,以及闡述“是什麼支撐起整個分散式數字身份的技術體系”。
在回答這些問題之前,我們先提出幾個重要目標:使用者控制、分散式驗證、隱私保護。
客觀地說,在傳統系統裡,對身份的管理已經比較成熟,有各種各樣的KYC、生物驗證、開放API、雲端儲存等技術和系統,來幫助認證身份、管理資料、頒發憑證和進行驗證。
而分散式數字身份最大的不同在於其“分佈”,這個體系裡沒有控制資料的孤島,而是把資料的控制權交給使用者,由使用者自主選擇儲存方式,並根據自己的意願,在不同場景去使用。無論使用者在哪裡,把憑證和資料給到誰,都可以在分散式網路上完成驗證,同時保護隱私,避免資料被濫用,以及防止使用方對使用者畫像,避免在事後針對使用者。
W3C DID協議規範是個框架性的定義,比如,它要求在出示憑證時能做到“選擇性披露”,但具體怎麼做,可以根據場景和開發者的理解,選擇不同的方式。因此,在整個體系的技術實現和周邊支撐系統建設上,存在極大靈活性、開放性,同時也蘊含巨大挑戰:採用怎樣的技術和方案是最合理、最高效、最符合使用者需求的呢?這就需要反覆、迭代的實踐來證明了,所謂“粗略的共識,能跑的程式碼”,實踐方得真知。
為了使協議可以“用起來”,我們要為使用者提供易用的終端工具,幫助使用者安全且方便地管理個人資料,進行高效合規、能體現資料價值的資料交換。這些功能要覆蓋身份以及資料的產生、儲存、轉移、銷燬等全生命週期,要有完善的功能、良好的體驗、可接受的建設成本,以及邏輯自洽的運作模式。
再深一層,是基礎的分散式技術體系。如DPKI(分散式公鑰基礎設施)體系,當前PKI體系的分散式版本;用區塊鏈為代表的分散式賬本技術,建立分散式的可信協作網路;以及為了應對非集中管理的海量資料,需要成本更低、效率更高、更安全可靠的分散式儲存技術。這些基礎平臺性技術,有的已經漸趨成熟,有的還在高速發展中,牽涉到平臺選型、核心技術突破、智慧財產權等問題。
繼續前往技術的深水區——演算法。分散式系統牽涉的演算法五花八門,分散式一致性演算法和密碼學前沿演算法,是技術王冠上最亮的兩顆寶石,尤其在密碼學和隱私保護措施方面,以零知識證明、同態加密、安全多方計算、聯邦學習等為代表的方案,在保護性方面有良好的表現,但由於其理論較為複雜,部分演算法要求多次互動,或因生成的資料過大,實際執行時,效能、使用者體驗依舊有提升空間。我們要根據分散式數字身份裡牽涉的具體場景、業務流程、使用者需求,研究和實踐更為合適的演算法。
這一切構成了分散式數字身份的“深度”,可見這個領域在技術和模式上具備相當的挑戰,也帶來諸多機會和發展空間,需要從業者群策群力,聯合產學研的力量,堅持安全可控路線,攜手攻關,在探索中掌握核心技術,擁有自主智慧財產權,並進行工程轉化,為產業所用。
分散式數字身份的“廣度”
分散式數字身份的“廣度”
分散式數字身份的“廣度”是讓從業者最感興奮的一面,透射這個領域的巨大潛力。
以人為本的核心哲學,決定了人在哪裡,資料就在哪裡。“人”本來是最具備廣度的存在,其角色型別眾多,資料維度豐富。同時,人的活動可以跨地域,跨場景,作為一個自然人,在國內有國內的身份,在不同的主權地域跨境活動時,又需要符合當地法規的方式來標識和認證自己;在不同場景中,人的身份、屬性、憑證也會有所不同,其所攜帶的、繫結的、能運用的價值和信用會被重新劃定。相應地,機構級別的認證者和驗證者,在不同地域和場景也有著不同的職能。
在這多變、廣袤的生態裡,“以使用者為核心”的邏輯給出了一個清晰的視角和理念上的正確性。由使用者支配自主身份和資料,便捷快速地響應使用者需求,這就是數字化生存的基礎邏輯。
同時,網路化和分散性越強,對分散式數字身份的要求越旺盛;分散式數字身份體系的逐步成熟,又會催生出更多創新業務場景,帶來新商業模式。屆時,系統的建設、資料的價值和流通成本、隱私的保護,應該取得良好平衡,需要回答誰來建設系統、誰為資料買單、如何定價、如何分賬等一系列商業問題,並明確相應責權和義務,這就對標準建設、法律法規等提出了要求。
法律法規的制定不會一蹴而就,在此之前,針對行業應用,尤其是和國計民生有關的活動,應本著“技術中立,風控優先,有法必依”的原則,抓住業務本質,遵守所在行業、所營業務的基本合規要求,規範運作。
我們期待有關部門進一步明確和制定相應標準和規範,力求覆蓋面更廣、適用性更強、更具備產業可操作性,以滿足和實體經濟數字化方向相符的需求,並使現存規則可以平滑地向分散式數字身份時代演進。
綜上所述,分散式數字身份體系,在內容承載上有足夠的厚度,在技術支撐和技術挑戰上有客觀的深度,在地域領域、場景覆蓋以及社會責任上有富含潛力的廣度。
微眾銀行在分散式數字身份領域
的探索和實踐
“不積跬步,無以至千里”。2018年,依託多年區塊鏈技術研究和應用落地經驗,微眾銀行在分散式數字身份領域開展了系列實踐,並於當年開源WeIdentity,一個基於區塊鏈的實體身份認證及可信資料交換解決方案。
WeIdentity提供分散式身份可信及管理、可信資料交換協議等一系列的基礎層與應用介面,實現了一套符合W3C DID規範的分散式多中心的身份可信協議,和符合W3C VC規範的可驗證數字憑證技術,使分散式多中心的身份管理成為可能,機構也可以透過使用者授權合法合規地完成可信資料的交換。
WeIdentity的建設,體現了五個理念:
微眾銀行“分散式身份及可信資料交換”實踐
開源開放:技術方案完全開源,包括對W3C DID協議、周邊支撐系統的實現。開源軟體有助於降低產業使用W3C DID方案的技術門檻和實施成本,且可以營造社羣共建的氛圍,眾多開發者一起使用和最佳化開源軟體,在滿足應用需求的同時,為軟體增加更多特性,且迭代速度更快、方向更明確、質量更穩定。
安全隱私:系統安全周密,保護使用者隱私,是分散式數字身份最大的亮點,也是以使用者為核心的設計哲學。WeIdentity允許使用者實現靈活的多ID登入和自主關聯,結合自主儲存和代理服務穩妥儲存使用者資料,在使用者授權、明示同意的前提下進行資料交換,在資料披露時引入選擇性披露,用證明代替明文、零知識證明等一系列策略和演算法,實現了隱私保護。
WeIdentity產業應用和系統管理體驗
功能完備:完整實現W3C DID以及多個相關協議的資料結構定義和功能介面,同時實現鏈外治理、使用者資料管理、海量資料交換、跨鏈、聯合計算等一系列支撐系統,功能完備,開箱即用,足以一站式建設分散式數字身份服務。
友好易用: 在安裝部署、開發除錯、釋出交付等環節,面向開發、管理、運維等不同角色進行極致最佳化,易於理解和使用;面向應用提供業務模板、應用示例和DEMO等參考元件,以及周詳的技術文件,step by step地引導開發者完成工作,助力高效率低成本地建設應用;為目標使用者提供一系列工具,包括二維碼在內的豐富互動體驗,便於終端使用者接入到分散式數字身份網路。
互聯互通: 分散式數字身份強調互聯互通,使用者只要擁有唯一性數字ID,便可在不同的網路裡自由漫步。W3C DID相關協議本身就是為互聯互通而生,只要系統符合協議定義的資料介面,實現相關介面,使用者即可無縫訪問和支配自己的資料。WeIdentity忠實地遵循協議精神,甚至可以做到底層平臺無關,外掛化地適配多種分散式賬本平臺,開放性接入不同的認證機構和驗證機構,且可以使用跨鏈等技術,與異構平臺或其他分散式數字身份網路進行互通。
WeIdentity開源以來,在github上受到了較多關注,諸多專案使用或參照WeIdentity實現。WeIdentity的開放性和可用性廣泛得到行業證明,這裡介紹幾個典型案例:
WeIdentity在多種場景的運用
案例1:員工入職背景調查
合作方是一家中小企業,在招聘員工時需要對員工的學歷資訊、前僱主資訊進行真實性驗證。
存在的問題是:對員工而言,需要去每個機構花費大量時間精力獲取最新版材料。對企業而言,材料獲取和流轉過程中可能遭到篡改,而且缺乏驗證材料真實性的手段。
使用WeIdentity解決方案時,員工、學校、公司分別進行WeIdentity DID註冊及KYC認證。員工向學校申請學歷證明憑證、學位證明憑證,向前僱主公司申請工作證明憑證、離職證明憑證,然後將這些憑證與自己的鏈上DID建立連線,採用可驗證憑證資料格式和協議保證憑證真實有效。在求職時,現僱主公司只需透過憑證驗證介面對上述憑證進行驗證,如驗證透過,現僱主公司發放入職offer。
案例2:居民資訊管理與政務辦理
居民政務資料分存於不同部門,跨部門的政務辦理往往需要先到部門A開具證明,再到部門B進行辦理。對居民而言,流程繁瑣且檔案不易管理與儲存;對政府部門而言,希望提升使用者體驗並確保使用者隱私資料不洩露。
透過WeIdentity解決方案,可以為居民生成可信的電子證件,居民授權後由機構進行驗證,從而使用合法合規的方式簡化業務流程,降低隱私資料洩露風險。
使用WeIdentity解決方案時,由身份證明機構為居民進行WeIdentity DID註冊及KYC認證。居民向證件簽發機構申請證明檔案,證明簽發機構按照規範生成電子憑證並關聯到居民的WeIdentity DID。居民授權證明驗證機構對憑證進行驗證,同時生成一條居民授權記錄,儲存在區塊鏈上。證明驗證機構透過憑證驗證介面進行驗證,如驗證透過,為居民進行業務辦理。
案例1、2的意義在於,將分散的多個機構頒發的憑證和使用者繫結,且錨定到區塊鏈上,憑藉密碼學演算法,可以進行分散式驗證,使用者只需獲取一次憑證,就可以隨時出示,驗證方也不需要擔心憑證的真實性。
案例3:版權保護
微眾銀行與人民網合作的區塊鏈版權保護專案,基於FISCO BCOS區塊鏈底層技術開源平臺,以及 WeIdentity解決方案,搭建新聞版權保護聯盟鏈。
專案利用分散式賬本及智慧合約的特性,實現了多方資訊實時共享、版權認證、交易及維權法訴的全流程線上化,有效解決了線上內容版權保護問題。鏈上參與的角色採用分散式數字身份體系標識,著作和作品也具備唯一標識,著作權經過認證後,成為不可篡改的鏈上憑證,可以作為舉證、轉賬的宣告。
現階段,平臺已啟用被動確權、原創新聞認證、轉載監測分析以及侵權取證等線上場景。下一階段,平臺還將引入網際網路法院、仲裁機構、國家權威版權保護機構,將侵權訴訟流程線上化,完成線上版權保護的線上閉環和全自動流程。
案例3體現了資料確權和定價後,進行合法合規的流動,可以創造出一個健康且有價值的生態。
案例4:物聯網和邊緣計算
物聯網裝置編碼標準存在多樣性,這些異構的編碼標準可能導致物聯網標識服務發生衝突。WeIdentity採用DID標識為物聯網分配全域性唯一的標識,結合廠家生產資訊、物聯網雲運營商、邊緣接入裝置,以及使用者對裝置的所有權,為裝置頒發多種憑證,賦予裝置可宣告、可驗證的自主身份,保障資料來源的真實有效性。
物聯網裝置分佈在不同的地域,用多種方式接入網路,具有較高管理成本和安全風險。基於WeIdentity分散式網路和智慧合約,可構建透明可信的規則,使人與物、物與物之間形成統一的信任網路。
裝置透過分散式網路進行跨地域、跨機構的定址路由,其產生的資料必須包含數字簽名,且可選地進行加密混淆,使得裝置身份和資料都可以在網路上高效實現分散式認證,還可以拒絕不安全的指令和資料,以保證網路的安全。物聯網裝置和屬主的隱私,也有利於對裝置產生的資料進行確權、計價,構建商業模式。
案例4的模型可廣泛用於物聯網和邊緣計算場景,目前已經有智慧家居專案、智慧農業、工業網際網路等專案採用。
除了以上幾個案例,開源社羣已經將WeIdentity應用於各行各業,涵蓋金融、工業、智慧家居、教育、社會治理、出行等場景,分散式數字身份體系結合不同的行業,體現出各種各樣的創新潛力。
結語
“不積小流無以成江海”,在當下,我們會從技術研究出發,力求儘快完善技術體系,聯合更多同道中人,構建互聯互通的開放網路,一起共建價值。
相信隨著時間的推移,以及行業的共同努力,分散式數字身份的概念和作用邊界將越來越清晰,技術難點將會一一得以解決,相關運作模式也會最終趨於規範合理。未來將會有更多的權威機構、產業機構,以及個人、物聯網裝置,透過分散式數字身份體系的助力,參與到廣闊的數字經濟世界來,開拓更多創新的應用場景。
相關新聞(點選標題可跳轉)
DIDA聯盟成立丨探索中國分散式數字身份網路
中國分散式數字身份網路DIDA聯盟成立,微眾銀行為創始成員單位
體驗WeIdentity(複製連結到PC端檢視)
程式碼倉庫:
https://github.com/WeBankFinTech/WeIdentity
程式碼倉庫(國內映象):
https://gitee.com/WeBank/WeIdentity
技術文件:
https://weidentity.readthedocs.io/zh_CN/latest/
技術文件(國內映象):
https://fintech.webank.com/developer/docs/weidentity/
