区块链数字身份:数字经济时代基础设施

fffmCQ.jpg

摘 要

数字身份是网络中的标识,其核心是通过提供和验证身份信息来证明“我是我”,其主要环节包括身份所有者注册身份、身份提供者签发身份、身份依赖者验证身份以及对身份信息和数据的管理,都需要经过密码学算法来实现。目前常见的身份认证方式包括口令、智能卡、生物特征识别、数字签名、数字证书等,当前最主流的身份认证和管理系统 PKI 就是以数字证书为核心的。

互联网时代,数字身份成为重要的基础设施,如多国政府都在布局 eID。然而传统的数字身份存在诸多问题:(1)身份数据在各机构中分散,需要重复认证且难以共享;(2)传统由中心化签发认证身份的模式信任成本高,且容易出现中心单点失效问题,容错率低。(3)身份所有者的身份数据被他方储存利用,影响用户身份隐私,且安全性不强;(4)传统身份证明无法覆盖所有人。在对安全身份认证和身份隐私保护的要求下,自主主权身份被提出。

区块链数字身份能够一定程度上改善以上问题。(1)采用分布式账本和身份加密上链,可以让中心化的身份签发和数据共享变成分布式的数据认证,由用户掌握身份私钥来进行多机构之间的可信身份授权共享,从而解决重复认证、中心失效的问题。如 eID 数字身份链、联核云和 ShoCard;(2)利用区块链链式结构的不可篡改性,结合生物识别技术为无法获得官方身份签发的人形成可信数字身份,如 ID2020;为没有银行账户的人记录链上可信金融行为,帮助其提高信用,实现普惠金融;(3)区块链是实现自主主权身份的必要技术,用户通过注册可嵌入多种区块链账本的分布式身份标识 DID,实现用户身份证明(VC)、信息明文、私钥等安全储存在本地,用户作为中心掌控主动权,结合零知识证明使得不泄露身份信息的情况下完成身份验证,如 Uport。

区块链结合数字身份使用也存在一定的难点。首先,区块链技术和数据隐私保护技术存在性能较低的问题;第二,用户隐私保护和企业数据变现的商业模式存在冲突,在安全多方计算很不成熟的前提下,目前要保护用户隐私只能授权身份验证,无法授权身份信息,可能导致企业没有参与的动力。第三,DID 和私钥都很难记忆,且需要用户自己保存,对用户的使用门槛较高。

展望:目前,区块链数字身份发展和使用的最强驱动力主要来自数字金融行业的发展,因为金融对区块链有显著需求,且区块链身份能更好地帮助 KYC 和监管;实际落地过程中,区块链的统一身份标识会是最先落地的领域,同时需要政府牵头去推进相关系统的建立和使用,出台相关标准和政策,更快地推动区块链数字身份的发展。

区块链数字身份:数字经济时代基础设施
区块链数字身份:数字经济时代基础设施

 

一、传统数字身份的运行逻辑

1.1 数字身份的含义

身份是每个人必不可少的特征,传统社会中我们通过一系列的纸质材料来证明“我是我”。这些材料不仅仅包括我是谁的证明,如身份证,还包括了一个人一系列的社会关系与行为证明,如结婚证、驾照、毕业证等等,均包含在身份的概念中。

进入互联网时代后,纸质材料变为电子信息,因此就出现了数字身份。狭义上来说,数字身份是我们传统社会身份的数字化,而广义上来说,数字身份是我们以信息和数字呈现在互联网中的身份,除了以往社会关系中的材料,更多的身份信息来自于我们在互联网上的行为数据。在互联网时代,数字身份不仅能指代人,还能指代物,如一个机器、一个网站等等。

每个数字身份从诞生到使用,主要包括以下四个环节:注册、签发、验证和管理,以及三个参与方:身份所有者(用户)、身份提供方(签发机构)、身份依赖方(有身份验证需求)。

区块链数字身份:数字经济时代基础设施

(1) 注册:注册和签发都是获取身份的过程,需要有另一个人或机构来承认你的身份。注册即为你向你希望获得身份的承认机构发起请求。这是身份所有者自己发起的行为。

(2)签发:即上述你申请注册的这家机构能够记录并承认你的身份,给予你一个在他的系统中能够被识别的身份标识。比如公民的身份证是政府机构签发的身份标识,网站的数字证书是 CA 中心签发的身份标识,我们在各类网站门户上的账号是由这些网站门户签发的身份标识。对于大部分签发机构来说,签发身份需要获得对方的信任,比如确认有你的存在,或者是确认你符合他们签发身份的要求。而有些签发则不需要知道你在现实生活中是谁,只需要保证他们承认的那个数字身份即可,比如一个虚拟账号。签发机构即是你的身份提供者。

(3)验证:主要用于身份的使用。当我们拥有身份之后,可以通过在身份的签发机构以及对该签发机构信任的依赖方处使用身份。验证则是使用各类的身份认证技术,让这些签发机构和依赖方,相信你是身份所有者,而不是别人冒充的。

(4)管理:对数字身份的综合管理,包括身份的储存、更新、撤销、授权等等一系列的事项。

1.2 数字身份认证与管理

1.2.1 身份认证的密码学算法

进行身份认证的技术主要是密码学算法,包括对称加密算法、非对称加密算法(公开密钥密码算法)等。对称加密算法是早期应用的密码学算法,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,变成密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。

而非对称加密包含两个密码:公钥和私钥。其中公钥是可以告知别人的,私钥是只能自己持有的。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。其实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色 (乙方) 使用该密钥 (甲方的公钥) 对机密信息进行加密后再发送给甲方。

通过加密算法,可以在网络间实现身份验证和密文传递。

1.2.2 身份认证的实现

身份认证的目的是鉴别通信另一端是谁的问题,防止出现伪造和假冒等情况。在网络中,要识别真伪,必须先有信任。信任不是对一个人的纯粹的认可,而是表明已经掌握了被验证身份者的重要秘密信息。主要包括:所知(what you know),如口令、密钥;所有(what you have),如身份证、信用卡等;和生物特征(Who you are),如指纹、虹膜等。

目前的身份认证方法均通过上面三种秘密信息之一或组合来实现。常见的方法包括:

(1)口令:口令包括静态口令、动态口令。静态口令是原始的账户和密码形式,身份注册后,静态口令储存在数据库中长期有效。由于静态口令使用简单便捷,目前大多数的互联网应用仍然使用静态口令的方式进行身份认证。但由于静态口令的安全性不足,容易被破解、攻击,便出现了动态口令,如短信验证码,常用于安全性要求更高的场合,如银行转账。通过将用户口令和随机数进行加密生成一次性口令,并与服务器进行相同操作后的结果进行比对,来进行身份验证。

(2)智能卡:一种内置集成电路的芯片,芯片中存有与用户身份相关的数据。智能卡由用户自己持有,通过专门的读卡器来获取用户数据。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。

(3)生物特征识别:由于生物特征具有稳定性和唯一性,非常适合用来作为身份认证的依据。常见的做法是将生物特征预处理后提取图像特征,并进行加密后存入数据库,与其他身份信息相绑定。

(4)数字签名:数字签名是采用非对称加密算法的身份认证方法,用于证明信息确实由身份所有者发出。具体方法为:发送者先用哈希函数对需要发送的明文 M 进行计算得到散列值 H,然后用自己的私钥对 H 加密得到 S。则这个 S 就是发送者对明文 M 的数字签名。然后发送者将 S 附在 M 上发送给接收者。接收者知道发送者的公钥,通过对 M 进行相同的哈希算法得到 H1,然后再用发送者的公钥对数字签名 S 解密验证得到 H2。如果 H1=H2 则可以证明该数字签名是由发送者签署的。简单来说就是私钥加密生成签名,公钥解密验证签名。

在信息传输过程中,如果要对信息进行加密,则发送者可以先用私钥进行数字签名,然后再用接收者的公钥对明文 M 进行加密(确保只有接收者可以解开),两者一起发送。接收者可以用自己的私钥对加密后的信息进行解密,然后再用发送者的公钥印证数字签名,从而完成一次安全可信的身份认证和信息传递。在区块链系统中也通过这样的方式实现资产的安全通信。

图 2:数字签名生成与验证过程

区块链数字身份:数字经济时代基础设施

(5)数字证书:数字证书是应用了数字签名的一种身份标识,用于证明某个公钥确实对应其应有的身份所有者,可以理解为数字世界的身份证。某些情况下,可能会有中间人 C 将信息接收者 B 保存的发送者 A 的公钥替换成了自己(C)的公钥,导致 B 在收到 C 的信息是以为是 A 发出的。数字证书能够将公钥与其他身份信息相连的,其是由权威的证书认证机构(CA,Certificate Authority)签发的,包含公钥拥有者信息、公钥、签发者信息、有效期以及扩展信息的一种数据结构。CA 通常为有政府背景或权威性的第三方机构,能够证明身份和签发身份,并通过在自己签发的数字证书中加上 CA 的数字签名达到信用背书的可验证。

1.2.3 传统身份认证管理系统

目前,最主流的传统身份认证系统是基于 PKI (公钥基础设施)的。PKI 其是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。

PKI 的基础体系中有一个证书签署中心(CA,Certification Authority)、一个证书注册中心(RA,Registration Authority)、一个存放证书的公共数据库。证书的签署和使用等包括下列几个部分。

(1)证书注册:用户与 PKI 的安全服务器建立连接,并生成自己的公钥和私钥。用户通过安全服务器向 RA 发送自己的身份信息和公钥,向 RA 请求注册数字证书。

(2)证书签署:证书签发的过程。RA 审查后将用户申请注册证书的信息发给 CA,CA 验证后对此公钥形成数字证书,并加上 CA 的数字签名完成签发。

(3)证书存放:申请数字证书成功后,RA 获得证书和转发给用户,并将证书和用户信息一起存放在证书数据库中。需要将证书存放的理由在于,可能当需要验证用户身份时,该用户不一定在线或随时应答。有了 PKI 的标准数据库之后,需要数字证书的用户可以在这个数据库中进行查询。

(4)证书注销和更新:当用户申请注销数字证书时,用该公钥对应的私钥对一个固定格式的消息进行数字签名并传给 RA,当 RA 验证签名合法后,将证书从数据库中删除,同时在证书注销表(CRL)中添加被注销的证书信息。当用户需要更新自己的证书时,选取一个新的公钥,用原来公钥对应的私钥对新公钥进行签名,将签名信息传给 CA,CA 验证签名有效后签署一个新的数字证书。用户再将该新数字证书连同用原私钥签名的证书更新请求传给 RA,RA 在验证签名以及新证书的合法性后,将原来的证书从数据库中删除,添加新证书,同时在证书注销表中添加被注销的证书信息。

(5)证书的获取:当其他用户需要某个用户的数字证书时,向 RA 提出咨询请求,由 RA 将数字证书传给咨询者。有时候,咨询者只想查看一下该数字证书是否仍然有效,RA 只需传递是否有效的信息即可,不需要把整个证书数据在网上传输。

(6)证书的验证:当获得证书后,可以通过 CA 的公钥对此数字证书进行解密。但由于 CA 有很多家,验证者和证书持有人不一定有相同的 CA。多个 CA 通常通过自上而下的树状 CA 结构进行通信,顶端的为根 CA,通过根 CA 逐一对下面的分支 CA 进行验证并获得所需要的数字证书。

二、 数字身份市场发展现状与趋势

2.1 数字身份市场现状

由于全球研究机构 MarketsandMarkets 最新报告数据显示,2019 年全球数字身份解决方案市场规模达到 137 亿美元,到 2024 年,该市场预计将增长至 305 亿美元,预测期内(2019-2024 年)的年复合增长率(CAGR)为 17.3%。

区块链数字身份:数字经济时代基础设施

预测期内,亚太地区将以最高复合增长率增长。当下,中国、日本和新加坡等国家已经开始在各个垂直领域实施数字身份解决方案,包括银行、金融服务和保险(BFSI)、医疗、政府和国防垂直领域。

数字身份产品中典型的案例是 eID。eID 即为公民网络电子身份,中国的 eID 是以国产自主密码技术为基础、以智能安全芯片为载体,采用空中开通或临柜面审的方式,依据对法定身份证件核验的结果,由“公民网络身份识别系统”签发给公民的网络电子身份标识,不仅能够在不泄露身份信息的前提下在线识别自然人主体,还能用于线下身份证明,可在用户忘带身份证的时候使用。

目前,eID 在全球的使用较为广泛。欧盟多个国家已经颁发了 eID 来替代传统的身份证件,使 eID 既具备了线下身份识别的功能,又具备了网络远程身份识别功能。目前已经发行 eID 的国家有德国、法国、西班牙、意大利、俄罗斯、比利时、爱沙尼亚、奥地利、丹麦、芬兰、葡萄牙、斯洛文尼亚、立陶宛、马耳他、卢森堡、荷兰、瑞典、冰岛、阿联酋以及我国香港特别行政区等。其中,德国、西班牙、意大利、比利时、爱沙尼亚和奥地利已经普及,广泛用于电子政务、电子商务、社交网络等各个领域。

区块链数字身份:数字经济时代基础设施

2.2 现有数字身份的痛点

2.2.1 身份数据分散和重复认证

数字身份涉及的信息包罗万象,有权威部门签发的身份信息,也有各种互联网应用的账号信息系统。不同行业不同部门的身份认证系统各不相同,一个公民可能在不同的身份系统中保存着不同的身份信息和行为数据。对金融 KYC 来说,同一个公民去不同的银行需要做不同的 KYC。这些身份数据中很多相互重叠,一方面造成了资源存储的浪费,另一方面也给用户使用身份带来了不便与低效,往往需要重复注册和认证。也不同身份系统中的用户身份数据由各系统单独存储,无法共享和流通,也无法综合利用,对于身份提供者来说跨域认证效率低。

单个公民的统一的身份认证必然是未来的趋势。目前 eID 的出现能够一定程度上解决上述重复认证的问题,其目前还在发展阶段,还未能形成更广泛的身份信息的绑定和数据的综合利用。另外目前十分常见以类似 OAuth 协议为基础的单点登录,Facebook、微信、支付宝等,可以允许第三方应用代表用户获得访问的权限,这样用户只需要在单个平台上注册即可。但这种方式还存在很大的安全隐患以及数据流失、数据隐私的问题。2016 年 11 月,香港中文大学的研究人员发表文章称,“使用 OAuth 2.0 协议可以毫不费力地登录十亿移动 LApp 账户”。

2.2.2 中心化认证效率和容错性低

在传统的 PKI 系统中,数字证书是核心,其是由相对权威的 CA 机构签发的。目前 CA 机构的相互认证以树状结构为主流,最顶端的根 CA 是系统的核心,通常为政府机构。一方面,这种中心结构可能存在性能问题,其涉及证书的所有操作,任务繁重,可能成为性能短板拖累效率。另一方面则是安全问题,我们虽然无需置疑根 CA 的信用问题,但这种单中心的结构容易使其成为攻击的目标,一旦中心失效,则左右与之关联的下级 CA 均会收到牵连。并且,在这种串联式的 CA 结构中,只有上级 CA 可以验证下级的身份,每一个下级 CA 都无法验证上级。由于 CA 也有民间团体,因此无法完全保证每个 CA 的信用。据谷歌官方安全博客报道,2013 年 12 月 7 日,他们发现一个与法国信息系统安全局 (ANSSI) 有关系的中级 CA 发行商向多个 Google 域名发行了伪造的 CA 证书,在网络安全行业影响十分恶劣。

2.2.3 身份数据隐私与安全

当前数字身份的身份信息散落在各个身份认证者手中,可能是身份提供者本身对用户信息的保存,或者是身份依赖者在验证了用户身份后即获取了用户的身份信息。有些服务方可能在未获用户授权的情况下对这些数据进行处置,几乎毫无顾忌地收集、存储、传输、买卖用户,这实际上是对于用户隐私信息的严重侵犯。同时,用户身份信息保存在各个应用的中心化服务后,还存在着服务器被攻击,用户隐私泄露等问题。大部分企业都需要尽全力去保护用户个人信息,但是成本昂贵。数据显示,欧盟地区,仅英国每年的身份确认成本已经超过 33 亿英镑,约等于 290 亿人民币。

2018 年 5 月,欧盟正式推出通用数据保护条例(GDPR),其目的在于遏制个人信息被滥用,保护个人隐私。根据 GDPR 规定:企业在收集、存储、使用个人信息时要取得用户的同意,用户对自己的个人数据有绝对的掌控权。而且个人还应可以随时撤销该许可。另外,无论数据流向何方,身份信息的使用记录都必须留存。欧盟的法案进一步强调了用户隐私保护的重要性,成为未来数字身份的重要趋势。

2.2.4 传统身份证明无法覆盖所有人

尽管我们可以通过如 eID 等项目来促进单一身份认证,但并不是所有人都拥有诸如身份证号这种具有权威统一的身份证明或标识。全球大约有 11 亿人没有官方身份证明,包括大量的难民、儿童和一部分妇女,他们可能无法获得应有的权利,比如教育、医疗、保险、金融等。他们虽然可以拥有一些非官方提供的身份,但却缺乏足够的信任,支撑他们获得应有的权利。因此,对于这些人群来说急需可信身份。

2.3 数字身份的演变与主权身份的崛起

基于对统一认证、数据隐私等等的需求,数字身份也出现了多种的转变与探讨,逐渐向着自我主权身份的要求转变,目前比较广泛认可的主要包括四个阶段:集中式身份、联盟身份、以用户为中心的身份,以及自我主权身份。

(1)集中式身份:即为传统身份认证,如 CA,由单一的机构进行集中式的认证和管理。这种类型存在上文所探讨的中心失效,数据分散等缺点。目前集中式的身份认证仍然是最主流的身份认证方法。

(2)联盟身份:是指多个机构或联盟管理控制的身份体系,可以支持身份信息数据和可移植性。联盟身份由微软在 1999 年推出 Passport 计划时首次推出,用户一次登录就可以拥有联盟中多个网站的访问权限。但其最终形成了身份信息寡头垄断的格局。

(3)以用户为中心的身份:无需联盟,以用户为中心,用户通过授权和许可将身份信息从一个服务共享到另一个服务,如上文提到的 OAuth 协议就是这种模式。但是这类身份体系,用户一般会选择在一个较大的服务商处进行注册,再授权登录到其他网站,存在着被注册和授权网站泄露、删除身份的隐患,用户并没有完全取得身份的掌控权。

(4)自我主权身份:用户完全掌控自己的身份数据,是身份管理的中心,具有单独控制、安全性和完全可移植性,不能所锁定到某个站点或区域。Blockstream 的 Christopher Allen 曾总结了自我主权身份的十项原则:独立存在、用户可控、可访问(用户可访问自己的所有数据)、透明度、身份永久存在、可移动、互操作性、可授权、信息披露最小化、用户权利保护。

对于自我主权身份,传统的数字认证和管理方法无法达到要求,而区块链技术是实现这一目标的突破口,通过其分布式账本和密码学算法创建分散信任的环境,提供可信身份。

三、区块链与数字身份的结合形式

3.1 区块链实现数字身份的可信互认

当前在自我主权身份发展早期的阶段,前三个阶段的数字身份形式仍然是最主流的。本节主要探讨如何运用区块链技术改善传统数字身份认证方式,提高安全性和数据共享。

3.1.1 分布式身份认证

目前,传统的 PKI 系统中,核心为数字证书和其签发机构 CA。针对 CA 的中心化签发所引发如中心失效、网络安全等问题,可以运用区块链技术实现分布式的数字证书签发,让以往由集中式 CA 认证中心签发数字证书可以由区块链的分布式账本实现。一种方式是形成 CA 之间的区块链,使得 CA 之间不必相互信任,以共识的方式完成数字证书的签发和管理。第二种方式,区块链的记账和维护可以由系统中的所有证书持有者来共同完成。基于区块链的 PKI 可以实现传统 PKI 系统的证书申请、签发、验证和管理。

(1)证书签发:用户自己生成公私钥对,私钥自己保存,并将公钥和用于验证个人身份信息的数据发动给验证节点进行证书的申请。

(2)证书签发:会根据新用户提交的信息验证其身份的真实性;验证通过后生成数字证书并上链。

(3)证书撤销:证书用户提出证书撤销请求,其中包括用户的证书以及可以证实用户身份的信息;验证节点根据用户提交的信息验证用户身份,审核证书撤销请求通过后,将未纳入区块的合法证书信息以及证书状态上链。

(4)证书更新:用户需要产生一份新的数字证书,与原有证书有相同的 DN (Distinguished Name)项。证书用户向区块链网络发起证书更新请求,提交待更新的证书,新产生的证书以及证实身份的信息。其后再由验证节点进行验证上链。

3.1.2 跨机构安全身份授权

目前数字身份数据分散,难以共享,传统的身份授权方式不够安全。在统一身份标识无法快速实现和成熟的背景下,可以利用区块链的分布式账本让身份共享和授权更加安全,其核心思想是通过联盟链的形式来彼此鉴权和认可对方的登录请求,并授权访问对应的用户数据,形成可信安全的身份信息互通体系。

具体流程如下:

○1 拥有用户数据的服务商将用户信息加密生成私钥和公钥,其中公钥生成该运营商的数字签名,将公钥和数字签名上链,私钥则保存在用户本地,如 SIM 卡。

○2 用户登录联盟链中某一应用(依赖方)时,该应用会向有用户身份信息的服务商(身份提供方)发起请求,接收到请求后,服务商向用户发送授权申请,等待用户同意。

○3 应用获得用户授权后,在链上对用户身份进行匹配,匹配成功后即说明对用户身份认可,可以登录。

区块链数字身份:数字经济时代基础设施

在这种方式下,应用主要依托于服务商的信用,可以不必要获得用户信息即完成身份验证,保护了用户隐私。而应用本身也可以作为服务商,为其他应用提供用户身份授权,以此形成一个分布式的可信身份网络。

3.1.2 所描述的跨机构身份验证方案实际上与上一小节的分布式身份认证采用了同样的区块链思维,即将身份信息标识(证书)上链,具有用户信息的身份提供方扮演了和 CA 相同的角色,为用户提供身份认证。

3.2 区块链数字身份提供可信基础设施

前文提到,全球有 11 亿人群没有官方签发的身份证明,或者是增强其信用的行为证明,导致这些人无法享受很多应有的权利。同样的,传统的信息形式,无论是线上还是线下都存在一些诸如身份伪造等事件。区块链能够利用其链上信息真实可信,不可篡改等特点为这些人们提供低门槛的可信身份。

第一,区块链技术可以和生物识别技术相结合,创建真实唯一,难以伪造的数字身份。主要思想为,让用户的生物特征成为其身份标识,如指纹、面部、虹膜等,提取其二进制特征向量 , 经过 Hash 处理后以数字摘要的形式存储在区块链上,形成不可篡改的数字身份,代替传统所需的 ID 号。

第二,可以利用区块链形成用户不可篡改的行为记录,与其身份绑定,增强其身份特性和可信行为特性。这对于提升普惠金融是很有意义的方式。据世界银

行统计,2017 年世界上仍有 17 亿人没有银行账户。这是一个十分惊人的数字,这意味着世界上有 17 亿人无法利用银行进行基本的储蓄、汇款等业务。而更重要的是,银行绝大部分现有金融服务又依赖于客户的 KYC 情况、过往金融记录等银行数据,而很难将金融服务延伸给这些真正需要融资的贫困人群等。通过区块链数字身份,可以对很多以往无法统计的金融行为进行记录,由于信息的不可篡改性,用户的金融信用会加强,更有助于其获得金融机构的认可,能够实现应用的金融权利。

3.3 区块链实现自我主权身份与数据管理

3.3.1 实现用户数据自治:分布式身份标识

自我主权身份相比于基于联盟链的分布式身份认证和授权更多强调用户身份的自主权和身份数据的控制权。区块链提供分布式的信任环境,是实现自我主权身份的必要技术。

基于区块链的自我主权身份的核心思想是创造一个全局唯一的身份标识 DID (分布式身份标识),具有高可用性、可解析性和加密可验证性。目前相对有影响力的 DID 标准主要包括 W3C 提出的 DID 标准,以及 DIF (Decentralized Identity Foundation)的 DID Auth,比较知名的运用了 DID 项目有:MicrosoftDID、Sovrin、uPort、Evernym、Civic、ShoCard 等。

以 W3C 的 DID 标准为例,DID 系统主要包括了基础层的 DID 标识符、DID 文档,以及应用层的可验证声明(VC)。

(1) DID 标识符:是全局唯一的身份标识,类似一个人的身份证、账号等。DID 标识符很长,不容易记忆。根据 Zooko 三角形理论,没有任何标识符能够同时实现易记忆、安全、去中心化,W3C 的 DID 取了后两者。

(2) DID 文档:描述如何使用该 DID 的简单文档。每个 DID 文档可能至少包含三部分:证明目的、验证方法和服务端点。证明目的与验证方法相结合,以提供证明事物的机制。例如,DID 文档可以指定特定的验证方法,例如密码公钥或化名生物特征协议,可以用于验证为目的而创建的方法。服务端点支持与 DID 控制器的可信交互。。

(3)可验证声明(VC):DID 文档本身无法和用户的真实身份信息相关联,需要 VC 来实现,是整个系统的价值所在。VC 类似数字证书,是对用户身份的证明。VC 也有一套类似 PKI 的系统:

 发行者(Issuer):拥有用户数据并能开具 VC 的实体,如政府、银行、大学等官方机构和组织,即身份提供方。

 验证者(Inspector-Verifier,IV):即需要验证用户身份的应用,即身份依赖方。

 持有者(Holder):向 Issuer 请求、收到、持有 VC 的实体,一般即为用户(身份所有者)或用户的身份代理。开具的 VC 可以放在 VC 本地钱包里,方便以后再次使用。

 标识符注册机构(Identifier Registry):维护 DIDs 的数据库,如某条区块链、分布式账本。

下图为 DID 系统获得和使用身份的具体流程:

区块链数字身份:数字经济时代基础设施

在 DID 系统中,VC 储存在用户本地,存储在用户控制的存储区中,出于对用户隐私的保护,通常为链下存储,而将加密后的信息摘要到链上,用户拥有 VC 的控制权。VC 出具时可以根据 IV 对信息的需求做到隐私信息的最大保护,如可以只提供可信机构对用户身份的认可 VC,或“是”、“否”类型的回答,无需暴露用户的真实信息。IV 一方面在区块链上验证用户的 DID,一方面通过 VC 来验证身份信息。

此外,DID 本身只是一种身份标识,其无需根植于某个区块链,只要接受这一身份标识格式,DID 可以移植到各个区块链中,完成跨链单一的身份,相比于传统的区块链地址有更强的便利性和可用性。

通过区块链和 DID,用户可以将所有身份信息自己掌握,且实现单一身份,做到真正的自主主权身份和数据自治,保护用户应用的权利和数据隐私。

3.3.2 数据隐私保护的解决思路

在保护用户隐私上,结合 DID,当前有多种密码学及软硬件解决思路:

(1)零知识证明(Zero-Knowledge Proof):指的是可以在不泄露任何其他信息的前提下证明一个命题的正确性。这里的“零知识”并不是什么都不知道,而是什么都不泄露。身份认证是零知识证明的典型应用,例如匿名认证(通过认证并获得相应的权限,却不泄露身份),保护用户的隐私。零知识证明可以结合可验证声明为身份依赖者提供身份验证,比如证明你已经成年,却不会暴露你的真实年龄。对于身份依赖方来说,其实就是匿名形式的认证。

(2)分布式密钥管理:指的是将密钥进行分片,多个密钥碎片分布式存储,必须要大于一定比例的密钥碎片才能够合成完整的密钥。密钥碎片可以由区块链网络节点进行管理,相比如公钥直接上链具有更强的安全性和隐私性,加强了数字证书的不可篡改性。

(3)可信执行环境(TEE,Trusted Execution Environment):基于芯片硬件形成的可信环境,能够对敏感数据进行有效保护。TEE 隔离于 REE (移动设备运行 OS 的环境)、只能通过特定的入口与 TEE 通信;TEE 可以访问 REE 的内存、REE 无法访问受硬件保护的 TEE 内存;TEE 还可抵御某些基于硬件的攻击。因此 TEE 常用于数据内容版权保护、金融支付、身份认证等场景。在身份认证中,TEE 可用于保护本地的用户隐私数据以及用户的密钥。

(4)安全多方计算(Secure Multi-Party Computation):该方案主要针对无可信第三方的情况下,如何安全地计算一个约定函数的问题。参与计算的各方可以在不泄露自己的数据的前提下,共同完成某个计算过程,并且最终的计算结果还能证明是正确的。安全多方计算可以解决大数据时代,有价值的数据或是隐私数据难以分享的痛点,例如身份数据,金融数据等。在安全多方计算的协助下,多个数据持有方才能更放心的开展合作,在不损害自身利益的情况下,创造更大的价值。

四、案例分析:区块链数字身份的功能实现

4.1 分布式身份认证与授权平台:eID 数字身份链、联核云、ShoCard

4.1.1 eID 数字身份链

eID 数字身份链是以国家 863 重大专项公民数字身份为基础的国家数字基础设施。通过对接联合国家各部委和有关部门,建立链接个人各维度数据的个人隐私保护体系和数据流转平台。eID 数字身份链的指导机构和参与建设单位为公安部第三研究所,北京公易联科技有限公司是数字身份链的协议建设单位及共同推广机构。

eID 数字身份链的技术框架如下:

区块链数字身份:数字经济时代基础设施

(1)身份 ID 网络层:是整个生态的底层网络,以 eID 数字身份为索引,汇聚不同应用的数字身份一起组建的最底层数据关系。一边保证 eID 数字身份与其他应用数字身份的关联关系,另一边也隔离了其他各应用之间用户数据的关联。

(2)数据网络层:以身份数据为本,管理其他各种数据组建的数据管理网络。通过 eID 数字身份建立链下原始数据与链上数据的关联,并将这种关联记录上链。

(3)服务网络层:以身份服务为首,关联了其他各种服务一起组建的可信服务网络。不同服务产生的数据都会分别存到链下数据库和链上(加密后),在获得授权的时候可以提取数据。

(4)应用网络层:以身份应用为先,会同其他应用组建的用户应用网络。他可以是来自不同服务的数据,通过加工整合对外提供各种应用功能;也可以是统一服务支持多个应用。

eID 数字身份链的具体使用流程如下:

(1) eID 开通 : 拥有 eID 的用户即可使用 eID 数字身份链服务;用户私钥储存在智能设备芯片中;

(2)身份信息登记:身份数据提供人(如其他应用)提交信息确权申请,由身份链审核节点进行审核,通过后将身份数据索引上链。

(3)数据流通授权:除用户本人以外的其他主体查看用户身份信息时,续取得用户本人授权;授权时,用户签署电子协议,授权给数据提供方相应权限,数据提供方将授权记录上链;数据需求方在链上确认用户已授权,并返回相应数据。

eID 数字身份链支持各类机构、企业、参与方等在 eID 数字身份链上开发数据应用相关服务,并配备大量成熟组件方便其快速开发自己独立的分布式应用,可以保证快速实现电商平台、物流应用、医疗应用、交通应用、信贷应用、互联网金融等应用开发,从而共同构建一个立体化的数据生态系统。

eID 数字身份链的典型应用包括基于 eID 数字身份的区块链电子证照。证照的持有人身份及发证机构的法人身份均由公民网络电子身份标识(eID)绑定,实现“人证合一”;发证机构经过平台严格审核,在平台备案后,可以入驻开放平台发证,也可以通过 API 接入系统进行发证;每张证照进行权威、极速登记服务,通过区块链、可信身份、数字签名、可信时间戳“四重”技术认证,为每张证书生成不可篡改的“链上证书”DNA;所有发证记录全网可查,将实现跨机构的证照溯源,证照持有人、取证机构可通过手机 eID 功能进行证照查询与授权,实现证照的便捷流通,保证多方数据一致。包括基于 eID 数字身份的权威证书。2020 年 3 月,深圳市信息服务业区块链协会举办区块链咨询师培训,学员在线上考试成绩合格者,可由深圳是信息服务业协会发放“区块链咨询师”(初级)证书,证书基于区块链发放,借助于 eID 数字身份链进行证书核验,证书获得者可以用个手机号查询和永久保存自己的电子证书,同时,支持 eID 的手机可以通过电子签证进行证书核验。此外,中华国际科学交流基金会与中国集团公司促进会也借助 eID 数字身份链的区块链电子证照平台颁发了公益捐赠证书。

4.1.2 联核云

联核云是中国移动、世纪乾金和火币中国基于联盟链推出的区块链数字身份项目,其主要利用了中国移动的用户身份信息库,推出多样的数字身份核验终端,为商家提供基于核验终端的分布式网络资源和基于区块链的分布式身份验证和授权。

区块链数字身份:数字经济时代基础设施

(1)端:数字身份核验智能终端

联核云智能共享身份证核验平台由 SAM_A 分布式服务节点(Hytera-联核云 S1)、联核云管理中心以及客户端组成。通过结合物联网、云计算与区块链技术,联核云在传统身份证阅读器的基础上进行改造,实现了设备闲置时身份证核验服务的共享,令带有 NFC 功能的手机、行业终端以及各类 RFID 射频读卡等智能设备都能低成本、高效率地应用身份证云核验功能,从而为同一用户提供不同场景下的身份交叉认证服务。由此可见,具备数字身份核验功能的智能硬件终端,成为联核云平台提供身份即服务的重要抓手。

(2)云:数字身份认证服务平台

联核云通过组建 P2P 模式实现去中心化的分布式身份核验,当客户端申请核验服务时由云管理中心分配至在线的联核云服务节点(身份证阅读器),客户端直接与服务节点交互完成身份证核验,大大降低了对集中式服务器的资源和性能要求。其中,SAM_A 分布式服务节点每成功解码一条身份证信息,把交易事件添加到联盟区块链,链上数据无法篡改,有利于溯源监管。

(3)链:分布式数字身份验证与授权系统

在联核云的区块链数字身份方案中,借助非对称加密,私钥拥有者可以推导出相应的地址,作为身份的唯一标识符,进而将身份属性通过智能合约进行关联。用户可以选择性地公开身份数据,也可对第三方进行授权使用,同时因为区块链去中心化的特性,服务商之间不必维护用户身份存储,统一从区块链中公开或授权的方式获得相关信息即可。

(4) 解决方案:分布式身份管理应用场景

联核云还通过 SDK 开发包方便各类企业合作伙伴接入,通过共建应用生态为用户提供各种身份认证和授权服务,这意味着同一用户可以在不同应用场景实现快速安全的数字身份认证和授权共享,真正拥有一张通行数字世界的“身份通”。

4.1.3 ShoCard

ShoCard 是一个基于区块链的身份管理生态系统,用户可以在生态中创建和授权自己的数字身份,其核心思路是记录和保存用户的第一次身份认证,解决重复 KYC 的问题。ShoCard 中的数字身份允许多个实体企业或个人通过独立的信息验证来建立信任,不需要双方通过长期建立相互信任的关系,也不需要可信任的第三方进行独立的验证,所以 ShoCard 的数字身份是在其自己的生态内进行使用的。具体流程为:

(1)用户将自己的 ShoCard ID 上链,并将如身份证、指纹等信息上传至 ShoCard 系统,本地保存。

(2)用户开始第一次身份认证,需要使用传统的认证方法:如认证身份证时,身份依赖者一方面进行真实的身份证查验,另一方面在区块链中查找该用户的 ShoCard ID。在确认该 ShoCard ID 对应的用户与其上传绑定的身份证件确实是同一人后,即代表对该用户的身份进行了认证。

(3)该身份依赖者可以成为身份提供者,为改 ID 提供类似数字签名或可验证声明的认证材料,并加密后上链。

(4)用户将获得的证书保存在本地,用于后续相同的验证时使用,可以无需一次次地进行身份认证,保护用户隐私。

ShoCard 还提供了 SDK,可以集成到企业客户端和移动应用的应用程序和服务器中,可以应用于企业之间的身份信息共享,如金融 KYC、旅游、政府机构等。例如在金融行业中,ShoCard 允许原始验证者(例如执行初始 KYC 的银行)使用区块链向其他也要进行 KYC 的金融机构收取信息费用,用户自主决定和选择与其他方共享的证书,可以帮助需要验证金融机构降低其整体 KYC 成本并加快认证速度。

4.2 基于生物识别技术的区块链数字身份:ID2020、迪拜机场数字护照

4.2.1 ID2020

2015 年 9 月,联合国所有会员国通过了 2015 年-2030 年的可持续发展目标,其中承诺到 2030 年“为所有人提供合法身份,包括出生登记”。 目前全球还有大约 11 亿的难民没有合法的身份证明。

ID2020 联盟在这样的背景下,成立。其是由众多企业、非盈利机构、政府等组成的联盟,致力于提高数字身份的影响力,开发数字身份解决方案。目前 ID2020 的联盟成员包括创始合伙人:微软、埃森哲、洛克菲勒基金会 (Rockefeller Foundation)、加维疫苗联盟(Gavi)、IDEO.org,一般合伙人:援助机构 Mercy Corps、非盈利组织 Kiva、iRespond、Hyperledger、联合国国际计算中心、Care International、非盈利生物识别技术公司 Simprints、FHI360、CITRIS 政策实验室;以及无偿支持公司:战略传播咨询公司 Copperfield Advisory 和法律支持公司 Chapman and Cutler LLP。

ID2020 的主要服务目标为没有合法身份的难民等人群,提供具有唯一性,私人可控的,永久存在和便携式的区块链数字身份,其中主要运用生物识别技术创造身份标识。

目前 ID2020 联盟已经有部分区块链数字身份的实践。2018 年,联盟成员 iRespond 与国际救援委员会合作,开始为大约 35,000 名接受 IRC 服务的湄拉难民营(泰国)的居民提供安全的加密数字身份。当难民加入该计划时,将扫描他或她的虹膜,然后 iRespond 的专有算法将那个唯一的图像转换为 12 位数字,且没有名称或个人标识符。这种数字身份可以链接难民的身份信息,帮助他们认证身份,获得医疗服务,且准确安全的记录医疗健康信息。如果难民希望分享向新的医生分享其医疗信息,可以让医生扫描虹膜,并通过在区块链上提取他们的号码来访问他们的记录。iRespond 的首席运营官 Scott Reid 说:“访问该信息的唯一方法是让虹膜存在;没有地址,名字,生日,与区块链 ID 号相关的个人身份信息。” 该方案为这些居民提供了便携式的“数字钱包”,这些电子钱包不仅可以保存其医疗记录,还可以保存教育和职业证书,营地工作的历史记录以及无数其他可以证明的记录。对于任何希望在营地之外树立身份并在开始新生活的人来说都是必不可少的。

2019 年 1 月,联盟在达沃斯世界经济论坛上发布了 ID2020 认证标志。由数字 ID 及其底层技术的领先专家组成的 ID2020 技术咨询委员会(TAC),为用户管理,隐私保护和便携式数字 ID 建立了一套基于结果的功能性技术要求。希望获得其认证的公司可以提出符合该技术要求的数字身份解决方案,并向 ID2020 提出认证申请。

4.2.2 迪拜机场数字护照

2017 年 6 月起,迪拜政府与英国初创区块链技术企业 ObjectTech 合作,共同研发迪拜机场基于区块链技术的安全系统。

ObjectTech 表示,该电子护照有望替代迪拜国际机场的人工核对电子护照程序。该系统结合了生物识别验证系统和区块链技术,使用“预先核准的完全数字化护照”来验证乘客的入境许可。该系统将通过短通道里的三位扫描系统,进一步验证个人信息,从他们进入机场到领取行李这一整个过程。通过区块链技术,该企业表示数字化护照融合了一种称为“自管理个人身份认证”功能,有利于个人隐私保护,让乘客能够控制哪些人有权查看他们的护照信息。ObjectTech 创始人与 CEO Paul Ferris 在博客中表示,他们计划为国际旅客提供更快速和安全的出入境服务,让乘客完全掌握他们的电子数据。该试验项目计划在 2020 展开,尽管具体项目时间表尚未发布。

在这一尝试中,基于区块链的电子护照实现了:在获得居民自身授权的前提下,居民身份信息在城市间共享。

4.3 自我主权身份应用 : Uport

(1) uPort 介绍

uPort 是 Consensys 建立在以太坊区块链上的身份管理应用,其基本符合 W3C 制定的关于 DID 的标准,属于用户的代理,即 Holder 角色,会帮助用户去进行可验证声明 VC 的申请、储存和授权,以及 DID 在区块链上的注册。

区块链数字身份:数字经济时代基础设施

uPort App 类似于一款数字钱包,在 APP 上注册会拥有一个 uPort ID,由 DID + 以太坊账户组成。一个 uPort 账户关联了以下内容:1)一个 uPort ID;2)个人基本信息:可选填姓名、邮件、国家、电话四个字段;3) Credentials:Credentials 就是在 W3C 标准里的 VC。uPort App 会帮用户存储 VC。4)其他辅助信息:如账号的二维码、账户头像等等。

(2) uPort 认证流程

Uport 拥有的全局唯一身份标识符被以太坊代理合约(Proxy Contract)定义,代理合约可以传递交易,通过该合约机构与以太坊其他应用的智能合约(Application Contract)互动。当用户想和其他应用的智能合约互动时,通过控制合约(Controller Contract)发送事务,传递给应用的合约。控制合约中包含了访问控制策略。

区块链数字身份:数字经济时代基础设施

用过代理合约的方式在用户私钥和应用的合约中进入了中间件,也能够让用户在丢失终端后替换原有的私钥。控制合约中还包括还原网络,其成员由用户指定,可以是用户的好友、可信的机构等。如果用户终端丢失,可以向拿到新的终端后向还原网络广播新的公钥,同时还原网络中的成员通过还原合约将用户新公钥确认并发送到控制合约中保存,当成员达到一定数量并确认后,控制合约更新用户公钥,让用户身份恢复。

由于 uPort 身份是以太坊智能合约,依托于以太坊区块链,未提供传统管理系统中的证书服务,需要与各个 Issuer 进行合作来帮助用户获得更多的 VC。

(3) uPort 应用案例——瑞士楚格数字公民项目

瑞士楚格利用 uPort 与卢塞恩大学金融服务研究所 Zug (IFZ)一起在以太坊区块链上创建了世界上第一个政府自主发行的身份项目。楚格在以太坊公共网络上创建了自己的身份,使他们能够签名和验证数据。授予楚格城市身份的访问权委托给城市职员,城市职员使用具有特定管理员权限的个人 uPort 身份。

瑞士人实行直接民主制,每年将他们带到投票箱中约四次,以就与其所在州有关的无数问题进行投票,例如在餐馆吸烟,为博物馆提供资金以及扩大当地公交路线。尽管这是近代最民主的政府,但它也造成了麻烦,昂贵和耗时的过程。通过区块链数字身份项目,楚格公民通过在用户的 uPort 应用中显示其 ZUG ID 来获得多项服务,比如,他们可以对即将到来的节日进行投票,而无需前往投票站。试点表明,用户控制的身份可以支持电子投票计划的现代化,这可以为该市节省数百万的人口和生产力成本。

五、区块链数字身份的难点

5.1 区块链与隐私保护技术的低效问题

区块链用分布式账本的共识替代了原本的集中式认证,本身会导致一定的效率低下。同时在区块链上验证身份时,用遍历区块链的方法查询身份—公钥对,从而验证某公钥是否属于通信对方,这是目前常用的方法,但是会随着区块链账本体积的不断增大而效率更低。

对于隐私保护技术来说,身份认证的常用技术为零知识证明,用于保证用户在授权其他应用身份时是匿名的,无需透露身份信息。零知识证明本身是一种还未成熟的技术,且其需要依靠双方的多次交互来进行,必然会导致效率的低下。而未来如果要使用安全多方计算,则对网络资源的依靠会更加严重。

因此,分布式身份受到网络和共识的影响会限制其发展,在技术本身不够成熟的情况下,短期内只能实现相对简单的认证功能。随着 5G 上线,将能够进一步扩宽网络的带宽,稍微改善隐私保护技术的交互效率。也有一些学者在研究提升区块链身份认证的效率的方法,如汤凌韬等(2019)提出一种基于密码累加器的身份认证方式,将链上身份和公钥信息映射为累加值,实现认证功能的同时提高了身份—公钥对的验证效率,同时解决了区块链体积不断增长的情况下轻节点存储空间不够的问题。

5.2 用户数据隐私与企业数据变现的现实冲突

对于区块链的数据共享,主要有四种形式:

(1)数据直接上链公开:这种方式数据可以做到最大限度的共享,但是毫无隐私可言。

(2)一部分数据(通常为加密后)的数据上链,链下链上数据互通:这种形式能够实现脱敏数据的共享,同时又保护了链下重要数据的隐私。这种形式也分两种情况 1)如果不把链下数据共享,则其通常只能实现数据验证,无法将真实的数据加以综合利用;2)如果通过用户授权的形式分享了链下数据,则一次授权后数据就会泄露出去,无法实现每次使用每次授权。

(3)将所有隐私数据都保存起来,只有拥有私钥的人才能使用。这种形式可无法实现数据共享。

(4)使用安全多方计算:各方在不需要知道对方数据的情况下进行数据计算,既保证了数据的隐私,也实现了数据共享和价值挖掘。

在分布式的数字身份中,由于倾向于保护用户数据隐私,所以最大限度的做到信息披露的最小化,所以其主要通过第二种数据共享的方式,仅进行认证结果的共享。在分布式身份授权中,通常由一家企业掌握用户身份,经用户许可将其身份授权给其他应用,这种授权仅仅是提供了一个可信证明用于登录或验证,无法提供更深层次的身份信息。如果提供在用户授权下提供具体的身份信息,那么其实不算真正意义的隐私保护。而在自我主权身份中,这种情况则更甚。所以在隐私保护的前提下,用户身份信息是难以共享的。

而目前大量的互联网公司都是以用户大数据分析实现的商业模式,如广告业务、金融业务、电商业务等等,这些业务都需要以用户的身份信息作为基础来进行开展,所以和用户数据隐私保护存在着难以调和的现实冲突。以数据作为核心商业模式的公司必然没用动力去参与这样的数字身份系统,所以目前的很多自我主权身份应用都没有获得非常大的成功。

如果要同时保证数据隐私,以及数据交互计算,那么需要使用安全多方计算的密码学算法。然而安全多方计算目前还在技术发展早期,只能实现最基础的计算,要进行多方大数据分析还为时尚早。所以这种现实矛盾在长期来看都是存在的。对于自主身份的推进更多时候一方面需要依靠用户本身的隐私意识,另一方面需要政府对此类保护用户隐私的数字身份给予政策支持或推出官方标准,推动企业去转变其商业模式。

5.3 私钥管理和身份标识符的使用门槛较高

前文说到,分布式身份标识符 DID 为了保证分布式和安全性,牺牲了其可用性,标识符的文本通常复杂难记。同时,用户如果为了进一步提高隐私安全,可以使用一个人对应多 DID 的方式,每个身份信息(如身份证、电话、驾驶证)等都对应一个 DID,那么其管理将加倍困难。

私钥和身份标识符同理,也是一串难以记忆的长字符串,且私钥由用户自己保存,如果用户希望完全掌控自己的数据,那么私钥理论上是只有用户知道,一旦丢失私钥中对应的数据均会丢失。目前很多数字身份的私钥储存在手机等移动终端里,如 SIM 卡,如果手机丢失或被偷,也会造成比较严重的后果。这并不符合普通互联网用户的习惯,使用门槛较高,使得人们对这种方式的接受度降低。

六、区块链数字身份的未来展望

6.1 数字金融的发展驱动区块链数字身份崛起

区块链数字身份实际上是一种基础设施,主要基于使用区块链技术的前提下探讨的,所以在实体经济中,区块链数字身份的使用依赖于实体企业对区块链技术的使用。当前,数字金融的发展将是推进区块链数字身份使用的最重要驱动力。主要基于两个点:

(1)金融行业对区块链具有现实的需求。金融行业区块链技术最早发展也是最适合结合的行业之一。金融领域中包括(跨境)支付、证券、供应链金融等行业,由于涉及多个环节和多方合作,区块链的分布式账本能够帮助其更高效的实现通讯和资金交易。同时,数字资产是区块链最经典的应用,在金融行业中一方面可以将金融凭证上链形成可交易可流转的数字资产,还可以利用数字资产进行支付,实现实时清结算。

另外,普惠金融则对区块链有更强的需求,通过其不可篡改性建立低门槛的可信数字身份,为广大发展中国家缺乏信用身份的公民提供实现金融行为的基础。

目前,全球各大金融机构均在探讨区块链和金融的结合,全球最大的跨国银行清结算通讯体系 SWIFT 也计划将区块链加入其中;Facebook 推出了非国家化的数字货币 Libra,致力于推进普惠金融;美国、中国、欧洲等国政府均在积极探讨和部署央行数字货币。可见全球对区块链金融发展和其影响力的认可

(2)区块链数字身份能够帮助数字金融更好地实现 KYC 共享和机构监管。上文说到,区块链数字身份实际上是可信的基础设施。传统的区块链系统具有匿名性,监管机构难以判断其真实身份,所以始终对区块链技术存在担忧。因此,在区块链中实现可信的数字身份是必要的,通过将用户的数字身份标识与真实身份进行绑定,由官方机构为数字身份标识提供可验证声明,让监管机构能够知道数字身份的背后是谁。最重要的是,区块链数字身份可以实现金融机构之间 KYC 的共享,使得追溯个人完整的金融交易行为变为可能,实现对洗钱、恐怖主义融资等危害金融安全的事项的及时发现和追踪。

6.2 区块链统一身份标识率先落地

由于当前区块链数字身份在隐私保护和数据共享利用上无法实现非常理想化的结果,其发展也需要循序渐进。短期来看,建立用户的统一数字身份标识,避免重复认证和登录,是区块链数字身份最根本、需求性最强也可最先落地的领域。如在上一节提到的在金融区块链中实现统一身份标识,追溯完整金融行为,便是这一概念。

2019 年 6 月,Visa B2B Connect 正式投入商用,该系统为金融机构提供基于区块链的数字身份解决方案,以安全地处理跨境支付。其中,Visa B2B Connect 拥有独特的数字身份识别功能,能够将企业的敏感商务信息 (如银行信息和账号) 数字化,生成唯一的加密标识符,并用于在此网络中完成交易。

要实现统一的身份标识,其应该具有相同的技术标准和高兼容性,能够在不同的区块链系统中进行识别和识别。目前已经国家发布了《公民网络电子身份标识格式规范》的技术标准,eID 就是基于这个标准建立的统一身份标识。在案例中,eID 数字身份链使用 eID 可以作为统一的身份标识,面向各种数据源、区块链系统开放,支持任意节点加入后可无缝连接其它节点,其还采用松耦合的模块化设计,使得任何政府部门、行业协会、机构单位可独立快速部署节点接入,具有很高的易用性。

6.3 以各国政府牵头推动建立区块链数字身份系统

区块链数字身份属于基础设施,很大程度上依赖公关事务,且与部分商业企业存在一定利益冲突,所以政府需要成为建立区块链数字身份系统,强调用户数据隐私的主要推动力,使其成为未来数据主权社会的重要基础设施。

例如在欧盟推出通用数据保护条例(GDPR)后,欧洲众多企业均改变了其数据运用模式。剑桥区块链是一家制作数字身份软件的公司,通过使用区块链技术让个人拥有数据的存储、共享和验证权限,为企业提供有效的解决方案,帮助金融机构满足最严格的新数据隐私规则,消除多余的身份合规性检查流程,主动迎合监管的同时降低成本。该初创公司已经获得了富士康 HCM Capital、Paypal 等公司合计 1050 万美元的 A 轮融资。

2020 年 2 月,中国人民银行正式发布了《金融分布式账本技术安全规范》,其中第十三章提到了身份管理的规范,对身份注册、身份核实、身份管理等多个方面提出了要求;第十四章则提到了隐私保护,规定了所有信息需获得信息所有人的授权,需告知用户其被使用的数据等。

3 月 22 日,中国人民银行金融研究所首席研究员邹平座发表中国人民银行论文《货币政策的市场化协同与大数据机制研究》,文章表示,人的价值管理产业将来可能是最赚钱的产业,特别是在人民币产业化、市场化、国际化的背景下,中国未来 5-10 年将出现以区块链为基础技术的 ” 价值产业 “,这个产业是由科技革命引起的价值函数的变化引起的,并且通过数字经济和通证经济,推动中国转向人类的第三次文明-科学社会,引发深层次的社会变革,这种变革将可能成为全球的标杆。这种货币制度的传导机制将用区块链的超级账户定义每个人的价值,并且生成每个人的价值大数据,这种大数据与每个人的收入函数大数据和支出函数大数据相互映证,并且通过市场生成每个人的通证。人的价值的通证,就是数字货币。文中提到的“超级账户”概念本质上与区块链数字身份不谋而合,通过数字身份将不可转改的链上信息与现实身份信息将结合,创造个人价值最大化。

因此,以政府牵头来建立区块链身份系统,可以更好地创建被广泛认可的身份标识和身份规范,更利于推广和使用。同时,政府对于身份保密性通常有更高的要求,所以区块链数字身份也会成为政府政务等系统中必不可少的基础设施。

七、参考文献

[1]The Path to Self-Sovereign Identity. Christopher Allen. https://www.coindesk.com/path-self-sovereign-identity

[2] 网络安全之身份认证 . https://blog.csdn.net/wowotuo/article/details/82825427

[3] 刘千仞 , 薛淼 , 任梦璇 , et al. 基于区块链的数字身份应用与研究 [J]. 邮电设计技术 , 2019, 518(04):87-91.

[4] 吕凌浩 . 基于区块链技术的数字证书处理构想 [J]. 中国信息化 , 2019(5):91-92.

[5] 李强 , 舒展翔 , 余祥 , et al. 区块链系统的认证机制研究 [J]. 指挥与控制学报 , 2019, 5(1):1-17.

[6] 去中心化身份(Decentralized ID, DID)介绍 . https://blog.csdn.net/treaser/article/details/99004355

[7]Can Blockchain Finally Give Us The Digital Privacy We Deserve? https://www.newsweek.com/2019/03/08/can-blockchain-finally-give-us-digital-privacy-we-deserve-1340689.html

[8]Dubai Plans Digital Passports Using Blockchain Tech. https://www.coindesk.com/dubai-plans-gate-less-airport-security-using-blockchain-tech

[9] Zug Digital ID: Blockchain Case Study for Government Issued Identity. https://consensys.net/blockchain-use-cases/government-and-the-public-sector/zug/

[10] 汤凌韬 , 许敏 , 金玉荣 . 基于区块链的身份认证机制的效率优化方法研究 [J]. 计算机应用研究 , 2019(10).

[11] 邹平座 , 中国人民银行论文《货币政策的市场化协同与大数据机制研究》.

声明:该文观点仅代表作者本人,与炒币网无关。炒币网系信息发布平台,仅提供信息存储空间服务。对所包含内容的准确性、可靠性或者完整性不提供任何明示或暗示的保证,并不对文章观点负责。 提示:投资有风险,入市须谨慎。本资讯仅供参阅,不作为投资理财建议。

发表评论

登录后才能评论