作者:张开翔 | 微众银行区块链首席架构师
6月24日,中钞区块链技术研究院、飞天诚信科技股份有限公司、微众银行等17家单位共同发起成立分布式数字身份产业联盟(DID-Alliance,简称DIDA),共建分布式数字身份基础设施,打造可信开放数字新生态。
本文系微众银行区块链首席架构师张开翔在 DIDA成立大会上的分享,也是微众银行区块链团队在分布式数字身份领域技术研究和应用实践的一些思考和积累。谨以此抛砖引玉,希望能和更多行业专家、同道中人,在开源开放、互联互通的基础上聚力前行。
1. 数字化趋势对分布式数字身份体系的需求
从现在到未来,人们越来越多地通过数字化方式接受服务,同时又生产数字信息。作为数字化的重要基石,全新的分布式数字身份体系,为技术、应用、治理、法律法规的发展,带来更多机遇和挑战。
数字时代的身份体系
与人们实体身份密切关联的信息,诸如身份证照、职业资历、医疗服务、金融账户等,正在逐步电子化。另外,随着互联网的成熟,人们的线上身份关联了大量社交网络账号、文娱和商业数据。
在数字化版图里,机构需要在线上标识自己。根据机构性质的不同,权威机构更多是履行认证和监管职能,商业机构验证凭证和使用数据,以提供场景应用服务。
随着新基建的推进,越来越多物联网设备接入网络,实物设备需要在网络中明确自己的标识,且和其他实体,如人或者机构,建立绑定关系、产生数据,以及对指令做出响应。
人、机构、实物都是数字化社会里的主体,构成巨大生态。数字化生态和初步的“电子化"有着代际区别:电子化主要指采用电子方式承载实体信息,数据是否归用户所有、是否可以自由流转,在当前产业生态和法律法规下,边界还略显模糊,实操上会遇到各种障碍;而在数字化社会里,实体追求自主管理数据,通过可信交换创造价值,用户的隐私和收益都可以得到保障,数据自由流动,生态蓬勃发展。
分布式数字身份管理的必要性
既往,有的机构获得大量用户的许可,生产、收集数据,并为自己所用,形成了一个个数据孤岛。有的机构对数据有巨大需求,不得不付出商业成本,从外部输入数据,其他机构则应运而生,对外提供数据获取利益。
在数据价值兑现的尝试进程中,由于技术、商业模式、法律法规尚未成熟,数据交易常常游离在法规边缘,且交易代价巨大,数据不能顺畅流动,难以体现其应有价值。更重要的是,忽略了用户的参与性和合法权益。
我们认为,未来的数字化社会,应当以用户为核心,由用户明确授权,在安全隐私的前提下,共享和交换数据,各参与方之间建立分布式验证和联合计算的关系。
分布式数字身份体系带来了全新观念,催生新的商业模式,使数据作为合法合规的生产要素成为可能。
2. 分布式数字身份管理的定位
分布式数字身份管理体系
在我们所理解的整个体系中,最底层是分布式可信网络,参与者共同完成共识、追求事务一致,所承载的数据难以篡改,且整个系统高效可靠。依托可信网络,方案实现对身份的标识和管理,相关数据经过存证,得到信用背书且可追溯的数据可以进行可信共享和交换。进一步地,如果数据本身蕴含着资产、价值、信用,那么就会进入到资产管理和交易领域。
金融业务、社会事务、产业智能等广泛行业都需要这样的分布式基础设施,产业参与者可以基于明确的身份、可信的数据、透明的规则、高效的协作模式,努力去扩大市场规模、改善决策成功率、提升风控效果、完成交易记账和监管等流程。
在如此庞杂的产业生态中,技术只是其中的一个路径,领域的发展还需要评测认证、标准化建设,以及相关法律法规建设,追求在监管合规上的可行性,这样整个产业才具备相当的可操作性、可持续性。
3. 从三个维度理解分布式数字身份
分布式数字身份是一种基础能力,更是业务开展的前置条件,就像当前金融业务都要做KYC一样。其具有承上启下的枢纽作用,只要流程与“人”相关,都脱离不了“身份”。
对分布式数字身份的准确定义,目前尚有不同的理解,需要深入讨论,形成共识,逐步勾勒出明确边界。在此,我们尝试从“厚度”、“深度”、“广度"这三个维度,阐述分布式数字身份的内涵和外延。
分布式数字身份的“厚度”
分布式数字身份的“厚度”
分布式数字身份最为行业人士所知的一种形态,是W3C DID规范组织定义的一串字符,如 “did:weid:101:0xae0b295667a9fd93d5f28d9ec85e40f4cb697bae”。
这串字符分为几个部分,联合起来构成全局唯一的标识,在分布式网络中具有很强的通用性,是分布式数字身份的起点。
围绕这个DID,国际标准化组织们设计了一系列功能完整、语义清晰的协议,定义了线上的身份描述文档(Document),以及凭证(Credential)的生成、出示、验证和销毁等流程,覆盖身份和凭证管理的完整生命周期。
这一系列协议,可以成为我们重要的参照,是迈向标准化的基础。
协议中定义了三个重要角色:认证者、用户、验证方。这些角色构成了生态里的核心三元关系。其中,用户是核心中的核心,持有和控制自己的数据。用户的数据有字面意义上的文本、图片、音视频等原始数据,更进一步,有基于原始数据进行验证、运算、评估后得出的各种凭证,如学历证书等。最终,有价值的数据和凭证可以代表用户在生态中持有的资产和信用。
有了明确的标识、可操作的协议,以及角色和数据的关联,这些东西终究要在数字化的应用场景中使用和流动起来,这就是分布式数字身份的最终目标:服务产业,创造价值。
于是,标识、协议、角色、数据、场景共同叠加成分布式数字身份的“厚度”,这也是分布式数字身份的“核心内容”,回答的是“分布式数字身份是什么”和“包含了什么”的问题。
分布式数字身份的“深度”
分布式数字身份的“深度”
“深度”这个关键字,主要是回答“要做什么”和“有什么挑战”,以及阐述“是什么支撑起整个分布式数字身份的技术体系”。
在回答这些问题之前,我们先提出几个重要目标:用户控制、分布式验证、隐私保护。
客观地说,在传统系统里,对身份的管理已经比较成熟,有各种各样的KYC、生物验证、开放API、云存储等技术和系统,来帮助认证身份、管理数据、颁发凭证和进行验证。
而分布式数字身份最大的不同在于其“分布”,这个体系里没有控制数据的孤岛,而是把数据的控制权交给用户,由用户自主选择存储方式,并根据自己的意愿,在不同场景去使用。无论用户在哪里,把凭证和数据给到谁,都可以在分布式网络上完成验证,同时保护隐私,避免数据被滥用,以及防止使用方对用户画像,避免在事后针对用户。
W3C DID协议规范是个框架性的定义,比如,它要求在出示凭证时能做到“选择性披露”,但具体怎么做,可以根据场景和开发者的理解,选择不同的方式。因此,在整个体系的技术实现和周边支撑系统建设上,存在极大灵活性、开放性,同时也蕴含巨大挑战:采用怎样的技术和方案是最合理、最高效、最符合用户需求的呢?这就需要反复、迭代的实践来证明了,所谓“粗略的共识,能跑的代码”,实践方得真知。
为了使协议可以“用起来”,我们要为用户提供易用的终端工具,帮助用户安全且方便地管理个人数据,进行高效合规、能体现数据价值的数据交换。这些功能要覆盖身份以及数据的产生、存储、转移、销毁等全生命周期,要有完善的功能、良好的体验、可接受的建设成本,以及逻辑自洽的运作模式。
再深一层,是基础的分布式技术体系。如DPKI(分散式公钥基础设施)体系,当前PKI体系的分布式版本;用区块链为代表的分布式账本技术,建立分布式的可信协作网络;以及为了应对非集中管理的海量数据,需要成本更低、效率更高、更安全可靠的分布式存储技术。这些基础平台性技术,有的已经渐趋成熟,有的还在高速发展中,牵涉到平台选型、核心技术突破、知识产权等问题。
继续前往技术的深水区——算法。分布式系统牵涉的算法五花八门,分布式一致性算法和密码学前沿算法,是技术王冠上最亮的两颗宝石,尤其在密码学和隐私保护措施方面,以零知识证明、同态加密、安全多方计算、联邦学习等为代表的方案,在保护性方面有良好的表现,但由于其理论较为复杂,部分算法要求多次交互,或因生成的数据过大,实际运行时,性能、用户体验依旧有提升空间。我们要根据分布式数字身份里牵涉的具体场景、业务流程、用户需求,研究和实践更为合适的算法。
这一切构成了分布式数字身份的“深度”,可见这个领域在技术和模式上具备相当的挑战,也带来诸多机会和发展空间,需要从业者群策群力,联合产学研的力量,坚持安全可控路线,携手攻关,在探索中掌握核心技术,拥有自主知识产权,并进行工程转化,为产业所用。
分布式数字身份的“广度”
分布式数字身份的“广度”
分布式数字身份的“广度”是让从业者最感兴奋的一面,透射这个领域的巨大潜力。
以人为本的核心哲学,决定了人在哪里,数据就在哪里。“人”本来是最具备广度的存在,其角色类型众多,数据维度丰富。同时,人的活动可以跨地域,跨场景,作为一个自然人,在国内有国内的身份,在不同的主权地域跨境活动时,又需要符合当地法规的方式来标识和认证自己;在不同场景中,人的身份、属性、凭证也会有所不同,其所携带的、绑定的、能运用的价值和信用会被重新划定。相应地,机构级别的认证者和验证者,在不同地域和场景也有着不同的职能。
在这多变、广袤的生态里,“以用户为核心”的逻辑给出了一个清晰的视角和理念上的正确性。由用户支配自主身份和数据,便捷快速地响应用户需求,这就是数字化生存的基础逻辑。
同时,网络化和分散性越强,对分布式数字身份的要求越旺盛;分布式数字身份体系的逐步成熟,又会催生出更多创新业务场景,带来新商业模式。届时,系统的建设、数据的价值和流通成本、隐私的保护,应该取得良好平衡,需要回答谁来建设系统、谁为数据买单、如何定价、如何分账等一系列商业问题,并明确相应责权和义务,这就对标准建设、法律法规等提出了要求。
法律法规的制定不会一蹴而就,在此之前,针对行业应用,尤其是和国计民生有关的活动,应本着“技术中立,风控优先,有法必依”的原则,抓住业务本质,遵守所在行业、所营业务的基本合规要求,规范运作。
我们期待有关部门进一步明确和制定相应标准和规范,力求覆盖面更广、适用性更强、更具备产业可操作性,以满足和实体经济数字化方向相符的需求,并使现存规则可以平滑地向分布式数字身份时代演进。
综上所述,分布式数字身份体系,在内容承载上有足够的厚度,在技术支撑和技术挑战上有客观的深度,在地域领域、场景覆盖以及社会责任上有富含潜力的广度。
4. 微众银行在分布式数字身份领域的探索和实践
“不积跬步,无以至千里”。2018年,依托多年区块链技术研究和应用落地经验,微众银行在分布式数字身份领域开展了系列实践,并于当年开源WeIdentity,一个基于区块链的实体身份认证及可信数据交换解决方案。
WeIdentity提供分布式身份可信及管理、可信数据交换协议等一系列的基础层与应用接口,实现了一套符合W3C DID规范的分布式多中心的身份可信协议,和符合W3C VC规范的可验证数字凭证技术,使分布式多中心的身份管理成为可能,机构也可以通过用户授权合法合规地完成可信数据的交换。
WeIdentity的建设,体现了五个理念:
微众银行“分布式身份及可信数据交换”实践
开源开放:技术方案完全开源,包括对W3C DID协议、周边支撑系统的实现。开源软件有助于降低产业使用W3C DID方案的技术门槛和实施成本,且可以营造社区共建的氛围,众多开发者一起使用和优化开源软件,在满足应用需求的同时,为软件增加更多特性,且迭代速度更快、方向更明确、质量更稳定。
安全隐私:系统安全周密,保护用户隐私,是分布式数字身份最大的亮点,也是以用户为核心的设计哲学。WeIdentity允许用户实现灵活的多ID登录和自主关联,结合自主存储和代理服务稳妥保存用户数据,在用户授权、明示同意的前提下进行数据交换,在数据披露时引入选择性披露,用证明代替明文、零知识证明等一系列策略和算法,实现了隐私保护。
WeIdentity产业应用和系统管理体验
功能完备:完整实现W3C DID以及多个相关协议的数据结构定义和功能接口,同时实现链外治理、用户数据管理、海量数据交换、跨链、联合计算等一系列支撑系统,功能完备,开箱即用,足以一站式建设分布式数字身份服务。
友好易用: 在安装部署、开发调试、发布交付等环节,面向开发、管理、运维等不同角色进行极致优化,易于理解和使用;面向应用提供业务模板、应用示例和DEMO等参考组件,以及周详的技术文档,step by step地引导开发者完成工作,助力高效率低成本地建设应用;为目标用户提供一系列工具,包括二维码在内的丰富交互体验,便于终端用户接入到分布式数字身份网络。
互联互通: 分布式数字身份强调互联互通,用户只要拥有唯一性数字ID,便可在不同的网络里自由漫步。W3C DID相关协议本身就是为互联互通而生,只要系统符合协议定义的数据接口,实现相关接口,用户即可无缝访问和支配自己的数据。WeIdentity忠实地遵循协议精神,甚至可以做到底层平台无关,插件化地适配多种分布式账本平台,开放性接入不同的认证机构和验证机构,且可以使用跨链等技术,与异构平台或其他分布式数字身份网络进行互通。
WeIdentity开源以来,在github上受到了较多关注,诸多项目使用或参照WeIdentity实现。WeIdentity的开放性和可用性广泛得到行业证明,这里介绍几个典型案例:
WeIdentity在多种场景的运用
案例1:员工入职背景调查
合作方是一家中小企业,在招聘员工时需要对员工的学历信息、前雇主信息进行真实性验证。
存在的问题是:对员工而言,需要去每个机构花费大量时间精力获取最新版材料。对企业而言,材料获取和流转过程中可能遭到篡改,而且缺乏验证材料真实性的手段。
使用WeIdentity解决方案时,员工、学校、公司分别进行WeIdentity DID注册及KYC认证。员工向学校申请学历证明凭证、学位证明凭证,向前雇主公司申请工作证明凭证、离职证明凭证,然后将这些凭证与自己的链上DID建立连接,采用可验证凭证数据格式和协议保证凭证真实有效。在求职时,现雇主公司只需通过凭证验证接口对上述凭证进行验证,如验证通过,现雇主公司发放入职offer。
案例2:居民信息管理与政务办理
居民政务数据分存于不同部门,跨部门的政务办理往往需要先到部门A开具证明,再到部门B进行办理。对居民而言,流程繁琐且文件不易管理与保存;对政府部门而言,希望提升用户体验并确保用户隐私数据不泄露。
通过WeIdentity解决方案,可以为居民生成可信的电子证件,居民授权后由机构进行验证,从而使用合法合规的方式简化业务流程,降低隐私数据泄露风险。
使用WeIdentity解决方案时,由身份证明机构为居民进行WeIdentity DID注册及KYC认证。居民向证件签发机构申请证明文件,证明签发机构按照规范生成电子凭证并关联到居民的WeIdentity DID。居民授权证明验证机构对凭证进行验证,同时生成一条居民授权记录,存储在区块链上。证明验证机构通过凭证验证接口进行验证,如验证通过,为居民进行业务办理。
案例1、2的意义在于,将分散的多个机构颁发的凭证和用户绑定,且锚定到区块链上,凭借密码学算法,可以进行分布式验证,用户只需获取一次凭证,就可以随时出示,验证方也不需要担心凭证的真实性。
案例3:版权保护
微众银行与人民网合作的区块链版权保护项目,基于FISCO BCOS区块链底层技术开源平台,以及 WeIdentity解决方案,搭建新闻版权保护联盟链。
项目利用分布式账本及智能合约的特性,实现了多方信息实时共享、版权认证、交易及维权法诉的全流程线上化,有效解决了线上内容版权保护问题。链上参与的角色采用分布式数字身份体系标识,著作和作品也具备唯一标识,著作权经过认证后,成为不可篡改的链上凭证,可以作为举证、转账的声明。
现阶段,平台已启用被动确权、原创新闻认证、转载监测分析以及侵权取证等线上场景。下一阶段,平台还将引入互联网法院、仲裁机构、国家权威版权保护机构,将侵权诉讼流程线上化,完成线上版权保护的线上闭环和全自动流程。
案例3体现了数据确权和定价后,进行合法合规的流动,可以创造出一个健康且有价值的生态。
案例4:物联网和边缘计算
物联网设备编码标准存在多样性,这些异构的编码标准可能导致物联网标识服务发生冲突。WeIdentity采用DID标识为物联网分配全局唯一的标识,结合厂家生产信息、物联网云运营商、边缘接入设备,以及用户对设备的所有权,为设备颁发多种凭证,赋予设备可声明、可验证的自主身份,保障数据来源的真实有效性。
物联网设备分布在不同的地域,用多种方式接入网络,具有较高管理成本和安全风险。基于WeIdentity分布式网络和智能合约,可构建透明可信的规则,使人与物、物与物之间形成统一的信任网络。
设备通过分布式网络进行跨地域、跨机构的寻址路由,其产生的数据必须包含数字签名,且可选地进行加密混淆,使得设备身份和数据都可以在网络上高效实现分布式认证,还可以拒绝不安全的指令和数据,以保证网络的安全。物联网设备和属主的隐私,也有利于对设备产生的数据进行确权、计价,构建商业模式。
案例4的模型可广泛用于物联网和边缘计算场景,目前已经有智能家居项目、智慧农业、工业互联网等项目采用。
除了以上几个案例,开源社区已经将WeIdentity应用于各行各业,涵盖金融、工业、智能家居、教育、社会治理、出行等场景,分布式数字身份体系结合不同的行业,体现出各种各样的创新潜力。
5. 结语
“不积小流无以成江海”,在当下,我们会从技术研究出发,力求尽快完善技术体系,联合更多同道中人,构建互联互通的开放网络,一起共建价值。
相信随着时间的推移,以及行业的共同努力,分布式数字身份的概念和作用边界将越来越清晰,技术难点将会一一得以解决,相关运作模式也会最终趋于规范合理。未来将会有更多的权威机构、产业机构,以及个人、物联网设备,通过分布式数字身份体系的助力,参与到广阔的数字经济世界来,开拓更多创新的应用场景。