11月8日下午,由巴比特主办的“2019世界区块链大会·乌镇”继续进行,在分论坛“技术改变世界:区块链底层基础设施”上,中钞区块链技术研究院院长张一锋发表《分布式数字身份-构建区块链基础设施》主题演讲。
张一锋首先分享了对联盟链和公链的看法,张一锋认为,公有链虽然满足了我们对于互联网自由创新的乌托邦式的想象和向往。但客观看,今天的公有链性能仍然比较低下,完全的匿名造成监管的缺失和非法应用的泛滥,导致公有链始终还是游离在我们现实经济的应用之外。所以开放的许可链或者公共的联盟链,是推进区块链基础设施建设、构建行业和区域公共区块链平台的重要的技术路径。
对于分布式数字身份,张一锋认为是推动区块链更广泛应用的另外一项重要的基础设施。区块链至今还没有形成大规模的应用和杀手级的应用的最重要的一个原因是尚未建立数字身份的公共基础设施。张一锋认为,只有分布式数字身份体系建立起来以后,区块链的应用才能可能和现实世界的业务打通,完成与现实世界的相关应用落地,并借助区块链技术特性构建出展现的创新应用。
以下为演讲全文,巴比特整理:
感谢巴比特的邀请,再一次来到乌镇区块链的会场。今天下午的分论坛主题叫做“区块链的基础设施”,对于基础设施,每个人都有自己不同的视角。我尝试从区块链应用下一步的发展角度,谈一谈我的一些看法。
第一点是关于行业和区域的公共区块链平台的建设。当前区块链应用发展的总体形势很好,所以今天到会的会场的人又比去年多了很多。我们也看到新的应用不断被挖掘并且开始落地。但是有一个问题,如果说我们今天依然是去搭建一条条割裂的联盟链和一个个割裂的联盟链的应用,我们会发现几个问题:1.对于应用业务创新的团队来说,它的技术门槛仍然是比较高的;2.事实上也造成了资源的较大浪费;3.它不利于创新的聚集效应。
我们知道,每一类创新都需要一定的技术来促使创新的推进。我们看公有链,在公有链上,用户和节点可以自由进出,数据可以开放共享,所以似乎公有链满足了我们对于互联网自由创新的乌托邦式的想象和向往。但客观上面,今天的公有链性能仍然比较低下,完全的匿名造成监管的缺失和非法应用的泛滥,所以今天公有链始终还是游离在我们现实经济的应用之外。所以这是我的第一个观点:目前来看,开放的许可链或者公共的联盟链,即通过许可链的模式限制共识节点的数量,来达到提升系统性能的目的,另外一方面又接入节点、开放数据访问,来实现最大范围的跨机构的跨应用的数据与业务协作,我认为是推进区块链基础设施建设、构建行业和区域公共区块链平台的重要的技术路径。这是在发言之前想表达的第一个观点。
第二点,是想谈一下数字身份,这也是我认为的推动区块链更广泛应用的另外一项重要的基础设施。今天区块链,事实上到目前还没有形成大规模的应用,也还没有看见杀手级的应用。这里面有很多原因,我觉得其中最重要的一个原因就是尚未建立数字身份的公共基础设施,所以导致一些很有潜力的应用在走完了从0到1之后,再从1到100的这条路径上面很难以形成突破。这十多年,我们可以看到手机智能应用的蓬勃发展它得益于移动互联网的基础设施的完善,而未来十年区块链应用的兴起,它其实更需要数字身份这样一个公共基础设施的完善,使得区块链的应用和现实中的个人形成更紧密的连接,既保护个人的隐私,同时也使得区块链应用可以突破完全匿名和导致非法滥用的窘境。所以数字身份,我今天重点想谈谈四点认识和理解。
一、数字身份的演进
从互联网诞生的第一天开始,在互联网的底层只有IP地址,没有账户和身份的模型,所以账户和身份完全依托于互联网的应用层来实现。而我们知道区块链从比特币开始,节点和账户就是两个不同的对象模型。我们看到互联网上最早的数字身份的模式就是账户+密码的应用账户模式,这个模式很简单明了,所以到今天仍然是最广泛使用的,也适应了互联网发展初期的环境。但是到了今天,我们每个人都需要记忆和管理一大堆的账号,我们的邮箱账号、微信账号,办公的OA账号。
到今天,这种模式已经出现了巨大的局限性,之后我们可以看到一些巨无霸的应用方,比如像Facebook、微信,它们开始开放自己的身份体系,允许其他的应用方直接使用Facebook或微信的账户来登录各自的应用,形成了我们现在所谓的联盟身份模式。当然我们也知道这两年这种模式下面身份授权和个人隐私的问题时有发生。
当身份的应用再一步往前推进的时候,比如说我们想用微信投票,我们今天投票的发起方既难以审查投票的过程,甚至我们连投票人自己都没法去确认你自己投的票是否已经真实地被记录到投票的结果里面去,所以这是我们看到另外一块密码学技术开始融入了我们的数字身份体系。基于KPI体系的数字证书,可以构建起数字身份对应主体的个人意志的真实表达、传递和验证。
所以我们正看到下一代的数字身份的发展,开始朝着一些新的特性在变化。数字身份不再是被应用方和联盟方所垄断,数字身份的管理重新开始回归到主体对象,被主体自己所管理,所以我们现在有时候也叫做自主权的身份。另外一方面数字身份中的身和份,即我们说的主体的标识符和主体的属性开始解耦,主体的属性形成了独立的可验证的凭证,用于更广泛并用户可控的数字身份信息的交互。
我们看到下一代的数字身份必然是分布式的,在现实的世界里面集中和分布、中心化和去中心化这两种基本的范式一直是共存并且相互补充的。从局部的看,我们每一个身份的证明都是由某一个集中的中心来发行的,但是从全局来看,人类社会的身份、数字世界的身份又是由无数个中心来共同提供的。所以中心化和去中心化在数字身份这个领域,它是对立但又是统一的。总体上来说,数字身份呈现的是一个分布式的形态,才更具有弹性和扁平化的特征,这既是现实世界的一个真实的反映,同时也更符合数字世界发展和治理的需要。
二、分布式数字身份模型
我们看到在现实的世界里面,我们每个人都拥有不同的身份,在单位你可能是一个经理,在家里你就是一个丈夫,所以一个主体是多个身份。但多个身份往往不可以混用,所以经常我们回到家,仍然把自己当成是一个经理,所以这就是很多家庭悲剧开始的原因。
在分布式的数字身份的模型里,我们每个人都可以有不同的ID,每个不同的ID对应不同的环境、场景和应用下面不同的身份,这些归属于同一个人的不同的数字身份应该由个人来进行管理、维护和归集,而每一个数字身份的验证和使用,在W3C的模型里头叫做可验证的凭证。这个可验证的凭证,可以通过Wi-Fi,可以通过蓝牙,可以通过NFC,可以通过二维码等多种形式进行传递并且被可信地验证。
第二点,谈一下分布式身份的业务模型。在这个业务模型里面,通常我们一共有3个角色:发行者、持有者和验证者。举例来说,我们举办一次马拉松的赛事,马拉松的成绩证明,赛事主办方是凭证的发行者,每一个负责参加马拉松的选手,他是这个成绩凭证的持有者,他是负责申请、保存并且出示这个成绩的凭证。而我们每个人都可以验证者,来可信地验证这个凭证是由当时的发行者颁发的,并且通过区块链上的身份注册表来核验赛事主办方或者叫发证方的合法身份。
在以前的身份体系里面,发证方同时需要提供凭证在线的服务,一旦这个服务终止,之前已经发行的所有凭证的有效性不再变得可验证而在分布式数字身份的模型里面,所有已经发行凭证的有效性都不再依赖于发行者是否还提供服务,所以我们也叫做这是一个半离线的验证模式。
第三点,我们看一下分布式数字身份的典型架构。最底下一层是区块链为基础的数字身份账户注册层,第二层是代理层,为每一个数字身份的主体提供安全的接入服务以及消息的转发通道,这有点像我们移动通讯里面的基站。而在第三层就是我们刚才介绍的可验证凭证的流转,从发行者到持有者到可验证者,在这个模型的最上面是我们所谓的分布式数字身份的治理层。
三、分布式数字身份标准与密码技术
从协议分层的角度,分布式数字身份的协议层基本上可以分为四层:W3C目前已定义了一整套全球唯一通用的标准化的可机读的DID分布式数字身份标识符,而VerifiableCredentials标准已经规范了可验证数字凭证的数据格式和交,为未来数字身份的互联互通准备了条件。第三个是DID,已经提出了DIDAuth,它着力解决不同业务之间认证控制权的方法。第四层的DKMS,致力于通过对分布式密钥周期的管理来构建一个可信的点对点的安全通信链路。
在分布式数字身份的关键密码技术里面,最重要的是匿名凭证的设计,这是基于零知识证明的密码学技术,使得凭证持有者不再只是凭证流转过程中的一个透明通道。匿名凭证的技术使得持有者真正成为凭证的管理者,可以自主地决定和选择所披露的凭证的内容范围、颗粒度和形式。举个例子,比如说我们需要去出示一个年龄大于18岁的证明,通过匿名凭证,我们不再需要过度披露你的出生年月,甚至不需要再过度披露你身份证的全部信息。再举一个例子,我们通过匿名凭证,可以出示一个你的银行存款大于50万的凭证,而不需要再向第三方提供你在银行的真实存款的金额。所以,这是我们看到的匿名凭证在分布式数字身份里面的重要价值。
最后做一个小结,只有分布式数字身份体系建立起来以后,区块链的应用才能可能和现实世界的业务打通,完成与现实世界的相关应用落地,并借助区块链技术特性构建出展现的创新应用。移动互联网时代,微信和支付宝是成为了中国人记录这个数字世界的实际入口。那么在区块链构建、进化的新的世界中,我们认为分布式数字身份会是一个真正的入口,而且只要遵循开放的协议,这个入口不再会为某一家企业或者机构所垄断。而通过这个入口,数据才可以真正围绕数据的所有者来可控地流转和使用。而区块链上影射的价值对象,也才可能被有序地确权和转移。所以,身份、数据和价值是区块链世界的三个基本的要素,而这里面分布式身份是我们认为最重要的基础。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。